互联网金融背景下金融信息保护的法律监管研究
中图分类号:F830.31 文献标识码:B 文章编号:1674-0017-2014(9)-0021-04
随着第三方支付、P2P等互联网金融类型逐渐被越来越多的人所接受和使用,与消费者相关的金融信息的搜集、保存、加工和使用,在主要依靠云技术、大数据和搜索引擎的互联网金融中,发挥举足轻重的作用。金融危机后,加强金融消费者权益保护日益成为世界主要发达国家、地区改进和加强金融监管的普遍共识,并被付诸实践。因此,全面梳理当前我国消费者金融信息保护的法律监管现状,深入分析其面临的监管困难与问题,对促进金融创新、维护金融稳定具有重要意义。
一、法律监管现状
(一)金融信息保护的基本框架已经形成。一是在法律层面上确立基本原则。1995年5月制定、2003年12月修订的《商业银行法》在第三章“对存款人的保护”中,明确规定:商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。这是我国首次以法律的形式建立了金融机构为存款人保密的法律原则,从法律原则和法律解释上涵盖了金融信息保护的义务和责任。2006年10月制定的《反洗钱法》在第四章“金融机构反洗钱义务”中,要求金融机构应当按照规定建立客户身份资料和交易记录保存制度,并对未按照规定保存客户身份资料和交易记录的或泄露有关信息的违法行为,规定了严格的惩处措施。这又一次以法律的形式对金融信息保护做出了更为明确具体的规定,并且为了督促保护金融信息的行为顺利执行,明确了违法行为应当承担的相应法律责任。二是在行政法规层面上建立基本规范。2013年3月15日起施行的《征信业管理条例》,以行政法规的形式,对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动进行了全面规范,并对违法收集、查询、使用信用信息的行为规定了比较严厉的行政处罚。三是在部门规章层面上确立具体准则。2005年8月施行的《个人信用信息基础数据库管理暂行办法》、2006年11月制定的《金融机构反洗钱规定》、2007年6月制定的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》和2010年6月制定的《非金融机构支付服务管理办法》均以部门规章的形式,规定了个人信用信息的报送整理、查询、异议处理、安全管理和行政处罚,具体规定了客户身份资料和交易记录保存的防护管理措施、技术措施和保存期限等具体问题,并首次将金融信息保护的范围扩展到第三方支付机构。四是在规范性文件层面对执行中出现的问题因情势变更作出适当的安排和要求。2011年1月中国人民银行制定的《关于银行业金融机构做好个人金融信息保护工作的通知》、2012年3月中国人民银行制定的《关于金融机构进一步做好客户个人金融信息保护工作的通知》以及2012年12月中国人民银行制定的《非金融机构支付服务管理办法实施细则》均以规范性文件的形式对金融机构做好个人金融信息保护工作做出了更加明确的部署与安排。
(二)金融信息保护的基本范围已经明确。一是以行政法规的形式框定了金融信息保护的基本范围。《征信业管理条例》明确规定保护范围是企业和个人的信用信息,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息,并不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。二是以部门规章形式明确了金融信息保护的内容。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》明确,金融机构应当保存的客户身份资料包括:记载客户身份信息、资料以及反映金融机构开展客户身份识别工作情况的各种记录和资料;金融机构应当保存的交易记录:包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。三是以规范性文件的形式细化了个人金融信息保护的范围。《关于银行业金融机构做好个人金融信息保护工作的通知》中,对个人金融信息的概念和种类首次做出了全面具体的规定。所谓个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:包括个人身份信息,财产信息,账户信息,信用信息,金融交易信息,衍生信息以及在与个人监理业务关系过程中获取、保存的其他个人信息。
(三)金融信息保护的责任追究制度已经建立。为保护客户隐私,维护金融稳定,目前监管法律法规对违规收集、使用、对外提供金融信息的行为,已规定了相对明确的处罚措施。《商业银行法》对金融机构非法查询个人储蓄存款和单位存款的行为,规定由国务院银行业监督管理机构责令改正,并根据违法所得金额,给予不同额度的行政处罚。对金融机构未按照规定保存客户身份资料和交易记录的行为,违反保密规定、泄露有关信息的行为,《反洗钱法》规定情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员,处一万元以上五万元以下罚款。《征信业管理条例》规定向金融信用信息基础数据库提供或者查询信息的机构,违法提供或者出售信息、因过失泄露信息等违法行为,由对单位处5万元以上50万元以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款。此外,对非金融机构未按照规定保管相关资料的行为,《非金融机构支付服务管理办法》规定由中国人民银行分支机构责令其限期改正,并给予警告或处1万元以上3万元以下罚款。
二、存在问题
(一)对金融信息保护范围缺乏统一、具体的规定,且法律效力层级较低。在《商业银行法》中,根据确立的“为存款人保密”的基本原则,金融信息保护对象仅为存款人。显然对贷款人、中间业务参与者等非存款人的金融信息,金融机构是否负有保密责任与义务,法律并没有给出明确规定。即便是存款人的金融信息保护,针对个人存款和单位存款,法律在保护程度的规定上也不尽相同,对个人储蓄存款给予了更严格、更审慎的保密义务。如:对个人储蓄存款,只有法律规定可以查询的,金融机构才履行查询义务,除此之外有权拒绝任何单位或者个人查询等行为;但对单位存款,除法律之外,行政法规规定可以查询的,商业银行也应当履行查询义务。但是对存款人的哪些信息应当保护,法律并未作出具体规定。从《反洗钱法》的规定来看,信息保护范围为:客户身份资料和交易记录,前者包括记载客户身份信息、资料以及反映金融机构开展客户身份识别工作情况的各种记录和资料;后者包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。从《征信业管理条例》规定来看,金融信息保护范围限定为企业或个人的信用信息。如果说,《商业银行法》对保护范围仅仅做出了一个概括性的、原则性的规定,后来制定的《反洗钱法》则对保护范围了首次明确,包括客户身份资料和交易记录。在2011年《关于银行业金融机构做好个人金融信息保护工作的通知》中,对个人金融信息保护的范围进行了全面细致的规定。明确个人信息的范围,除了法律规定的身份资料和交易记录之外,还包括财产信息,账户信息,信用信息,衍生信息以及在与个人建立业务关系过程中获取、保存的其他个人信息。特别是将个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的衍生信息,纳入金融信息保护的范围。即使如此,仍然存在两个方面的问题,一是从法律形式上而言,后者既不是行政法规、也非部门规章,仅是人民银行制定的规范性文件。因为行政法规由国务院组织制定,部门规章由人民银行行长签署中国人民银行令予以公布。所以在法律效力上,后者对个人金融信息范围的界定,不构成对前者的法律解释,只是一个行政性的业务说明,因为根据立法法的规定,对法律的解释权属于全国人民代表大会常务委员会。显然,在金融信息保护户范围的界定上,该规范性文件虽然是最全面具体的,但在法律效力层级上的却是最低的,这势必给金融信息保护的具体执行带来刚性不足、依据偏弱的先天缺陷。二是从涉及内容上看,后者仅是对个人即自然人金融信息的明确和细化,尚未涉及法人、其他组织和个体工商户(统称“企业”)的保护范围。这将使得对企业金融信息的保护,除客户身份资料和交易记录之外,面对互联网金融的迅速发展,衍生信息等金融信息违法收集、使用、对外提供的法律风险将更加突出。 (二)金融信息保护义务尚未覆盖到互联网新型金融主体,存在监管真空。《商业银行法》适用对象为银行业金融机构,《反洗钱法》将适用对象扩展到金融机构,指依法设立的从事金融业务的政策性银行、商业银行、信用合作社、邮政储汇机构、信托投资公司、证券公司、期货经纪公司、保险公司以及国务院反洗钱行政主管部门确定并公布的从事金融业务的其他机构。显然,除银行业金融机构之外,证券业、保险业、期货业、信托业均覆盖其中。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》增加规定,要求从事汇兑业务、支付清算业务和基金销售业务的机构也应按照规定履行客户身份识别、客户身份资料和交易记录保存义务。《非金融机构支付服务管理办法》将在收付款人之间作为中介机构,即第三方支付机构,提供部分或全部货币资金转移服务的非金融机构纳入监管范围,明确其也应履行金融信息保护义务。从上述监管法律法规来看,尽管信息保护的具体范围宽窄不尽相同,但履行金融信息保护义务的主体范围在不断扩大,已从最初的主要集中于银行业金融机构,逐渐向银行、证券、保险金融机构甚至第三方支付机构拓展。不容回避的是,在互联网金融迅猛发展的大背景下,面对P2P网络借贷平台、众筹融资、网络小额贷款等互联网金融新的类型和业态的不断涌现,若仍然将金融信息保护的主体范围限定于既有的金融业主体,将互联网金融新型主体不愿或不能及时纳入监管范围,必将存在监管真空和漏洞,为金融信息的违规收集、使用和对外提供留下网络施展空间,更加容易导致金融信息的泄露、滥用,引发诉讼风险,给金融稳定带来隐患。因此,2007年制定《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》,将从事汇兑业务、支付清算业务、基金销售业务的机构纳入金融信息保护的主体范围,很好地体现了监管规则的前瞻性和指导性。但历时7年之后,互联网金融领域信息保护规定的空白,一定程度上反映了监管理念的滞后。
(三)金融信息违法行为的处罚标准不尽统一,处罚额度差异较大。以行政处罚规定为例,《商业银行法》对违规对外提供金融信息的行为,比如非法查询行为,规定责令改正,有违法所得的,没收违法所得,违法所得五万元以上的,并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五万元的,处五万元以上五十万元以下罚款。《反洗钱法》对违规使用金融信息的行为,如未按规定保存客户身份资料和交易记录,违反规定泄露有关信息的行为,责令限期改正;情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员,处一万元以上五万元以下罚款。《非金融机构支付服务管理办法》对违规保存使用金融信息的行为,如:未按规定保管相关资料或保守客户商业秘密,责令其限期改正,并给予警告或处1万元以上3万元以下罚款。从上述规定可以看出,一是在违规使用金融信息行为严重程度的判定上,采取了“有无违法所得”和“情节是否严重”两个衡量标准,一个是从违规行为获利的角度出发,一个是从对金融秩序造成损害的角度出发,两者在立法意图、立法技术等方面存在显著差异。二是从某种角度而言,是否有违法所得也应视为情节严重与否的应有之义,换言之,情节标准涵盖了是否获利的情形,两种不同表述在现实中存在相互交叉、重叠的可能,但给予不同种类、幅度的行政处罚,使得金融信息保护行为的执法实践难度加大。三是与给予金融机构的行政处罚相比,针对非金融机构即支付机构的行政处罚,种类单一、额度较低。如对支付机构仅给予1-3万人民币行政罚款。尽管较低额度的行政处罚与立法法、行政处罚法对部门规章设置行政处罚的权限和范围有关,但是在执法实践中,容易造成相同违法违规行为,对金融机构和非金融机构给予不尽相同的行政处罚,暂且不论是否有违法律面前人人平等的基本法律原则,仅从较小的行政处罚成本而言,势必带给第三方支付机构甚至其他互联网金融新类型违法预期的增强,弱化行政处罚的威慑和效果。
(四)破产解散情形下金融信息监管存在空缺,为金融违法犯罪留下滋生空间。互联网金融在迅猛发展的同时,也存在着良莠不齐的现象,难免鱼龙混杂,网络借贷平台卷钱跑路的情况时有发生。这就使得破产解散后客户金融信息的保护问题迅速浮出水面。《商业银行法》在金融机构解散、被撤销和被宣告破产后,重点关注了银行债权债务分配和偿还问题,对客户金融信息保护的问题未作规定。《反洗钱法》对此种情形首次做出了规定,要求金融机构破产和解散时,应当将客户身份资料和交易记录信息移交国务院有关部门指定的机构。但是这样的规定显然还比较原则和模糊,国务院有关部门、具体移交机构,移交范围,期限固定等等都不具体和清楚。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》规定:金融机构破产或者解散时,应当将客户身份资料和交易记录移交中国银行业监督管理委员会、中国证券监督管理委员会或者中国保险监督管理委员会指定的机构。至此,虽然明确了金融信息移交管理部门,但是这仅局限于金融机构。对包括第三方支付在内的非金融机构甚至互联网金融机构解散、破产后的信息保护,包括金融信息移交、保管问题未作出明确规定。因为《非金融机构支付服务管理办法》仅仅规定:支付机构因解散、依法被撤销或被宣告破产而终止的,其清算事宜按照国家有关法律规定办理。综上,新型互联网金融机构解散、破产后的金融信息保护方面的监管空白,将给时有发生的网络借贷平台跑路和网上银行、手机银行金融诈骗犯罪留下了赖以滋生的土壤和生长环境。
三、对策建议
(一)以相对较高的法律位阶和规范形式,统一明确金融信息保护的范围。一是建议消费者金融信息按照主体的不同,参照《反洗钱法》等相关法律法规,结合金融实践活动,分为自然人金融信息和法人、其他组织和个体工商户金融信息两大类,在此基础上再按照内容不同分为身份信息、财产信息、账户信息、信用信息、交易信息、衍生信息、不良信息和其他信息。二是建议采取广义金融信息的概念和范围,将互联网金融涉及的金融信息也纳入监管范围,增强监管规则的前瞻性和覆盖面,形成金融信息保护的整体一致框架,为将来不断出现的新型金融信息类型留下监管空间。三是参照《商业银行法》、《金融机构反洗钱规定》等法律法规展现出来的金融信息保护原则,继续坚持对自然人与对法人、其他组织和个体工商户程度不同的保护原则,在违规金融信息收集、保存、对外提供行为的界定上,违规行为给予行政处罚的种类和幅度设定上,突出对自然人金融信息的更高程度保护,更加严格的法律限制。四是在形式表现上,建议首先选取制定消费者金融信息保护单行法律的具体形式,对信息保护范围通过法律条文或法律解释的方式,统一明确加以规定。顾及到提请制定法律的严格程序要求,目前也可以考虑通过行政法规的形式来统一明确金融信息保护范围,以改变当前部门规章和规范性文件在效力层次上的低下,解决在执法实践中对碰到的概念表述不一、范围宽窄不同、理解处置迥异的棘手问题。 (二)以适当形式将金融信息保护覆盖到互联网金融的新型主体。一是建议将互联网金融的新业态和种类纳入监管范围,虽然目前监管规则已对第三方支付等支付机构赋予了金融信息的保护义务,但是P2P网络借贷平台、网络小额贷款公司、众筹融资等互联网金融主体对金融信息保护也负有义不容辞的义务和责任,出于降低法律诉讼风险,维护金融稳定监管要求的考量,应当要求其像银行业金融机构一样,依法依规收集、保存、加工和使用金融信息。二是在具体表现形式上:一种建议是考虑到有关部门正在制定或计划制定针对P2P网络借贷平台、网络小额贷款公司、众筹融资等互联网金融主体的业务监管办法,建议将金融信息保护内容一并纳入其中,做到金融信息保护与业务监管相统一。另一种建议是参照前述统一明确金融信息保护范围的做法,在制定统一专门的金融信息保护方面的单行法律或行政法规中,一并将这些新型金融主体纳入其中。
(三)以情节轻重为标准、种类幅度相当为原则,补充修改违反金融信息保护行为的行政处罚条款。一是对违法收集、保存、加工、使用金融信息的行为,统一以情节轻重为标准衡量违法行为的严重程度,将是否有利益所得纳入情节轻重考量的具体情节,并对自然人客户和法人、其他组织、个体工商户客户的违法行为,设定不同的认定标准,突出对前者金融信息违法行为较低、较宽的认定门槛,较高、较严的行政处罚力度。二是参照《商业银行法》、《反洗钱法》和《征信业管理条例》对违反金融信息保护行为的认定和处罚情形,以适当形式对金融信息保护的其他部门规章、规范性文件相关内容作出修改或补充,使得对不同机构的相同行为,在处罚种类和处罚幅度上保持基本相当,避免在金融信息违法行为责任追究上适用依据差异较大、尺度把握不尽统一的现实困难,同时也有助于提高非金融机构的违法行为成本,一定程度上遏制金融信息违法行为的发生。三是参照前述在金融信息保护方面制定统一的单行法律或行政法规的情形,将P2P网络借贷平台、网络小额贷款公司、众筹融资等互联网新型金融主体也纳入其中,对违法行为和法律责任追究,明确处以与金融机构、第三方支付基本相同的行政处罚,以做到行政处罚条款的全领域覆盖。
(四)根据业务监管原则,明确和细化破产解散后金融信息的移交保管制度。一是参照《反洗钱法》等相关法规,明确第三方支付机构解散、破产和被撤销时的金融信息移交保管问题,由履行支付业务许可证颁发与管理的中国人民银行作为移交和管理机构,承担此类金融信息保护义务。二是对互联网新型金融主体,建议将其解散、破产和被撤销时的金融信息移交保管,按照正在制定或计划制定的业务管理办法要求,移交到与其业务监管相适应的监管机构或地方政府部门负责保存管理。三是在移交保存的技术层面,参照《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》有关规定,建议对金融信息的保存期限、特殊情况下的保存时间,同一介质、同一信息不同介质的保存等具体问题,尽可能作出一致统一的具体规定,以体现金融信息全面、依法保护的规范性、完整性和严肃性。
