金融外包业务隐私权研究

时间:2022-09-28 02:52:25

金融外包业务隐私权研究

一、概念与现状

(一)金融隐私权的概义。金融隐私权是指个人享有的金融信息所不受他人非法侵扰、收集、知悉、利用和公开的一种权利。金融信息是金融机构在业务活动中知悉和掌握的,包括个人的身份、金融资产状况和交易情况等所有信息和资料,主要指账务信息(如银行账户、存贷款数额、密码等)、信用信息(如透支记录、持卡数量等)、投资信息(如证券账户资产构成)、保险信息等,这些信息直接反映出金融消费者个人资产状况、信用状况和其他信息,对消费者个人来讲,都属于个人隐私敏感的信息,信息持有者对其信用信息及利益享有绝对的控制权和支配权。主要包括三种权能:一是支配权能,即信息持有者有自由支配个人信用信息的权利,自主决定是否允许第三人知悉和利用。二是隐瞒权能,即信息持有者有权隐瞒其个人金融信用信息的权利,自主决定其个人相关信息是否为他人所知悉。三是救济权能,即当金融消费者个人信用信息造到不当泄露或侵害时,信息持有者有权寻求司法救济,保障其合法权益的权利。(二)金融外包业务的发展现状。近年来,随着金融业对外开放的深化,金融业竞争日益剧烈,带来了金融外包业务的蓬勃发展,金融业务外包逐渐向更广泛的业务领域渗透,涵盖范围也越来越广,服务手段也越来越先进。金融外包业务主要包括三类:即信息技术外包(ITO)、业务流程外包(BPO)和知识流程外包(KPO)。金融外包业务内容主要是外包银行信息系统,通过承包商提供服务,使银行节约了人力成本,提高了市场竞争力。

二、危害类型

(一)信息技术外包对个人金融信息隐私权的危害。近年来,金融业务逐渐变为信息管理业务,从客户需求、竞争压力、以及成本效益考虑,金融机构越来越多地增加对IT系统的投入,服务提供商向金融机构提供的信息系统安全漏洞也逐渐加大,这给利用互联网窃取别人隐私的黑客提供了温床,容易造成客户个人信息的泄漏、丢失、损坏,带来诸如冒名办卡透支欠款、办理假证窃取钱款等违法行为的发生,这些都严重侵害了客户的个人金融信息隐私权,甚至还会导致信誉风险和法律风险,使金融机构及消费者蒙受巨大的经济损失。(二)业务流程外包对个人金融信息隐私权的危害。在外包过程中,因工作需要,商业银行在向承包商透露有关银行的信息和数据的同时,一定程度上给商业银行的信息安全也带来隐患,特别是对数据处理、信息录入一类的流程外包,客户信息会以载体的形式在承包商方面保留一段时间,产生在银行外被窃取的可能。以银行催收业务外包为例,金融机构往往事先没有向客户提供催收服务商的相关信息,以及催收业务的开展方法、过程和作用,使得客户无法预期自身财产信息和信用信息的流向,在某种程度上影响其享有完整的金融信息隐私权,这些行为直接侵犯了客户的金融信息隐私权。(三)知识流程外包对个人金融信息隐私权的危害。知识流程外包主要倾向于信息集成,包括一定程度上的判断、解释、决策和结论,对知识流程外包提供商来说,专业人士是极度缺乏的,而有些承包商员工为了获得更高的收入,会频繁更换工作,加之没有持久的组织忠诚度、信誉度、保密等培训,容易造成其违背心理契约和职业道德的现象,从而成为泄漏客户信息,侵犯客户个人金融信息隐私权的高发人群。

三、原因分析

(一)消费者个人金融信息管理机制不健全。金融机构拥有大量消费者个人金融信息第一手数据,且对这些数据有着支配权能,作为金融业务外包的发起者,在外包业务时,势必将部分数据信息交给承包商,但大部分金融机构未将个人金融信息泄漏作为一种业务风险来防范,对个人金融信息保护的意识较为薄弱,没有建立起完备的消费者个人信息采集、使用、传递、保存、销毁等环节保护机制,使得金融消费者信息在金融机构各环节随时都有遭到非法泄露的风险。(二)信息监管与保护机制不健全。一是个人金融信息保护法律不完善、行政法律责任缺失。伴随我国金融外包业务的快速发展,相关金融消费者权益保护的法律法规建设没有同步跟进,只能参考现有的《消费者权益保护法》、《关于加强金融消费权益保护工作的指导意见》等,法律法规没有明确界定金融业务属性并对其进行规范管理,对于金融业务外包过程中出现的侵犯个人金融信息隐私权的行为,没有规定直接适用的罚则,难以实现对消费者权益的最大化保护。二是对个人金融信息保护工作监管不到位。现有监管制度零散且可操作性不强,无法覆盖各类金融业务,也不能全面规范个人信息采集、使用、保管的全过程,并且一直没有明确监管责任,加大了互联网金融机构侵害消费者权益的可能性。三是个人金融信息隐私权救济制度不完善。部分金融消费者在个人金融信息遭到非法泄露、个人隐私权受到侵犯时,不了解或不清楚投诉咨询渠道,不能及时得到有效的法律救济,甚至造成无法弥补的经济损失。(三)个人金融信息衍生的商业价值驱使非法获取。个别商业机构或个人在利益驱使下,采取各种手段获取他人金融信息,部分承担商自身对消费者数据信息保密技术不到位,“黑客”攻击手段花样翻新,加之部分承担金融外包业务的企业信用度低,利用职务便利将从金融机构获取的个人信息卖给商业机构,致使个人金融信息被非法盗取或篡改。(四)金融消费者自身保护意识不强。金融消费者是个人金融信息的持有者,也是个人金融信息产生的源头,一方面,我国金融机构客户金融素质参差不齐,部分金融消费者金融知识缺乏,对个人金融信息的保管使用不妥当,对个人金融信息泄露的途径及泄露后果不甚了解,在不同程度上存在办理业务时泄露个人金融信息的现象;另一方面,随着互联网金融的发展,越来越多的消费者选择互联网交易,但互联网知识没有跟上,不清楚相应的维权措施,也滋生了个人金融信息隐私权的遭到危害的土壤。

四、对策建议

(一)建立客户信息全过程保护机制。1.金融机构应当在事前对外包服务提供商的技术能力及内控管理进行有效性评估。重点考察外包业务的技术能力,是否具备客户信息安全保护措施资质,考察关键人员的业务能力和职业道德,考察服务处理失败或业务系统遭黑客入侵等偶发事件的应对能力,择优选择业务能力强、信誉好的服务提供商。2.金融机构应根据风险评估结果与金融外包服务提供商签订法律外包合同。合同中应明确安全性与机密性要求,明确与个人隐私权保护方面的法律条款、补救措施以及责任追究,防止未经授权的泄露和使用,给金融消费者以契约保障。3.加强外包合同签订后对服务提供商的持续监督。加强对服务商业务能力、服务级别、财务状况,以及关键人员变动备案情况的监督检查,及时发现问题,堵塞露洞,减少风险,对客户信息保护不力的机构及时终止合作。(二)强化金融外包业务监管。1.建立金融服务商资格审查和信用评级制度。通过综合财务资信状况、管理成熟度、技术能力、资源规模、行业的熟悉程度及创新能力等方面进行综合评估,界定服务商是否具备市场准入资格。2.明确金融机构业务外包范围。针对不同的业务、不同的外包服务供应商,应采取不同的监管程序,对于外包规定之外的服务项目实行审批制度,执行监管机构审查与批准程序。3.加强外包业务持续监管和系统性风险监管。在外包合同中制定相关条款,确保监管时可随时获取资料,对于承担多家金融机构将业务外包给的供应商,对于可能形成的系统性风险,除了监管之外,还应做出必要限制和约束。(三)细化金融信息隐私权保护机制。金融机构在与客户建立关系时以及永续期间,明确金融机构告知义务,必须以一定方式告知其掌握的客户信息的范围和用途;明确客户的选择权,客户有权选择或拒绝向非关联第三方共享其个人信息公开的权利,规定外包服务机构披露非公开个人信息的具体政策和程序;明确金融机构违约赔偿责任,事先告知当隐私权收到侵犯时,可以通过司法救济途径向金融机构或承包商追溯赔偿。同时,加强对金融消费者权益保护知识教育,提高风险识别能力和依法维权意识,广泛宣传例如“12363”金融消费权益保护咨询投诉电话等渠道,便于金融消费者及时维权。(四)增强个人金融信息隐私权保护宣传。消费者在办理金融业务时要树立风险防范意识,明确金融机构收集个人信息的依据和用途,填写个人信息查询使用等授权时,应明确授权范围,个人信息发生变更时,及时到金融机构办理相关变更手续,以便受理银行更改相关交易信息,同时,消费者要妥善保管个人相关金融信息,知悉隐私权范围,发现问题及时申请救济,最大限度减少损失,从源头上减少个人金融信息隐私权受到侵害。

作者:王芳 单位:中国人民银行商洛市中心支行