● 目前我國金融隱私泄露的主要類型包括銀行數據泄露、保險數據泄露、其他平台金融數據泄露、網貸業務及大數據風控亂象
● 對標國際金融隱私保護的法律制度體系,儘快出台符合我國國情的專門金融隱私保護法律法規,補齊法律短板,推進金融隱私信息的專門化、系統化保護
近年來,我國金融產品和服務日趨豐富,在為金融消費者帶來便利的同時,金融消費糾紛頻發等問題也日益凸顯,金融消費者保護成為全社會關注的話題。
值得注意的是,傳統金融行業互聯網化進程中,大數據、人工智能、移動互聯網、物聯網及區塊鏈等新技術的應用,在推動金融產業創新、增加便民性、提升工作效率的同時,也給金融用户隱私保護帶來了新風險與新挑戰。近些年,金融用户隱私泄露事件及侵犯公民個人信息違法犯罪頻頻發生,不但直接損害金融用户的利益,擾亂金融市場秩序,甚至可能帶來系統性金融風險和引發羣體性事件。
5月27日,國務院金融穩定發展委員會辦公室發佈消息稱,將於近期推出11項金融改革措施,在加強金融違法行為行政處罰方面,提出出台《加強金融違法行為行政處罰的意見》,切實保護金融消費者合法權益。
同時,政府工作報告在今年發展主要目標和下一階段工作總體部署中也提到,要加強重大風險防控,堅決守住不發生系統性風險底線。
網貸風控亂象百出 金融隱私泄露頻繁
近期,江蘇淮安警方發現,網絡上多個QQ賬號可付費查詢公民個人信息。經查,犯罪團伙已形成規模化黑色產業鏈,民警奔赴9省12市,抓獲26名嫌疑人,涉案金額2000多萬元。其中,某銀行工作人員丁某僅靠幫忙查詢銀行卡信息,一年黑色收入超30萬元。丁某在接受警方訊問時表示,“我真不知道這是違法的”。
銀行卡信息不僅屬於個人隱私,而且是隱私信息中極為“敏感”的一項。對此,業內人士表示,這樣的黑色產業鏈,不僅侵犯了公民個人權利,也直接危害到金融體系運行的安全性。
涉及消費者個人隱私以及金融信息泄露的侵權行為也讓消費者頗為不滿。
來自上海的趙女士稱,前段時間申請按揭貸款險些被拒貸,銀行給出的理由是她曾經連續多次查詢個人徵信,有騙貸嫌疑。後來查詢詳細的徵信報告才知道,她在幾個網站辦理業務時自動簽訂了“徵信授權書”,由於這些業務條款是格式條款,當時沒有仔細閲讀便選擇了同意。
還有消費者説,自從在某保險公司買了保險後,就不斷接到保險以及信用卡推銷電話。“對方知道我的姓名、住址等信息,細問之下還能説出我買過什麼保險,基本可以確定是保險公司泄露的信息。”
有銀行員工透露説,銀行、保險機構的一些合約上會有類似“乙方同意甲方將其個人資料披露給甲方認為必需的第三方”的格式條款。由於“必需的第三方”沒有明確定義,遇到這類情況,對方是否侵權很難界定;由於是格式條款,即便籤約時看到,消費者也只能表示同意,沒有自主選擇權。
根據中國互聯網協會發布的《網民權益保護調查報告》,78.2%的網民的個人身份信息、63.4%的網民的網絡金融交易記錄曾被泄露過。近年來,每年發生金融隱私泄露事件大約以35%的速度在增長,有公開報道或記錄2016年1093起,2017年1511起,2018年1967起,2019年2300多起。
在中國人民公安大學“網絡空間安全與法治協同創新中心”聯合“江蘇通付盾科技有限公司”針對金融隱私保護問題發佈的《金融隱私保護問題分析及對策》中,提到目前我國金融隱私泄露的四個類型:
一是銀行數據泄露;二是保險數據泄露;三是其他平台金融數據泄露;四是網貸業務及大數據風控亂象。
在中國人民公安大學網絡空間安全與法治協同創新中心秘書長杜彥輝看來,網貸業務是金融隱私泄露問題的主要根源之一。大量的網貸業務需求和尚不完善的個人徵信體系滋生了大量民間風控機構,很多互聯網公司、大數據公司紛紛佈局徵信行業。但是,在央行獲批個人徵信牌照的機構僅有百行徵信1家,遠遠滿足不了民間網貸的需求。在工商以從事個人徵信業務註冊的公司多達數千家,這些公司為開展風控業務,使用非法爬取、採集、交換等方式獲取或騙取公民身份類、位置類、徵信類甚至通信類信息。有的公司在開展風控業務的同時,還開展催收業務,其中不乏一些大型互聯網企業。此外,網貸行業還滋生出套路貸、校園貸的犯罪產業,套路貸團伙的風控業務也通過數據的層層買賣交換和這些數據風控公司發生合作交集。
信息查詢潛規則多 監管體系亟須完善
一系列涉及個人金融信息安全事件的出現,給從業機構敲響了警鐘。
近年來,監管部門嚴格監管銀行客户信息安全管理,罰單不斷。一些違規泄露客户信息的員工,不僅遭終身禁業,還會受到法律嚴懲。
“正因為如此,不存在大規模數據泄露或導出售賣的可能性。但不可否認,依然存在個別通過‘走後門’的關係進行信息查詢,或者由於員工操作不當導致系統信息出現泄露的情況。”某城商行高管如是説。
對於其中的“潛規則”,《金融隱私保護問題分析及對策》也進行了披露。金融隱私信息買賣的市場需求巨大、經濟利益豐厚,不法分子為了牟利,建立起完整的用户信息非法交易的黑色產業鏈條。在這些非法交易產業鏈上,部分買家來自保險公司、P2P等金融類機構,賣家則多來自銀行、軟件企業、電子商務企業、諮詢公司、調研機構等不同行業的企業,以及從事網絡黑產的“黑客”等。同時,國內的多數金融企業沒有充分認識到金融信息安全威脅及危害的嚴重性,存在信息安全管理不嚴格、金融產品開發與信息安全保護不同步、金融企業的應急處置能力明顯不足等問題。此外,還有不少金融企業在金融信息安全保護方面存在數據分佈零散化、未能實現集中管理、未能建立形成常態化數據風險管控機制等問題。
河南工業大學知識產權研究中心主任李文江曾對鄭州商業銀行300位客户經理進行問卷調查,2018年在《我國商業銀行客户信息的秘密性及其保護》一文中公佈了結果:“60%以上的客户經理所在銀行沒有建立客户信息保密制度,不瞭解客户信息的範圍;70%的客户經理認為所在銀行的客户信息保密制度過於原則,沒有覆蓋客户信息收集、整理、提升和使用的各個環節;90%的客户經理認為客户信息主要掌握在客户經理手裏,所在銀行沒有規定統一保護措施,工作調動時可以隨意帶走客户信息,不存在任何制約措施。”
對此,中國人民公安大學網絡空間安全與法治協同創新中心研究員蘆天亮建議,規範金融隱私信息的保護管理規定,細化日常操作流程、應急處理流程和預案,完善內部檢查及監督機制。嚴格金融隱私數據的收集、存儲和使用的要求,收集隱私信息遵循最小化原則。建立金融隱私信息的安全評估制度,定期進行安全風險評估和檢查,及時調整安全防護策略和措施。同時成立專門金融隱私監督機構或歸口指定相關職能機構,專職負責全國金融產業隱私信息的安全監管。創新監管模式,由以往事中、事後監管積極向事前監管轉換。進一步明確金融企業保護金融隱私的責任和義務,督導金融企業加強金融隱私保護的建設和投入,進一步嚴密金融隱私保護制度和措施。
加快補齊法律短板 系統保護金融隱私
近年來,金融監管部門不斷加大對金融消費者權益保護工作力度,規範和引導金融機構提供金融產品和服務的行為。比如,去年12月底,中國人民銀行公佈了2016年制定的《金融消費者權益保護實施辦法》修訂後的徵求意見稿。此外,央行等四部門聯合發佈《關於進一步規範金融營銷宣傳行為的通知》,自今年1月25日起正式施行。
即使如此,杜彥輝認為,目前我國尚未形成嚴謹的金融隱私保護法律體系,尚未有專門金融隱私保護法律法規,而且已有的法律法規流於原則性保護,針對各機構和平台主要以行政處罰為主。因為立法上的不完善,司法過程中不能夠行之有效地解決問題,致使現階段少數金融企業或不法分子無所顧忌,對客户金融隱私權一次又一次地進行侵犯。
今年全國兩會上,多位全國人大代表建議加快金融消費者權益保護立法進程,並對現行的金融監管法規進行修訂完善。
全國人大代表、中國人民銀行參事周振海建議,通過制定《金融消費者權益保護條例》的方式,完善我國金融消費者權益保護領域立法,以此提高金融消費權益保護的立法層次。在立法層面做出某些特殊制度安排,例如建立監管協作機制、引入金融消費公益訴訟制度、確立金融消費糾紛多元化解決機制等。
全國人大代表、中國人民銀行鄭州中心支行行長徐諾金表示,應建立金融消費者保護機制,將存款人保護條款拓展為金融消費者保護條款,實現對金融產品和服務對象的平等保護。
為此,蘆天亮建議,對標國際金融隱私保護的法律制度體系,儘快出台符合我國國情的專門金融隱私保護法律法規,補齊法律短板,推進金融隱私信息的專門化、系統化保護。結合金融互聯網化的發展趨勢和特點,在法律層面上更加全面準確地界定金融隱私信息的定義及內涵,明確其法律地位、權利屬性以及金融企業、金融用户等不同主體在收集使用等過程中所要遵循的原則。細化金融企業、相關網絡運營商、服務商、金融企業客户、普通民眾等在金融隱私保護方面的責任義務,明確追責的內容和規定條款,使金融隱私保護切實做到有法可依、有法必依。
中央財經大學法學院教授鄧建鵬也認為,目前,我國還沒有形成一部專門的數據法,只有與數據相關的法律法規,確實存在政出多門的狀態。而這種狀態也與公民個人信息的複雜性有關,若干個有權力的部門會根據其職權來規定如何保護公民個人信息和個人數據。(記者 趙麗 實習生 郭元橋)