摘 要:近日,数字人民币开始进入市场,基于其效率性、无限法偿性等特性,其在中国甚至国际市场内流行将成为必然。但是数字人民币推行过程中所引发的个人信息的泄露问题不可忽视,规范个人信息的使用势在必行。本文以此为研究对象,通过寻找使用个人信息时公共利益和个人利益的平衡点,最终从个人信息使用者、第三方监管者以及技术保护的角度,对数字人民币推行背景下的个人信息保护提出建议。
关键词:数字人民币; 不安全性; 个人信息保护;
数字人民币,是一种以国家信用为支点,依靠网络技术,由国家指定机构发行的一种数字货币。数字人民币是人民币的一种类别,因其用国家信用背书,既区别于比特币等虚拟货币,又区别于支付宝、微信等支付方式。数字人民币不仅极大地方便了人们的生活,提高了人们交易支付的安全性和效率,同时为人民币走向世界打下了坚实的基础,加快了人民币国际化的步伐。当前,数字人民币已经开始出现在公众视野,而国家也已将深圳等地作为试点,开始虚拟场景的试验。未来,数字人民币将从试点走向全国,再从全国走向全世界。
一、问题的提出
数字人民币是基于大数据技术发展起来的一种新兴的法定货币。它既体现出网络支付工具的特点,同时又体现出法定货币的特点。由于数字人民币为国家信用所支持,同时又有高效率、方便等诸多优势,因此不难想象,在不久的将来,数字人民币将占领国内甚至国际一大片可观的市场。但在推崇数字人民币的同时,我们亦不可忽视数字人民币本身存在的个人信息泄露风险。
具体来说,数字人民币区别于微信、支付宝等支付方式,实行的是银行账户松耦合模式。账户松耦合模式下,使用数字人民币的用户并不需要绑定银行账户即可进行支付。其在一定程度上保护了用户的个人隐私和个人信息的安全。但是,这并不意味着在数字人民币使用过程中,个人信息不会发生泄露的风险。为了实现反洗钱、反恐怖融资、反逃税等,精准高效打击违法犯罪以及更好地制定和执行货币政策,数字人民币使用者的实名信息、交易金额、交易流向以及资金链条是可以对中国人民银行开放的。与此同时,由于商业银行也具有反洗钱、反恐怖融资的职责,因此商业银行需要对数字人民币使用者的单位、职业、资金来源、背景调查等方面进行有效识别。为了进行有效识别,商业银行需要对数字人民币使用过程中所产生的个人信息进行收集。此外,为了能够向用户提供更为个性化的金融服务,商业银行需要通过掌握客户的现金交易情况,以此来分析客户的风险偏好以及资金分布状况,这也需要使用数字人民币用户的个人信息。
可见,在数字人民币使用的过程中,用户的个人信息被银行收集、使用。诚然,个人信息的收集可以为用户提供更好的服务。但是,个人信息立法保护机制的缺失,将容易导致这些个人信息遭致泄露。特别是立法并未规定数字人民币的个人信息使用权限,这就导致央行或者商业银行对个人信息的使用权过大。如央行或者商业银行都具备一定的信息披露义务,如果不对其对个人信息使用权的约束,将会导致不应当公开的个人信息被不当公开。例如,在陈英与眉山市经济和信息化局等信息电讯行政管理(信息、电讯)一案中,就体现出个人信息会被不当公开的问题。在这个案件中原告请求政府进行信息公开,但是政府基于《中华人民共和国统计法》《中华人民共和国政府信息公开条例》中对信息保护和信息公开的约束没有进行公开。如果不是相关法律法规的约束,政府就有可能会将不适宜公开的"商业信息"进行公开。
即便立法限定了数字人民币个人信息的使用限度,明确了合法使用主体的合法使用范围,即在使用主体和适用范围上进行双重限定。其也不能排除犯罪分子使用非法技术手段,进入系统中不当获取数字人民币用户的个人信息。据公安部统计,"截至目前,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起".在此情形下,应该通过何种手段进行预防,抑或是这种情形发生后,应该采取何种救济措施?目前立法并没有相关的制度规则。由此可见,数字人民币使用过程中的不安全性仍然是存在的,相应的解决办法需要应时应运而生。
二、数字人民币推行中个人信息保护的本质
前文提到,数字人民币推行过程中个人信息可能会被泄露。究其原因,是数字人民币个人信息使用过程中,使用主体的不当操作或者犯罪分子的不当获取造成的。由于犯罪分子不当获取个人信息属于技术层面上的问题,在此暂且不论。以下仅就数字人民币个人信息使用过程中使用主体的使用权限问题进行分析。
为了保护公共利益的需要,同时也是为了更好地服务数字人民币用户,用户的个人信息不可避免地发生流动。《个人信息保护法(草案)》第一条提到:"保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用。"但是这种流动必须建立在保护个人信息权益的基础之上。也就是说个人信息的流动必须是有序的,而非自由的。当前,《个人信息保护法(草案)》第五条、第六条也规定了个人信息使用的目的和方式。从本质上说,这种有序就意味着个人信息使用者需要在公共利益和个人利益中寻找一个平衡,而个人信息的保护路径也需以此平衡为基点进行设置,唯有如此,在数字化人民币的使用过程中,个人信息才能得以最大化的保护。
针对个人信息保护中公共利益与个人利益的平衡,有学者提出:"超越个体权利思维的局限,强化公共利益导向".还有学者认为,在某些重要的领域,公共利益是优先于个人利益的。在这些重要的领域,当然包括国家安全领域。而央行和商业银行基于反恐怖融资等目的而收集并使用个人信息的行为,是为了保护国家安全,理应优先于个人利益。这也是符合我国"维护公共利益"的立法精神以及国际立法发展趋势的。笔者认为,在这种情况下,央行和商业银行可以不经个人信息所有权人同意即使用其个人信息。但是若央行和商业银行不是基于特定领域的公共利益的需要而收集并使用的个人信息,则需要经过个人信息所有权人同意。
三、数字人民币推行中个人信息保护的途径
(一)限制数字人民币用户个人信息的使用范围
个人交易信息包括实名信息、交易金额、交易流向和资金链条。为了精准打击犯罪以及给客户提供更为优质的个性化金融服务,央行以及商业银行应可以在一定范围内获取客户的个人信息。但是央行和商业银行获取的个人信息理应是有限度的。
具体来说,央行和商业银行如为了打击洗钱、恐怖活动融资、逃税以及制定货币政策,即基于特定领域公共利益维护的需求,央行和商业银行是可以采取适当合理的手段收集和使用数字人民币用户的个人信息。在维护公共利益的语境下,适当合理的手段应当符合特定目的。例如,央行若是为了制定货币政策而获取并分析用户的个人信息,则不得将这些个人信息用于其他用途。判断央行的特定目的,须从以下几个方面进行考察:一是商业银行为了制定货币政策而不得不获取并分析个人信息。二是在制定货币政策这一特定目的下,用于制定货币政策是商业银行获取个人信息的唯一用途。
倘若商业银行是为了给客户提供更为优质的个性化的金融服务,则商业银行调取客户的个人信息必须征得客户同意,且必须和客户明确其个人信息的使用范围和超出范围使用客户信息所需承担的违约责任。即在以为客户提供更为优质的个性化金融服务为目的而获取的用户的个人信息中,应强调其自主性。
(二)明确个人信息的保密原则及泄露个人信息的侵权责任
个人信息收集者和使用者应对自己获取、使用的个人信息予以保密,否则将承担相应的侵权责任。事实上,此种做法是符合我国个人信息保护的立法精神的。例如,《中华人民共和国统计法》第九条规定,明确统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密。又如,《中华人民共和国居民身份证法》第六条第三款规定,公安机关及其人民警察对制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。同样,在今年新颁布的《民法典》,亦体现出了此种精神。《民法典》不仅在总则编明确了"自然人的个人信息受法律保护",而且在人格权编、侵权责任编明确了个人信息的使用权限和使用者的责任。
可见,依我国立法精神,个人信息收集者和使用者理应对获得的个人信息予以保密。倘若不慎泄露个人信息,那么其将要承担侵权责任。具体来说,从行为角度来讲,个人信息收集者和使用者做出了泄露个人信息的行为;从过错角度来讲,个人信息收集者和使用者主观上为故意或过失;从损害事实角度来讲,个人信息发生了泄露;从因果关系角度来讲,用户个人信息的泄露是个人信息收集者和使用者对个人信息的不当处理造成的。一旦个人信息泄露造成的影响是成片的,将危机多数人的利益,因此,在收集者和使用者不慎泄露个人信息时,理应承担侵权责任。为了对个人信息更好地保护,也为了防止个人信息使用主体相互推卸责任,央行和商业银行承担责任时,可以贯彻负责人制,即央行和商业银行的相关负责人和导致个人信息泄露的主体承担连带责任。
(三)加强对数字人民币使用过程的监管
目前,能够合法获得数字人民币使用过程中产生的个人信息的主体一共为两类:央行和商业银行。由于央行具备一定的信息公开职能,如果不对其对个人信息使用权进行约束,将会导致不应当公开的个人信息被不当公开。对于商业银行,由于其从本质来说属于市场主体中的一类。因此如果仅凭借商业银行的单位信用,而获取并使用用户的个人信息,可能还是存在一定程度上的安全隐患。为此,必须设立第三方监管机构,对商业银行使用数字人民币用户个人信息的行为予以监督。
第三方监督机构应独立于央行和商业银行,不受其约束,对其行为监督。由于目前国内所有银行都由央行管理,而央行由国务院管理。基于第三方监督机构独立于央行和商业银行的考量,商业银行对应的第三方监督机构可以归央行进行管理,而央行对应的第三方监督机构可以归国务院进行管理。当然,监督央行或商业银行使用数字人民币用户个人信息的行为不仅仅靠第三方监管机构监管,还应建立检举机制,用户可以就央行或商业银行非法利用个人信息的行为进行检举。第三方监管机构接到检举后,应当对检举的内容进行调查。若第三方监管机构通过调查发现检举内容属实,第三方监管机构可以上报央行或国务院,由其给予商业银行相应的处罚。同时,第三方监督机构还可以制作季度报告或者年度报告,用户可以通过查看年度报告,监督央行以及商业银行对其个人信息的利用情况。
(四)增强技术保护,防范不法分子盗取个人信息在数字人民币推广中,不法分子可能会通过技术手段
入侵个人信息储存基地,不当获取并利用个人信息,因此,国家必须通过技术手段加强对数字人民币使用过程中的个人信息保护。本文认为,国家可以通过市场竞争的方式,将市场上最优的技术运用到个人信息的保护当中,从而最大程度上对不法分子盗取数字人民币用户个人信息的行为予以防范。因为在社会主义市场经济中,市场遵循的是"适者生存,优胜劣汰"的原则,只有先进的技术才可以在市场竞争中被保留下来。国家可以通过招标等方法,吸引并筛选具备优秀技术人才等条件的企业参与到数字人民币个人信息保护的技术开发项目中来。
四、结语
从本质上说,数字人民币推广过程中个人信息保护途径的设置,实际上是在公共利益与个人利益中确定一个合理的边界,从而使个人信息能得到最大化的保护。在公共利益和个人利益的博弈中,在涉及国家安全以及违法犯罪的领域,公共利益理应优先于个人利益。如果不涉及一定领域公共利益的个人信息使用,则应征求个人信息所有权人同意。不管是否是基于保护公共利益的需要使用的个人信息,都需要保持在一个合理的限度内。此时,第三方监管机构的存在就尤为必要。同时,我们应该看到发达的网络技术带来的安全隐患,黑客入侵导致个人信息泄露,并积极采取技术手段防范这种情况的发生。只有这样,才能充分地保护数字人民币用户的个人信息。
参考文献
[1] 东润。数字人民币为移动支付筑起一道安全屏障[N].中国审计报,2020-10-19(007)。
[2] 汤奎,陈仪珏。数字人民币的发行和运营:商业银行的机遇与挑战研究[J].西南金融,2020(11):24-34.
[3] 张姝哲,韩兴国。数字人民币运营模式、政策影响与发展建议[J].理论月刊,2020(10):50-58.
[4] 类延村,徐洁涵。个人信息法律保护的权利基础与实践逻辑[J/OL].图书馆建设:1-12[2020-12-16].http://h-s.kns.cnki.net.forest.naihes.cn/kcms/detail/23.1331.G2.20200716.1445.012.html.
[5] 朱军。个人信息保护与社会公共利益关系如何平衡[J].人民论坛,2020(18):68-69.
[6] 王利明。论个人信息权的法律保护--以个人信息权与隐私权的界分为中心[J].现代法学,2013,35(04):62-72.
[7] 刘晓欣。数字人民币的主要特征及影响分析[J].人民论坛,2020(26):86-91.