據澎湃新聞等媒體報道,2020年4月23日,浙江舟山銀保監分局披露的罰單顯示,浙江岱山農商銀行因違規泄露客戶信息,被罰款30萬元。在落實機構與人員雙罰制方面,銀行內部職員王某某對岱山農商銀行違規泄露客戶信息負有主要責任,被禁止從事銀行業工作3年。處罰之重足以彰顯銀保監會高度重視個人信息的保護工作。事實上,近年來,銀保監會印發了一系列的監管政策文件,要求銀行保險機構建立或完善個人信息保護的各項制度。
毋庸置疑,大數據時代下,政府部門已經察覺到以數據為載體的個人信息的商業價值、社會治理功能與日俱增。與此同時,侵害個人信息權益的范圍與規模也日益擴大,個人信息保護制度的完善已刻不容緩,但如何才能建立行之有效的保護制度,目前爭議很大,尚無定論。學界主流觀點是完善各項規章制度,用嚴格的懲罰措施規范個人信息適用的過程,杜絕違法行為。但囿于網絡時空不確定性和金融個人信息的高度商業性,純粹靠“硬法”,即政府部門制定的具有強制性的各項規定,不僅執法成本高,而且這種“一罰了之”的處理模式也難以完全消除違法帶來的負面影響。因此,還需重視金融業內部各項運作流程的規范,即“軟法”的建設,從內部源頭杜絕侵害個人信息行為的發生。具體而言,“軟法”在個人信息保護方面,可以發揮以下作用:
首先,彌補“硬法”之治的結構性功能。硬法的創制應當嚴格遵循法定程序,通常剛性十足,對現實的需要也顯得較遲鈍。與之形成對照的是,軟法的創制和實施過程更注重實踐需要,其所推崇的是柔性治理。當然軟法的創制不應當違背最低程序正義要求,不能違背法定程序、違背程序正當原則。在保護“個人信息權”方面,雖然硬法的功能是結構性的,軟法起補充作用,但是我們絕對不能將軟法的功能視作可有可無。一方面,軟法可以起到填補硬法空白的作用。軟法不但能夠彌補硬法空白,而且還能作為試驗性立法來為硬法的創制積累經驗,具有規則試錯意義;另一方面,軟法可以更好地保護公民在金融商業網絡空間中享有的經濟利益,而硬法的主要功能在于為“個人信息權”保護確定一個剛性范疇,不能伸手過長,否則會阻礙正常的信息交流活動。
其次,提升“個人信息權”保護的強度。在一個充滿不確定性、多元利益關系沖突的金融網絡空間,僅僅依靠硬法是不足以滿足人們對規則的依賴、對“個人信息權”保護的渴望。在“個人信息權”保護中,軟法能提升保護的強度主要通過兩種方式:一方面體現在規則形成過程中的共識。相當部分的軟法源于實踐中的約定俗成,是相關主體自愿、主動認可的規則。同時,在規則制定過程中,參與各方的利益訴求已得到表達并得到回應。另一方面體現在規則實施過程中的共識。軟法的實施并不依靠國家強制力來保證,它主要依靠社會強制和自愿服從機制,比如某家公司私自泄露客戶的個人信息,破壞行業內部規則,行業協會可以通過調低其信譽等級的方式予以懲戒。
最后,降低保護“個人信息權”的社會成本。行為人通過“硬法”為自己的行為提供較為確定的預期,知道哪些行為可行,哪些不可行。但通常行為后果由規制制定機關單方設定,而為達到震懾效果,懲罰通常較嚴厲。這種規范方式通常不會得到行為人的積極配合,執法成本大。但若重視軟法治理,社會管理成本或許能大幅度降低:其一,在軟法調整的網絡空間范圍內,因其規制制定過程的回應性、實施方式的溫和性等,能夠以較低的創制、實施和遵守成本,促使金融網絡空間的參與者共同保護客戶的“個人信息權”;其二,硬法依靠軟法的補充與引導,能夠朝著創制過程更重協商、公正和實施更高效的方向發展,減少對抗和摩擦,這無疑降低了執法成本。
(作者系西南政法大學行政法學院程序法治研究中心研究員)