安全是人类与生俱来的,伴随着信息社会、互联网金融的到来,使原本口口或书信才能相传的信息、面对面才能一睹的芳容可以在弹指一挥间快速。互联网时代,信息科技迅猛发展,网络的数字化特征使得数据成为个人金融信息的重要载体,个人信息的价值凸显,其安全风险也随之大增。
个人金融信息概括为在金融交易中被金融机构所获得的,能够识别特定个人或反映特定个人交易能力、习惯、状况或趋势的信息,包括个人的身份信息、交易信息、信用信息和衍生信息。《中华人民国民法总则》第111条,“自然人的个人信息受法律。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。此法加强了个人信息力度,特别明确了个人信息的主体责任。这表明我国开始重视个人信息的工作,但个人金融信息的仍然处于探索阶段,存在较多问题。
(一)立法分散,缺少个人信息的单行法规。我国在个人信息方面虽有一些法律条文,但各个分散于各类法律法规之中,缺乏统一的《个人信息保》。立法的分散、庞杂导致个人信息、原则、各方权责等基本问题缺乏一致的、标准的、统一的约定,极易造成各法律法规之间的矛盾和冲突,出现法律漏洞和立法空白。例如,“个人信息”的概念界定是构建整个个人信息制度的基本要素,直接划定了个人信息的范围。但一直到《网络安全法》出台,我国才首次在法律层面明确了“个人信息”的定义。尽管个人信息的“可识别性”标准已成为普遍共识,但借助网络工具,可识别的个人信息范围也在逐渐扩大,个人信息和非个人信息的界限变得愈加模糊,许多在传统信息处理方式下难以纳入个人信息范畴的碎片化数据,在互联网的后具有了识别的功能,因而个人信息应当是一个动态的概念,在我国现有的界定下仍然会存在分歧。
(二)缺少授权,金融监管职能难以平衡。根据《银行业监督管理法》第第一款,银行业监督管理的目标是促进银行业的、稳健运行,对银行业的信心,并没有涉及对个人金融信息的。我国金融消费者的法律依据主要是由金融监管部门发布的规章和规范性文件,虽然条文中涉及对消费者利益的,但不是监管的主要目标,消费者条款的设置也是为了实现审慎监管目标而服务。当监管机构审慎监管与消费者监管两项职能无法平衡时,其所面临的监管任务过重、监管目标过多,会造成监管不足的困境。
(三)管理不善,个人金融信息难作为。金融交易的各个阶段都会涉及到个人金融信息,法律制度和监管机构的约束,只能对金融机构产生外部作用,金融机构的内部管理和安全控制才是个人金融信息的源头。不断发生的金融机构泄露信息事件,了其管理不善的漏洞。首先,缺乏统一明确的客户信息管理部门。如银行业务中。个人金融信息分散在各个业务环节,比如存款、贷款、支付结算、办理理财产品、开通银行卡和电子银行等,这些业务分别由不同的运营部门管理,个人信息使用审批由部门分头开展。这极容易造成各业务部门在信息处理与方面标准不一,出现问题互相推诿责任的情况;其次,金融机构信息内控缺乏流程制约。如信用卡业务,从办理到催收中间各个环节由不同的部门管理,甚至有些业务是外包给第三方进行处理,而在业务办理的每个环节都不可避免地要使用到个人金融信息。业务流程的中断,各流程缺乏有效的制约,工作人员没有足够的权限控制,这些都增加了信息泄露的可能性,而且加大了责任查处的难度。
(四)意识淡薄,金融消费者不重视个人信息的。6.27亿人拥抱了互联网金融,享受着互联网带来的便利,但大量网民的安全意识没有跟上互联网的节奏,仍然传统金融的思维,个人信息的随处填写、简单的密码设置、金融服务与其他应用的互相穿插等,都埋下了安全隐患。有问卷调查显示,身份证件复印件、快递单和手机是泄露个人信息的重要载体。高达55%的人将证件复印件交给有关机构时,从不注明用途;47%的人经常将写有个人信息的快递单直接扔掉而不加处理;超过27%的人在停用、注销手机号以后,甚至不去银行、支付宝、网站等变更绑定的手机号。很多人没有意识到,在公共场所连接免费WIFI,扫描促销二维码等可能会导致你的手持终端被入侵。在P2P平台注册、参与促销活动填写的个人信息、租房信息发布、在微信朋友圈里晒机票、晒车票、晒身份证等各种看似无害行为,都有可能导致信息泄露。很多人在各种平台、邮箱注册时,为图省事,所用账户和密码相同,这为“撞库”留下了可乘之机。
当自身个人信息泄露并面临侵害时,相当一部分人抱有侥幸心态,仅有少部分人采取了积极对抗行动,大部分人选择了较为被动的处理方式,助长了侵害者的气焰。据调查,在解释未能的原因时,60%的人不知如何,56%的人因没有发现经济损失而选择了沉默。
(一)建立健全法律法规。一方面,完善“个人金融信息”的界定。“个人金融信息”的界定是个人信息保中的核心概念。考虑到在复杂的网络下,对所有个人信息采取一视同仁的并不是合理有效的做法,而应针对信息的不同性质,对标准作出区分;另一方面,选择有助于我国发展的个人金融信息模式。目前,国际上通用的模式有以美国为代表的分业模式和欧盟国家的统一模式。由于分业模式操作比较复杂,在金融客户方面因客户不同也存在差异,而统一模式对所有行业采取统一标准,便于操作和管理,笔者更加倾向于选择欧洲国家的统一模式。但中国与欧美具体国情不同,因此不能盲目照搬外国的经验,对于这个模式要做相应的变通。具体而言,就是可以首先选择银行业为突破口进行试点,针对个人金融信息制定一整套详细的法律法规,然后再将这套制度推向其他行业,最后形成一套全社会统一的、有序的个人金融信息模式。
(二)完善金融监管机构制度。现行的《银行业监督管理法》并没有个人金融信息的监管目标,导致实践中金融监管机构更多关注风险管控。但事实上,如果金融消费者权益得不到有效保障,难以实现“对银行业的信心”这一目标。通过法律明确授权金融消费者机构及其法律职责,以实现对金融消费者的良好,保障该部门职责的有效实施,可以在《银行业监督管理法》设置银行业监管机构的金融消费者职责,并以此为试点,推动整个金融监管体制的完备。
(三)规范金融机构自律。金融机构应该加大信息安全技术的投资力度,结合安全开发、安全产品、安全评估、安全管理等多方面,建立健全信息安全体系和安全体系。加大设备投入,开发安全网络系统,还要解决好信息系统安全配置和访问控制问题,制定系统使用规范,系统用户行为,控制系统安全风险;同时对于现有系统,应采用防火墙、数据库审计、风险评估等手段提升对用户和数据的安全保障能力。另外,软件账号服务企业、第三方支付企业和数据存储企业要好个人绑定银行卡时可能“留痕”的信息,在系统设置上严格限定这些信息的使用范围,并能清晰还原这些信息流动的径,以便于追踪。
(四)增强金融消费者的意识。金融消费者在个人金融信息模式的构建中起到基础作用,必须提高其个人意识。金融消费者对金融消费知识的熟知程度、对金融交易的理解程度以及对个人金融信息的程度参差不齐,因而需要监管机关、金融机构、学校、社会等多方主体介入,以保障个人金融信息工作的顺利开展,将金融教育知识普及到基层,对金融消费者全面、系统地进行宣传和教育。同时,还应提高金融消费者的意识,提高对个人金融信息的控制与能力,提醒金融消费者进行金融交易过程中的法律风险,尤其购买金融产品时,注意个人金融信息,告知其金融活动的和义务,一旦信息泄露,会用法律自己的相关。
总而言之,在网络时代,随着信息处理技术的不断提高,金融业在全球范围内都呈现出市场虚拟化、机构网络化和业务数字化的发展趋势,这一方面使金融服务业高效便捷;另一方面也极大地增加了金融消费者个人信息的安全风险,开始重视个人信息的,将其作为立法的重要组成部分。我国也应加快脚步,紧扣我国的法律文化和相关的法律实践工作,充分发挥、金融机构、社会组织等多元主体的作用,建立一个适合我国的个人金融信息体系,以全方位地实现金融消费者的信息安全。