一、个人信息权的名与实
(一)个人信息权的概念
个人信息及个人信息权在我国法律中并没有明确规定。学术界的主流观点认为,个人信息是指与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。如王利明将个人信息定义为“与特定个人相关联的、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息”。[2]个人信息权则是指公民对其个人信息依法享有支配、控制并排除他人侵害的权利。
(二)个人信息权的内容与性质
个人信息权的内容以对个人信息的支配为核心,因而包含以下几个方面的内容。一是个人信息决定权,即本人对个人信息是否被收集、处理、利用,及以何种目的、何种方式在多大限度内被收集、处理和利用所享有的权利。二是个人信息保密权,本人得以请求信息控制者和信息处理者在约定或法定范围内收集、处理、利用信息的权利。三是个人信息知情权,本人得以知晓其个人信息及其有关的处理情况,并要求答复的权利。个人信息因其具有可识别性,指向的对象是特定的自然人。个人信息的收集、处理、利用直接关系到个人信息主体的个人尊严。法律保护个人信息的主要目的是为了维护个人的尊严,保护个人对其信息的自主支配。人格权是指民事主体依法固有的,为维护自己的生存和尊严所必备的不受他人侵犯的人身权利。因而个人信息权的本质是人格权。个人信息权不仅包含主体对个人信息的人格利益,还能通过处理个人信息实现个人信息价值的最大化。个人信息权的具体性使其不适用于一般人格权,而与具体人格权相比,个人信息权不仅具有对人格利益排他性支配,以满足精神、物质需要,还具有财产价值。
二、互联网金融与个人信息权
(一)互联网金融中个人信息的收集、利用
互联网金融用户在进行交易过程中,第一步就是要向交易平台或交易对象提供个人信息,信息包括个人姓名、身份证号码、银行卡账号、个人住址、联系方式等。交易过程中用户的收入、消费、银行卡号等信息也被相关机构获知。互联网金融用户的个人信息主要是与个人经济利益有密切联系的信息。互联网金融经营者收集个人信息的方式大体有两种:一是用户主动提供,二是网络商家通过网络平台和信息技术收集、购买、窃取。在“信息就是金钱”的互联网时代,互联网金融的各种机构掌握用户个人信息相当于掌握一笔隐性财富。一方面,经营者为了给用户提供个性化商品和服务,通过收集用户在互联网平台上的信用记录、消费行为、投融资情况等基础数据,以大数据分析为平台,有针对性的开发互联网金融产品并进行精准营销。另一方面,对大量公众信息进行收集,整理并转卖于其他商业组织或有偿查询从中获利。
(二)互联网金融中个人信息权现状
互联网金融依托于网上支付、云计算、社交网络以及搜索引擎等互联网工具而运行。而互联网之开放,消息传播速度之快,波及范围之广,正在成为侵害公民信息安全的最大媒介。互联网金融用户的个人信息相比实体金融更容易被泄露。个人信息权被侵害存在途径广和维权难的特点。互联网平台、网络运营商、黑客、用户自身都是侵害个人信息权的主体。互联网金融利益巨大,获取个人信息的手段隐蔽多样且成本低廉,在外部没有健全的法律制度和行业自律机制的规制下,大规模的微型侵害时常发生。由于我国民法的证据规则是“谁主张,谁举证”,被侵权人负有举证义务。用户在互联网查找信息泄露的源头显然不具有可行性,用户存在维权难的困境。我国大陆目前尚无专门的《个人信息保护法》,有关公民个人信息保护的规定散见于各个法律法规之中。除《宪法》规定公民享有人格尊严不受侵犯的权利外,《民法通则》《侵权责任法》《商业银行法》《保险法》《邮政法》《互联网信息服务管理办法》《网络管理暂行规定》《计算机系统安保条例》《关于加强网络信息保护的决定》以及行政法领域的《居民身份证法》《治安管理处罚法》《政府信息公开条例》都有部分条文对个人信息的保护有所规定,出售、非法提供以及非法获取公民个人信息也被纳入刑法体系。涉及个人信息保护的我国地方性的法律法规有《湖南省信息化条例》《江苏省信息化条例》《厦门市软件和信息服务业个人信息保护管理办法》以及《深圳经济特区互联网信息服务安全条例(征求意见稿)》。总体来讲,个人信息保护的法律法规并不少,但是分散不成体系,且法律层级普遍偏低,重行政管理、刑事处罚,轻民事确权、民事归责。违背保密义务的责任却鲜有规定。现有立法仅仅对违法犯罪行为本身予以规制,并未对收集、加工、使用和传递个人信息的合法性予以规范,也没有明确自然人对其个人信息享有怎样的权利。
(三)互联网金融中个人信息风险
以P2P平台陆金所为例,陆金所的服务协议声明:“因黑客、病毒或个人会员的保管疏忽等非陆金所原因导致个人会员的会员账户遭他人非法使用的,陆金所不承担任何责任。”“陆金所无需个人会员同意即可向陆金所关联实体转让与陆金所平台有关的全部或部分权利和义务”。“陆金所可能自公开及私人资料来源收集个人会员的额外资料,以更好地掌握个人会员情况,并为个人会员度身订造陆金所服务、解决争议并有助确保在陆金所平台进行安全交易”。“向平安集团因服务必要开展合作的伙伴提供、查询、收集本人的信息”。[3]陆金所在协议中对因黑客、病毒等原因导致会员账号被盗进行了免责声明,并没有提供用户因账号遭他人窃取发生损失的补救措施。此外,陆金所除收集用户所填基础信息外,还通过其他途径收集用户额外资料,且并未告知获取额外资料的途径和内容。用户的个人信息也会向平安集团合作对象提供,利用的目的和程度则未向用户声明。大数据时代,信息共享是资源有效利用的手段,但是个人信息自愿的利用要有当事人的合理授权为前提。自然人有权使用、查询、更正、封锁、删除其个人信息;自然人有权拒绝提供或反对处理其个人信息;自然人有权制止意图进行直接销售的个人信息处理行为;自然人有权获取基于商业目的处理其个人信息而产生的收益。现实情况下,一方面用户缺乏个人信息权利意识和保护意识,用户对互联网金融的收益的关注度要远远高于对个人信息权保障的注意。另一方面,企业在掌握用户个人信息后,并没有法律法规对其使用、处理个人信息进行规范,且在服务协议的签署中,作为入门条款,用户只有同意条款并签署协议或者拒绝条款从而放弃签订协议的选择。互联网时代个人信息的掌握者和数据的使用者才最应该成为个人信息保护的主要责任人,用户个人信息被他们掌握,法律应该做出非常明确的规定,在数据真正被使用之前应该征得本人同意,并声明数据在什么范围内被使用、用作何种目的等等。
三、法律规制
个人信息司法保护的目的在于保护信息主体的个人权益,以及促进个人信息的流通与利用,二者之间的恰当平衡是个人信息权保护的关键所在,也是互联网金融得以健康发展的重要条件。对互联网金融中用户个人信息的收集、使用、处理进行有效法律规制则是依法治国背景下市场经济发展的重要保障。首先,要制定统一的个人信息保护法,明确个人信息权。在我国未来民法典应当明确自然人的个人信息受法律保护。作为权利确认法的人格权法有必要因信息社会保护个人信息的迫切要求,确认人们对其个人信息所享有的权利,从而维护人们的人格尊严与自由。个人信息权若能得到我国未来民法典的确认,不仅对于信息主体私人利益的实现具有重要意义,促进权利主体树立权利保护意识,而且对个人信息的自由、有序、安全流通具有难以估量的价值。而且有利于解决现有立法中不同法律不同定义、不同法律不同方式的情况,消除各自为政、多法难依的情况,排除法律真空地带。从确权到责任认定,从侵权方式到损害赔偿,民法才是最有效的救济手段。其次,确定权利救济制度。全面的保护不仅包括事前防范机制,还应包括事后救济制度。互联网金融中侵害个人信息具有大规模轻微损害的特点,应当通过《民事诉讼法》所确立的小额诉讼、公益诉讼等制度来保护个人信息权。同时加入举证责任倒置的原则,在信息极不对等的情况下,最大限度保护用户的权益。建立信息安全执法机构,专门负责审查、登记对公民信息资料的收集、适用情况,处理公民关于信息侵权的投诉、申诉,从而使公民在寻求法律救济时有行政和司法两种途径可供选择,避免执法力量分散导致的法律规定的职责被虚置。再次,加强互联网金融相关行政监管机构的管理职能,如银监会、证监会、保监会的监督管理职能。制定一系列监管措施,对存在较多风险和严重漏洞的业务模式加强限制,同时建立完备互联网金融行业制度规范。尤其是政府机关更要完善数据库技术,从源头上防止信息外泄,严查行业间利用信息进行权钱交易的行为。最后,建立完善的行业自律机制。这不仅有助于从根源上消除个人信息的不法利用,还可以节约社会成本和司法成本。如互联网金融各行业建立行业协会,共同抵制侵害公民个人信息权的行为。互联网金融主体应当加强行业自律,财务管理论文行业联合会和行业带头人应该带头建立行业自律标准规范,以保护行业健康、有序、可持续发展。
作者:刘晓睿 刘蒋西子 单位:华中师范大学