摘要: 本文聚焦互联网征信制度下个人金融信息安全风险,指出我国个人金融信息侵权保护面临概念界定不明和责任认定不清的困境。通过分析相关法律法规表述及各学者观点,明确个人金融信息应归属于个人信息范畴,其存储、处理和保护主体包括金融机构、第三方支付平台及征信机构等。并探讨了个人金融信息侵权归责原则,分析学界中关于一元论、二元论和多元论的理论争议,从侵权主体和行为复杂性、举证责任合理性两方面阐述多元化归责原则的必要性。最后提出构建多元化归责原则体系:在不同责任主体标准下,一般自然人侵权适用过错责任,金融机构等侵权适用过错推定责任,公务机关侵权适用无过错责任;在不同信息类型标准下,侵害“无金融属性”的一般个人金融信息适用动态归责原则,侵害“含有金融属性”的个人金融信息一律适用无过错责任,实现双方当事人的利益平衡,维护金融秩序安全和社会公平正义。
Abstract: This paper focuses on the security risks of personal financial information under the internet credit reporting system, highlighting the challenges in China’s protection of personal financial information infringement, including ambiguous concept definition and unclear liability determination. Through analyzing relevant legal provisions and scholarly perspectives, it clarifies that personal financial information should be categorized within the scope of personal information, with its storage, processing, and protection involving financial institutions, third-party payment platforms, and credit reporting agencies. The paper further explores the liability attribution principles for personal financial information infringement, examining theoretical debates among scholars regarding monism, dualism, and pluralism. It elaborates on the necessity of a pluralistic liability attribution principle from two aspects: the complexity of infringing subjects and behaviors, and the rationality of burden of proof. Finally, the paper proposes the construction of a pluralistic liability attribution principle system: under different liability subject standards, ordinary natural person infringement applies fault liability, financial institution infringement applies presumed fault liability, and public authority infringement applies no-fault liability; under different information type standards, infringement of “non-financial attribute” general personal financial information applies dynamic liability attribution principles, while infringement of “financial attribute” personal financial information uniformly applies no-fault liability, thereby achieving a balance of interests between parties and maintaining financial order security and social fairness and justice.
1. 引言
伴随互联网大数据、云计算以及人工智能等网络技术的迅速发展与持续创新,众多互联网企业通过电子商务、消费金融以及网络媒体上的各类产品与服务,获取了海量大数据资源,其中涵盖信息主体的行为数据、消费数据、财务数据和倾向数据等。这些数据能够刻画并评估信息主体的信用状况、信用风险以及潜在信贷需求预测。这表明,处于大数据时代背景之下,征信制度正在经历着前所未有的变革。与此同时,金融行业也迎来了重大变革。互联网金融的兴起使得个人金融活动更加便捷、高效,但也带来了新的风险和挑战。在互联网征信制度下,个人金融信息的收集、存储、使用和共享变得更加频繁和广泛。
一方面,互联网征信机构通过大数据、云计算等技术手段,收集和整合大量个人金融信息,包括个人基本信息、信用记录、消费行为等,为金融机构提供信用评估和风险管理服务。然而,在对这些信息进行收集和使用的过程中,存在着信息泄露、滥用等风险。另一方面,网络安全威胁日益严峻,黑客攻击、数据泄露等事件频繁发生,个人金融信息的安全面临着巨大的威胁。由此可见,虽然互联网征信制度积极推动不同征信机构之间、征信机构与金融机构之间的信息共享与整合,大大提高了个人金融信息的利用效率,但由于互联网的开放性和技术的创新发展,仍然存在信息数据泄露的风险。此外,一些金融机构和互联网企业在个人金融信息保护方面存在管理不善、制度不健全等问题,也可能会导致信息泄露或者过度共享和滥用,给个人甚至是国家、社会带来严重损害。对于此类侵犯个人金融信息的行为,我国关于事后救济机制中的归责原则尚未有明确、统一的规定。因此,本文试图从个人金融信息的概念界定、类型特征等方面入手,指出互联网征信制度下个人金融信息侵权责任认定的理论依据,进而探究个人金融信息归责原则多元化的必要性,以此构建个人金融信息侵权的多元化归责原则体系,保护个人金融信息主体的合法权益,推动互联网征信行业的繁荣发展。
2. 个人金融信息界定
从体系范围上看,个人金融信息应当归属于个人信息这一范畴。《民法典》在人格权编第六章“隐私权和个人信息保护”中采取“概括”和“列举”的方式对个人信息进行界定[1],要求能够单独或与其他信息结合对特定自然人进行识别的信息是为个人信息,除此之外还具体列举了多项自然人信息以作示范,其中并未包含个人金融信息。12021年《个人信息保护法》作为我国第一部个人信息保护方面的专门立法,也明确规定了个人信息的含义,强调“是与自然人有关”的各种信息[2]。虽然未进行列举,但却提出了敏感个人信息这一概念,并将“金融账户”纳入其类型范围内。2
其实,从2000年国务院制定的《个人存款账户实名制规定》到2021年颁布的《个人信息保护法》等法律法规及规范性文件中,都对个人金融信息有着不同的表述。例如,2011年央行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》首次使用“个人金融信息”的这一概念,指出个人金融信息是在与银行等金融机构办理业务时所产生的个人身份、财产、账户、信用、金融交易及衍生等信息;32020年也是央行发布的《中国人民银行金融消费者权益保护实施办法》专章规定“消费者金融信息”,强调个人作为消费者参与金融服务购买时所产生的各类信息;4同年,由全国金融标准化技术委员会归口管理的《个人金融信息技术保护规范》也对个人金融信息进行概括和分类,规定加工、保存的主体为金融业机构,关注的是反映特定个人某些情况的特殊信息。5但以上对个人金融信息的界定都是一些低位阶的部门规章或行业规范作出的,我国目前尚未有个人金融信息保护的单独立法,因此在司法实践中往往会产生概念界定不明、责任认定不清的困境。
对此我国学者纷纷试图将个人金融信息阐释得更加简洁、全面。有学者认为,金融机构在与自然人客户发生业务往来时,基于交易相对方的地位所知悉、收集、使用、保存、加工的有关信息应当认定为个人金融信息,并将其分为客观信息、主观信息以及其他信息三类[3];部分学者认为,收集、保存和加工处理个人金融信息的主体不单指银行、证券公司、信托投资公司以及保险公司等金融机构,还应当包括非银行信贷类机构、互联网第三方支付平台等[4];还有学者认为,个人金融信息主要是个人在从事金融活动或金融交易时产生的各类与个人金融相关的信息,具有不同于一般数据、一般个人信息的特征,包括多元性与复杂性、私人性与公共性、敏感性、精准性与高价值等[5]。综合以上各学者的观点可以看出,大多学者对个人金融信息的界定在发生场合、鲜明特征、识别特定个人等方面并无争议,主要矛盾焦点在于收集、保存以及加工处理的主体是否仅指金融机构、是否应当包括第三方支付平台和征信机构等单位。笔者认为,对个人金融信息界定时,其存储、处理和保护的主体不仅应当包括银行、证券公司、保险公司等金融机构,还应包含个人在从事金融活动时涉及的第三方支付平台、征信机构等。以互联网征信机构为例,其通过大数据技术采集、存储、整合、分析散布于各金融机构、网络平台或互联网中的个人金融信息,形成用户的征信报告、信用评分或信用档案[6]。这一过程涉及大量个人金融信息的收集和加工,一旦某一环节操作不当或者发生泄露,可能会严重损害个人权益,影响用户的信用评估。由此可见,对于互联网征信机构和第三方支付平台等单位的个人金融信息保护是有必要的。
综上所述,笔者认为,应将个人金融信息界定为个人与银行等金融机构开展金融业务时,以及与第三方平台从事金融交易时所发生的收集保存、加工整合、分析处理与特定自然人有关的个人信息,在特殊情形下与敏感个人信息存在交叉重叠。
3. 个人金融信息侵权责任认定
从上述对个人金融信息的概念界定中可以看出,个人金融信息能够识别特定自然人的相关情况,在互联网征信制度下可以通过对此类信息的整合分析,从而形成个人信用评估报告,与其享有的金融服务、生活便利以及个人形象和声誉等方面息息相关。一旦遭到侵害,可能严重影响个人金融信息权益主体的切身利益,造成难以挽回的后果。因此,为了保障个人合法权益、维护金融秩序稳定,应当明确个人金融信息侵权责任认定的理论依据,并分析个人金融信息侵权归责原则多元化的必要性,进而构建多元化归责原则的事后救济体系。
3.1. 理论依据
我国《民法典》侵权责任编主要规定了四种归责原则,包括过错责任原则、过错推定责任原则、无过错责任原则以及公平责任原则。而对个人信息侵权责任的认定采用的是《民法典》第1165条第1款规定的过错责任原则,即要求被侵权人证明侵权人存在过错,侵权人才承担赔偿责任。由此可见,《民法典》将个人信息侵权认定为一般侵权行为,适用过错责任原则。之后的《个人信息保护法》则规定了侵犯个人信息权益的责任认定应当适用过错推定原则,即个人信息权益主体无需承担举证责任,而是由侵权人(大都为个人信息处理者)证明自己没有过错,若无法证明,则应承担赔偿责任。这一归责原则同样适用于敏感个人信息的侵权责任认定,包括其列举下的金融账户。此时却引发了两个疑问:一是在具体认定个人信息侵权责任时,应当按照《民法典》规定适用过错责任原则,还是按照《个人信息保护法》适用过错推定责任原则?其认定标准是否单一?二是不区分敏感个人信息与其他一般信息,均适用过错推定责任是否合理[7]?尤其是在互联网征信制度下对个人金融信息侵权责任的认定是否也同样适用该归责原则?其实,这两个问题本质上是一致的,即个人信息侵权保护的归责原则应当如何适用才能实现双方当事人的利益平衡,维护真正的公平正义。
目前,我国学界关于个人信息侵权责任的认定标准尚未达成共识,仍有三种理论观点上的争议。第一,部分学者主张对于所有个人信息侵权案件统一适用单一的归责原则,即一元论。在《个人信息保护法》出台之前,大多学者都主张采用“过错责任”原则,适用“谁主张,谁举证”的举证责任分配方式[8]。2021年《个人信息保护法》则确立了过错推定的归责原则,与《民法典》的规定存在一定冲突。有学者认为二者是一般法与特别法的关系,应当按照特别法优于一般法的原则,直接适用《个人信息保护法》规定的过错推定责任[9]。更有学者指出过错推定并不能完全保障个人信息权益主体的弱势地位,应当采用无过错责任原则才能实现双方当事人之间的利益平衡[10]。第二,主张二元归责原则的学者观点比较混乱,其对侵权主体、技术采用、受侵害信息等具体因素采取不同的划分标准。比如,一些学者根据信息处理者身份的不同,以其是否为公务机关为标准进行划分。公务机关具有较强的权威性,深孚众望,应当承担更为严格的义务和责任。若信息处理者是公务机关即适用无过错责任,非公务机关则适用过错推定责任[11];有些学者根据信息处理者所采用的技术不同,以信息处理者是否运用自动化处理技术为标准进行划分。其认为公务机关的信息处理能力未必会强于非公务机关,因此对采用自动化处理技术侵权的信息处理者一律适用“过错推定”责任,对未采用该技术侵权的则一律适用过错责任[12];还有部分学者根据个人所受侵害信息种类的不同,以其是否为敏感个人信息为标准进行划分。敏感个人信息一旦泄露或遭受侵犯,极容易导致个人权益受到严重损害,应适用无过错责任,非敏感的其他一般信息应适用过错推定责任[13]。第三,越来越多的学者开始主张个人信息侵权的归责原则多元化,大多以三元归责原则为主。如将上述信息处理者的身份与处理技术的不同结合起来,对于既是公务机关又采取自动化技术进行侵权的,应适用无过错责任;若为私权主体但采取自动化处理技术实施侵权的,应适用过错推定责任;若既非公务机关也未采取自动化技术手段侵害信息主体权益的,应适用过错责任原则[14]。如此一来,不仅能够减轻被侵权人的举证负担,也能平衡双方的利益诉求。因此,主张多元化归责原则的学者认为,需要根据不同的责任主体、信息内容以及处理方式等因素进行综合考虑,从而区别适用三种不同的归责原则。
为探寻更具公平正义、更能保护信息权益人合法利益的个人信息侵权归责原则,应深入分析各学说的内在法理与价值取向,选择真正适合的责任认定标准。一元论主张,个人信息权的人格权属性具有统一性,囊括了人格利益和财产利益的双重价值,需统一归责以防止割裂。但实际上,个人信息还包含一定的公共利益,是一种复合性权益,仅凭单一的归责原则无法匹配不同信息的“利益权重差异”。而且一元论片面追求规定的明确和效率的提高,却忽视了个人信息侵权案件之间的差异性,没能真正实现对信息主体的“实质平等”保护。二元论则主张“单一的界定标准”以区分适用归责原则,如是否为公务机关、是否运用自动化处理技术以及是否为敏感个人信息等。这虽然一定程度上契合了《个人信息保护法》“分类保护”的立法精神,但却忽略了个人信息的风险属性具有场景依赖性的特征,导致责任与风险的不匹配,造成标准适用的混乱和司法力量的损耗。而多元论恰好弥补了一元论、二元论存在的局限性,通过对“信息类型、主体角色、行为场景、损害结果”等的多维度区分,既能实现场景化差异中责任与风险的匹配,也能促使信息权益保护上形式公平与实质公平的统一,还能提升法官裁判的精准度,避免司法资源的浪费。
因此,笔者支持多元化的归责原则,在对个人信息侵权责任认定时,根据责任主体、信息类型等不同因素区分适用过错责任、过错推定责任以及无过错责任原则,实现双方当事人的利益平衡,保障个案正义。这一观点同样适用于个人金融信息侵权责任的认定。
3.2. 归责原则多元化的必要性
对于一般侵权行为来说,只需要依照《民法典》侵权责任编规定的归责原则进行举证责任分配和侵权责任认定,我国法律规定的情形一定程度上是能够满足这一需要的。但对于个人信息侵权,尤其是在个人金融信息的侵权责任认定上,仅适用一种归责原则是远远不够的,原因在于其侵权主体的多样性、行为类型的复杂性、双方当事人地位不平等导致的信息不对称等问题,这些都是促使互联网征信制度下个人金融信息侵权进行责任认定时举证责任分配规则愈发复杂的重要因素。同时,举证责任的合理分配是公平原则和社会公共利益原则在个人金融信息保护方面的具体体现,表明了构建多元化归责原则体系的正当基础。因此,为了准确且罚责相适应地打击个人金融信息侵权行为,保障个人金融信息主体的合法权益,应当构建一整套科学合理的个人金融信息侵权多元化归责原则体系,完善个人金融信息侵权保护的事后救济机制,维护社会秩序的和谐稳定。
3.2.1. 复杂的侵权主体和行为类型的需要
根据《个人信息保护法》的规定,个人信息的侵权责任主体只包括个人信息处理者,而对于实施侵害个人信息行为的第三人,并不能依据《个人信息保护法》承担侵权责任[15]。同时,该法还规定了个人在个人信息处理中享有的各项权利,包括知情权、决定权、限制权和拒绝权、查阅复制权、更正补充权、删除权。一方面,行为人侵犯了个人信息主体的上述信息权利,或者违反信息处理者的义务,即为加害行为;另一方面,“对依法获得的自然人个人信息非法使用、非法出售、非法提供,以及泄露、毁损、丢失,也属于加害行为”[16]。可在此基础上对个人金融信息的侵权责任主体和行为类型进行研究和扩展。
首先,个人金融信息处于特定的金融场景下,其侵权主体通常包括金融机构、征信平台、第三方支付平台以及金融科技公司等,但这并不意味着第三方无法构成侵权,如果第三方故意阻止信息权益人行使访问权、纠正权和删除权等权利,也应当构成侵权。其次,个人金融信息的流通往往包括两种方式:个人到金融机构以及金融机构到其他机构。在这两种渠道下,个人金融信息都有遭受侵权的可能,一开始收集信息的金融机构承担责任是毫无疑问的,而之后的其他机构如征信机构、第三方支付平台等在信息流转的过程中成为信息处理者,其实施侵权行为也应当承担相应责任。最后,金融机构等金融信息处理者在采集、存储、整合、处理这些个人金融信息时,应当负有谨慎的安全保障义务,保护个人金融信息安全不受侵犯,否则也要承担侵权责任。因此,广泛的侵权责任主体和复杂的行为类型要求个人金融信息侵权在责任认定上应当实行多元化的归责原则。
3.2.2. 举证责任分配的合理性要求
举证责任的分配通常涉及两个问题,一是应由哪一方当事人来证明,二是证明何种事实[17]。而在个人金融信息侵权纠纷中,归责原则解决第一个问题:应当由被侵权人证明侵权人有过错,还是由侵权人证明自己没有过错,或者是无需证明即应承担侵权赔偿责任。
根据我国《民事诉讼法》的规定,一般采取“谁主张,谁举证”的证明责任原则,但在特殊情形下适用过错推定或无过错责任原则。但随着数字化金融的快速发展,个人金融信息侵权纠纷愈发频繁复杂,而被侵权人常常处于信息不对称的劣势地位。一方面,从信息的掌握情况来看,作为信息权益主体的被侵权人,几乎难以窥探金融机构内部犹如迷宫般的信息存储架构和复杂的传输脉络细节。金融机构凭借其专业的技术团队和高度保密的内部运作机制,将海量的个人金融信息以特定的方式存储于各类先进的数据库和服务器之中。因此,信息发生泄露时,被侵权人往往无法得知究竟是哪一个环节出现了漏洞,即使知道,也无从下手去获取。另一方面,从不同的侵权场景来看,双方当事人举证的难易程度和重点呈现出明显的差异。比如,当存在内部员工违规泄露信息的情形时,相较于被侵权人,金融机构在举证方面具备相对优势。它能够较为轻松地证明自己是否切实尽到了对员工的严格管理责任以及对个人金融信息的安全保障义务。但若转换为外部网络攻击场景下,被侵权人对于侵权者的真实身份、所处地理位置、攻击的具体技术手段以及最为关键的侵权者的主观过错状态等关键信息,几乎没有任何有效的途径去获取和证明,难以在法律诉讼中提供有力证据来支持自己的诉求,维护自身的合法权益。因此,构建多元化的归责原则体系符合举证责任分配的合理性要求,在被侵权人处于弱势地位的情况下,可以要求信息处理者证明自己无过错或者无需证明即承担法律责任,以减轻被侵权人的举证负担,平衡双方当事人的利益诉求。
3.3. 多元化归责原则体系构建
3.3.1. 不同责任主体的标准下归责原则的区别适用
个人金融信息侵权的责任主体是复杂的,既有银行、证券、保险等金融机构,又有像支付宝、微信等第三方支付平台,更有如百行征信、芝麻信用等互联网征信服务平台。除此之外,还存在社会生活中一般自然人侵权或国家公务机关侵害个人金融信息权益等情形。由此可见,个人金融信息侵权存在多方主体,根据其彼此之间所承担的合理义务、所实施的侵权方式等的不同,应当区别适用三种归责原则,以实现各方主体的利益平衡。
首先,对于一般自然人之间的个人金融信息侵权纠纷,应当适用过错责任原则认定侵权赔偿责任。即当权利主体与侵权主体均为普通自然人时,双方当事人在诉讼进程中所处地位平等,其举证能力以及综合实力水平近乎一致,体现了其内在的同质性特征。同时,二者在权利诉求的表达以及风险责任的担当方面,皆处于对等状态。鉴于此,在这种情形下,并不需要实施举证责任倒置这一手段为任何一方提供诉讼上的额外助力。因此,针对普通自然人之间所产生的个人金融信息侵权案件,采取一般过错责任原则作为归责原则是恰当且合理的,足以应对其所涉及的法律关系和责任判定需求,能够确保公平、公正地解决纠纷,维护当事人的合法权益,并在一定程度上与其性质和特点相契合,具有充分的法理依据和实践可行性。
其次,对于金融机构、第三方支付平台以及互联网征信服务平台等实施的个人金融信息侵权行为,应当适用过错推定责任原则。对此存在两方面的原因:一是从身份地位上看,大数据金融机构、第三方企业或者互联网征信平台等单位通常具备规模性收集、直接利用他人个人金融信息的能力,在整合保存、加工处理个人金融信息的过程中处于便利地位。其在个人金融信息的掌控程度、处理技术水平以及经济实力和社会影响力等诸多方面,与自然个体相比存在显著的不均衡状态。若按照常规平等化的举证责任分配模式,个人金融信息权益主体难以获取切实有效的救济途径。二是从社会责任上看,个人金融信息的商业价值在大数据时代愈发凸显,而各类大型金融机构、第三方平台以及互联网征信企业等凭借先进的技术手段、庞大的资源整合能力以及广泛的市场渠道,通过对个人金融信息的高效流通与精细化处理,进而获取颇为可观的经济效益。因而应当要求其在个人金融信息侵权的责任认定时承担更大的举证责任[18]。
最后,对于行使公权力的国家机关或组织等公务机关侵害个人金融信息权益的案件,应当适用无过错责任原则。随着信息社会的进步,个人信息在国家治理当中的作用也越来越重要,数字化政府建设促进了行使公权力的国家机关组织对个人金融信息等数据的处理使用。同时也加剧了个人金融信息的安全风险。对此,《个人信息保护法》专章专节规定了国家机关处理个人信息的有关问题,但是对于国家机关实施侵权行为如何归责没有作出明确规定。笔者认为,公权力机关在公共管理和行政服务活动中,以国家强制力保证其职权的实施。其与上述大型企业、网络运营商一样,都占据着显著的资源、权力等优势地位,理应承担更多的举证责任以及相应义务。此外,对国家公务机关适用无过错责任原则,一定程度上也是维护政府公信力和政府形象的内在要求。
3.3.2. 不同信息类型的标准下归责原则的区别适用
2020年央行发布的《个人金融信息保护技术规范》将个人金融信息按照敏感程度由高到低分为机构内部的信息资产、可识别特定用户身份与金融状况以及用于金融产品和服务的关键信息、用户鉴别信息三类,但其属于推荐性行业标准,法律位阶较低。同年实施的《中国人民银行金融消费者权益保护实施办法》属于部门规章,也明确列举了个人身份、财产、账户、信用、金融交易及衍生等个人金融信息。虽然目前仅有这两项文件对个人金融信息的类型进行了划分,但当存在侵权行为、明确双方责任时可根据个人金融信息“有无金融属性”来区别适用归责原则。
从文义解释分析得出,“无金融属性”的一般个人金融信息主要是指《民法典》《个人信息保护法》中规定的一般个人信息,如姓名、性别、职业、联系方式等部分个人身份信息。此类信息不仅适用于金融活动,还可以用于其他生活场景。虽然是金融机构在开展业务活动过程中需要收集的信息,属于个人金融信息的一部分,但它们本身不直接涉及交易细则或财务状况,金融属性相对较弱,在金融交易和服务过程中并无显著风险,当其受到侵害时应当适用一般个人信息保护中的过错推定责任原则。但需要注意的是,“无金融属性”的一般个人金融信息在某些特定的金融场景下与“含有金融属性”的个人金融信息结合识别,紧密关系到公民的人身安全、财产安全以及社会公共安全,若它们同时被侵犯时,应当适用无过错责任原则。因为从实际影响来看,整体侵权行为对个人金融信息权益的威胁更大、造成的损害更突出,而信息权益人因自身能力有限,在收集证据等关键环节往往难以占据主动,此时适用无过错责任原则更有利于保护信息权益人的合法权益。此外,当信息处理者存在高度危险行为时,如未经授权大规模泄露此类信息,导致信息权益人面临被诈骗、财产损失的极大风险,为了促使信息处理者更加审慎地对待个人金融信息,也应当适用无过错责任原则。因此,笔者认为,对于“无金融属性”的一般个人金融信息应采取动态归责原则,区分适用过错推定责任和无过错责任,以更好地保护金融信息者的合法权益。即一般情况下适用过错推定责任原则;当“无金融属性”的一般个人金融信息与“含有金融属性”的个人金融信息同时被侵犯或者信息处理者存在高度危险行为、可能导致信息权益人遭受极大损失时,适用无过错责任原则。
与此相对应的是“含有金融属性”的个人金融信息,笔者认为,侵犯此类信息应当一律适用无过错责任原则。由前述分析可知,个人金融信息是指金融机构与第三方平台在从事金融服务和交易活动时所发生的收集保存、加工整合、分析处理的个人信息,具体包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。其中个人财产信息、账户信息、信用信息、金融交易信息等与金融业务直接相关,具有明显的金融属性。比如《个人金融信息保护技术规范》规定的C2类别信息,主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,包括支付账号、个人财产信息、借贷信息等;C3类别信息,主要为用户鉴别信息,包括银行卡磁道数据、账户交易密码、个人生物识别信息等。6这些均属于“含有金融属性”的个人金融信息,相当于个人金融信息中的敏感信息,一旦遭到未经授权的查看或变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。因此,当“含有金融属性”的个人金融信息受到侵害时,应当适用无过错责任原则,从而警示个人金融信息处理者谨慎对待,严格履行其合理的安全保障和预防义务,维护金融交易安全。
4. 结论
综上所述,本文通过对互联网征信制度下个人金融信息安全风险进行分析,明确我国个人金融信息侵权保护存在的现实困境,主要体现在个人金融信息界定不明和侵权责任认定不清两方面。为此,笔者从个人金融信息的概念界定入手,指出其应归属于个人信息范畴,虽然相关法律法规及规范性文件有不同表述,但我国目前缺乏个人金融信息保护单独立法,导致司法实践中概念界定不明、责任认定不清。为此,研究分析了各学者的不同观点,总结出个人金融信息的含义特征。其次,为探讨个人金融信息侵权的归责原则,通过分析其现实的理论依据,指出我国学界中存在一元论、二元论和多元论三种理论争议,并从侵权责任主体和行为类型的复杂性以及举证责任分配的合理性两方面,进一步说明多元化归责原则的必要性,以实现利益平衡和个案正义。最后,为构建个人金融信息侵权的多元化归责原则体系提出了一些方向和建议。即在不同责任主体的标准下,一般自然人侵权适用过错责任原则,而金融机构等适用过错推定责任原则,公务机关则侵权适用无过错责任原则;在不同信息类型的标准下,侵害“无金融属性”的一般个人金融信息适用动态归责原则,区分适用过错推定责任与无过错责任,而侵害“含有金融属性”的个人金融信息应适用无过错责任原则。
NOTES
1参见《中华人民共和国民法典》第1034条。
2参见《中华人民共和国个人信息保护法》第28条。
3参见《关于银行业金融机构做好个人金融信息保护工作的通知》第1条。
4参见《中国人民银行金融消费者权益保护实施办法》第18条。
5参见《个人金融信息技术保护规范》第4条。
6参见《个人金融信息技术保护规范》第4条。