金融隐私权保护制度亟待完善

我国金融隐私权保护的现状与问题

金融隐私权又称为财务隐私权，是指人们对收集、处理、披露和使用个人的金融信息所享有的权利。在网络和信息时代，客户在银行、证券、保险等金融业务中产生了大量具有财产利益的信息，以信用信息为核心，其安全性日益受到关注，金融隐私权问题成为传统隐私权新的实体内容。个人在金融领域中，对其被知悉和掌握的身份信息、交易信息和其他相关信息等，有隐私信息知情权、隐私隐瞒权、隐私选择权、隐私支配权和隐私维护权。从特点上来说，金融隐私权归根结底是一种人格权，它源自于人的人格尊严和价值要求，具有专属性，与权利主体人身不可分离。因此，权利主体有限制他人非法获取和披露其信息的权利、有自主支配其信息和允许他人使用的权利，当信息被不当泄露或被侵害时有寻求司法救济的权利。

当前，我国金融法制建设还处于初级阶段，金融隐私权还没有明确纳入现行法律之中，银行等金融机构对客户金融信息的保护义务还不够明晰，主要存在以下两方面的问题：

规范层面存在的问题

我国尚未制定个人信息保护法，宪法和民法通则中缺乏对隐私权保护的直接规定，对个人信息的保护主要依据对个人姓名权、肖像权、名誉权的规定。对侵犯公民个人信息的行为，民法通则规定了损害赔偿的民事责任，刑法规定了出售、非法提供及非法获取公民个人信息应承担的刑事责任。2005年中国人民银行颁布了个人信用信息基础数据库管理暂行办法，这是我国具体涉及金融隐私权保护的行政规章。2011年中国人民银行下发了关于银行业金融机构做好个人金融信息保护工作的通知，明确了个人金融信息的范围，就银行业金融机构收集、使用和对外提供个人金融信息行为作了具体规定，强调银行业金融机构应当建立健全内部控制制度，规定了客户金融信息保密例外的情况，对违反通知规定发生或可能发生未履行个人金融信息保护义务的行为设置了处理措施。中国人民银行、银监会等部门在其规章中针对电子银行、信用卡业务、非金融机构支付服务、银行外包业务等方面对银行客户个人信息保护作出规定。

总结前述内容，近几年我国关于金融隐私权保护日益重视，但存在的问题仍然很突出：（1）金融隐私权保护法律规定比较零散且笼统，没有专门立法。由于金融隐私权本身的特殊性及复杂性，现行民法关于一般隐私权的保护规定不能全部涵盖金融隐私权保护内容，银行、证券、保险等金融行业的分别立法模式和分行业各自监管的状况又进一步造成混乱，进行专门立法势在必行。（2）金融立法层级较低，没有引起各方当事人的重视。基本法律层面缺乏系统规定，银行等各金融监管机构通过一系列部门规章来进行规范，但由于法律层级低，监管规定中缺少有效适用的罚则，实践中并没有起到足够的法律规制效果。（3）金融隐私权保护措施的具体操作性不强。现行监管部门对金融机构违规泄露客户信息的处罚措施规定过于原则，缺乏具体条款，可操作性不强。

现实层面存在的问题

目前，由于银行等金融机构对客户信息的管理体制不健全，金融隐私权保护存在以下问题：（1）在收集、保存、使用、对外提供个人金融信息方面存在泄露和滥用。金融机构在信息收集问题上缺乏明确规定，存在收集信息过多、反复收集、缺少核查等问题。同时，在信息保存、利用环节由于法律义务不具体，也存在信息失密、被滥用甚至盗用现象。（2）风险管控管理架构不健全。当前，各金融机构一般未将客户信息保护作为重点纳入整体风险管理框架中。客户信息多头管理，未成立专门的客户信息风险管理领导机构，缺乏有效的制约机制，员工风险意识较为薄弱，基层金融机构信息管理漏洞尤为突出。（3）客户信息保护制度机制不完善。各金融机构在客户信息保护制度上更注重防范来自于外部的攻击，而忽视内部员工行为的规范管理，内部各部门之间信息管理权限不明确，缺乏业务流程和环节的刚性控制，导致内部查询审批制度形同虚设。同时，问责机制不明确，责任追究不到位。（4）与其他机构的业务合作管理不规范。金融机构相互间以及与第三方服务机构的合作日益增多，但是多数金融机构没有建立并落实对第三方合作机构的制约和担责制度，合同中为客户保密条款约束力较弱，对第三方机构人员行为和客户信息保护的控制缺乏刚性。

国外金融隐私权保护的启示

欧美国家对隐私权保护历史悠久，对金融隐私权保护有着较为完善的法律和制度规定。

美国在1978年颁布了金融隐私权法，规定了金融机构获取客户金融信息的途径、程序和方法，确定了金融机构保护客户金融隐私权的基本义务。1999年的金融服务现代化法，确立了隐私权保护的通知、选择、安全、市场公开、执行等五项基本原则。1976年的公平信用报告法，规范了消费者信用报告机构的基本义务、明确了消费者的相关权利，使得针对消费者的信用报告准确性、公平性有了法律保障。

欧盟与美国分行业保护隐私不同，它对于所有行业采用同一标准。欧洲议会和欧盟委员会1995年通过了关于对个人数据处理中的个体予以保护以及这些数据的自由流动的指令，为数据主体的隐私提供统一水平的保护。指令特别规定了数据主体的存取权、获得信息权、拒绝权和损害赔偿请求权。欧盟明确各成员国应采取适当的措施以确保该指示的全面实施，特别应该制裁违反该指示规定所采取的行为。

比较而言，美国在行业自律基础上力图构筑较为严密的金融隐私保护网络，规定了较完善的执行与补救程序，但金融隐私保护体制存在的最大问题是多个监管机构缺乏有效协调，不同的监管理念和监管目标会使监管效能降低。欧盟通过较为完善的金融隐私权系统立法为个人客户和信息收集、使用机构等提供了明确的法律指引，但对某些重要概念缺乏明确规定、纠纷解决方式缺乏权威性和缺乏独立的强力执行机构，使得金融隐私权法律保护的实际效果不尽理想。

美国与欧盟金融隐私权保护制度的不同，是历史文化传统和社会经济发展程度决定的。在未来的金融隐私权立法中，我国应立足基本国情：即要考虑经济发展的实际需要，重视相关行业利益的保护，也要充分重视个人隐私的保护。因此我国的金融隐私权保护模式，必须做好行业利益与个人利益的平衡。

我国金融隐私权保护的制度完善

当前，我国公民隐私权意识相对淡薄，一般隐私权保护的法律制度还不健全，金融隐私权保护区分行业、各自管理的现状已日显弊端。借鉴国外经验，我国应该完善相关立法，建立起在行业自律基础上的以行政监管为核心的金融隐私权保护体系，这种保护模式更符合我国国情。

完善相关法律规定

隐私权作为公民的一项基本权利，将其纳入宪法保护体系应是我们的长期目标。但在现阶段，在系统的个人信息保护的相关法律制定之前，可以根据民法通则、商业银行法等法律中有关公民信息保护的原则性规定，在基本法律层面对现有规定进行细化，对金融机构客户个人信息的采集、使用、保密及保密例外等环节作出详细规定。重点规范以下几个方面：（1）明确金融机构的告知义务。金融机构在与客户建立关系时，以及在此关系存续期间，必须以一定方式告知其掌握的客户信息、向关联机构或非关联第三方披露非公开个人信息的具体政策和程序。（2）明确客户的选择权。客户有选择拒绝金融机构将其非公开个人信息与非关联第三方共享的权利，金融机构应细化保证客户选择权实现的操作规定。（3）强化金融机构的信息安全义务。各金融机构对收集到的客户个人信息应保证其安全和秘密性，明确保密义务的例外规定，建立严格的执行程序规范。（4）明确金融机构的赔偿责任。法律应明确客户隐私权受到侵犯时的救济途径和金融机构的赔偿责任。

加强政府对金融隐私权保护的行政监管

政府对金融隐私权的行政监管并不是代表公权力的行政机关直接介入金融隐私权保护机制中，主要是在行业自律的基础上，给予一定的行政指导。具体包括以下方面：（1）指导建立完善的管理架构。明确将客户信息保护作为金融机构风险管理的重点内容，成立专门的信息风险管理监管机构和部门，建立有效的制约机制，有效避免监管主体缺失或者监管重复的现象。（2）指导建立金融机构客户信息保护的统一行业标准。政府依职权通过颁布法律规则、指引的方式，指导金融机构在客户信息保护使用管理等重点方面形成统一的执行标准，引导客户正确行使保护个人信息安全的权利。（3）指导构建系统性的客户信息保护机制。一是确立事前监督制衡机制。对客户个人信息的采集、使用、存储等方面做出明确规定，健全信息安全内控机制，明确金融机构内部各部门、岗位信息保密和管理权限，在业务流程各环节嵌入客户信息查询的审核批准制度。二是确立事后责任追究机制，金融机构在注重强调员工保密义务的同时，明确岗位问责机制，责任追究要到位。对第三方合作机构开展定期不定期检查，对于客户信息保护不力的机构应及时终止合作，并追究相应责任。（4）指导完善保密机制。金融机构应增强员工法律意识，加强保密教育，落实责任制，与员工签订安全保密责任书，与离岗人员签订安全保密承诺书；加强对保密要害部门、要害部位和工作人员的管理；加强对业务外包单位及合作单位工作人员管理，及时消除风险隐患；加强金融系统信息技术的科技含量，综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新，确保信息及信息系统安全。

金融机构在行政监管的指导下，通过行业自律对客户隐私进行保护，其深层内涵是在市场机制主导下对保护金融隐私的个人利益与信息利用的行业利益之间进行权衡和调整。监管机构进一步细化、完善金融隐私保护规则，同时完善监管的程序制度建设，这才能保证监管工作的实际效果。