广东省总工会干部学校 南华工商学院 杨咏婕

广州市越秀区人民法院 陈逸新

1 金融活动中的个人信息具有特殊性

在科学技术迅猛发展、经济水平不断提高的今天，个人与银行的交往频繁，个人与银行的业务往来已经成为人们日常生活中的重要组成部分。商业银行的多样化的金融业务给人们的日常生活带来了前所未有的便利，同时也给人们的个人信息安全带来了隐患。因为，人们若是想参与金融活动必然要向银行提供相关的个人信息，并且在金融活动的存续发展的过程中也会不断生成大量的个人信息。

笔者认为，金融活动中的个人信息具有如下特征：首先，金融活动中的个人信息的收集具有强制性。以我国相关立法为例，《个人存款账户实名制规定》、《储蓄管理条例》、《关于执行<储蓄管理条例>的若干规定》、《信用卡业务管理办法》以及《商业银行信用卡业务监督管理办法》等都有要求客户在进行金融活动时需提供姓名、有效身份证件名称、证件号码、单位名称、单位地址、住宅地址、账单寄送地址、联系电话、联系人姓名、联系人电话、联系人验证信息、其他验证信息等方面的规定。其次，金融活动中的个人信息内容具有庞杂性。人们通常认为，商业银行只在开户、取款、挂失时收集核对一些简单的个人信息，在交易过程中记录基本的确认签字信息，其实不然。商业银行不仅收集信息主体的姓名、身份证信息、联系方式，还会收集性别信息、受教育信息、职业信息、婚姻状况信息以及配偶的部分基本个人信息；在交易的过程中，商业银行还会收集信息主体的何时何地存取款金额信息、资金往来去向信息、信用卡使用信息以及其他与商业银行所进行的储蓄、融资、理财等金融活动相关的个人信息。最后，金融活动中的个人信息具有动态性。金融活动本身就具有动态性，因此，金融活动中的个人信息必然也随之具有动态性。个人在与商业银行进行交易的过程中除了最具有直接识别力的姓名、身份信息相对稳定之外，大量的与交易相关的个人信息处于时刻的变动之中。储蓄客户的与存取款、资金往来相关的信息实时变动，个人的信用卡使用信息更是因个人活动而不断刷新，因此，客户的相关个人信息也具有动态性。

2 金融活动所关涉侵害个人信息的现象

商业银行为了金融活动的形成和顺利开展，其总是要与客户在交易的过程中收集、处理相应的个人信息从而在银行与客户之间形成书面的法律关系。商业银行对于客户的个人信息的收集和处理如上文所言具有现行法的依据，同时立法(我国《商业银行法》第29条、《储蓄管理条例》第32条、《商业银行信用卡业务监督管理办法》第3条以及《商业银行理财产品销售管理办法》第64条)也要求商业银行对于客户的个人信息具有保密义务。然而，即便是立法上严控商业银行对于客户个人信息收集、处理、传递的权限，而且商业银行具有法定的保密义务，社会生活中依然存在着侵害银行客户个人信息的现象，例如：第一，商业银行非法收集客户的个人信息。商业银行与客户之间所有的交易关系几乎都会涉及客户的相关个人信息。立法也明确要求个人进行存款储蓄、信用卡申领、个人投资贷款等活动应当向商业银行提交相关的个人信息。立法出于方便银行工作人员规范操作和保护客户个人信息安全的考虑通常对收集客户何种个人信息做出详细的列举说明。然而，并非所有的相关立法都是出于此两方面的考虑而设计列举型条款的。有的立法则是出于保护国家和银行的利益设计了相对模糊的、宽泛的收集客户个人信息的列举型条款。以《个人贷款暂行管理办法》第14条为例(贷款调查包括但不限于以下内容：借款人基本情况；借款人收入情况；借款用途；借款人还款来源、还款能力及还款方式；保证人担保意愿、担保能力或抵(质)押物价值及变现能力)，其所列举的内容看似细致实则模糊。事实上，部分商业银行在审查借款人的偿还能力时不仅需要借款人提供受教育信息、收入信息，还会致电借款人单位人事或财务部门要求其提供借款人的大量的个人信息。笔者认为，这种收集个人信息的行为已然超出了银行业务需要的范围，有唯银行之利益是图不尊重客户的合法权益、非法收集个人信息、窥探他人个人隐私之嫌。

第二，商业银行非法处理客户个人信息的现象。商业银行与客户因其之间的交易活动而不断地产生新的信息，其不仅仅是交易数据信息，还有大量的能够识别客户的个人信息。商业银行有义务适时更新客户的个人信息，尤其是与其客户信用有关的信息，若未及时更新，不仅可能使客户的合法权益受到侵害，还可能使商业银行自身陷入巨大困境。此外，商业银行错误记录、擅自修改等非法处理客户个人信息的行为也会对客户的合法权益造成不利影响。

第三，商业银行不当披露客户个人信息的现象。为银行客户保密是我国商业银行进行相关业务活动所应遵守的基本原则。只有在国家法律、行政法规另有规定的情况下，为了保护国家利益、社会公共利益以及他人合法权益，或出于司法机关执法的需要，商业银行方可依法定程序披露客户的账户信息和资金往来信息。然而，相关部门并没有对法律另有规定做出具体的解释和明确的界定，在司法实践中，公、检、法、税务、审计以及海关依照相关立法的规定，持县级以上政府的有效证明，经所在银行支行分管副行长签字，并交由主任签批，即可查看储户留存于该银行的个人信息。正如中国金融学院贺力平教授所言，“尽管我国银行内部的保密管理制度执行得较好，但是面向社会的保密法规还不够细化。”立法仅对有权要求银行披露储户个人信息的部门进行规定并未对银行应披露到什么程度进行规定。据统计，有权要求银行披露储户个人信息的部门达11个，然而，在几乎所有的法律法规中对于不当披露或泄露储户个人信息的行为都没有明确的惩罚条款[3]，这不仅不利于商业银行遵守为客户保密的基本原则，也不利于储户个人信息的保护。

第四，商业银行工作人员利用职务便利侵害客户个人信息的现象。商业银行内部工作人员与客户的个人信息的接触最为直接。各商业银行都对内部工作人员的保密义务做出要求，然而依然难以避免一部分银行内部工作人员利用职务便利非法收集、泄露、出售银行客户的个人信息。2009年初，有人在广东省佛山市的一处废品收购站发现了一家银行的客户资料。在2010年，包括招行、建行、深发展在内的七八家银行的客户信息，被曝出卖给中融国际信托有限公司[4]。

3 金融活动中个人信息的私法保护策略

商业银行作为企业法人与作为银行客户的自然人的地位是平等的，银行客户有权获得平等、自愿、公平的商业银行所提供的各项金融服务，并且商业银行的各项金融活动开展和进行都会关涉银行客户的个人信息，商业银行应当秉承着私法的精神，遵守着私法的相关规定尊重他人个人信息，保护他人个人信息安全。私法对于金融活动中的个人信息的私法保护主要为立法保护金融活动中的个人信息。国际上很多国家都对金融活动中的个人信息保护进行了单独立法。较为著名的是美国《金融隐私权法》，其强调银行为客户的个人信息隐私保密是一项重要的法律原则，即便是联邦调查机构也只能在金融犯罪领域内调查银行客户的个人信息。而我国与商业银行、金融活动相关的法律法规对于金融活动中的个人信息保护的条款则较为零散，对于惩罚侵害客户个人信息的行为鲜有规定，其多为原则性的条款，可操作性较差。笔者认为，我国不能仅有《商业银行法》和其他相关法律法规的宣示性的“为存款人保密”原则，也不能仅将《侵权责任法》和《刑法》有关保护个人信息的条款作为保护金融活动中的个人信息的最后的防线。私法应当发挥保护民事主体人身权益和财产权益的功能，调整平等主体的商业银行和个人之间的法律关系。私法若是以立法的方式赋予民事主体享有个人信息权并赋予商业银行细致的保密义务，以及确立明确的非法收集、处理、传递客户个人信息的民事责任，将会有利于个人信息在金融领域的私法保护。此外，商业银行内部也应当依法制定自律规则，保护客户的个人信息免受侵犯。笔者认为，商业银行的行业自律规则在关涉客户的个人信息方面，应当对客户个人信息的收集、处理、传递进行严格限制，并要求其工作人员严守客户个人信息，严禁向他人透露客户的个人信息，即便因业务需要而以现代设备传递客户信息也应当注意保护客户信息的安全等。行业内部的自律规则能够有效地实现保护客户个人信息的安全，成为立法保护个人信息的有力补充。

[1]周汉华.个人信息保护前沿问题研究[M].北京:法律出版社,2006.

[2]孔令杰.个人资料隐私的法律保护[M].武汉:武汉大学出版社,2009.

[3]蒋坡.个人数据信息的法律保护[M].北京:中国政法大学出版社,2008.

[4]阿计.公民权利枕边的“定时炸弹”[J].民主与法制,2012(10).