【作者】许燕佳
【作者简介】北京师范大学法学院硕士研究生。本文是重庆市教委人文社会科学研究项目(基地项目)“推进西部金融中心建设中的金融法院研究”(项目号23SKJD011)的阶段性成果。
【摘要】商业银行对于个人信息的依赖程度远远高于其他行业,负有的个人信息保护义务也更需关注。基于对六类30家商业银行移动互联网应用程序(App)隐私政策的考察,发现商业银行在收集用户个人信息时仍存在告知同意不充分、目的表达模糊、敏感信息未区分对待等现象。究其成因,个人信息收集制度存在缺陷、侵权司法救济标准不完善、金融监管混乱等造成了商业银行个人信息收集行为的规制困境。为有效平衡利益冲突、促进信息合理利用,首先,应优化商业银行个人信息收集制度,明确告知同意相关规定,建立分级告知同意规则;其次,通过司法解释弥补法律不完备性,明确损害赔偿认定标准,对最小必要原则采用具体化弹性解释;最后,通过细化监管制度、整合监管规范等加强与完善商业银行个人信息收集行为监管,从而促进个人信息的合理利用和银行业的健康发展。
【关键词】个人信息收集 商业银行 隐私政策 告知同意
一、问题的提出
2023年7月7日,国家金融监督管理总局针对蚂蚁科技集团股份有限公司在过往年度侵害消费者合法权益等违法违规行为作出了行政处罚,罚没合计376248.06万元(以下简称蚂蚁集团案)。该处罚的主要案由中包括了“未按规定处理部分消费者个人信息”这一项。[1]可见,在数字化时代,金融行业的个人信息保护问题日益受到重视。商业银行作为我国金融体系的主体,立法对其个人信息保护义务呈持续关注态势,[2]在实践中其个人信息保护的不规范情形也越发引起关注。[3]
个人信息收集是商业银行信息处理活动的开端和个人信息保护的首要环节。随着金融科技的发展,商业银行手机银行应用程序(App)成为金融交易双方线上活动开展的桥梁,商业银行对用户个人信息的需求量与收集力度剧增,[4]对个人信息的收集表现出客观必要性。但是,较之其他行业,银行业拥有更为庞大的客户静态资产数据和动态交易数据,具有远超于其他行业的业务数量、规模和关系复杂性。[5]若在收集过程中未能较好保护,对于用户造成的侵害程度可能也是巨大的。因此,商业银行的个人信息收集行为也具有规制的必要性。
为了更好地规制完善商业银行的个人信息收集行为,平衡商业银行的个人信息利用与用户的个人信息权益保护之间的利益冲突,本文通过分析大型国有银行、股份制银行、民营银行、城市商业银行、农村商业银行、村镇银行共30家商业银行App隐私政策中的收集条款,试图找出在商业银行个人信息收集中仍存在的一些问题,并深入分析问题成因,提出有针对性的完善建议。
二、商业银行个人信息收集行为的实证考察
隐私政策[6]作为商业银行处理个人信息时履行告知同意制度的重要工具,在一定程度上体现了商业银行的信息处理方式。为了更全面地考察现阶段商业银行的个人信息收集行为,本文按照银行类型、区域随机选取了六类30家商业银行App的隐私政策文本作为研究对象[7](具体研究对象见表1)。
表1 研究对象
|
类别 |
名称 |
|
国有银行(2家) |
中国建设银行股份有限公司手机银行个人信息保护政策、中国银行股份有限公司手机银行隐私政策 |
|
股份制银行(4家) |
招商银行App用户隐私政策、中国光大银行手机银行个人信息保护政策、民生银行手机银行隐私政策、华夏银行个人手机银行隐私政策 |
|
民营银行(4家) |
深圳前海微众银行App隐私政策、浙江省网商银行股份有限公司隐私权政策、众邦银行个人信息保护指引、江西裕民银行隐私政策 |
|
城市商业银行(6家) |
北京银行电子银行用户隐私政策、河北银行电子银行用户隐私政策、内蒙古银行App用户隐私政策、苏州银行手机银行隐私政策、福建海峡银行电子银行隐私政策、贵州银行股份有限公司隐私政策 |
|
农村商业银行(6家) |
河南农村信用社(个人)手机银行隐私政策、[8]天津农商银行App用户隐私政策、南海农商银行手机银行隐私政策、广东顺德农村商业银行股份有限公司隐私政策、成都农商银行手机银行个人信息保护政策、江西农商银行手机银行用户隐私政策 |
|
村镇银行(8家) |
南阳村镇银行用户隐私保护条款、青岛西海岸海汇村镇银行App用户隐私政策、临朐村镇银行App用户隐私政策、长子县融汇村镇银行有限责任公司隐私政策、天津武清村镇银行隐私政策、浙江稠州村镇银行手机银行用户隐私政策、长江村镇银行网络银行用户隐私政策、桂林国民村镇银行用户隐私保护条款 |
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)是我国目前规范个人信息处理行为层级最高的专门性法律文件,根据《个人信息保护法》中关于信息收集的主要条款,如第六条、[9]第十七条、[10]第二十九条,[11]商业银行在与用户签订相关业务协议时,应明确收集、使用用户信息的范围、途径、使用方式,涉及敏感信息时,应取得用户的单独同意,并允许用户自行选择,且不得因用户不同意其收集相关信息而拒绝为用户提供服务。从App隐私政策文本来看,30家商业银行的隐私政策均专门设置章节对个人信息收集的内容、目的、方式等作出了一定的说明,这是对于《个人信息保护法》第七条规定的公开透明的信息处理原则的落实。然而,商业银行在收集个人信息过程中仍存在不规范现象,例如文本篇幅冗长、语言专业繁复,收集目的表达模糊等“告知”不到位的现象,同时用户少有实质拒绝权,且对于对用户权益影响较大的敏感信息应取得“单独同意”的规定鲜有银行落实到位。
(一)信息收集的告知同意不足
根据《个人信息保护法》第十四条,[12]信息主体对于个人信息处理行为的有效同意同时包括了基于通知的充分“知情”和基于知情的“自愿”选择两个层面的内涵,任一层面缺失都会限制、削弱同意的有效性。[13]30家商业银行的隐私政策中虽然都明确了用户需审慎阅读该政策,在确认充分理解并同意后开始使用,但是仍存在语言冗长复杂、抽象模糊的问题,且因该政策为格式条款,用户的自由选择基础并不充分。
1.信息收集的告知不充分。隐私政策是信息处理者为尽到合规义务而制定的专业性条款。然而,该类文件通常存在篇幅冗长而难以精准阐明协议内容、用语极其专业且语法过于复杂等问题,其理解难度往往远超普通个人的认知水平,极大地削弱了用户的知情程度。[14]
在篇幅上,所分析的30家商业银行中,除了长子县融汇村镇银行(9323字)外,其余29家银行的隐私政策字数均超过一万字,而其中只有光大银行、网商银行2家银行制定了隐私政策的简略版文本。
在语言上,多数商业银行都存在收集条款的语言表述专业复杂、晦涩难懂的现象(具体详见表2示例)。而商业银行App用户对象是多元化的,常常不具备相关的知识背景和理解能力,导致用户的实际阅读率低,且即便进行阅读,信息主体仍可能不理解其所同意的隐私政策、服务协议等文件。[15]还有部分银行的收集条款表述模糊笼统,例如,南阳村镇银行在收集目的更新的条款中关于“关联性”的表述为“原则上,当新功能或服务与我行当前提供的功能或服务有关时,收集与使用的个人信息将与原处理目的具有关联。在与原处理目的无关联的场景下,我行收集、使用您的个人信息,会再次进行告知并征得您的同意。”此处并未解释“有关”的限度,具体何种程度具备关联性的解释权掌握在银行手中,用户对于该类条款可能难以充分理解。
表2 隐私政策文本表述示例
|
类型 |
银行 |
语言表述 |
|
国有银行 |
中国银行 |
当您使用安卓版客户端时,采集您的手机设备信息包括boot id、android ID、dummy mac、p2p mac、WiFi mac、手机序列号、imei、SIM卡序列号、imsi、sdcard id、...、GPRSIP、GPRS网络类型、WiFi BSSID、初始化用时、当前程序路径、宿主包名、宿主证书签名、宿主sdkmd5、设备包含token数量、上一次token状态、上一次token值、sessionId、执行时间、异常日志、协议类型、UI进程栈顶activity名称 |
|
股份制银行 |
招商银行 |
特征提取方式包括但不限于:基于个体或群体客户的统计值(如求和)、ONEHOT处理、向量化处理等 |
|
华夏银行 |
振动权限:用于CFCA登录密码键盘、CFCA手势密码键盘、社保业务、指纹开通、指纹认证、扫描银行卡场景 |
|
|
民营银行 |
众邦银行 |
为识别和验证您的用户身份,我行将通过[API]采集您的以下信息:唯一设备识别码(如Android ID、IMEI、IMSI、Unique ID、MAC地址、IDFA/IDFV)以及本机号码,以保障您的金融信息安全 |
|
裕民银行 |
该SDK还使用了阿里fastjson库以进行反序列化 |
|
|
城市商业银行 |
贵州银行 |
该SDK需要获取您的位置信息(可能包括经纬度、精确位置、粗略位置)[通过IP地址、GNSS信息、WiFi状态、WiFi参数、WiFi列表、SSID.BSSID、基站信息、信号强度的信息、蓝牙信息、传感器信息(矢量、加速度、压力)、……、设备标识信息(IMEI、IDFA、IDFV、ndroid ID、MEID、MAC地址、0AID、IMSI、ICCID、……,用于实现定位功能 |
|
农村商业银行 |
成都农商银行 |
如您是安卓用户,该SDK需要获取您的Android设备:系统版本号、WIFI Mac地址、设备、设备名称、系统制造商、硬件名称、Android ID、Build. USER、Build. HOST、App创建时间、App 版本号 |
|
村镇银行 |
长子县融汇村镇银行 |
采集用户信息字段:手机型号、名称、厂商、Android版本、系统版本、应用签名证书、androidId、CPU ABI、硬件、FIDO设备密钥证书、FIDO标识、系统安全数据(root、ptrace) |
2.提供的实质拒绝权不足。所分析的30家商业银行App中,用户如要注册或登录获取服务必须以阅读并同意该隐私政策为前提,用户往往仅能够选择“同意”才能继续获取相应商品或服务。若用户选择拒绝,大多数银行都会弹窗显示“在使用我行手机银行服务前,请您阅读并同意隐私政策”或“若不同意,很遗憾我们无法为您提供服务”此类表述,并提供“退出App”与高亮的“确定”两个选项,若不点击同意,便无法使用。有的银行“暂不同意”选项点击无反应,连续点击数次之后应用程序自动闪退(如南海农商银行)。有些银行甚至并未弹窗提醒,而是直接关闭应用或闪退[16]。30家商业银行中,只有光大银行、民生银行、贵州银行以及河南农村信用社共4家银行在用户不同意隐私政策后依然提供部分服务。隐私政策的阅读被异化为进入应用的一项机械化步骤,用户面临同意或退出的二选一选项,缺乏实质拒绝权,仅具有形式意义上的合法性。[17]
(二)信息收集的目的表达模糊
《个人信息保护法》第六条规定了个人信息处理应遵循目的限定、最小必要原则,首先要求个人信息收集的目的具有明确性、合理性。对此,由于信息主体(用户)和信息处理者(商业银行)之间存在信息不对称的客观事实,为了避免用户因信息的不充分而作出错误的决策,商业银行在收集信息之时应善尽说明义务。[18]
具体而言,六类商业银行App收集个人信息的基本目的包括:业务准入和防控风险、提供服务、保护资金安全、履行法定义务、进行个性化推荐、改善产品和服务等。从政策的文本表述可知,商业银行的部分条款对于目的的表述均比较概括和抽象,不甚明确(具体详见表3示例)。普通用户很难通过“提供准确、个性和便捷服务”“提升服务体验”“实现交易风险控制”“数据统计分析”等模糊描述清楚地知悉个人信息的用途和去向。有的银行在收集目的表述中存在笼统概括的现象,其收集的信息范围与其所述目的难以关联。如稠州村镇银行第三方SDK为了获取设备标识,收集了存储的个人文件、位置信息、手机通讯录等与“设备标识”关联性不大的信息,存在过度收集之嫌。
表3 收集目的表述示例
|
类型 |
银行 |
条款表述 |
|
国有银行 |
建设银行 |
为向您提供更加准确、个性和便捷的服务,提升服务体验,我行会收集您使用电子银行功能或服务的类别、方式和操作行为信息,以及您在我行的用户和交易信息,我行会对这些信息进行统计、分析,并会根据上述信息向您提供精准推送服务 |
|
民营银行 |
微众银行 |
在您开立账户后,基于对您的账户和身份进行持续验证管理的需要时,我行可能补充收集您的所在单位 |
|
城市商业银行 |
北京银行 |
为了给您提供更好的服务,我行京彩生活App使用了神策网络科技(北京)有限公司提供的神策SDK,该SDK需要获取您的启动、登录、退出、点击、浏览、报错、使用时间、IP地址、设备型号、设备ID、操作系统类型、屏幕分辨率、网络类型、运营商名称、手机号、交易账号、App版本号、浏览器类型信息,用于实现数据统计分析和使用体验优化 |
|
农村商业银行 |
顺德农商银行 |
收集目的:提升软件安全性。个人信息收集范围:Android ID、MAC、运营商信息、WiFi信息、IP、应用列表、IMEI、IMSI、MEID、SARIAL、电话信息、位置信息 |
|
村镇银行 |
稠州村镇银行 |
使用目的及场景:获取设备标识。涉及收集的信息:设备信息(IMEI、ANDROID_ID、DEVICE_ID、IMSI)、存储的个人文件、位置信息、手机通讯录、网络信息 |
(三)敏感信息收集未区别对待
《个人信息保护法》第二十八条规定了敏感信息内涵并进行了列举,并在第十四条所规定的明确同意的基础上,于第二十九条规定了敏感信息的处理应取得个人的单独同意。对特定的敏感个人信息的收集,商业银行应该赋予用户在自由、具体、知情的情况下对该单独事项作出意思表示的权利,做到“一处理”对应“一告知”,“一告知”对应“一同意”。[19]然而,实践中商业银行对于收集敏感信息需取得单独同意的规定落实得并不到位。
1.敏感信息与一般信息未明确区分。在概念区分上,所分析的六类30家商业银行App隐私政策中,大部分银行规定了个人敏感信息与一般信息的概念差别,并在文中用粗体字、下划线等予以警示。其中,光大银行还在各条收集条款中括号特别提醒用户该条提到何种敏感信息,[20]方便用户在授权前明确、清晰地识别敏感信息。但是,仍有部分银行存在未明确区分个人敏感信息与一般信息的现象。网商银行、南海农商银行和长子县融汇村镇银行3家银行没有区分一般的个人信息与敏感个人信息;而武清村镇银行和长江村镇银行2家银行虽然在开篇提出了个人敏感信息与一般信息的概念划分,但是在正文收集条款中并未用粗体字等明显标记提醒用户敏感信息内容。
在授权原则区分上,仅有光大银行、河南农村信用社和顺德农村商业银行3家商业银行App在隐私政策收集条款中规定了个人敏感信息收集需要获得用户的单独同意,建设银行和招商银行2家银行的隐私政策中虽然也有“单独同意”的表述,但是仅规定在信息共享给第三方时的场景,在个人敏感信息收集的条款中并未提及。而其余25家银行则未在隐私政策中出现任何“单独同意”的字眼。
2.敏感个人信息被一揽子夹杂授权。在30家商业银行App隐私政策的具体条款中,仅有光大银行贯彻了敏感信息会取得用户单独、明确授权的原则,其余29家银行均存在个人敏感信息与一般信息夹杂授权的现象(具体详见表4)。其中,众邦银行不仅制定了《隐私政策》,同时还专门制定了《个人敏感信息收集及使用授权书》,但在两份文件中均未提及“单独同意”的处理规则,另外,其不仅在《隐私政策》收集条款中存在夹杂授权的现象,并且在《个人敏感信息收集及使用授权书》文本中存在一揽子协议授权、强制授权的现象。而长子县融汇村镇银行则直接在其隐私条款中规定了统一、强制的信息授权。
表4 敏感信息夹杂授权的文本表述
|
类型 |
银行 |
条款表述 |
|
国有银行 |
中国银行 |
当您参加推广活动时,我行可能会收集您在中国银行微信银行绑定的银行卡号/账号及对应的用户标识、年龄、手机号、微信步数、金融资产信息用于活动参与准入条件及活动达标条件判断,也可能会收集您的姓名、银行卡号、身份证件号码、手机号码、手机设备、通讯地址、交易金额信息用于奖品发放、报税、身份识别等营销活动相关事项 |
|
股份制银行 |
民生银行 |
当您在办理代销基金业务时,需向我行提供或因使用服务而产生的个人信息包括姓名、性别、年龄、国籍、职业、出生日期、证件类型、证件号码、证件有效期、联系地址、联系电话、年收入;敏感个人信息:账户信息,以及交易信息、资产信息、服务信息、凭证信息 |
|
城市商业银行 |
苏州银行 |
当您使用信用卡申请功能时,我行将会收集姓名、手机号、身份证件信息、年龄、常住地址、详细地址、公司名称、职位职务、公司地址、公司电话、收入、教育信息、联系人信息、电子邮箱、税收居民信息 |
|
农村商业银行 |
南海农商银行 |
当您使用微信银行服务时,我行会收集您的昵称、OpenID、UnionID、账户信息、手机号码、位置信息,从而为您提供我行微信银行的相关服务 |
|
村镇银行 |
长子县融汇村镇银行 |
本App可能会获取以下权限用于各项功能,如不授予其中某项权限,将可能导致您无法使用对应功能 |
|
临朐村镇银行 |
当您使用临朐村镇银行App服务时,为了维护服务的安全稳定运行,预防交易和资金风险,我行会收集以下信息,包括您的设备型号、操作系统、唯一设备标识符、临朐村镇银行App软件版本号、登录IP地址、接入网络的方式、类型和状态、网络质量数据、登录设备mac、与临朐村镇银行App操作日志及服务日志相关的信息、地理位置信息、应用列表信息 |
三、商业银行个人信息收集行为的规制反思
通过对30家商业银行个人信息收集行为的现实考察,发现商业银行在收集个人信息过程中仍存在保护缺陷。究其成因,其一,个人信息保护法律制度的完备性相较于市场竞争与利益追求步伐仍存不足,且现有收集制度在个人信息保护与利用之间失衡,未能较好适应社会发展;其二,司法实践中商业银行的个人信息收集行为侵权涉诉较少,相关司法评判标准尚待形成与完善;其三,原先商业银行个人信息收集行为的监管机构多头、监管职能界分模糊,监管的规范依据分散、效力层级低,导致监管混乱。
(一)个人信息收集制度存在缺陷
个人信息收集制度层面的缺陷使商业银行个人信息收集行为缺乏有效指引和规制,是造成前述若干现实问题的重要原因。一方面,个人信息收集的相关制度规定阙如;另一方面,现有收集制度未能较好适应社会发展。
1.个人信息收集相关法律规定不明确。虽然我国陆续出台了关于个人信息保护的法律规范,但是仍存在相关概念性质不明、标准不清等细化问题。这可能导致商业银行在收集个人信息时,因规范模糊而抱有弱化个人信息保护义务的侥幸心理。具体而言,存在以下问题:
其一,单独同意制度的法律规定笼统。《个人信息保护法》第十四条对同意进行了“自愿、明确作出”的原则性规定,并增设了单独同意这一我国独创的全新概念,此前的法律中均没有规定,比较法上似乎也未见类似的立法例。[21]这一制度对特定场景的同意作出了强化要求,然而并未对单独同意的概念和同意的具体要求作出特别明确的规定,条文的不明导致单独同意与同意之间的关系处于悬而未决的状态。[22]
其二,“告知同意”的性质和标准不明。随着互联网的发展,企业采用隐私政策进行告知目前已成为通用做法。虽然我国立法者已然明显察觉基于隐私政策的告知同意制度并不等同于传统合同自治,而认为告知同意制度是一种具有保护型特征的法律制度,[23]但是,目前我国并没有专门就隐私政策制定相关规范性文件,学术界对隐私政策的性质则存在“合同说”与“规制工具说”两种观点[24]。具体而言,若视隐私政策为“合同”,则用户基于隐私政策的个人同意属于民事法律行为,该同意将因敏感个人信息被夹杂授权的情形违背《个人信息保护法》对于处理敏感个人信息需获“单独同意”的规定而归于无效。[25]若视隐私政策为商业银行履行相应义务的“规制工具”,[26]用户同意的性质则更接近于商业银行的违法阻却事由或者免责事由。[27]由此看来,隐私政策如何定性将在很大程度上影响商业银行落实“针对敏感个人信息取得单独同意”规定的积极性和主动性。然而,我国目前尚未有立法针对隐私政策的性质进行界定,这不可避免地在法律上留下了空白或者灵活解释的空间,也将对敏感个人信息的保护产生影响。同时,由于缺乏具体的隐私政策文本合法性规制,多数隐私政策存在文本冗长、言语晦涩等现象,告知效果大打折扣。
2.现有“告知同意”制度忽略现实矛盾。根据《个人信息保护法》第十四条,所有个人信息的收集都应在个人“充分知情”的前提下取得其“明确同意”。该条规定的告知同意制度对于所有类型的个人信息一概采取较为严格的保护模式,实则忽略了商业银行与用户间利益冲突、地位不对等性等现实矛盾,在数字经济时代较难实质性适用。
一方面,个人信息的利用与保护存在着利益冲突关系,[28]在利益最大化目标的驱动下,为了更大限度并更顺畅地收集个人信息,商业银行往往倾向于笼统告知其收集范围、方式等,造成在收集信息时用户难以“充分知情”。另一方面,银行与用户的权力地位不对等,商业银行单方面制定隐私政策并进行不定时更新,享有充分自由裁量权,而用户个人“讨价还价”能力有限,对于收集表达模糊的条款非“同意”则“退出”的二选一机制无可奈何。在此情形下,忽视现实矛盾而对所有个人信息一概采用严格保护的传统告知同意模式,容易造成商业银行对所有类型的个人信息收集的告知同意采取“一键模糊”模式,既造成敏感个人信息保护缺失,又导致商业银行在收集对个人权益几乎没有影响的信息时成本较高,不利于信息的利用。
(二)侵权司法救济标准尚待完善
根据我国现行法律规定,侵害用户个人信息权益时,商业银行需要承担赔礼道歉、赔偿损失等民事法律责任,在情节严重时可能触犯侵犯公民个人信息罪。由于刑法具有谦抑性,用户往往因侵权情节未达入罪标准而通过私法途径维权。然而,在目前司法实践中,可检索的个人信息收集行为涉诉案件多为刑事案件,在私法层面缺乏案例可供参考,侵权司法救济标准尚未形成。在相关法律规定尚不完备的情况下,目前的司法解释状况未能对此类侵权案件的司法救济起到较好的弥补和辅助作用。
关于侵害个人信息权益的损害赔偿责任,因为信息系统本身具有较强的开放性和技术依赖性,根据《个人信息保护法》第六十九条规定的前两项标准,[29]司法实践往往难以确定侵权的赔偿方式与赔偿数额计算方法。同时,对于赔偿的“实际情况”应如何认定,一方面,该条款既未对其内涵进行概括式阐明,也未对其外延展开考量因素和情景列举;另一方面,具有辅助功能的配套法律法规或者司法解释也尚付阙如。因此,法官很难具体量化在此种“虚实交织”的法律关系里用户受到的实际损失,用户难以根据立法和司法情况形成损害赔偿上的心理预期,商业银行也不易感受到法律对其违法处理行为的规制力度,这将导致个人信息权益保护无法较好地实现。
同时,立法对于“敏感个人信息需取得单独同意”规则的违反后果并未作特别规定,只能根据个人信息权益侵害的严重程度,也即“实际情况”,作出区分于侵害一般个人信息的法律责任判定。但正如前所述,法律规范和司法解释对于“实际情况”均未作具体阐明,在实际司法认定时存在障碍,难以确定赔偿金额。这可能导致商业银行在收集敏感的个人信息时有恃无恐,使单独同意条款适用的实际效果不尽如人意。[30]
此外,随着二次利用成为信息产业常见的商业运行模式,最小必要原则本身假定的在信息收集阶段其处理目的便得以确定的前提受到挑战。由于对隐藏信息的提取分析或对信息进行变革性利用恰是大数据分析技术所提供的最大价值,在实践中,信息处理者其实难以在信息收集阶段便详细阐明该信息的全部可能用途。[31]在此情形下,对于所有类型的个人信息皆采用严格的“最小必要”的解释标准,不仅在一定程度上阻碍了商业银行对于个人信息的利用,还使商业银行为了确保其信息处理顺畅,在信息收集阶段往往较为模糊、笼统地表达所有类型信息的处理目的,从而造成用户难以明确知晓关涉个人权益的个人信息被收集的真实目的。[32]
(三)银行信息收集行为监管混乱
相较于民事责任和刑事制裁,作为行政权的行使方式,行为监管能更好地矫正商业银行与用户之间地位、能力的不平衡。[33][34]个人信息保护的监管牵涉多个部门,[35]而金融消费者的个人信息保护因金融行业的专业性更需金融监管机构来把握信息收集的正当性与必要程度。然而,针对商业银行个人信息收集行为的监管仍较混乱,一方面,相关规定分散且层级较低,金融监管机构的介入缺乏充分授权;另一方面,监管部门多头,职能界分不明。
1.监管法规供给不足。金融领域个人信息的监管法规供给不足,使金融监管部门的监管工作难以有效开展。[36]从法律层面上看,《中华人民共和国民法典》对个人信息保护的规定限于宣示性表达,《中华人民共和国网络安全法》侧重于对互联网领域侵权行为的规范,未深入具体至金融信息的专业领域。现行《中华人民共和国商业银行法》同样仅从原则上要求商业银行为客户保密,尚未有关于商业银行负有个人信息保护义务的规定,也并未针对商业银行个人信息保护的监管部门作出规定,[37]提供的公权力救济介入依据不足。《中华人民共和国消费者权益保护法》(以下简称《消费者保护法》)是否可以作为金融监管机构的执法依据因“金融消费者”的概念在法律层面尚未明确而存在争议。[38]而《个人信息保护法》作为我国个人信息治理的专门性法律,仅在敏感个人信息外延列举中提及“金融账户”,且停留于取得单独同意和必要审慎使用等原则性规定。因此,对于金融监管部门而言,金融机构收集和处理个人信息活动的行为监管在法律规范层面仍然缺乏具体指引。
从细化规定上看,我国现阶段虽然存在一些有关个人金融信息保护的专门规定,但大部分是中国人民银行制定的部门规章或层级效力更低的规范性文件,术语不统一、用语不规范,[39]难以为银行业的协同监管与行为监管提供强有力的制度支撑。例如,《中国人民银行金融消费者权益保护实施办法》设置了专门章节对金融消费者的个人信息进行保护,然而作为部门规章,该文件的规范内容限于同中国人民银行职责相关的业务,而中国银行保险监督管理委员会(现国家金融监督管理总局)、地方金融管理部门等则难以适用。而《个人金融信息保护技术规范》则从技术标准层面提供了个人金融信息保护的规范支撑,虽具备行业指导意义,但由于缺乏强制性,无法作为行为监管的执法依据。
2.监管职能界分不明。在2023年《党和国家机构改革方案》公布调整我国金融监管格局之前,针对金融消费者的个人信息权益保护,中国银行保险监督管理委员会(现国家金融监督管理总局)、中国人民银行、地方政府有关部门等都对商业银行具有一定的监管职权,但并无有效的法律规范明确各个部门的监管职能划分和监管模式。而已有金融消费者个人信息保护的专门规范性文件却主要由中国人民银行制定,该情况导致监管执行与规则制定部门不对应、具体规范未能较好地结合银行业实际发展需求的混乱局面,既造成规则制定成本与落地难度增加,又不利于行为监管效率的提升。同时,因不同金融监管部门职能划分不明确,且缺乏有效沟通,[40]个人信息的保护出现了监管真空或者监管重叠现象。[41]这赋予了商业银行的个人信息收集行为逃脱监管的机会,使商业银行个人信息收集行为的规制效果大打折扣。
四、商业银行个人信息收集行为的规制优化
为在合理范围内最大限度地发挥个人信息价值的同时加强个人信息权益保护,应当完善个人信息收集的相关法律规定、优化现有个人信息收集制度,并通过构建良好的侵权救济司法解释体系以弥补法律规范的不完备性和不足,同时通过细化监管制度和整合监管规范来加强对于商业银行个人信息收集行为的规制。
(一)优化商业银行个人信息收集制度
目前,《个人信息保护法》中关于个人同意的条款仍多为原则性规定,细化和完善制度规范有利于商业银行及时跟进立法更新,也可避免商业银行为规避潜在的违法风险而对争议义务“一刀切”,继而影响用户体验。[42]同时,由于在数字经济时代个人信息的合理流通和利用符合市场规律,对于现有“告知同意”制度可以根据不同的信息类别采用不同的告知同意限度,以此平衡商业银行对个人信息的合理利用和保护。
1.明确告知同意相关规定。一方面,在规范层面明确界定“基于隐私政策的告知同意”的性质和“单独同意”概念的内涵和外延。学术界中,有学者对基于隐私政策的告知同意作出解读,认为应将其视为一种兼具消费者合同、声明、基本权利合规的多维制度,[43]也有学者对于单独同意作出与明确同意、书面同意等概念的界分,[44]但是规范性指导意义不强。随着司法实践的不断开展,立法层面应根据类案的诉讼和裁判情况归纳总结出基于隐私政策的告知同意的性质,并结合社会实际发展情况,尽早通过法律规范形式阐明单独同意的概念和相关制度,为商业银行实质性落实告知同意制度提供制度动力。
另一方面,在规范层面制定隐私政策的文本标准,以便商业银行等企业依照相应规范进行隐私政策合规。首先,提高隐私政策描述性语言的清晰度。例如,对于“等”“有关”“尽可能”等模糊性词语在一般情况下应当禁止使用;对于英文名称缩写应当注明中文释义;一个条款仅就一个事项进行规定,不可混杂冗长。其次,在隐私政策内容呈现上可以采取分层结构。[45]隐私政策过于冗长不利于用户阅读,过于简要又可能导致用户不易理解。若欲兼顾隐私政策的清晰与详尽,可采用分层结构。具体而言,在与用户交互的直接界面或者首要对话窗口,隐私政策表达应简要平实,避免过于繁杂、专业化,且应具有清晰明了的信息目录,以便一般用户高效准确地获取有效信息。同时,还应进一步提供第二层甚至第三层交互窗口或链接,放置全面详尽、兼顾专业性与平白性的隐私政策,为相关单位与专业人员以及其他对商业银行的隐私政策抱有更高专业性期待的读者提供更为专业细致的文本参考与指引。[46]若隐私政策文本能够实现统一标准,将在很大程度上促进“告知同意”制度的价值实现。
2.分类采用告知同意限度。为了更好地平衡个人信息的保护与利用,商业银行在收集不同类别的信息时,据其不同的风险程度可以采用不同的告知同意限度。
其一,敏感个人信息。[47]此类信息能精准识别特定主体,且往往关涉个人重大权益,故应采用最强的告知同意限度,既要求满足用户明确知情与自愿的实质要件,还要求具备书面且单独明示同意的形式要件。具体而言,在时间上,商业银行应在信息收集之前对用户进行告知,且告知事项发生变更后,再次收集需重新告知。在内容上,商业银行应真实、准确、完整地向用户告知。[48]欲达到“准确”要求,商业银行可以在隐私政策外单列敏感个人信息收集事项,也可以在隐私政策文本中安排独立部分通过加粗、括号等着重提醒和告知(可参照光大银行的隐私政策文本)。对于内容的告知应当明确,避免使用“改善产品和服务”“提升用户体验”此类笼统、模糊的表达,对于专业术语应依据生僻程度适当展开解释。在形式上,商业银行App可以采取弹窗显示、界面上方显眼提示条和链接等方式;为了充分告知,可以规定合理的强制性必要阅读时间,并提供语音播放选项。[49]
其二,一般个人信息。[50]此类信息可以采用较弱的告知同意限度。虽然一般个人信息大多数可识别性较弱、对用户和其他社会成员影响不大,但仍具有经济价值,对于商业银行的正常经营管理和业务开展不可或缺。对于该类信息,商业银行只要取得用户的默示同意就可以进行收集,在形式方面则仅需获得用户的选择性同意。[51]
其三,其他金融信息。此类信息无须采用告知同意制度。这类信息通常可供社会公众在法律范围内自行检索和收集,[52]有强烈的社会公益属性,私密性较弱,其收集与流通一般不会侵害用户的人格尊严和财产安全等个人权益,考虑到信息处理和流动效率,无须专门对用户进行告知并取得其同意。
(二)构建侵权救济司法保护参考指引
在《个人信息保护法》出台时间并不算长的背景下,通过作为“准立法”的司法解释来弥补法律不完备缺陷,[53]厘清单独同意条款涉及的理论概念问题、侵权损害赔偿评判标准等,从而为商业银行的个人信息收集行为提供合法性指引,在现阶段具较强的现实价值和可行性。同时,根据具体场景对于规范个人信息收集目的的最小必要原则采取弹性解释,或可缓解现有规范轻视个人信息利用价值的不足。
1.厘清单独同意评判标准。单独同意制度在立法上仅作原则性规定,其性质和违反后果等规定不明确。最高人民法院可以通过梳理、归纳各层级法院法官在审理此类案件时基于裁判权所作的裁判解释,构建一套符合我国国情的单独同意条款法律评判标准,阐明并深化单独同意条款的立法原意,从而弥补制定法自身缺陷,并促进单独同意制度在实践中的功能发挥和价值实现。
2.建立损害赔偿认定标准。《个人信息保护法》第六十九条规定的“根据实际情况确定赔偿数额”具体如何认定并未有配套司法解释作出阐明。有学者认为,因与该规定一致,对于该条款的解释实际上可以参照对于《民法典》第一千一百八十二条的解释来展开,[54]换言之,“实际情况”的考量因素应当包括商业银行的过错程度、具体侵权行为与方式,以及造成的后果和影响等。[55]同时,《民法典》第九百九十八条所规定的民事责任认定考虑因素也同样适用,如商业银行和被侵权用户的职业性质、过错程度与影响范围,以及侵权行为的目的、方式和后果等。[56]由于金融领域个人信息兼具人格属性与更强的财产属性,除了参照《民法典》的解释,最高人民法院可以通过梳理、归纳各层级法院法官在审理此类案件时基于裁判权所作的裁判解释,充分考虑个人金融信息的特殊性,结合类案裁判状况和社会实际发展情况对该认定标准作司法解释。
3.弹性解释最小必要原则。为了避免过度追求个人信息权益保护而阻碍个人信息的收集与利用,在司法实践中可以对个人信息的收集边界采用弹性解释,根据具体情形分类界定。根据《个人信息保护法》第六条,最小必要原则包括收集范围及权益影响的最小化。
在收集范围上,个人信息的收集范围随着金融服务场景的变化有所差异,但是应当仅限于满足不同场景中的服务目的,[57]不应收集明显无关的用户个人信息,如政治信仰、基因等。除了满足征信业务、税收管理与反洗钱义务等公共利益目的外,商业银行应仅收集与用户本人利益有关的个人信息,避免收集边界的不当延伸。[58]在权益影响衡量上,引入比例原则,[59]商业银行需全面考量信息收集行为可能为用户个人创造的利益量与风险值来判断收集行为是否超出必要限度。换言之,商业银行在追求个人信息高效利用的同时,应符合个人信息权益侵害最小化的要求。例如,对于私密性较强的敏感个人信息,若超出处理目的收集,可能严重侵害用户的个人权益,该种情形下应严格禁止处理目的外的信息收集;而对于对信息主体影响较小的一般个人信息,为了满足社会对信息利用的需求,则可以允许商业银行在适当范围内超越最初处理目的收集用户的个人信息,前提是不得给该用户造成难以预测的不合理风险。[60]
(三)加强商业银行收集行为金融监管
针对前述监管职能界分不明、监管规范供给不足的问题,可以通过细化监管制度和整合监管规范两个方面来完善。
1.细化监管制度。2023年3月中共中央、国务院印发《党和国家机构改革方案》,规定我国金融消费者权益保护此后由国家金融监督管理总局统一负责。[61]这将有效促进行为监管的强化统一,避免因监管部门多元导致的监管重叠和监管真空等监管困境。同时,最新的《商业银行法(修改建议稿)》中第七十六条新增了商业银行的个人信息保护义务,并赋予了国务院银行业监督管理机构对商业银行的个人信息收集和处理行为进行监管的权责。[62]这将解决现行《商业银行法》对个人信息保护监管授权缺位的问题,为商业银行的个人信息保护监管提供公权力介入的法律依据。
不可忽视的是,确定机构改革方案仅是一个开始,在“一行一局一会”新格局下,金融监管的职能划分、监管方式等如何细化仍至关重要。例如,针对商业银行的个人信息收集行为,国家金融监督管理总局可以制定专门的监管办法,建立标准化行为监管流程,结合金融科技不断改善与扩充监管手段,将隐私政策审查、收集过程中的告知同意和单独同意等制度落实情况,以及售后维权都纳入行为监管环节,通过定期抽查、现场检查等方式实现全方位有效监管。同时,金融监督管理局应有权要求商业银行及时上报用户关于个人信息的售后维权情况,并安排相关部门根据事件的情节轻重进行不同程度的跟进,在全面掌握事件处理情况的基础上,合理界定商业银行及相关人员的责任,并形成类型化处罚标准。[63]
2.整合监管规范。现阶段银行业的金融消费者保护职责统一划入国家金融监督管理总局,先前分散、效力层级低下的部门规章和标准等可能难以满足国家金融监督管理总局的统筹监管需要,整合一部效力层级较高的个人金融信息保护规范具有迫切的现实必要。建议国务院以《中国人民银行金融消费者权益保护实施办法》为基础,归纳整合《个人金融信息保护技术规范》《数据安全管理办法(征求意见稿)》《关于银行业金融机构做好个人金融信息保护工作的通知》等规范性文件及标准的相关条款,充分考量数字时代金融领域个人信息的利用价值,[64]统筹制定一部个人金融信息保护的行政法规,以便国家金融监督管理总局对于商业银行个人信息保护监管工作的开展。同时,金融消费者概念界定作为金融消费者保护法律体系的制度起点,[65]随着监管部门政策文件中对“金融消费者”这一词汇的广泛运用,法律层面也应尽早明确规定金融消费者的概念,以便厘清在金融消费场景下个人信息保护的法律依据适用范围。
五、结语
对于个人信息利用与保护的合理平衡是商业银行在数据经济时代必须面对的课题。商业银行的个人信息收集行为具有其必要性,一味强调个人信息的保护,而忽视其潜在的经济利益并不符合当下市场规律;同时,商业银行对于个人信息负有保护义务,由于制度存在缺陷、司法救济标准不完善、监管混乱等,其在信息收集过程中仍存在信息收集的告知同意不足、目的表达模糊、敏感信息未区别对待等不规范现象。为了更好地规制商业银行个人信息收集行为和平衡利益冲突,首先,需要从制度上完善规范缺失,明确相关概念和标准,根据不同的信息类别分级实行个人信息的告知和同意。其次,在司法实践中形成单独同意、损害赔偿认定等相关条款的评判标准;并根据具体场景对于规范个人信息收集目的的最小必要原则采取弹性解释,以缓解现有规范轻视个人信息利用价值的不足。最后,加强对商业银行信息收集的行为监管,细化监管制度、完善监管规范。
注释:
[1]参见国家金融监督管理总局金罚决字〔2023〕1号,载“国家金融监督管理总局”网站,2023年7月13日访问。
[2]最新的《中华人民共和国商业银行法(修改建议稿)》专门新增了第七十六条关于“个人信息保护与数据安全”的规定,要求商业银行在收集和处理个人信息时需遵循合法、正当、必要与知情同意原则。《中华人民共和国银行业监督管理法(修订草案征求意见稿)》第三十四条也规定:“银行业金融机构从业人员不得有以下行为:……(三)泄露在任职期间知悉的国家秘密、商业秘密以及客户个人信息”。
[3]2021年11月我国《中华人民共和国个人信息保护法》实施后,工信部持续发布了部分商业银行App违规进行非必要收集的通报,如辽宁省振兴银行App 1.15.7版本的登录界面(参见《关于App超范围索取权限、过度收集用户个人信息等问题“回头看”的通报(2021年第11批,总第20批)》,载“中华人民共和国工业和信息化部”网站,2023年7月13日访问);2021年广东南粤银行App 5.3.2版本获得用户授权时存在提示不足(参见《关于侵害用户权益行为的App通报(2021年第4批,总第13批)》,载“中华人民共和国工业和信息化部”网站,2023年7月19日访问);2022年四川新网银行因违规信息采集收罚单(参见中国人民银行成都分行成银营罚字〔2022〕2号,载“中国人民银行成都分行”网站,2023年7月13日访问)等。
[4]参见田宇申:《互联网保险中个人信息保护的法律规制——以个人信息保护政策为切入》,载《兰州学刊》2021年第9期。
[5]肖君拥、张雪亭:《欧盟数据保护影响评估制度及其镜鉴》,载《电子科技大学学报(社科版)》2022年第5期。
[6]个别银行也称为“个人信息保护政策”。
[7]笔者于2023年1月27日登录上述30家商业银行的手机银行App下载隐私政策,以此作为研究对象,本文所作整理均基于当日访问所见隐私政策,即截至2023年1月27日的最新版本。多数银行均开发了多个App,本文研究仅针对上述银行的手机银行App,而不将其他App列入考察范围。
[8]河南省农信联社是河南省政府管理辖内农村信用社(含农村商业银行、农村合作银行,以下统称农合机构)的职能部门,具体承担对农合机构的管理、指导、协调、服务职责。其虽然不属于我国法律认可的商业银行,但却有商业银行的业务之实,也即将改制成河南农商联合银行(中国银行保险监督管理委员会已经批准),故本文将其纳为考察对象之一。
[9]《个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
[10]《个人信息保护法》第十七条规定:“个人信息处理者应当以显著方式清晰易懂的语言告知信息所有者相关规定事项,发生变更的,还应当将变更部分告知个人。”
[11]《个人信息保护法》第二十九条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
[12]《个人信息保护法》第十四条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”
[13]向秦:《论个人信息处理中个人同意的“弱化”与信义义务的“补充”》,载《法律适用》2022年第11期。
[14]参见郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,载《东方法学》2020年第2期。
[15]参见郑志峰、袁诗睿、王舒、郭聪慧、梁助德:《互联网企业个人信息保护义务研究——基于企业隐私政策的实证分析》,载《网络信息法学研究》2020年第2期。
[16]如华夏银行、裕民银行、河北银行、苏州银行、海峡银行、顺德农商行、海汇村镇银行、临朐村镇银行、武清村镇银行、稠州村镇银行。
[17]参见姚建军:《个人信息保护与知情权冲突的裁判——从蒋某某诉西安电信公司知情权纠纷案说起》,载《法律适用》2022年第1期。
[18]徐伟红:《大数据时代环球个人信息法律保护之目的限制原则适用研究》,载《中国安防》2021年第7期。
[19]江必新、李占国主编:《个人信息保护法条文解读与法律适用》,中国法制出版社2021年版,第106页。
[20]例如:“当您使用申请贷款相关服务时,为了可以让您快速地进行产品审批,我们可能收集您的客户信息(姓名、证件号码、证件类型、手机号)、房产信息、教育程度、职业、婚姻状况、家庭收入、工作单位、单位地址、共同借款人信息、紧急联系人信息、购买设备类型、购买单价、设备识别码(IMEI/MEID)、征信信息和第三方机构信息,在我们收集您的敏感个人信息(证件号码、房产信息、婚姻状况)时,我们将事先征得您的单独、明示同意,并在取得您的同意后收集该类信息”,其中,证件号码、房产信息、婚姻状况采用粗体加下划线。
[21]程啸:《论个人信息处理中的个人同意》,载《环球法律评论》2021年第6期。
[22]金麟:《个人信息保护中告知同意规则的完善》,载《武汉交通职业学院学报》2021年第4期。
[23]《个人信息保护法》在立法过程中曾经试图用合同中的意思表示来进行规定:一审稿第十四条曾经规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”,但二审稿删除了“意思表示”。
[24]“合同说”是指把隐私政策看作商业银行和用户之间的合同,“规制工具说”是指把隐私政策视为商业银行向用户个人履行告知义务并赋予用户以适当选择权的方式。参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。
[25]《民法典》第一百五十三条第一款第一分句规定:“违反法律、行政法规的强制性规定的民事法律行为无效。”《个人信息保护法》对敏感个人信息的处理作出了“单独同意”的规定,但考察发现大多数商业银行对敏感个人信息的收集仍然进行夹杂授权请求。在此种情况下,商业银行的隐私政策(合同)违背了法律的强制性规定,而用户通过该隐私政策行使的个人同意则应当归于无效。
[26]此种情形下,隐私政策只具备规制告知的功能,商业银行得以在隐私政策(告知文本)上罗列其欲告知用户的全部信息,而不必遵循对敏感个人信息取得单独同意等规定。
[27]陆青:《个人信息保护中“同意”规则的规范构造》,载《武汉大学学报(哲学社会科学版)》2019年第5期。
[28]金融领域的个人信息较之一般信息还呈现出多元性与复杂性并存,敏感性、精准性与高价值性共生,私人性与公共性相互交织等特性。在激烈的市场竞争和利益追逐环境下,严格保护个人信息权益的要求对于商业银行而言实际上是对个人信息可利用价值的限缩。参见邢会强:《大数据时代个人金融信息的保护与利用》,载《东方法学》2021年第1期。
[29]《个人信息保护法》第六十九条规定,在个人实际受到的损失与侵权人实际利益所得均难以确定的情况下,赔偿数额应当根据实际情况确定。
[30]陶斌智、轩雅倩:《敏感个人信息单独同意条款适用研究》,载《东莞理工学院学报》2022年第6期。
[31]Alessandro Mantelero,The Future of Consumer Data Protection in the E.U. Rethinking the “notice and Consent”Paradigm in the New Era of Predictive Analytics,6 Computer Law & Security Review 30, 2014, p.643.
[32]朱荣荣:《个人信息保护“目的限制原则”的反思与重构——以〈个人信息保护法〉第6条为中心》,载《财经法学》2022年第1期。
[33]对于商业银行的个人信息收集行为,在民事法律关系里,由于用户与商业银行二者的地位存在不对等性,用户在很大程度上处于弱势,难以适用民法的平等性原则;而在刑法规制上,商业银行的侵权行为往往又因刑法的谦抑性特点而无法达到入罪标准。
[34]盛学军等主编:《新时期金融法变革中的消费者保护研究》,法律出版社2019年版,第27页;刘建:《行政权保护金融消费者法律问题研究》,法律出版社2018年版,第58页。
[35]国家互联网信息办公室是网络个人信息保护的统筹和协调机关,主要针对“互联网信息内容”实施监管;工业和信息化部下设的信息通信管理局负责具体监管电信和互联网市场的用户个人信息保护。公安机关主要针对未履行个人信息保护义务导致信息泄露,以及非法出售或向他人提供个人信息等情形作出处罚。市场监督管理局着重审查与消费者知情权、自主选择权、公平交易权相关的内容。
[36]孔令宇:《论监管权对个人金融信息的保护》,载《现代金融导刊》2022年第12期。
[37]《中华人民共和国商业银行法》在监督管理章节中规定的国务院银行业管理机构和中国人民银行具有的监督管理职权范围仅限定于前面章节。其第六十二条规定:“国务院银行业监督管理机构有权依照本法第三章、第四章、第五章的规定,随时对商业银行的存款、贷款、结算、呆账等情况进行检查监督。……中国人民银行有权依照《中华人民共和国中国人民银行法》第三十二条、第三十四条的规定对商业银行进行检查监督。”
[38]在本文第一部分提到的蚂蚁集团案中,国家金融监督管理总局对于蚂蚁科技集团股份有限公司作出行政处罚的依据包括《消费者权益保护法》。有些学者认为,金融消费者是消费者概念的延伸(参见何颖:《金融消费者概念的法律定性及规范价值》,载《财经法学》2016年第1期;于春敏:《金融消费者的法律界定》,载《上海财经大学学报》2010年第4期;邢会强:《大数据时代个人金融信息的保护与利用》,载《东方法学》2021年第1期),在此种解释下,《消费者权益保护法》理应得以作为金融消费者权益保护的依据。而有些学者则认为,金融消费者保护既不能简单理解为普通消费者保护在金融领域的延伸,也不能狭隘理解为金融监管目标的扩张(参见林越坚:《金融消费者:制度本源与法律取向》,载《政法论坛》2015年第1期);我国《消费者权益保护法》2013年的修正将消费者概念的外延扩大以涵盖金融消费者,但金融消费者的特殊性以及金融市场的系统性、重要性等特点决定了金融消费者保护的价值目标并非《消费者权益保护法》所能涵盖(参见杨东:《论金融消费者概念界定》,载《法学家》2014年第5期)。
[39]邢会强:《个人金融信息保护法的定位与定向》,载《当代法学》2022年第3期。
[40]夏诗园、汤柳:《金融科技潜在风险、监管挑战与国际经验》,载《征信》2020年第9期。
[41]姜婷婷:《行为监管视角下个人金融信息保护问题研究》,载《金融论坛》2022年第6期。
[42]金麟:《个人信息保护中告知同意规则的完善》,载《武汉交通职业学院学报》2021年第4期。
[43]丁晓东:《隐私政策的多维解读:告知同意性质的反思与制度重构》,载《现代法学》2023年第1期。
[44]程啸:《论个人信息处理中的个人同意》,载《环球法律评论》2021年第6期。
[45]事实上,早在2004年3月,23名国际隐私官员和专家召开了一次隐私政策研讨会,并制定了一份文件,呼吁在国际上采用多层次的隐私政策格式。参见Florencia Marotta-Wurgier,Self-regulation and competition in privacy policies,2 Journal of Legal Studies 45,2016, p.S13。
[46]丁晓东:《隐私政策的多维解读:告知同意性质的反思与制度重构》,载《现代法学》2023年第1期。
[47]根据2020年版《信息安全技术个人信息安全规范》第3.2条规定,个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
[48]《个人信息保护法》第十七条第一款规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。”
[49]顾男飞、张帆:《利用与保护:基于信息可携权的个人信用信息采集机制》,载《征信》2022年第10期。
[50]主要是指个人身份信息所派生出的相关联的个人信息,尚未明确纳入法律法规保护范围,如无法直接识别的个人基本资料,用户消费习惯以及上网记录(点击记录和网站浏览记录等)。
[51]目前我国《个人信息保护法》第十四条规定对于所有个人信息都应取得“明确同意”。
[52]例如已经合法公开的,或通过正常公开渠道得以获取的个人信息,包括已合法公开裁判文书中涉及的个人信息、政府机关履行法定职责时公开的个人信用评价信息等。
[53]梁慧星:《裁判的方法》,法律出版社2021年版,第149页。
[54]杨立新:《侵害个人信息权益损害赔偿的规则与适用——〈个人信息保护法〉第69条的关键词释评》,载《上海政法学院学报(法治论丛)》2022年第1期。
[55]黄薇:《中华人民共和国民法典侵权责任编释义》,法律出版社2020年版,第57页。
[56]参见程啸:《侵害个人信息权益的侵权责任》,载《中国法律评论》2021年第5期;参见杨立新:《侵害个人信息权益损害赔偿的规则与适用——〈个人信息保护法〉第69条的关键词释评》,载《上海政法学院学报(法治论丛)》2022年第1期。
[57]根据《常见类型移动互联网应用程序必要个人信息范围规定》第二十四条,手机银行App的基本功能服务是“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:“1.注册用户移动电话号码;2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;3.转账时需提供收款人姓名、银行卡号码、开户银行信息。”
[58]顾男飞、张帆:《利用与保护:基于信息可携权的个人信用信息采集机制》,载《征信》2022年第10期。
[59]比例原则主要指狭义比例原则,即“对过度的禁止”。当扩大个人金融信息收集范围为用户带来的收益小于个人信息权益遭受的侵害风险,即不成比例时,可认定不符合最小原则的要求,此时应当限缩个人金融信息的采集范围,避免个人金融信息滥用风险的进一步增加。参见卢护锋:《信用惩戒滥用的行政法规制:基于合法性与有效性耦合的考量》,载《北方法学》2021年第1期。
[60]朱荣荣:《个人信息保护“目的限制原则”的反思与重构——以〈个人信息保护法〉第6条为中心》,载《财经法学》2022年第1期。
[61]国家金融监督管理总局在中国银行保险监督管理委员会的基础上组建,统一负责除证券业之外的金融业监管,统筹负责金融消费者权益保护。
[62]《商业银行法》第六十二条第一款第一句规定:“国务院银行业监督管理机构有权依照本法第三章、第四章、第五章的规定,随时对商业银行的存款、贷款、结算、呆账等情况进行检查监督。”而《商业银行法(修改建议稿)》第八十六条第一款第一句规定“国务院银行业监督管理机构有权依照本法规定,对商业银行进行检查监督”,即在监管章节中将国务院银行业监督管理机构的监管职权范围从商业银行法中的三个章节扩大到整部法律规定。
[63]姜婷婷:《行为监管视角下个人金融信息保护问题研究》,载《金融论坛》2022年第6期。
[64]邢会强:《个人金融信息保护法的定位与定向》,载《当代法学》2022年第3期。
[65]杨东:《论金融消费者概念界定》,载《法学家》2014年第5期。