上海政法学院,上海
传统工业时代之下,人们注重对隐私权的保护,在金融领域,则体现为对金融隐私权利的保护。从整体上看,金融隐私权本质上仍然是一种防御性权利[1]。随着信息网络技术以及人工智能的发展,大数据时代已经到来,信息之间隔绝、不流通的秘密隐私状态已经被弱化、打破,单是防御型的权利已经不足以适应大数据时代的浪潮了。与金融隐私权相比,金融信息权所涉及的外延更广,涵盖的权利更多,金融信息权中不仅囊括了信息主体的隐私以及与个人密切相关的敏感信息,同时,信息主体还可以自己决定是否公开个人信息以及统一被收集、利用信息,而这些信息的保护是不包含在金融隐私权之中的。因此,金融信息权更能有效平衡信息安全保障与信息价值。
目前,现有的法律法规中并没有对消费者金融信息这一概念作出明确的规定,仅在中国人民银行发布的规范性文件中对此作出了界定。2020年11月,中国人民银行发布的《中国人民银行金融消费者权益保护实施办法》(下文简称《实施办法》)第二十八条第一款首次对于消费者金融信息作出了规定[1],《实施办法》采用概括加列举的方式对“消费者金融信息”进行了界定,涵盖金融消费者个人身份及财产账户等一系列与消费者开展金融活动有关联的信息。2021年8月20日,我国正式通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),其中第二十八条第一款将金融账户信息纳入敏感个人信息的保护范畴之中,以此突出对金融账户信息的着重保护。由此我们可以总结出,消费者金融信息是消费者个人实施的与金融活动有关的信息,并且其中的消费者金融账户的信息应作为敏感个人信息加以保护的一类信息。
消费者金融信息除了具备一般个人信息的法律性、专属性等特征之外,还具有以下三个方面的特征:
第一,多元性与复杂性。首先,金融消费者的基础个人信息,包括消费者的个人资料信息、金融账户信息等,用以识别出消费者个人。其次,交易作为金融活动的最高形式,几乎贯穿于金融领域的整个过程。当消费者踏入金融领域,面对层出不穷的交易手段与交易方式进行选择时,自然而然会产生金融交易信息。金融交易信息伴随着金融交易过程而产生,最终被金融机构留存下来。在金融交易过程中,除消费者金融交易信息外,消费者的信用信息也是一个关键信息,消费者信用信息是指个人在金融交易过程中形成的经济类信息。此外,在进行消费者身份认证时,可能会涉及个人生物信息,如人脸识别、指纹提取等。在针对未成年人金融账户管理时,会涉及对未成年人信息的收集和处理。因此,在金融领域中,消费者金融信息是复杂和多元的,也正是由于消费者信息的复杂性与多元性,决定了相关法律制度的复杂性。
第二,敏感性与价值性。随着信息技术的发展,信息工具早已成为生产和社会价值的一个关键因素。消费者金融信息极其敏感,如果发生泄露或非法使用,轻则遭受个人财产损失,重则危害人身安全,引发犯罪等一系列问题。2020年中国人民银行发布的《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称《金融信息规范》)中第4.2条将个人金融信息的敏感程度从高到低分为C3、C2、C1三个类别[2]并分别加以保护。从体系上来看,《金融信息规范》中对个人金融信息敏感性的分级保护是有必要的。一方面,我国于2020年发布的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称《个人信息规范》),其作为一项通用标准,对于个人信息的分类方式及辨识度较为模糊,已经不能满足金融服务的实际需求。另一方面,按照敏感性对信息分级是一切数据保护与合规工作的基础,有助于金融业机构辨识不同数据的风险等级与合规难点,做到因数据而异、因场景制宜,把握合规重点环节,节约合规成本。正是因为消费者金融信息与财务直接相关并且能够准确识别到个人,故其本身具有较高的价值。
第三,私密性与公共性。金融信息权是从金融隐私权演变而来的,自然具备私密的特性。随着互联网金融的不断发展,更强调对信息的交互和共享,一定程度上打破了传统的金融隐私模式,引发了信息数据的变革。早在2015年11月国务院办公厅发布的《国务院办公厅关于加强金融消费者权益保护工作的指导意见》中指出金融消费者的八项权益,其中,第八项信息安全权中指出“金融机构应当采取有效措施加强对第三方合作机构的管理,明确双方权利义务关系,严格防控金融消费者信息泄露风险,保障金融消费者信息安全”。因此,需要第三方机构与金融机构进行配合,以促进金融业务的良好开展。在实践中,第三方合作机构多为政府性机构,通过处理消费者金融信息,代表政府力量的公共征信机构提升其管理水平,将会进一步强化社会治理。
大量的数据逐渐形成一种无形的资产,成为我们“取之不尽,用之不竭”的价值源泉,凭借对大数据的分析和利用,我们可以做出更加客观和科学的决策。在法律方面,我们甚至可以利用大数据来预防和控制犯罪,从而维护国家安全与社会秩序的稳定。同其他事物一样,大数据也具有两面性,虽然它给经济和社会发展带来了积极作用,但它带来的风险也不可忽视。随着数据的开放与共享,个人信息安全受到了严重的威胁,尤其是在最为敏感的金融领域,消费者金融信息安全往往难以得到良好的保障。侵犯消费者金融信息的行为不仅会对个人的财产和人身权益带来侵害,更会对社会稳定与国家安全带来危害,而我国现有的法律保护机制不能完全弥补不法行为所造成的损害。
目前,理论上认为对消费者金融信息的法律保护机制主要有两种形式,即行政法律的公法模式与民事法律是私法模式。在行政法律机制下,最具有直接代表性的是前文提及的中国人民银行发布的《实施办法》,用一个章节,共计七个条文,对消费者金融信息保护作出了规定。在效力层级方面,该《实施办法》以中国人民银行令形式发布实施,相较于前一版的《金融消费者权益保护实施办法》(2016年版)(已废止)来说,升格为了部门规章,隶属于行政法律保护机制。在众多的民事法律规范中,2021年8月出台的《个人信息保护法》中对敏感个人信息的处理规则作出了规定,由于敏感个人信息与消费者金融信息存在交叉和重叠,在一定程度上填补了民事法律规范对消费者金融信息保护的空白。然而,两种法律机制保护模式的局限性,使得我们无法忽视以下两点。
第一,消费者金融信息的特性决定了侵犯消费者金融信息行为更容易对消费者的财产权益、人格权益造成侵害。现代风险社会中,公众资产信息主要由金融机构掌握,在这些金融机构面前,我们就是“财物透明人”,如果稍加不小心,便会造成资产的损失。并且,在人工智能等新技术的推动下,互联网上开展的金融活动也越来越多,加之金融消费者往往喜好贪图高收益,便会误入非法集资平台或是陷入“庞氏骗局”中,导致消费者的财产权受到侵害。随着科技发展下技术门槛降低,人脸识别技术遭到黑产的瞄准,新问题纷纷涌现。在消费信贷申请的过程中,黑产通过诸多“换脸”软件活体模拟以及视频攻击等手段进行金融欺诈,使消费者在财产遭受损失的同时,个人的名誉权、隐私权等相关人格权益也被侵犯。而在财产与人格权益的保护方面,行政保护和民事保护远不及刑事保护。
第二,侵犯消费者金融信息的行为具有严重的社会危害性,而行为具有严重的社会危害性,是构成犯罪的特征之一。在金融领域,任何一条敏感的金融信息都会迅速导致金融市场的变动[2]。大数据时代之下,如果银行等金融机构不小心将金融消费者的个人信息泄露,同时会触及证券、期货、债务和货币市场的波动,产生连锁反应,给金融领域的秩序带来负面效果。中国人民银行曾在2020年10月21日对部分金融机构进行立案调查,多家金融机构的工作人员无视法律及规定,严重侵害消费者金融信息安全权,依据有关规定,中国人民银行最终对六家金融机构作出了行政处罚。而在这每一起事件中不仅仅是消费者个人信息安全受到侵害,试想,如果大量的消费者金融信息被获取或泄露到国外并被不法之人所利用,国家安全就会面临威胁,所造成的损害将会是巨大的。此时,发挥刑法的强制作用,对保护消费者金融信息具有其他法律不可替代重要意义。
虽然我国现行刑法中没有直接规定有关侵犯金融消费者信息的罪名,但有两个罪名间接反映了对侵犯消费者金融信息的保护,一个是《刑法》第一百七十七条之一第二款的窃取、收买、非法提供信用卡信息罪,信用卡信息与金融消费者信息间虽然存在重合,但是信息卡信息明显窄于金融消费者信息,不能很好地贯穿金融活动的全过程。另一个是第二百五十三条之一规定的侵犯公民个人信息罪,金融消费者信息属于个人信息的分支,但是公民个人信息罪侧重保护的是一切领域之下的公民个人信息安全,没有突出最敏感的金融领域。
2005年,《刑法修正案(五)》中新增加窃取、收买、非法提供信用卡信息一罪,此罪是指故意窃取、收买或者非法提供他人信用卡信息资料的行为。
由于信用卡本身包含了信用卡信息资料,故窃取、收买或者非法提供他人信用卡的行为,也能成立本罪。因此,本罪的行为对象是信用卡本身反映出的信用卡信息资料。根据2011年中国人民银行发布的《银行卡磁条信息格式和使用规范》(GB/T 19584—2010)行业标准对信用卡本身体现出的信息予以了明确[3],其中个人识别码是指持卡人持有的用于身份验证的代码或口令,即“密码”,是持卡人最重要的信用卡信息,也是该类犯罪行为直接侵害的对象。根据最高院、最高检发布的《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》规定,涉及实施本罪行为,足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易,涉及信用卡一张,既可追究刑事责任,涉及信用卡五张以上的,应当认定为此罪中规定的“数量巨大”。此外,银行或者其他金融机构工作人员利用职务上的便利犯本罪的,从重处罚。
关于盗窃、收买、非法提供信用卡信息罪所保护的法益,主要有三种立场:第一种立场是高铭暄教授的立场,认为该罪保护的是国家对信用卡信息资料的管理秩序[3],是一种单一法益;第二种立场认为该罪保护的复合法益,即信用卡用户对信用卡信息的专属权和信用卡信息管理制度[4];第三种立场认为该罪保护的是他人的信用卡信息安全和国家有关信用卡信息的管理秩序[5],也是一种复合法益。
在上述三种观点中,笔者赞同最后一种观点,即针对盗窃、收买和非法提供信用卡信息罪所保护的法益,应是国家信用卡信息管理秩序和个人信用卡信息安全的复合法益。第一种立场较为局限,因为它仅指出了国家信用卡信息资料的管理制度,而没有关注到此罪行为给消费者个人信用卡信息安全带来的侵害。第二种立场中的“信用卡信息的专属权”较为模糊和抽象,没有说明持卡人的哪些具体权益受到影响。比较下来,第三种观点是全面的,既关注到了该罪可能侵犯国家信用卡信息管理秩序的公法益,又关注到了侵犯消费者个人信用卡信息安全的私法益。信用卡信息是信用安全的重要组成部分,一旦泄露,首先的受害者便是金融消费者,其次也威胁到了金融机构的信用卡使用与交易安全,进而最终会危害到国家金融管理秩序的正常运行[6]。
2009年《刑法修正案(七)》首次规定侵犯公民个人信息的危害行为,2015年《刑法修正案(九)》才正式确立侵犯公民个人信息罪。
侵犯公民个人信息罪的行为对象是公民的个人信息。2017年5月8日,最高法、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《办理信息案件解释》),其中第一条对“公民个人信息”作出了规定,即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。《个人信息保护法》中将“个人信息”界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。从上述两部文件中看,《个人信息保护法》对“公民个人信息”的规定更加宽泛,即包括“自然人有关的各种信息”,而《办理信息案件解释》中的界定为“自然人活动情况的各种信息”。笔者认为,《个人信息保护法》中的规定更加科学,它没有再对个人信息的种类进行列举,从法益保护的角度来说,凡是与自然人有关的各种信息,均属于公民个人信息,而不仅仅限于自然人的活动情况。因此,有必要对刑法中“公民个人信息”的界定进行适时调整。
关于侵犯公民个人信息罪所保护的法益,有的学者认为是公民个人的信息和自由安全[7]或是公民的个人信息权[8],即他们认为此罪侵犯的是个人法益。有的学者认为应将此罪法益上升到公共信息安全,即认为此罪的法益是一种超个人法益[9]。
笔者更赞同后一种观点,具体理由如下:第一,大数据背景之下,近年来网络犯罪的发生率越来越高,这表明不特定且多数的个人的信息已经交织在一个复杂的信息网络之中,其背后体现的社会利益和国家利益应得到保障与重视,而立足于个人法益的都只是片面强调对公民个人信息的保护,忽视了刑法对公共信息安全秩序的保障。第二,超个人利益本身是存在的,其强调的是不特定的多数人的个人法益的结合,并没有脱离个人法益。在价值层面上,可以将对个人法益的保护理解为侵犯公民个人信息罪对公共安全法益保护所产生的一种射幸利益。第三,2015年《刑法修正案(九)》将草案中拟定的“未经公民本人同意”的条件删除,修改为“违反国家有关规定”,这一重要性的修改也能够间接说明该罪应保护的是公共安全的法益。
我国现行《刑法》分则第三章规定了破坏社会主义市场经济秩序罪,从维护国家市场经济秩序到维持国民经济正常运行,构建起了相对完整的法律框架。但是,针对消费者金融信息,并未明文规定。而单靠前文所述的罪名,也无法较好地规制实践中形式复杂的侵犯消费者金融信息的犯罪行为。
首先,我国《刑法》规定的窃取、收买、非法提供信用卡信息罪,无法有效保护金融消费者信息。在法益方面,该罪保护的法益是国家信用卡信息管理秩序和个人信用卡信息安全的这种复合法益,但此罪针对的法益还是从维护信用卡秩序稳定出发的,而信用卡秩序安全仅仅只是侵犯消费者金融信息行为的一个分支,不能很好地包含其产生的全部法益。在行为对象方面,窃取、收买、非法提供信用卡信息罪的行为对象是信用卡信息,这与金融消费者信息是相差甚远。
其次,我国《刑法》规定的侵犯公民个人信息罪也未能很好地保护金融消费者信息。尽管金融消费者信息属于个人信息,是个人信息下位的一个概念分支,但是金融消费者信息与个人信息是不等同的。个人信息领域范围广,而消费者金融信息应是消费者个人实施的与金融活动有关的信息。侵犯金融消费者信息的行为所保护的法益不仅涵盖个人金融消费信息安全,还包括金融领域的正常管理秩序。但侵犯公民个人信息罪所保护的法益并未直接涵盖金融管理秩序这一法益,因此不能很好地保护金融消费者信息的安全。此外,伴随着网络技术的日新月异,大数据时代已经到来,金融消费者被侵犯的手段也越来越多样化和复杂化。
最后,笔者以“窃取、收买、非法提供信用卡信息罪”及“侵犯公民个人信息罪”为案由,并以“金融信息”为关键词,在中国裁判文书网进行检索。在符合规定的39个案例中,笔者发现有36个案例涉及了金融信息服务公司,并且近八成的案例显示是金融信息服务公司或其员工将个人信息进行买卖等非法交易,其中有的是金融信息服务公司直接利用管理地位,将公民个人信息进行非法推送,以此来牟利。而还有的是行为人伙同金融信息公司管理人,将公民信息进行非法倒卖,以此从中获得好处费。根据网信办2018年12月26日公布的《金融信息服务管理规定》中第二条第二款的规定,“本规定所称金融信息服务,是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。金融信息服务不同于其他信息服务,它的服务对象是特定的金融用户,而不是一般社会公众。在金融信息服务过程中,金融信息服务公司作为重要的提供者,非法买卖和泄露公民个人信息频发,仅以“窃取、收买、非法提供信用卡信息罪”和“侵犯公民个人信息罪”并不能很好地规制该类行为。因此,有必要引入新的罪名,来对此进行刑事规制。
历史已经无数次表明,《刑法》从来没有站在社会发展的最前端,而是经常扮演“守护者”的角色。刑法对个人信息的既有规定表现出对个人信息较大范围的保护,从《刑法》的角度肯定了个人信息的重大价值。但大数据时代已经到来,数据信息占据时代的主导地位,而现行刑法中所规定的罪名已经不能完整的保护消费者金融信息权益。为顺应历史发展潮流以及解决这一问题,应对我们的刑法理念和理论做相应的调整。
从法秩序统一的视角下看,侵犯金融消费者信息行为的刑事处罚性应当从民事处罚性与行政处罚性同一判断。如果有关行为不具有民事处罚或行政处罚的性质,则该行为不应被刑事处罚[10]。正是由于《个人信息保护法》进一步补充了《民法典》《网络安全法》等相关法律和行政法规对个人信息保护的规定,并且系统地确立了个人信息处理的基本准则,因而在认定侵犯消费者金融信息的违法行为和犯罪行为时,《个人信息保护法》便是一个极其重要的参考。它首次用一个章节,五个条文,对敏感个人信息的处理规则做出了规定,金融账户信息被规定其中。而个人信息、敏感个人信息和金融消费者信息之间是一种包容关系,其中,个人信息的范围最广,包括敏感个人信息,而敏感个人信息中又体现包括了消费者金融信息。《个人信息保护法》对个人信息进行分级保护,并强调了对敏感个人信息的重点保护。为了保持法秩序之间的协调一致,使《刑法》与《个人信息保护法》更好地衔接,在对刑法进行修订时,有必要参考《个人信息保护法》中关于敏感个人信息的处理规定,加强行刑之间衔接。
笔者认为,为了进一步加强对金融消费者信息的法律保护,可行的方式是在《刑法》第三章第四节“破坏金融管理秩序罪”中增设“侵犯消费者金融信息罪”这样一个新的罪名,以规制侵犯个人金融信息,情节严重的行为。之所以放在“破坏金融管理秩序罪”这一个章节中是因为 “侵犯消费者金融信息罪”属于金融领域的犯罪,侵犯消费者金融信息的行为违反了金融管理法规,破坏金融管理秩序,与“破坏金融管理秩序罪”这一章节的框架体系是协调统一的。在法条设计上可以参考“侵犯公民个人信息罪”,具体法条可以为:“违反国家有关规定,向他人出售或者提供消费者金融信息,情节严重的,处三年以下有期徒刑或者拘役,并处罚金;情节特别严重的,处三年以上有期徒刑,并处罚金。银行或者其他金融机构的工作人员利用职务上的便利,犯前款罪的,从重处罚。”相比较侵犯公民个人信息罪来说,在“情节严重”这一档中,直接进行并处罚金,而不再是“并处或者单处罚金”,笔者在检索上述提及的39个案例中,发现仅有三例案例中涉及单处罚金,大多处罚都是主刑加附加刑的模式,故删去“单处罚金”。在“情节特别严重”这一档中,不再有“七年以下”的设置,笔者在检索案例的过程中,在咸某某、王某某、邓某某等侵犯公民个人信息罪一案[4]中,其中被告人咸某某最终被判处有期徒刑五年六个月,并处罚金人民币二十万元,是符合条件的案例中获刑最高的被告人。整体上看,量刑起点较低,因此希望通过删除“七年以下”刑罚的设置,使刑事处罚发挥出真正的作用,形成一定的威慑力。此外,增设一款对银行及金融机构工作人员的处罚,相较一般人来说,他们有着更优势的地位,在获取消费者金融信息时更加容易,因此对他们应从重处罚。
个人信息中涵盖了消费者金融信息,从整体上看“侵犯公民个人信息罪”所保护的法益也应包含“侵犯消费者金融信息罪”所保护的法益,因此两罪之间存在一定法条竞合。在法条竞合的类型上,是包容关系型的法条竞合,即两罪在概念上呈现出一种包容与被包容的关系,如同《刑法》第二百六十六条规定的诈骗罪与《刑法》第一百九十二条到第一百九十八条规定的八种金融诈骗罪之间的关系。关于“侵犯公民个人信息罪”与“侵犯消费者金融信息罪”这两罪的处理,同法条竞合的处理规则,即特别法优先于一般法,在涉及对公民个人金融信息的侵害时,优先适用“侵犯消费者金融信息罪”。如果适用“侵犯消费者金融信息罪”这一特殊法条导致犯罪分子不受处罚的,或为了确保量刑公平的,可以适用“侵犯公民个人信息罪”这一普通法条。尤其是在共同犯罪场合中,会存在有的行为人适用特殊法条,有的行为人适用普通法条的情形。但只要行为人实施了侵犯金融信息的行为,破坏了金融管理的正常秩序,符合“侵犯消费者金融信息罪”的构成要件,就不得再以普通罪名“侵犯公民个人信息罪”来处罚了。
随着我国经济社会不断发展,侵犯消费者金融信息的现象层出不穷。侵犯消费者金融信息的行为在侵犯消费者人身权利、财产权利的同时,严重扰乱了我国金融的正常管理秩序。基于此,为了维护金融领域的正常秩序和社会安定,准确认定侵犯消费者金融信息行为的性质,同时着重突出金融信息作为敏感信息的重要性,将侵犯消费者金融信息的行为单独规定为犯罪。
“不期修古,不法常可”,历史的车轮滚滚向前,每个时代都有每个时代的法律。大数据背景下则意味着最大限度地提取和使用数据,在金融领域则表现为对金融消费者信息的进一步使用和处理。有别于其他信息,金融消费者信息的特性决定了其涉及公民的财产安全,同时它也是维护金融领域秩序安全的基石。但是,目前我国刑法对金融消费者信息保护的规定相对落后,只有明确金融消费者信息在刑法中的定位并完善相应的罪名,才可在促进技术发展的同时实现对消费者金融信息的刑法保护。
[1] 《中国人民银行金融消费者权益保护实施办法》第二十八条第一款规定:“本办法所称消费者金融信息,是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息”。
[2] 其中C3类别信息主要为用户鉴别信息;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息;C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。
[3] 主要包括主账号、发卡机构标识代码、校验位、个人识别码、卡片验证码、PIN验证码、磁条等。
[4] 参见(2020)浙07刑终631号刑事判决书。