互联网金融消费者个人信息权的法律保护
摘要: 近年来,个人信息已经成为互联网金融平台发展的重要资源,由于我国互联网金融消费者在互联网金融交易中处于弱势地位,无法对其对个人信息进行有效保护,信息侵权案件屡见不鲜。在此情况下,通过对我国现实保护及立法缺陷进行分析,明确个人信息权的保护路径和权利救济举措,构建完善的互联网金融消费者个人信息法律保护体系。

一、互联网金融消费者个人信息权保护的现实问题

(一)消费者个人信息泄露问题严峻

个人信息泄漏是个人信息保护过程中重要问题,尤其在互联网金融领域,个人信息泄漏问题尤为严重。互联网金融平台强制要求消费者在享受服务之前必须提供一定的个人信息,又在提供服务的过程中利用技术优势扩大个人信息采集范围。与传统金融机构相比,互联网金融对个人信息的收集具有信息主体多、信息内容广泛、信息财产价值大等特点。由于互联网金融平台将个人信息数据存储在云端,如在对个人信息进行收集、分析的过程中出现漏洞,就会被不法分子通过软件利用漏洞窃取消费者个人信息。同时在利益的诱惑下,互联网金融机构内部人员利用职权窃取消费者个人信息,通过售卖的方式进行牟利等事件屡见不鲜。而又因为互联网传播具有数据量大、传播速度快、传播方式隐蔽等特点,消费者难以得知信息泄漏的源头或是无法及时对侵权证据固定保存,致使消费者难以通过法律或行政手段进行维权,个人的救济权利没有有效保障。信息泄漏事件频发,消费者维权困难使得互联网金融消费者个人信息权的保护问题愈发严峻。

(二)互联网金融平台对消费者知情权的侵犯

依照知情同意规则的内容,互联网金融平台必须对消费者说明其信息收集的目的、内容、范围、使用途径等,使其明确知晓。消费者的充分知情是其行使同意权的前提和基础。但消费者对其个人信息使用的知晓程度是由互联网金融平台提供的,其天然处于信息不对称的劣势地位。一方面,互联网金融平台作为信息提供方,通过模糊不清的条款规定、复杂难懂的条文表述,无限扩张自身的信息使用收集权利,甚至故意隐瞒或告知消费者错误的信息。而消费者基于自身水平可能难以理解或者错误理解金融机构的告知信息,其知情权受到严重侵害。另一方面,在平台使用过程中,消费者只能知晓平台提供的明面信息,无法对个人信息进行全面的控制,更无法知晓金融平台对信息的利用程度,在此情况下,消费者的知情权处于被忽视状态。

(三)消费者同意权的行使无法获得有效保证

在现实生活中,互联网金融平台与消费者之间处于不平等的地位,这种不对等的关系使得消费者在行使同意权时往往处于弱势地位。互联网金融平台对消费者同意权的侵犯主要体现在以下几方面:一是消费者作出同意并非其意思的真实表示。消费者作为信息主体,对于平台提供的隐私政策的格式合同条款,无法提出修改意见或是仅同意部分意见,如不同意全部条款则无法享受互联网金融平台所提供的服务。在这种情况下消费者的同意并不具有真实性,其同意权受到严重侵犯。二是消费者的同意权行使流于形式。消费者必须同意格式条款方可使用服务的行为,导致消费者的同意权实际上被架空。且冗长的格式条文将耗费消费者大量的时间成本,使消费者疲于阅读而是机械的选择同意,其同意权的行使流于形式。三是同意权的有效性难以得到保证。互联网金融平台,尤其是征信机构,为了得到对消费者准确的消费需求和征信评价,采用信息共享的方式,对消费者的个人信息进行整合。个人信息经过聚集整合后, 其性质可能发生实质改变,将原本不可识别的信息转变为可识别的个人信息,从而获得更丰富的个人数据。该行为突破了同意权许可的范围收集和获得个人信息,此时消费者同意权行使的有效性将大打折扣。

二、互联网金融消费者个人信息权的法律缺陷

(一)互联网金融消费者个人信息权保护专项立法缺失

我国现阶段的法律法规很难形成对互联网金融消费者的个人信息权形成有效保护。一是没有对互联网金融消费者个人信息权做出统一而明确的定义。二是《民法典》虽然为个人信息权的保护提供了法律依据,但民法保护的是平等主体之间的个人信息保护权,不能满足对互联网金融消费者这一特定弱势群体的倾斜保护。三是目前对于个人信息权进行保护的法律,大多是对某一特定行业的消费者进行保护,其在立法价值和立法目的上具有偏向,在内容缺乏统一性,相互缺乏衔接性,对各种权利的界定不明确,不能完全适用于互联网金融消费者。四是目前对于互联网金融消费者个人信息权进行专项保护的多为规范性文件,其效力层级低,不具有法律强制效力,对于互联网金融机构的约束力度不足。

(二)知情同意规则的操作指引不足

消费者为享受互联网金融平台的服务而无限让渡自身的知情和同意权利,知情同意规则遭到严重破坏。有学者认为知情同意规则的应用困境及作为同意的基础的信息不对称理论和个人信息自决权理论薄弱,知情同意规则不应成为个人信息处理的正当性基础。知情同意规则确实具有一定的局限性,但不能因此否认其存在的必要性。知情同意规则无法得到有效应用在很大程度上是由于知情同意规则的操作规范不强,法律规制不完备造成的。现行法律仅对知情同意规则做出了原则性的规定,实际操作性不强。法律在未对互联网金融平台的义务进行明确的情况下,平台实际上成为了“知情同意”规则的解释者,消费者的知情权被逐步削弱,同意的效力和范围北逐步放大,动摇了知情同意的基础,使得知情同意权的行使流于形式。

(三)法律救济机制不完善

目前我国互联网金融消费者个人信息泄漏、互联网金融平台侵犯消费者个人信息权的事件屡见不鲜,司法救济机制的不完善导致消费者维权困难,而缺乏法律责任的约束又进一步加剧了侵权事件的发生。法律救济机制的不完善是由多方面原因共同导致的。首先,我国现行的个人信息保护立法存在偏重刑事处罚与行政管理,但刑事和行政处罚无法满足消费者的日常维权需求,民事诉讼手段是消费者的最佳选择。而现行法律对于民事责任方面大多只规定了个人信息使用者的义务,对其违反义务的责任承担方式,因侵权行为造成损害的赔偿数额,是否可以进行精神损害赔偿等问题都没有明确具体的规定。其次,具体侵权主体难以确定,在互联网金融中,数据量大,交流传播速度快,每一环节都存在侵犯个人信息权的可能,消费者很难确认信息侵权的实际源头和主体,民事诉讼程序难以启动。同时互联网金融侵权案件与传统的金融侵权不同,传统的金融服务多采用线下交易,其责任承担主体多为金融产品的销售者和提供者。而互联网金融服务的信息侵权案件介入者人数众多,涉及多个侵权主体,明确责任主体及各主体应承担侵权责任份额的难度较大。最后是举证责任困难。我国民事诉讼的证据规则是“谁主张,谁举证”,消费者与互联网金融平台的不平等地位使得互联网金融平台掌握更多的信息数据,其可利用自身技术优势通过删除或修改等手段对涉案数据迅速做出处理,消费者在民事诉讼中存在难以收集固定证据,举证困难的情况。同时由于提起诉讼所花费的时间成本过高,也是消费者不愿意选择法律手段维权的原因之一。

三、我国互联网金融消费者个人信息权法律保护的完善

(一)完善互联网金融消费者个人信息权保护法律体系

《民法典》的颁布实施意味着个人信息权在我国已成为一项独立的民事权利,为个人信息的保护提供了基础性的支持,但要形成完备互联网金融消费者个人信息权保护体系,还需要后续相关法律法规的支持。一是借鉴域外国家所遵循的“基本法权利保护——民法框架保护——专门法律保护——分领域具体权利保护”的立法路径。通过制定《个人信息保护法》和《金融消费者权益保护法》共同对互联网金融消费者信息权进行保护。在《个人信息保护法》中进一步对个人信息的概念进行明确,区分个人一般信息和个人敏感信息,结合“识别性”和“关联性”特征,对二者进行区别保护。明确个人信息权利的具体内容和权利行使的具体路径,及对数据使用者提出限制性规定。在《金融消费者权益保护法》明确互联网金融消费者的具体构成,基于互联网金融的特点对消费者的个人信息权进行细化规定,确认互联网金融机构的概念、性质、从业资格、业务范围监管机构等,明确互联网金融平台所承担的义务,将互联网金融平台对个人数据的收集和处理要求限制在法律框架内。并明确互联网金融平台的法律责任,确定损害赔偿的具体计算标准和法定赔偿限额,为消费者的维权提供相应的法律依据。

二是对侵权责任法进行完善。根据《民法典》侵权责任编底第1164条的规定,个人信息权作为一项独立的民事权利应纳入《侵权责任法》的调整范围。对侵害个人信息权的归责方式和举证责任规则进行原则性规定。基于当下消费者维权、举证困难的问题,将互联网金融平台的侵权行为纳入法定的过错推定责任情形,实行举证责任倒置的证据规则,由互联网金融平台举证证明其未构成信息侵权或是其在信息收集行为中未对消费者造成实际损害,否则应由平台承担赔偿责任。完善《民法典》第1197条的规定,引入互联网金融平台的通知义务,要求互联网金融平台对发生的数据侵权行为主动通知消费者,明确侵权主体,否则应与侵权主体承担连带责任,完善民事维权途径。

(二)完善知情同意规则的制度设计

个人信息既是个人隐私的一部分,同时也是重要的战略资源,因而完善知情同意规则既要做到保障消费者的个人信息权,又要促进信息流动和共享,构建合理的知情同意规则。

完善知情规则可学习域外经验,构建事前、事中、事后的知情规则。具体设置如下:事前知情,在用户同意互联网金融平台对信息的收集处理前,要向用户明确告知信息收集处理的目的、范围等,且必须使用简单易懂,能使消费者轻易理解的表述进行说明;事中知情,是指互联网金融平台应向消费者报告其个人信息的来源、已收集的信息内容、信息的流向等;事后知情,即要求互联网金融平台告知消费者其个人信息的处理结果、应用方向、是否与第三方共享信息及共享的目的等。但在事中和事后若要求互联网金融平台进行实时报告是不现实的,且会增加互联网金融平台的运营成本,因而可赋予消费者信息申请权,由消费者向金融平台申请公开,金融平台在接到申请后在规定期限内向消费者发送完整的个人信息报告。

为确保消费者做出同意的有效性和真实性,可通过以下两方面完善消费者同意规则。一是行政机关根据互联网金融平台的业务需求进行分类,以必要性和最小限度原则为基础,制定统一的个人信息统一授权的格式合同并推广使用,明确同意授权的范围,节省消费者的时间成本。二是互联网金融平台若是需要突破统一格式合同的限制,需在专门的页面向消费者详细列出需额外授权的条款,消费者可自主选择部分或全部同意,保证消费者同意的真实性。三、为保证消费者行使同意的有效性,可引入个人信息的“删除权”制度,对超出同意授权范围收集的个人信息,要求金融平台删除该信息内容及根据该内容所形成的信息结果。

(三)建立多元化纠纷解决机制

司法救济手段存在着时间长、过程繁琐等弊端,仅凭司法手段无法全面的保障消费者的个人信息权的有效行使。建立多元化的纠纷解决机制是保护互联网金融消费者的个人信息权的必要举措。

非诉解决机制的建构上可对协商、调解、投诉等机制进行完善。具体设计可参考欧美现有的金融消费者保护机构制度,在金融监管部门建立专门的金融监察机构,受理消费者对有关互联网金融平台侵权事件的投诉,对立案的信息侵权案件进行调查取证并提出处理意见,促进消费者与互联网金融平台之间通过协商、调解快速解决个人信息争议事件。此外还要加强互联网金融平台的内部治理完善,建立专门的纠纷处理部门,完善纠纷内部处理机制。

在诉讼解决机制的建构上,应从以下几方面入手:首先,设立推广互联网法院的建设。我国已在广州等地建立专门的互联网法院,通过网上立案、开庭等方式对案件进行审理,通过司法实践证明,互联网法院具有专业性强、诉讼方式便捷、案件审理时间短等优点,在一定程度上解决了传统民事诉讼中诉讼时间长、成本高的问题,减少消费者的维权时间成本和金钱成本。其次,在互联网金融消费者个人信息侵权案件中引入公益诉讼制度。《中华人民共和国民事诉讼法》第五十五条中规定为引入公益诉讼制度提供了法理基础,在此类侵权案件中纳入公益诉讼制度的保护范围完全符合法律的规定。在现实层面,检察机关可利用公权力介入案件调查,在证据调取、证据保全和线索收集方面具有极大的优势。启动公益诉讼,将案件交由检察机关进行处理很好的弥补了消费者在双方关系中的弱势地位,有利于提高维权的成功率。最后,我国可借鉴美国《加州消费者隐私法案》中民事诉讼的启动要求并进行改革,构建我国信息侵权案件诉前调解制度。在法院受理案件后,设定由法院给互联网金融平台发送书面通知进入诉前调解程序,在法院的主持下就纠纷案件的责任承担和赔偿数额进行调解,促使案件的快速了解,降低双方诉讼成本,提高诉讼效率。同时为避免法院滥用诉前调解制度拖延诉讼时效,在其中一方当事人明确表示拒绝调解后,应马上安排案件进入审理程序。

结 语

随着互联网金融的不断发展,消费者个人信息的价值不断提高,互联网金融平台对消费者的个人信息权的利用程度不断深化,但个人信息侵权案件屡有发生,且有着不断扩大的趋势,现有法律已经无法对互联网金融消费者的个人信息保护提供有效保护。完善我国互联网金融消费者的个人信息权的保护规则已刻不容缓。应当加快我国互联网金融消费者个人信息的法律制定工作,完善消费者知情同意规则的使用,构建多元纠纷解决机制,完善法律保护措施,建设完备的互联网金融消费者个人信息权保护制度,以此推进互联网金融产业的健康发展。

参考文献

[1] 任龙龙.论同意不是个人信息处理的正当性基础[J].政治与法律,2016(01):126-134.

[2] 汤敏.个人敏感信息保护的欧美经验及其启示[J].图书馆建设,2018(02):41-47.

[3] 王文祥.知情同意作为个人信息处理正当性基础的局限与出路[J].东南大学学报(哲学社会科学版),2018,20(S1):142-146.

[4] 王晓红.互联网金融消费者个人信息安全权法律保护问题探讨[J].北方金融,2017(02):63-66.

[5] 谢子门.当今步入互联网金融时代的进一步思考[J].中国商贸,2013(13):118-119.

[6] 张继红.论我国金融消费者信息权保护的立法完善——基于大数据时代金融信息流动的负面风险分析[J].法学论坛,2016,31(06):92-102.

[7] 张可法.个人金融信息私法保护的困境与出路[J].西北民族大学学报(哲学社会科学版),2019(02):91-97.

[8] 周秀娟,罗敏娜.互联网金融中个人信息的民法保护——以《民法总则》的出台为契机[J].电子科技大学学报(社科版),2017,19(04):52-56.