王凌飛 陳亞楠 謝聲時

摘要:在現(xiàn)代社會,隨著金融全球化、金融一體化、金融信息化的迅猛發(fā)展,如何規(guī)制金融隱私權(quán)、如何在保障金融機構(gòu)營運自由與尊重個人隱私權(quán)之間尋求利益平衡也已成為世界各國隱私權(quán)立法保護中的重點。文章試從歐盟金融隱私保護法律制度入手,探析完善我國金融隱私保護法律制度的相關(guān)措施。

關(guān)鍵詞:歐盟;金融隱私保護;評價與啟示

一、金融隱私權(quán)的內(nèi)涵

金融隱私權(quán)(financial pri-vacy)是一個來自西方的概念,也可譯作“財務(wù)隱私權(quán)”,是個人對于本人金融資料(fi-nancial information)所享有的隱私權(quán)利,即個人控制收集、揭露和使用關(guān)于其本人金融交易或事務(wù)的權(quán)利。在消極方面,個人在與金融機構(gòu),包括與銀行機構(gòu)、證券機構(gòu)、保險機構(gòu)的交易中,有要求交易相對人不得任意透露信息的權(quán)利,可以對抗來自于第三人的不當(dāng)侵犯;在積極方面,個人可以請求交易相對人改正對其產(chǎn)生不當(dāng)影響的不實金融記錄,甚至在受到損害時要求賠償。

金融隱私權(quán)不同于以精神性利益為客體的通常的隱私權(quán),它與信息持有者的經(jīng)濟利益或財產(chǎn)利益緊密相連,是一種兼具人格權(quán)與財產(chǎn)權(quán)性質(zhì)的混合性商事權(quán)利,是商事倫理制度化的產(chǎn)物。一般地說,金融隱私權(quán)所涉及的個人金融信息包括:有關(guān)賬戶的信息,包括賬戶上所存款項、收支情況、資金來源和去向、賬戶記錄、信用卡的情況;有關(guān)客戶交易的信息,包括交易標(biāo)的、種類、性質(zhì)、內(nèi)容、價格、當(dāng)事人、時間等;銀行因保管客戶的賬戶而獲得的與客戶有關(guān)的任何信息,主要指客戶提供給銀行的個人信息,包括姓名、住址、電話號碼以及個人收入狀況等及客戶的衍生信息,即對客戶的金融信息進行分析的基礎(chǔ)上產(chǎn)生的主觀信息,如個人的交易習(xí)慣、消費偏好等。

二、歐盟金融隱私權(quán)法律制度及評價

歐盟對于所有行業(yè)的隱私保護實行同一標(biāo)準(zhǔn)。歐洲議會和歐盟委員會于1995年通過了《關(guān)于對個人數(shù)據(jù)處理中的個體予以保護以及這些數(shù)據(jù)的自由流動的指令》(Directive 95/46/EC on the protection of individu-alswith regard tothe processingof personal data and on the free movement of such data)(以下簡稱《指令》)?！吨噶睢酚袃蓚€目標(biāo),一是保證個人數(shù)據(jù)在網(wǎng)上的自由流動,另一個是為數(shù)據(jù)主體的隱私提供統(tǒng)一水平的保護。另外,《指令》規(guī)定,個人信息是指關(guān)于已識別或可識別的自然人即“數(shù)據(jù)主體”的任何信息;可識別的人是指可直接或間接地、特別是可通過識別號碼或其特定的生理、心理、經(jīng)濟、文化或社會身份等一個或多個因素而被識別的人。

(一)《指令》規(guī)定的金融隱私基本制度

1、保護范圍。(1)數(shù)據(jù)類型及處理形式。歐盟數(shù)據(jù)保護《指令》涵蓋的個人數(shù)據(jù)類型及處理形式比較廣泛,包括非財務(wù)數(shù)據(jù)、某些數(shù)據(jù)處理類型以及某些主權(quán)管轄范圍內(nèi)外的數(shù)據(jù)處理。關(guān)于金融數(shù)據(jù),《指令》的定義為“任何與一個被證實的或可以證實的自然人有關(guān)的信息”,同時它將“對個人數(shù)據(jù)的任何操作”也作為“數(shù)據(jù)處理”包含進來,使得數(shù)據(jù)保護法適用于幾乎所有數(shù)據(jù)處理操作類型,包括身份描述和身份分析。(2)地域范圍。為了防止大量個人信息被收集用以危害個人隱私,或者阻礙信息自由流動,歐盟《指令》覆蓋了廣泛的地理管轄范圍,包含了使用成員國或其管轄領(lǐng)土內(nèi)設(shè)備的數(shù)據(jù)控制者和處理者,還包含在第三國處理歐盟公民個人數(shù)據(jù)的情形。

2、數(shù)據(jù)主體對個人信息的存取權(quán)、獲得信息權(quán)和拒絕權(quán)。數(shù)據(jù)控制者或其代理人必須向其收集個人數(shù)據(jù)的數(shù)據(jù)主體提供有關(guān)控制者身份、數(shù)據(jù)處理目的的信息。每個數(shù)據(jù)主體均有權(quán)從控制者處獲取信息。數(shù)據(jù)主體有權(quán)以令人相信的有關(guān)其個人情況的合法理由隨時拒絕有關(guān)其個人的數(shù)據(jù)處理,有權(quán)拒絕控制者為直接營銷目的計劃進行的數(shù)據(jù)處理,或者有權(quán)在私人數(shù)據(jù)首次為直接營銷之目的向第三方披露前或代表他們使用前,得到通知,并可以明確地取得拒絕此類披露或使用的權(quán)利,且不承擔(dān)費用。

3、數(shù)據(jù)處理合法性原則。個人數(shù)據(jù)僅在下列幾種情況下方可處理:(1)數(shù)據(jù)主體毫不含糊地表明其同意;(2)為履行數(shù)據(jù)主體作為一方當(dāng)事人的合同,或在簽訂合同時經(jīng)數(shù)據(jù)主體請示為采取措施有必要處理時;(3)為履行約束控制者的義務(wù)有必要處理時;(4)為保護數(shù)據(jù)主體的重大利益有必要處理時;(5)為公共利益或者獲得接受信息披露的第三人正式授權(quán)而完成有關(guān)事務(wù),有必要處理時;(6)控制者為追求合法利益,有必要時。禁止處理敏感數(shù)據(jù),禁止泄露種族、政治觀點、宗教或哲學(xué)信仰、工會身份的私人數(shù)據(jù)的處理,并禁止有關(guān)健康和性生活的數(shù)據(jù)的處理。

4、數(shù)據(jù)質(zhì)量原則。《指令》規(guī)定了數(shù)據(jù)質(zhì)量原則。數(shù)據(jù)必須準(zhǔn)確地得到處理,收集數(shù)據(jù)必須是為特定、明確且合法的目的,數(shù)據(jù)收集和處理必須是相關(guān)的、不過度的。數(shù)據(jù)必須及時更新,數(shù)據(jù)保存不得超過必要的時間。

5、消費者對信息共享的控制標(biāo)準(zhǔn)。首先,在歐盟,數(shù)據(jù)的處理必須符合指定的用途。除非滿足某些條件以確保處理是“公平合法”,否則,不可隨意對數(shù)據(jù)進行處理、使用和轉(zhuǎn)移。如果用于非指定用途,數(shù)據(jù)控制者必須從數(shù)據(jù)主體那里得到明確的授權(quán),或者這種使用對于另外一些重要利益來說是必不可少的,如為了履行合同或者為了數(shù)據(jù)主體的“重大利益”。其次,在歐盟,消費者可以對向關(guān)聯(lián)方轉(zhuǎn)移數(shù)據(jù)進行選出(opt out)。金融機構(gòu)是多種行業(yè)的聯(lián)合大企業(yè),如綜合銀行,數(shù)據(jù)保護法允許在公司內(nèi)部各部門之間實現(xiàn)自由共享。歐盟《指令》對數(shù)據(jù)處理方與代理人之間的合約關(guān)系又多有限制,它特別規(guī)定,除非得到數(shù)據(jù)控制者的指示,否則數(shù)據(jù)處理者不得處理數(shù)據(jù)。此外,數(shù)據(jù)控制者對確保數(shù)據(jù)處理的安全負(fù)有最后責(zé)任。最后,歐盟《指令》規(guī)定,如果數(shù)據(jù)主體“明確表示同意”,則數(shù)據(jù)處理是合法的。

6、關(guān)于司法救濟、法律責(zé)任和制裁。數(shù)據(jù)主體在不影響任何有規(guī)定的行政救濟的情況下,有權(quán)向司法機關(guān)尋求救濟。任何人由于非法處理操作和任何違反根據(jù)該批示所采取的國家法律的行為而遭受損害時,有權(quán)要求損害賠償。各成員國應(yīng)采取適當(dāng)?shù)拇胧┮源_保該指示的全面實施,特別應(yīng)該制裁違反根據(jù)該指示所采取的規(guī)定的行為。

(二)對《指令》的評價

1、雖然《指令》第25條對數(shù)據(jù)轉(zhuǎn)移做出限制性規(guī)定,但是在一些國家沒有得到完全的履行,而且有證據(jù)表明歐盟金融機構(gòu)也在大量收集數(shù)據(jù)。雖然歐盟可能將防止數(shù)據(jù)轉(zhuǎn)移的理論上的權(quán)利視作一項重要權(quán)利,但是實際上,它也并不能為歐盟公民提供更多實際保護。那些由于經(jīng)營原因而決定大量收集信息的機構(gòu)總會找到收集的途徑。

2、《指令》規(guī)定,如果數(shù)據(jù)主體“明確表示同意”,則數(shù)據(jù)處理是合法的。但是,實際上,歐盟的國內(nèi)數(shù)據(jù)保護官允許一個選出的機制,只是對敏感數(shù)據(jù)保留選入的嚴(yán)格標(biāo)準(zhǔn)。歐盟《指令》并沒有明確規(guī)定構(gòu)成同意的形式,因而在成員國之間廣泛認(rèn)同選出標(biāo)準(zhǔn),而不是選入標(biāo)準(zhǔn)。因為對于金融機構(gòu)及其服務(wù)的人們而言,選入機制的成本太過高昂。

3、歐盟數(shù)據(jù)保護《指令》規(guī)定了數(shù)據(jù)主體的存取權(quán),但數(shù)據(jù)主體的查詢權(quán)實際上并沒有《指令》表面上所顯示的那樣廣泛。對一般查詢權(quán)有幾個重要的限制,包括查詢權(quán)不得構(gòu)成對數(shù)據(jù)控制者的不適當(dāng)?shù)呢?fù)擔(dān)。而且,個人信息查詢權(quán)不包括那些個人只是作為一個參與者而不是數(shù)據(jù)主體的檔案。統(tǒng)計數(shù)據(jù)表明,在歐盟,查詢需求量并不大。

三、我國的金融隱私保護法律制度現(xiàn)狀及其完善

(一)我國的金融隱私保護法律制度現(xiàn)狀

目前我國對于金融隱私權(quán)的保護仍然沒有專門的立法,最早規(guī)定銀行保密義務(wù)的是1992年的《儲蓄管理條例》第5條,該條規(guī)定“儲蓄機構(gòu)辦理儲蓄業(yè)務(wù),必須遵循為儲戶保密的原則”。此外,1995年《商業(yè)銀行法》第29條中規(guī)定:“商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)應(yīng)遵循為存款人保密的原則。對個人儲蓄存款,商業(yè)銀行有權(quán)拒絕任何單位或個人查詢、凍結(jié)、扣劃,但法律另有規(guī)定的除外”。雖然上述兩項規(guī)定都體現(xiàn)了銀行保密原則,但極為籠統(tǒng),簡單零散,側(cè)重于銀行對金融隱私權(quán)保護的義務(wù)規(guī)定,缺乏系統(tǒng)性和協(xié)調(diào)性,無法應(yīng)對現(xiàn)實情況的多樣性與復(fù)雜性,難以有效地保護客戶的金融隱私權(quán)。同時,我國也沒有明確的隱私權(quán)保護制度。目前,我國公民的個人隱私都是放在《民法通則》的名譽權(quán)下進行間接保護。2003年開始起草的《個人信息保護法》保護對象是公民的個人信息,即一切可識別為是特定自然人的屬人或?qū)偈碌男畔?當(dāng)然也包括公民的金融信息,但至今沒有出臺。如何保護金融隱私權(quán)成為我國法律界亟待解決的問題。

(二)完善我國金融隱私保護法律制度的相關(guān)建議

以《指令》為代表的歐洲模式是當(dāng)今世界個人資料保護的最高標(biāo)準(zhǔn)。歐盟實行一體化保護,不分行業(yè),隱私保護堪稱全世界最高水平。但是成員國在實際上對《指令》做出種種變通規(guī)定,法律上的文字規(guī)定和實際保護水平存在一定差異,實際上降低了《指令》的可執(zhí)行性。以此來看,從我國實際國情來看,我國立法保護金融隱私權(quán)應(yīng)以預(yù)防損害,而不是保證消費者個人信息控制權(quán)為首要目標(biāo),首先應(yīng)滿足比較低的金融隱私保護標(biāo)準(zhǔn),這樣既不至于給金融機構(gòu)的經(jīng)營管理以太大的壓力,又可以符合我國目前的國情。

1、我國應(yīng)該在民法中確認(rèn)隱私權(quán)保護制度,對其提供直接保護。我國對隱私權(quán)一直進行間接保護,這不利于保護我國公民的人格尊嚴(yán),也不利于公民金融隱私信息的保護。我國隱私權(quán)制度的確立已經(jīng)刻不容緩。在此基礎(chǔ)上,對金融隱私權(quán)立法。明確金融隱私權(quán)的內(nèi)容、金融隱私權(quán)保護的內(nèi)容、主客體及明確金融隱私權(quán)保護的例外情形和救濟機制等。我國目前的立法現(xiàn)狀是要制定一部《個人信息保護法》對個人信息進行統(tǒng)一保護。我國立法機關(guān)的統(tǒng)一立法模式是在認(rèn)真分析我國具體國情基礎(chǔ)上做出的正確選擇。但是,統(tǒng)一立法對金融信息的保護是遠(yuǎn)遠(yuǎn)不夠的。因為金融信息相比其他的普通信息具有特殊性,需要進行專門的法律規(guī)制。因此,我國的金融管理部門應(yīng)當(dāng)制定具體的實施細(xì)則配合《個人信息保護法》在金融領(lǐng)域的施行,規(guī)范金融領(lǐng)域個人信息的保護,盡快制定具體的實施細(xì)則。

2、要處理好金融信息權(quán)與政府知情權(quán)的關(guān)系。要明確規(guī)定信息持有人應(yīng)有的保護個人信息的權(quán)利。包括知情權(quán)、修改權(quán)和索賠權(quán)等。信息持有人有權(quán)要求保障其信息免受非法和不正當(dāng)使用的侵害,而且應(yīng)當(dāng)有決定何時、何地以何種方式與外界溝通其信息的主動支配權(quán);有權(quán)質(zhì)詢其信息如何收集、使用和管理,查閱、抄錄或者復(fù)制自身的有關(guān)資料,有權(quán)阻止某些個人信息的發(fā)布、轉(zhuǎn)讓、出售。應(yīng)采取措施保障客戶能夠及時知道關(guān)于自己資料的存在及內(nèi)容,以便其在必要時要求修正。同時,政府應(yīng)享有對于與國家利益相關(guān)的金融信息的全部知情權(quán)。

參考文獻:

1、陳永.歐盟和美國關(guān)于信息隱私保護的比較研究[J].北大國際法與比較法評論,2003(2).

2、Alfredo Sousa De Jesus.Data Protection in EUFinancial Services[J].ECRI ResearchReport,2004(6).

3、國家保密局法規(guī)處.德國荷蘭保密法律制度[M].金城出版社,2001.

4、程合紅.商事人格權(quán)論[M].中國人民大學(xué)出版社,2001.

(作者單位:中國人民銀行?？谥行闹?