美国银行业个人财务隐私保密制度及其对我国的启示,本文主要内容关键词为:美国论文,银行业论文,启示论文,隐私论文,财务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
银行个人财务隐私是指用户为了得到银行的金融产品或服务而提供给银行的个人可识别资料,主要包括用户个人资料、用户交易资料以及银行掌握的其他衍生信息;此外,还包括银行与用户之间曾发生过业务交易这一事实。随着金融信息化的发展和深入,银行在经营过程中所掌握的大量客户财务数据已经成为其重要的商业资源;同时,依法有效保护个人财务隐私不受侵犯和非法滥用也已成为各金融机构必须履行的重要职责。一方面,商业银行完善的个人财务隐私保密措施,可以提高用户对银行的信任度,拓宽银行的业务渠道,增加银行的业务量,从而取得竞争优势;另一方面,完善的银行保密法律、有效的监管和先进的保密技术,也可以促进网络银行的发展,消除用户对网络银行中个人财务隐私可能泄密的顾虑。另外,为了社会整体利益,政府、司法及税务等部门要有适当的公民财产知悉权,这就需要在隐私权和知悉权之间达成平衡,既要保证公民的财产隐私不向第三方透露,又要保证国家能够正确行使其权利,因而健全的银行个人财务隐私保密法律和制度,也可以使政府部门在行使知悉权时做到有法可依、有法必依。本文首先介绍了美国银行个人财务隐私保密制度形成的历史及《消费者财务隐私保密最终规则》的具体规定;接着介绍了美国银行监管当局的监管程序和监管要求;最后分析了我国银行个人财务隐私保密的现状和存在的主要问题,并从国家立法、监管和银行内部管理等方面提出若干可操作性建议。
一、美国银行个人财务隐私保密的基本做法
美国国会于1970年通过了《银行保密法》,确立了银行客户现金交易报告制度。该法实际上是要求银行放松保密义务,赋予政府相当大的获知银行秘密的权力。但受舆论压力,美国又不得不在1978年通过了《金融隐私保护法》,严格限制政府获取银行客户资料的范围以及程序,并规定了公民为保护其合法隐私而反对政府非法获取其银行隐私的权利与相应的救济手段。这在一定程度上缓解了政府机关的知情权与公民隐私权之间的矛盾。
1999年12月12日,克林顿总统签署了格拉姆—里奇—布里雷(Gramm-Leach-Bliley,GLB)法案,其中包括禁止各金融机构泄露个人财务隐私的条款。在2000年6月1日,针对GLB法案的要求,货币监理署(Office of the Comptroller of the Currency,OCC)、联邦储备委员会(Federal Reserve System,FRS)、联邦储蓄保险公司(Federal Deposit lnsurance Corporation,FDIC)和储蓄管理办公室(Office of Thrift Supervision,OTS)共同制定了《消费者财务隐私保密最终规则》(以下简称《最终规则》)。《最终规则》规定:所有金融机构必须给消费者提供其个人财务隐私保密政策以及透露和共享个人财务隐私的具体情况,详细描述了在哪些情况下,金融机构可以把消费者的个人财务隐私提供给第三方;并规定客户有权通过“选退”(Opt Out)方式拒绝银行把自己的财务隐私透露给第三方。另外,《最终规则》要求银行、保险公司、投资公司和抵押公司等金融机构共同执行。其具体内容包括以下几个部分:
1.受保护主体。《最终规则》规定的受保护主体有两类:第一类是一般的消费者(Consumer),是指从银行已经获得或正在申请获得金融产品或服务的家庭消费者或个人(包括个人的合法代表),如银行的消费信贷者或向银行进行投资、理财的咨询者;另外,银行服务申请者(如贷款申请人)也是银行金融产品的消费者,不管申请是否通过了审查,他们提供的个人财务资料也需要得到银行的保密承诺。如果两个或两个以上的银行或金融机构联合提供金融产品(如联合贷款)或服务,那么该金融产品的接受方是以上所有金融机构的消费者。某家金融机构的消费者并不是其代理银行的消费者,因为代理银行只向委托方负责,而和消费者没有直接的关系;此外需要银行担保的个人也不能成为其担保银行的消费者。第二类受保护主体是客户(Customer),是指已经与银行有实际业务关系的消费者。在银行开户、得到贷款、购买保险产品或委托银行理财等,这些业务的发生都代表消费者和银行之间客户关系的建立。但是,客户关系不包括从银行购买机票或旅游支票等,也不包括用银行的ATM机取款而在另一家银行开户的个人。
2.保护内容。《最终规则》对个人非公开的和可识别的财务信息,即个人财务隐私进行保护。该规则对个人财务隐私进行了明确的界定,主要包括:(1)业务往来时消费者提供给银行的个人资料,如姓名、住址、电话号码以及个人收入状况等;(2)客户的业务交易数据,如交易记录、交易金额、账户余额、支付记录、透支记录、借记卡或贷记卡的购物信息等;(3)银行与客户交往过程中获取的其他衍生信息,主要指银行对客户的主观印象、对客户数据进行挖掘分析产生的信用报告以及潜在价值等信息。除此之外,个人财务隐私还包括银行曾经与客户之间发生过业务交易的事实以及银行在lnternet上通过COOKIES收集到的个人信息。
个人财务隐私不包括以下两方面信息:(1)单个消费者非识别信息。即银行对所有消费者的信息进行统计分析后的整合信息,如银行全年账户余额、储蓄总额、贷款总额等,这些信息并不能识别单个消费者。(2)可公开获得的信息。《最终规则》有明确规定,对银行收集到的可通过合法的渠道获得的公开信息,银行不履行保密义务。这些公开信息包括:政府有关个人的记录、媒体报道的事实及通过法律披露给公众的信息等。
3.银行应履行的义务。对一般的消费者,银行在透露消费者的财务隐私之前,必须向消费者提供初始的隐私政策说明书(Initial Privacy Notice)和选退说明书(Opt Ont Notice)。对与银行已经建立客户关系的客户,银行必须在客户关系建立之时向客户提供初始的隐私政策说明书,在客户关系持续期内提供年度隐私政策说明书(Annual Privacy Notice),在将客户的财务隐私透露给第三方之前,应给客户提供选退说明书。
隐私政策说明书一般包括银行的隐私政策及消费者财务信息收集和共享情况,还必须包括以下几点内容:(1)银行收集到的所有个人财务隐私,如消费者个人信息、支付记录及同第三方的交易记录等;(2)银行透露的所有个人财务隐私;(3)向哪些隶属机构、哪些非隶属机构透露了哪些个人财务隐私,包括金融机构和非金融机构等;(4)根据法律要求必须向第三方(如法律、税收等部门)透露的个人财务隐私;(5)银行为了消费者的财务隐私安全和保密所实施的政策和措施。
选退说明书需要说明银行保留透露消费者财务隐私的权利,消费者有权通过银行提供的合理方式拒绝将自己的财务隐私透露给第三方。银行必须在说明书中列出可能透露哪些个人财务隐私以及透露给哪些第三方机构,消费者可以选择全部拒绝透露,也可以部分拒绝。如果有两个或两个以上的客户共同拥有一项金融产品或服务,以共同账户为例,按照规定银行可以只向其中一方或多方发送选退说明书,也可以允许共同账户的双方单独或共同做出拒绝或接受的选择,若一方选择接受而另一方选择拒绝透露的话,银行只能透露接受一方的财务隐私。另外,根据GLB法案和最终规则,除客户的现金交易报告机构外,禁止银行因商业目的向其他任何机构透露客户的账号,包括信用卡账号、交易账号、存款账号等,当然法律另有要求的除外。
4.免责事由。消费者并不是在任何情况下都有拒绝其个人财务隐私被透露的权利。为了维护社会利益以及给消费者提供更好的服务,银行可以在某些情况下透露消费者的个人财务隐私而不承担泄密的责任。《最终规则》规定了以下免责事由:(1)在消费者同意或没有拒绝的情况下,银行可以把消费者个人财务隐私透露给第三方。(2)如发现消费者进行欺诈性或非法交易,银行不负有对个人财务隐私保密的义务。(3)把消费者的个人财务隐私透露给其法律代表或其合法的利益关联方。(4)把消费者的个人财务隐私透霹给其保险公司、担保机构以及银行的上级检查评估人员。(5)把消费者的个人财务隐私提供给现金交易报告机构。(6)根据法律要求把消费者的个人财务隐私提供给法院、公安及税务等部门。(7)第三方与银行间有合同约定关系,如银行需要第三方提供技术支持、进行账户维护或开发信用卡程序等;但是在合同中应明确规定禁止第三方向外泄露消费者个人财务隐私。(8)银行和其他金融机构共同为消费者提供金融产品或服务,它们之间可以共享消费者财务隐私,但是禁止任何一方向外泄露。
5.信息再用问题。如果发生上述免责事由,银行可能会透露给第三方或从第三方获取消费者的个人财务隐私。对已经获取的这些隐私,《最终规则》只允许银行透露给自己的下属机构或信息提供方的下属机构;同时也应该遵守国家有关法律要求,可以按照规定透露给公安、法院或政府相关部门。除此以外,禁止向任何人透露。
根据美国民主和科技中心(Center for Democracy & Technology,CDT)的调查显示,截至GLB法案生效的2001年7月1日,全美国几乎所有的银行、保险公司、投资公司和抵押公司等都向客户提供了隐私保密政策说明书,并积极建立了信息系统安全保护程序,许多商业机构也开始公布自己的隐私政策。随着网络银行的发展,客户财务隐私保护最终规则执行起来更加方便,美国44%的网上银行拒绝向第三方透露客户财务隐私,22%的网上银行允许客户在线选择是否允许透露自己的财务隐私,其余34%的网上银行也正在积极筹建网上财务隐私保密政策。
二、美国银行监管当局的监管
2001年5月,美国货币监理署(OCC),联邦储备委员会(FRS)、联邦储蓄保险公司(FDIC)和储蓄管理办公室(OTS)联合制定了监管程序,检查各银行对GLB法案和《最终规则》的执行情况。监管当局要求各银行建立一个包括管理、技术和物理三方面的综合信息安全保护程序,具体提出了以下要求:
1.银行董事会和管理层参与保护消费者的个人财务隐私。银行管理层应指定专门人员负责起草、制定与银行规模大小相适应的信息安全保护程序,并且该负责人应当具有必要的知识储备,能胜任这项工作。安全保护程序要包括GLB法案和《最终规则》要求的所有各项内容,如对受保护信息的详细界定、保护的范围及保护措施等。如果机构中有不止一个安全保护程序,各安全保护程序之间应该具有一致性。管理人员应该定期向董事会提交信息安全保护程序的执行报告,在报告中说明程序的具体执行情况,客户财务隐私泄露的风险评估、风险分析和风险管理控制措施,以及软硬件设备安全测试情况和信息安全保护程序的修改情况等。
2.具体的信息泄密风险评估程序。监管当局应该检查各银行是否有专人对客户信息系统进行风险评估;是否按照时间进行周期性评估;采取什么样的方法进行风险评估;是否有足够的控制措施来减轻泄密风险。各银行必须采取确实合理的预防措施,预先估计各种可能的威胁及可能导致的损失。各银行必须有控制风险的政策、程序及系统,还必须充分认识到信息系统软硬件破坏、网络拓朴等方面可能出现的风险。这种风险评估不仅包括计算机自动化系统,还包括访问、收集、存储、应用、传递、保护及处理客户信息等各种具体方法。
3.完备的管理和控制泄密风险程序。银行需要有完备的安全控制措施,主要包括访问控制即身份识别和验证、对物理场所的进出限制、对电子化传输和存储客户数据的加密、对数据修改的安全程序和双重控制措施以及对相关人员采取职责分离的管理方法。银行要对接触客户敏感数据的雇员背景进行详细调查,对客户信息系统的监控系统以及应答系统要及时准确。此外,还包括对职员的培训等。
4.对第三方服务供应商的监督程序。银行在选择合作商时,应首先了解其风险控制能力及其财务状况,看是否有足够的能力和管理、技术、设备条件保护消费者个人财务隐私。应该明确消费者的哪些财务隐私被哪些第三方知晓,和第三方签订要求他们履行保密义务的服务协议,并对他们的行为进行监督。
5.及时修改客户信息系统安全程序。随着软件的升级和新的黑客袭击技术或方法的不断出现,客户信息系统也需要随之升级和维护。在实际中,银行机构本身也会出现合并、收购及技术外包等情况,当这些与客户的财务信息收集、存储、处理相关的因素发生改变后,就应该相应地修改客户信息安全保护程序。经专家评估是否有必要修改这些程序,在修改过程中要加强控制,确保程序修改及时且有助于化解或减少信息泄密风险。
美国个人财务隐私保密监管程序具有全面性和可操作性强的特点,它的执行引起美国各金融机构对信息系统安全的空前重视。很多银行先后对其内部现有信息系统的安全现状和存在问题进行了综合分析和评价,并根据要求修改和完善了系统,从而使系统的安全性能进一步提高,效果非常显著。这套监管程序对我国银行个人财务隐私保密监管具有非常重要的借鉴意义。
三、对健全我国银行个人财务隐私保密制度的启示
随着银行信息化和网络化程度的不断提高,对消费者所有财务数据的收集、存储、处理、传递和复制等都变得更加方便,所以加强对消费者个人财务隐私保密就显得越来越重要。
但我国尚没有专门的银行保密法,有关银行个人隐私保密的规定比较零散而且笼统,如《商业银行法》第29条第一项和第二项分别规定了“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”和“对个人储蓄存款,商业银行有权拒绝任何单位或者个人的查询、冻结、扣划,但法律另有规定的除外。”我国行政法规另有规定的是指检察、公安、法院、税收及海关等政府机关可以向银行查询存款余额,甚至冻结、扣划款项。这些笼统的规定很难应对银行具体操作所具有的复杂性。中央银行也往往忽视对商业银行这方面的监管,各商业银行也并没有把客户财务隐私的保密纳入整个商业银行内部管理体系之中,缺乏相应的风险控制规定和措施。
借鉴美国银行个人财务隐私保密的成功做法,结合我国的实际情况,应该从国家立法、监管和金融机构内部管理等三方面着手健全我国的银行个人财务隐私保密制度。
1.尽快制定银行个人财务隐私保密的相关法律。欧美国家和欧盟普遍都有关于个人数据库方面的立法(注:美国的《联邦隐私法察》、瑞典的《数据法》(Dart Act of 1973)、经济合作与发展组织的《关于保护隐私与个人数据之跨国流动指南》(Guidelines on the Protection of Privacy and Transborder Flow of Personal Data)及欧盟在1995年通过的一项有关数据保护的指令(European Privacy Directivo),这些法律或指令都对个人资料的收集、存储、处理、查阅和共享等做了详细的规定。),而我国目前还没有关于个人数据库方面的立法,这就使得银行在保护消费者个人财务隐私权的实践中可操作性差。因此,尽快制定我国统一的银行个人财务隐私保密方面的法律已迫在眉睫。在制定我国相关法律时,应该从两方面考虑:一是金融机构对收集到的个人财务隐私负有保密的义务,除非经过消费者本人同意、授权或法律许可,这些机构无权对外公布、泄露消费者的私人信息,更不得将这些信息用于谋取商业或其他方面的利益。二是为了维护公共利益或公共安全,有关安全、法律或税务部门可以以合法、正当的目的查询或处理其职能范围内的个人财务隐私。国家法律应该明确规定这些个人财务隐私查询程序,防止政府部门滥用权利。如果当事人因此受到损害,可以行使相关的救济权。
借鉴国外的经验,建议我国从以下七方面健全立法:(1)明确银行对个人财务隐私进行保密是法定义务;(2)严格界定受保护主体范围,使银行个人财务隐私保密具有可操作性;(3)严格界定受保护的个人财务隐私范围;(4)保障消费者对自己财务隐私的控制选择权,消费者有权拒绝自己的财务隐私在法律许可的范围之外公开或透露给其他第三方;(5)具体规定有哪些免责事由如果发生,银行应该或可以披露客户财务隐私而不需要承担法律责任;(6)明确银行及其工作人员未尽保密义务时应承担的法律责任;(7)统一规定哪些机构和部门有权查询消费者个人财务隐私及查询的条件和程序,如果这些机构在其职权范围之外构成对消费者个人财务隐私的威胁,消费者应采取的救济手段等。
2.加强银监会的监管力度。发达国家对个人财务隐私保密的监管一般是在国家已经成形的法律基础上进行的,主要是监管各商业银行对国家法律要求的执行情况。目前我国的法律相对滞后,所以银监会的监管也变得相对困难。在这种情况下,对于国家法律有规定的方面,银监会应该根据法律规定检查各商业银行的个人隐私保密情况。对于国家法律没有涉及到的或缺少详细要求的方面,银监会应该组织各商业银行相应负责部门进行协商讨论,形成大家都普遍接受并同意执行的条款,以确保消费者的个人财务隐私得到保护。在对各商业银行进行检查评估时,要对涉及隐私保密的几个方面进行全面检查。
3.完善商业银行和其他金融机构有关个人财务隐私保密的内部管理制度。商业银行应从保密制度和保密技术两个方面加强对个人财务隐私保密的内部管理。从保密制度看,银行内部要有比较详尽的个人财务隐私保密政策,包括个人财务隐私的收集方式、使用方式、与第三者共用政策及用户的权利等规定。该保密政策要向客户声明,声明的方式可用邮件或电子方式。我国许多银行都已经开展了网上银行业务,支持电子结算方式,但是许多消费者对网上银行还采取迟疑观望的态度,最主要的顾虑是担心自己的财务隐私在网上可能被泄露,所以银行可以把其保护消费者个人财务隐私的政策在网上声明,消除消费者的顾虑,从而推动电子商务的发展。另外,银行还应该制定职员保密责任制度,具体规定职员保密范围、保密方式、保密措施以及泄密责任等。从保密技术看,保密技术管理是对银行信息系统软硬件环境的管理,包括客户信息的存储、传输、处理和控制系统。信息技术和网络银行的发展,使得银行面临交易系统被非法入侵、传输过程中信息被非法窃取或篡改、账户被非法盗用等问题。银行应该对信息系统各种可能遇到的技术风险进行评估,综合运用先进的防火墙、身份识别与认证、加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,防止用户财务隐私被恶意窃取。