民法典,隐私权和个人信息保护相关规定给银行带来的启示

begin
begin
begin
531
文章
0
评论
更多
2021年1月10日09:13:14 评论 567
导语:2021年起施行的《民法典》将对包括银行业在内的各行各业带来较大影响,比如在涉及隐私权与个人信息保护方面,银行应注意营销推介不应影响“生活安宁”,个人信息收集恪守“必要性原则”,业务开展须充分保障个人信息安全。
民法典,隐私权和个人信息保护相关规定给银行带来的启示
在信息化时代,个人信息保护已成为广大人民群众最现实的利益问题之一。党中央高度重视网络空间法治建设,对个人信息保护立法工作进行部署。2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见,以期在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。
在我国,“隐私权”进入法律视角的时间并不长,我国1987年1月1日起施行的《民法通则》中没有“隐私权”的概念,甚至全文未提及“隐私”二字。2017年10月1日施行的《民法总则》第一百一十条虽将“隐私权”纳入民事主体(自然人)人格权的范畴,但未作进一步规定。2020年5月28日,十三届全国人大三次会议经表决通过了《中华人民共和国民法典》(以下简称《民法典》),将自2021年1月1日起施行,标志着我国民事权利保护进入法典时代。此次《民法典》保留了《民法总则》第一百一十条的内容,并多达11次提及“隐私权”或“隐私”,可谓浓墨重彩。《民法典》的实施将对包括银行业在内的各行各业带来较大影响,银行业应深入研究和解读,比如在涉及隐私权与个人信息保护方面,在开展银行业务时多角度考虑相关合规举措。
如何区分隐私权与个人信息保护的不同
《民法典》第一千零三十二条第一款规定,“任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”。第二款则对“隐私”作出了明晰的法律界定,即“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。《民法典》对“公权力”也作出了必要的约束,其第一千零三十九条规定:“国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”
实践中,企业个人信息收集合规的出发点,应是梳理其收集了何种信息,其中是否收集了“个人信息”,是否涉及收集自然人私密信息,在此基础上才能有效评估企业信息收集行为的合规性或相关风险。个人信息与隐私确实存在一定的交叉与重叠关系。个人信息既有隐私性信息,如个人的财务信息、遗传基因信息、性取向等,也有非隐私性信息,如网络社交信息等。因此,隐私权与个人信息保护具有密切的联系。
但是,作为具体人格权的隐私权不等同于个人信息保护。隐私权的保护对象既包括作为个人信息的隐私性信息,也包括“具有私密性的私人空间、私人活动”。也就是说,隐私权侧重保护的是人们对其身体和家庭等私密空间或私生活安宁的决定自由,而个人信息保护关注的是人们就那些将对其个人自治产生扩张或者限制作用的信息(数据)应当如何使用的决定自由。侵害个人信息有可能会同时构成对隐私权的侵害,也可能并不侵害隐私权,反之亦然。例如,通过cookie技术收集个人网页浏览信息并加以分析后进行个性化推荐,涉及的只是是否经过被收集者同意分析利用其个人信息的问题,未必侵害其隐私权。再如,在他人家门口安装摄像头或窃听器偷拍、偷录他人言行,或者发送短信、打电话骚扰他人,只是侵害他人私生活的安宁即隐私权,而没有侵害个人信息。
如前所述,法律上之所以保护个人信息绝非仅仅是为了防卫自然人的个人信息遭受侵害,更旨在为自然人既存的包括人格权、财产权等在内的各种民事权益建立一道权利保护屏障。自《民法通则》始,我国法律上确立的人格权主要是具体的人格权,包括生命权、健康权、身体权、肖像权、名誉权、荣誉权、隐私权等。我国法律中的隐私权并非美国法上隐私权那样包罗万象,依照此种人格权的立法传统,《民法典》中也应区分隐私权与个人信息保护,不应将二者合并规定。
尽管个人信息权和隐私权的关联相当紧密,但两者并非浑然一体,而是在内容、性质、客体等方面存在较明确的界分。一是权利内容有别。隐私权主要包括维护个人的私生活安宁、个人私密不被公开;而个人信息权主要是指对个人信息的支配和自主决定。二是权利客体不同。隐私主要是一种私密性的信息或私人活动;而个人信息注重的是身份识别性。三是权利属性不同。隐私权是一种防御性权利,主要是精神性的人格权;信息权是一种主动性的权利,既包括了精神价值,也包括了财产价值。
另外,值得关注的是,个人信息权和隐私权的保护方式有差异。一是对个人信息的保护以预防为主;而隐私的保护则应注重事后救济。二是在侵害隐私权的情况下,主要采用精神损害赔偿的方式加以救济;而对个人信息的保护,除精神损害赔偿外也可以采用财产救济。三是隐私权保护主要采用法律保护的方式;而个人信息的保护方式则呈现多样性和综合性,尤其是可以通过行政手段加以保护。
当然,当某种行为侵害他人隐私权或个人信息权时,有可能导致同时侵害这两种权利,受害人可以选择对自身最为有利的方式加以主张。例如,随意散布个人病历资料,既侵犯了隐私权,也侵犯了个人信息权。但整体而言,个人信息这一概念远远超出了隐私的范围。
《民法典》在对个人信息和隐私作出定义的基础上,也意识到二者存在重合的部分。因此,《民法典》还制定了对个人信息与隐私保护的衔接规则,明确个人信息中的私密信息,适用有关隐私权的规定;没有规定的,则适用有关个人信息保护的规定。不过这一解决思路本质上仍然依赖于对二者范围的有效识别和界定。由于隐私的识别涉及到一般常识和对特定主体的个性化认知,因此可以认为《民法典》对于企业的合规提出了更高的要求。
总体而言,作为基础性部门法,《民法典》仅停留在对个人信息保护的原则性规定,具体保护制度以及相关法规的体系协调及构建,需要《个人信息保护法》等个人信息具体配套制度来充实。
“隐私权和个人信息保护”相关规定对银行展业产生的影响
营销推介不应影响“生活安宁”。根据《民法典》隐私的界定,可知,隐私权所保护的具体可分为“自然人的私人生活安宁”与“自然人不愿为他人知晓的私密空间、私密活动、私密信息”,两者均与银行业务活动关系密切。
实践中,存在部分银行未经金融消费者同意即向其拨打营销电话、发送推介短信或发送广告邮件等侵害金融消费者私人生活安宁的现象。在即时通讯日益发达的今天,银行拥有了更多向客户进行推介的渠道,但任何未经法律许可或未经金融消费者同意而向其拨打的推介电话或发送的推介信息均可能构成对金融消费者私人生活安宁的侵害。
个人信息收集恪守“必要性原则”。根据《民法典》第一千零三十四条对个人信息定义的界定,个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。就立法技术而言,该条款前半句是对个人信息的本质特征做揭示,强调个人信息具有的识别特定自然人的作用,后半句则采取列举的方式,对自然人的姓名和出生日期等常见的个人信息进行列举。因此,分析《民法典》有关个人信息保护条款对银行可能的影响,应当从本条对个人信息的定义切入,理解个人信息保护的范围是以“识别特定自然人”为核心向外辐射的开放式保护,并理解不同类别个人信息的可分割性,即收集个人信息以“必要性原则”为指导,只收集与银行开展业务所必需的个人信息,例如自然人的姓名、出生日期、身份证件号码等,而对于金融消费者的健康信息和行踪信息等则不应收集。
业务开展须充分保障个人信息安全。银行在开展业务过程中收集金融消费者的个人信息后,应根据《民法典》第一千零三十八条的规定尽到信息安全保障义务。实践中,存在部分银行非法对外提供金融消费者个人信息的问题,这有可能导致银行承担侵权责任、遭致行政处罚甚至是承担刑事责任。因此,对金融消费者个人信息的保护,是银行应予以重视的一个问题。
银行如何进一步加强相关合规工作
银行应在合同中明确约定向金融消费者推介信息的方式,并取得其授权。基于展业的需要,银行常常通过拨打电话和发送短信等方式向曾在银行留存联系方式的金融消费者推介产品活动等信息,合理地推介信息不仅能有助于金融消费者发现满足其消费需求的产品,也能帮助银行拓宽业务,但该类推介活动应基于金融消费者对银行推介信息的认可与授权。因此,建议银行与金融消费者在合同中明确约定银行可通过何种方式向其发送推介信息,并允许金融消费者以自主勾划的方式对推介方式和推介内容进行选择。
当然,合同不仅仅只限于明确的业务协议,客户在前台开立银行卡或通过线上或线下方式申请信用卡、申请线上信贷产品等过程中的告知书、开户须知等,只要客户签字确认,也应视为合同,应明确收集、使用客户信息的途径,并允许金融消费者自行选择。
在通过金融消费者直接收集其信息时,应在合同中明确获取个人信息的范围,并取得金融消费者的授权。银行在开展业务的过程中,为准确识别金融消费者的风险,不可避免地需要收集其个人信息,但为保障金融消费者个人信息权益不受侵害,应在合同中明确约定搜集个人信息的目的、范围和使用方法,并明确列明收集个人信息的具体种类而非要求金融消费者做概括式授权。此外,在签订合同中,应对上述约定向金融消费者做明确的提示,并应消费者要求做出相应的说明,以充分保障金融消费者的知情权与选择权。
银行在与第三方合作间接收集金融消费者个人信息时,应审查第三方提供个人信息的合法性。银行与第三方开展合作或者将业务进行外包时,例如,与保险公司、汽车经销商、移动通信运营商等第三方开展营销合作,或者将部分业务外包给第三方时,若合作第三方非法收集金融消费者的个人信息而银行对此知道或应当知道的,银行可能与合作第三方构成共同侵权。因此,建议银行充分审查、评估外包服务供应商保护个人信息的能力,在相关协议中明确外包服务供应商保护个人信息的职责和保密义务,并采取必要措施监督外包服务供应商履行上述职责和义务,与外包服务供应商签订的保密协议应约定外包服务供应商的保密义务,并在合作协议中明确约定第三方非法提供个人信息的违约责任。
应通过制定和完善内部的金融消费者个人信息保护制度,以加强内部合规管理。银行应将个人信息保护内容纳入相关制度、流程及业务规范,遵循“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,逐级压实责任,做好个人信息全生命周期保护。对于银行直接或间接收集的金融消费者个人信息,银行应在内部管理制度中明确各个部门的具体权限与职责,包括但不限于获取金融消费者个人信息时应当经过何种审批程序,以及金融消费者个人信息发生泄露、损毁、遗失时应当如何采取补救措施等。同时,银行还应当在内部员工培训管理制度中补充关于金融消费者个人信息保护的相关内容,强化其责任意识。
银行应不定期地组织客户信息保护工作风险排查。银行应指定牵头部门,对客户信息保护情况定期开展风险排查,全面检查各条线、各级机构是否严格落实了关于客户信息保护的制度规定,以及在客户信息收集、保存、使用等环节有无缺陷、疏漏或者风险隐患,并根据排查情况制定整改措施,逐步完善客户信息保护的各项机制。

(本文原载于《中国银行业》杂志2020年第12期)

begin
  • 本文由 发表于 2021年1月10日09:13:14
  • 转载请务必保留本文链接:https://www.szpos.cn/10433.html
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: