大数据时代个人金融信息保护的问题及对策
薛小飞
随着互联网信息技术的高速发展,各行业海量的数据信息被不停地生产、收集、存储、整理与使用,人类已进入大数据时代。现如今,各大金融机构积极拥抱数字化,不断提升数据服务业务的能力,我国金融业正进行着一场升级换代的“数据革命”。然而,数据运用引发的个人信息安全风险也逐渐暴露,个人金融信息保护不足的问题不断显现,过度采集、信息泄露、隐私侵权等现象突出,公民在网络中“裸奔”的问题愈发严重。尽管监管层面多次从严从重处罚,但却发现屡罚不改、屡禁不止,信息滥用问题依旧十分猖獗,这凸显出个人金融信息保护专门立法和加强监管的必要性和急迫性。然而,传统的保护制度模式已不能满足个人金融信息保护的现实需求,亟须出台新制度、新标准和新规范,以真正有效保护个人金融信息。
大数据时代个人金融信息保护的必要性
个人金融信息的时代特征
信息涵盖面广,是金融消费者一切特征的数据化呈现。个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据(见表1)。这些基础数据是对金融消费者最为全面的描述,是对金融消费者个人行为的数据化记载,涵盖了各个方面,可谓包罗万象。
信息的搜集主体日益多元化,个人金融信息来源渠道增多。以往,个人金融信息的搜集主要以央行征信中心及传统的金融机构为主。如今,个人金融信息在互联网信息技术的支持下可以通过任何一个渠道搜集到,可谓无孔不入。而且,金融科技的快速发展使得众多机构拥有了搜集个人金融信息的强大能力,可以说是能实现360度无死角极速化搜集。
信息传播速度快,时空距离逐步缩短、缩小。从来没有像今天这样,人与人之间的距离能够通过网络被无限拉近,也从来没有像今天这样个人如同“裸奔”一般在网络上被全景式呈现。个人金融信息一旦进入了网络渠道,其被传播的速度是急速化的,同时也导致对个人金融信息的保护愈加复杂化。
信息价值巨大,但难以有效计量。大数据时代下,个人金融信息具有巨大的商业价值,是一项新的生产要素,将会对金融机构的运营模式产生重大影响。但是,个人金融信息的载体为数据,而数据的维度多元、内涵不同、结构复杂,使得其价值无法有效计量,因此在运用过程中还有许多亟待解决的基础性问题。
个人金融信息保护的意义
个人金融信息的泄露不仅会直接侵害个人金融信息主体的合法权益,而且还会影响金融机构的正常运营,甚至可能会造成系统性金融风险,威胁到金融业的健康发展。因此,合理利用个人金融信息,加强个人金融信息保护,具有十分重要的意义。
维护金融消费者合法权益的内在需求。随着金融消费者保护意识的觉醒,以往观念中的那种无所谓心态和对个人金融信息保护的淡薄意识正逐渐消失,金融消费者愈加注重自身信息的保护。因此,只有加强个人金融信息的保护,才能满足金融消费者的内在需求,维持良好的客户关系。
促进我国金融业健康发展的基本前提。个人金融信息保护意识的淡薄和保护措施的不足将导致金融消费者对金融机构失去信任,这会给正常运行的金融市场造成不利后果。因此,加强个人金融信息保护不仅有利于维护金融消费者的合法权益,也有利于维护金融机构的社会信用和社会声誉,更有利于促进金融业健康发展。
推动普惠金融有序发展的重要条件。信息科技与金融的深度融合使得数据红利得到充分挖掘,有效降低了金融机构的信息成本,促进金融机构客户群体下沉,长尾区域的金融服务覆盖面、可得性和便捷性得到大幅提升。但是,这一切都必须建立在个人金融信息得以充分保护的基础之上。
确保我国金融业对外开放得以顺利进行的重要内容。加强个人金融信息保护是顺应我国金融业深化改革的重要举措,是适应金融市场对外逐步开放的关键环节。在与国际接轨,参与国际竞争过程中,个人金融信息保护是一项十分重要的内容,要融入国际市场,就必须不断加强个人金融信息的保护。
当前我国个人金融信息保护存在的问题我国个人金融信息保护现状
近年来,全球大数据储量呈现爆炸式增长,而我国的数据产生量增长最为迅速,2018年其产生量占全球数据产生量的23%,年均增速高于全球水平。数据已经成为继土地、劳动力、资本、技术之后的关键生产要素,是一种新的“石油”,一种重要的战略资源,其价值不可小觑。因此,越来越多的金融机构开始布局大数据、人工智能等技术领域,深挖数据资产,强化科技布局,个人金融信息正成为新的“蓝海”。但是,保护机制的缺失使得信息滥用、信息泄露等现象不断出现,正侵害着金融消费者的合法权益,危害金融行业的健康发展,也侵蚀了社会信用根基。
现如今,个人金融信息被泄露,并被非法用于商业领域或其他用途的情况比比皆是。中国信息通信研究院等机构发布的《2018~2019年度金融科技安全分析报告》显示,有44%的金融机构出现了信息泄露的风险事件;2019年5月至2020年5月期间,山西省10家人民银行地市级机构共收到金融消费者投诉346条,其中涉及个人金融信息的投诉33条,占比达9.53%;2020年10月,广东省通信管理局公布了一批涉及侵害用户信息权益的金融机构,涵盖银行、券商、支付机构、消金公司等。事实上,这些仅是冰山一角,个人金融信息泄露被滥用已成为侵害金融消费者合法权益的一大顽疾,并成为危害我国金融业健康发展的重大不利因素。
金融机构个人金融信息保护存在的问题
保护意识不强。个人金融信息保护意识的缺失是导致保护不足的一个重要原因,一些金融机构并未真正意识到保护个人金融信息的重要性,也就缺乏相应的责任心。而且,很多机构并未有效履行信息保护义务,主动性不足。例如,在一些金融业务合同当中并未对个人金融信息保護进行规范性约定或约定不明,条款设置约束性十分有限。
保护制度欠缺。尽管金融机构都建立了内部信息管理制度,但执行力一般,大量个人金融信息直接从金融机构内部泄露。许多金融机构推出的移动应用程序或多或少存在过度采集个人信息,并向第三方共享的情况,这些均属于侵害金融消费者合法权益的行为(见表2)。同时,自身网络安全管理上的漏洞很容易成为外部不法分子攻击的目标。
技术能力有限。金融机构自身技术研发能力有限也是导致个人金融信息保护不足的一个重要因素。当前,金融机构众多信息系统、移动运用软件等均由外部科技公司承建,自身技术开发能力有限,很难从细节上把控信息管理漏洞。而且,虽然有些金融机构加装了诸如保密软件之类的系统,但实际效果却是不仅于事无补,而且还严重拖累了业务经办效率,纯属“鸡肋”设置。
个人金融信息保护法规存在的问题
法律法规是保护个人金融信息的最后一道屏障,也应当是最为有效的一种保护模式。我国个人金融信息保护虽不可谓无法可依,但至今尚无统一的完整的个人金融信息保护法律法规,相关规则散布于法律、法规、规章以及各类规范性文件中。在法律层面,《商业银行法》《保险法》《证券法》等均有涉及个人金融信息保护的规定,在一定程度上保护了个人金融信息。就个人信息保护而言,2020年10月《个人信息保护法(草案)》出台,并向社会公开征求意见;自2021年开始实施的《民法典》为个人信息保护的顶层立法设计奠定了基础,这些都有助于个人金融信息保护法规制度的建设。除法律之外,近些年出台了一系列政策规定,《关于银行业金融机构做好个人金融信息保护工作的通知》(中国人民银行,2011年)、《征信业管理条例》(国务院,2013年)、《银行业金融机构数据治理指引》(银保监会,2018年)、《个人金融信息保护技术规范》(中国人民银行,2020年2月)、《中国人民银行金融消费者权益保护实施办法》(中国人民银行,2020年9月)等大量规范性文件都有零零散散的个人金融信息保护规则。
但是,我国个人金融信息保护方面的法规制度建设还存在这样几个较为明显的问题:
保护力度有限。现有法规并未出台专门针对个人金融信息的上位法,过于分散的规范难以形成健全和协调的管理体系,保护范围和力度不仅十分有限而且焦点分散,并存在一定的滞后性。尽管这些法规具有灵活性和适应性,但短期性问题也十分明显,往往只是“头痛医头,脚痛医脚”的补丁式政策,难以有效达到强化个人金融信息权益保护的目的。
缺乏可操作性。现行法规多以宣示性规则或不完全法条为主,原则性规定了个人金融信息保护的必要性和相关义务,但仍显笼统和粗疏,对于该如何具体履行保护以及履行不足所产生的法律责任等却都暂付阙如。因此在实际执行中,金融消费者在面临个人金融信息保护不足的情况时往往维权艰难。
协调性不足。受限于我国金融业分业监管的模式,现行法规之间无法做到统一协调,在缺乏上位法统一规定的情况下,个人金融信息保护很难实现全面治理和协同治理,这就会造成金融消费者维权疲于奔命,最终不了了之。同时,在无上位法统一监管的情况下,也无法满足金融业逐渐混业发展的需求。
个人金融信息保护的权利救济制度存在的问题
个人金融信息保护既要有事前预防、事中干预,更要有事后的权利救济,事后的权利救济制度是保护个人金融信息的重要环节,缺乏有效救济的保护制度实际上是相对无效的。现行的权利救济制度下,纠纷解决途径主要有五种:一是与相关金融机构协商解决;二是向有关金融监管部门投诉;三是请求消协调解;四是根据与金融机构达成的仲裁协议提请仲裁机构仲裁;五是向人民法院提起诉讼。在诉讼事由上,大多是以自己的财产权益或者名誉权受到侵害为由提起诉讼。在救济责任类型划分上,对金融消费者权益的救济在责任承担上可分为民事救济、行政救济和刑事救济。
就现行的司法救济制度来说,很难从根本上解决问题。一是在缺乏统一权威法律约束和强有力监管的情况下,现有的救济制度并不能及时有效处理个人金融信息保护方面的违法违规问题,金融消费者维权无门;二是举证困难,多数因侵害个人金融信息行为疑似环节多、追溯难、举证难、耗时久、成本高,最终导致维权救济不了了之;三是司法救济成本高,惩戒效果不佳,当个人金融信息安全受到侵害时,大多获得的司法救济仅仅是停止侵害、消除影响等名誉补偿方式,而对违法违规行为的惩治不痛不痒,造成了“名为惩治,实则纵容”的怪象。
个人金融信息保护监管模式存在的问题
在互联、开放、共享的数字化时代,如何构建和完善个人金融信息保护体系,加强个人金融信息安全合规应用,并科学合理地挖掘金融数据要素价值,是摆在金融管理部门和从业机构面前的一项重要课题。当前,在我国金融业分业经营模式下,个人金融信息保护的监管也存在分业监管的特点。在原有的“一行三会”监管体制下,中国人民银行、原银监会、原保监会、证监会均已相继成立了各类金融消费者保护机构,对保护金融消费者的合法权益发挥了重要作用。2018年金融监管体制改革后,原“一行三会”体系下的金融消费者保护机构仍相对保留,继续发挥作用。此外,在过去以p2p为代表的互联网金融迅速发展时期,以中国互联网金融协会及地方互金协会为代表的行业自律组织在一定程度上为保护个人金融信息起到了重要作用。
现有的监管模式能够起到保护个人金融信息的重要作用,但因分业监管模式而出现了监管保护壁垒问题,且保护效果存在滞后性。一是监管机构职责模糊,法律上并未规定全国层面统一的专门机构负责个人金融信息的保护工作,因此在出现侵权问题时往往求告无门,踢皮球问题明显;二是监管手段和能力不足,在大数据时代,面对范围更大的个人金融信息范畴内海量碎片化、复杂化的数据,传统监管手段的效率和效力都显得捉襟见肘;三是监管政策的制定存在滞后性,事后的“修修补补”多于事前的防范与监督,个人金融信息保护效果泛善可陈。
个人金融信息保护的国际经验借鉴
一些国家和地区对个人金融信息保护的实践要早于我国,且已有诸多成熟经验值得学习和借鉴,尽管都以立法为基础,但也各具特点。从保护的侧重点来看,美国注重从技术层面加强个人金融信息保护,把重点放在网络安全上;英国注重加强对金融机构的监管,以英国金融行为监管局(FCA)为监督机构,严格管理金融机构;日本注重法律层面的保护,注重立法先行;新加坡则从网络安全和立法两个角度出发。从法律制度建设的角度来看,各自的保护模式也不尽相同,如美國的分散立法模式、欧盟的统一立法模式、日本的综合立法模式以及韩国的专门立法模式等(见表3)。以美国的分散立法保护模式为例,金融消费者的金融信息保护法律制度包括联邦法律规定、州法律规定、自律规范、行为守则等,这些庞大且零散的规范文件在实际生活中为金融机构保护客户隐私提供了管理依据。与之不同的是,欧盟在保护个人金融信息方面以统一立法为主,注重法规的继承性和一致性,因此形成了系列化的法规体系。
综合来看,美国、欧盟以及日韩等国在个人金融信息保护制度设计和保护措施上既有相同点,也有不同之处。共同点为:一是均制定了较为完善的法律,并通过法律赋予金融消费者个人金融信息隐私权的法律地位;二是立法条文更加详细,可操作性强,能够有效保护个人金融信息;三是通过一些例外条例确保金融业务的开展和创新;四是行政管理部门职责明晰,监管机制更为完善。
不同之处在于,美国作为典型的普通法系国家,采取的是银行、证券和保险行业各自分业保护的分散立法模式。歐盟成员国既有普通法法系国家,也有大陆法系国家,采取的是统一立法保护模式,用一部条例统一约束体系内各成员国。日本虽为大陆法系国家,但近年来不断吸收借鉴西方发达国家模式,但又与欧美模式不尽相同,体现出综合性的特点。韩国则以专门立法模式为主,针对一些信息使用场景出台专门的法律进行规定,比如针对个人信息的公开、个人位置信息的使用等都有专门的法律予以规定。
加强我国个人金融信息保护的建议
健全个人金融信息保护法规体系。一是进一步完善顶层法律制度的设计,立法为先,以法为本,有效推进《个人信息保护法》的制定工作,将个人金融信息保护作为一项重要的内容进行全面梳理。二是法规设计中应大幅度提高违法成本。对于一些金融机构而言,少则几万、多则几百万的处罚无异于隔靴搔痒,惩戒作用十分有限,应当大幅度提高违法违规成本。三是对个人金融信息采集的边界、使用范围、储存方式等进行更加明确的规定,提高可操作性。
完善个人金融信息保护救济机制。完善的救济保护机制是实现个人金融信息保护的重要内容。总体上,应建立“刑事+行政+民事”责任并重,更为科学有效的法律责任体系和维权体系。法规层面应明确责权利主体,建立畅通的维权渠道,降低维权成本,提高维权效率。同时,充分发挥行业自律和民间公益组织的作用,建立外部监督机制,及时纠正个人金融信息保护领域的违法违规行为。
加强对个人金融信息的有效监管。加强监管是保护个人金融信息不可或缺的关键一环。考虑到我国金融分业监管的客观实际,需逐步探索建立跨行业、跨机构、跨部门的统一监管体系,可以由中国人民银行组织实施,统筹协调银保监会、证监会及相关行业协会成立统一的个人金融信息保护部门,并协调好统一监管部门与各金融领域监管机构的职责分工,堵住监管漏洞,弥补监管真空,形成有效联动的个人金融信息保护机制。
推动落实金融机构合规制度建设。金融机构是金融大数据的载体和存续的直接媒介,自身扎紧“篱笆”是根本。金融机构应当建立起体系完备、管理规范、执行有效的个人金融信息保护制度,树立“向合规要效益”的理念,在内部形成“不能违规、不敢违规、不愿违规”的合规制度。此外,在严格执行保护制度的同时不能妨害金融业务执行的效率,因此要搭建出保护效果好、执行效率高的合规制度,杜绝形式主义。
增强公民个人金融信息保护意识。提高公民个人金融信息保护意识,加强信息保护教育是促进个人金融信息保护工作得以有效提升的重要措施。实践当中,单纯依靠外部监管并不能彻底根治信息滥用、信息泄露等问题,需要监管部门、金融机构等组织增强保护的主动性,承担起宣传教育的职责。只有公民个人金融信息保护意识得以有效提升,并掌握了利用法律武器维护自身信息权益的能力,才能形成个人金融信息保护的强大机制。
(作者单位:天津金城银行)
宏观经济月度资讯
央行:进一步便利跨国公司跨境资金统筹使用
3月12日,中国人民银行发布消息称,中国人民银行、国家外汇管理局决定在深圳、北京开展跨国公司本外币一体化资金池业务首批试点,进一步便利跨国公司企业集团跨境资金统筹使用。
2021年1~2月份社会消费品零售总额增长33.8%
3月15日,国家统计局对外发布消息,2021年1~2月份,社会消费品零售总额达69737亿元,同比增长33.8%;比2019年1~2月份增长6.4%,两年平均增速为3.2%。
央行:2020年末金融业机构总资产达353.19万亿元
3月15日,据中国人民银行初步统计,2020年末,我国金融业机构总资产为353.19万亿元,同比增长10.7%,其中,银行业机构总资产为319.74万亿元,同比增长10.1%。
商务部等六部门进一步扩大跨境电商零售进口试点
3月18日,商务部、发改委、财政部、海关总署、税务总局、市场监管总局等六部门联合印发《关于扩大跨境电商零售进口试点、严格落实监管要求的通知》。
2021年前2个月综合保税区进出口增长46.9%
3月19日,据海关总署统计,2021年前2个月,全国综合保税区快速发展,实现进出口值7649.6亿元人民币,与2019年同期相比增长46.9%,比进出口整体增速高14.7个百分点。
央行发布2020年支付体系运行总体情况
3月24日,中国人民银行发布2020年支付业务统计数据,数据显示,全国支付体系运行平稳,社会资金交易规模不断扩大,支付业务量保持稳步增长。
中国人民银行在香港成功发行50亿元人民币央行票据
3月25日,中国人民银行在香港成功发行了50亿元6个月期人民币央行票据,中标利率为2.6%。此次发行受到境外投资者广泛欢迎,投标总量约250亿元,达到发行量的5倍。
国家外汇管理局发布《2020年中国国际收支报告》
3月26日,国家外汇管理局统计发布数据,2020年我国外汇储备规模稳定在3.2万亿美元左右。经常账户顺差增加,与国内生产总值之比为1.9%,继续处于合理均衡区间。