消費者金融信息安全保障制度探討

　　摘要：金融業務活動中，金融機構掌握的消費者的基本信息、交易信息若保護不利，往往使消費者權益受損，加之信息、計算機技術在金融業務中的運用，消費者面臨的金融信息安全問題成為新型的安全問題，亟需相應法律措施的保護。通過考察各國相關立法制度和我國現行法律的不足，應構建消費者金融隱私權并完善相應的金融行政監督管理制度以保障消費者的金融信息安全。
　　關鍵詞：金融服務業；消費者；金融隱私權；信息安全
　　
　　一、消費者金融信息安全保障的重要性
　　現代信息科學技術以及互聯網業務的廣泛應用對金融服務業帶來了一場史無前例的大變革。隨著信息化和電子商務的發展，新型的交易媒介、交易方式層出不窮，網上銀行業務的開通，銀行電子化營業網點關于外匯買賣、自助付費、多功能轉賬、賬務查詢等多種金融服務的開展，在銀行和廣大個人客戶之間架起了橋梁，成為傳統營業柜臺的有力補充和服務的重要手段。這也增大了消費者的機密資料、個人隱私、交易的敏感信息、支付的信息等可能遭到竊取、盜用或篡改的可能性。例如，不法分子針對網絡的攻擊和盜用金融消費者的網絡密碼及賬戶等，消費者的金融信息安全問題成為新型的安全問題，亟需相應法律措施的保護。
　　二、歐美消費者金融信息安全保障制度比較
　　在西方國家，銀行等金融機構對客戶金融隱私權的保護制度經過英美等國判例法以及普通法的確認和發展，目前已成為世界各國銀行業務法的重要組成部分。
　　美國是較早形成系統、完備隱私權法律保護體系的國家，其對于金融隱9PtBhVDx8JmbE5CPlZvsKA==私權的保護采取的是單獨立法的模式。
　　美國對銀行客戶金融信息的保護主要散見于判例和相關的成文法規定。美國聯邦法律中保護金融消費者信息隱私的主要有《金融隱私權利法》、《公平信用報告法》、《金融服務現代化法》等。
　　1975年美國國會通過的《金融隱私權利法》（Right to Financial Privacy Act of 1992，RF-PA），進一步對金融機構的數據信息中涉及客戶隱私權保護的內容加以規定，使法律更加有針對性。《公平信用報告法》（Fair Credit Reporting Act of 1970，FCRA）（該法已經多次修改，最近一次的修改是2003年的《公平準確信用交易法》（Fairand Accurate Credit Transactions Act of 2003，FACTA），主要規定了消費者個人對信用調查報告的權利，規范了消費者信用調查/報告機構對于報告的制作、傳播、對違約記錄的處理等事項，實際上明確了消費者信用調查機構的經營方式。2003年通過的《公平準確信用交易法》（FACTA）則針對信用報告的準確性和公平性提出了更為具體的要求。
　　1999年，美國頒布了《金融服務現代化法》（Financial Services Modernization Act of 1999），該法規定了金融機構對非公開的個人信息的保護。各個監管機構或當局應該制定適當標準，使金融機構在行政、技術和有形保護措施方面，遵從這些監管機構或當局的規定。
　　此外，美國國會于1970年通過《銀行保密法》（Bank Secrecy Act），確立了銀行對客戶負有保密的義務，并認可中央政府為防止金融犯罪，只有在特定情況下才可以獲取客戶的資料。
　　但其更多的是賦予政府獲取銀行客戶信息的權力。
　　英國銀行對客戶金融隱私權的保護是默示的和普通法上的義務，該普通法上的義務于“圖爾尼爾”案中得以明確解釋。英國對金融服務業消費者信息安全保障的直接立法較少。主要體現在1984年制定的《數據保護法》（Data Protection Act），該法規定：不允許以欺騙手段從數據主體處取得信息，取得個人信息必須經過有關個人同意；只有為特定的和合法的目的，才能持有個人數據；使用或透露個人數據不得與持有數據的目的相沖突；金融機構必須采取安全措施，以防止個人數據未經許可而被擴散、更改、透露或銷毀。
　　歐盟對于所有行業的隱私保護實行同一標準，對數據隱私權的保護采用的是專門的數據保護立法。
　　歐盟議會于1995年通過了《歐盟數據保護指令》，1998年歐盟通過了《關于個人資料的處理和自由流動的保護指令》（Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data）。《歐盟數據保護指令》幾乎包括了所有關于個人數據處理方面的規定。根據這項指令，資料當事人享有接觸資料權利與反對權利，并有權更正、刪除或封存其個人資料。《關于個人資料的處理和自由流動的保護指令》采用綜合立法的模式，把網絡隱私的保護問題包含在個人資料的保護中。該指令對于個人資料的告知、個人資料的查閱、個人資料的處理等問題做了規定，這些規定同樣也適用于對金融服務業消費者的個人金融信息的保障。有關個人資料的告知問題體現在第10條、第11條的規定中。其第10條規定：資料控制者及其代表在收集個人資料時，至少應向資料主體披露或者告知這些信息：資料控制者及其代表的身份、資料處理的目的；任何進一步的信息，包括資料的接受人或接受人的類型，個人資料的詢問是否必須答復以及未予答復的后果，資料主體的查閱權和修改權；資料收集的特定條件以及保證資料的公平處理。其第11條規定了對潛在資料主體的告知義務。有關個人資料的查閱和處理的規定體現在第12條和第16條中，該條規定了資料主體的查閱權與參與權。
　　2001年，歐盟還出臺了《歐盟職能機構處理和傳播個人數據的專門規章》，以規范歐盟各職能部門對個人信息的收集和處理行為。
　　三、我國相關立法評析
　　我國法律未對隱私權的保護做出明確具體的規定，采取的是間接保護的方法，僅在一些法律、法規或規章中零散地規定我國金融機構負有保護金融服務消費者的資料的義務。
　　我國在1992年頒布的《儲蓄管理條例》中最早規定了銀行保密義務的法則。該條例明確規定儲蓄機構辦理儲蓄業務，必須遵循為儲戶保密的原則。
　　2003年新修訂的《中華人民共和國商業銀行法》在“總則”中把保護存款人的利益作為基本原則之一加以界定，具體的保護條款體現在第6條和“對存款人的保護”一章的第29條中。
　　2006年3月生效的《電子銀行業務管理辦法》第38條明確了金融機構向非銀行業金融機構交換或轉移部分電子銀行業務數據時，各方的數據保密責任。第57條規定了對金融機構的電子交易數據傳輸的安全性與保密性，以及所傳輸交易數據的完整性、真實性和不可否認性。
　　2006年7月生效的《證券登記結算管理辦法》第14條規定：證券登記結算機構及其工作人員依法對與證券登記結算業務有關的數據和資料負有保密義務。
　　2007年3月1日生效的《信托公司管理辦法》第27條規定：信托公司對委托人、受益人以及所處理信托事務的情況和資料負有依法保密的義務，但法律法規另有規定或者信托文件另有約定的除外。
　　由此可見，我國對隱私權的保護規定相對原則和單薄，缺乏系統性和相互協調性，且對金融隱私權的規定更是鮮見。
　　四、完善我國消費者金融信息安全保障制度的設想
　　
　　（一）構建金融服務業消費者金融隱私權
　　鑒于現代信息科學技術以及互聯網業務在銀行業的廣泛應用，不法分子針對網絡的攻擊和盜用金融消費者的網絡密碼及賬戶等新型金融信息安全問題的出現，可以將網絡信息保護歸入金融隱私權的立法中。在銀行法律體系中規定專門法規保障金融消費者的隱私權。
　　第一，明確規定金融信息隱私權保護的內容。清晰界定金融信息隱私權保護的信息的范圍，應包括：銀行等機構對客戶相關交易的記錄的信息，如交易人的姓名、地址、身份證號碼、賬號、支付命令、支付金額、日期、收益人等信息以及使用電子支付手段涉及的機密資料、個人隱私、交易的敏感信息、支付的信息等。
　　第二，明確規定責任條款。對當事人的權利遭到侵害時的救濟途徑、銀行等金融機構未按照所申明的目的使用信息、不當泄露資料甚至出售給第三方所應當承擔的法律責任等都應予以明確規定。明確銀行等金融機構及其工作人員未盡金融隱私權保護義務時應承擔的法律責任，包括責任內容、處罰、賠償標準等，對侵害金融信息隱私權的不法行為者追究民事責任甚至刑事責任。
　　（二）完善相應的金融行政監督管理
　　有效的金融行政監管可以更好地履行銀行業的安全保障義務，保障金融服務業消費者的安全權益。我國現行的銀行監管法制體系由《人民銀行法》、《商業銀行法》以及國務院通過的行政法規和中國人民銀行通過的規章幾部分組成。但存在以下問題：
　　首先，既有的金融監管法規對金融監管機構在金融服務業消費者安全保障方面的職責方面僅有原則性規定。應在重要的監管法規中確立保護金融服務業消費者安全的基本目標，并將保護金融服務業消費者安全作為銀行監管機構的職責之一。同時，中國人民銀行對網上銀行業務的監管尚處于起步階段，仍未系統全面地開展對網上銀行業務的現場檢查和非現場監測，這些都會影響消費者在接受銀行服務時的信息安全。在《人民銀行法》等相關法規中應對此進行完善，將網上銀行明確納入中國人民銀行、銀監會監管的對象中。
　　其次，金融服務業消費者安全保障的基本路徑——適當的投訴與受理機制欠缺。對于銀行業消費者關于安全權益的投訴問題，目前還沒有從自律或者強制性法律機制角度進行規范。在銀監會這類監管機構中，至今沒有一個部門專門負責金融消費者安全保障方面的事務。
　　從境外相關的金融監管實踐來看，英國“分離”式的監管模式，以及其參與解決金融服務業消費者損害的相關做法對我國都有著積極的借鑒作用。英國2000年頒布的《金融服務與市場法令》（Financial services and Markets Act）（簡稱FSAct）明確規定金融業管理局作為金融業的單一監管機構負責監管各項金融服務，同時設立申訴專員計劃和賠償計劃以處理金融服務業消費者的投訴，包括安全問題的投訴，為金融服務消費者提供了進一步的保障。這種“分離”式的監管模式把對消費者的安全保障納入到一個單獨的監管機構中，把與金融服務業消費者有關的安全保障職能賦予一個專門的金融機構來執行，更能制定出專業性的防控措施，而且專門的監管機構具有集中的財力、物力、權力，有助于協調各方力量，解決金融服務業消費者的安全問題。
　　我國可以借鑒英國解決糾紛機制的申訴專員計劃，在金融行政機構中設立一個由具有金融、法律專業知識的人士組成的、負責金融消費者安全保障的機構，來參與對消費者的救濟，通過專門制定保障措施，受理消費者對金融服務的申訴，并承擔教育消費者的職責，教導消費者識別關于金融詐騙，及如何避免受騙；教導消費者了解與安全相關的各項權利，如知情權、隱私權等，以及解決投訴的各種選擇等。
　　參考文獻：
　　1、SALBU S R.The European Union Data Privacy Directive and International Relations[J].35.VAND.J.TRANSNATL L.655-