长期以来,各国的金融监管都以金融稳定为首要目标,而较少考虑金融消费者隐私保护的问题。2008年美国次贷危机引爆了全球金融危机,金融监管的漏洞得到了放大式的呈现,各国纷纷出台金融改革方案以应对危机,金融消费者的隐私保护也因此被提到了前所未有的高度。
一、金融消费者隐私保护的理论基础
(一)金融消费者
金融消费者是消费者在金融领域的延伸,因此,理解消费者是界定金融消费者的前提。我国《消费者权益保护法》第2条规定“消费者为生活消费需要购买、使用商品或者接受服务,其权益受本法保护”。由于金融消费者是金融领域的消费者,因此,金融消费者的定义可以借鉴消费者的定义,即为生活消费需要购买、使用金融商品或者接受金融服务的自然人。
明确了金融消费者的定义,随之而来的第二个问题是,部分金融交易主体以投资为主要目的,他们是否应被纳入金融消费者的保护范围?在回答这个问题时,我们要摈弃非此即彼的思维模式,金融消费者和个人投资者是自然人在金融领域的两种身份,是在同一金融领域,甚至是同一金融活动中形成的两种不同法律关系下的身份,[1]不能因这部分金融交易主体具有投资性而否定其消费者的身份。
此外,无论是一般金融消费者,还是个人投资者,其经济实力与专业化程度都无法与拥有庞大的组织机构和各类专业人才的金融机构相比。[2]随着金融市场的发展,创新金融产品不断涌现,购买者一般不具备专业知识,很难对这些金融产品的性质和风险做出准确的判断,金融机构很可能利用双方严重的信息不对称,隐匿相关信息,误导甚至欺诈交易方。[3]从这个意义上来讲,个人投资者与一般金融消费者没有本质区别,他们都在金融交易中处于绝对劣势的地位,因此,个人投资者应被纳入金融消费者的保护范围。
(二)金融隐私权
金融隐私权是隐私权在金融消费者这一特殊群体上的具体体现,是指金融消费者对其与信用或交易相关的信息所享有的控制支配权。法学界和金融界普遍认同美国《金融服务现代化法案》对金融隐私的界定,它包括:(1)消费者向金融机构提供的信息;(2)金融机构从与消费者进行的任何交易或向消费者提供的任何服务中所获得的信息;(3)金融机构从其他途径获得的任何信息。金融隐私权在消极方面表现为,金融消费者有权对自己的金融隐私进行隐瞒,使其不为人所知,并且在自己的金融隐私权受到非法侵害时,有权寻求司法救济。在积极方面,金融隐私权表现为,金融消费者有权对自己的个人信息进行积极使用,自主决定是否允许第三人知悉和使用其个人信息。
金融隐私权属于隐私权,又具有不同于传统隐私权的属性特征。传统隐私权属于人格权,不具有财产属性,而金融隐私指向的是具有财产利益的信息,以信用信息为核心,包括信息所有人经济与财产交易状况方面的信息,[4]是人身权利与财产权利的有机统一。金融机构可以通过所掌握的消费者个人信息,来了解消费者的资产状况、信用等级、投资偏好、潜在需求等,作为其经营决策的依据。因此,金融机构过度收集和不正当使用消费者信息存在强大的经济动因。此外,随着信息技术的不断发展,批量处理和传递个人信息变得轻而易举,金融隐私权被侵犯的危险也日益增加,在此背景下,研究金融隐私权保护具有重大的现实意义。
二、金融消费者隐私保护的国外实践
在金融消费者隐私保护方面,美国和欧盟有比较悠久的历史,并形成了比较完善的法律体系。下文分析比较了欧美金融消费者隐私保护的法律制度,以期为我国金融消费者隐私保护制度的完善提供借鉴。
(一)美国金融消费者隐私保护的法律制度
美国对于金融消费者隐私的保护基本上形成了完整的法律体系。1970年通过的《银行保密法》明确了银行为客户保密的原则。1978年美国国会通过了《金融隐私权利法案》,该法案旨在保护客户隐私,限制联邦政府获得银行客户信息和记录的权力,规定了联邦政府获得银行客户信息和记录的途径、程序及例外情况。1976年通过的《公平信用报告法》规范的对象是消费者信用调查报告机构以及消费者信用调查报告的使用者,该法案规定了消费者有了解信用调查报告的权力,并规范了消费者信用调查报告机构对报告的制作、传播等事项。[5]1999年美国国会通过了《金融服务现代化法案》,该法案设专章规定了对金融隐私的保护,构成了美国金融隐私权保护的主要规则。
除上述美国联邦法律外,美国州法、金融行业自律规则、行为准则和市场机制等也对金融消费者隐私的保护发挥了重要的作用。[6]在比较完善的法律框架下,美国主管当局主要是通过鼓励金融机构的自律,促进金融机构的内部完善来实现保护金融消费者隐私的目标。
(二)欧盟金融消费者隐私保护的法律制度
欧洲国家由于二战等特殊的历史背景,历来有保护隐私的法律传统。1995年,欧盟通过了《关于对个人数据处理中的个体予以保护以及这些数据自由流动的指令》,这是欧盟在个人信息领域的第一个统一性立法。该指令有两个目标,一是对数据主体的隐私提供统一程度的保护,二是促进个人数据的自由流动,它规定了个人数据处理合法性的一般规则,围绕数据主体和数据处理人的权利与义务构筑起了对个人数据隐私的法律保护网。
1997年,欧盟又颁布了第二个《数据保护指令》,以解决1995年《指令》在实际执行中存在的问题。《数据保护指令》明确规定了数据的收集和处理程序、数据的收集范围、数据处理者的责任,并要求数据处理人在进行任何的数据处理活动前都必须通知有权的国家监管机关,[7]成为欧盟个人数据保护法律体系的核心规范。 (三)欧美金融消费者隐私保护比较
由于历史文化和法律传统不同,美国和欧盟在金融消费者隐私保护方面存在差异。从保护范围的角度来看,欧盟《数据保护指令》中受保护的“个人数据”所含信息的范围比美国《金融服务现代化法案》中“非公开个人信息”的范围要广,这是因为美国针对不同行业各自的特点,分别做出隐私保护的规定,而欧盟对于所有行业的隐私保护实行同一标准,将金融隐私纳入个人数据的范围之内给予保护。从保护方式的角度来看,美国对金融消费者隐私的保护主要采取自律方式,依靠金融机构的自我约束和内部完善来实现,体现更多的灵活性和适应性。欧盟则主要采用政府管制的方式来全面保护金融消费者的隐私权,根据欧盟《数据保护指令》,各成员国必须建立独立的监管机关管理个人数据保护事务,并且数据处理人在进行任何的数据处理活动前都必须通知有权的国家监管机关。欧盟通过统一的立法确立了政府管制的保护方式,体现出更多的严谨性。
三、我国金融消费者的隐私保护:现状与对策
(一)现状与问题
在金融隐私权的保护方面,我国尚无专门的立法,仅有零散的相关法律规定。这些法律规定非常简单笼统,无法应对复杂多变的现实情况,缺乏可操作性。如我国《商业银行法》第29条第1款规定,商业银行办理个人储蓄存款业务,应当遵循为存款人保密的原则。该条虽然确立了“为存款人保密”的原则,但缺乏相应的制度。又如,《商业银行法》第53条规定,商业银行的工作人员不得泄露其在任职期间知悉的国家秘密、商业秘密。但该条没有对国家秘密和商业秘密做出明确的界定,如果根据《反不正当竞争法》中“商业秘密”的定义来判断,则金融消费者的个人信息显然不属于商业秘密,从而被排除在保护范围之外。
另一方面,我国金融消费者的隐私权缺乏有效的救济手段。如我国《商业银行法》第87条规定,商业银行工作人员泄露在任职期间知悉的国家秘密、商业秘密的,应当给予纪律处分;构成犯罪的,依法追究刑事责任。可见我国法律更多的是从行政责任和刑事责任方面来追究侵犯金融隐私权的行为,这种以行政责任和刑事责任为主,以民事责任为辅的责任体系,会导致金融消费者在其金融隐私权遭受侵犯时无法及时得到应有的救济。
(二)启示与建议
欧美保护金融隐私权的理论和实践对我国金融消费者隐私保护制度的完善具有重要的借鉴意义。鉴于目前我国金融消费者隐私保护的水平还比较低,一时很难达到欧盟高水平的一体化的保护标准,我们可以借鉴美国的隐私保护模式,在金融消费者的隐私权容易受到侵害的领域,立法进行重点保护,兼顾行业利益和个人利益。具体而言,可以从以下两个方面加以完善:
第一,清晰界定金融隐私权保护的信息范围。金融隐私权保护的信息范围应当包括银行等机构对客户相关交易记录的信息,涉及交易人的姓名、地址、身份证明、账号、以及支付命令,包括支付人、支付金额,支付日期和受益人等信息。[8]在具体的法律规定上,既不能过于宽泛,也不能过于狭窄,要注意与反洗钱制度、反恐制度、信息披露制度等的协调。
第二,明确权利救济机制。在公力救济上,改变我国目前以行政责任和刑事责任为主,以民事责任为辅的责任体系,明确规定侵害金融隐私权的民事责任承担方式,使其具有可操作性。在私力救济上,建立金融隐私权纠纷解决的ADR机制。在纠纷发生之后,金融消费者与金融机构可直接协商,协商无效时再向监管机构投诉。在监管机构发现金融机构有侵害金融消费者隐私权行为的,可以采取包括签订书面协议、勒令停止运行、禁止某类活动等措施。[9]只有权利救济机制得到了完善,金融消费者的隐私权才不会成为镜中月水中花。
