学习啦 > 论文大全 > 毕业论文 > 法学论文 > 经济法 >

试析银行业个人金融信息的法律保护(2)

时间: 陈坚1 分享

  三、银行个人金融信息保护体系的基础分析和模式选择
  构建个人金融信息保护体系的主要任务在于:一要明确个人金融信息的含义和范围,以及银行掌握个人金融信息的界限;二要明确侵害个人金融信息的行为性质以及民事救济途径。前者为构建个人金融信息保护的基础,该问题仍是一个法律空白,这使得个人金融信息的维权行动成为无源之水。后者决定了个人金融信息的保护模式,是构建个人金融信息保护体系的最终目标。
  (一)银行个人金融信息含义和范围的界定
  虽然法律对个人金融信息没有明确的概念,但是中国人民银行于2011年1月21日发布的《关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称为个人金融信息保护通知)对个人金融信息做出了明确的定义。该通知将银行个人金融信息定义为“银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息”。该通知是从银行业的角度对个人金融信息进行定位,以来源作为界定个人金融信息的标准。银行获取个人信息的目的在办理业务、审核结算、控制风险。随着社会的发展,银行的风险点会不断地变换,银行为了控制风险必然需要创新渠道去获取与业务相关的信息。对个人金融信息的定义不应该仅以来源来界定,还应该结合个人金融信息的其它特征加以界定。从保护个人金融信息的角度来看,个人信息一旦为银行所获取,银行就应当谨慎地履行保密义务,该保密义务不能因保存的介质变化而转变。而且,该保密义务应当延伸至信息的加工品,直至加工为与个人脱离直接联系的抽象信息。因此,个人金融信息应当定义为银行业金融机构为了开展和结算业务、防范和监控风险,向个人、国家机关和企事业单位等获取的与个人存在直接联系的个人信息以及衍生信息。
  《个人金融信息保护通知》将银行个人金融信息分为七个类别。该通知采取的是“分类列举”的表达方式,对具体的工作起到了很好的指导作用。然而,法律是抽象和具体的统一体,即要有普适性,又能为具体的行为提供准确、无歧义的指引。从草拟法律条文的角度来看,个人身份信息、个人财产信息、个人账户信息等分类项目已经包含了紧跟其后的举例项目。同时,将具体的项目罗列出来难以囊括全部的个人金融信息,这就有可能造成某些新类型的个人金融信息得不到应有的保障。例如,银行卡内嵌的磁道信息和银行卡账号是直接联系的,磁道信息和密码一起构成了打开账户交易大门的“钥匙”。银行卡的磁道信息虽然不为客户个人所知晓,但这些信息与个人紧密联系,一旦泄露,会直接造成了个人的财产损失。然而,这类信息却没有出现在《个人金融信息保护通知》的列举事项之中。所以,在法律规定中,个人金融信息的概念外延应当采用“个人的身份信息、财产信息、账户信息、金融交易信息等银行在与个人建立业务关系过程中获取、保存的个人信息,以及对个人的消费习惯、投资意愿等原始信息进行处理、分析所形成的反映特定个人某些情况的信息”。
  (二)个人金融信息的保护模式
  个人信息资料与个人隐私有非常密切的联系,一方面个人信息资料往往具有私密性,另一方面,侵害个人信息资料的行为一般表现为非法披露个人信息资料。国内学者一般认为,个人信息资料的保护可以纳入隐私权的范畴。同时,不少国家也是将个人信息资料按照个人隐私来对待,如美国和德国等。然而,保护隐私权的主旨在于保护权利人免受外界的非法干扰,维护个人私密的空间,具有一定的被动性。个人对个人信息资料除了不应被他人非法披露之外,还包括对个人信息资料的控制权,如权利人有权纠正已公开或者由他人占有的个人信息资料,以及有权拒绝他人超出原定目的使用个人信息资料。同时,个人信息资料也不仅仅是私密的信息,部分个人信息资料因为涉及公共利益必须在一定范围内公开,例如个人的姓名、性别、公民身份号码等信息。对于已经公开的信息,权利人也享有控制权,也属于个人信息资料的权利内容。对于侵害个人信息资料的救济,除了精神损害赔偿之外,还应当包含财产损失赔偿。可见,虽然隐私权和个人信息资料具有交叉关系,但是对个人信息资料的保护无论是从权利内容上还是从救济途径上都宽于隐私权。因此,个人信息资料应当作为一项独立的权利加以保护,其救济方式可以参照《侵权责任法》的规定。
  个人金融信息与一般的个人信息资料类似,个人金融信息同样不能单纯按隐私权来保护。个人金融信息与一般的个人信息资料相比,其与个人财产安全的联系更加紧密。对个人金融信息的侵害更容易造成个人的财产损失。而且,银行获取个人信息的范围非常广,远远超出其他企业所获取的个人信息范围。所以,银行个人金融信息应该在保护个人信息资料的基础上,谋求更多的法律保护。例如,为了体现个人对个人金融信息的控制权,对于银行逾期不修改错误的个人金融信息的,个人可以要求银行承担精神和财产损失。
  四、银行个人金融信息的保护措施
  (一)制定专门法规,为保护个人金融信息提供法律依据
  目前,个人信息保护只存在于各行各业的内部规范之中,但是,制定规则的主体往往是交易的优势方,这必然会出现不公平的情况。而且,个人信息资料的保护和控制权限的界定往往是通过商业合同来确定的。由于没有上升到法律层面,个人信息资料往往得不到很好的保护。因此,通过法律的形式保护个人信息资料具有相当的现实意义。目前,我国的《个人信息保护法》已在起草阶段,而我国的行业执法权比较分散,立法者需要协调各个部门之间的意见,该法律的出台仍没有具体的时间表。然而,个人信息资料侵权问题已经成为一个社会问题,随着人们权利意识的逐渐增强,社会问题必然会演化为法律问题。面对即将到来的执法、司法难题,《个人信息保护法》应当尽早制定。
  相比而言,银行个人金融信息保护问题尤为突出,一方面是因为银行业竞争越来越激烈,银行需要积极营销方能占据市场地位,另一方面,随着科技的进步和经济的繁荣,银行的发展成本也逐渐增加,银行没有很好地权衡利润和再生产的关系,使得安全问题频发。为此,银行的个人金融信息保护工作走在了前列。金融业,特别是银行业,在国民经济中占据了独特的地位,其在交易中优势地位更加明显。在《个人信息保护法》的基础上再制定专门保护个人金融信息的规则是很有必要的。其中,首先要明确个人金融信息的定义,明确银行收集个人金融信息的目的和范围;其次,规定银行保护、使用个人金融信息的法定义务,即要求银行必须按照法定的方式、途径收集、保存和使用个人金融信息,并履行一定的告知义务;再次就是侵害个人金融信息的认定办法和救济途径。
  个人金融信息保护的规则应当纳入《个人信息保护法》中,作为该部法律的一个章节,即《个人信息保护法》采用“总则与分则”的行文模式,先制定个人信息保护的一般规则,然后根据行政机构、事业单位和企业等顺序,分别规定不同主体、不同行业的个人信息保护规则。对于具有特殊性的行业,例如金融业、通讯业等,可以专门制定一个章节。
  (二)建立个人金融信息的维权机构,减少个人的维权成本
  在银行业个人金融信息的维权行动中,个人往往需要面对两个问题,一是维权成本,二是证据的获取。因此,个人维护个人金融信息安全困难重重。德国著名法学家耶林在《为权利而斗争》一书中说,“为权利而斗争,是对个人、社会和国家的义务”。个人权利的普遍缺失,应当成为社会共同应对的问题。对于个人金融信息的保护问题,以及金融消费者保护问题,应当建立专门的金融消费者权益保护机构。传统的消费者协会,限于专业知识的缺乏,难以胜任金融消费者的保护工作。而单独将银行业划出来,成立专门的银行业消费者权益保护机构又会面临机构过小而丧失生命力。金融业存在互通性,而且目前存在众多金融产品集中销售的情况,金融业应当作为一个整体建立专门的金融消费者权益保护机构。目前金融业面临着央行、证监会、银监会、保监会多个监管机构分业管理的局面,在金融消费者权益的保护问题上,特别是跨行业的问题,难以形成合力。如果能建立一个金融消费者权益保护机构,将能起到引导金融消费者维权、与各个部门的协调作用,更好地维护金融消费者权益,促进金融市场的健康发展。就目前情况下,金融消费者权利保护机构应该设置在央行之下,由央行主办成立。
  对于银行个人金融信息保护问题,以及其他金融消费者的权利保护问题,如何收集证据是权利人难以回避的难题。在此类纠纷中,不宜适用举证倒置的规则,即不应当由银行承担不存在侵权行为的举证责任。首先,举证倒置会促使银行更加谨慎的保留业务操作的相关资料,增加银行的运行成本,不利于国民经济的快速发展。其次,举证倒置促使诉讼激增,不但银行无法应对,就连司法机关也难以承担如此大的工作量。再次,消费者可以通过央行、银监会和司法机关等机构获取与银行的相关证据,如向公安机关报案,可以申请公安机关调取银行留存的文档和视频资料。所以,个人金融信息纠纷不宜适用举证倒置规则具有一定的现实意义。但是,这样就会造成个人获取证据的成本过大,很多人会因受侵害的权益普遍不大而主动放弃了维权的机会。在这种情况下,建立一个专门的维护金融消费者权益机构是相当必要的,它既可以引导个人获取证据,提供法律咨询,也可以组织集体诉讼,降低个人的维权成本,促使银行业重视所存在的问题,同时还能协调各个部门,减少行业冲突。
  (三)完善商业银行法律制度,建立完善的监管体制
  央行和银监会应当督促银行建立个人金融信息查询、修改和使用的登记、审批制度,对于超出个人所申请办理的业务范围的查询、修改和使用个人金融信息的应当做好登记和审批工作,审批程序应当足以达到对非法查询、修改和使用个人金融信息的行为进行监管的目的。对于没有登记和审批的查询、修改和使用个人金融信息的行为,并且超出个人所申请办理的义务范围,应当由银行承担相应的行政和民事责任。
  对于个人金融信息的修改问题,央行应当修改《征信办法》,明确征信异议申请流转的具体程序、时间限制和责任分担等问题。对违规操作的人员给予相应的纪律处分,对造成损失的,应当赔偿。对银行违规登记个人金融信息,或者不按时删除、更新个人金融信息的,银行承担相应的行政责任和民事责任。
  银行还应当投入适当的经费,维护、升级银行风险防控系统,防止个人金融信息被他人盗取。对于银行委托外包服务商,银行除了与外包服务商签订保密协议外,还应当尽到最谨慎的监管义务,保证个人金融信息不被非法转存、查询、修改和使用。
41443