• 快捷搜索
  • 全站搜索

个人金融信息的格式化侵权急需规制

2017-11-01 10:29:24作者:中国人民银行盐城市中心支行 易森编辑:金融咨询网
典型问题之一就是金融机构采取格式合同的形式侵权,由于该类格式合同均为金融机构总行所拟制,其分支机构无权修改或废除,人民银行各地分支机构提出的整改要求难以落实,严重侵害了客户的个人金融信息保护权。

随着我国经济发展和金融深化,金融服务已为社会公众日常生活所必需。金融机构通过金融交易掌握大量的客户个人金融信息,并任意使用和处理,特别是随意对外提供,给客户造成困扰甚至财产损失,更为恶劣的是为谋私利批量出售。中国人民银行为此于2011年和2012年连续两年印发了做好个人金融信息保护工作的通知,对银行业金融机构收集、使用和对外提供个人金融信息行为进行了规范,整个人民银行系统于2012年在全国范围内对银行业金融机构开展了专项检查,发现确实存在诸多问题。典型问题之一就是金融机构采取格式合同的形式侵权,由于该类格式合同均为金融机构总行所拟制,其分支机构无权修改或废除,人民银行各地分支机构提出的整改要求难以落实,严重侵害了客户的个人金融信息保护权。

一、个人金融信息的格式化侵权概况

  本文分析的对象是各家金融机构通过官方网站发布的格式合同或制度,涉及商业银行17家、格式合同或制度50份,其中国有商业银行4家、股份制商业银行8家、外资银行中国分支机构3家、地方法人机构2家;借记卡章程2份,信用卡章程10份、领用合约9份、申领表7份,电子银行协议6份,住房贷款合同12份、个人消费借款合同2份,银行业务外包合同2份。个人金融信息保护如此重要,格式合同的拟定和提供者金融机构应该在格式合同中做合法明确而详细的约定,在格式合同中使用违法的规定、概括性的规定以及完全不做规定都不符合对信息主体的保护。调查结果显示:50份格式合同中41份有规定,占82%,9份完全没有规定,占18%;而在有规定的41份格式合同中,有涉嫌格式侵权条款的多达38份,比例高达92.68%。

  虽然按照《合同法》和《消费者权益保护法》的规定,提供格式条款的一方免除自己责任、加重对方责任、排除对方主要权利时,该条款无效,但这种认定通常极为困难,而且仅会由法院或消费者保护部门在受理诉讼或举报时进行个案认定,这对于运用如此广泛、影响大众群体的金融格式合同而言远远不够,需要从源头进行控制。

二、个人金融信息格式化侵权的表现形式

  金融机构对个人金融信息的格式化侵权,违反了个人金融信息保护的通行原则,发生于收集、贮存、加工、对外提供、披露、销毁等多个环节,侵害信息主体的多重权利,从不同角度分析有不同的表现形式。

  (一)所违反的基本原则

  1.国外的通行原则

        国外对个人金融信息保护非常重视,很早就以立法形式加以保护,其中“欧盟综合性立法和美国分行业立法是当今个人金融信息保护的两种主要立法模式,世界其他国家和地区的立法均不同程度受到这两种模式的影响”。美国1999年通过的《金融服务现代化法案》确立的基本原则包括通知原则、选择原则、安全原则、市场公开原则和执行原则。1995年欧盟《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》规定了合法原则、目的性原则、透明原则、妥当性原则、控制原则、特殊信息豁免原则、国际数据流通限制原则以及安全保密原则共八项原则。此外,亚太经合组织也规定了收集限制原则、数据质量原则、列明目的原则、安全保护原则、使用限制原则、公开原则、个人参与原则和责任原则八项原则。

  2.我国的基本原则

  我国目前尚无个人信息保护法,更谈不上专门的个人金融信息保护立法。2005年有学者提出知情同意原则、目的明确原则、限制利用原则、完整正确原则和安全原则共五项基本原则。2011年国家质量监督检验检疫总局、国家标准化管理委员会发布的《信息安全技术个人信息保护指南》提出了目的明确原则、公开透明原则、质量保证原则、安全保障原则、合理处置原则、知情同意原则和责任落实原则共七项原则。2015年2月1日起正式实施的首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》提出了目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确共八项基本原则。

  就个人金融信息而言,上述基本原则均有其合理性,但最重要的原则应该包括合法原则、合适原则、透明原则和责任原则。

  3.个人金融信息格式化侵权所违反的原则

  (1)合法原则。收集、使用、对外提供个人金融信息必须符合法律的规定,不得以非法的形式为之,特别是对外提供必须合法。如《商业银行法》规定,“对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外”;《个人存款账户实名制规定》要求:“除法律法规另有规定以外,金融机构不得向任何单位或者个人提供有关个人存款账户的情况”,其以保密为原则,以法律、行政法规另有规定为例外。而个人金融信息格式化侵权的做法是任意扩大例外的范围,在格式合同中规定出现以下情形时金融机构不再履行保密义务,包括规章另有规定的,司法、行政机构等有权机构要求的,金融监管机构另有规定的,出于公共利益的,仅在金融机构内部使用的等。

  (2)合适原则。只应收集和处理与业务相关的最少信息,不得收集与业务无关的信息,特别是揭示个人种族、宗教信仰、基因、指纹的信息,或与健康状况、个人生活有关的信息。但金融机构的格式合同中,特别是信用卡申领表,明确要求申请人“必填”的内容却包含了很多不该收集的信息,如申请人母亲姓氏、毕业小学名称、个人昵称、英文名等。


  (3)透明原则。收集和处理信息之前,应明确向信息主体告知收集、处理信息的目的、内容、使用范围及相关事项,不得做模糊、笼统的表述。而金融机构格式合同中却有规定在任何其认为需要的时候,可将任何与客户或任何信用卡交易或信用卡账户或客户任何其他开立的账户有关的信息披露予任何金融机构根据其绝对的酌定权认为合适的第三方。

  (4)责任原则。应在格式合同中明确个人信息收集、处理的责任,并采取必要的措施落实相关责任。这是对金融机构自身的约束,金融机构集体选择避而不谈,50份格式合同中均无此类表述。

  (二)所侵犯的权利内容

  1.国外规定个人信息主体享有的权利

  国外对于个人信息高度重视,注重主体应有的权利,特别是作为个人信息保护立法典范的美国和欧盟。美国1974年《隐私法案》规定了决定权、访问权、修改权和民事救济权。欧盟《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》则规定了知情权、进入权、反对权和不受约束权。

  2.国内学者的观点

  在国外立法和国内近来个人金融信息侵权事件频发的影响下,国内学者纷纷强调个人信息主体应享有的权利。学者普遍认为信息主体享有的权利包括消极性权利和积极性权利,包括“隐瞒、利用、支配以及维护的权利”,有学者认为包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权,有站在征信信息的角度提出同意权、知情权、提出异议权、个人信息保密权、个人信息更正权、个人信息维护权、个人信息权益救济权和个人信用利益支配权,2011年《信息安全技术个人信息保护指南》规定有保密权、知情权、选择权、更正权和禁止权,人民银行南京分行行长周学东则完全针对个人金融信息提出知情权、选择权、访问权、异议权、索赔权。从更好地保护信息主体的角度出发,应明确赋予个人金融信息主体自主选择权、保密权、知情权、安宁权、管理权和救济权。

  3.个人金融信息格式化侵权所侵害的权利

  (1)自主选择权。是个人金融信息格式化侵权所侵害的最严重和最普遍的权利,因为其与格式合同的本质属性相关。客户应有权自主选择是否接受金融机构对其个人金融信息的收集、对外提供与披露等,特别是有权拒绝金融机构将其放弃应有权利作为向其提供金融服务的先决条件。但格式合同的本质属性之一就是客户只有同意权或拒绝权,无修改或变更权,而行使拒绝权实质就是放弃获得金融服务,在金融机构占据强势地位的当前,放弃获得金融服务完全背离了客户的目的,从而客观上造成客户放弃权利才能获得金融服务,本质上是剥夺了信息主体的自主选择权。

  (2)保密权。是个人金融信息主体享有的核心权利,其应有权拒绝金融机构擅自提供信息给第三方、擅自通过媒体等渠道公告违约信息,特别是有权拒绝金融机构非法出售等。金融机构则通过格式合同剥夺该项权利,规定金融机构有权将所有信息主体的相关信息提供给任何金融机构认为合适的第三人,出现逾期还款等情形时有权公开借款人的违约信息,向有关部门或者单位予以通报、通过新闻媒体公告等。

  (3)知情权。是个人金融信息主体应享有的最基本权利,即有权知晓金融机构收集、使用、披露、转移个人金融信息等的目的、范围以及具体的使用情况,即使法律明确规定不需要信息主体同意的使用,也应该在使用后及时采取各种方式让信息主体知晓。而实际上,金融机构通过格式合同仅要求信息主体签字授权金融机构使用信息即可,至于该类信息如何使用、在哪里使用等等,信息主体均无权知晓。

  (4)安宁权。是个人金融信息主体应享有的最关键的权利,即除非信息主体明确表示同意,其有权拒绝金融机构利用已掌握的个人金融信息采取任何方式对其进行其申请业务以外的营销、广告等行为,以维护自身的生活安宁。因为除非信息主体主动要求或者明确同意,信息主体向金融机构申请或购买某项金融服务,其只希望就该业务与金融机构产生关系,金融机构却通过格式合同要求信息主体授权金融机构将信息用于金融机构其他产品和服务的交叉销售,这势必让信息主体经常处于金融机构所谓新产品、新服务的轰炸当中,生活中经常收到骚扰。

  (5)管理权。是个人金融信息主体多重权利的合称,包括查询、异议、更正、删除权,即信息主体有权查询其个人金融信息被金融机构保存、对外提供以及披露的情况;对于与事实不符的个人金融信息,有权提出异议,并要求金融机构做相应的更改和删除。这些权利金融机构应在收集信息时就明确提出,但事实是所有格式合同中均未明确信息主体享有这些权利。

  (6)救济权。是所有权利的保障,个人金融信息保护权也是如此。信息主体应享有索赔权和举报权,对于侵害个人金融信息的行为,有权向侵权金融机构、相关第三方组织等提出索赔,也有权向公安机关、金融监管部门等举报。该权利在格式合同中也从未出现。

  (三)个人金融信息格式化侵权的具体表现形式

  个人金融信息格式化侵权在不同金融机构的不同格式合同中有不同的表现形式,具体包括:

  1.明示性违反

  有关法律、法规、规章及规范性文件明确要求不该为的,格式合同公然为之。如规定不得收集与业务无关的信息,格式合同中有些与业务无关的信息却设置为必填项;不得将信息主体授权或同意其将个人信息用于营销、对外提供等作为先决条件,格式合同却规定只有信息主体授权金融机构向其认为必要的其他机构或个人提供所有有关借款人的信息和资料才可获得金融服务。

  2.默示性违反

  有关法律、法规、规章及规范性文件明确要求该为的,格式合同却不为。如明确要求金融机构应规定信息主体授权后愿意承担的可能后果,格式合同则只规定信息主体愿意承担授权金融机构使用其金融信息产生的一切后果,但不明确可能的后果;明确规定金融机构通过外包开展业务的,应要求外包服务供应商在外包业务终止后,及时销毁因外包业务而获得的个人金融信息,但格式合同中仅要求外包服务供应商协议期满后继续保密,未要求销毁信息。

  3.模糊性表示

  比较常见的一种方式,在格式合同中只有一句,金融机构对信息主体的信息负有保密的义务,再无任何具体详实的义务内容和不履行义务的处置措施。

  4.无任何表示

  对金融机构而言,这是一种看起来比较稳妥实际上比较狡猾的方式,金融机构知道在格式合同中,无论是规定明示性违反条款还是默示性违反条款都可能受到监管部门的查处,所以干脆不做任何规定,既避免监管部门的检查,又因为对信息主体没有任何承诺而不用担心信息主体的纠缠。

三、个人金融信息制度性侵权的法律规制

  金融是现代经济的核心,金融资产是个人最重要的资产之一,个人金融信息的重要性无需赘述。金融消费者权益保护已经成为全世界的共识,个人金融信息的保护刻不容缓,金融机构通过格式合同进行大范围的侵权,确实需要法律的规制。

  (一)循序渐进的立法方式

        我国需要制定统一的《个人信息保护法》,并在该法中专设个人金融信息保护一章,明确界定个人金融信息的概念、信息主体、信息保护权的种类及其内容、金融机构履行个人金融信息保护的义务等等。但在当前恐怕还难以实现,所以宜采取循序渐进的方式,可先行推动国务院制定《个人金融信息保护条例》,明确个人金融信息保护的基本原则、内容范围、主体权利、法律责任、监督管理等主要内容。当然这也有可能有难度,则在专门的《个人金融信息保护条例》出台之前,有必要在《银行卡条例》等相关行政法规中设专章规定个人金融信息保护,既探索不同法规范畴内个人金融信息保护的方式,也为最终的专门立法积累经验。无论哪一级立法,均应专门规定金融机构通过格式合同订立协议的有效规则。

  (二)事前预防为主的规制原则

  个人金融信息格式化侵权的载体是各金融机构的格式合同,具有单方性、对世性和强制性,鉴于金融机构的强势地位和信息主体的弱势地位,信息主体不具备自我保护的能力,且事后的维权与救济只能个案化和不经济化,需要做好源头性控制,以事前预防为主、事后处置为辅。金融机构的格式合同有必要先行报人民银行等监管机关备案,在一定时限内监管部门未提出格式化侵权的决定或相应的整改意见才能正式实施,既能切实维护信息主体的合法权益,又有事半功倍之效。

  (三)一头多管的监管模式

  一般说来,设置独立的机构专门负责个人金融信息保护的监管应该最有效率,但在我国现有金融业分业经营、分业监管的前提下反而难以实现。个人金融信息保护实际上是金融消费权益保护的一部分,在一行三会都有相关监管职能的情况下,最好的方式是维持分业监管的模式,并明确人民银行的组织或者牵头地位。银监会、证监会、保监会负责各自监管领域内的个人金融信息保护,人民银行作为牵头单位,拥有组织召开联席会议、会商重大疑难问题或群体性事件的权利,各监管机构也应有权对金融机构个人金融信息保护工作开展非现场监测和现场检查,视侵权事件的实际情形实施行政处罚或其他监管措施。在格式化侵权的监管中,属于人民银行履职范围内的格式合同,由人民银行自行审查;非人民银行履职范围、但可能影响金融稳定的,由银监、证监、保监部门负责审查,同时将审查情况抄报人民银行;在市、县以下,证监、保监没有分支机构,可采取合作或授权的形式,由当地人民银行代行证监、保监的审查职权。

  (四)全系统的审查权限

  金融消费权益保护是维护金融稳定、保护群众利益的举措,一行三会为此均设立了独立的保护机构,个人金融信息保护也是其中应有之义。总体来说,相对于城市,县以下的基层,信息主体的信息保护意识明显不足,遭遇侵权时的维权能力更为欠缺,所以格式化侵权的监管不应仅仅是监管部门总部对金融机构总部,必须加强基层监管机关对格式化侵权的监管。基层金融机构不得以格式合同为其总部所拟为由拒绝当地监管机关的监督和整改要求,监管机关的分支机构有权对所辖金融机构的格式合同进行监管,并有权向金融机构的上级机构提出书面意见,并内部层层上报监管机构总部,最终在监管机关总部和金融机构总部层面实现全面完整、自上而下的解决。

  (五)多样化的救济途径

  个人金融信息虽然只属于个人,但实践中金融机构很少只侵害某个个人的金融信息,而是侵犯一类人、一个群体的个人金融信息。一旦如此,很容易引发群体性事件,既广泛地损害群体利益,又影响金融业的整体形象,甚至影响金融稳定。为此救济必不可少,且正由于个人金融信息侵权的特殊性,需要多样化的救济途径,诉讼、举报、调解、协商、仲裁等均应作为救济途径。特别是在金融消费权益保护深入人心的今天,更加要突出行政机关的地位,更加注重发挥行政调解机制的作用。

(文章来源:中国金融电脑杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章