魏炳华
(中国人民银行朔州市中心支行,山西 朔州 036002)
一、我国个人金融信息保护现状
(一)我国个人金融信息保护立法现状
目前,在我国还没有发布特定的法律条文以保护个人的金融信息,相关规定散见于各项有关法律、法规、行政规章和规范性文件当中,如相关法律有《民法典》《商业银行法》《证券法》《保险法》《反洗钱法》《刑法》《中华人民共和国网络安全法》《消费者权益保护法》;行政规章有《征信业管理条例》《个人信用信息基础信息库管理暂行办法》《中国人民银行金融消费者权益保护实施办法》;规范性文件有2015年国务院办公厅印发的《关于加强金融消费者权益保护工作的指导意见》、2013年原银监会印发的《银行业消费者权益保护工作指引》、2017年原银监会印发的《网络借贷资金存管业务指引》等。这些法律法规文件从不同层面规定了对金融消费者个人信息保护的要求,但不能满足系统法律的要求。
(二)我国个人金融信息保护技术规范
2020年2月,人总行正式发布《个人金融信息保护技术规范》(以下简称《规范》)金融行业标准,该标准对个人金融信息的收集、存储、使用、传播、删除、销毁等环节,从安全技术和安全管理两个方面出发,提出规范性要求。按信息的敏感程度进行划分,个人金融信息可以分为C3、C2、C1三类。其中,C3为用户鉴别信息,敏感度、要求最高,在对C3类信息进行未经授权查看或变更的操作下,会使得个人金融信息主体的财产与信息安全产生严重威胁;C2信息的作用为对特定个人金融信息主体身份与金融状况进行识别,敏感度居中,在对C2类信息进行未经授权的操作下,会使得个人金融信息主体的财产与信息安全产生一定的威胁;C1为可识别特定个人金融信息主体身份与金融状况的个人金融信息,敏感度最低,当C1类信息遭到未经授权的查看或变更时,会对个人金融信息主体的信息安全与财产安全造成一定危害。该《规范》的出台加强了个人金融信息安全管理,保障了个人金融信息主体合法权益,维护了金融市场稳定。
(三)我国个人金融信息保护不足之处
我国个人金融信息保护不论是相关法律法规,还是技术规范,基本是从信息控制者方面进行约束、规范、处罚,而对个人金融信息主体(个人金融信息所标识的自然人)所享有对个人金融信息控制的权利,如信息可携权、信息遗忘权、信息访问权等权利很少有相关规定或标准,存在不足。
二、信息可携权概念
2012年,欧盟委员会信息保护改革草案中提出信息可携权,并于2016年4月通过的《一般数据保护条例》 (GDPR)中予以确定。GDPR中信息可携权是欧盟数据保护改革中的重点之一,规定信息主体有权获得其提供给控制者的相关个人信息,且其获得个人信息应当是经过整理的、普遍使用的和机器可读的,信息主体有权无障碍地将此类信息从其提供给的控制者传输给另一个控制者。
三、信息可携权内容
(一)信息可携权主体
信息可携权的权利主体只有自然人,不包含法人及其他组织。GDPR自然人定义为:已被识别的自然人,或者可通过定位信息、姓名、身份证号、网络标记以及特定的身体、基因、心理、经济、文化等识别符进行直接或间接识别的自然人。义务主体指信息控制者。信息控制者即单独或者与他人共同确定个人信息处理目的和方式的自然人、公共权力机关、代理机构等。
(二)信息可携权的客体
信息可携权的客体代表信息主体提供的个人信息。GDPR第三条定义说明“定位信息、身份证、网络标记以及身体、心理、经济、文化、社会身份、精神状态等特征”从属个人信息。根据 GDPR第20条规定,包含在信息可携权范围内的信息需要满足双重条件:首先信息主体提供的;其次与信息主体有关的。下面两种可以被认为是“由信息主体提供”:一是信息主体主动供给的信息,例如通讯单位、地址、账号、年龄等;二是信息主体基于因特网服务或在线设备使用时生成的观测信息,例如,关于信息主体的网页浏览记录、个人的上网本地终端缓存 cookies、远程服务器上的网络交通信息、服务日志信息、位置信息或其他原始信息。
(三)信息可携权的特征
GDPR第20条进行了相应规定:信息可携权的特征主要包括两方面,一是副本获取权的权利特征,二是信息转移权的权利特征,从而形成双重权利特征。
1.副本获取权
副本获取权代表信息主体接收的有关其个人信息的子集并将这些信息储存以供其进一步利用的权利。这里的储存代表信息主体可以将信息存储在私有设备或私有云上,而无需将信息传输到另一个信息控制者。但前提技术条件是这些信息应以通用化、可读格式接收。信息可携权为信息主体管理与再利用自身个人信息提供了更便利的途径,这也是其特点之一。根据GDPR第13条第2款b项的规定,信息控制者在获得个人信息的同时,必须告知信息主体新的信息可携权的存在。根据GDPR第14条第2款c项,当信息控制者不是从信息主体处获得个人信息时,则信息控制者必须在获得个人信息的合理期间内(不超一个月)告知信息主体其享有信息可携权,同时此处的合理期间最晚不能超过向第三方披露这些个人信息或与信息主体通信的时间。
2.信息转移权
信息转移权指信息主体能够不受限制地把个人信息从一方信息控制者处传输到另一方信息控制主体处的权利,且该情形下一些可行的技术条件应当被提供用于支持。所以,为了能使用户无缝地实现平台间信息传输,GDPR 鼓励信息控制者开发与创造信息可携权的可互操作的格式,禁止信息控制者对信息传输设置壁垒。传输信息的格式是信息控制者需要特别关注的地方,这可以保证信息主体或其他信息控制者能够便捷地实现信息再利用。信息可携权在这一层次的内涵使得信息主体不仅能够获取并多次利用其信息,还能将其信息传输给其他服务的提供者,这些提供者可处于同一服务提供商的部门或者不同跨提供商内部。信息可携权有助于推动个人信息在金融与数字信息服务之间进行传输与多次利用,以推动组织与组织间个人金融信息的有限共享与控制,在保障安全的前提下增值服务、提升客户的体验感。
(四)信息可携权限制
GDPR第20条规定了信息可携权行使的前提条件:一是必须在“信息主体同意”的基础上,或者是 “履行合同所必需”而处理的个人信息,这一点再第六条或第九条中有所体现;二是个人信息的处置要求是通过计算机自动化手段所进行的。数据保护条例的第六条也提出了合法进行个人信息处理的六项基础,包括为履行法定义务、为保护公共利益等进行信息处理。第九条第二款第一项阐明,在信息主体给予授权的前提下,信息控制者方有权利进行关于反映民族起源、宗教信仰、生物特征信息、基因信息、性取向等敏感信息的处理。从而,在适用的领域上,行使信息可携权,需要是在“信息主体本人同意”或者“为履行合同所必需”的前提下,对个人信息进行处理,不包括第六条中的合法进行个人信息处理六项基础。在信息处理的方式上,只针对通过自动化方式处置的信息,而不包括人工处理的信息。
(五)信息可携权产生的影响
1.对信息主体的影响
数据保护条例第20条提出,信息可携权的主体为所有基于自动化手段处理个人信息的信息控制者。比如对于云存储服务的使用者所上传的资料,通过行使信息可携权,服务使用者可以将其信息资料无缝移动到竞争的云存储服务,而无需先将这些资料下载到本地设备,而后再上传至新的云服务,这无疑极大地方便了信息主体对其信息的控制,同时信息控制者与个人间的关系也将被改变。通过诸如直接下载工具等媒介,个人能够实现信息的跨平台管理。
2.对信息控制者的影响
行使信息可携权,就要求信息控制者构建 “导出——导入”系统,使得来自信息主体或其他信息控制者的信息能够被轻松“导入”,同时能把自身处理的信息“导出”到其他服务或设施。这种“导出——导入” 的过程既可以通过手动的方式实现,也可以基于自动化方式实现,从而以某种手段处理信息主体的信息可携权请求。另外,遵守信息可携权的在线请求可能会提升计算的时间复杂度,并且将提高系统的建设运营成本,从而给信息控制者带来一定的成本提升。同时,信息可携权使得信息主体与信息控制者之间的关系发生变化,因此其还可能促进信息控制者之间产生竞争。例如用户广泛使用的平台会接收所有个人信息。而根据要求,其他服务提供商有义务将信息传输给竞争对手,并可以要求竞争者将收集的个人信息进行删除,从而加剧信息控制者间竞争。
四、信息可携权对我国个人金融信息保护立法启示
(一)我国关于“信息可携权”探索实践
2017年3月,全国人大代表、全国人大常委等在两会提交《关于制定〈中华人民共和国个人信息保护法〉的议案》和《中华人民共和国个人信息保护法(草案) 》。其中第二章给出了完整的个人信息保护权力办法,其中第十六条则是关于信息可携权的规定,规定具体与 GDPR 信息可携权的内容基本一致。草案中只对信息可携权进行了简单介绍,并没有规定权利实施的主客体与内容,但这已经是我国在个人信息保护权利立法方面的重要举措。2018年5月1日生效的国家标准《信息技术安全 个人信息安全规范》中虽未使用信息可携权的概念,但7.9 条中有“个人信息主体获取个人信息副本”的规定。2020年5月召开第十三届全国人大次会议,审议通过了中国首部《民法典》,其中第四编“人格权”中第六章“隐私权和个人信息保护”中规定“自然人可以依法向信息处理者依法查阅或者复制个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施……”《民法典》这一编中并未提及个人信息可携权,但在将来的司法解释对“复制个人信息”这一点可以就复制个人信息的范围,手段、途径,复制个人信息是否与获取个人信息副本相通,再如个人信息主体通过网络手段复制个人信息后能否转移给另一个信息控制者做出解释。
(二)个人金融信息保护立法引入“信息可携权”应符合国情
央行于2020年11月1日出台实施的《中国人民银行金融消费者权益保护实施办法》未对金融信息可携权做出规定。将信息从一个控制者完全删除并转移到另一个控制者,对技术标准的要求较高,尤其是当两个控制者所属不同国家时更是如此。信息可携权的权利要求信息控制者能够提供并转移其管理的个人信息,对于中小企业(如城商行、村镇银行)而言,这将是一笔庞大的开支。从而,对于中国的金融信息开展的保护立法工作,直接照搬欧盟的条文是行不通的,而应对国外的经验进行转化与重构,从我国现实情况出发,合理适当地引入欧盟的信息可携权。
