龙源期刊网 http://www.qikan.com.cn
个人金融信息保护问题研究
作者:
来源:《金融经济·学术版》2014年第01期
引言
在金融业信息化程度不断提升的现代社会,个人金融信息安全与财产安全的关联度日益提升。作为个人金融信息最主要的收集和使用者以及公民财产重要的贮藏和代管者,金融机构有责任和义务成为保护个人金融信息安全的“排头兵”。若是缺乏有效的法律规制难免会出现个人金融信息被误用、滥用的情形,损害信息主体的利益。近年来频频发生个人金融信息泄漏事件,让公众震惊和忧虑,个人金融信息保护工作亟待加强。 一、个人金融信息保护概述 (一)个人金融信息的内涵和外延
个人金融信息是指与公民个人开展金融活动相关,在借贷交易、监管、征信等活动中产生、采集的公民个人身份信息、金融交易信息以及衍生信息。一般应包括:1、个人身份信息,如个人姓名、身份证件种类和号码等;2、个人财产信息,如个人收入状况、不动产状况等;3、个人账户信息,如账号、开户时间、开户行等;4、个人信用信息,如信用卡还款情况、贷款偿还情况等;5、个人金融交易信息,如银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息;6、衍生信息,如个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;7、个人其他信息。 (二)隐私权和个人金融信息
1890 年,美国学者沃伦和布兰代斯发表了《论隐私权》一文,标志着隐私权概念的产生,自此隐私权逐渐走入各国立法的视野。美国最高法院将隐私权划分为三类:私事决定隐私权、身体隐私权和信息隐私权。信息隐私权是个人对自身可识别信息的收集、披露和使用的控制权。
个人金融信息作为个人信息的重要组成部分,与个人隐私有非常密切的联系。一方面,个人金融信息往往具有私密性,另一方面,侵害个人金融信息的行为一般表现为非法披露个人金融信息资料。然而,保护隐私权的主旨在于保护权利人免受外界的非法干扰,维护个人私密的空间,具有一定的被动性。个人金融信息的保护除了不应被他人非法披露之外,还包括信息主体对个人金融信息的控制权。同时,个人金融信息也不仅仅是私密的信息,部分个人金融信息资料因为涉及公共利益必须在一定范围内公开。 对于侵害个人金融信息的救济,除了精神损害赔偿之外,还应当包含财产损失赔偿。可见,虽然隐私权和个人金融信息具有交叉关系,但是二者无论是从权利内容上还是权利救济途径上看都有一定区别。
龙源期刊网 http://www.qikan.com.cn
(三)个人金融信息保护的必要性 1.保护个人金融信息是对个人隐私权的尊重
隐私权是人的自然权利,它使人成为独立的个体,获得独立的人格,自由支配自己的生活,其重要性不言而喻。对建立在隐私权基础上的个人金融信息权的保护也是对其根基隐私权的保障。个人金融信息中的许多信息是不愿被公开的私人隐秘领域或者是期望排除他人干涉的领域。对于这些信息的侵犯不仅会使个人的财产蒙受损失,而且会使个人的精神受到打击。 2. 保护个人金融信息是信息分享的前提
金融机构通过获取大量个人金融信息,并且对其进行开发利用,能够产生可观的经济价值。但对个人金融信息的分享是以个人金融信息获得充分保护为前提的。如果一个国家的个人金融信息保护处于无序、混乱的状态,个人将会对金融机构和当局失去信任,从而不愿意提供这些信息,个人金融信息分享也就成为空谈。
3.保护个人金融信息是国家金融和信息安全的题中之意
个人金融信息保护关系到国家金融和信息体系的稳定和安全,个人金融信息的泄露将造成金融系统的混乱,破坏金融系统的稳定性和安全性。我国网络购物用户规模占网民的41.6%,远低于发达国家水平,一大原因就是我国网民对通过网络提供个人金融数据的担忧,主要体现在担心被诈骗、信息被泄露或盗取以及个人信息被非法利用。目前,我国金融机构已出现个人金融信息泄露的迹象,而美国信用卡泄露事件更足以让我国提高对个人金融信息保护的重视程度,在该事件中有 8660 名中国客户受到牵连。
二、主要国家和地区个人金融信息保护制度概述及比较 (一)国际上个人金融信息保护的法律制度比较 1.美国
美国在对个人信息保护总体上采取自律模式,主要通过行业性自律规范对个人信息进行保护,而在医疗、金融等领域则通过制定特别法对个人信息予以保护。美国的个人金融信息保护具有以下特点:
(1)实行区别行业保护。对于银行业金融信息保护依据的主要是联邦法律,对于保险业的金融信息保护则依据各州自己制定的法律。在证券业方面,以联邦监管机构制定的规则为主,以行业自律为辅。主要法律依据有:1966 年《信息公开法》、1971年《公平信用报告法》、1974 年《隐私权法》、1978 年《金融隐私权法》、1999年的《金融服务现代化法》、2003 年《公平正确信用交易法》和2010 年《多德—弗兰克法案》等。
龙源期刊网 http://www.qikan.com.cn
(2)确立了权利协调和公益优先原则。如果金融机构严格执行保密义务,不允许向外披露,很可能会放纵违法犯罪行为的发生,因此有必要对个人金融信息权利加以适当的限制。由此,美国确立了协调和公益优先的原则。当一项消费者信息涉及公共利益时,法律规定国家有权力要求金融机构向其披露消费者信息。但同时,这种权力的行使必须限制在一定范围内,由此确立了政府、客户、金融机构、法院四方主体共同构成的金融信息平衡关系。
(3)特别重视行业自律的管理模式。作为以市场为导向的国家,美国特别重视运用行业自律的模式管理金融领域。除个别领域外,金融行业协会制定的自律规范成为金融机构保护个人金融信息的重要基础性依据。 2.欧盟
欧盟则并不区分领域,采取统一保护的模式,对各类数据实行同一水平的保护。1995 年欧盟通过了《关于个人资料处理及自由流通个人保护指令》,该指令一出台即成为了欧盟最重要的个人信息保护法律,其为所有行业的个人信息保护提供了统一的标准,该指令主要规定以下内容:
(1)保护的数据类型。指令对保护的数据类型规定非常广泛,任何与一个被证实的或可以证实的自然人有关的信息均纳入保护的类型中。
(2)信息主体的主要权利。包括:数据主体对个人信息的存取权、获得信息权和拒绝权。数据控制者必须向数据主体提供身份、数据处理目的等信息。数据主体有权随时拒绝关于本人的数据处理,有权拒绝为直接营销目的而进行的处理,或者在个人数据被使用前有权知悉。
(3)信息处理的合法性基础。指令规定在以下情形下可处理个人信息:一是数据主体明确同意。二是为履行约束数据控制者的义务有必要处理时。三是当涉及税收、反洗钱等公共利益时。 3.日本
日本主要是通过法律与自律规范的紧密结合来对个人金融信息进行保护。
(1)建立了相对完善的保护法律体系。自1987 年起,日本相关机构先后制定了《办理关于金融机构保护个人资讯指南》、《关于民间部门保护个人信息指导方针》、《个人信息保护法》、《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等法律文件,是日本个人金融信息保护的重要依据。
(2)依靠法律规范和自律规则做好保护工作。主要是通过成文法律与行业性自律规则建立对个人金融信息保护的制度体系。日本全国银行协会参照监管部门发布的个人资料保护指南,制定了行业内的自律性规则,用以指导金融机构做好个人信息保护工作。