金融隱私權保護制度亟待完善

我國金融隱私權保護的現狀與問題

金融隱私權又稱為財務隱私權，是指人們對收集、處理、披露和使用個人的金融信息所享有的權利。在網絡和信息時代，客戶在銀行、證券、保險等金融業務中產生了大量具有財產利益的信息，以信用信息為核心，其安全性日益受到關注，金融隱私權問題成為傳統隱私權新的實體內容。個人在金融領域中，對其被知悉和掌握的身份信息、交易信息和其他相關信息等，有隱私信息知情權、隱私隱瞞權、隱私選擇權、隱私支配權和隱私維護權。從特點上來說，金融隱私權歸根結底是一種人格權，它源自于人的人格尊嚴和價值要求，具有專屬性，與權利主體人身不可分離。因此，權利主體有限制他人非法獲取和披露其信息的權利、有自主支配其信息和允許他人使用的權利，當信息被不當泄露或被侵害時有尋求司法救濟的權利。

當前，我國金融法制建設還處于初級階段，金融隱私權還沒有明確納入現行法律之中，銀行等金融機構對客戶金融信息的保護義務還不夠明晰，主要存在以下兩方面的問題：

規范層面存在的問題

我國尚未制定個人信息保護法，憲法和民法通則中缺乏對隱私權保護的直接規定，對個人信息的保護主要依據對個人姓名權、肖像權、名譽權的規定。對侵犯公民個人信息的行為，民法通則規定了損害賠償的民事責任，刑法規定了出售、非法提供及非法獲取公民個人信息應承擔的刑事責任。2005年中國人民銀行頒布了個人信用信息基礎數據庫管理暫行辦法，這是我國具體涉及金融隱私權保護的行政規章。2011年中國人民銀行下發了關于銀行業金融機構做好個人金融信息保護工作的通知，明確了個人金融信息的范圍，就銀行業金融機構收集、使用和對外提供個人金融信息行為作了具體規定，強調銀行業金融機構應當建立健全內部控制制度，規定了客戶金融信息保密例外的情況，對違反通知規定發生或可能發生未履行個人金融信息保護義務的行為設置了處理措施。中國人民銀行、銀監會等部門在其規章中針對電子銀行、信用卡業務、非金融機構支付服務、銀行外包業務等方面對銀行客戶個人信息保護作出規定。

總結前述內容，近幾年我國關于金融隱私權保護日益重視，但存在的問題仍然很突出：（1）金融隱私權保護法律規定比較零散且籠統，沒有專門立法。由于金融隱私權本身的特殊性及復雜性，現行民法關于一般隱私權的保護規定不能全部涵蓋金融隱私權保護內容，銀行、證券、保險等金融行業的分別立法模式和分行業各自監管的狀況又進一步造成混亂，進行專門立法勢在必行。（2）金融立法層級較低，沒有引起各方當事人的重視?；痉蓪用嫒狈ο到y規定，銀行等各金融監管機構通過發布一系列部門規章來進行規范，但由于法律層級低，監管規定中缺少有效適用的罰則，實踐中并沒有起到足夠的法律規制效果。（3）金融隱私權保護措施的具體操作性不強?，F行監管部門對金融機構違規泄露客戶信息的處罰措施規定過于原則，缺乏具體條款，可操作性不強。

現實層面存在的問題

目前，由于銀行等金融機構對客戶信息的管理體制不健全，金融隱私權保護存在以下問題：（1）在收集、保存、使用、對外提供個人金融信息方面存在泄露和濫用。金融機構在信息收集問題上缺乏明確規定，存在收集信息過多、反復收集、缺少核查等問題。同時，在信息保存、利用環節由于法律義務不具體，也存在信息失密、被濫用甚至盜用現象。（2）風險管控管理架構不健全。當前，各金融機構一般未將客戶信息保護作為重點納入整體風險管理框架中。客戶信息多頭管理，未成立專門的客戶信息風險管理領導機構，缺乏有效的制約機制，員工風險意識較為薄弱，基層金融機構信息管理漏洞尤為突出。（3）客戶信息保護制度機制不完善。各金融機構在客戶信息保護制度上更注重防范來自于外部的攻擊，而忽視內部員工行為的規范管理，內部各部門之間信息管理權限不明確，缺乏業務流程和環節的剛性控制，導致內部查詢審批制度形同虛設。同時，問責機制不明確，責任追究不到位。（4）與其他機構的業務合作管理不規范。金融機構相互間以及與第三方服務機構的合作日益增多，但是多數金融機構沒有建立并落實對第三方合作機構的制約和擔責制度，合同中為客戶保密條款約束力較弱，對第三方機構人員行為和客戶信息保護的控制缺乏剛性。

國外金融隱私權保護的啟示

歐美國家對隱私權保護歷史悠久，對金融隱私權保護有著較為完善的法律和制度規定。

美國在1978年頒布了金融隱私權法，規定了金融機構獲取客戶金融信息的途徑、程序和方法，確定了金融機構保護客戶金融隱私權的基本義務。1999年的金融服務現代化法，確立了隱私權保護的通知、選擇、安全、市場公開、執行等五項基本原則。1976年的公平信用報告法，規范了消費者信用報告機構的基本義務、明確了消費者的相關權利，使得針對消費者的信用報告準確性、公平性有了法律保障。

歐盟與美國分行業保護隱私不同，它對于所有行業采用同一標準。歐洲議會和歐盟委員會1995年通過了關于對個人數據處理中的個體予以保護以及這些數據的自由流動的指令，為數據主體的隱私提供統一水平的保護。指令特別規定了數據主體的存取權、獲得信息權、拒絕權和損害賠償請求權。歐盟明確各成員國應采取適當的措施以確保該指示的全面實施，特別應該制裁違反該指示規定所采取的行為。

比較而言，美國在行業自律基礎上力圖構筑較為嚴密的金融隱私保護網絡，規定了較完善的執行與補救程序，但金融隱私保護體制存在的最大問題是多個監管機構缺乏有效協調，不同的監管理念和監管目標會使監管效能降低。歐盟通過較為完善的金融隱私權系統立法為個人客戶和信息收集、使用機構等提供了明確的法律指引，但對某些重要概念缺乏明確規定、糾紛解決方式缺乏權威性和缺乏獨立的強力執行機構，使得金融隱私權法律保護的實際效果不盡理想。

美國與歐盟金融隱私權保護制度的不同，是歷史文化傳統和社會經濟發展程度決定的。在未來的金融隱私權立法中，我國應立足基本國情：即要考慮經濟發展的實際需要，重視相關行業利益的保護，也要充分重視個人隱私的保護。因此我國的金融隱私權保護模式，必須做好行業利益與個人利益的平衡。

我國金融隱私權保護的制度完善

當前，我國公民隱私權意識相對淡薄，一般隱私權保護的法律制度還不健全，金融隱私權保護區分行業、各自管理的現狀已日顯弊端。借鑒國外經驗，我國應該完善相關立法，建立起在行業自律基礎上的以行政監管為核心的金融隱私權保護體系，這種保護模式更符合我國國情。

完善相關法律規定

隱私權作為公民的一項基本權利，將其納入憲法保護體系應是我們的長期目標。但在現階段，在系統的個人信息保護的相關法律制定之前，可以根據民法通則、商業銀行法等法律中有關公民信息保護的原則性規定，在基本法律層面對現有規定進行細化，對金融機構客戶個人信息的采集、使用、保密及保密例外等環節作出詳細規定。重點規范以下幾個方面：（1）明確金融機構的告知義務。金融機構在與客戶建立關系時，以及在此關系存續期間，必須以一定方式告知其掌握的客戶信息、向關聯機構或非關聯第三方披露非公開個人信息的具體政策和程序。（2）明確客戶的選擇權。客戶有選擇拒絕金融機構將其非公開個人信息與非關聯第三方共享的權利，金融機構應細化保證客戶選擇權實現的操作規定。（3）強化金融機構的信息安全義務。各金融機構對收集到的客戶個人信息應保證其安全和秘密性，明確保密義務的例外規定，建立嚴格的執行程序規范。（4）明確金融機構的賠償責任。法律應明確客戶隱私權受到侵犯時的救濟途徑和金融機構的賠償責任。

加強政府對金融隱私權保護的行政監管

政府對金融隱私權的行政監管并不是代表公權力的行政機關直接介入金融隱私權保護機制中，主要是在行業自律的基礎上，給予一定的行政指導。具體包括以下方面：（1）指導建立完善的管理架構。明確將客戶信息保護作為金融機構風險管理的重點內容，成立專門的信息風險管理監管機構和部門，建立有效的制約機制，有效避免監管主體缺失或者監管重復的現象。（2）指導建立金融機構客戶信息保護的統一行業標準。政府依職權通過頒布法律規則、指引的方式，指導金融機構在客戶信息保護使用管理等重點方面形成統一的執行標準，引導客戶正確行使保護個人信息安全的權利。（3）指導構建系統性的客戶信息保護機制。一是確立事前監督制衡機制。對客戶個人信息的采集、使用、存儲等方面做出明確規定，健全信息安全內控機制，明確金融機構內部各部門、崗位信息保密和管理權限，在業務流程各環節嵌入客戶信息查詢的審核批準制度。二是確立事后責任追究機制，金融機構在注重強調員工保密義務的同時，明確崗位問責機制，責任追究要到位。對第三方合作機構開展定期不定期檢查，對于客戶信息保護不力的機構應及時終止合作，并追究相應責任。（4）指導完善保密機制。金融機構應增強員工法律意識，加強保密教育，落實責任制，與員工簽訂安全保密責任書，與離崗人員簽訂安全保密承諾書；加強對保密要害部門、要害部位和涉密工作人員的管理；加強對業務外包單位及合作單位工作人員管理，及時消除風險隱患；加強金融系統信息技術的科技含量，綜合運用先進的防火墻、身份識別與認證、數據加密、數字簽名、第三方認證以及網絡安全監控等技術并及時更新，確保信息及信息系統安全。

金融機構在行政監管的指導下，通過行業自律對客戶隱私進行保護，其深層內涵是在市場機制主導下對保護金融隱私的個人利益與信息利用的行業利益之間進行權衡和調整。監管機構進一步細化、完善金融隱私保護規則，同時完善監管的程序制度建設，這才能保證監管工作的實際效果。