卜祥瑞
商业银行与客户关系的法律本质是合同关系。商业银行在与客户业务往来及拓展过程中客观上必将产生收集、知悉、利用客户各种信息行为,这些信息的不当管理及利用极易构成对客户金融隐私权的侵犯。明晰金融隐私权内涵、剖析商业银行侵犯客户金融隐私权的现象,以及采取有针对性措施保护客户金融隐私权,对于促进金融法治建设、保护客户合法权益、保障金融生态健康发展具有十分现实的意义。
隐私权与金融隐私权
隐私,一般是指按正常的心理和社会道德水准,不愿意或不便于让他人知道的个人信息,以及不愿意和不便于让他人介入或侵入的个人领域,包括个人生活安宁和个人信息秘密两个方面。隐私权是指自然人对个人信息和个人领域享有的支配和维护权利,是为国际社会广泛接受和保护的一项基本人格权利。作为一种人格权,它包括隐私隐瞒权、隐私利用权、隐私维护权以及隐私支配权。隐私权牵涉到道德问题,更涉及到诸多的法律问题。
我国《宪法》、《民法通则》中对隐私权没有明确的法律规定,但在其他一些法律法规、行政规章中略有提及,如:《婚姻法》、《储蓄管理条例》、《逮捕拘留条例》、《旅游饭店行业规范》、《医疗美容服务管理办法》等。2005年10月1日起中国人民银行制定的《个人信用信息基础数据库管理暂行办法》实施,这是我国与金融隐私权关联度十分密切的行政规章,是我国金融隐私权保护的显著进步,但其效力、保护范围等明显乏力。2006年10月我国制定《中华人民共和国反洗钱法》,该法较为重视保护个人隐私和企业的商业秘密,并专门规定对依法履行反洗钱职责而获得的客户身份资料和交易信息要予以保密,不得非法向任何组织和个人提供。同时规定,反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门与机构履行反洗钱职责获得的客户身份资料和交易信息,只能用于反洗钱行政调查;司法机关依法获得的客户身份资料和交易信息只能用于反洗钱刑事诉讼。与之配套,中国人民银行制定了《金融机构反洗钱规定》也规定了相应的内容。但是,我国隐私权尤其是金融隐私权在法律上的实质保护与西方发达国家相比还有很大差距。
世界上很多国家很早就对隐私权进行了法律保护。美国早在19世纪就确立了对民众隐私权的法律保护基础。美国国会早在1974年就通过了《隐私权法》,这是美国保障公民个人信息的最重要的基本法律。之后,又有《财务隐私权法》、《联邦电子通讯隐私权法》、《防止身份盗用法》、《消费者隐私保护法》等法律不断补充进来。德国同样重视公民隐私权保护,并且在保护公民个人信息的立法方面走在世界前列。1970年德国黑森州就颁布了德国首部地方性《数据保护法》,在全球范围内开辟了一个新的立法领域。1977年和1981年,适用于德国联邦政府层面的《联邦数据保护法》和所有州政府层面的《州数据保护法》先后出台,此后还进行了多次修订。英国在公民隐私、个人信息方面曾发生过较多侵权案件,但在1984年英国议会通过了《数据保护法》,并于1998年对该法案进行修订。此后,英国陆续通过了《调查权法案》、《通信管理条例》和《通信数据保护指导原则》等一系列旨在保护公民个人信息的法律。日本也于2005年实施了《个人信息保护法》。西方发达国家在立法保护公民隐私权与个人信息同时,逐步形成了对公民金融隐私权保护的法律体系。
金融隐私权是指个人对其金融信息所享有的不受他人非法侵扰、知悉、收集、利用和公开的一种权利。金融隐私权的主体是金融业客户,包括潜在客户。金融隐私权的指向客体是金融信息,其是指金融机构在业务活动中知悉和掌握的包括个人的身份、各类金融资产状况和交易情况在内的所有信息和资料。金融信息不仅与金融隐私权密切相关,也是金融隐私权法律保护基础。学者普遍认为,金融信息一般包括:
个人身份信息。一般包括姓名、性别、出生年月、身份证件名称及号码(社会保障号码)、联系电话、通讯地址、文化程度、职业、特殊职务等。在办理银行卡时,客户提供的家庭财产状况,如住房权属、汽车品牌、融资渠道、债权债务状况等。
个人交易信息。银行账户号码、密码、存贷款数额等账务信息,持卡数量、透支记录等信用信息,投资信息和保险信息等。
与个人相关的其他信息。主要指金融机构将与客户交往过程中所获取的衍生信息进行分析后对客户形成的信息。如根据交易信息判断出客户交易习惯、消费偏好、职业背景、性格特点、不良嗜好、生活规律、社会交际状况等等。
金融信息内容十分广泛,客户金融隐私信息完全包含其中,金融机构运行过程中稍有不慎,极易导致客户金融隐私信息泄露。以美国银行系统为例,上千万人的信用卡资料泄露案件时有发生。折扣零售商TJX公司曾爆出4570万张信用卡和借记卡资料遭黑客窃取,成为美国最严重的金融信息安全事故之一。这些非法获取的数据被用于非法交易,导致数目惊人的欺诈消费,给银行业也带来巨大的损失。
我国金融法制建设还处在初级阶段,金融隐私权还没有明确纳入现行法律之中,商业银行对客户金融信息的保护义务还不够明晰,侵犯客户金融隐私权的现象时有发生。
商业银行侵犯客户金融隐私权的表现
金融隐私权具有隐瞒、支配、救济三项基本权能。金融隐私权的核心,是对信用信息及其利益的支配,即信息持有者对其信用信息享有控制支配权。非法的侵扰、知悉、收集、利用和公开客户的金融信息,即侵犯客户金融隐私权。当前,商业银行侵犯客户金融隐私权主要表现在以下几个方面:
信息收集失范
银监会曾于2007年印发《商业银行信息披露办法》,规范了商业银行信息披露方式,增强了商业银行信息透明度,促进了银行业审慎经营和稳健发展。但是对商业银行收集个人客户和法人客户信息资料问题,至今没有任何明确规范。
第一,收集信息过多,要求客户提供与业务关联度不高的信息。如在申请表中要求填写个人简历,申请信用卡在不办理副卡的情况下要求填写子女状况等。
第二,反复收集信息。几乎每一次到银行办理业务都要反复填写大量的个人信息,尤其是个人贷款业务办理、贷记卡以及借记卡申请等,不仅要照片和任职证明,还要提供多份婚姻状况以及民事判决书等,有的银行在销户时还要求客户再行提供。
第三,收集渠道单一。主要是任由客户自行填写,客户信息全部来源于客户关系建立初期,很少借助社会现有信息资源来了解客户状况。
第四,收集信息缺少核查。一方面银行要求客户填写大量信息,另一方面,银行对客户信息缺少核对必要程序和路径规定。
信息收集失范导致银行与客户建立基本关系时取得的客户信息没有得到应有的发挥。
存款信息失密
我国宪法明确规定保护私人财产所有权,我国《商业银行法》专章规定对存款人的保护。客户存款信息保密不仅是一项法律原则,也是商业银行经营的国际惯例。1924年,英国上议院通过“图尔尼尔”案,以“默示条款”理论最先确立了银行对存款人的保密义务。此后,美国法院也通过判例逐渐将银行的保密义务延伸,使得该义务几乎覆盖了所有被银行掌握金融信息的个人,且这一义务不因客户结清账户或停止使用账户而终止。我国银行保密义务是以《合同法》的“附随义务”为基础,包括通知、协助、照顾、保护、保密等义务,但是,我国《商业银行法》对于客户存款信息保密规定的过于笼统,无法规范商业银行对客户存款信息保密具体行为。存款信息的失密主要表现为:
第一,以反洗钱为目的上报信息渠道不规范,商业银行对涉及大量客户存款信息仍然采取纸质文件邮寄或者硬盘人工报送方式,在网络传递方面很少采取加密程序。
第二,协助法院等权力机关进行查询、冻结、扣划客户存款时对客户存款信息保护不力。一方面法律法规有关协助冲突问题尚未解决,另一方面法律法规规定也不充分,商业银行处于两难境地。如极个别地方纪委因“双规”需要不严格履行法定手续要求查询客户存款信息,在法定手续不健全的情况下,甚至“以行风测评”相要挟。
第三,商业银行内部员工不当使用客户存款信息。有的银行员工利用工作便利,违法为存在利益争议的当事人提供另一方存款信息。有些商业银行客户经理利用职务便利大量查询大额存款客户信息,在客户存款到期后直接利用存款时填写的联系电话进行电话营销,侵犯客户的应有的私生活安宁权。
第四,商业银行进行业务宣传时不当披露客户存款信息,如在宣传理财业务时披露未成年人如何利用“压岁钱”理财等。在平面媒体或者可视媒体上宣传贵宾理财室时,未经客户同意向公众披露“贵宾”理财行为和形象等,间接披露客户存款信息。
第五,内外勾结盗用客户存款或者客户账户信息。
业务外包泄密
商业银行为实现效率,将诸多业务实行外包无可厚非,但在实施外包过程中忽略对客户信息保护的现象时有发生。有的商业银行对客户金融隐私信息缺少最基本的保护,在不做任何包装情况下直接委托邮递公司邮寄客户信用卡、信用卡交易单据、银行贵宾卡等,甚至用平信邮寄客户交易清单。有的商业银行在委托律师事务所、法律事务所打包清收不良贷款时,全面提供客户与银行往来资料,甚至运用媒体曝光方法公开客户违约信息,忽略了委托清收过程中对客户信息的保护。有的商业银行直接将客户信贷申请资料、信用卡申请等载有大量客户信息资料作为废纸外卖给废品公司,导致客户资料成为失去保护的“垃圾”。有的商业银行与资产评估、社会审计、保险代理机构进行合作,为取得“中间业务”收入,无原则提供客户尤其是法人客户信息,赚取不正当利益,侵犯客户金融隐私权。
征信记录不良
征信是对他人的资信状况进行系统调查和评估,是市场经济条件下信用风险管理服务中的一项最普遍、最基本的业务。2003年9月,中国人民银行征信局成立,公共个人征信系统开始投入运营。个人征信系统是由中国人民银行组织各商业银行建立的个人信用信息共享平台,该系统通过采集、整理、保存个人信用信息,为金融机构提供个人信用状况查询服务。近几年来,商业银行向征信系统报送大量公共个人信息,但由于我国配套制度缺乏、商业银行内部运行机制及系统运行不稳定等一系列原因,导致大量错误征信记录产生。一方面商业银行报送有关征信息不完整、不准确乃至错误,在报送路径上各家商业银行并不统一,导致征信信息不良。另一方面,征信中心系统缺少必要的核查、甄别能力,采集信息来源标准不一,信息源存在天然瑕疵等因素,导致大量客户信息混乱。另外,信用采集人漠视客户申请错误信息更正权利,导致较多征信诉讼案件的产生。征信诉讼案件核心问题是征信不良,征信的核心又是客户金融信息不当输出,这种“不良”行为不仅会侵犯客户信用权,也必然会侵犯客户金融隐私权。
近年来商业银行出现大量假按揭贷款行为,假按揭贷款中借款人的必然违约行为,使很多无辜客户个人征信记录出现不良,而征信不良又导致相关客户一系列金融活动无法展开。相关客户申请撤销不良征信记录的愿望并不能直接实现,必须有商业银行出具相应手续,消除时限上还受制于商业银行不良贷款处理进程。因此,客户与商业银行都无法及时消除“不良”,最后导致客户诉请精神损害赔偿。
总之,商业银行侵犯客户金融隐私权的行为具有现实性、多样性、复杂性等特点,在法律后果与责任上更多地表现为客户隐私暴露、安宁权侵犯、经济损失以及客户信誉影响。当前,金融隐私权尚未成为我国相关法律明确规定的权利,如何保护客户金融隐私权已成为金融界、法律界无法回避的问题。
依法保护客户金融隐私权对策
金融是现代经济的核心,银行是现代金融业典型代表。商业银行在业务发展和金融创新过程中如何保护好客户金融隐私权任重道远。
培育金融隐私权保护意识
金融隐私权作为全新的民事权利,还不为广大金融机构从业人员所认识。培育金融机构从业人员金融隐私权保护意识,就是要不断地普及涉及客户权利保护法律常识,树立合同意识、保密意识,从客户权利保护出发,坚持依法办事,严格执行各项规章制度,在办理各项业务时特别要注意涉及客户金融隐私信息的保护,审慎运用、处理涉及客户金融隐私信息,坚决抵制一切侵犯客户金融隐私权利的行为,把客户金融隐私信息保护提升到维护客户合法权益、维护商业银行信誉的高度来认识,使客户金融隐私权保护成为金融生态建设的重要内容。
同时,商业银行对于可能披露客户金融隐私信息行为,应当通过内部部门进行必要的合规性、合法性审查,避免信息披露行为侵犯客户合法权益。相关机关在要求商业银行配合查询、冻结、扣划单位或者个人存款时,应依法合规办理相关事务。相关新闻媒体在坚持新闻自由的前提下,亦应充分注意《商业银行法》等法律法规的规定,通过多种形式宣传与培育金融隐私权保护意识。
发挥行业自律机制作用
随着我国金融市场的稳健发展,商业银行数量在不断地增加,业务范围也在不断地拓展延伸,银行业协会在保护客户金融隐私权利方面同样是大有作为。一是通过提升行业服务水平,减少客户就金融隐私信息的投诉率;二是通过培训及通报等方式,有针对性解决商业银行突出侵犯客户金融隐私权的事件;三是银行业与社会中介服务行业合作时,统一规范对外提供涉及客户信息的方式方法,注意解决广告宣传、媒体报道等不当披露客户金融隐私行为;四是发挥行业协会作用,协调金融创新过程中银行间客户信息共享等问题,防止银行间出现客户金融信息不当收集、披露或者使用。
强化对金融隐私权侵权行为的惩治
金融隐私权是商业银行广大客户应当依法享有的一项基本权利。对于客户对商业银行侵犯金融隐私权的投诉,金融监管机构应当依法给予高度重视,严格依据《民法通则》、《商业银行法》、《银行业监督管理法》等有关规定,进行严肃查处,把客户金融隐私权保护纳入维护正常金融秩序和良好金融生态建设的范畴。对屡次发生侵犯客户金融隐私权行为的金融机构高级管理人员依法追究其行政责任。对由于侵犯客户金融隐私权行为而给客户造成经济损失、名誉损失的,人民法院应当依法判处金融机构承担相应的民事责任。对于金融机构从业人员或者社会不法分子泄露、窃取、收买公民个人信息行为,应当依据《刑法》规定追究其刑事责任。
加强金融隐私权保护法治建设
2002年全国人大委托有关专家起草了《民法典》草案,对隐私权的内容规定了自然人的生活安宁和宁静权、自然人的私人生活秘密权和自然人的通信自由权三方面权利,隐私权将成为我国未来法律正式确认的一项公民权利。我国著名民法专家杨立新教授在《侵权责任法》草案建议稿中,明确提出了“侵害信用权”,即以非法手段征集、使用他人信用信息,或者毁损他人信用,造成信用损害的,应当依法承担侵权责任。由此可见,我国有关隐私权的立法工作正在有序推进,与之相对应的《商业银行法》的修订亦应列入议事日程,并把客户金融隐私权利明确列入保护范围。同时在《个人信用信息基础数据库管理暂行办法》基础上,立法机关应尽快制定并颁行《个人数据信息保护法》,通过法律形式赋予信息主体相应权利,明确个人信息处理的基本原则、个人信息与商业银行信息披露的关系、个人敏感信息保护以及行业自律机制等相关内容,并就侵犯个人信息刑事责任做出明确具体规定。
加强金融隐私权的保护,是推进我国金融法制建设的一项重要内容。把金融隐私权纳入金融法制建设的日程,必能促进我国金融事业健康、有序的发展。
(作者单位:吉林省银行业协会)