查看原文
其他

徐宇翔|生成式人工智能发展背景下的金融消费者个人信息保护问题研究

徐宇翔 上海市法学会 东方法学
2024-10-09

生成式人工智能技术的发展对金融业的影响极为深远。金融行业越来越多地使用这一技术提高客户体验、优化业务流程和创新产品。然而,生成式人工智能在金融领域中的广泛应用也带来个人信息保护的重大挑战。突出表现在对个人信息的过度采集、不合理使用和二次加工。通过对涉金融个人信息司法案件和处罚决定的汇总和梳理,可发现现阶段存在相关纠纷数量较大、审理难度较高、侵权行为集中,纠纷产生原因在于个人金融信息保护和企业数据权益的边界不清,消费金融机构使用金融消费者个人信息的“合理”尺度难以把握,数字化的金融消费者个人信息网络监管能力有待提高。这些表象原因背后关涉金融消费者个人信息保护法学理论中金融隐私权的细化、金融消费者权益保护理论的限缩,现有法律规范中消费金融机构“合理”使用的标准、个人信息保护法律责任划分的明确性不足以及信息监管中监管机构多头执法、信息技术监管措施协调性弱等问题。为应对生成式人工智能技术带来的诸多挑战,应在理论上重构个人信息保护原则,在规则上划定个人金融信息保护法律责任,在监管上规范监管主体和监管方式。

引言

2023年初以来,以ChatGPT为代表的生成式人工智能以其卓越的自然语言处理能力引发传统产业的深刻变革,对包括金融业在内的各个行业的影响极为深远。其在以海量金融数据为金融业带来积极影响的同时,也在个人信息保护层面引发较多质疑。例如,在2023年,一组超过10万个被盗的ChatGPT账户凭证在地下市场出售,其中包括用户名、密码、电子邮件地址、手机号码等敏感信息,每份仅售2美元。这暴露出生成式人工智能已经在金融领域滋生个人信息泄露隐患,金融消费者的个人信息权益面临巨大挑战。

生成式人工智能是基于大模型、大数据和高算力的技术工具。在金融领域,以银行为代表的各种金融业务迅速向线上转移,个人金融信息形成的数据集合呈现指数级增长,这也为生成式人工智能在金融领域的广泛应用奠定数据基础。个人金融信息是个人信息的一种特殊类型,《个人金融信息保护技术规范》(以下简称“《规范》”)指出:“个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、信贷信息等方面的扩展与细化。”个人金融信息不仅是个人隐私的重要内容,也是金融机构在提供金融产品和服务中的重要数据,一旦泄露,不仅严重侵犯信息主体的合法权益、威胁信息主体的财产安全、甚至可能带来系统性金融风险。而随着数字经济的发展,一方面,个人金融信息已广泛数字化,与人工智能进行深度融合,获取个人金融信息的方式和手段不断更新,数字化个人金融信息更易被窃取或泄露;另一方面,数字经济时代金融产品和服务的效率、金融机构之间的竞争更加依赖于海量的个人信息。个人金融信息的影响力与重要性亦不断被重视。在此背景下,消费金融市场的创新,尤其是生成式人工智能等新兴技术的应用使得消费金融业务的开展高度依赖个人信息的采集,并基于生成式人工智能进行二次加工,而消费金融领域普遍存在金融机构对消费者的个人信息保护不足的现象,致使过度收集信息、信息滥用、非法共享信息等问题频发。尽管个人信息保护法、《征信业务管理办法》等对个人信息保护的很多问题进行规定,2023年7月实施的《生成式人工智能服务管理暂行办法》亦明确利用生成式人工智能不得侵害他人隐私权和个人信息权益,但金融消费者的个人信息保护仍面临诸多挑战,如何有效应对已成为一个突出的现实问题。
一、实证检视:金融消费者个人信息保护困境和生成式人工智能带来的新挑战

生成式人工智能的生成机制本质上是“生成型预训练语言转换器”,需要技术服务提供者通过各种方式收集海量数据形成语料库,然后通过连接语料库训练模型,使其可以学习并理解人类语言,从而进行交流对话和内容生成。金融业离不开数据收集与分析,涉及大量处理个人信息的活动,生成式人工智能以其庞大的数据处理量和运用模型在一定程度上放大金融行业固有的个人信息处理风险,对个人信息保护带来新的挑战。为更好应对生成式人工智能带来的个人信息风险,应当对既往涉及金融个人信息保护的司法案例和行政处罚进行梳理,从而更有针对性的应对生成式人工智能带来的风险。

2020年12月,最高人民法院根据民法典第1034条等规定,在法院诉讼立案阶段增设“个人信息保护纠纷”案由。从增设该案由至今两年多的时间里,全国法院共受理该类案件259件。司法是各类案件纠纷汇总及解决之处,集中反映某领域的纠纷概况及纠纷类型,借助于裁判文书公开,笔者以此为259件案件为样本,试从案件数据中探析金融消费者个人信息纠纷的司法概况及保护困境。

(一)涉个人金融信息案件审判概况

1.个人金融信息纠纷案件频发




从案件数量来看,2021年以“个人信息保护纠纷”案由立案的案件数量达到155件,达到最高值。细分至关涉行业,金融业占全部纠纷的51.75%,是第二位信息技术业纠纷的两倍多,说明金融业的个人信息保护仍是个人信息保护的重点难点所在。
2.个人金融信息纠纷审理难度大




一方面,从历年纠纷的一审裁判情况来看,一般个人信息保护纠纷案件中当事人撤回起诉的占比53.64%,而经统计,金融业个人信息保护纠纷案件中撤诉率有仅为13.6%,这在一定程度上表明金融类个人信息纠纷较一般个人信息纠纷而言更难调解,当事人间矛盾突出,缺乏和解空间。另一方面,从一审裁判审理时间来看,涉金融业个人信息纠纷的审理时间较一般个人信息纠纷审理市场的均值多出23.36%,而审理平均时长可以在一定程度上说明该类案件的审理难度较大。
3.个人金融信息纠纷涉及行为类型集中




从起因来看,个人金融信息纠纷案件中侵犯消费者知情权、违法收集和违规使用三类案件占据较大比重。消费者个人金融信息很大程度上是信用信息,据统计,有11件涉及征信情况,占比18.6%,凸显金融个人信息管理的公法属性。涉征信主要包括两类(典型案例见表1),一是错误推送,主要是银行等金融机构未经审慎审查义务,错误地向登记部门推送不应当记录的征信情况;另一类是侵犯消费者的知情权,如推送正常的征信情况但事先未向消费者履行告知义务。
表1  涉金融业个人信息保护部分案件纠纷情况
除征信信息管理以外,对金融个人信息的不当使用也是纠纷较为集中的一类案件,特别是姓名、身份证号及消费流水等信息,可以比较直接地反映出客户的财务信息,因此司法实践中超越授权范围使用相关信息的案例数一直居高不下。以许某与广发银行股份有限公司(以下简称“广发银行”)一案为例,原告许某在被告广发银行办理信用卡时预留个人身份信息,后银行在其持续使用中获取其个人消费和征信情况,并利用前述信息向许某进行贷款营销,双方对被告行为是否构成对许某个人金融信息的合理使用产生分歧。广发银行主张在许某办卡时签署的协议中对其他渠道的利用尽到提示义务,且营销行为旨在为客户提供个性化服务,最终法院认定银行利用行为未超出合理实施范围。由此案来看,金融机构对日常收集的个人信息进行二次利用,并结合算法对用户“画像”实现精准营销已经屡见不鲜,如何实现金融创新和消费者私权保护的平衡是相关案件审理亟待解决的问题。

此外,消费者主张的通知义务履行不到位与金融消费合同的格式条款密不可分,即使是简单的信用卡申请,消费者也需要阅读《信用卡领用合约》《个人资信处理授权书》《用户体验计划》等多份文件,往往忽略重要信息。而合同往往电子化保存在金融机构处,消费者容易陷入举证困难。以薛某某与北京数字认证股份有限公司(以下简称“数字公司”)等一案为例,原告薛某某向被告数字公司和提供贷款公司申请公开案涉《个人信息征信查询及信息使用授权书》的PDF源文件和授权书,遭两公司拒绝,后原告因证据不足其诉讼请求未获法院支持。总体看来,消费者在涉个人金融信息的纠纷的举证中不占优势地位。

(二)金融消费者个人信息处罚案例分析

由于银行业在金融机构中占比较大,且对银行、支付机构的监管与规制涉及个人信息非法使用的电信诈骗、P2P等问题有密切联系,因此本文选取2022年中国人民银行及其所属机构作出33份涉及个人金融信息的行政处罚为样本。
从处罚主体来看,由总行营业管理部作出的为1件,由省级分行作出的为8件,由市级中心支行作出的为24件。从被处罚对象来看,被处罚金融机构共有24家,其中银行22家,支付机构2家。在受处罚银行中,包括农商行7家,村镇银行3家,农村信用合作社2家,占据受处罚机构的50%,可见中小银行机构在金融个人信息保护方面问题较为多发。在受处罚的9位自然人中,涉及支付机构从业人员1位,银行从业人员8位,其中涉及行长等主要负责人的有5位,占比超过半数,但亦有部分案件仅处罚团队长、查询员等基层员工,由此可见在执法中对金融机构高管的追责尚不到位,而后者显然对完善机构内部针对个人信息分级保护制度负有更为重大的责任。

对各类型侵害个人信息违法行为的执法,中国人民银行主要依据《中国人民银行金融消费者权益保护实施办法》(以下简称“《保护实施办法》”),其明确消费者金融信息保护的义务。笔者根据条文内容,提炼为如表2所示的六项原则。

表2 《保护实施办法》确定的金融机构保护义务

结合选取样本的违法事由,违反授权审批、妥善保管和告知同意三项规则的案件位居前列。其中违反授权审批的情形主要为违反信息查询内部管理规定,未落实信息使用授权审批,未能妥善保管主要指客户信息泄露和不按规定及时上报,告知同意落实不到位则是指未经消费者同意擅自收集信息。另外,未按照约定范围使用信息和使用格式条款逃避向消费者的说明义务在处罚样本中亦占较大比例。

从具体的法律责任承担上来看,有2件处罚受罚金额超过1000万,分别为2245万和1165万,均为支付机构。另有罚款超过100万元的处罚5件,50万以上100万以下的处罚5件,10万以上50万以下的处罚10件,而在10万元以下的处罚共11件,占比达三分之一。从受处罚主体来看,支付机构的罚金数额远高于银行。从罚款上限来看,对违法处理个人信息的行为,个人信息保护法对机构的处罚上限为5000万元或上一年度营业额的5%,对直接责任人员最高可处100万元罚款,《保护实施办法》则是援引消费者权益保护法,以违法所得的10倍或50万元为处罚上限。在实践中,由于部分案件情节较轻,或难以确定违法所得,多在50万元以下确定处罚金额,总体来看处罚的绝对金额并不高。

(三)生成式人工智能对金融信息保护的挑战

个人金融信息在实践中的主要困境包括未获授权收集信息、违规利用信息和未尽到妥善保管义务。结合生成式人工智能在金融行业的应用场景,主要包括市场推荐、量化交易、智能助手、财务分析和风险监测,应当说亦具有较高诱发前述风险的可能。生成式人工智能获取客户信息的方式主要是通过类ChatGpt式回答客户问题,帮助客户处理财务信息,其收集信息的渠道与办理信用卡、购买理财产品等相比具有更强的隐蔽性,往往不需要用户授权,冲击传统的告知同意规则。另外金融机构亦会将自身收集的客户交易数据本身通过生成式人工智能进行加工,从而为客户提供更为个性化的产品或服务,由此而产生的信息权益因为该“加工”过程,其权益属于金融消费者还是金融机构亟待厘清。

(四)涉个人金融信息案件纠纷起因梳理

金融机构对金融信息的违法收集和违规使用近年来亦呈现多发态势。随着生成式人工智能带来的侵害个人信息问题引发社会普遍关注,有必要对既往引发金融信息纠纷的案件进行梳理。通过上述实证研究,笔者认为个人金融信息案件纠纷频发可归因于以下现象:
1.数字经济发展带来的个人金融信息保护与企业数据权益的边界不清




数字时代下,企业收集的海量个人数据对企业具有巨大财产利益,从而形成成为相应数据集合权利主体的现实需求。个人信息的重心在于保护,其对应的是个人信息权益;而数据集合的重心在于利用,其对应的是企业数据权益。
个人数据作为个人信息的数字化的表现形式,其与企业原生数据存在诸多关联,企业收集的原生数据包括个人信息数据和非个人信息数据,就个人信息数据而言,其本质仍然体现为信息主体的人格属性,基于此部分原生数据所产生的法律关系,应通过个人信息权及具体合同内容进行调整,而经由个人数据匿名化所产生的衍生数据,一般已剥离了人格属性,不再能基于这些信息识别到具体个人,一般不属于个人信息权益的保护范围,而属于企业数据权利调整的范围。

个人信息在剥离人格属性成为衍生数据后具有较大的财产属性,通过分析企业数据特征,进而为企业数据权的创设提供依据。数字经济时代,金融机构对消费者个人金融信息具有强依赖性,对金融机构而言,运用大数据技术可以显著提升客户识别的速度和精准度。而大数据运算的基础数据就是无数金融消费者的个人信息。在金融市场竞争激烈的大背景下,机构通过正常渠道获取个人信息的成本持续增加,催生如向第三方购买信息等产业。因而数字经济发展带有利益交织的特性,个人信息之上的人格和财产利益与企业数据权益存在着冲突,如何区分个人金融信息与企业数据,如何在个人信息保护与企业数据利用间进行权益配置成为个人金融信息保护问题的核心。
2.消费金融机构“合理”使用金融消费者个人信息的尺度难以把握




进入数字经济时代,金融机构个人信息对金融市场竞争的影响愈加明显,金融产品和服务的效率、金融机构之间的竞争更加依赖于海量的个人信息。在互联网的推动下,个人信息的隐私属性越来越强,而个人信息的侵权现象日益严重,频频出现的隐私泄露、信息纠纷、大数据杀熟等现象,均反映消费金融机构对个人金融信息的高度依赖。
同时,消费金融领域中,消费金融机构对个人信息进行合理利用的理论基础在于:第一,金融产品的无形性依赖于信息基础上的信任关系。数字经济时代中金融和科技的融合更加紧密,科技发展使金融产品和服务更加精细、专业,极易形成跨行业、跨市场、跨业态的交叉性金融分析,甚至酝酿系统性金融风险。而相对地,金融产品和服务具有无形性,更加依赖建立于海量信息之上的信任关系。金融业是高度信息化的行业,“金融业的实质就是信息产业”。第二,个人信息的公共性是消费金融机构合理利用信息的基础。个人信息在具有隐私性、个体性的同时,还具有一定的公共性和可共享性,这一点在消费金融机构行业尤为突出。金融安全保障和风险防范需要对海量个人信息进行分析和挖掘,与此同时,金融机构还承担着实名制、反洗钱、投资者适当性等法定义务,这些义务的履行均依赖于对个人金融信息的合理利用和分析。第三,个人金融信息的合理利用是金融本质的客观需要。金融市场的本质是风险管理,通过风险定价和其他人的风险投资获取收益,而风险管理将信息交换视作基础。由此可见,为实现对个人信息的法律保护,消费金融机构需要寻求个人信息安全和利用之间的平衡,而消费金融机构在什么范围内适用个人金融信息可以划定为“合理”需要进一步明确与讨论,这是金融消费者个人信息保护中的重点问题。
3.数字化的金融消费者个人信息网络监管能力亟待提高




从我国金融机构对个人信息处理规则的相关规范可以看出,我国对金融机构个人信息的法律保护体现出重保护的色彩,监管部门严格监管金融机构个人信息的收集和利用。然而这一目标的实现在数字经济背景下存在重重障碍。金融机构在提供服务的过程中对消费者信息的收集、整理、加工和运用,会导致信息的使用权与消费者所有权的分离,消费金融机构在收集金融消费者个人信息后,如何利用及保管使用均超过消费者的掌控范围,金融机构和信息主体之间存在严重的信息不对称。加之数字化的个人信息更易复制、下载和传播,新金融业态的不断冲击(如互助保险此类新保险业态,其管理处于一种自我任命,永久存续的状态,会员目前没有有效的制约机制,对个人金融信息保护而言存在较大风险),新规范的不断变革(如全面注册制带来的企业信息爆炸),均为个人信息的监管带来更大的挑战。基于数据的海量性,如何在金融消费者个人信息监管中应用网络技术,从而实现动态、有效地监管信息使用,并将信息主体知情权与之对接,应对数据经济时代的上述挑战,是现有监管中的一个难点。
4.金融机构针对个人信息保护的内控机制亟待健全




金融机构内控机制不完善一方面表现在条线化的业务结构不适应个人信息统一保护的需求。因个人金融信息在存款、债务、支付结算、理财产品、网上银行、各种银行卡等业务中处于分散状态,并且通过不同信息系统的加持,由此导致较多“信息孤岛”,难以实现统一保护,容易滋长金融机构违规查询信息的现象。例如,在王某某投诉某银行事件,银行员工利用柜面非密查询系统查询客户交易流水,暴露银行业存在的违规存储和查询客户敏感信息问题。另一方面,从样本来看,部分金融机构对金融信息技术的管理能力不足,流程控制机制缺乏,重要岗位和外包机构存在管理风险。以商业银行为例,由于业务流程长、处理数据多,时常将汇总、编辑、加工的项目外包给承包商,如在委托律师对贷款申请人进行数据收集调查的情况下,受托律师能够获取申请人的个人信息。在诸如此类的业务环节中,经办人往往都会留存个人金融信息资料,而配套保护约束机制却往往缺失,这些都放大了信息外泄的可能,且增加了责任追究的难度。
二、原因分析:金融消费者个人信息保护现有困境的内在解构

进一步分析上述表象原因的内在原因,可发现既包括法学理论层面的争议有待进一步厘清、立法层面的法律规范存在不足与疏漏,也包括监管层面的突出问题:

(一)金融消费者个人信息保护法学理论争议梳理

1.金融消费者个人信息属性之“争”——金融隐私权理论如何细化




自从1890年“金融隐私权”这一概念被提出后,在全世界范围内被广泛采用并发展为一项重要的人格权利。金融隐私权是隐私权概念的分支,是指作为权利主体的金融信息所有人持有的或因交易产生的信息具有的支配或控制权。与隐私权相比,其具有财产属性,包括信息持有者的经济情况和金融交易情况,也包括金融交易中与个人身份相关的信息。作为一种特殊的隐私权,其具有自主性、信用性、专属性、财产性。
发源于金融信息的金融隐私权,与金融信息权存在显著区别。市场上的个人金融信息主要是信用信息,包括个人识别性信息以及经济与财产交易状况方面的信息。金融隐私权是信息所有权人对其与信用或交易相关的信息所享有的控制支配权,其以信息的控制支配为核心。由此可见以下三点:第一,从价值层面看,金融隐私权侧重于对个人尊严和自由的保护,特别强调对敏感信息的保护,而金融信息权侧重于对信息本身的保护,包括对信息利用与流通的价值考量。第二,从涵盖范围看,金融隐私权与金融信息权存在交叉重复,个人信息权的范围更广泛,而个人隐私权更多与金融敏感信息相关。第三,从权能内容看,金融隐私权在实践中往往表现为消极权利,而金融信息权相对更侧重于个人对信息的控制和利用,表现程度上更为主动。

伴随着信息技术的持续进步,其一,能够利用识别个人身份的信息范围愈来愈广,金融隐私权的涵盖范围亦越来越大。其二,金融隐私权与信息披露的冲突愈发明显,从注册制等资本市场改革趋势来看,信息披露愈加占据核心地位。例如,金融机构为满足监管需要对高管个人信息的披露和投资者的知情权就可视为金融隐私权与知情权的一对矛盾体。二者的冲突是司法维护个人利益与经济法基于整体利益要求私权让渡边界的问题。其三,金融与科技的融合以信息的充分利用为前提,个人金融信息越发与社会利益相关。因而在数字经济时代如何准确界定金融消费者个人信息属性、如何细化其金融隐私权的内容是首要命题。
2.金融消费者个人信息保护法益平衡之“度”——金融消费者权益保护理论如何限缩




关于消费者的概念,一般认为其是从事生活消费的自然人,而启动个人涉入社会的参与和抗衡机制是消费者概念的基本价值之一。随着数字经济蓬勃发展,现代金融对经济生活影响的广度、深度持续扩张,特别是随着电子支付、余额宝等金融形式的普及,使得即便是一般的金融消费亦带有较强的金融属性。具体而言,它是为满足非营业性的个体金融需要而购买或使用金融产品或享受金融服务的自然人。调试方式的不对称性是消费者保护法的基本特征,即对弱者一方的消费者予以倾斜保护,对强者一方的经营者予以适当限制。其原因在于,消费者在与金融者的交易中总是处于弱势地位,因而消费者的利益极易受到来自经营者的侵害。可见,为弥合经济实力上的悬殊以及信息不对称造成的消费者与经营者的地位差异,平等、意思自治的传统法律理念在消费者运动中被彻底抛弃,因而对消费者的特殊保护是消费者保护法的基本原则。
在数字经济时代,消费者权益保护理论在金融信息领域逐渐限缩,原因在于:其一,随着数字经济的兴起,以及金融科技的深度应用,金融大数据对发现潜在金融风险具有重要价值,因而在尊重信息主体意思自治的基础上,需要兼顾数据利用和金融创新,进而持续激发大数据行业的经济活力。其二,公法与私法的纠纷衍生出金融信息的独特内涵,如在洗钱犯罪中,通过金融大数据可以有效发现犯罪线索。其三,金融安全与金融效率存在先天的矛盾。个人金融信息兼具人格和财产属性,金融个人信息的财产属性由人格权衍生而来。然而亦有观点认为,金融消费者个人信息保护实质上是规范“以利用为核心”的制度,对个人信息的利用可以有效降低社会成本。如果更着眼金融安全,伴随的往往是金融市场的严格管制,市场主体的交易成本有增加可能,继而影响金融效率;如果将金融效率列为优先事项,通常又会放松对市场的监管和控制,造成市场失灵,累积金融风险。在此背景下,如何限缩金融消费者权益保护理论在个人金融信息保护中的应用,以及如何划定消费金融机构“合理”使用范围需要进一步明确。

(二)金融消费者个人信息保护现有法律规范不足梳理

1.消费金融机构“合理”使用的标准需要进一步厘清




从金融消费者权益保护理论的限缩出发,划定消费金融机构“合理”使用范围,其中“合理”利用是个人信息保护法的立法目标之一,在消费金融机构“合理”使用的标准的设定中存在如下难题:其一,如何理解“合理的目的”?根据个人信息保护法第3条的规定,个人信息处理的目的不仅要明确,还必须合理。对此,如何区分目的是否合理,有哪些标准需要深入讨论。其二,如何界定“合理的范围”?个人信息保护法中“合理的范围”从根本上看是一种比例性的要求,但这一比例性在实践中的运用需要考量哪些具体因素,其尺度如何把握都存在不明确之处。其三,如何把握“合理”和“敏感”的平衡,敏感性是金融信息隐私权的核心,因而把握“敏感”的本质,进而平衡“合理”与“敏感”,满足金融消费者个人信息多样性的现实保护需求,需要进一步思考。以匿名化的信息是否具有敏感性为例,在对个人信息的界定上,无论是民法典人格权编)还是消费者权益保护法均未对个人信息权进行明确定义,个人信息保护法仅对个人信息作出界定,但其确立的是否匿名化的标准在数字经济高速发展的当下值得商榷。为激活数据潜能以挖掘更多业务场景,金融机构在对数据进行汇总加工的过程中会有意识保留更多的个人信息标签,以实现更为准确的营销,有时金融机构甚至自身也无法把握超大规模数据分析的结果,在这种情况下针对匿名数据的处理和利用,仍然具有相当的敏感性。
2.个人信息保护法律责任划分及衔接需进一步明确




从法律视角看,所谓法律责任就是行为主体因为违法或违约行为,未能履行法定义务,既包括私法上的侵权责任,也包括公法上的行政与刑事责任。在金融消费者个人信息保护中,其责任界定非常复杂。其一,责任具有综合性。一般来看,普通个人信息保护责任主要集中在民事责任之中,但在消费金融领域,不仅包含民事责任,还包括大量的刑事、行政、监管等责任。这些责任之中,涉及的法律规范非常复杂,不仅涉及公法而且涉及司法,适用的法律程序也比较复杂。加之线上消费金融的兴起,责任承担亦需结合互联网的特点和网络技术进行划分。其二,责任主体多样性。基于责任的综合性,相应的责任主体也比较复杂。不仅包括相关民事主体,而且会涉及大量的公法主体,比如行政机关之市场监管主体、金融监管机构、价格监管主体、互联网监管机构等等。其三,责任内容具有特殊性。从一般的规则来看,金融消费者个人信息保护法律责任中,最核心的规则是民事责任之中的侵权责任或违约责任。但是在具体规则之中,基于金融机构的特殊性,在规则设置中可能存在特殊之处。比如在金融机构与平台主体责任之上,金融机构一般需要承担加重责任,举证责任的设置也相应不同。其四,法律适用的复杂性。消费金融不仅涉及个人信息保护、金融消费者权益以及普通的民事权益,而且因为涉及互联网以及数据权利等,还可能关涉国家安全、金融安全等社会安全问题。因此,如何妥善适用相关领域的责任规则,做好公法和私法的对接亦尤为重要。

(三)金融消费者个人信息保护监管的问题分析

1.监管机构多头执法问题突出




各金融主管部门在金融监管中对消费金融领域的个人金融信息相关活动具有法定的行业管理职权,网络安全法第63、64、75条赋予公安部门在网络安全及个人信息保护执法中的行政处罚权,同时,消费金融领域的金融信息因可能涉及互联网,还受到国家网信办、工信部等部门的监督管理。执法、监管部门比较多,在执法中可能存在职责不清、执法部门之间协调性弱等问题;亦可能引发重复处罚、处罚尺度不一、缺乏统筹、耗费执法资源等问题。因而在金融消费者个人信息保护监管领域,亟待明确各执法部门的责任范围和监督事项。
2.信息技术监管措施需要协调




务市场秩序若干规定》等法律法规的要求开展APP侵害用户权益政治工作;2021年进一步树立互联网行业社会关注度高、影响面广、群众反映强烈的热点难点问题开展互联网寒夜专项整治活动。作为互联网领域的主管部门,截止2021年9月底,工信部关于侵害用户权益的APP的行为共形成19批典型案例,其中包括多家金融机构、移动支付企业的移动应用存在侵害用户个人信息等违规行为,主要表现为违规收集个人信息、超范围收集个人信息、过度索取权限、私自共享给第三方等,取得明显成效,说明利用信息技术开展个人信息保护监管的可行性和有效性。
在海量的个人金融数据中,应用信息技术进行监管无疑为一个必然的选择。然而如何运用信息技术进行监管,取决于现阶段的信息技术程度及个人金融信息的保护理念。现阶段,因为个人信息保护的监管部门和网络信息的监管部门不同,因而在信息的共享存在滞后,需要进一步协同。在个人金融信息的保护中,随着数字经济的发展,信息技术监管的重要性更加凸显,深度挖掘信息技术在金融消费者个人信息保护中的作用便尤为重要。

三、应对之道:金融消费者个人信息保护的路径探索

立足于金融消费者个人信息保护的现实困境与法律难题,在生成式人工智能快速发展的背景下,应当以在理论上重构个人信息保护原则,在规则上划定个人金融信息保护法律责任,在监管上规范监管主体和监管方式:

(一)理论梳理:重构个人信息保护原则

1.权利转轨:金融隐私权向金融信息权的发展




随着数字经济发展,隐私权的内涵持续扩张。从1924件英国法院在“图尔尼尔案”中首次在法律层面明确银行信息保密义务,金融隐私权在各国法律制度中受到越来越多重视,其内涵在于金融消费者对自身信息及财产信息具有特定支配权,其显著特征在于专属性和自主性。专属性意指金融隐私与消费者人身密不可分,信息蕴含的个人价值要求和尊严不可侵犯。自主性可以进一步被划分为支配、隐瞒和救济权能,金融消费者借此可以自主支配信息,并决定是否可被第三人知晓或利用,在信息泄露或被侵害时有权请求法律救济。上述理念在很大程度上体现经济学家哈耶克提出的“消费者主权”理念,也诠释消费者在市场经济中的地位。

随着数字经济的发展,消费者金融信息的商业价值被持续发掘,只注重于隐私权保护为主导的秘密状态,必将阻碍个人金融信息的流通和使用,因此应当在个人信息保护层面将其权利内涵上从金融隐私权转轨为金融信息权,从价值取向上既涵盖对金融个人信息之保护,亦体现对信息利用和流通的价值考量。从概念界分上,金融隐私权主要围绕个人敏感信息,对应个人信息保护法在第二章规定的敏感个人信息处理规则。值得注意的是,随着数字经济发展,信息识别性逐渐强化,技术已经具备匿名化信息识别个人条件,因此在金融信息权的理念下信息的保护范围还应当适度扩张。
从经济法权利的视角审视,金融信息权不是纯粹的私人利益,而是带有明显扩张性和权益义务非对称性,贯彻经济法上消费者本位的基本理念。在具体规则设定上,可以概括为个人信息的商业化利用,在金融消费者个人信息的使用中应当注意如下限制:其一,完善对个人金融信息商业化利用的处理规则,对敏感个人信息和一般个人信息的区分应当以非法处理该信息是否会造成人格利益与财产利益的损害为标准,对敏感信息的利用应当符合目的特定且充分必要要求,而且要取得消费者的同意;其二是规范信息主体撤回权的行使,基于个人同意的信息处理,个人有权撤回,但是机构已经进行的数据利用不受限制。另外,信息的撤回消费者应当提供正当理由,例如信息确有错误或违反法律规定。
2.治理原则:公平信息实践理论的延伸




公平信息实践理论起源于20世纪70年代的美国,是一系列关于个人信息收集、使用和管理的原则统称。面对技术进步,按照该理论要求,要实现消费者与金融机构等信息使用者权利的基本平衡,一方面要对个人进行信息赋权,设置个人对信息的访问权和修改权,另一方面要强化信息收集和处理的一方的责任,明确收集告知和安全保障义务。即生成式人工智能在信息收集过程中应当提示收集过程、明示泄露风险和说明利用途径,不应当违规暗中收集。
表3  公平信息理论处置原则说明表
其中合理使用问题在个人信息处理规则中居于主体地位,促进合理使用也是个人信息保护法的立法目标之一。从体系解释角度界定合理维度,应当认定合理目的、合理范围,并处理好合理使用和信息敏感性的平衡。对合理目的判定,一方面是要符合合法性基本要求,即满足个人信息保护法第13条关于“取得个人的统一”等要件的要求。另一方面应当符合比例原则要求,结合个案场景进行权衡。对合理范围的认定应当结合信息收集方提供产品和服务的需求,并考量存在“告知-同意”以外的其他合法性事由,如果不在此范畴内,则应当认定存在超范围收集信息问题。对合理使用与信息敏感性的平衡,应当认识到单一的敏感性标准以及无法满足现实保护需求,应当事先多层次、多梯度的保护。

表4  证券领域投资者保护目标

3.权益保护:包容审慎下的内容嬗变




在传统经济法理论下,消费者权益保护的目的在于客服市场失灵。市场经济体系对一般消费者造成危害的事实可以归结为以下三类:虚假广告、虚假广告和市场价格垄断。而金融消费者保护更大程度上旨在解决“监管失灵”问题。面对金融机构和消费者之间加剧劣化的信息鸿沟,金融监管机构应当强化包容审慎监管的理念,在保障消费者利益的同时防范系统性风险。而在现行监管体制下,金融监管部门一方面通过集中审慎监管以防范系统性风险,另一方面按照分工承担消费者保护职责。这种分割的监管模式极易导致目标冲突,促使金融机构更关注部门短期利益,不利于对消费者的倾斜保护。

(二)责任划分:划定个人金融信息保护法律责任

1.个人金融信息保护的经济法责任




金融消费领域的个人信息保护责任是指违反法律法规或双方约定而产生的综合性法律责任。除个人信息保护纠纷中承担的民事责任,还包括刑事、行政责任等。从司法角度出发,主要包括民商事法律体系的违约和侵权责任。公法责任中除刑事责任、行政责任,还包括经济法责任。因为金融行为具有较强的外部性,从社会本位出发,需要通过强化金融机构责任,调整司法的功能不足。例如,对近年频发的金融个人信息泄露实践,社会反响较大,传统的损失填平规则未能有效平衡双方责任。个人信息保护法目前对损害赔偿秉持的还是个人损失或处理者利得赔偿原则,建议引入惩罚性赔偿责任,实现对侵害行为的威慑和禁止。
2.个人金融信息保护归责基础与路径




线上模式已经成为目前金融机构的产品销售或服务的重要渠道。虽然金融机构可能出于反洗钱等监管需要存储个人信息,但个人在APP存储信息仍不应当被视为将个人金融信息委托给银行管理。在委托代理法律关系下,受托人应是为委托人利益而使用委托物。金融机构对信息的利用首先是服务自身,至多只能做到不主动损害消费者利益,与传统的委托代理理论有所差异。因为缺乏对金融机构将优先保护消费者信息利益写入契约的期待可能性,应当用信义义务来规制机构自身行为。

域外不少金融消费者保护法律都是基于衡平法信义义务的立法。在采集和个人金融信息相关的数据时,数据的使用者是数据应用的最大受益者,理所当然地对自己的行为负责。针对扮演经营者角色的金融机构而言,以信义义务为核心的法律构造作为消费者保护民事责任的基础,有利于破除传统侵权法在金融法领域的适用障碍。

在规则路径上,一般金融个人信息的保护可能触及不特定金融消费者乃至于其他社会主体,缺乏固定的交易相对人,所以在学理上多以侵权责任认定。相关法院曾在审理庞某与北京趣某信息技术有限公司等隐私权纠纷案中,在举证责任分配上明确消费者不具备对公司内部信息管理举证的能力,个人信息保护法第69条也规定侵害个人信息权益的过错推定原则,相关规定旨在平衡金融机构和消费者在举证能力等方面的差距。

(三)监管强化:规范监管主体和监管方式

1.构建多元主体协同的个人金融信息保护机制




个人金融信息保护除受金融行业监管,也受工信部、公安部等多部门管理。从监管部门的执法趋势来看,越来越重视强化信息共享和部门间沟通协作。因消费金融领域个人信息的特殊性,在具体监管上应当以新设立的金融监管管理总局为主导,与工信部、网信办等部门在统一监管标准的前提下开展协同合作,通过建立跨部门的信息互通平台破除行业数据壁垒,建立协同执法机制强化一体追责。
2.强化信息技术监管促进企业合规




强化对金融APP软件实名备案,并对预置格式条款的进行动态筛查,核查机构是否不合理减轻自身责任。对机构收集个人信息的需求,应当督促其说明是否系优化服务需要,避免超范围收集。同时,健全金融机构内部管理,金融机构应当建立涵盖个人金融信息分类管理、分级授权、脱敏处理及安全审查在内的制度体系。金融机构建立完善的个人信息保护制度,明确个人信息的分类,存储、使用、销毁等方面的规定。在APP等渠道运营中,有效控制个人信息的获取和使用,只收集必要的信息,严格限制对敏感信息的获取、使用、共享等行为。对收集的信息,建立安全可靠的信息存储、传输和处理机制,合理采用技术手段保护个人信息的机密性、完整性和可利用性,防止个人信息泄露、损毁、篡改等问题。此外,应当加强员工管理,建立定期、不定期的员工个人信息保护培训制度,使员工了解保护个人信息的重要性。
3.压实生成式人工智能提供平台责任




强化对生成式服务平台提供者的监管是防范其信息泄露风险的关键所在。个人信息保护法第58条明确规定对“超大互联网平台”课以“建立健全个人信息保护合规制度体系”的义务。因此,生成式人工智能服务提供者作为大型个人信息处理者,同样应承担起健全个人信息保护合规制度体系的义务,通过健全平台使用中的虚假信息鉴别和处理机制来降低人工智能编造社会谣言的风险,通过完善信息保护影响评估机制明确敏感个人信息的处理方式,实现生成式人工智能市场的良性发展和在金融业更广泛的运用。
结语

在当今数字化时代,随着生成式人工智能等工具的发展,个人信息保护是一项重要的社会责任。尤其是金融行业,由于其在国计民生领域的特殊地位,更需要加强对个人信息的保护。消费金融领域个人信息的有效保护和合理运用,不仅成为行业发展亟待解决的问题,而且也是信息数据法律治理应当尽快研究和解决的问题。当前阶段消费金融机构使用的信息数据来源广泛,信息处理主要在线上完成,数据融合衍生场景较多,智能处理和交互频繁,这些特点为消费金融领域的个人信息保护带来挑战。本文对金融个人信息保护的现状、问题与对策进行初步探索,建议监管部门更加关注金融隐私权的详细界定、侵犯金融消费者个人信息的法律责任承担、消费者权益保护与社会风险防控的平衡等诸多待解决问题,进一步增强金融个人信息保护的实效性,回应失衡的信息保护现状。

往期精彩回顾

薛少雄 蔡钰菲|人工智能产品研发中软件接口的合理使用研究——以Oracle v. Google案为例

金旭雯|人工智能生成内容著作权“赋权热”背后的冷思考——从人工智能“文生图”侵权第一案切入

张余瑛|人工智能时代法律的现象检视与未来转向

周芷妍|数字时代法官预判确定性与认知偏差控制

朱舒予|我国短视频平台版权治理义务体系之重构

目录|《新兴权利》集刊2024年第1卷

上海市法学会官网

http://www.sls.org.cn


继续滑动看下一个
上海市法学会 东方法学
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存