关于完善个人金融信息保护法律体系的思考,本文主要内容关键词为:法律体系论文,金融论文,信息论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
在利益驱使下,越来越多的商业机构或个人采取种种手段获取他人的金融信息,加之部分金融机构保护意识和能力不强,导致近年来个人金融信息侵权行为时有发生,已引起社会广泛关注。
造成侵权行为发生的一个重要原因是,目前我国尚无一部专门的法律对个人信息特别是个人金融信息的收集、使用、披露等行为进行规范,难以追究相关人员法律责任。如果客户个人金融信息遭受侵害后得不到有效救济,势必影响社会公众对金融行业的信心,制约金融行业的持续健康发展,甚至可能引发潜在的金融风险,影响区域乃至一国的金融稳定。因此,从法律层面加强对个人金融信息的保护,是保证个人信息安全、维护个人权益和金融稳定的重要课题。
我国个人金融信息的法律保护现状
目前,我国个人信息保护力度相当薄弱,尚未设立专门的个人信息保护法,立法散乱,呈零星、分散状态,不成体系,主要通过宪法和相关法律法规对个人信息进行间接保护。个人金融信息是指个人在银行、证券公司、信托投资公司、保险公司等金融机构中有关交易记录,以及因此提供的个人资料,包括个人的银行信用卡账号、存取款情况、贷款及还款情况、信用消费及支付情况,证券交易账号、所持证券品种及证券交易记录,信托产品及交易记录,所投保险及保险费缴交情况、保险金额、保单价值等。这些信息存在于消费者开立账户或取得贷款的银行、发生信用消费的商业机构、信用卡公司以及证券公司、信托投资公司、保险公司等金融机构。
当前,个人金融信息的保护主要存在于以下几项金融行业法规中:
(一)《商业银行法》
《商业银行法》第六条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”第二十九条规定:“商业银行应当遵循为存款人保密的原则”、“对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外”。
(二)《个人存款账户实名制规定》
为了保证个人存款账户的真实性,维护存款人的合法权益,国务院于2000年颁布了《个人存款账户实名制规定》。其中要求:“除法律法规另有规定以外,金融机构不得向任何单位或者个人提供有关个人存款账户的情况”。该法规要求各金融机构必须认真执行为储户保密的原则,不得向任何单位和个人提供个人存款账户的情况,并有权拒绝任何单位或者个人查询、冻结、扣划个人在金融机构的款项,违反规定泄露个人存款情况的,应予以严肃处理。
(三)《金融机构反洗钱规定》
为了预防洗钱活动,中国人民银行于2006年出台了《金融机构反洗钱规定》。其第七条规定:中国人民银行及其工作人员应当对依法履行反洗钱职责获得的信息予以保密,不得违反规定对外提供。中国反洗钱监测分析中心及其工作人员应当对依法履行反洗钱职责获得的客户身份资料、大额交易和可疑交易信息予以保密;非依法律规定,不得向任何单位和个人提供。其第十五条规定:金融机构及其工作人员对依法履行反洗钱义务获得的客户身份资料和交易信息应当予以保密;非依法律规定,不得向任何单位和个人提供。
(四)《中国人民银行个人信用信息暂行管理办法》
中国人民银行2005年正式通过了关于个人信息保护及安全的《中国人民银行个人信用信息暂行管理办法》,该办法对个人信用信息采集、整理、保存、查询、异议处理、用户管理、安全管理等方面进行了规范。其中第十三条规定:“商业银行除在对已发放的个人信贷进行贷后风险管理时无需取得个人书面授权以外,商业银行在查询个人信用报告时应当取得被查询入的书面授权。书面授权可以通过在贷款、贷记卡、准贷记卡以及担保申请书中增加相应条款取得”。该条款要求商业银行获取个人信用信息必须取得当事人的同意,使其享有知情权。此外,暂行办法的罚则部分对征信机关、商业银行违法保护规定,泄露个人信用信息行为制定了相应的处罚措施。其第三十九条规定:“商业银行越权查询个人信用数据库的,将查询结果用于本办法规定之外的其他目的的,由中国人民银行责令改正,并处一万元以上三万元以下罚款;涉嫌犯罪的,依法移交司法机关处理”。《中国人民银行个人信用信息暂行管理办法》是我国颁布的第一个专门针对个人信用信息保护的法律规章,为进一步制定个人金融信息保护法规奠定了基础。
当前我国个人金融信息保护立法存在的问题
(一)法律体系不完备,金融法律法规的规定不健全
一是缺少一部专门的《个人信息保护法》。目前对个人信息保护的民事法律依据主要是《民法通则》有关个人姓名权、肖像权和名誉权的规定,刑事法律依据主要是刑法修正案(七)有关出售或非法提供、获取公民个人信息犯罪的规定,但尚没有一部法律法规为个人信息提供直接的行政法保护,无法规制那些侵犯银行客户个人信息但尚未构成犯罪的行为,个人信息主体的权利得不到全面确认和保护。各类经济主体收集、保存、交换个人信息等所应遵循的基本原则、程序和制度也得不到统一的规范,导致我国个人信息安全缺乏基本法层面的保护。二是金融法规定零散、针对性不强。《反洗钱法》、《金融机构反洗钱规定》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》虽对客户信息管理做了一些规定,但立法目的主要是加强反洗钱,不是针对个人金融信息保护。即将生效实施的《征信业管理条例》主要是规范征信机构的业务活动及对征信机构的监督管理,而非规范掌握大量个人金融信息的金融机构。《个人存款账户实名制规定》、《银行卡业务管理办法》等金融法规规章仅对某类个人金融信息,或者某个金融业务领域或环节作了保密规定,无法覆盖全部个人金融信息。三是法律规定效力层级低。现阶段,发挥个人金融信息保护功能的主要是中国人民银行出台的《个人信用信息基础数据库管理暂行办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》,《办法》和《通知》对个人金融信息收集、保存、使用等做了相应规定,但前者属效力层级较低的部门规章,且只针对信贷领域的个人信用信息,后者为规范性文件,不具备正式法的效力。
(二)金融机构收集、使用、披露、跨境提供个人金融信息等行为无专门规定
现行金融法律,如《商业银行法》、《证券法》、《保险法》等仅对金融机构保密义务进行原则性规定,未对个人金融信息范围,以及金融机构收集、保存、使用个人金融信息等行为作出专门规定,导致金融机构缺乏统一的标准和行为范式参照执行,其个人金融信息保护缺乏法律约束,而金融机构出于商业经营和竞争的压力,其保护个人金融信息的意愿和能力均不强,甚至侵害个人金融信息。主要表现在以下几个方面:
一是在收集方面,以格式文本的形式,要求客户提供与业务关联度不高的信息,作为客户获得金融服务的先决条件,剥夺客户的自主选择权;二是在使用方面,利用提供金融服务过程中获得的个人金融信息进行电话、短信、邮件营销,侵害客户应有的生活安宁;三是在披露方面,在无法律和客户授权情形下,超出合理必要限度披露个人金融信息,侵犯客户隐私权,甚至个别金融机构内部员工受利益驱使,非法出售个人金融信息。如2012年3月15日,中央电视台曝光了有关商业银行员工向不法分子出售客户个人金融信息,并导致客户3000余万元存款被盗的重大恶性事件。
另外,在信息跨境提供方面也存在不少问题。当今金融国际化日益加深,外资金融机构纷纷在我国设立分支机构,这些分支机构出于数据处理、并表监管或反洗钱机构的要求,将一些我国个人金融信息向境外监管机构、母行或总行报送,而我国现行法律体系对此无任何专门的禁止性规定,大大增加了我国金融机构客户个人金融信息外泄的风险。
(三)信息主体所享有的权益未做规定,救济手段有限
个人金融信息应属信息主体所有,信息主体对其个人金融信息应享有知情权、异议权、索赔权等权利,而这在我国现行法律体系中未得到明确。从法律规定看,现行法律体系中对于违反个人金融信息保护规定的责任条款多采用援引方式,必须适用其他法律法规。但实践中正是缺乏个人金融信息保护方面的法律法规,导致现有的责任条款无法适用。
从司法实践看,个人金融信息遭受非法侵犯后,多数获得的仅仅是停止侵害、消除影响等名誉补偿方式,经济和精神赔偿请求基本得不到司法部门支持。尤其是因个人金融信息泄露导致诈骗、资金被窃以及众多垃圾信息滋扰等,除犯罪分子承担刑事责任以外,民事主体难以获得经济赔偿。总体来看,侵害个人金融信息的违法成本较低,对违法犯罪分子形成不了有力威慑,难以有效保护信息主体对个人金融信息的合法权益。
(四)金融监管部门行使职权的法律依据不足,监管手段欠缺
实践中,个人金融信息遭受侵害的状况日趋严重,但现行法律体系缺乏对金融监管部门履行个人金融信息保护监管职责的充分授权,金融监管部门行政检查、处罚的法律依据不充分。如《反洗钱法》规定,对金融机构违反保密规定泄露有关信息的行为可以实施处罚,此处的“有关信息”仅指“金融机构履行反洗钱职责或者义务获得的客户身份资料和交易信息”;《商业银行法》规定,对商业银行非法查询、冻结、扣划存款的行为予以查处,仅针对存款信息;《个人信用信息基础库管理暂行办法》也只针对商业银行不按规定报送、越权查询个人信用信息等行为规定了处罚措施。这些规定基本上只针对特定类别个人金融信息、特定行为,适用范围有限,没有针对非法收集、保存、使用个人金融信息等行为进行规制。中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》尽管对个人金融信息收集、保存、使用、对外提供等做了较为全面的规定,但囿于效力层次,不能设立行政检查权和处罚权。人民银行对违反个人金融信息保护规定的金融机构只能采取“核实、约见谈话、责令整改、通报”等柔性处理措施,约束力较弱。
完善个人金融信息保护法律体系的几点建议
(一)从长远来看,应该制定统一的《个人信息保护法》
欧盟综合性立法和美国分行业立法是当今个人金融信息保护的两种主要立法模式,世界其他国家和地区的立法均不同程度地受到这两种模式的影响。欧盟1995年出台《个人数据处理和自由流动保护指令》,把包括个人金融信息在内的一切信息统称为个人数据,明确个人数据处理的一般原则、数据主体权利、向第三国传输个人数据规则、司法救济和监管机构。通过统一立法实现全盟范围内数据的最低限度保护和数据流通。美国实行分行业立法,针对金融行业,先后制定了《公平信用报告法》、《金融隐私权法》、《金融服务现代化法案》等多部金融法,形成了完备的金融隐私保护法律体系。欧盟和美国两种立法模式各有特色,分别适应各自国情。欧盟《个人数据处理和自由流动保护指令》是目前关于个人信息保护最为严格和完整的一部法律,美国模式对个人金融信息的保护要弱于欧盟模式。
因我国长期缺乏个人信息保护的法律环境,金融机构保护个人金融信息的意愿和方式未得到很好的培养。从长期看,针对我国个人金融信息保护法律层次较低、规定零散、保护救济不足等问题,应该制定一部专门的《个人信息保护法》,作为个人信息保护的基本法,明确个人信息的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题,以保证整个法律体系的系统性和协调性,也有利于法律的具体操作和执行。
(二)完善个人金融信息保护的配套法律法规
长远来看,鉴于个人金融信息相比其他个人信息更具敏感性,可在统一的《个人信息保护法》设专章对个人金融信息保护进行专门规定。但考虑到现阶段由全国人大制定《个人信息保护法》对个人信息进行统一保护难度较大,且个人金融信息相对于其他信息的保护更为迫切,建议先由国务院制定《个人金融信息保护条例》,明确个人金融信息保护的基本原则、内容范围、主体权利、法律责任、监督管理等主要内容。
1.确立个人金融信息保护的基本原则。《条例》可参照欧盟规定,明确规定金融机构处理个人金融信息所应遵循的基本原则,如合法原则、透明原则、合适原则、安全原则等,并且对敏感个人金融信息的处理作出特别规定——非经信息主体明确同意,金融机构不得处理敏感个人金融信息。
2.明确个人金融信息的内容和范围。《条例》可以以列举加兜底的方式,明确个人金融信息保护的范围,如个人身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息,以及金融机构在与个人建立业务关系过程中获取、保存的其他个人信息,以改变现行法律体系规定零散、金融机构保护范围和执行尺度不一的现状。
3.规定信息主体拥有的权利。《条例》可参照欧盟的规定,明确规定信息主体至少应包括以下权利:一是知情权,信息主体有权知晓金融机构收集、使用、披露、转移个人金融信息等的目的、范围;二是选择权,信息主体可自主选择是否接受金融机构对其个人金融信息的收集、披露等;三是访问权,有权查询其在金融机构的个人金融信息及其管理情况;四是异议权,信息主体有权要求金融机构对其个人金融信息进行适当更改、删除;五是索赔权,信息主体有权要求其信息免受非法和不当使用的侵害,并在遭受侵害时要求赔偿。
4.设定金融机构保护个人金融信息的义务和法律责任。信息主体享有的权利,从另一个角度讲,就是金融机构负有的义务。保护义务和法律责任的缺失是金融机构对个人金融信息保护不力,甚至侵害个人金融信息的重要原因。因此,《条例》应明确规定金融机构在收集、保存、使用、披露个人金融信息,以及个人与合作第三方管理等行为上的义务,并规定其违反保护义务时所应承担的法律责任,确保金融机构全面履行其个人金融信息保护义务。
5.明确监管机构、监管职责和监管措施。《条例》可参照欧盟规定,设立独立的机构或指定机构负责个人金融信息保护的监管,明确监管职责。监管机构负责建立个人金融信息保护的统一规范和标准,督促金融机构加强信息安全管理,强化个人信息数据库的管理,防止信息被滥用等。为确保监管机构履行其监管职责,《条例》应进行必要的法律授权,授权监管机构有权对金融机构个人金融信息保护工作开展非现场监测和现场检查,对金融机构违规泄漏个人金融信息,造成客户损失或引发不良社会影响的,可视情形实施行政处罚或采取其他监管措施。
标签:金融论文; 金融机构反洗钱规定论文; 个人信用信息基础数据库论文; 法律论文; 立法原则论文; 法律主体论文; 金融机构论文; 银行论文; 商业银行论文;