法学论文
金融消费者对其个人信息享有的权利
作者:丁嫣 律师 时间:2021年01月22日
2017年通过的《民法总则》新增第111条规定“自然人的个人信息受法律保护”,为此学界对个人信息权的性质存在许多争论,但究其表述和立法安排,难以理解为已将自然人的个人信息权上升为一项独立的民事权利,更是难以根据该条款确定信息主体的权利内容。经查阅《消费者权益保护法》及金融领域的相关规定,可以概括出金融消费者对其个人信息享有以下具体权利:
1. 选择同意权
我国《消费者权益保护法》作为一部较早规定消费者个人信息保护的法律,第29条中明确了经营者的说明义务、保障消费者个人信息安全的义务,并确认消费者对其个人信息享有控制权,经营者需要经过消费者同意才可收集、使用其个人信息。《网络安全法》第22条也规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”而对同意的方式,上述条文均未具体表述。
关于可以收集、使用金融消费者的何种个人信息,或者是否需要经过金融消费者的明示同意,金融业各领域未作一致规定。(1)在征信领域,2013年实行的《征信业管理条例》第13条规定采集个人信息应当经本人同意;第14条进一步规定,采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息需要明确告知可能的不利后果并取得本人书面同意;而对于宗教信仰、基因、指纹、血型、疾病和病史信息、以及其他禁止采集的信息,无论是否取得本人同意,征信机构都不得采集,以列举方式规定了禁止采集的类别。(2)而对于银行业,2016年施行的《中国人民银行金融消费者权益保护实施办法》规定不得采取不正当的方式收集个人信息;2019年12月发布的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第28条增加了关于同意的内容,金融机构收集、使用消费者金融信息,应经金融消费者明示同意,不得收集与业务无关的信息。(3)证券基金领域中,2019年施行的《证券基金经营机构信息技术管理办法》第34规定,证券基金经营机构应当公开收集、使用的规则和目的,并征得客户同意。2020年3月1日即将生效的《证券法》新增“投资者保护”一章,将投资者充分向证券公司告知其基本情况、财产状况、金融资产状况、投资知识和经验、专业能力等相关信息作为投资者接受、购买证券产品或服务的前提。(4)保险领域相关法规对保险消费者的保护多为原则性规定,但《保险销售行为可回溯管理暂行办法》第2条将通过录音录像等技术手段采集视听资料、电子数据的方式,记录和保存保险销售过程关键环节作为保险公司、保险中介机构的义务,第5条更是规定开展电话销售业务,应将电话通话过程全程录音并备份存档,并未将消费者同意作为采集、利用其个人信息的必要条件。
综上观之,金融领域大多将金融消费者的同意作为采集、使用其个人信息的合法性基础。对于同意的方式,各领域规定有所不同。由于对书面文件进行保存、查询、管理存在较大不便、成本高昂,随着无纸化的推进,此种方式难以得到普遍推广,近年来也少有规定将书面同意作为采集、使用金融消费者个人信息的合法性基础。而对于是否需要金融消费者的明示同意,各文件规定并不一致。作为国家标准的《信息安全技术 个人信息安全规范》已于2018年5月正式实施,其中第5.5条规定收集个人敏感信息应取得个人信息主体的明示同意,附录B对敏感信息进行了列举,如遵循该标准,收集、使用金融消费者的个人信息,需要取得金融消费者的明示同意。然其作为国家推荐性标准,并不具有法律的强制效力,无法起到统一规范作用。
2. 撤回同意权、删除权
结合各部门执法情况来看,我国对信息主体的选择同意权采用“选择进入”的规制模式。在金融领域,也少有规定消费者在同意后享有撤回同意权或删除权。仅《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第33条规定,如金融机构存在违法违规收集、使用个人信息的情形,金融消费者有权要求删除前述金融信息。其他法规均通过限制金融机构对所收集信息的保存时间来限制其使用,并未设置金融消费者主动选择退出的机制。《征信业管理条例》规定个人不良信息的保存期限为五年,《保险销售行为可回溯管理暂行办法》根据保险期限的长短对资料留存时间作了不同规定。当然,《中国人民银行金融消费者权益保护实施办法(征求意见稿)》中也规定了自业务终止之日起,金融机构应当留存相关信息不少于三年,这可能会导致金融消费者的删除权与经营者的信息留存义务存在冲突。
3. 信息安全权
保障金融消费者的个人信息安全是对其进行挖掘利用的前提。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,对网络设备安全、系统安全与信息安全保护都作出了明确规定。根据《网络安全法》第21条,网络经营者须按照网络安全等级保护的要求,履行安全保护义务。国家对金融关键信息基础设施,除网络安全等级保护制度外,实行重点保护。2017年7月,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,以对运营者的安全保护义务作出进一步细化。金融各领域的法规也将金融消费者的信息安全置于首位,要求经营者在内部严格适用信息查询权限和程序,对外采用有效的技术保障措施,从内外两方面入手,在信息的采集、使用、储存、传输等全过程保护消费者的信息安全。
4. 其他权利
此外,金融各领域的法律法规中对金融消费者的知情权、查询权等权利虽有所提及,但均为原则性的规定,缺乏具体指引,如关于知情的时间、知情的内容、以及信息控制者的告知义务都没有具体规定,在规范层面上缺乏明确标准。值得注意的是,《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第36条增加了可携权的内容,提出“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者制定的其他金融机构。”这一规定在一定程度上强化了对数据主体的保护,被收集个人信息的金融消费者可以更积极地成为数据控制者和利用者。但是,可携权的行使有可能损害经营机构的财产权,可能阻碍可能阻碍竞争和创新。在当前仍未厘清大数据权属的背景之下,规定可携权似乎为时过早。
(本文源自网络,如有侵权,请联系删除)
1. 选择同意权
我国《消费者权益保护法》作为一部较早规定消费者个人信息保护的法律,第29条中明确了经营者的说明义务、保障消费者个人信息安全的义务,并确认消费者对其个人信息享有控制权,经营者需要经过消费者同意才可收集、使用其个人信息。《网络安全法》第22条也规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”而对同意的方式,上述条文均未具体表述。
关于可以收集、使用金融消费者的何种个人信息,或者是否需要经过金融消费者的明示同意,金融业各领域未作一致规定。(1)在征信领域,2013年实行的《征信业管理条例》第13条规定采集个人信息应当经本人同意;第14条进一步规定,采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息需要明确告知可能的不利后果并取得本人书面同意;而对于宗教信仰、基因、指纹、血型、疾病和病史信息、以及其他禁止采集的信息,无论是否取得本人同意,征信机构都不得采集,以列举方式规定了禁止采集的类别。(2)而对于银行业,2016年施行的《中国人民银行金融消费者权益保护实施办法》规定不得采取不正当的方式收集个人信息;2019年12月发布的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第28条增加了关于同意的内容,金融机构收集、使用消费者金融信息,应经金融消费者明示同意,不得收集与业务无关的信息。(3)证券基金领域中,2019年施行的《证券基金经营机构信息技术管理办法》第34规定,证券基金经营机构应当公开收集、使用的规则和目的,并征得客户同意。2020年3月1日即将生效的《证券法》新增“投资者保护”一章,将投资者充分向证券公司告知其基本情况、财产状况、金融资产状况、投资知识和经验、专业能力等相关信息作为投资者接受、购买证券产品或服务的前提。(4)保险领域相关法规对保险消费者的保护多为原则性规定,但《保险销售行为可回溯管理暂行办法》第2条将通过录音录像等技术手段采集视听资料、电子数据的方式,记录和保存保险销售过程关键环节作为保险公司、保险中介机构的义务,第5条更是规定开展电话销售业务,应将电话通话过程全程录音并备份存档,并未将消费者同意作为采集、利用其个人信息的必要条件。
综上观之,金融领域大多将金融消费者的同意作为采集、使用其个人信息的合法性基础。对于同意的方式,各领域规定有所不同。由于对书面文件进行保存、查询、管理存在较大不便、成本高昂,随着无纸化的推进,此种方式难以得到普遍推广,近年来也少有规定将书面同意作为采集、使用金融消费者个人信息的合法性基础。而对于是否需要金融消费者的明示同意,各文件规定并不一致。作为国家标准的《信息安全技术 个人信息安全规范》已于2018年5月正式实施,其中第5.5条规定收集个人敏感信息应取得个人信息主体的明示同意,附录B对敏感信息进行了列举,如遵循该标准,收集、使用金融消费者的个人信息,需要取得金融消费者的明示同意。然其作为国家推荐性标准,并不具有法律的强制效力,无法起到统一规范作用。
2. 撤回同意权、删除权
结合各部门执法情况来看,我国对信息主体的选择同意权采用“选择进入”的规制模式。在金融领域,也少有规定消费者在同意后享有撤回同意权或删除权。仅《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第33条规定,如金融机构存在违法违规收集、使用个人信息的情形,金融消费者有权要求删除前述金融信息。其他法规均通过限制金融机构对所收集信息的保存时间来限制其使用,并未设置金融消费者主动选择退出的机制。《征信业管理条例》规定个人不良信息的保存期限为五年,《保险销售行为可回溯管理暂行办法》根据保险期限的长短对资料留存时间作了不同规定。当然,《中国人民银行金融消费者权益保护实施办法(征求意见稿)》中也规定了自业务终止之日起,金融机构应当留存相关信息不少于三年,这可能会导致金融消费者的删除权与经营者的信息留存义务存在冲突。
3. 信息安全权
保障金融消费者的个人信息安全是对其进行挖掘利用的前提。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,对网络设备安全、系统安全与信息安全保护都作出了明确规定。根据《网络安全法》第21条,网络经营者须按照网络安全等级保护的要求,履行安全保护义务。国家对金融关键信息基础设施,除网络安全等级保护制度外,实行重点保护。2017年7月,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,以对运营者的安全保护义务作出进一步细化。金融各领域的法规也将金融消费者的信息安全置于首位,要求经营者在内部严格适用信息查询权限和程序,对外采用有效的技术保障措施,从内外两方面入手,在信息的采集、使用、储存、传输等全过程保护消费者的信息安全。
4. 其他权利
此外,金融各领域的法律法规中对金融消费者的知情权、查询权等权利虽有所提及,但均为原则性的规定,缺乏具体指引,如关于知情的时间、知情的内容、以及信息控制者的告知义务都没有具体规定,在规范层面上缺乏明确标准。值得注意的是,《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第36条增加了可携权的内容,提出“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者制定的其他金融机构。”这一规定在一定程度上强化了对数据主体的保护,被收集个人信息的金融消费者可以更积极地成为数据控制者和利用者。但是,可携权的行使有可能损害经营机构的财产权,可能阻碍可能阻碍竞争和创新。在当前仍未厘清大数据权属的背景之下,规定可携权似乎为时过早。
(本文源自网络,如有侵权,请联系删除)
