银行客户金融隐私权的法律保护研究

邓 蕊 王 雪

（云南师范大学商学院 法学院，云南 昆明650106）

一、银行客户金融隐私权的基本理论

（一）金融隐私权的概念

隐私权的产生是人们不断追求自由的产物，随着时代的发展和法律传统的变迁，隐私权的内涵和外延也在不断变化。关于隐私权的概念，中外学者提出众多观点，本人认同王利明教授的观点，即隐私权是自然人享有的对其个人的、与公共利益无关的私人信息、私人活动和私人领域进行支配的一种人格权。［1］（P113）隐私权所包含的内容有三，即私人信息、私人活动、私人领域。

金融隐私权是隐私权在金融领域内的延伸和发展，指个人对其金融信息所享有的不受他人非法侵扰、知悉、收集、利用和公开的权利。金融信息应当包括：（1）客户身份识别信息，如姓名、性别、出生日期、婚姻状况、家庭关系、证件名称及号码、社会保障号、文化程度、联系方式、家庭住址等。这类信息一般处于较公开状态，因此只有当它们与金融活动联系在一起，可以产生识别银行客户的效果时，才属于银行客户隐私权的保护范围。（2）客户账户信息，如银行账号及密码、存贷款数额、交易记录、交易金额、透支记录、支付记录、持卡数量、资产数额、资产构成、资金来源去向等。（3）衍生信息，包括银行对个人资信等级评价、个人违约透支和拖延还贷等不良信用记录、交易习惯、生活水平、消费习惯和偏好、职业背景、社会交际状况、潜在价值、性格特点、业务往来对象等。（4）银行与客户在建立业务关系之前或终止业务关系后搜集的与客户有关的信息。

（二）银行客户金融隐私权的法律性质

现代社会中财产权客体的范围不断拓展，人格权与财产权的权利边界日益模糊，甚至出现两者相互结合而形成一种商业化利益的现象，学界称之为“人格权的财产性异化”，也称“人格权的商品化或人格权的物化。”［2］（P21）而银行客户隐私权就是这一变化的典型代表，它不仅局限于人格权范畴，而是随人格权的物化而物化。首先，它具有人格专属性和人身依赖性的特点，通过它能直接或间接识别特定自然人，不可抛弃、转移或继承。其次，它具有财产权的特点，即具有经济价值，其所保护的客体为金融信息，保护这些信息除了可以让权利主体获得生活以及精神上的安宁之外，还可以让其现有财产不受侵害。反之，金融隐私权受到侵害将会给主体带来巨大的财产损失和精神痛苦。最后，它具有可限制性，个人权利的行使可能为国家利益和公共利益让位，当然，这种合理的限制是以合法的目的和程序为前提的。

综上，金融隐私权与纯粹以精神利益为客体的传统人格权有着明显差异，它与信息所有者的经济利益密切相连，是一种兼具人格权和财产权性质的混合型权利。

（三）银行客户金融隐私权的权能

1.支配权能。支配权能在权能体系中处于核心位置，指银行客户对自己的个人财产信息的收集、储存、使用、传播等行为所享有的排他性的控制与支配的权利。银行客户为了办理业务或者进行交易而将一部分金融信息告知银行时，并没有放弃对这些信息的支配权利。只有赋予客户本人对其金融信息主动控制及支配的权利，才能防止银行侵害客户隐私的现象发生。

2.保密权能。保密权能是金融隐私权最基础、最本质的权能。因为客户的金融隐私原本就是一种与公共利益、公共领域无关，当事人不愿公众知悉或公众不便知悉的个人财产信息，客户有权决定隐瞒或公开其金融信息。同时，客户还有权要求银行等金融机构履行保密义务，禁止将其知晓的信息对外泄露或者许可他人使用，这是金融活动开始的前提和基础。

3.知情权能。隐私权与知情权是一对既冲突又互补的权利。客户为了保护自己的金融信息，自然有权知晓银行到底实施了哪些行为，例如搜集的信息内容、信息用途、信息公开的范围和程度以及银行采取的安全保护措施等，它是基础性、前提性的权利，同时也表现为银行的告知义务。［3］（P41－43）

4.救济权能。金融隐私权是一项绝对权利，权利人有权要求所有义务人不得侵害自己的合法权益。一旦义务人违反义务造成侵害，救济权能便由此产生，可见，它是保护性法律关系中的权利。银行客户在隐私遭到非法侵害时可以寻求相应救济，如要求侵权人停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失等，还可以主张精神损害赔偿。

二、我国银行客户金融隐私权的保护现状

（一）立法现状

1.我国立法中对隐私权的保护。我国《宪法》对隐私权保护的规定体现在第三十八条对公民人格尊严的保护、第三十九条对公民私人住宅的保护、第四十条对公民通信自由和通信秘密的保护。从《合同法》角度来看，该法第六十条、第九十二条规定当事人在履行合同过程中以及权利义务终止后都应该履行保密义务。2010年7月1日起施行的《侵权责任法》第二条最终确定隐私权为一项独立于名誉权的人身权利。同时，该法第六条、第二十二条还规定了侵犯隐私权的认定标准、一般构成要件和责任承担等有关内容，让隐私权的保护有了明确的法律依据。

2.我国立法中对银行客户金融隐私权的保护。目前，我国没有与美国的《金融隐私权利法案》或《银行保密法》、日本的《个人信息保护法》相似的专门规定，只在相关的金融立法中偶有提及，现有的法律规定分为两类：

第一类是关于银行保密义务的规定。最早规定银行保密义务的法律性文件是1989年4月施行《银行结算办法》。该办法第十一条规定：“银行依法为单位、个人的存款保密，维护其资金的自主支配权。除国家法律规定和国务院授权中国人民银行总行的监督项目以外，其他部门和地方委托监督的事项，各银行均不予受理，不代任何单位查询、扣款，不得停止单位、个人存款的正常支付。”随后，1992年12月国务院发布的《储蓄管理条例》第五条、第三十二条再次强调“国家保护个人合法储蓄存款的所有权及其他合法权益”、“储蓄机构及其工作人员对储户的储蓄情况负有保密责任。储蓄机构不代任何单位和个人查询、冻结或者扣划储蓄存款，国家法律、行政法规另有规定的除外。”此后，1995年5月通过的《商业银行法》第二十九条和第五十三条、1996年1月发布的《外汇管理条例》第十三条、1996年8月施行的《贷款通则》第二十三条、2000年4月施行的《个人存款账户实名制规定》第八条、2000年5月中国人民银行发布的《银发［2000］152号文件——中国人民银行关于严格执行〈个人存款账户实名制规定〉有关问题的通知》、2003年9月施行的《人民币银行结算账户管理办法》第九条、2004年2月施行的《银行业监督管理法》第十一条、2007年1月施行的《反洗钱法》第五条均对银行及工作人员的保密义务作出明确规定。

第二类是对银行保密义务例外的规定。银行对客户信息承担保密义务，有利于增进银行与客户的信赖关系，提高银行竞争力。但是金融信息常常与偷逃税款、贪污受贿、贩毒走私等犯罪活动紧密联系，为了公共利益或者国家利益的需要，银行有责任对客户信息在一定范围内进行披露。1990年10月施行的《行政诉讼法》第六十五条、1997年5月施行的《行政监察法》第二十一条、1998年12月最高人民法院、最高人民检察院、公安部、司法部、海关总署联合发布的《关于走私犯罪侦查机关办理走私犯罪案件适用刑事诉讼程序若干问题的通知》、2000年7月修订的《海关法》第六十条、2001年5月施行的《税收征收管理法》第三十八条和第五十四条、2006年1月施行的《证券法》第四十四条、2012年8月修订的《民事诉讼法》第二百四十二条、2012年3月修订的《刑事诉讼法》第五十二条均规定人民法院、人民检察院、公安机关、税务机关、海关等有权向银行、信用合作社和其他有储蓄业务的单位查询客户的存款等财产信息。

（二）立法现状的评价

从整体来看，我国现有的银行客户金融隐私权立法存在以下几个问题：

1.法律规范缺乏体系性。我国保护金融隐私权的规定散见于《商业银行法》、《银行业监督管理法》、《银行结算办法》等二十多部规范性文件中，立法简单而且散乱，各种规范性文件效力错综复杂甚至相互冲突，且在法律位阶上衔接不紧密。同时，现有的保护并不周全，仅限于金融机构不得泄漏客户信息方面，对于现实中泛滥的信息共享、接受方的再利用和信息的转移等问题丝毫没有涉及。

2.法律规范不具有可操作性。我国关于银行保密义务的规定过于抽象，只是笼统的提及“为储户保密”、“为存款人保密”，却没有具体规定银行的法定义务和客户的法定权利，甚至连最基本的保密义务的范围和外延都没有作出明确界定。而且，关于保密对象的规定也不一致，“存款”、“储蓄情况”、“商业秘密”等概念都曾被使用，导致执法与司法活动中缺乏统一的法律依据，最终影响法制的权威与尊严。

3.权利救济机制欠缺。“无救济则无权利”这句古老的法律谚语告诉我们：法律对公民的权利和自由规定得再完备、列举得再全面，如果当它们受到侵犯时，公民无法获得有效的法律救济的话，那么，这些权利和自由都将成为一纸空文。从相关立法现状来看，我国法律过多强调银行违反保密义务时应当承担行政责任和刑事责任，而关于弥补损害的民事责任的规定却寥寥无几，仅见于《商业银行法》第七十三条第四款：“商业银行有下列情形之一，对存款人或者其他客户造成财产损害的，应当承担支付迟延履行的利息及其他民事责任：（四）违反本法规定对存款人或者其他客户造成损害的其他行为。”这样的规定十分粗略且不具操作性，几乎只停留在形式意义上，这更使得金融隐私权的实现与保护难上加难。［4］（P49）

三、我国银行客户金融隐私权法律保护制度的构建

（一）宏观上完善我国金融隐私权的法律体系

首先，对现行立法中涉及银行保密义务和国家机关可披露信息的规定进行清理，修改、删除冲突矛盾的部分，形成统一的标准，实现法律规范的内在和谐，这是专门立法出台之前保护金融隐私权的基本依据。其次，在条件成熟的情况下借鉴美国的专门立法模式，针对银行业或者金融业的特点专门设立《银行保密法》或《金融隐私权法》。遵循“预防损害为主，事后救济为辅”的基本理念，明确金融机构和客户各自的权利和义务，特别强调金融机构的隐瞒义务和采取积极措施维护信息安全的义务。同时，该法应当对隐私侵害严重的行业给予重点保护，对合法披露情形作出具体限定，尽可能兼顾国家、行业和个人三方利益。最后，在基本法之外还可以由中国人民银行会同各行业的监督管理委员会出台具体的实施细则，监督各个行业具体落实隐私保护措施。

（二）微观上完善我国金融隐私权立法保护的具体内容

1.明确金融隐私权的保护原则。银行客户金融隐私权的保护应以预防损害为主，在保证客户信息安全的前提下合理利用信息以满足市场交易的需要，所以应确立以下原则：（1）客户参与原则，即客户有权参与银行收集个人信息的过程，并有权对信息进行确认、修改、补充、删除，以保证信息的准确无误。（2）限制使用原则，即银行通过某项业务获取的客户信息仅限于该项业务使用，只有在客户明确表示时才能用于其他用途。（3）安全保障原则，指银行及其工作人员有义务使自己所掌握的客户信息处于安全的状态，避免信息遭受破坏、泄露、灭失和非法使用。（4）责任承担原则，即银行及其工作人员违法收集、利用、出售、泄露客户信息的应当依法承担法律责任。［5］（P39）

2.通过立法明确规定银行客户金融隐私权的内容。（1）明确界定客户的范围，将银行客户的范围合理扩大到借款人、中间业务人以及所有与银行有着实际业务往来的主体。［5］P38（2）明确界定银行应为客户保密的信息范围，保密信息应当包括：账户信息、交易信息、财产信息以及银行或有关金融机构通过上述信息而获得的衍生信息。需要说明的是，这些信息的保密期限应当从银行接触客户信息时起至不再保存时止。如果双方的业务关系已经终止但银行一直保存客户信息，那么其保密义务仍然存在。（3）重视客户的信息权利主体地位，赋予客户对其信息的支配权、保密权、知情权和救济权等。客户有权查询、复制和使用由银行保存的与自己有关的信息，并有权更正或删除不实的信息内容，有权针对来源不明的信息提出质询。银行对客户个人信息的收集、发布、转让以及其他目的的使用，应当通过明确的方式告知客户并取得其书面同意。

3.对金融隐私权保护的例外情形予以准确界定。关于例外情形，在英国最早的判例“图尔尼尔”案中，法官就确认在以下四种情形下银行不必遵守保密义务：（1）基于法律强制性规定；（2）为了社会公共利益；（3）为了银行自身利益；（4）客户自主同意。［6］（P132）这四种情形已经成为金融隐私权保护例外的主流观点。关于“法律强制性规定”和“社会公共利益”两种情形，我国在专门立法中已经有详细而全面的规定。“客户自主同意”可以看作是权利主体对隐私权的自我放弃，只要该“同意”是真实的、明确的，且不违反法律强制性规定和善良风俗，就应当具有法律效力。而“为了银行自身利益”这一情形是否值得借鉴应当慎重考虑。因为银行与客户的地位十分悬殊，而“银行自身利益”的含义并不明确，这一规则很可能被滥用成为银行泄露客户信息的挡箭牌。法律应当认真权衡后做出恰当的安排。

4.构建合理的法律责任体系。构建合理的责任体系既有利于建立公平公正的司法体系，也是惩治违法行为、保护客户权益的基础所在。首先，要明确承担责任主体有三类，即银行及其工作人员、披露客户信息的国家机关及其工作人员以及其他盗窃、破坏、非法使用客户信息的人员。其次，针对三类主体分别设定处罚程序、责任内容、赔偿标准。最后，要改善不合理的责任体系。目前，在对金融隐私权的救济方面普遍存在着重行政责任和刑事责任轻民事责任的现象，这对金融隐私权的保护和救济十分不利。因此，立法中可以考虑引用《侵权责任法》第四条①《侵权责任法》第四条规定：“侵权人因同一行为应当承担行政责任或者刑事责任的，不影响依法承担民事责任。因同一行为应当承担民事责任和行政责任、刑事责任，侵权人的财产不足以支付的，先承担侵权责任。”的规定以突出民事责任的重要性和优先性。

（三）鼓励行业自律

在我国专门立法处于空白的情况下，行业自律就显得十分必要。随着服务理念的不断提升和科学技术的进步更新，金融领域中的新问题、新规则可能随时出现，行业出台自律公约可以迅速、高效、灵活地解决这些问题。2000年5月中国银行业协会成立，截至2013年7月，中国银行业协会共有340家会员单位和2家观察员单位，设立16个专业委员会，会员单位签署了《中国银行业文明服务公约》、《中国银行业自律公约》、《中国银行业从业人员道德行为公约》、《中国银行业金融机构企业社会责任指引》等二十多个自律性质的公约，［7］在维护银行业合法权益和市场秩序，提高银行业从业人员素质，促进银行业的健康发展方面发挥了无可替代的作用。

不过，我国银行业协会在发展壮大的过程中也面临着一系列急待解决的问题，如法律地位不够明确、与政府部门的关系不清、结构散乱等。针对这样的状况，需要着力改进以下方面：第一，明确银行业协会的法律地位，保障其社团法人和自律组织的独立地位。尤其需要理顺银行业协会与银监会的关系，它们分别为自律监管与外部监管的执行者，应当相互协调相互独立，但二者没有领导与被领导的行政关系。［8］（P7）第二，由中国银行业协会出面重组各地方银行业协会，打破银行业协会地区分割、各自为政、体系混乱的现状，将其纳入全国统一的组织之中。

（四）成立专门的监管机构

金融领域的分业经营导致了分业监管的局面，即中国人民银行不再履行监管职能，而由证监会、保监会、银监会分别对证券业、保险业、银行业实施监督和管理。然而，近年来银行、证券、保险等金融业务之间的依存关系不断加强，银保合作、银证合作以及中信集团、光大集团和平安集团等金融控股集团的出现使得混业经营成为一种无法逆转的趋势。随之而来的是金融业务交叉之处存在监管空白点，需要成立专门的监管机构，制定相应的监管体系标准，这样既能有效克服多头监管带来的政出多门、互相推诿的弊端，同时可以满足行业间优势互补、资源共享的需要，为金融业的健康发展营造公平、有序的环境。

最后，应当加强银行业整体的诚信建设，这既是其生存发展的内在要求，也是重建诚信社会的迫切需要。当然，客户也应当加强对法律法规、现行政策以及金融知识的了解和学习，提高自我保护意识，以便更好的维护自己的合法权益。

［1］陈志毅.金融消费者权益保护体系：比较、借鉴与中国构建前瞻［J］.宁夏社会科学，2012，（11）.

［2］王利明.试论人格权的新发展［J］.法商研究，2006，（5）.

［3］韩冷那.从征信体系实践论金融消费者信息权益的保护［J］.征信，2010，（6）.

［4］党玺.欧美金融隐私保护法律制度比较研究［J］.国际经贸探索，2008，（9）.

［5］张璇.银行客户金融隐私权的法律保护制度研究［D］.广州：广东商学院.2012.

［6］谈李荣.英美银行保密义务规则的冲突与制衡［J］.河北法学，2004，（10）.

［7］中国银行业协会网站［EB/OL］.http：//www.china－cba.net/.

［8］蔡银实.银行业协会自律监管机制研究［D］.西安：西北大学，2010.