【消保研究】大数据条件下金融控股公司消费者金融隐私权保护研究

时间:2019-07-23 07:00:01 来源:湛江热线 当前位置:翠屏丹崖粲如绮 > 午夜 > 手机阅读

文/颜苏  北京工商大学法学院副教授

王刚  国务院发展研究中心金融所银行研究室副主任,副研究员

载于《中国银行业》杂志2018年第11期

在金融机构普遍采用大数据技术的时代,以往建立在“目的明确、事先同意、使用限制”等原则之上的个人信息保护制度变得越来越难操作,即使是合理地收集消费者数据,也可能产生不确定的风险。因此,收集个人金融数据应考虑遵守最低需求收集原则和使用目的特定原则。规范金融控股公司内部合理使用个人金融数据,应该是未来立法的重点。


 

金融隐私权保护是金融消费者权益保护制度中十分重要的内容。个人数据保护已成为各国立法和监管实践中关注的焦点。但不同行业之间,数据保护的具体规则还存在一定差别。当前我国金融业混业经营发展十分迅猛,大数据技术创新和发展日新月异,未来在金融控股公司框架下如何更有效地保护消费者金融隐私权的问题需要引起高度重视。


大数据发展和金融混业带来的冲击

金融控股公司架构下各子公司、不同金融业务条线之间的联系非常紧密和复杂,信息互联互通非常重要。实践中,商业银行可以向集团旗下证券、保险等子公司提供消费者账户信息,其他子公司也可以向商业银行提供消费者资信状况的信息、共享市场信息、共同向有关消费者提供财务资讯和营销等。无缝的业务联系和实时信息共享,在大数据时代其价值和影响更为凸显。

金融机构大数据应用的影响。数据是一把双刃剑,在给企业带来经济价值和利益时,往往会对个人带来伤害。在大数据时代,消费者个人作为数据来源和被分析的对象,无论是个人的生活情况,还是消费习惯,身份特征等,都可能变成以各种形式存储的数据。由于金融市场不断扩展,消费金融快速发展,电子支付更加便利,人们对金融体系的依赖日益加深,围绕个人行为的金融数据数量庞大,范围广泛,通过深度挖掘,可以绘制出个人的全景图形,生活习惯、兴趣爱好、出行轨迹等都将无处遁形。银行业是我国较早利用大数据的行业之一,从数据管理的角度看,大型银行最早建立了统一数据标准和数据模型,有上百套业务系统,数据标准化、数据建模和数据治理的复杂程度高。银行在收集个人信息时,出于风险评估考虑,尽量扩大信息收集来源。例如,在个人贷款业务流程中,不仅需提交本人信息,还要提供配偶、父母、子女等信息,实际上一人贷款,全家信息即被银行掌握。与此同时,银行收集数据的最终目的却存在疑问。在个人征信行业,目的延伸即利用征信信息来实现与采集信息的初始目的没有任何关联的其他目的的现象日益普遍,对消费者存在潜在的负面影响。欧洲多国监管当局先后提出要求,信息应仅用于初始采集目的,不能用于任何其他不相关的目的。

混业经营引发的新挑战。我国法律中虽然规定金融分业经营、分业监管,但实践中金融混业基于法律中“国家另有规定除外”的例外条款已经是现实状态。大型银行、中国平安和中国人寿等保险集团都是金融控股公司的模式,四大金融资产管理公司更早已是全牌照的金融控股公司。对金融控股公司而言,顺应市场发展趋势,以一站式服务满足消费者需求是其最大优势。因此为推进共同营销,在金融控股公司内部共享消费者数据很有价值。以往金融控股公司的优势更多体现在资金、网点、经营范围等,现在,人们逐渐认识到,海量数据是金融控股公司更大的经营优势。个人数据在金融机构精准营销、风险控制、改善经营、服务创新和产品创新等过程中日益占据核心地位。由于金融控股公司自身实力和对数据的需求都在快速增长,依托大数据的技术支持,本已存在的金融机构与消费者之间的信息不对称现象,在金融控股公司模式下被进一步放大。消费者根本无从了解金融机构内部的数据收集、存储、分析和使用的流程和方式。由于数据的使用目的、收集范围和分析结果都不确定,可能带来消费者甚至金控公司都意想不到的后果,甚至银行自身都不能够完全控制最终的结果。

我国现行法律法规的不足。关于消费者金融隐私权保护,目前银行、证券、保险、信托等行业都有相关的规定,但是十分零散,不成体系。而且规定过于原则,操作性不强,看似各子行业都已覆盖,但是由于缺乏宏观和整体的视角,在金融控股公司层面如何落地实施并不清楚。2015年《国务院办公厅关于加强金融消费者权益保护工作的指导意见》指出,“金融管理部门要推动及时修订与金融消费者权益保护相关的行政法规,积极推进金融消费者权益保护相关立法的基础性工作,研究探索金融消费者权益保护特别立法”。在个人数据保护基本原则确定之后,应该考虑各行业的特殊情况,进行有针对性的行业立法。我国在推动金融控股公司相关立法时,应该将金融隐私权保护作为不可或缺的重要内容予以规定。

金融控股公司经营优势与消费者金融隐私权保护的平衡

金融控股模式下的混业经营优势,有赖于深入挖掘分析个人数据的支撑。但在促进金融创新,扩大金融服务范围经济和提升服务效率的同时,以数据安全为主的金融隐私权保护同样重要。

原有“知情与选择”模式的缺陷。传统的通行模式是“知情与选择”模式,即确保消费者了解金融机构的隐私政策,知道金融机构对个人金融数据的收集和使用情况,进而由消费者决定是否允许金融机构收集自身的金融数据,并用于特定的目的,最终由消费者来做出知情决策(Informed decision)。1999年美国《金融服务现代化法》赋予了消费者选择放弃(Opt-out)权,即如果消费者没有明确告知银行他不同意银行向非关联第三方披露自己的信息,即视为消费者同意银行可以向非关联第三方披露信息。该制度虽被世界上众多国家和地区所采用,但存在严重缺陷。

第一,选择放弃适用范围过窄。《金融服务现代化法》中规定的选择放弃制度,仅针对非关联第三方,对于金融控股公司内其他子公司,并不能阻止使用个人数据。而针对选择放弃,还设置了共同营销例外和法定例外,即在共同营销例外或某些法定例外的情况下,消费者不得阻碍银行的非关联第三方分享消费者非公开的个人信息。此外,研究分析表明,“选择放弃”实际上是金融业界在立法游说中的一大胜利。“选择放弃”制度下消费者往往对银行的通知不作任何回应,这就等于银行获得了消费者的同意,可以向非关联第三方披露消费者非公开的个人信息。而在另一种“选择同意”制度下,银行必须获得消费者明确同意才能向非关联第三方披露非公开的个人信息,这就显著增加了银行披露信息的成本。

第二,选择放弃本身不适应市场需要。选择权的行使受到个人与金融机构不对等关系的影响,消费者还可能担心银行在内部设置黑名单,将某些结果纳入银行征信管理体系,造成消费者不得不做出违背本心的选择。此外,如果消费者不了解或没有兴趣了解银行的隐私政策,也会在选择时抱无所谓的心态。上述因素都将导致选择放弃的制度设计无法达成初始目的。如果采取选择同意(Opt-in)模式,可能有利于消费者,但这也只是一种理论上的利益。一方面,金融机构要获取消费者的同意,必须增加人力,投入更大的成本。相关研究表明,美国《金融服务现代化法》实施之后,金融机构寄送首次和年度隐私政策说明书以及“选择放弃”说明书支付了巨大的成本, 2001年花费在寄送通知单上的费用高达1亿到2.5亿美元。而真正‘选择放弃’的消费者数量很少,最高不超过5%,最低连l%都不到。”实践表明选择同一模式没有发挥应有作用,却让银行业背上了负担。

商业利益与金融隐私权保护的平衡。第一,重申隐私保护原则。在大数据时代,个人隐私权并没有消失。对隐私权的保护,涉及到人类基本的生活秩序和伦理,不能因技术的进步而完全颠覆。在可预见的未来,人类对隐私的需求并不会消失,否则所有人都将生活在不安中,都可能会被强大的经济力量所控制。应确保大数据技术在促进金融业发展的同时,兼顾对公民隐私权益的保障。

第二,确立合理使用原则。促进金融创新和保护消费者个人信息隐私权之间的确存在一定的冲突:过于强调保护消费者的金融信息隐私,禁止对消费者的个人数据进行处理和利用,则金融机构和金融信息服务业的成本会增加,也不利于金融业在掌握更多维度数据基础上开发和创新产品,如果怠于保护消费者的个人信息隐私,则每个社会成员都可能面临频繁的营销骚扰和恶意的盗窃。在金融机构普遍采用大数据技术的时代,以往建立在“目的明确、事先同意、使用限制”等原则之上的个人信息保护制度,在大数据场景下变得越来越难操作。金融控股公司本身就是金融机构的组织创新,其复杂的法律架构、更大的经济规模和更广的业务范围,都可能加剧原有的金融机构与消费者之间的矛盾,立法机关和监管机构有责任在这两者之间找到平衡。金融控股公司模式下,即使是合理的收集消费者数据,也可能产生不确定的风险。由于金融控股公司收集消费者的个人金融数据数量巨大,范围广泛,一旦超出业务需求,将会使得消费者本人和家庭成员得生活、工作和消费习惯、社交与个人爱好无处遁形。不仅会遭遇金融机构推销不需要的产品,更危险的是消费者在金融机构面前毫无秘密可言,将会造成隐私被侵犯、形成新的大数据歧视等一系列负面影响。因此国际上提出,收集个人金融数据应遵守最低需求收集原则和使用目的特定原则。规范金融控股公司内部合理使用个人金融数据,应该是未来立法的重点。

第三,强化对消费者利益的保护。金融隐私权是金融消费者权益的重要内容,金融业在不断创新和发展的同时,应该充分吸取历史上的教训,切实将保护包括金融消费者权益作为金融发展的重要目标。2017年世界银行发布《金融消费者保护良好做法》,对保护消费者的隐私权提出了三方面要求,一是合法收集和使用个人数据;二是客户信息保密和安全;三是客户信息共享。G20和经合组织联合发布的《金融消费者保护高级原则》第八条“保护消费者数据和隐私”,也提出应建立消费者个人信息和财务信息的适当控制和保护机制,明确说明客户信息收集、处理、保存、使用和披露目的(特别是向第三方披露时)的机制。消费者应有知悉其信息共享、获取信息、纠正或删除错误信息以及删除非法获取信息的权利的机制。金融消费者保护作为各国立法机关和监管机构的重要目标,在金融控股公司环境下如何更好地保护消费者金融隐私,会越来越为各界重视。

第四,加强监管机构职责。《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第二条规定,银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。2018年3月22日,中国人民银行杭州中心支行依据《非金融机构支付服务管理办法》,对支付宝(中国)网络技术有限公司做出处罚,其依据正是支付宝收集个人信息不符合最少和必需原则,个人金融信息使用不当。此外,《中华人民共和国网络安全法》第四十一条也规定,网络运营者在收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。(本文为北京市社会科学基金项目“金融隐私权合理使用规则研究”〔项目号:15FXB024〕的阶段成果)。本文原载于《中国银行业》杂志2018年第11期。

微信征稿启事

《中国银行业》由中国银保监会主管、中国银行业协会主办,是目前唯一一本带有全行业性质的公开刊物,是沟通监管部门和机构的纽带,是行业交流的平台,也是社会了解银行业的窗口。目前《中国银行业》杂志微信公众号已开通征稿邮箱,面向广大读者征稿。我们期待您的稿件。

微信投稿邮箱:zgyhy001@163.com

关注更多精彩内容

上一篇终于有人把云计算、大数据和人工智能讲明白了!

下一篇研报| 大数据:发展全气候纯电动汽车势在必行

相关文章:

午夜本月排行

午夜精选