互联网金融中金融消费者个人信息安全保护问题研究

上海法治报 2019年01月07日

  【内容摘要】在互联网金融的环境下,金融消费者的个人信息更易受到泄露,而主要原因包括互联网本身的威胁、用户自身的安全威胁、网络平台可用性威胁。目前立法、行政、司法机关都缺乏对金融消费者个人信息的保护机制。我国应当完善互联网信息保护技术,加快金融消费者个人信息保护的立法进程,同时建立公益诉讼保护机制等方式加以救济。

【关键词】互联网金融  金融消费者  信息安全

□刘迎迎

一、互联网个人信息泄露现状及要素分析

据《2016中国网民权益保护调查报告》显示,从2015年下半年到2018年上半年,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。9%的网民近一年来由于各类权益侵害造成的经济损失在1000元以上;每个网民平均时间损失3.6小时。而造成互联网金融消费者信息泄露的因素主要是三个方面。一是来自互联网体系本身的威胁,互联网体系的复杂行为为恶意行为提供了滋生的温床,对于互联网金融的信息安全风险控制而言,面临的挑战包括恶意程序、钓鱼网站、恶意手机APP等。二是用户隐私的安全性威胁,通过数据挖掘和数据分析非法获得个人和企业信息,目前用户隐私面临的威胁包括拖库攻击、工作人员泄密、APT攻击等。三是网络平台的可用性威胁,主要是金融平台自身的故障和来自网络的拒绝服务攻击(DoS攻击)。

二、互联网金融消费者个人信息安全保护存在的问题

(一)缺乏系统的法律规范

我国目前没有成文的《金融消费者保护法》,只有法律条款散见于其他金融法领域中,如《证券法》、《保险法》等,且只有“公平、公正”的原则规定,缺乏实际可操作性;另外行政部门出台的有关规章,如2011年央行颁布的《关于银行业金融机构做好个人金融信息保护工作的通知》和2015年国务院出台的《国务院办公厅关于加强金融消费者权益保护工作的指导意见》都缺乏金融消费者个人信息安全权保护的具体规定;由于“金融消费者”与生活消费者概念相去甚远,《消费者权益保护法》不宜适用于对金融消费者的保护。因此,我国对金融消费者个人信息的保护仍存在法律空白,亟需出台金融消费者个人信息保护的专项立法。

(二)金融机构自我管理的缺位

关于金融机构对用户信息的保密义务散见于《商业银行法》、《侵权责任法》和《刑法》的相关法律条文中,但是条款规定都呈现相对比较原则性的特点,没有具体的保密义务,并且除了《刑法》,其他都缺乏违反保密义务的具体惩罚措施。央行2011年和2012年分别发布的《个人金融信息保护工作通知》和《金融机构进一步做好客户个人金融信息保护工作的通知》也都缺乏具体的保密实施措施。具体义务和惩罚措施的缺失,导致金融机构在面对频发的信息泄露事件时,采取责任推诿的态度。

(三)行政机关或其他组织有效监管的缺失

中国银监会下设的金融消费者保护局缺乏具体的行动规章,并且依照的职责规定偏原则性,无法发挥监管作用。大部分金融消费者在信息安全权受损时会向银监会投诉,但是因缺乏确切的银行等金融机构信息泄露的有效证据,导致大部分投诉案件最终不了了之。消费者协会对金融消费者的投诉以其不属于《消保法》规定的消费者进行推诿,拒绝处理。因此,无论是银监会这样的机关还是消协这样的组织都无法对金融机构泄露用户信息问题进行有效地监督。

(四)司法维权的规则障碍

在通过诉讼途径进行维权时,金融消费者面临两个司法体系的规则障碍。一是在当前的金融消费者案件中,仍然适用谁主张、谁举证的一般规定。然而在金融经营者对金融规则和系统信息掌握和控制的局势下,金融消费者的举证之路十分艰难。二是诉讼成本,对于大部分金融消费者而言,通过诉讼维权获得的收益小于因此付出的诉讼成本时,会选择放弃诉讼维权的方式。

三、保护金融消费者信息安全权的路径与对策

(一)树立大数据理念

我国互联网金融机构应当树立大数据的概念,在战略层面对包括金融隐私在内的金融数据进行规划,建立数据驱动型发展方式;建立适应时代要求的IT基础架构,保证基础设施的可控性、安全性,优化服务器、存储和网络资源,从制度和技术层面保证互联网金融消费者个人信息安全权的实现。

(二)逐步建立并完善金融信息法律体系

首先完善部门规章为主体的金融隐私保护制度体系。考虑立法程序复杂和时间成本等问题,应强化监管部门行政管理权,出台并实施保护金融消费者信息安全权的部门规章和规范性文件。其次加快专门立法进程,制定《互联网金融消费者个人信息安全保护法》。立法应当从金融机构应当承担的义务和金融消费者享受的权利及侵权救济手段等方面进行规定。最后是借鉴国外立法经验,制定适合我国国情的《金融隐私权法》,细化隐私权的内容、明确对隐私信息的保护和隐私权的侵权责任,保障隐私权人的救济权。

(三)提高对个人信息安全风险的防范能力

一是建立网络隐私认证计划。建议法律赋予中国金融认证中心(CFCA)一定的监管职能,要求获得CFCA认证的互联网金融机构必须接受CFCA的监管。二是加强互联网金融机构的内控体系建设。在对互联网金融交易进行全方位实时监测和分析的同时,监管部门应当制定包括确定数据类别、定义监控指标、划分统计范围等监控标准。三是加大对互联网金融消费者风险防范意识宣传力度,养成良好的网络使用习惯,在使用互联网金融服务时,注重保护个人隐私。

(四)确立公益诉讼制度

金融机构系统出现漏洞,不仅仅是损害个别人的利益,还极有可能危害到社会公益,因此可以由金融消费者保护局以及金融消费者保护协会作为原告提起公益诉讼以达到维护不特定多数金融消费者合法权益的目的。

SourcePh" style="display:none">