权洪森
摘 要:科技的进步带动了网络的飞速发展,而网络的普遍性、高效性以及大众物质生活水平的提高与精神需求的提升,使得网络与金融逐渐融合,使得网络金融类应用与产品应运而生。由于网络终端对用户注册信息的收集并没有建立在良好的数据信息保护和安全技术标准之上,互联网的无形性及虚拟性对金融隐私权的保护形成冲击,加之现有的立法及相关制度缺失、监管及自治规章不完善、客户防范意识低下等问题,传统的隐私权保护制度已不足以应对虚拟环境下的金融隐私权保护。在借鉴域外网络金融隐私权保护制度的基础上,从系统立法、市场监管、行业自律、防范意识等多个方面为我国建立网络金融隐私权保护制度提供可行性建议。
关键词:网络金融隐私权;多元化保护;选择机制;最低安全技术标准
DOI:10.3969/j.issn.1003-9031.2018.05.07
中图分类号:D912.28 文献标识码:A 文章编号:1003-9031(2018)05-0053-09
科技水平的提高,直接带动了互联网行业的高速发展。与此同时,由于生活水平的提高,人们表现出的对物质追求和精神需求的渴望,使得一些行业抓住了契机,将网络的高效便捷与金融交易融合,创造出大量网络金融类应用,诸如余额宝、支付宝等金融软件,逐渐根植到广大用户手机及电脑之中。随着网络支付模式及电子金融产品、理财产品,已经成为一种普遍社会现象,在用户深切体会到网络交易方便快捷的同时,也滋生了金融隐私权被侵害的危险,网络环境下金融隐私权保护提上议事日程。
一、网络环境下金融活动现状
随着市场经济的发展以及互联网行业的推动,为了满足用户需求、顺应时代发展并促进机构收益,各大实体机构结合自身产品的特性纷纷通过网络虚拟系统来创新网络金融产品,实现新型互联网与传统金融逐渐融合发展。不可否认,互联网的急速发展推动了我国相关金融领域的发展,为传统金融机构扩大了交易产品和范围。
2015—2017年的CNNIC互联网统计报告显示,手机支付用户规模及互联网理财网民规模呈逐年增加趋势,中国互联网行业整体呈现出普及化、规模化发展。手机、电脑等电子产品,在与互联网结合后,实现了互联网金融消费模式多样化、灵活化和智能化。同时,各大金融机构通过将金融产品与互联网行业结合,使得用户足不出户便可通过网络购买金融产品、开展网上支付活动等。可见,移动互联网的高效性、及时性与便捷性在满足客户物质与精神需求的同时,直接推动了金融机构的业务能力提升,促进了金融交易市场的发展。在网络技术日益发达的今天,网络金融交易市场相比于实体金融机构市场而言具有更强的活力。
在网络与经济相互融合且高速运转的运行模式中,网络用户往往根据自身需求及条件通过不同途径开展多样化的金融活动。2017年6月,在对北京市范围内人员进行的问卷调查中,共发出221份问卷,其中收集有效问卷221份。调查报告显示,有76.92%的人平时常通过手机开展网络金融活动,66.06%的人使用Wi-Fi实施网络活动。表2中主要有三类网络金融活动参与人数较多,89.59%通过微信、支付宝等进行网络支付、73.3%通过淘宝、天猫、京东等实施网络购物、34.84%通过手机银行购买金融产品或存取款等。可见诸多金融类APP及网络金融门户已经悄无声息的进入我们的生活,根植于手机、电脑等多种电子产品中。
二、网络环境下金融隐私权保护存在的问题
网络环境下的信息泄露,既包括用户个人身份信息的泄露,也包括交易明细等金融信息的泄露。如图1显示,31.22%曾遭遇过金融数据及身份信息的泄露;14.48%曾遭遇手机、电脑木马等病毒;14.03%曾遭受账号或密码被盗等情况。可见,在网络金融活动逐渐成为流行趋势之时,也逐渐暴露出信息及数据泄露的问题。
(一)法律缺位与制度不健全
金融行业与互联网的结合,使得金融隐私权的保护延展至高科技界域。我国目前关于虚拟环境中金融隐私权的保护,尚没有一部单独立法来规制侵权行为,只有些许对传统隐私权保护的立法散落于《侵权责任法》《消费者权益保护法》等部门法中。零星的法律文件规定的保护途径较为原则和模糊,相关配套制度、自律制度规定的较为笼统和框架,很难对网络虚拟环境采取必要的限制措施。传统隐私权保护的手段和方法在面对庞大的网络数据之时,似乎也显得无可奈何,更无法满足虚拟环境下的金融隐私权保护的需要。
(二)网络平台技术发展缓慢,缺乏安全管理系统
用户在利用网络进行电子支付、存取货币或者购买产品等情形下,个人的金融信息已经悄无声息的遗留在网络系统之中。然而我国目前的网络平台技术尚未跟上网络金融活动发展的步伐,数据的传输过程缺乏保障,网络技术尚不完备,防范措施亦不健全,存在严重技术漏洞,缺乏安全管理系统。一旦恶意的第三人通过木马病毒、钓鱼网站等违法方式进入后台窃取网络用户金融数据,形成网络金融隐私权新风险,就会导致大批用户遭受巨额财产损失等情况发生。如大麦网由于漏洞问题致使黑客窃取600余万用户账户密码进行售卖与传播,导致多人遭受损失;支付宝存在漏洞,泄露用户交易信息;携程技术漏洞导致用户个人信息、银行卡信息泄露等事件。
(三)网络用户防范意识薄弱
当前我国网络用户通过手机等电子工具进行电子支付、购买理财产品后,因数据泄露而导致的财产损失屡见不鲜。究其根本原因在于客户对于信息安全保护的风险防范意识过于薄弱,用户在签订电子协议时,并不仔细阅读甚至不阅读相关条款,如网站的“隐私政策”等,便予以勾画;更有甚者在公共场所输入密码、随便连接免费Wi-Fi等导致密码泄露而遭受损失。
(四)金融隐私与信息利用的利益冲突
金融类应用及网络门户的普及,节省了用户到实体机构的时间与路程,大量的网络金融活动逐渐盛行,从而推动了各类金融行业的快速发展。但诸多机构为了维护自身利益、提高业务水平而利用网络用户的信息,在未经用户同意的前提下,将后台收集的用户数据进行加工、利用和共享。从调研报告中可以看出,只有17.19%的用户允许机构间为业务需要而共享自己的数据信息,而大部分用户则很难接受机构间为了提升业务水平而使用自己的金融数据这一行为。认为这种行为更多的侵犯了自身的隐私权。在网络金融活动愈发盛行的今天,金融隐私保护与机构间信息使用发生矛盾冲突,如何平衡好二者间的利益关系,是解决网络金融隐私权泄露危机的重要一环。
三、网络金融隐私权多元化保护的必要性
伴随互联网技术的飞速发展,传统的隐私权概念不再能够囊括网络环境下新型的金融隐私权类型,其保护方式不能满足网络金融隐私权的差异化需求。随着网络的普及,诸多实体机构抓住契机,将自身产品与互联网结合形成虚拟市场,电子软件根植于网民手机中,使得金融隐私权的保护问题进入到一个全新的时代。在网络技术日益发达的今天,网络金融交易市场相比于实体金融机构市场而言具有更强的活力,需要更加严格的制度加以规制。
金融隐私权不同于一般的隐私权,其范围更加宽泛,不仅包括客户的个人身份信息,还囊括账户安全及交易状况等金融数据,兼具人身性与财产性。金融机构掌握着客户的诸多数据资料,一旦泄露,影响的将不仅仅是客户的信誉,还包括金钱等财产损失。由于虚拟环境下的交易活动无法接触到实体机构,从而加大了信息泄露的风险,亦无法获取单据凭证,且在金融隐私权遭受侵害后亦难以维权。因此,用户利用网络进行消费时所涉及的信息越多,其引发的信息泄露的风险将越大。
(一)网络金融隐私权多元化保护是维护人格尊严的必然要求
图2-3显示,14.03%的人表示网络金融隐私权的侵害曾使其遭受了名誉损失;37.1%的人遭受了精神损害,33.94%的人认为在遭受网络金融隐私权侵害后严重影响生活安宁,55.2%的人认为生活会受到一定影响。由于网络的普及化、虚拟化、开放性以及交互性,使得一些机构或恶意第三人为了谋求自身利益而通过售卖、泄露、窃取、病毒等方式获得用户的个人身份信息,加以利用、冒用从而间接获取利益,导致用户名誉受损。可见,侵害网络金融隐私权的行为已经严重影响到用户的生活安宁。亟需完善相关制度,保护权利人的合法权益,维护网络用户的人格尊严。
(二)网络金融隐私权多元化保护是保持财产安全的客观需要
相比于名誉受损以及精神损害而言,因金融隐私权被侵害而导致财产损失的情况则显得更为普遍。在所调研的221人中,有33.48%的人曾遭遇过财产损失。由于网络环境的高效性,一旦客户的金融信息通过网络途径泄露,相关交易信息、账号密码等就会以惊人的速度传播,最终在短时间内就可以造成用户的大量财产损失。相对于用户个人身份信息而言,网络环境中的金融隐私权已不仅仅局限于对人格权的侵犯,更多的是为了谋求一己私利而侵害用户的财产权利。网络环境恰好为金融信息的泄露提供了便捷的路径,加快了信息泄露的速度。因此,对网络金融隐私权进行多元化保护是保护用户私有财产的客观需要。
(三)网络金融隐私权多元化保护是顺应网络发展的现实要求
科学技术带动网络发展,却使金融数据在网络环境下更容易受到威胁。大数据时代的降临,使得金融隐私权被侵害的手段更加多样,后果更加严重;虚拟化的网络空间,使得网络用户难以确定责任主体。诸多网络用户在遭受侵害后表示难以寻求侵权者维权。在众多的维权途径中,有37.1%的网络用户表示未选择法律途径维权是由于责任主体不明确。可见,网络金融隐私权现有的保护途径并没有跟上高速发展的网络的步伐。这示意我们对网络金融隐私权进行多元化保护是顺应网络发展变革的现实要求。
因此,在网络金融呈脱缰野马式增长的同时,我们要辩证的看待网络金融的发展趋势,其中潜藏着诸多客户隐私权被泄露的隐患。我们不仅应当看到互联网运行模式给金融领域带来的交易风险以及信息泄露风险,更应当意识到保护网络金融隐私权的紧迫性与必要性。
四、保护网络金融隐私权立法回应
由上述的问卷分析来看,网络环境中的金融数据泄露主要是由客观因素与主观因素共同结合所导致的。前者指黑客攻击、木马病毒、钓鱼网站等第三方恶意行为;后者指机构内部安全管理系统的缺失、自治规章及监管模式的不完备、法律制度的缺失以及用户个人防范意识低下等主要诱因。为避免网络金融市场陷入混乱,保护客户数据信息安全,需要建立系统的网络金融隐私权保护制度。针对我国目前网络金融市场运行情况,急需修改并制定适宜网络环境下规制金融活动的制度,完善网络环境下的机构自治、互联网金融运行体制和监管模式,并给予立法回应。
(一)借鉴域外立法完善立法及模式选择
1.制定系统化《网络金融隐私权保护法》
我国目前并没有针对网络金融隐私权保护的独立系统化立法,在此方面可以借鉴域外相关立法制定并出台适合我国国情与网络虚拟环境下的金融隐私权保护立法。欧盟采用统一立法的模式来保护网络隐私权,使之可以在一定程度上削弱网络虚拟环境下的繁乱状态。美国GLB法案在面对未经客户授权即访问客户数据信息的情形,以立法的形式规定了四种保护机制,即数据加密机制、身份验证机制、背景调查机制以及信息安全监控和测试协议系统以此来确保客户记录和信息的安全性和保密性。日本《个人信息保护法》以五项原则来确定保护网络隐私权的立法。可见,域外大多数国家制定了单独保护金融隐私权的立法,从金融数据的收集、维护到使用等均规定了严格的程序与途径。我国可以借鉴域外立法,将域外保护金融隐私权的相关法律制度借鉴并转移至金融隐私权保护之中,对于用户数据的搜集、使用、维护以及访问用户数据信息的前提及过程等进行系统化单独立法,以法律来规制侵权行为,巩固网络立法来规范我国网络空间有关活动的运行。以法律形式强制要求网络平台建立后台数据加密措施,在使用数据之前进行必要的身份验证与背景调查,对数据的记录、传输、维护与使用实行全程监控管理。在虚拟环境中,建立独立的数据保护机构确保相关法律有效的实施,为维护网络运行环境提供理论支撑。同时,大数据、云存储以及互联网的高度融合,对网络数据安全技术提出了更高的要求,因而有关部门需要强化并开发网络平台技术以维护网络运行环境,从而防止高危病毒等恶意行为突破网络技术,致使金融数据泄露而遭受损失。
目前我国网络平台的技术安全标准亟待完善,明确金融数据传输的保密性,在充分利用现有技术的基础上开发新型网络技术,加强网络平台保护金融数据的措施。国家应当在相关主体不违反强制性法律规定的情形下支持其开发并加强拦截软件、反钓鱼软件等防御软件和技术手段,并广泛应用于各大网络门户。加强网络数据安全技术的开发和利用,明确用户在通过网络开展金融活动时数据录入、传输、存储等的最低安全技术标准。以此来规范有关机构通过网络虚拟环境从事金融活动的行为,及时屏蔽并拦截黑客操纵、木马病毒以及钓鱼网站等恶意行为。网络技术平台应及时根据技术标准强化已有技术,并跟随网络环境的发展开发新型技术,在网络终端对类似病毒进行拦截,以此来防止用户金融数据泄露所导致的大面积财产损失。
2.寻求适宜虚拟环境下的信息使用模式
欧盟《关于个人资料处理及自由流通个人保护指令》中采用了opt-in模式,规定只有在获得用户同意的情形下才可以将所掌握的数据信息出售或者与其他机构共享。《联邦金融消费者信息管理法》亦规定了涉及到用户的信用报告或者申请信息等重要信息的,应当经用户同意后方可与其他机构共享。美国则主要采用opt-out模式,规定一般情况下只要消费者不拒绝则机构之间就可以共享信息,同时赋予消费者在金融机构满足隐私声明要求的情形下,仍可不需要通知金融机构就选择退出的权利,即否决权。我国台湾地区以“个人资料保护法”规范规定,使用、处理用户数据必须征得其同意,且只可在用户同意的范围内进行数据信息的管理。两种模式选择体现了不同国家的国情。在我国人口众多,网络环境纷繁复杂的情况下,更适宜借鉴欧盟的opt-in模式。同时,为了保护虚拟环境中无法接触到实体机构,且处于弱势的网络用户。对于美国所赋予用户的选择退出权亦可以援用至此,以此来平衡网络用户与金融机构间的“非对称”关系。
(二)确立金融数据监管制度多维度作用
欧盟《个人数据保护与流通指令》规定了对于收集、使用用户数据的主体,应当提前向监管机构登记备案,进行实质与形式的综合审查。为防止有关机构为谋取利益而滥用收集到的用户金融数据,加之网络遍布的范围较广,我国应当参考欧盟指令对有关机构使用用户信息的行为加以适当的限制。由于网络金融活动涉及的金融业务较为广泛,业务知识亦不尽相同,仅仅依靠一个行政部门难以实现全面的保护,此时可以参考美国《多德·弗兰克法案》的监管模式,整体以分业监管为主,但最终由美联储统领,从而实现统一监管。
我国使用网络开展金融活动的用户越发增多,在目前我国尚未出台独立金融隐私权保护立法的情况下,应当强调国家干预,这种干预往往体现在国家权力的执行者身上。网络警察往往是针对网络犯罪而产生的职务,兼具警察职业性与计算机专业性。目前网络警察的主要职责限定在以黑客、钓鱼网站以及木马病毒等恶意行为所引发的刑事犯罪范围内。但是,面对我国快速发展的电子信息技术,仅将网络警察的职权限定在刑事领域已不足以遏制用户信息泄露的危机。因此,应当适当拓宽网络警察的职权范围,针对不同金融行业网络系统,选派专人警察进行分业管理,在打击刑事犯罪的同时兼顾网络运行环境的维护与监督。明晰已经侵犯用户个人隐私或造成用户财产损失但尚未构成刑事犯罪的恶意第三人的违法行为,由网络警察及时加以制止、纠正和查处。将虚拟环境中的网络金融隐私权被侵害的苗头及时遏杀在摇篮里。应当在网络运行环节中建立独立的网络金融监管机构,对其收集、存储用户信息的部门实施网络监管,从平台根源处防止用户金融数据被滥用。同时应当构建统一网络维权平台,赋予用户在参与网络金融活动过程中发现数据信息被滥用导致名誉受损、财产损失等问题后,及时提出异议或进行举报的权利。实现行政监管、网络监管与社会监管的统一作用,加强金融产品在网络环境中的多维度监管。
(三)完善相关机构自治规则及行业自律制度
法律的滞后性使得诸多问题无法及时得到解决,因而不能仅依靠立法来缓解金融数据泄露的危机。美国是行业自律的典型代表,强调市场对网络金融活动的影响。由于不同行业的专业性和技术性,相关行业协会可以提出适用于本行业的自律规则来弥补非专业管理的遗漏和缺陷。我国可以根据行业特性设立网络行业自律组织,并在设立前向有关部门登记,接受政府部门监管。制定不同行业的自律规则,使得行业自律与政府监管相互补足,充分发挥行业组织的积极作用。此外,还应加快相关机构自治规则的建立。加拿大RIM公司就自行规定信息记录管理制度、内部隐私保护政策、数据加密等自治规则。加强数据保密程度,强调从数据的获取、记录、存储等步骤均应设置专门人员进行保护。德国、瑞典等国家亦设置了信息专员保护制度。在行业运行方面加强制度建设,与法律强制性规定相互协调,共同保障用户金融数据信息的安全性,以避免或减少金融数据的泄露。
我国有关机构应当在结合企业发展趋势的同时,兼顾借鉴域外的专员保护制度,对实体机构的传统行业自律已不足以规制侵权行为,在国家的宏观调控及法律强制性的保护下,加之以灵活性的机构自治规则,将国家调控、行业自律与机构自治相互衔接,以更好的达到保护网络金融隐私数据信息的目的。
(四)提高网络用户自身风险防范意识
调查报告中显示,在注册金融类应用或使用网络金融门户实施金融活动时,有75.11%的人会使用自己的真实信息,然而在这众多使用个人真实信息进行活动的用户中却只有52.04%的人会在交易之前仔细阅读用户交易规则或者网络隐私政策。51.13%的用户表示多在单位或者学校等人群较为密集的地点使用网络且多为Wi-Fi网络。实务中也常见在商场、超市等购物场所中,用户使用手机网络支付结算。甚至还存在随意连接公共Wi-Fi进行网络支付的用户。可见,用户对于自身金融数据的保护意识十分薄弱。地区政府可以适时开展网络金融活动安全教育讲堂,向广大网络用户讲述网络环境中多发的金融数据泄露案例,鼓励用户在实施网络金融活动前仔细阅读交易规则及隐私政策,加强网络用户权益保护认识,提高用户自身的风险防范意识。强化网络用户对网络虚假有害信息的辨识和抵抗能力,从源头处防止数据信息的泄露。
(五)打破传统单向性保护模式,发展复合型区分保护规则
如果为了保护用户利益而严格禁止金融机构使用用户信息,则会在一定程度上抑制网络金融活动的发展,不符合社会实际需求。但如果放任金融机构随意使用网络用户数据信息,又会使得虚拟环境中的金融隐私侵权案件呈爆炸式增长,传统隐私权的单向性保护模式已经不足以适应网络环境下的金融隐私权保护,保护金融隐私权已逐渐成为国际社会的共识。为了加强国际间贸易交往,在网络背景下,应发展复合型保护模式:即国内保护与国际合作。一方面,加强国内保护,类型化金融隐私权二分法保护模式,即可利用信息与灵敏性信息。前者可以在金融机构获得用户授权的情形下有限度的进行使用。后者的界定需要借鉴我国台湾地区“个人资料保护法”中有关敏感信息的限定,并不具有一个绝对范围,还要结合用户需求、社会发展、科技水平等多种因素控制灵敏信息的动态边界。实践中,往往在用户信息被泄露后,在考虑该信息涉及的内容的同时,还要衡量该泄露结果是否给用户的生活带来不利影响等,从而判断是否属于绝对不可利用的敏感信息。另一方面,金融隐私权的泄露在损害用户财产权与人身权的同时,还可能阻碍国际间经济交往与合作,特别是在网络遍及范围较广的情况下,加强国际间紧密联系刻不容缓。
五、结语
大数据时代的到来,使得金融行业与互联网相互结合,金融隐私权的保护延伸至高科技领域,大量网络用户的个人身份信息以及金融交易数据等掌握在网络运营商及金融机构的手中。这对传统隐私权保护的手段和方法提出了前所未有的挑战,现有法律规范及相关制度不足以应对呈爆发式增长的金融隐私权泄露风险。面对新的挑战,对于虚拟环境中的金融隐私权侵害问题应给予多元化保护措施。通过借鉴域外立法及企业自治规则,完善市场监管与行业自律机制,提高用户防范意识,进而寻求适宜虚拟环境下的金融隐私权保护模式,从而使金融隐私权在网络环境中得到多层次保护,更好的协调社会经济利益与用户隐私保护的关系。
参考文献:
[1]吕来明.商事权利论[M].北京:法律出版社,2016.
[2]崔华强.网络隐私权利保护之国际私法研究[M].北京:法律出版社,2012.
[3]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
[4]张继红.论我国金融消费者信息权保护的立法完善[J].法学论坛,2016(6):92-102.
[5]李晗.大数据时代网上银行的安全保障义务研究[J].当代法学,2016(4):118-127.
[6]高志明.个人信息保护中的自律与监督[J].青岛科技大学学报,2016(3):83-94.
[7]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
[8]王建文,彭洋恺.论网络背景下金融隐私权的法律保护[J].西北大学学报,2015(2):97-106.
[9]新华社《金融世界》、中国互联网协会.互联网金融信息安全分析[J].互联网天地,2014(10):8-19.
[10]颜苏.金融隐私权保护国际合作研究[J].法学论丛,2011(2):64-65.
[11]中国互联网络信息中心(CNNIC).第35次中国互联网络发展状况统计报告[R].2015:1-135.
[12]M.Maureen Murphy. Privacy Protection for Customer Financial Information[J].Congressional Research Service Reports,2014(5):367-372.
[13]Lance Bonner.Cyber Risk: How the 2011 Sony Data Breach and the Need for Cyber Risk Insurance Policies Should Direct the Federal Response to Rising Data Breaches[J].Journal of Law & Policy,2012 (21):257-277.
[14]David O. Stephens. Protecting Personal Privacy in the Global Business Environment[J].Information Management Journal,2007(3):56-59.
[15]鹰扬.大麦网600多万用户账号密码泄露,数据已被售卖[EB/OL].(2015-08-27)[2018-04-04].http://tech.sina.com.cn/i/2015-08-27/doc-ifxhkafa9342416.shtml.
[16]王静.支付宝被指泄露客户信息,官方回应都是买家错[EB/OL].(2013-03-29)[2018-04-04].http://news.xinhuanet.com/fortune/2013-03/29/c_124519138.htm.
[17]搜狐财经.携程被曝存支付漏洞,大量用户银行卡信息泄露[EB/OL].(2014-03-24)[2018-04-04].http://business.sohu.com/20140324/n397084277.shtml.
