引言
在金融业信息化程度不断提升的现代社会,个人金融信息安全与财产安全的关联度日益提升。作为个人金融信息最主要的收集和使用者以及公民财产重要的贮藏和代管者,金融机构有责任和义务成为保护个人金融信息安全的“排头兵”。若是缺乏有效的法律规制难免会出现个人金融信息被误用、滥用的情形,损害信息主体的利益。近年来频频发生个人金融信息泄漏事件,让公众震惊和忧虑,个人金融信息保护工作亟待加强。
一、个人金融信息保护概述
(一)个人金融信息的内涵和外延
个人金融信息是指与公民个人开展金融活动相关,在借贷交易、监管、征信等活动中产生、采集的公民个人身份信息、金融交易信息以及衍生信息。一般应包括:1、个人身份信息,如个人姓名、身份证件种类和号码等;2、个人财产信息,如个人收入状况、不动产状况等;3、个人账户信息,如账号、开户时间、开户行等;4、个人信用信息,如信用卡还款情况、贷款偿还情况等;5、个人金融交易信息,如银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息;6、衍生信息,如个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;7、个人其他信息。
(二)隐私权和个人金融信息
1890 年,美国学者沃伦和布兰代斯发表了《论隐私权》一文,标志着隐私权概念的产生,自此隐私权逐渐走入各国立法的视野。美国最高法院将隐私权划分为三类:私事决定隐私权、身体隐私权和信息隐私权。信息隐私权是个人对自身可识别信息的收集、披露和使用的控制权。
个人金融信息作为个人信息的重要组成部分,与个人隐私有非常密切的联系。一方面,个人金融信息往往具有私密性,另一方面,侵害个人金融信息的行为一般表现为非法披露个人金融信息资料。然而,保护隐私权的主旨在于保护权利人免受外界的非法干扰,维护个人私密的空间,具有一定的被动性。个人金融信息的保护除了不应被他人非法披露之外,还包括信息主体对个人金融信息的控制权。同时,个人金融信息也不仅仅是私密的信息,部分个人金融信息资料因为涉及公共利益必须在一定范围内公开。 对于侵害个人金融信息的救济,除了精神损害赔偿之外,还应当包含财产损失赔偿。可见,虽然隐私权和个人金融信息具有交叉关系,但是二者无论是从权利内容上还是权利救济途径上看都有一定区别。
(三)个人金融信息保护的必要性
1.保护个人金融信息是对个人隐私权的尊重
隐私权是人的自然权利,它使人成为独立的个体,获得独立的人格,自由支配自己的生活,其重要性不言而喻。对建立在隐私权基础上的个人金融信息权的保护也是对其根基隐私权的保障。个人金融信息中的许多信息是不愿被公开的私人隐秘领域或者是期望排除他人干涉的领域。对于这些信息的侵犯不仅会使个人的财产蒙受损失,而且会使个人的精神受到打击。
2. 保护个人金融信息是信息分享的前提
金融机构通过获取大量个人金融信息,并且对其进行开发利用,能够产生可观的经济价值。但对个人金融信息的分享是以个人金融信息获得充分保护为前提的。如果一个国家的个人金融信息保护处于无序、混乱的状态,个人将会对金融机构和当局失去信任,从而不愿意提供这些信息,个人金融信息分享也就成为空谈。
3.保护个人金融信息是国家金融和信息安全的题中之意
个人金融信息保护关系到国家金融和信息体系的稳定和安全,个人金融信息的泄露将造成金融系统的混乱,破坏金融系统的稳定性和安全性。我国网络购物用户规模占网民的41.6%,远低于发达国家水平,一大原因就是我国网民对通过网络提供个人金融数据的担忧,主要体现在担心被诈骗、信息被泄露或盗取以及个人信息被非法利用。目前,我国金融机构已出现个人金融信息泄露的迹象,而美国信用卡泄露事件更足以让我国提高对个人金融信息保护的重视程度,在该事件中有 8660 名中国客户受到牵连。
二、主要国家和地区个人金融信息保护制度概述及比较
(一)国际上个人金融信息保护的法律制度比较
1.美国
美国在对个人信息保护总体上采取自律模式,主要通过行业性自律规范对个人信息进行保护,而在医疗、金融等领域则通过制定特别法对个人信息予以保护。美国的个人金融信息保护具有以下特点:
(1)实行区别行业保护。对于银行业金融信息保护依据的主要是联邦法律,对于保险业的金融信息保护则依据各州自己制定的法律。在证券业方面,以联邦监管机构制定的规则为主,以行业自律为辅。主要法律依据有:1966 年《信息公开法》、1971年《公平信用报告法》、1974 年《隐私权法》、1978 年《金融隐私权法》、1999年的《金融服务现代化法》、2003 年《公平正确信用交易法》和2010 年《多德―弗兰克法案》等。
(2)确立了权利协调和公益优先原则。如果金融机构严格执行保密义务,不允许向外披露,很可能会放纵违法犯罪行为的发生,因此有必要对个人金融信息权利加以适当的限制。由此,美国确立了协调和公益优先的原则。当一项消费者信息涉及公共利益时,法律规定国家有权力要求金融机构向其披露消费者信息。但同时,这种权力的行使必须限制在一定范围内,由此确立了政府、客户、金融机构、法院四方主体共同构成的金融信息平衡关系。
(3)特别重视行业自律的管理模式。作为以市场为导向的国家,美国特别重视运用行业自律的模式管理金融领域。除个别领域外,金融行业协会制定的自律规范成为金融机构保护个人金融信息的重要基础性依据。
2.欧盟
欧盟则并不区分领域,采取统一保护的模式,对各类数据实行同一水平的保护。1995 年欧盟通过了《关于个人资料处理及自由流通个人保护指令》,该指令一出台即成为了欧盟最重要的个人信息保护法律,其为所有行业的个人信息保护提供了统一的标准,该指令主要规定以下内容: (1)保护的数据类型。指令对保护的数据类型规定非常广泛,任何与一个被证实的或可以证实的自然人有关的信息均纳入保护的类型中。
(2)信息主体的主要权利。包括:数据主体对个人信息的存取权、获得信息权和拒绝权。数据控制者必须向数据主体提供身份、数据处理目的等信息。数据主体有权随时拒绝关于本人的数据处理,有权拒绝为直接营销目的而进行的处理,或者在个人数据被使用前有权知悉。
(3)信息处理的合法性基础。指令规定在以下情形下可处理个人信息:一是数据主体明确同意。二是为履行约束数据控制者的义务有必要处理时。三是当涉及税收、反洗钱等公共利益时。
3.日本
日本主要是通过法律与自律规范的紧密结合来对个人金融信息进行保护。
(1)建立了相对完善的保护法律体系。自1987 年起,日本相关机构先后制定了《办理关于金融机构保护个人资讯指南》、《关于民间部门保护个人信息指导方针》、《个人信息保护法》、《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等法律文件,是日本个人金融信息保护的重要依据。
(2)依靠法律规范和自律规则做好保护工作。主要是通过成文法律与行业性自律规则建立对个人金融信息保护的制度体系。日本全国银行协会参照监管部门发布的个人资料保护指南,制定了行业内的自律性规则,用以指导金融机构做好个人信息保护工作。
(二)国际个人金融信息保护法律制度的评述
综观各国对个人信息的保护制度,具有以下特点:
1.个人金融信息保护皆有法可依,制度相对完善。美欧日等发达国家或地区大都制定了包括个人金融信息在内的保护法律规范,法律体系相对完善,在保护个人信息安全的理念上具有一致性。
2.基于法律文化差异等原因,个人金融信息保护的模式选择不尽相同。美国是判例法国家,金融监管体制不同于其他国家和地区,采取银行、证券和保险行业分别保护的模式。欧盟作为主权国家的联盟性机构,考虑各国的不同情况,只能制定涵盖范围广泛的保护规定,因此,采取了全面性保护模式。
3.均规定了信息的来源渠道和收集手段合法。金融机构首次获得信息必须基于建立业务关系的初次契约中,契约的生效也就包含了消费者同意或授权的意思表示。在信息的收集上,必须坚持“最少必需”的原则。在信息流出金融机构时,区别不同的信息类型,决定是否需要获得消费者的明确意思授权。
4.均规定了金融信息保护的例外内容。为合理平衡个人金融信息保护和信息披露之间的关系,保证金融业务的正常开展,在规定金融机构保密义务和客户权利的同时,一些例外规定应运而生。这些例外情况逐渐发展并渗透在以后的有关金融信息保护的法律中,对于解决金融信息权益保护与其他相关规定的冲突起到了一定的平衡作用。
三、我国个人金融信息保护立法及监管情况
(一)现行法律中关于个人金融信息保护的规定
目前,我国个人金融信息保护的制度尚不完善,对个人金融信息的保护主要体现在以下法律法规和规范性文件中。
1.法律层面。我国《民法通则》、《刑法》和《商业银行法》有部分条款直接或间接涉及个人信息的保护。《民法通则》第99-101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第二十九条规定了商业银行应当遵循为存款人保密的原则、有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款(但法律另有规定的除外)。
2.行政法规层面。1992年的《储蓄管理条例》(国务院令第107号)第五条规定“储蓄机构办理储蓄业务,必须遵循……为储户保密的原则”。2000 年的《个人存款账户实名制规定》(国务院令第285号)第八条也规定了金融机构为储户保密的义务。2013年3月15日起施行的《征信业管理条例》(国务院令第631号)是我国个人金融信息保护工作上的一个里程碑,条例共47个条款,有将近一半直接涉及个人金融信息保护。其中关于个人金融信息保护的主要制度设计包括:尽可能地扩大履行个人金融信息保护职责的机构范围、提高征信机构的准入门槛、规范信息的采集和使用、保障信息主体的知情权、设立个人信息纠错机制、严格法律责任等。
3.部门规章层面。人民银行、银监会等在其部门规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息的保护作出了相关规定。如中国人民银行2005 年制定了《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号),对个人信用信息采集、整理、保存、查询、异议处理、用户管理、安全管理等方面进行了规范。其中第十三条要求商业银行获取个人信用信息必须取得当事人的同意,使其享有知情权。此外,罚则部分对征信机关、商业银行违反保护规定,泄露个人信用信息行为制定了相应的处罚措施。该暂行办法是我国颁布的第一个专门针对个人信用信息保护的规章。《电子银行业务管理办法》(银监会令2006年第5号)第五十二条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”。人民银行、银监会、证监会和保监会联合颁布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行令〔2007〕第2号)第二十八条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”。《商业银行信用卡业务监督管理办法》(银监会令2011年第2号)第三条规定:“商业银行经营信用卡业务,应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。
4.规范性文件层面。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”。 (二)个人金融信息保护现状分析
目前,我国对个人金融信息的保护已在相关立法上有所体现,但也应该看到,与其它国家或地区相比,我国在个人金融信息保护方面仍然存在较大的缺陷,主要表现在以下几个方面:
1.法律制度不完善
一是法律体系不完备。目前对个人信息保护的民事法律依据主要是《民法通则》有关个人姓名权、肖像权和名誉权的规定,刑事法律依据主要是刑法修正案(七)有关出售或非法提供、获取公民个人信息犯罪的规定,无法规制那些侵犯个人信息但尚未构成犯罪的行为,信息主体的权利得不到全面确认和保护。各类经济主体收集、保存、交换个人信息等所应遵循的基本原则、程序和制度也得不到统一的规范。二是相关规定较为抽象、零散。现行金融法律,如《商业银行法》、《证券法》、《保险法》等仅对金融机构保密义务进行原则性规定,导致金融机构难以执行。《个人存款账户实名制规定》、《银行卡业务管理办法》等金融法规规章仅对某类个人金融信息,或者某个金融业务领域或环节作了保密规定,无法覆盖全部个人金融信息。三是相关规定效力层级低。中国人民银行出台了《个人信用信息基础数据库管理暂行办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》,《办法》和《通知》对个人金融信息收集、保存、使用等做了相应规定,但前者属效力层级较低的部门规章,后者为规范性文件,不属于广义法律的范畴。四是信息主体享有的权利不明,救济手段有限。信息主体对其个人金融信息应享有知情权、异议权、索赔权等权利,而这在我国现行法律体系中未得到明确。从司法实践看,个人金融信息遭受非法侵犯后,受害人多数获得的仅仅是停止侵害、消除影响等名誉补偿方式,经济和精神赔偿请求基本得不到司法部门支持。尤其是因个人金融信息泄露导致诈骗、资金被盗等,除犯罪分子承担刑事责任以外,受害人难以获得经济赔偿。
2.立法理念有偏差
从我国个人金融信息保护的相关规定来看,个人金融信息保护的法则与保护例外的规则对比较为失衡。对个人金融信息保护的规定主要是原则性的内容,比较抽象,操作性不强。而与此相反,对个人金融信息保护例外性的规定无论是从实体权利与义务的安排上,还是从对个人金融信息披露的程序上都比较具体,更具有操作性。这表明我国在个人金融信息保护立法上存在“重信息披露、轻信息保护”的价值取向,立法理念有一定的偏差。
3.监管效果不明显
《中国人民银行法》、《商业银行法》、《银行业监督管理法》等法律法规没有明确规定个人金融信息保护工作的监督管理部门。由于缺乏基础性制度支持,金融监管部门执法时,对违法行为的认定和处理存在较大困难,能够用来处理违法金融机构的手段少之又少,只能运用通报、约见谈话等惩戒性不强的手段,不能对违法机构产生威慑力。
4.保护意识待强化
一方面,金融机构对个人信息安全保护认识不足。缺乏个人信息安全管理制度,对客户个人信息保密责任不明晰,没有对信息实行有效的安全等级分类管理;对制度的执行监督检查、评估不够,而问责更少,对掌握重要信息的离岗人员的保密责任没有严格的约束措施。另一方面,公众对个人信息保护虽有一定的认识,但对个人信息的重要性及个人信息保护制度的相关细节却普遍缺乏深入的了解,对个人信息保护的意识并不高,风险防范意识较为薄弱。
四、加强我国个人金融信息保护的建议
(一)立法理念
1.保护模式的选择
美国采取分散立法模式,欧盟采取综合性的立法模式。两种立法模式均有其深刻的历史和社会背景。分散立法模式使得美国对个人信息的保护显得错综复杂。不同类的信息由不同的法律管辖,不同机构涉及个人信息的行为也由不同法律管辖,这种“支离破碎”的模式要较欧盟的“综合”模式在法律保护的充分性上相对弱一些。欧盟模式是对所有行业实行统一标准,并在欧盟内部确立了个人信息保护的最低标准,该模式有利于个人信息得到全面的保护。但同时,欧盟的全面立法也可能阻碍个人信息的正常流通。
鉴于两种制度都各有其利弊,我国比较好的选择是采用统一立法与行业自律结合的保护模式,制定个人信息保护法作为对我国个人信息保护的基本法,并结合金融行业的行业自律,为个人金融信息的保护构建出一个基本的框架。同时,修正我国现行法律已有的相关条款,对银行保密做出明确的规定,并根据经济、社会发展之需要而在金融领域制定专门的法律法规来完善对个人金融信息的保护。
2.隐私权保护和信息公开的协调
为平衡对个人金融信息的保护与信息公开之间的关系,协调其相互冲突的价值,需要遵循以下原则:
(1)公共利益优先原则
这项原则要求凡是与社会政治和公共利益有关的信息,政府享有知情权,有权将此信息公开。个人金融信息利益与公共利益发生冲突时,个人金融信息利益应让位于公共利益,以确保公共利益的优先实现。
(2)权利协调原则
这项原则要求对具体情况进行具体分析,达到权利的协调与平衡。在社会生活中,金融信息权和政府知情权都十分重要,对任何一种权利都不能完全抛弃。因此,权利协调原则就是要求一种权利做出让步以便使另一种权利得到基本满足。
(3)最大限度保护人格尊严原则
在一些特殊情况下,金融隐私权必须让位于政府知情权,但是政府在利用个人信息时必须最大限度的保护公民的人格尊严。必须对行政机关收集和利用个人信息做出限定,赋予信息主体知情权和救济权,确立政府、个人、金融机构、法院四方主体共同构成的金融信息获知与保密的平衡关系。
(4)信息流通原则
高度发达的信用体系在防范金融风险,提高市场资源配置效率等方面发挥着积极作用。信用从封闭走向公开,这是现代商业社会发展的需要。信息时代对个人金融信息保护的原则是力求获得两者的平衡,即既要保护个人金融信息,又不能使对个人金融信息保护成为信息自由流通的障碍。个人信息立法应该兼顾个人权利的保护与信息自由流通两个目标。 (二)构建我国个人金融信息保护制度的具体建议
1.明确个人金融信息的法律地位
构建个人金融信息保护制度,首先必须明确个人金融信息的法律地位。加快个人信息保护立法步伐,条件成熟时,制定专门的《个人信息保护法》;尽快修改《中国人民银行法》、《商业银行法》、《证券法》、《保险法》等法律,明确金融机构保护个人金融信息的义务和法律责任;进一步强化金融部门规章立法建设。形成以专门法律为核心、其他法律法规相配合、部门规章和制度为补充的个人金融信息保护法律体系。
2.明确个人金融信息的主体
个人金融信息主体应当是个人金融信息的所有者,个人金融信息主体对其自身的金融信息享有所有权,能够占有、使用、收益和处置自己的金融信息。可明确规定信息主体至少应包括以下权利:一是知情权,信息主体有权知晓金融机构收集、使用、披露、转移个人金融信息等的目的、范围;二是选择权,信息主体可自主选择是否接受金融机构对其个人金融信息的收集、披露等;三是访问权,有权查询其在金融机构的个人金融信息及其管理情况;四是异议权,信息主体有权要求金融机构对其个人金融信息进行适当更改、删除;五是索赔权,信息主体有权要求其信息免受非法和不当使用的侵害,并在遭受侵害时要求赔偿。
3.明确个人金融信息的内容
如果将金融信息视为个人产权的话,权利的行使必然涉及产权界定,而明确金融信息保护的范围实质上就是界定产权的边界。因此,要科学划定个人金融信息的包含内容,建议以列举加兜底的方式,明确个人金融信息保护的范围,如个人身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息,以及金融机构在与个人建立业务关系过程中获取、保存的其他个人信息。
4.明确个人金融信息保护的例外情形
在强调对个人金融信息保护的同时,出于对国家利益、社会公共利益等因素的考虑,也应明确对个人金融信息保护的例外情形――信息披露。例外情形可以包括以下几方面的内容:源于法律的规定而进行的信息公开、出于公共利益的考虑而对个人金融信息的披露、基于征信的需要而进行的信息交流、金融机构基于自身的利益而进行的合理披露以及经客户同意而进行的信息公开等。
5.明确个人金融信息保护的监管机关
可设立独立的机构或指定机构负责个人金融信息保护的监管,明确监管职责。监管机构负责建立个人金融信息保护的统一规范和标准,督促金融机构加强信息安全管理,强化个人信息数据库的管理,防止信息被滥用等。为确保监管机构更好第履行个人金融信息保护职责,法律应赋予监管机构必要的监管手段,对违规泄漏个人金融信息,造成个人损失或引发不良社会影响的,可实施行政处罚或采取其他监管措施。
6.明确个人金融信息保护的救济机制
我国现行法律制度对个人金融信息侵权的民事责任缺乏规定或是规定得过于抽象,信息主体在权利受到侵害后不能寻求充分的救济。我国在制定及修正相关法律法规时应对法律责任进行重构,能够对民事责任给予更多的关注,以建立更为科学的个人金融信息保护法律责任体系。我国《民法通则》第一百三十四条规定了承担民事责任的方式,包括:(1)停止侵害;(2)排除妨碍;(3)消除危险;(4)返还原物;(5)恢复原状;(6)消除影响、恢复名誉;(7)赔礼道歉;(8)赔偿损失。在侵害个人金融信息所应承担的民事责任方面,赔偿责任是关注的焦点。个人金融信息侵权行为侵害的是信息主体于个人金融信息上的一般人格权,对人格权的侵害将可能造成本人的财产利益损害和人身利益损害。因此,侵害个人金融信息的赔偿责任也应包括财产损害赔偿和精神损害赔偿。
参考文献:
[1]张磊.个人金融信息保护管理现状与改进[J]. 中国金融电脑,2012,(2).井慧宝,常秀娇.个人信息概念的厘定[J].法律适用,2011,(3).
[2]艾瑞咨询.2011 年中国网络购物年度数据发布. http://service.iresearch.cn/others//20120113/161491.shtml,2012-01-10.
[3]人民网.信用卡泄密波及中国持卡人 四商业银行紧急应对. http://finance.people.com.cn/GB/3493444. html,2005-06-24.
[4]王宝刚,张立先,马运全,荆伟,陈 晨.个人金融信息保护法律问题研究[J].金融理论与实践,2013,(2).
[5]周学东.关于完善个人金融信息保护法律体系的思考[N].金融时报.2013-03-18.
[6]陈永.欧盟和美国关于信息隐私保护的比较研究―兼论“9.11”后隐私立法政策的变化[A].北大国际法与比较法评论[C].2003.
[7]熊远艳.论个人金融信息的法律保护[D].重庆大学,2008.
[8]齐爱民.制定个人信息保护法的人权意义与经济功能[J].嘉兴学院学报,2007.
课题组组长:张瑞怀
课题组成员:李庆旗 唐征宇 王冬冬
引言
在金融业信息化程度不断提升的现代社会,个人金融信息安全与财产安全的关联度日益提升。作为个人金融信息最主要的收集和使用者以及公民财产重要的贮藏和代管者,金融机构有责任和义务成为保护个人金融信息安全的“排头兵”。若是缺乏有效的法律规制难免会出现个人金融信息被误用、滥用的情形,损害信息主体的利益。近年来频频发生个人金融信息泄漏事件,让公众震惊和忧虑,个人金融信息保护工作亟待加强。
一、个人金融信息保护概述
(一)个人金融信息的内涵和外延
个人金融信息是指与公民个人开展金融活动相关,在借贷交易、监管、征信等活动中产生、采集的公民个人身份信息、金融交易信息以及衍生信息。一般应包括:1、个人身份信息,如个人姓名、身份证件种类和号码等;2、个人财产信息,如个人收入状况、不动产状况等;3、个人账户信息,如账号、开户时间、开户行等;4、个人信用信息,如信用卡还款情况、贷款偿还情况等;5、个人金融交易信息,如银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息;6、衍生信息,如个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;7、个人其他信息。
(二)隐私权和个人金融信息
1890 年,美国学者沃伦和布兰代斯发表了《论隐私权》一文,标志着隐私权概念的产生,自此隐私权逐渐走入各国立法的视野。美国最高法院将隐私权划分为三类:私事决定隐私权、身体隐私权和信息隐私权。信息隐私权是个人对自身可识别信息的收集、披露和使用的控制权。
个人金融信息作为个人信息的重要组成部分,与个人隐私有非常密切的联系。一方面,个人金融信息往往具有私密性,另一方面,侵害个人金融信息的行为一般表现为非法披露个人金融信息资料。然而,保护隐私权的主旨在于保护权利人免受外界的非法干扰,维护个人私密的空间,具有一定的被动性。个人金融信息的保护除了不应被他人非法披露之外,还包括信息主体对个人金融信息的控制权。同时,个人金融信息也不仅仅是私密的信息,部分个人金融信息资料因为涉及公共利益必须在一定范围内公开。 对于侵害个人金融信息的救济,除了精神损害赔偿之外,还应当包含财产损失赔偿。可见,虽然隐私权和个人金融信息具有交叉关系,但是二者无论是从权利内容上还是权利救济途径上看都有一定区别。
(三)个人金融信息保护的必要性
1.保护个人金融信息是对个人隐私权的尊重
隐私权是人的自然权利,它使人成为独立的个体,获得独立的人格,自由支配自己的生活,其重要性不言而喻。对建立在隐私权基础上的个人金融信息权的保护也是对其根基隐私权的保障。个人金融信息中的许多信息是不愿被公开的私人隐秘领域或者是期望排除他人干涉的领域。对于这些信息的侵犯不仅会使个人的财产蒙受损失,而且会使个人的精神受到打击。
2. 保护个人金融信息是信息分享的前提
金融机构通过获取大量个人金融信息,并且对其进行开发利用,能够产生可观的经济价值。但对个人金融信息的分享是以个人金融信息获得充分保护为前提的。如果一个国家的个人金融信息保护处于无序、混乱的状态,个人将会对金融机构和当局失去信任,从而不愿意提供这些信息,个人金融信息分享也就成为空谈。
3.保护个人金融信息是国家金融和信息安全的题中之意
个人金融信息保护关系到国家金融和信息体系的稳定和安全,个人金融信息的泄露将造成金融系统的混乱,破坏金融系统的稳定性和安全性。我国网络购物用户规模占网民的41.6%,远低于发达国家水平,一大原因就是我国网民对通过网络提供个人金融数据的担忧,主要体现在担心被诈骗、信息被泄露或盗取以及个人信息被非法利用。目前,我国金融机构已出现个人金融信息泄露的迹象,而美国信用卡泄露事件更足以让我国提高对个人金融信息保护的重视程度,在该事件中有 8660 名中国客户受到牵连。
二、主要国家和地区个人金融信息保护制度概述及比较
(一)国际上个人金融信息保护的法律制度比较
1.美国
美国在对个人信息保护总体上采取自律模式,主要通过行业性自律规范对个人信息进行保护,而在医疗、金融等领域则通过制定特别法对个人信息予以保护。美国的个人金融信息保护具有以下特点:
(1)实行区别行业保护。对于银行业金融信息保护依据的主要是联邦法律,对于保险业的金融信息保护则依据各州自己制定的法律。在证券业方面,以联邦监管机构制定的规则为主,以行业自律为辅。主要法律依据有:1966 年《信息公开法》、1971年《公平信用报告法》、1974 年《隐私权法》、1978 年《金融隐私权法》、1999年的《金融服务现代化法》、2003 年《公平正确信用交易法》和2010 年《多德―弗兰克法案》等。
(2)确立了权利协调和公益优先原则。如果金融机构严格执行保密义务,不允许向外披露,很可能会放纵违法犯罪行为的发生,因此有必要对个人金融信息权利加以适当的限制。由此,美国确立了协调和公益优先的原则。当一项消费者信息涉及公共利益时,法律规定国家有权力要求金融机构向其披露消费者信息。但同时,这种权力的行使必须限制在一定范围内,由此确立了政府、客户、金融机构、法院四方主体共同构成的金融信息平衡关系。
(3)特别重视行业自律的管理模式。作为以市场为导向的国家,美国特别重视运用行业自律的模式管理金融领域。除个别领域外,金融行业协会制定的自律规范成为金融机构保护个人金融信息的重要基础性依据。
2.欧盟
欧盟则并不区分领域,采取统一保护的模式,对各类数据实行同一水平的保护。1995 年欧盟通过了《关于个人资料处理及自由流通个人保护指令》,该指令一出台即成为了欧盟最重要的个人信息保护法律,其为所有行业的个人信息保护提供了统一的标准,该指令主要规定以下内容: (1)保护的数据类型。指令对保护的数据类型规定非常广泛,任何与一个被证实的或可以证实的自然人有关的信息均纳入保护的类型中。
(2)信息主体的主要权利。包括:数据主体对个人信息的存取权、获得信息权和拒绝权。数据控制者必须向数据主体提供身份、数据处理目的等信息。数据主体有权随时拒绝关于本人的数据处理,有权拒绝为直接营销目的而进行的处理,或者在个人数据被使用前有权知悉。
(3)信息处理的合法性基础。指令规定在以下情形下可处理个人信息:一是数据主体明确同意。二是为履行约束数据控制者的义务有必要处理时。三是当涉及税收、反洗钱等公共利益时。
3.日本
日本主要是通过法律与自律规范的紧密结合来对个人金融信息进行保护。
(1)建立了相对完善的保护法律体系。自1987 年起,日本相关机构先后制定了《办理关于金融机构保护个人资讯指南》、《关于民间部门保护个人信息指导方针》、《个人信息保护法》、《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等法律文件,是日本个人金融信息保护的重要依据。
(2)依靠法律规范和自律规则做好保护工作。主要是通过成文法律与行业性自律规则建立对个人金融信息保护的制度体系。日本全国银行协会参照监管部门发布的个人资料保护指南,制定了行业内的自律性规则,用以指导金融机构做好个人信息保护工作。
(二)国际个人金融信息保护法律制度的评述
综观各国对个人信息的保护制度,具有以下特点:
1.个人金融信息保护皆有法可依,制度相对完善。美欧日等发达国家或地区大都制定了包括个人金融信息在内的保护法律规范,法律体系相对完善,在保护个人信息安全的理念上具有一致性。
2.基于法律文化差异等原因,个人金融信息保护的模式选择不尽相同。美国是判例法国家,金融监管体制不同于其他国家和地区,采取银行、证券和保险行业分别保护的模式。欧盟作为主权国家的联盟性机构,考虑各国的不同情况,只能制定涵盖范围广泛的保护规定,因此,采取了全面性保护模式。
3.均规定了信息的来源渠道和收集手段合法。金融机构首次获得信息必须基于建立业务关系的初次契约中,契约的生效也就包含了消费者同意或授权的意思表示。在信息的收集上,必须坚持“最少必需”的原则。在信息流出金融机构时,区别不同的信息类型,决定是否需要获得消费者的明确意思授权。
4.均规定了金融信息保护的例外内容。为合理平衡个人金融信息保护和信息披露之间的关系,保证金融业务的正常开展,在规定金融机构保密义务和客户权利的同时,一些例外规定应运而生。这些例外情况逐渐发展并渗透在以后的有关金融信息保护的法律中,对于解决金融信息权益保护与其他相关规定的冲突起到了一定的平衡作用。
三、我国个人金融信息保护立法及监管情况
(一)现行法律中关于个人金融信息保护的规定
目前,我国个人金融信息保护的制度尚不完善,对个人金融信息的保护主要体现在以下法律法规和规范性文件中。
1.法律层面。我国《民法通则》、《刑法》和《商业银行法》有部分条款直接或间接涉及个人信息的保护。《民法通则》第99-101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第二十九条规定了商业银行应当遵循为存款人保密的原则、有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款(但法律另有规定的除外)。
2.行政法规层面。1992年的《储蓄管理条例》(国务院令第107号)第五条规定“储蓄机构办理储蓄业务,必须遵循……为储户保密的原则”。2000 年的《个人存款账户实名制规定》(国务院令第285号)第八条也规定了金融机构为储户保密的义务。2013年3月15日起施行的《征信业管理条例》(国务院令第631号)是我国个人金融信息保护工作上的一个里程碑,条例共47个条款,有将近一半直接涉及个人金融信息保护。其中关于个人金融信息保护的主要制度设计包括:尽可能地扩大履行个人金融信息保护职责的机构范围、提高征信机构的准入门槛、规范信息的采集和使用、保障信息主体的知情权、设立个人信息纠错机制、严格法律责任等。
3.部门规章层面。人民银行、银监会等在其部门规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息的保护作出了相关规定。如中国人民银行2005 年制定了《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号),对个人信用信息采集、整理、保存、查询、异议处理、用户管理、安全管理等方面进行了规范。其中第十三条要求商业银行获取个人信用信息必须取得当事人的同意,使其享有知情权。此外,罚则部分对征信机关、商业银行违反保护规定,泄露个人信用信息行为制定了相应的处罚措施。该暂行办法是我国颁布的第一个专门针对个人信用信息保护的规章。《电子银行业务管理办法》(银监会令2006年第5号)第五十二条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”。人民银行、银监会、证监会和保监会联合颁布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行令〔2007〕第2号)第二十八条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”。《商业银行信用卡业务监督管理办法》(银监会令2011年第2号)第三条规定:“商业银行经营信用卡业务,应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。
4.规范性文件层面。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”。 (二)个人金融信息保护现状分析
目前,我国对个人金融信息的保护已在相关立法上有所体现,但也应该看到,与其它国家或地区相比,我国在个人金融信息保护方面仍然存在较大的缺陷,主要表现在以下几个方面:
1.法律制度不完善
一是法律体系不完备。目前对个人信息保护的民事法律依据主要是《民法通则》有关个人姓名权、肖像权和名誉权的规定,刑事法律依据主要是刑法修正案(七)有关出售或非法提供、获取公民个人信息犯罪的规定,无法规制那些侵犯个人信息但尚未构成犯罪的行为,信息主体的权利得不到全面确认和保护。各类经济主体收集、保存、交换个人信息等所应遵循的基本原则、程序和制度也得不到统一的规范。二是相关规定较为抽象、零散。现行金融法律,如《商业银行法》、《证券法》、《保险法》等仅对金融机构保密义务进行原则性规定,导致金融机构难以执行。《个人存款账户实名制规定》、《银行卡业务管理办法》等金融法规规章仅对某类个人金融信息,或者某个金融业务领域或环节作了保密规定,无法覆盖全部个人金融信息。三是相关规定效力层级低。中国人民银行出台了《个人信用信息基础数据库管理暂行办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》,《办法》和《通知》对个人金融信息收集、保存、使用等做了相应规定,但前者属效力层级较低的部门规章,后者为规范性文件,不属于广义法律的范畴。四是信息主体享有的权利不明,救济手段有限。信息主体对其个人金融信息应享有知情权、异议权、索赔权等权利,而这在我国现行法律体系中未得到明确。从司法实践看,个人金融信息遭受非法侵犯后,受害人多数获得的仅仅是停止侵害、消除影响等名誉补偿方式,经济和精神赔偿请求基本得不到司法部门支持。尤其是因个人金融信息泄露导致诈骗、资金被盗等,除犯罪分子承担刑事责任以外,受害人难以获得经济赔偿。
2.立法理念有偏差
从我国个人金融信息保护的相关规定来看,个人金融信息保护的法则与保护例外的规则对比较为失衡。对个人金融信息保护的规定主要是原则性的内容,比较抽象,操作性不强。而与此相反,对个人金融信息保护例外性的规定无论是从实体权利与义务的安排上,还是从对个人金融信息披露的程序上都比较具体,更具有操作性。这表明我国在个人金融信息保护立法上存在“重信息披露、轻信息保护”的价值取向,立法理念有一定的偏差。
3.监管效果不明显
《中国人民银行法》、《商业银行法》、《银行业监督管理法》等法律法规没有明确规定个人金融信息保护工作的监督管理部门。由于缺乏基础性制度支持,金融监管部门执法时,对违法行为的认定和处理存在较大困难,能够用来处理违法金融机构的手段少之又少,只能运用通报、约见谈话等惩戒性不强的手段,不能对违法机构产生威慑力。
4.保护意识待强化
一方面,金融机构对个人信息安全保护认识不足。缺乏个人信息安全管理制度,对客户个人信息保密责任不明晰,没有对信息实行有效的安全等级分类管理;对制度的执行监督检查、评估不够,而问责更少,对掌握重要信息的离岗人员的保密责任没有严格的约束措施。另一方面,公众对个人信息保护虽有一定的认识,但对个人信息的重要性及个人信息保护制度的相关细节却普遍缺乏深入的了解,对个人信息保护的意识并不高,风险防范意识较为薄弱。
四、加强我国个人金融信息保护的建议
(一)立法理念
1.保护模式的选择
美国采取分散立法模式,欧盟采取综合性的立法模式。两种立法模式均有其深刻的历史和社会背景。分散立法模式使得美国对个人信息的保护显得错综复杂。不同类的信息由不同的法律管辖,不同机构涉及个人信息的行为也由不同法律管辖,这种“支离破碎”的模式要较欧盟的“综合”模式在法律保护的充分性上相对弱一些。欧盟模式是对所有行业实行统一标准,并在欧盟内部确立了个人信息保护的最低标准,该模式有利于个人信息得到全面的保护。但同时,欧盟的全面立法也可能阻碍个人信息的正常流通。
鉴于两种制度都各有其利弊,我国比较好的选择是采用统一立法与行业自律结合的保护模式,制定个人信息保护法作为对我国个人信息保护的基本法,并结合金融行业的行业自律,为个人金融信息的保护构建出一个基本的框架。同时,修正我国现行法律已有的相关条款,对银行保密做出明确的规定,并根据经济、社会发展之需要而在金融领域制定专门的法律法规来完善对个人金融信息的保护。
2.隐私权保护和信息公开的协调
为平衡对个人金融信息的保护与信息公开之间的关系,协调其相互冲突的价值,需要遵循以下原则:
(1)公共利益优先原则
这项原则要求凡是与社会政治和公共利益有关的信息,政府享有知情权,有权将此信息公开。个人金融信息利益与公共利益发生冲突时,个人金融信息利益应让位于公共利益,以确保公共利益的优先实现。
(2)权利协调原则
这项原则要求对具体情况进行具体分析,达到权利的协调与平衡。在社会生活中,金融信息权和政府知情权都十分重要,对任何一种权利都不能完全抛弃。因此,权利协调原则就是要求一种权利做出让步以便使另一种权利得到基本满足。
(3)最大限度保护人格尊严原则
在一些特殊情况下,金融隐私权必须让位于政府知情权,但是政府在利用个人信息时必须最大限度的保护公民的人格尊严。必须对行政机关收集和利用个人信息做出限定,赋予信息主体知情权和救济权,确立政府、个人、金融机构、法院四方主体共同构成的金融信息获知与保密的平衡关系。
(4)信息流通原则
高度发达的信用体系在防范金融风险,提高市场资源配置效率等方面发挥着积极作用。信用从封闭走向公开,这是现代商业社会发展的需要。信息时代对个人金融信息保护的原则是力求获得两者的平衡,即既要保护个人金融信息,又不能使对个人金融信息保护成为信息自由流通的障碍。个人信息立法应该兼顾个人权利的保护与信息自由流通两个目标。 (二)构建我国个人金融信息保护制度的具体建议
1.明确个人金融信息的法律地位
构建个人金融信息保护制度,首先必须明确个人金融信息的法律地位。加快个人信息保护立法步伐,条件成熟时,制定专门的《个人信息保护法》;尽快修改《中国人民银行法》、《商业银行法》、《证券法》、《保险法》等法律,明确金融机构保护个人金融信息的义务和法律责任;进一步强化金融部门规章立法建设。形成以专门法律为核心、其他法律法规相配合、部门规章和制度为补充的个人金融信息保护法律体系。
2.明确个人金融信息的主体
个人金融信息主体应当是个人金融信息的所有者,个人金融信息主体对其自身的金融信息享有所有权,能够占有、使用、收益和处置自己的金融信息。可明确规定信息主体至少应包括以下权利:一是知情权,信息主体有权知晓金融机构收集、使用、披露、转移个人金融信息等的目的、范围;二是选择权,信息主体可自主选择是否接受金融机构对其个人金融信息的收集、披露等;三是访问权,有权查询其在金融机构的个人金融信息及其管理情况;四是异议权,信息主体有权要求金融机构对其个人金融信息进行适当更改、删除;五是索赔权,信息主体有权要求其信息免受非法和不当使用的侵害,并在遭受侵害时要求赔偿。
3.明确个人金融信息的内容
如果将金融信息视为个人产权的话,权利的行使必然涉及产权界定,而明确金融信息保护的范围实质上就是界定产权的边界。因此,要科学划定个人金融信息的包含内容,建议以列举加兜底的方式,明确个人金融信息保护的范围,如个人身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息,以及金融机构在与个人建立业务关系过程中获取、保存的其他个人信息。
4.明确个人金融信息保护的例外情形
在强调对个人金融信息保护的同时,出于对国家利益、社会公共利益等因素的考虑,也应明确对个人金融信息保护的例外情形――信息披露。例外情形可以包括以下几方面的内容:源于法律的规定而进行的信息公开、出于公共利益的考虑而对个人金融信息的披露、基于征信的需要而进行的信息交流、金融机构基于自身的利益而进行的合理披露以及经客户同意而进行的信息公开等。
5.明确个人金融信息保护的监管机关
可设立独立的机构或指定机构负责个人金融信息保护的监管,明确监管职责。监管机构负责建立个人金融信息保护的统一规范和标准,督促金融机构加强信息安全管理,强化个人信息数据库的管理,防止信息被滥用等。为确保监管机构更好第履行个人金融信息保护职责,法律应赋予监管机构必要的监管手段,对违规泄漏个人金融信息,造成个人损失或引发不良社会影响的,可实施行政处罚或采取其他监管措施。
6.明确个人金融信息保护的救济机制
我国现行法律制度对个人金融信息侵权的民事责任缺乏规定或是规定得过于抽象,信息主体在权利受到侵害后不能寻求充分的救济。我国在制定及修正相关法律法规时应对法律责任进行重构,能够对民事责任给予更多的关注,以建立更为科学的个人金融信息保护法律责任体系。我国《民法通则》第一百三十四条规定了承担民事责任的方式,包括:(1)停止侵害;(2)排除妨碍;(3)消除危险;(4)返还原物;(5)恢复原状;(6)消除影响、恢复名誉;(7)赔礼道歉;(8)赔偿损失。在侵害个人金融信息所应承担的民事责任方面,赔偿责任是关注的焦点。个人金融信息侵权行为侵害的是信息主体于个人金融信息上的一般人格权,对人格权的侵害将可能造成本人的财产利益损害和人身利益损害。因此,侵害个人金融信息的赔偿责任也应包括财产损害赔偿和精神损害赔偿。
参考文献:
[1]张磊.个人金融信息保护管理现状与改进[J]. 中国金融电脑,2012,(2).井慧宝,常秀娇.个人信息概念的厘定[J].法律适用,2011,(3).
[2]艾瑞咨询.2011 年中国网络购物年度数据发布. http://service.iresearch.cn/others//20120113/161491.shtml,2012-01-10.
[3]人民网.信用卡泄密波及中国持卡人 四商业银行紧急应对. http://finance.people.com.cn/GB/3493444. html,2005-06-24.
[4]王宝刚,张立先,马运全,荆伟,陈 晨.个人金融信息保护法律问题研究[J].金融理论与实践,2013,(2).
[5]周学东.关于完善个人金融信息保护法律体系的思考[N].金融时报.2013-03-18.
[6]陈永.欧盟和美国关于信息隐私保护的比较研究―兼论“9.11”后隐私立法政策的变化[A].北大国际法与比较法评论[C].2003.
[7]熊远艳.论个人金融信息的法律保护[D].重庆大学,2008.
[8]齐爱民.制定个人信息保护法的人权意义与经济功能[J].嘉兴学院学报,2007.
课题组组长:张瑞怀
课题组成员:李庆旗 唐征宇 王冬冬