中图分类号:D90 文献标识码:A 文章编号:1003-1502(2015)02-0036-06
近年来,银行收费项目越来越多,银行卡手续费收入也大幅上涨。与收费的日益攀高相比,与之相配套的服务体系似乎离客户的期望尚有不小的差距,譬如储户质疑较多的金融隐私的保护问题。从屡屡曝出的客户金融资料泄露到最近湖南1500万存款丢失,[1]每一件事情的发生都触痛我们敏感的神经,都将金融隐私权保护的问题推到舆论的风口浪尖。那么究竟什么是金融隐私权?金融机构为什么要承担对客户金融隐私权保护的责任?我国应选择何种模式来保障金融隐私权的实现?这些问题将是本文讨论的旨趣所在。
一、金融隐私权保护的理论流变及其正当性基础
(一)金融隐私权保护的理论流变
1.义务理论
金融隐私权的法律保护最早起源于1924年英国的“图尔尼尔”案(Toumier),该案是金融隐私权保护的判例渊源,也开创了银行对客户的金融隐私权负有保密义务的判例法先河。该案中原告图尔尼尔因银行将其透支账户和可能是赌徒的信息透露给他的雇主,并导致其雇主拒绝延长与之将到期的劳务合同而将银行告上法庭,起诉银行违反保密义务。法院援用“默示条款”理论认定,被告银行的行为没有履行对客户金融隐私的保密义务,应当承担赔偿责任。在此案中,银行承担保密义务是基于银行与客户之间的契约关系,即源于“客户在银行开户或银行同意客户开户”。[2]而在1961年的“彼特森”案(Peterson)中,美国法院确认了银行保密义务是银行与客户之间契约的默示条款。该案中,银行未经彼特森许可,向他的雇主(一家金融公司)披露了他曾开出不被承兑支票的事实。彼特森遂以银行没有履行对其金融隐私保密的义务为由向法院起诉。美国法院基于银行对客户金融隐私保密义务是双方间契约的默示条款做出判决。可见,在早期的判例中,保护个人的金融隐私权是与其建立契约关系的金融机构的一项义务,体现的是一种被动保护的方式,离开这种契约关系,客户的金融隐私权的保护就无从谈起。
2.权利理论
虽然英美国家早期的判例确认了银行对客户信息的保密义务源于双方契约间的默示条款,但现实中还存在大量这样的情形:客户与银行并未缔结合同,还未形成实质意义上的契约关系,此时发生银行泄露客户金融信息的情况,客户如何维护自身的权利?这一问题在“蒂尔瓦扎德”案(Diowharzadeh)的判决中得到了解决。在此案中,原告在申请贷款的过程中向银行提交了欲购买房产的价格,而银行信贷员将这一信息透露给了银行高层管理人员的亲属,使其提前购买了该房产。在初审原告败诉的情况下,上诉法院认定银行的行为尽管没有合同及默示条款上的义务,但是违背了侵权法上的义务,构成了对原告的侵权。从合同的默示条款到侵权责任,从被动保护到主动保护,体现了法制的一大进步。
在权利与义务的关系中,权利是目的,义务是手段,法律设定义务的目的在于保障权利的实现。因此,从某种意义上而言,对个人金融隐私权的保护从义务理论到权利理论的嬗变反映了社会的文明发展程度。加强对个人金融隐私权的保护,体现了尊重和保障人权、对人的价值和自由发展的终极追求。
(二)金融隐私权保护的正当性基础
如前所述,金融隐私权保护的理论渊源经历了从义务理论到权利理论的演进,但是,我们在强调对个人金融隐私权保护的同时,也面临着一个必须回答的问题,那就是金融机构为什么要承担保护个人金融隐私权的责任,即个人金融隐私权保护的正当性的问题,对此我们可以从以下三个方面来认识。
1.保护个人金融隐私权是对契约关系的尊崇
金融机构与客户之间存在的是一种契约关系。这种契约关系的一大特点就是许多规范双方行为的标准和条件并不明确写在双方签订的契约之中。如金融机构对个人金融隐私权的保密义务就被认为是双方契约的默示条款,即无论双方在契约中是否明确约定,金融机构均负有此项义务,这也构成了金融机构与客户相互责任的重要内容。而金融机构作为营利性组织,必须对这种责任要求做出回应。从这个意义上讲,金融机构应遵守这种契约规定,承担保护个人金融隐私权的责任,这是它为了实现其营利目的而必须对契约关系表现出的一种尊崇。
2.保护个人金融隐私权是对金融机构强势地位的制约
从法律性质上看,金融机构与个人的合同属于格式合同的范畴,合同的所有条款都由金融机构单方面制定并提供给个人,个人“要么接受,要么离开”。银行正是利用这种双方不对等的缔约关系,排除了双方就合同的条款进行协商的可能性。从“彼特森”案和“蒂尔瓦扎德”案,我们不难发现,法院在判决理由的阐述中均使用了“缔约能力不平等”的表述,认为在原告与银行之间存在着不平等的关系,要求银行承担对个人金融信息的保密义务,这是一种在法律上对弱势群体权益的倾斜。在个人与金融机构进行交易的过程中,作为经营者的金融机构其利益形态和作为消费者的个人利益形态是不同的,甚至在很大程度上是对立的,正是这种不对等的谈判能力使银行处于相对的强势地位,而个人被置于信息暴露的劣势处境。现代社会频频出现个人信息泄露的情形,很大程度上是源于以银行为代表的金融机构不当利益的攫取和对个人金融信息保密的漠视。因此,不论是判例法还是制定法,都应当体现这种维护公平正义的理念,在实践中将金融隐私权的保护作为平衡双方不平等地位、制约金融机构强势地位的有力武器,进一步实现金融服务领域的公平正义。 3.保护个人金融隐私权体现了私权对社会公共利益的抗衡
在权利与权力的关系中,公民的权利是国家权力的源泉,也是国家权力配置和运作的目的和界限,即国家权力的配置和运作,只有为了保障主体权利的实现和权利冲突的协调,才是合法和正当的。[3]由于金融行业的特殊性,从某种意义上来说国家针对这一行业制定的相关政策或采取的相关措施,绝大部分是基于国家的安全或社会公共利益的需要,虽然这些利益最终也是为了实现公众的个人利益,但是决不能因此而忽视甚至侵害个人的现实利益。社会公共利益作为现代社会的价值取向之一打破了“私权神圣不可侵犯”的私法禁忌,已为绝大多数国家所接受并纳入本国的法治理念中。从现代国家的法律实践看,社会公共利益总是处于被优先保护的地位。[4]然而,法律对社会公共利益并没有明确的界定,对于社会公共利益的保护是否应高于一般的个体利益的保护等问题也缺乏更为深入的研究。概念和规定上的模糊必然给法律实践带来不少的难题,导致有权机关假借社会公共利益之名行侵犯个体利益之实的事件屡屡发生。金融隐私权作为传统隐私权的延伸,其在本质上是公民的私权利,赋予个人对其金融信息进行控制和支配的权利,有利于平衡私权与社会公共利益的权益关系,保障私权的实现,从而进一步体现协调私权与社会公共利益相互冲突的价值。
二、金融隐私权的内涵及属性定位
(一)金融隐私权的内涵
金融隐私权的出现是传统隐私权的内涵与外延不断扩展的结果,反映了随着社会的发展和社会观念的变化,个人面对以银行为代表的各种金融机构的强势地位,对保护个人的金融信息的迫切要求。因为这些信息不仅涉及个人不希望被他人获知的隐私,更为重要的是具有非常高的经济价值,保护不力极有可能造成个人财产上的损失。而起源于西方国家的金融隐私权,长期以来并未形成一个明确的概念。美国1978年《金融隐私权法》和1999年《金融服务现代化法》都没有对金融隐私权的定义做出说明。作为从一般隐私权基础上发展出来的金融隐私权,其必然具有一般隐私权的一些特征,同时也因为所处领域和调整对象的不同而呈现出特殊的情形。因此,笔者认为,金融隐私权是指在金融服务领域个人对其金融信息所享有的不受他人非法干涉并进行自我支配的权利。
(二)金融隐私权的属性定位
根据上述对金融隐私权内涵的界定,其属性也呈现出三个看似相悖实则统一的特征。
1.兼具人格权属性与财产权属性的金融隐私权
个人与银行等金融机构往来过程中不可避免地会提供给对方自身的信息资料,这里面涉及个人的姓名、住址、家庭电话、工作单位、子女情况、财产情况等方方面面的信息。这些信息首先具有很强的人格性,如个人信息泄露后接到一些公司推销产品的电话,导致个人的私生活被干扰,或被他人披露自身不愿为人知的隐私造成精神上的痛苦等等。其次,在信息技术日益发达的今天,金融信息作为一种私人信息,其经济价值已经获得极大的提升,原因在于这些金融信息大多涉及客户的具体财产信息,与客户的财产内容紧密相关,并且由于计算机和互联网的发展,对这些信息加以整合,可以在商业上创造一种获取利益的机会,具有巨大的商业价值和社会利用价值。因此,现实生活中,个人金融信息一旦泄漏,轻则导致人们的个人生活受到干扰,如接到骚扰电话等,重则遭受巨额经济损失。正如有学者认为,金融隐私权的独特权利属性就在于,它与信息持有者的经济利益或财产利益紧密相连,是人格权利和财产权利的有机统一。[5]
2.兼具绝对权属性与相对权属性的金融隐私权
就权利的义务主体而言,隐私权以不特定的一般人为可能的义务人,是一项绝对权。笔者认为,作为隐私权的下位权利,金融隐私权具有绝对权的属性,同时也呈现出相对权属性的特点。之所以这样说,一是因为金融机构的社会职能决定了其是各类信息的集散地,在开展业务的过程中直接接触个人的金融信息并且有义务采取有效的措施来保障这些信息的安全。一旦出现金融信息的泄露,金融机构首当其冲应当被追究合同上的责任。二是金融机构与个人之间在缔约能力上存在着明显的不平等地位,个人的金融信息被侵犯,涉及的对象可能众多或者不确定,就此追究各个相关者的责任显得尤为困难。因此将保护金融隐私权的义务主体确定为金融机构,有利于个人在金融领域权益的最终实现。
3.兼具积极性与消极性的金融隐私权
依据大陆法系的传统权利理论体系,隐私权是一项消极的防御性权利,常常表现为权利被侵害之后的一种事后救济。然而,随着科学技术的发展,信息传播手段的多样化、复杂化,个人的金融信息面临侵权所造成的损失日益加大和难以弥补,事后救济已经不能充分提供对个人资料的保护,前置保护势在必行。[6] 金融隐私权概念的出现,实质上是个人对金融领域自身隐私的保护提出的更高要求,是传统的消极隐私权发展为现代积极隐私权的结果。换言之,金融隐私权既是一种消极性的防御权利,又是一种积极性的能动权利。其消极性在于,金融机构依法负有保护个人金融信息不被他人非法侵扰、知悉、收集、利用和公开的义务;其积极性在于,个人对其金融信息可以自由支配和控制,侧重于对他人非法搜集和披露个人金融信息的限制和与自身在金融领域产生的相关信息的支配。如在银行与客户之间的业务往来中,银行客户有权随时了解个人的账户基本情况、资金往来记录、信息安全与否以及银行在保护个人金融信息时采取了哪些有力措施,这些均有助于真正实现个人对自身金融信息的自主。
三、世界主要国家金融隐私权保护的模式分析
(一)美国――分行业保护模式
美国在金融隐私权保护方面有着悠久的判例渊源和较全面的行业立法,从保护模式来说,美国对金融隐私权的保护采用了分行业保护模式,即对金融领域进行单独立法。这一模式的确立有着深刻的社会背景,作为信息产业大国,美国更看重信息的自由流通与利用,担心制定囊括各行各业的个人信息保护法,会对有关行业造成致命性打击,最终妨碍信息经济的健康发展。[7]因此对于金融隐私权的保护,美国人思考的是个人的隐私权利益与社会组织或社会利益相冲突的问题。从1972年《金融隐私权法》,到1976年《公平信用报告法》以及1999年《金融服务现代化法》,随着社会经济在各个发展阶段上的变化,美国适时制定了各种分散的保护金融隐私权的法律制度,并辅以各个州的法规、金融行业自律机制、行为规则等,[8]在个人金融信息的收集和利用上他们更喜欢“选退”标准,即金融机构可以把从信息主体处获得的信息予以出售或与其他机构分享,除非该信息主体明确表示反对。美国的模式有利于在有限保护个人隐私的前提下充分促进信息的自由流通。但是这种模式在促进市场高效运行的同时,也在社会上产生了诸多不良影响。一方面,美国联邦政府在收集个人金融信息过程中权力过大,特别是联邦调查局等机构所拥有的权力仍然相当广泛;另一方面,分散式的立法使得不同的信息涉及不同的法律,法律的适用过程变得十分复杂,保护的充分性减弱。 (二)欧盟――综合保护模式
较之美国分行业保护的模式,欧盟及其成员国更加注重对个人金融信息的全面保护,且实行统一标准,使得在保护个人信息时对人格尊严的保障被放在了举足轻重的位置。在1995年欧盟出台了《关于个人资料处理及自由流通个人保护指令》,这一指令被普遍认为是欧盟最重要的金融隐私权保护法。该指令的立法目的在于:首先,为了保证个人资料在欧洲共同体内的自由流通,各成员国应当根据本指令保护自然人的基本权利和自由,尤其是个人数据处理过程中的隐私权;其次,各成员国不得以与第一点所提供的保护相关的理由限制或禁止个人数据在成员国之间自由流动。 [9]并且在个人金融信息的收集和利用上采用“选入”标准,即除非信息主体明确表示同意,金融机构不能将从信息主体处获得的信息予以出售或与其他机构分享。可见,根据欧盟上述相关立法的要求,国家权力在个人信息的保护中起着主导作用,[10]也就是说,欧盟国家在个人金融隐私权保护方面采取了国家立法主导的方式,体现了欧盟金融隐私权保护立法的显著特色。不过,欧盟的金融隐私权保护法律框架也有许多致命的缺陷,主要存在以下两个方面:“第一,《个人数据保护指令》没有发挥预期的作用,反而加重了数据处理机构的负担,也没有给个人带来相应的好处;第二,各国法律之间协调不够,造成了大量法律之外的问题。”[11]在各国之间经济交往越来越频繁的今天,这种模式客观上也阻碍了个人金融信息的自由流通。
四、我国金融隐私权保护的路径选择
2010年7月1日施行的《中华人民共和国侵权责任法》,在第2条第2款中明确指出,本法所称民事权益涵盖了隐私权等19项权利。这是我国法律第一次明确规定“隐私权”,并且对网络和医患关系中泄露他人隐私应承担侵权责任做出了规定。这一条文的出台对于隐私权在我国的发展无疑具有深远的意义,是立法上的一大进步。但与此同时,也应当看到我国法律关于隐私权的规定比较单薄、缺乏系统性。对于尚属于起步阶段的隐私权,金融隐私权的保护显得尤为困难。我国目前尚无专门的金融隐私权保护法,仅在零散的法律条文中有所涉及,如我国《商业银行法》第29条、第53条规定;《证券法》第38条,中国人民银行颁布的行政规章《银行卡业务管理办法》第52条第7款。这些条文仅对金融机构保护客户隐私权的义务做出了原则性规定,且无相应的罚则,对于客户在权利被侵犯时的救济手段乏力。立法的不确定必然会带来司法上的空白,使得现实中的很多案件因为缺乏法律依据而审理的过程举步维艰。因此我们有必要在分析世界主要国家保护金融隐私权的立法模式的基础上,探究合乎我国国情的金融隐私权保护路径。
(一)宏观上路径选择
不论是美国的分行业保护模式还是欧盟统一保护的模式,其确立都体现了各自的法律文化、历史和法律实践,都有其合理的地方。作为第三方,比较好的选择是借鉴这些国家的丰富经验,并结合我国普遍缺乏隐私保护的文化和实践这一现实做出具体的制度设计。针对我国缺乏保护金融隐私权的法律传统,实践中保护方式和水平与英美等主要国家还有较大差距的现状,笔者认为,我国应吸取分行业保护模式和综合保护模式的优长,因地制宜,尽快制定个人信息保护法作为我国个人信息保护的基本法,并借鉴美国保护金融隐私权的理念,在现行的法律法规中完善保护个人金融隐私权的规定,加强金融行业的行业自律,在预防损害个人金融隐私权的基础上实现个人对其金融信息的控制与支配。在个人隐私权可能受到侵害的地方,立法应进行重点保护,为金融隐私权的保护构建出一个基本的框架。与此同时,修订我国现行部门法关于保护客户金融隐私权已有的相关条款,待时机成熟后可考虑在金融领域制定统一的金融隐私权保护法。这样可以有效兼顾行业与个人的利益,法律可操作性更强。
(二)微观上的路径选择
1.明确个人金融隐私权保护的范围
我国新的保护金融隐私权的法律体系首先必须明确金融机构对个人金融信息保护的范围。在具体的认定上,既不能过于宽泛,也不能过于狭窄。笔者以为,一般应包括以下三类:第一,个人的身份信息,比如个人的姓名、身份证号、通讯地址、联系方式等信息。虽然这类信息在现实生活中往往处于较为公开的状态,但是对这类信息进行不当搜集、使用或传递也可能给个人带来较大困扰。比如一些公司从银行获取个人的基本资料后,不断通过电话和邮件进行推销,破坏了他人私生活的安宁。第二,个人的交易信息,这是最重要的金融信息,包括:交易的时间、内容、种类、价格等。这些信息直接反映了个人的资产情况和信用情况,是其经济水平的重要体现,通常出于多种因素的考虑,个人也希望其处于私密的状态。第三,个人的衍生信息,即金融机构在保管个人账户的过程中获得的与之有关的任何信息。金融机构记录了大量个人在资金往来方面的许多细节,对这些细节进行分析可能获知个人的消费习惯、消费偏好,甚至可能推测出个人的职业背景、交际圈子等。这些信息与个人的生活息息相关,理应受到法律切实的保护。
2.明确个人金融隐私权保护的例外情形
我国目前金融隐私权保护的例外情形仅限于法律或行政法规的规定,笔者认为,应借鉴欧美国家的实践与立法,将我国的金融隐私权保护的例外情形扩展为以下四个方面的内容:源于法律或行政法规规定的例外情形,即法律或行政法规规定了一些应公开的金融信息从而限制金融隐私权的情形;维护国家利益需要产生的例外情形,即当金融信息涉及国家利益时,应在保障国家利益的前提下维护金融隐私权,以确保国家利益的优先实现;出于社会公共利益的考量产生的例外情形,即当金融隐私权的行使涉及社会公共利益、公共需求时,法律应偏向于后者;客户同意下的例外情形,即当金融机构取得客户明示或默示同意后,其披露金融信息的行为就不构成对金融隐私权的侵犯。同时在当事人利用例外情形进行信息公开或获取信息时,为了保证信息公开的合理性及取得的合法性,必须对信息的公开与取得规定严格的程序,以通过程序的正义来实现实质上的正义。[12]如对侵犯金融隐私权的相关行为采取的查询、冻结和扣划等执行协助方面应加以严格规定;对犯罪行为的认定必须基于充分、有效的证据,而非主观上的臆断,应由执法者承担举证责任等。 3.法律责任的重构
为了使个人的金融隐私权得到切实的保护,我国新的立法必须对目前的法律责任形式规则进行重构。保护金融隐私权的法律体系所涉及的法律责任有民事责任、行政责任以及刑事责任。而现实中各国的立法往往以行政责任或刑事责任为主,民事责任较少适用。应当指出的是,对个人金融隐私权的保护立法中,固然应当对侵害个人金融隐私权的行政责任和刑事责任给予应有的关注,但绝对不能因此而忽略民事责任条款的合理设计。笔者认为,我国应摒弃重行政处罚及刑事处罚、轻民事归责的传统做法,重新审视民事侵权责任在金融隐私权保护中的地位,并在实践中依法适用,从而为金融隐私权制度的确立奠定基础。
