互联网时代的个人信息保护之道
来源:金融电子化
加快制定个人数据保护法,是保护金融信息以及其他个人信息的正道。个人数据保护法不仅是个人的福音,也是数据处理者的福音。互联网金融的客户信息应受传统隐私法、个人数据保护法同时保护,才最稳妥。
如何保护互联网金融的客户隐私权益?答案是,不要仅将其视为隐私权益。
传统隐私法所指隐私权益,是个人私生活不受干扰的权益,主要体现之一是私人信息不得擅自公布或宣扬。隐私权益不足以涵盖个人在其个人信息中的所有利益。比如,并非所有个人信息都符合隐私的定义。银行卡号、股票持仓情况是个人隐私,工作单位、电话号码也是个人隐私吗?同时,并非所有对个人信息的使用都涉及公开或宣扬。银行可与基金公司共享客户名单以方便后者推销基金,也可以向基金公司收费后直接代其向客户推销。证券公司要求客户在开户申请书中填写学历、婚姻状况甚至性取向,网站长期保存客户的购物记录拒不删除,这些做法都切切实实令客户受到困扰,但却不一定符合传统隐私侵权的构成要件,在司法实践中也鲜有成功索赔的案例。
个人信息面临新威胁
互联网金融的客户隐私保护应该放到一个更大的语境下讨论,即信息时代的个人信息保护。“电脑+网络”是互联网金融的技术基础,也是对客户信息的利用以及由此产生的是是非非的源头。比如银行的分类客户名址信息,可能是其他保险公司、基金公司梦寐以求的数据。从一千万条个人数据中提取一百万条,如依靠人工逐条筛选,可能需要几千小时的人工耗时。但经由计算机处理,耗时不过是以分秒计。成本下降,商机产生。
互联网技术给个人信息带来的风险不容忽视,个人信息被海量汇集、瞬间全球传递、经年累月留存,不仅可能使本来无伤大雅的信息成为隐私杀手,还可能导致个人数据形象受损,人格受控等新型的、更为严重的危害。
个人数据保护立法的国外经验
信息技术使个人信息具有了新的价值,也蕴含新的危险。有没有利益和尊严兼顾,数据处理者和个人双赢的可能呢?希望寄托在新的个人数据保护法上。
个人数据保护的立法工作可以追溯到上世纪50年代。当前,发达国家一般都有自己的个人数据保护法。各国立法各有特色,总结起来有以下共同点。
第一,保护所有个人信息,即与身份确定的某个自然人相关的所有个人信息。信息是否涉及隐私、是否具有敏感性、是否公开可得等在所不问。比如法国法院曾经判决,即使在公共网络上收集到的电子邮件地址仍受个人数据保护法保护。
第二,规范对个人信息的数据化处理。如利用计算机对个人数据进行收集、整理、比对、互连,或将个人数据上传到网络,或将个人数据做成可供查询的文件系统。英国法院曾经指出,在获取个人数据信息方面,只有在手写文件系统与计算机系统达到同样方便的程度时,手写文件系统才属于数据保护的范围。美国法院也曾指出,必须从分散于全国各地的法院、政府机关或者警察局的各种档案中努力搜索后才能得到的公共记录,与在一个计算机中就可查到的记录之间存在巨大区别。
第三,建立对个人信息处理的全面规则。目前,得到各国广泛认可的基本规则包括数据质量与安全、数据有限、数据主体参与等。这些规则要求必须保证数据真实全面可靠;数据处理必须有合法、确定的目的,数据处理不能超过该目的,完成目的后必须及时删除;数据主体有权得到通知,有权查询并要求修改错误记录。比如,瑞典数据法规定,如果数据不准确,数据保存者将被处以罚款甚至监禁。在香港,职介所收集求职者的身份证副本、茶餐厅为防假钞收集顾客的身份证号码、学校为考勤收集学生指纹等现象,都被当地认为构成过量处理个人数据。而根据欧盟个人数据保护法,从个人渠道收集数据,必须明示数据处理人身份、数据处理目的、提供数据是自愿还是强制等信息。
第四,确立对个人数据处理相对而非绝对的权利。个人对第三方能否进行数据处理有相当的决定权,但这种权利受制于诸多例外。如用于公共利益、新闻自由等目的无需个人同意。欧盟还规定用于个人和家庭生活可不受约束。
个人数据保护法的任务是规定个人信息在何时、依据何种规则,可被数据化处理。是传统隐私法的补充而非替代。二者区别在于,隐私法以禁止公开和宣扬个人隐私为目的,对信息流动的态度是消极的;个人数据保护法以指引对个人信息的数据化处理为目的,对信息流动的态度是积极的。隐私法保护人格尊严,个人数据保护法除保护人格尊严外还保护个人在信息处理过程中的经济权利。信息技术发展至今,完全将个人信息置于数据化处理范围之外已不现实。互联网金融的客户信息应受传统隐私法、个人数据保护法同时保护,才最稳妥。
国内相关制度实践
在个人数据保护方面,我国并非没有尝试。如中国人民银行2005年发布《电子支付指引》规定,银行收集客户资料时应告知收集目的,相关资料只能用于指定目的,对客户资料应该保密。2009年,《中华人民共和国刑法》中增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2013年,国务院颁布《征信业管理条例》,对征信机构的个人信用信息处理进行管理。
不过,上述法律规定并未完全突破传统隐私保护的局限,没有系统建立个人数据处理规则,难以规范数据处理者的行为,也难以切实保护个人权益。例如,《电子支付指引》规定,只要个人不提出反对,银行业金融机构可以“将个人金融信息用于产生该信息以外的本金融机构其他营销活动”。但并未规定在第三方应用信息时必须通知个人,也未规定个人应通过何种途径提出置疑或反对。
完善立法建议
加快制定个人数据保护法,是保护金融信息以及其他个人信息的正道。一些数据处理机构担心利益受损,而对新法持怀疑态度。其实,个人数据保护法不仅是个人的福音,也是数据处理者的福音。
一方面,以法律保护为基础,个人数据更易得。据相关调查,90%的个人担心身份在网络中被盗用,20%的人因此放弃了网上购物,而多数消费者只要确定相关合理保障,愿意配合相关数据用于合法目的。另一方面,有了法律指引,数据处理者才可放心在技术、基础设施等方面全心投入,专注挖掘数据的附加价值。数据处理者应积极争取更为合理的数据处理规则,而非不要规则。
比如,各国相关法律均规定数据处理需征得个人同意。但“同意”可以是积极的,即事前征得同意再处理;也可以是消极的,即处理后如被反对则停止。有美国学者曾经统计,在“积极同意”和“消极同意”的方案中,选择回应的人都在10%左右。这意味着对个人数据处理行为,采用积极同意,只能得到10%的支持,而采用消极同意,则可得到90%人的支持。法律要求“积极同意”还是“消极同意”,反应出政府对个人数据处理行为的不同支持力度,差别巨大。当前欧洲国家多采用“积极同意”,美国则多采用“消极同意”。我国如何选择,一方面取决于国情,另一方面,数据处理者的合理诉求,也是重要的推动因素。