金融隐私权的法律保护
2015-04-09胡文涛
胡文涛
(上海海事大学,上海 201306)
金融隐私权的法律保护
胡文涛
(上海海事大学,上海 201306)
金融隐私权是人格权之一,也具有财产权的性质,在信息社会极易受到来自私人和国家的侵犯。金融隐私权的保护与金融机构保密义务相依存,我国相关法律存在金融隐私保护的法规位阶过低,民事责任、救济手段规定不足,保密义务例外规定立法价值倾向错位,金融隐私权保护与公共利益保护失衡,对混业金融背景下金融隐私权保护缺乏法律规制等缺陷。建议尽早制定个人信息保护方面的法律,提高金融隐私权保护的立法层次,在防范公权力侵犯金融隐私权上改变立法的价值倾向,并适时出台有关金融集团的立法,对关联企业使用金融信息作出规范。
金融隐私权;金融信息;保密义务;法律保护
2005年6月,美国破获历年来最庞大的个人机密资料盗窃案,超过4000万个客户的信用卡和提款卡资料被来自5个国家的11名犯罪嫌疑人窃取,该案引起了世界各国普遍关注。最近一段时间,类似的报道在我国也不绝于耳:“你的信用卡个人信息只花5毛钱就能在网上买到”、①杜放、罗政:《你的信用卡个人信息‘只花5毛钱就能在网上买到’?——银行信用卡信息泄露调查》,http:// news.xinhuanet.com/fortune/2015-01/11/c_1113952292_2.htm,新华网,2015年2月1日访问。“多家银行近3个月5亿存款失踪”。②《多家银行近3个月5亿存款失踪,索赔几乎不可能》,《北京晨报》2015年1月16日。诸如此类事件的发生,彰显的是消费者金融隐私被侵犯并可能带来巨大损失的严峻现实。因此,探讨金融隐私权的法律保护,在信息爆炸、网络技术高速发展的当下,显得尤为重要。
一、金融隐私权内涵分析
(一)信息社会与隐私权的发展
一般认为,金融隐私权是“消费者金融信息的隐私权”,③周仲飞:《银行法研究》,上海财经大学出版社2010年版,第440页。是“信息持有者对其与信用或交易相关的信息所享有的控制支配权”。④谈李荣:《金融隐私权与信用开放的博弈》,法律出版社2008年版,第1页。但对于个人信息的保护,在不同的国家中并非全然采用纳入隐私权保护的模式。
依我国学者的通说,①张新宝:《隐私权的法律保护》,群众出版社2004年版,第28页。杨立新:《人身权法》,人民法院出版社2002年版,第661页。也有学者认为隐私权最早起源于法国。参见张民安:《隐私权比较研究》,中山大学出版版2013年版,第4页。隐私权概念源自美国,作为法律上的概念或权利,一般认为始自1890年Samuel D. Warren和Louis D. Rrandeis发表的论文“隐私权”,该文倡导隐私权独立保护的必要性及重要性,强调保护个人独处这一权利。经过100多年的发展,美国在隐私权理论与立法上均居于领先地位。美国法上的隐私权起源于侵权行为,“旨在保护个人不受其他私人的侵害”,为了保障个人隐私不受国家权力的侵害,美国法院另外创设了“宪法上的隐私权”,②王泽鉴:《人格权的具体化及其保护范围:隐私权篇(上)》,《比较法研究》2008年第6期,第7页。并将隐私权提升为宪法保护的基本权利。随着新科技和新发明的出现,政府机构或私人机构借助新技术收集、处理和传播私人信息的速度大大加快,范围迅速拓展,成本极为降低,使个人的隐私权遭受前所未有的威胁,因此,顺应信息时代的需要,美国在20世纪60年代以后,产生自治性隐私权、物理性隐私权和信息性隐私权的新隐私权三分法理论,信息性隐私权是对个人信息的获取、披露和使用予以控制的权利,并进而发展出宪法上的信息性隐私权和非宪法上的信息性隐私权。③张民安:《信息性隐私权研究——信息性隐私权的产生、发展、适用范围和争议》,中山大学出版社2014年版,序言第2~8页。
德国是大陆法系的典型代表,但没有隐私之概念,与美国法隐私相当的理论称为私领域,对个人生活领域所作的保护源自一般人格权。对于一般人格权在私生活上的保护范围,德国从学说上的领域理论,进而创设了个人信息自主权并逐渐建构了以此为中心的法律规范体系。
从美国、德国对个人隐私保护的发展轨迹可知,隐私权的保护范围从个人的生活私密领域扩展到信息隐私,并且,随着高科技、新发明的出现,信息自主已成为不同国家法律规范的重点。
(二)金融隐私权的界定
金融信息是个人信息的重要组成部分,受到有关隐私权的法律保护。作为隐私权之一,金融隐私权在性质上属于人格权,立法意旨在于保护个人的人格尊严;金融隐私权也具有可克减性,隐私权的保护应该受到公共利益的限制;同时,金融隐私权也具有支配权性质,权利主体可依自己的意志在一定范围内披露自己的信息。④张新宝:《隐私权的法律保护》,群众出版社2004年版,第16页。
但作为特殊的隐私权,金融隐私权是人格权,也是财产权,金融隐私权与信息持有者的经济利益或财产利益紧密相连,金融隐私权指向的是具有财产利益的信息,《美国金融服务法》第五部分的A章规定了金融机构如何处理消费者的非公开个人信息。所谓非公开个人信息包括“消费者为购买金融产品或金融服务,而提供给金融机构的个人信息;因购买金融产品或金融服务产生的信息;因提供金融产品或金融服务,其他金融机构获取的消费者信息。”⑤美国《消费者金融信息隐私权条例》(二)“非公开个人信息”。研究者指出,美国法学界和金融界普遍认为银行对客户的金融隐私保护范围包括以下三个方面:“(1)有关账户的信息,包括账户上所存的款项、收支情况、资金来源和去向、账户记录、信用卡的情况;(2)有关客户交易的信息,包括交易标的、种类、性质、内容、价格、当事人、时间等;(3)银行因保管客户的账户而获得的与客户有关的任何信息。”⑥谈李荣:《金融隐私权与信息披露的冲突与制衡》,中国金融出版社2004年版,第28~29页。
从金融隐私权的特性可知,其一方面具有消极权能,即以隐瞒权能为中心的不受侵扰、不被非法利用和不被侵犯以及公开的权能;另一方面,又具有积极权能,即消费者具有对金融信息的自我控制和支配权,可自行决定何时以及在何种范围内公开和使用。相较于一般隐私权,金融隐私权更容易遭受侵犯,这首先在于其财产权属性,侵害人易从侵权中获利,现代金融隐私侵权多数时候是为获得利益而非刺探个人私生活;此外,由于现代信息处理技术和网络传播手段的高速发展,也为侵犯金融隐私权创造了重要条件。因此,与传统社会相比,现代信息社会中金融隐私权的法律保护更具价值和紧迫性。
总之,正如王泽鉴教授所言:“宪法上的隐私权旨在保障个人私生活不受公权力的侵害,其核心问题在于如何调和个人隐私保护与公共利益。私法上的隐私权主要在于依侵权行为法保护个人隐私不受第三人的侵害。”①王泽鉴:《人格权的具体化及其保护范围:隐私权篇(上)》,《比较法研究》2008年第6期,第20页。由于对消费者金融隐私权的侵犯主要来自私人和国家,因此,金融隐私权的法律保护必须构建防范私人和国家公权力侵犯的体系,同时针对混业金融背景下金融隐私权的保护作出特殊规范。
二、金融隐私权的法律保护:以防范私人的侵犯为中心
(一)金融隐私权的法理基础
作为人格权之一,保护隐私权的根本意旨在于保护个人人格尊严和自由。由于金融消费者与银行、保险等金融机构之间等储蓄、保险合同关系的存在,消费者的资产、信用信息为金融机构获知,因此,不同于一般隐私权的保护,消费者金融隐私权的保护与金融机构的义务相依存,通过金融机构履行保密义务,使消费者的金融隐私权得以对抗其他人的侵犯。其中,银行的保密义务最为典型。
银行对其消费者帐目以及与帐目相关资料的保密义务源自由来已久的习惯。最初,银行该义务被认为是银行与客户之间合同的默示条款。关于银行保密义务的最早和最著名的判例是英国最高法院1922年判决的图尔尼尔(Torunier)案,②王贵国:《国际货币金融法》,法律出版社2007年版,第322页。法院援用“默示条款”理论作为认定银行承担金融隐私权保密义务的法理基础,应该承认,该理论对于防止银行“主动”透露消费者金融信息无疑具有积极意义。
但是,随着“盗窃身份”案件的日益增长,即在一方出于欺诈的目的而提供盗窃等方式获取并利用另一方个人信息的情况下,合同法上的“默示条款”理论已不足以保护金融信息的被盗者,侵权理论则更适用于解决此类问题了。美国许多金融法学者认为,法院应从广义上解释金融隐私权保护义务,以对因银行未能对客户信息保密致使该信息遭受“身份盗窃”侵害的受害者提供充分的救济。③谈李荣:《金融隐私权与信用开放的博弈》,法律出版社2008年版,第17页。自此,对消费者金融隐私权从合同法的保护演进到侵权法的保护。
(二)信息化时代下银行义务的发展
随着科技的发展,信息技术的进步超乎想象,与此同时,利用高科技和网络,侵权速度更快,给消费者金融隐私和财产造成的损害后果也更为严重。在数据自动化处理高速发展的背景下,消费者金融隐私权的保护,取决于公民有权阻止对其个人数据无限制的收集、利用,也依赖于银行采取更严格的保护措施。在此背景下,诸多国家和国家组织通过立法保护包括金融信息在内的个人信息。
1980年,经合组织发布了《关于隐私保护和个人数据跨疆界流动的指导原则》,提出了隐私保护、个人数据处理方面的八大原则。④具体包括:收集限制原则;数据质量原则;列明目的原则;使用限制原则;安全保护原则;公开原则;个人参与原则;责任原则。参见周汉华:《域外个人数据保护法汇编》,法律出版社2006年版,第12~13页。对于因违反原则规定,造成个人资料当事人损害的,数据资料管理人应当承担损害赔偿责任。欧洲议会和欧盟理事会1995年出台的《个人数据保护指令》影响深远,第6条明确要求收集的个人数据符合如下要求:(1)正当处理原则;(2)目的明确和限制原则;(3)适当原则;(4)准确原则;(5)保存时限原则。
上述原则和指令并非专门针对金融机构的要求,但对银行保密义务提出了更加严格的标准,同时也意味着金融隐私权有望得到更周全的保护。
(三)我国关于银行保密义务的基本规定及其缺陷分析
我国下列法律法规中都对有关于银行保密义务的规定:《储蓄管理条例》最早作出要求,此后,《商业银行法》、《银行结算办法》、《关于严格执行个人存款账户实名制规定有关问题的通知》、《支付结算办法》、《人民币结算账户管理办法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《反洗钱法》、《个人信用信息基础数据库管理暂行办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》等诸多法律法规中都对银行保密义务作出了规定,但这些规定至少存在以下问题。
1.保密事项规定存在偏差
以位阶最高的《商业银行法》为例,第29条规定商业银行办理个人储蓄存款业务,应当遵循“为存款人保密的原则。”该条规定为银行的保密义务提供了法律依据,问题在于同法53条规定将保密事项限定为“国家秘密、商业秘密。”而根据我国相关法律,个人金融信息不属于商业秘密。①根据《反不正当竞争法》第10条第3款,商业秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。我国金融机构保密范围的规定无疑远窄于前述美国的做法,《合同法》第60条虽一般性地规定保密义务为基于诚实信用原则产生的附随义务,但事实上,金融隐私保护的范围难以完全涵括于合同,从而大大动摇了追究银行职员泄密责任的法律基础。
2.有关金融隐私保护的法规位阶过低
如前所述,关于银行保密义务的规定散见于法律、行政法规、部门规章及其他文件,最全面的规定当属《关于银行业金融机构做好个人金融信息保护工作的通知》。人民银行2011年发布的该文件明确指出个人金融信息是金融机构日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。对个人金融信息的保护是银行业金融机构的一项法定义务。该通知应该说是迄今关于金融隐私保护最全面和细致的文件,如其第2条规定,个人金融信息指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息,包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息以及在与个人建立业务关系过程中获取、保存的其他个人信息。并要求银行业金融机构要完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。问题是根据国务院2002年发布的《规章制定程序条例》第6条,规章的名称一般称“规定”、“办法”,即中国人民银行法发布的该项通知,尚不够部门规章的层次,过低的立法层次,难以引起各方当事人的注意,并且,根据最高人民法院的规定,行政规章尚不能作为民事案件的判案依据,②根据最高人民法院2002年发布的《关于裁判文书引用法律、法规等规范性法律文件的规定》第4条:“民事裁判文书应当引用法律、法律解释或者司法解释。对于应当适用的行政法规、地方性法规或者自治条例和单行条例,可以直接引用”,即行政规章不在引用之列。遑论级别更低的通知了。
3.民事责任、救济手段规定不足
我国现行法律偏重于国家机关获取个人金融信息,对此后文将述,而忽略对受害金融消费者的民事救济。《商业银行法》(87条)、《中国人民银行法》(50条)、《银行业监督管理法》(42条)等都规定了泄密的行政和刑事责任,而民事责任毫无体现。在关于保密义务的其他规定中,仅中国人民银行发布的《关于严格执行在个人存款账户实名制规定有关问题的通知》和《关于银行业金融机构做好个人金融信息保护工作的通知》可能推出民事责任。前者第2条要求“违反规定泄露个人存款情况的,应予以严肃处理,造成严重后果的,要依法追究法律责任”;后者第12条规定:“银行业金融机构及其工作人员违反规定使用和对外提供个人金融信息,给客户造成损害的,应当依法承担相应的法律责任。”这些通知的立法层次能否成为判案依据姑且不论,条文的规定也表明银行及其职员仅在主动泄密时才承担责任,而对于如同前述美国“盗窃身份”的案件中能否追究银行民事责任,尚存疑问。
三、金融隐私权的法律保护:以防范公权力的侵犯为中心
(一)银行保密义务的例外:公共利益保护之目的
如前所述,金融隐私权作为隐私权具有可克减性,即隐私权的保护受到公共利益的限制。早在图尔尼尔案中,英国上议院便指出在4种情形下,银行不遵守保密义务不应视为违约,①4种情形分别是:(1)法律规定银行应公布的情况和资料;(2)银行对社会和公众负有的义务要求其公布客户的帐目和其他情况;(3)银行本身的利益要求透露客户的情况;(4)客户明示或默示允许银行公布的情况。参见王贵国:《国际货币金融法》,法律出版社2007年版,第324页。第二次世界大战前,各国法律规定的关于银行保密义务的例外主要是基于某些特定情形下或在一些刑事案件中,法院可能需要银行提供证据或证言。第二次世界大战以来,银行客户帐目资料和交易情况逐渐受到各国政府的重视。下以美国为例作出说明。
为发现和防止洗钱行为,美国于1970年制定了《银行保密法》,要求容易被罪犯和逃税者利用的机构按规定向有关部门送交报告并留存交易记录。1974年,美国国会通过了一部全面保护个人信息的专门立法《隐私权法》,目的在于规范政府处理个人信息的行为。该法确立了禁止公开原则,即行政机关在尚未取得个人书面许可之前,不得公开其记录,并赋予公民拥有查询和修改个人记录的权利。②姚姣姣:《金融隐私权保护——以美国为例》,《金融发展研究》2012年第5期,第92~93页。
由于《银行保密法》虽确立了银行的保密义务,但实际上加大了政府侵犯金融隐私权的可能性,与美国宪法规定的关于个人享有不受政府非法检查的规定相违背,1976年引发了著名的“米勒案”(United State v. Miller),并且法院的判决遭到美国法律界及民众的一致谴责。在此背景下,美国国会于1978年通过《金融隐私权法》,旨在为金融消费者的金融信息提供合理的隐私权,从而避免联邦政府的检查。该法制定了具体的流程,当政府部门从银行等金融机构索取消费者金融记录时,政府部门必须遵守该流程,金融机构在向政府机关提供信息之前,法案还提出了对金融机构的义务和限制规定,此外,法案通常要求消费者应收到联邦政府希望获取金融记录的书面通知、搜查记录的目的解释等材料;并规定消费者可以从违法持有、披露信息的政府部门、金融机构或其员工处获得包括惩罚性赔偿在内的民事罚金。③美国联邦储备委员会消费者与社区事务局:《美联储金融消费者保护合规手册》,中国人民银行西安分行译,经济科学出版社2013年版,第398~400页。
美国之外英、德等国、欧盟也都制定了专门的金融隐私或个人数据保护法令,明确个人金融隐私受到法律保护,信息披露和使用必须符合法律规定的程序和目的,否则即为违法。在明确界定金融隐私权保护范围的同时,法律也明确规定了执法、司法等有权部门查询和调取个人金融信息法定程序,以在私权保护和公共利益之间求得平衡。
(二)我国现行银行保密义务例外规定分析:以私权保护与公共利益平衡为视角
我国《商业银行法》等在要求银行承担保密义务的同时,都明定“法律另有规定的除外”,此即银行保密义务例外规定。具体的例外,散见于不同法律法规:如《民事诉讼法》、《刑事诉讼法》、《税收征收管理法》、《海关法》、《行政监察法》、《证券法》、《审计法》、《价格法》、《审计法实施条例》等。
纵观上述法律法规,我国银行保密义务例外制度呈现如下特点:一是保密义务例外规定过于分散。由于没有统一的个人信息保护法等类法律,相关规定不得不散见于多部法律法规中。二是有行使查询、划拨、冻结等权力的机关众多。包括法院、检察院、公安机关、税务部门、海关、价格主管部门、监察机关、国务院证券监督管理机构、审计机关;①周武、江山:《我国金融隐私权保护与银行信息披露的法律规制》,《海南金融》2011年第7期,第57页。三是对国家机关行使查询等权力无明确的程序规定。多数法律未作具体规定,比较详细的算是《审计法实施条例》30条,要求“查询被审计单位以个人名义在金融机构的存款的,应当持县级以上人民政府审计机关主要负责人签发的协助查询个人存款通知书。有关金融机构应当予以协助,并提供证明材料,审计机关和审计人员负有保密义务”。以及《税收征收管理法》第54条第6项的规定,②《税收征收管理法》第54条第6项规定:“税务机关在调查税收违法案件时,经设区的市、自治州以上税务局(分局)局长批准,可以查询案件涉嫌人员的储蓄存款。税务机关查询所获得的资料,不得用于税收以外的用途”。“但金融消费者在此过程中诸如得到通知、许可等权利全无体现。
以《反洗钱法》为例,金融隐私权与公共利益冲突最为明显。2007年出台的该法第五章对金融机构的反洗钱义务作出详尽要求,而保密义务仅第5条作简单规定,显示出金融机构反洗钱义务与保密义务的极不相称。根据《反洗钱法》的规定,2007年,一行三会联合制定《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》,办法的意旨在于“预防洗钱和恐怖融资活动”,尽管第3条提到保密原则,但其目的在于“确保能足以重现每项交易,以提供识别客户身份、监测分析交易情况、调查可疑交易活动和查处洗钱案件所需的信息。”在此,银行等金融机构保密的目的完全不是保护个人的金融隐私权,而是单纯的反洗钱,换言之,在公共利益面前,个人的金融隐私权已毫无价值可言。
因此,有学者指出,我国对保密义务例外性规定“无论是从实体权利与义务的安排上,还是从金融隐私权披露的程序上都比较具体,明显更具有操作性。这种规则上的处理有主次不分之感,因为从学理上而言,保密是第一性,例外是第二性的,然而,我国立法的价值取向却恰恰相反”,③黎四奇:《对我国银行与客户金融隐私权保护制度的反思与立法建议》,《云梦学刊》2006年第2期,第63页。正是由于这种价值取向的错位,导致我国立法在金融隐私权保护与公共利益保护上严重失衡。
四、金融隐私权保护:以金融混业经营为背景
(一)金融混业的发展与金融隐私权保护的必要性
无论是采取全能银行、金融控股公司还是金融集团的形式,当今社会,金融混业经营已成为全世界金融发展的大趋势。从国内外经验来看,混业经营具有诸多公认的益处,如为资金更合理地使用、更快捷地流动创造了有利条件;有助于金融机构在各个金融领域发挥协同作用及对风险进行系统监管等。
同时,在信息化时代,金融信息本身能给银行等金融机构带来巨大的经济利益,同一金融集团下的各关联公司可通过集中管理客户信息库、统一处理客户信息,分享彼此客户的信息,交叉销售金融产品和服务,降低减少运营成本。如银行相较于传统的保险代理机构,在如下方面具有明显的营销和分销的优势:银行同客户之间的亲密和接近程度高于传统代理机构;银行的客户范围更为广阔;银行处于客户需求的源发点;其中最重要的是,银行可以使用数据库营销手段,细分其客户群和目标市场。银行比绝大多数保险代理人员拥有更多的资金和技术资源、更多的客户,并且同它们的客户保持广泛联系的情况也更频繁,银行客户资料总档案可以被整理、分析和分发给其销售人员,简言之,银行在利用客户信息资料方面能力更强。④[美]莉莎.布鲁姆·杰里.马卡姆:《银行金融服务业务的管制:案例与资料》(第2版),李杏杏、沈晔、王宇力译,何美欢审校,北京:法律出版社2006年版,第639~640页。
然而,金融信息的分享,极有可能造成金融信息的滥用,如频繁推销金融产品可能侵扰个人生活安宁、也容易引发擅自监视个人习惯甚至身份盗窃等问题。因此,在金融混业经营的大环境下,如何保护金融隐私权,成为金融隐私权保护领域独特的问题。
(二)金融混业背景下金融隐私权保护域外的实践
1999年,美国通过《金融服务现代化法》,允许金融机构设立金融控股公司,其子公司可分别从事银行、证券、保险等业务,虑及子公司交叉经营活动可能危及消费者金融隐私权,法案专章规定隐私权。要求金融机构有明确和长期的尊重消费者隐私的义务;并从通知(Notice)、选择退出(opt out)、信息的二手利用(Reuse of Information)等几个方面作出具体规定。首先,任何非公开的个人信息只有在清楚告知消费者的情况下才能披露给第三人;金融机构不得直接或通过任何关联公司向非关联的第三方披露客户的非公开的个人信息,除非已清楚明确地告知消费者有关披露非公开个人信息的具体政策和程序。在与第三方分享信息方面,法案赋予消费者选择退出的权利,以使消费者有权拒绝金融机构将其非公开个人信息同非联营第三方分享。对于信息的二次利用,未经消费者同意,第三方不得将从金融机构获取的信息披露给其他人。①详见《金融服务现代化法》第501、502条。可参阅《美国金融服务现代化法》,黄毅、杜要忠译,中国金融出版社2000年版,第162~163页。但是对于金融机构向关联公司披露消费者的信息,《金融服务现代化法》无此要求。
美国《金融服务现代化法》关于隐私权的规定受到消费者和金融机构双方的批评。首先,从消费者的角度言,《金融服务现代化法》对金融机构关联公司之间分享消费者信息未作任何限制,可能造成侵权;其次,对于金融机构向非关联的第三方披露信息,只有当客户选择禁止金融机构将其非公开个人信息与他人分享时,金融机构才不得披露客户资料。实践中,金融机构事先给消费者的通知往往没有说明非关联第三方将如何使用信息,有关消费者“选择放弃”权的告知通常不起眼地写在通知的最后,使消费者忽视该权利的存在;最后,金融机构给予消费者的“选择放弃”通知往往被消费者忽略,而这恰恰是金融机构所希望的,《金融服务现代化法》的“选择放弃”制度,实际上是合法地将消费者的沉默视为消费者同意向非关联第三方披露信息,从而把保护消费者隐私权的责任推到消费者个人身上。②周仲飞:《银行法研究》,上海财经大学出版社2010年版,第443~444页。
与美国的规定不同,欧盟1995年制定的《个人数据保护指令》规定“个人数据”指与一个身份被识别或者身份可识别的自然人相关的任何信息,并规定只有在数据主体明确表示同意的情况下才能处理个人数据。
我国台湾地区2001年公布的《金融控股公司法》第42条规定了金融控股公司及其子公司的保密义务,第43条规范共同行销行为,③中国台湾地区《金融控股公司法》第43条规定:“金融控股公司与其子公司及各子公司间业务或交易行为、共同业务推广行为、资讯交互运用或共用营业设备或营业场所行为之方式,不得有损害其客户权益之行为。”规定“金融控股公司与其子公司及各子公司间业务或交易行为、共同业务推广行为、资讯交互运用或共用营业设备或营业场所行为之方式,不得有损害其客户权益之行为。”同年财政部公布的《金融控股公司及其子公司自律规范》第5条明确要求,金融控股公司与其子公司及各子公司间进行共同行销,于揭露、转介或交互运用客户资料时,须经客户签订契约或书面同意。
随着我国金融行业的快速发展,我国已形成了平安、中信、光大等多家大型的金融集团,但令人遗憾的是,规范金融集团法律一直付诸阙如,无疑给消费者金融隐私权的保护带来重重困难。
五、完善我国金融隐私权法律保护的政策性建议
金融隐私权为人格权,同时又具有财产权的性质,财产权的性质加之信息时代的发展,向金融隐私权的保护提出了难题并凸现了法律保护的意义。针对我国法律在金融隐私权保护机制上的不尽完善之处,笔者提出以下改进构想。
首先,提高金融隐私权保护的立法层次已成为现实要求。目前,我国虽然在《侵权责任法》规定了侵犯隐私权的法律责任,但无论从隐私的范围到具体的保护措施都亟待完善。从包括金融隐私权在内的个人隐私权保护角度出发,借《民法典》制定之机,将个人信息保护纳入隐私权保护范畴可能为最佳选择,如果《民法典》近期难以出台,尽早推出《个人信息保护法》或《个人资料保护法》作为民法的特别法也不失为一选择。法律至少应对信息隐私保护的基本原则、信息提供者的权利、信息掌控者的义务、国家机关收集个人信息的条件和程序作出具体规定。①具体内容设计上,民法学者和信息法研究者早已提出详尽的方案。参见杨立新:《中国人格权法立法报告》,知识产权出版社2005年版,第426~436页;齐爱民:《中华人民共和国个人信息保护法示范法草案学者建议稿》,《河北法学》2005年第6期,第2~5页。
其次,在防范公权力对金融隐私权侵犯上必须改变以往立法的价值倾向。就金融隐私权保护而言,银行等金融机构的保密义务是原则,向国家机关提供个人信息属于例外性规定,必须对获取信息的国家机关、条件、尤其程序作出明确规定和限制。宪法上的隐私权对于保障个人私生活不受公权力的侵害具有重要意义,我国《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”该条文为人格权的宪法保护提供了依据,但后半段有对人格权的侵害方式进行限缩之嫌,宜修改为“禁止以任何方式对公民人格尊严进行侵犯”。
最后,金融集团的立法迫在眉睫。混业经营背景下金融隐私权的法律保护是金融隐私权保护的独特问题。近年来,我国金融业已获得极大发展,大型金融集团已大量存在,相关法律的缺失与现实的需求极不相称。建议参考境外立法,尽早制定诸如《金融控股公司法》或其他规范金融集团的法律,其中应对关联公司如何分享消费者金融信息作出具体规范。在此方面,如何平衡金融机构的运营自由与消费者的私法自治(同意)是其关键。
(责任编辑:王建民)
DF438
A
1674-9502(2015)02-035-08
上海海事大学法学院
2015-03-03
