律师观点

肩上担山知任重,志存云天砥砺行

守好你的个人金融信息:五个“雷”和四个“招”
关联律师:发布时间:2022-04-02

编者按
半个月前,中国银保监会消保局郭武平局长在“银行业保险业深入推进金融消费者保护”专场新闻发布会上指出,银保监会今年的重点工作之一是“开展银行业保险业个人信息保护专项整治”。
 
个人金融信息保护是消费者权益保护的题中之义。一方面,金融机构要坚守个人信息安全保护的原则,另一方面,金融消费者自身也需要更好地识别可能侵犯个人信息权益的情形,明确维权途径。
 
今天,《互联网法律评论》刊发特约专家、北京市京师(深圳)律师事务所金融科技部副主任樊思琪律师的分析文章,供读者“避雷躲坑”,更好地保护自身权益。
 
 
01个人金融信息保护的时代特征
 
2011年,中国人民银行(以下简称央行)对“个人金融信息”作出相对宽泛的界定,分为七大类,包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息以及在与个人建立业务关系过程中获取、保存的其他个人信息。
 
2016年,央行在具体分类上删除了“衍生信息”,修改为“其他反映特定个人某些情况的信息”。该文件于2020年被废止。
 
2020年2月,央行发布《个人金融信息保护技术规范》,基本沿袭了上述概念,但删除了“信用信息”,增加了“鉴别信息”和“借贷信息”,并将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别,对三个级别提出了不同的安全管理要求。
 
从监管部门对个人金融信息的定义和范围描述,不难看出:
 
首先,个人金融信息涵盖的内容越来越广。随着个人金融业务种类更多,金融产品更丰富,个人金融信息是个人信息在金融领域围绕身份信息、账户信息、交易信息、财产信息等方面的细化,金融机构收集个人金融信息的类型和规模更加广泛。
 
其次,收集和存储个人金融信息的金融机构主体也在不断增加且多元化。在互联网经济和平台经济的大力发展下,很多所谓大数据公司、助贷平台、金融信息服务机构等不具有金融牌照的机构也会收集和处理个人金融信息。
 
第三,随着网络和信息环境愈加复杂,结合《个人信息保护法》以及央行发布的技术标准可以看出,对个人金融信息也将进行分级分类管理,不同类型个人信息的安全技术规范也将有更明确的要求。
 
最后,除消费者身份信息、资产状况、交易明细等静态信息之外,客户交易习惯、购买意愿、兴趣爱好、风险偏好等动态信息也会成为金融机构收集和分析的重点,个人金融信息的保护也应当考虑纳入该类动态信息。
 
02可能侵犯个人金融信息权益的五类行为
 
结合笔者对相关案例的梳理,可能侵犯个人金融信息权益的情形主要有以下五类:
 
第一,违规收集个人金融信息。
 
在收集环节最典型的违规行为就是对个人信息的收集范围超过“必要性”,收集与产品和服务不相关的个人信息。
 
部分金融机构在通过金融App收集个人信息的时候常采取“概括授权”的方式,即一次性取得关于用户对所收集信息内容方式的同意,这会导致后台将收集一些与用户所需产品弱关、无关的个人信息。
 
根据国家网信办下发的《常见类型移动互联网应用程序(App)必要个人信息范围》中,金融类App必要个人信息的收集范围未包括通讯录、位置信息及相机等。
 
因此,金融消费者在使用金融App过程中,可以留意金融机构所公示的《隐私政策》中所披露的个人信息收集范围,审阅收集范围是否超过自己享用该服务或购买该产品所必需。
 
第二,违规查询、存储、传输和使用个人客户信息。
 
个人信息一旦被收集后,对于金融消费者来说就已经属于失控状态,而收集者为了实现商业价值,可能会不断利用收集的个人信息,从而产生违规查询、存储、传输和使用个人客户信息的行为,近年来类似案例时有发生。
 
案例一2021年12月,银保监对华夏银行侵害消费者权益的情形进行通报(银保监消保发〔2021〕19号),其中违规行为包括“违规查询、存储、传输和使用个人客户信息”,这里的违规处理个人信息的活动包括四种:查询、存储、传输和使用。具体表现在:
 
未经客户授权,以“业务营销需要”“核对贷款资金入账情况”以及员工异常行为排查等为由,违规查询个人客户储蓄存款交易信息;
 
违规在公用互联网电脑存储;
 
通过互联网邮箱向合作方传输姓名、身份证号、银行账号、信贷记录等个人客户信息但数据交互未实现全面系统控制;
 
信用卡中心向1.99万名已注销信用卡账户的客户致电营销保险产品,部分客户多次明确表示拒绝来电,该行仍持续向其电话营销。
 
第三,违法违规购买或出售消费者个人金融信息。
 
购买或出售消费者个人金融信息的行为一直是执法部门的打击重点。
 
案例二2015年9月至案发,诺远资产管理有限公司上海分公司为宣传其理财产品,从第三方大量购入消费者个人信息,包括电话号码、家庭住址、车牌号码等,并逐一电话销售推广。
 
案例三拉卡拉支付旗下的考拉征信服务有限公司1从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。
 
在上述两个案件中,前者是出于营销目的购买个人信息,后者则是将其收集的个人信息非法卖出。
 
第四,违规向第三方提供客户个人金融信息。
 
案例四2020年脱口秀演员池子(本名王越池)发文指责上海笑果文化传媒有限公司(“笑果文化”)侵权一事引发社会对个人金融信息的广泛关注。
 
在双方仲裁事件中,笑果文化提供了池子在中信银行的个人账户交易明细作为证据,而池子并没有书面授权中信银行上海虹口支行。中信银行因私自调取客户账户交易信息的行为,严重侵害消费者信息安全权,被处以450万元的罚款(银保监罚决字〔2021〕5号)2。
 
除了上述案例,在违规向第三方提供个人信息行为中往往伴随着的是银行内部员工的违法行为,银行员工利用职务之便,查询公民个人信息(如征信报告等)并出售的情况并非个案。
 
如本溪银行员工李某利用职务之便查询公民个人征信报告非法获利23.23万元[案号:(2021)辽0502刑初323号]。
 
在这类案件中,银行员工本身可能涉嫌侵犯公民个人信息罪的,同时,金融机构也可能因为内部管理制度不完善遭到行政处罚。
 
这也为金融机构内控制度敲响警钟,随着金融消费者法律意识和维权意识的加强,金融机构将会面临更高的合规要求,除了监管惩处以外,还可能承担更大的声誉风险。
 
第五,违规进行“用户画像”。
 
用户画像在金融行业有着广泛的应用,但也会给金融消费者权益保护带来新的问题,如:
 
过度收集和滥用个人信息,采取捆绑授权等方式或将同意个人信息收集作为其提供服务或产品的前提条件;
 
用户画像常常用于精准营销,除应符合个人信息保护的规定之外,还应符合广告营销的相关要求;
 
用户画像可能影响产品定价,也就是“大数据杀熟”的问题,杀熟的行为违反了消费者享有的公平交易权。尽管画像越精准,定价也越接近消费者可以承受的价格极限,使得商家利益最大化,但定价不仅仅是金融机构的商业决策问题,更需要法律规制。
 
尽管上述违法违规行为严重侵犯消费者权利,但也具有一定隐蔽性,导致金融消费者并无法马上知悉自己的信息安全权已经被侵犯,因此监管部门对于金融机构的内控及合规制度的建立格外重视,同时也加大了外部的惩治力度。
 
 
 
03个人金融信息权益遭到侵害怎么办?有四个途径
 
金融消费者可通过以下四条途径展开维权与权利救济。
 
第一,与相关金融机构协商解决
 
笔者认为,与金融机构协商沟通应该是每个个人信息主体维权的第一步。此前对金融消费者个人信息权益侧重于消极保护,确保信息的安全,防止信息泄露。
 
但在《个人信息保护法》出台后,更突出金融消费者的主动权利和救济性权利,比如明确规定了个人享有个人信息处理活动中的各项权利,包括对个人信息的查询权、复制权、更正权、删除权等,金融机构也负有更全面的信息保护义务。
 
随着我国个人信息保护执法的完善,很多金融机构内部已经设置了金融消费者权益保护的相关专门部门,且《个人信息保护法》明确规定个人信息处理者应以显著方式清晰易懂的语言告知其名称和联系方式,这也使得金融消费者的维权更为直接、便捷和快速。
 
第二,向有关监管部门投诉
 
如央行金融消费权益保护局、中国银保监消费权益保护局、中国证监会投资者保护局等监管部门均负有金融消费者受侵害权益的救济职责,涉及相关金融机构的个人金融信息的维权和投诉可通过上述渠道进行。
 
除金融行业监管部门之外,《个人信息保护法》第66条、67条规定了个人信息保护职责部门的执法权,如市场监督管理局、国家网信办及工信部均对于个人信息保护负有执法权利以及监管责任。
 
第三,请求消协调解
 
目前很多地方已经成立了金融消费权益保护协会,如早在2014年就成立的广东省金融消费权益保护联合会,建立了金融消费纠纷调处机制、体系;近期云南省和河南省两家省级金融消费权益保护协会也获批成立。随着金融消费者权益保护协会的成立,能够进一步搭建金融消费者、金融机构和金融监管部门之间的桥梁和纽带,为个人金融权益的纠纷提供更多元的解决方式。
 
第四,民事救济
 
《民法典》设立单章专门规定了隐私权和个人信息保护的内容,《个人信息保护法》也对个人信息保护问题进行系统规制,为个人金融信息的保护奠定了法律层面的基础。
 
2021年1月1日生效的《最高人民法院关于修改〈民事案件案由规定〉的决定》(法〔2020〕346号),新增“个人信息保护纠纷案由”,使其成为能够单独适用的民事案由。而在此之前,多数个人信息侵害案件以名誉权、姓名权或者隐私权等其他人格权侵害作为案由。
 
笔者对“民事-个人信息保护纠纷”案由进行检索,共检索到135个案例结果3,围绕个人信息保护的纠纷主要包括:违法违规收集、处理个人信息,非法提供或转移个人信息,取得他人信息后发送垃圾短信,未经同意向中国人民银行提供他人征信信息等情形。
 
尽管个人信息民事司法保护还面临着诸多需要理论和实践探索论证的问题,包括:是否属于个人信息、是否存在侵权行为、如何分配证明责任、承担何种侵权责任等,但该案由的设立以及逐渐积累的判例经验无疑为个人金融信息的维权提供了一个更为明确和直接的方式。
 
04结语
 
个人金融信息具有多样性、敏感性、精准性以及高价值等特征。
 
从目前的立法及执法角度来看,对个人信息主体的保护不能单纯的是被动消极的严格保密,而更应该是对个人信息全生命周期的管理和全方位的保护。
 
这一方面要求金融机构建立全面严格的信息管理体系及金融消费者权益保护体系,另一方面,个人信息主体也应当培养信息保护意识,提高维权意识,积极参与金融信息安全的相关教育和培训。
 
金融消费者信息保护不是金融机构对大数据利用的制约,与金融创新发展并不矛盾,它限制的不是对信息的利用和流通,而是对个人金融信息的滥用。
 
只有有效保护好个人金融信息,才能更好地推动金融数据共享和开放。
 
附:
 
信息来源:https://www.163.com/money/article/EUG9U1EK00258105.html
信息来源:https://finance.eastmoney.com/a2/202103201851901789.html
数据来源:威科先行法律信息库,检索时间为2022年3月31日

联系我们
  • (+86) 0755-82796094
  • hr-shenzhen@jingsh.com
  • 广东省深圳市福田区彩田路广电文创中心五、六、七、九、十、十一楼
法律咨询热线:

400-875-8880

微信扫码关注
京师深圳律所
微信扫码咨询
京师深圳律所
Copyright © 2020 北京市京师(深圳)律师事务所 | 粤ICP备2020086911号-1