信息时代下美国的个人金融信息保护制度及借鉴

邵舒嘉

(杭州金投资本管理有限公司，浙江 杭州310016)

信息时代下美国的个人金融信息保护制度及借鉴

邵舒嘉

(杭州金投资本管理有限公司，浙江 杭州310016)

随着互联网“大数据”的持续发展，人们对金融机构所有的消费者个人信息的风险产生了越来越多的关注。美国作为一个拥有成熟金融市场的国家，已有了完善的个人金融信息保护制度体系，通过逐步实施信息披露和隐私权保护制度，满足金融业迅速发展的需要。对美国金融保护制度的发展过程及不同层面金融保护制度进行分析，对照我国现有金融保护制度的缺陷，提出我国可借鉴外国先进立法模式，完善金融保护法律条款，制定与我国实际相适应的保护个人金融信息的立法模式。

金融客户；个人信息；保护制度；借鉴意义

随着时代的发展和科技的日新月异，今天的数据信息已经跨越公司、跨越财团、跨越国界，成为了真正全球化的一大标志。由于它隐形的巨大价值，也被定义为民主社会和市场经济发展进步的重要基石。而在庞杂的各类数据信息中，不断加强的个人信息技术处理能力使得金融服务业演变成另一种模式的“信息产业”，使得金融信息成为具有重大价值的资源。

目前信息交流越来越多，信息泄露的风险也日益增多，金融信息全球化在给世界人民带来便利的同时，迫切需要用制度有效保护个人金融隐私权和金融隐私权与政府知情权的关系是各国金融信息立法保护中的重点。

一、客户个人金融信息的内涵

金融机构与客户缔结合同时，就了解了客户的大量个人信息，可是客户信息的保密义务，如果金融机构不履行的话，可能使客户金融信息处于危险的境地，引起客户生活的困扰，影响个人生活。有研究表明，金融机构对客户个人信息的保密工作做得好的银行有更大的吸引力[1]。

1999年11月12日美国颁布的《金融服务现代法》[2]中最后一段“Amm-Leach-Bliley Act”定义了客户金融隐私权的内容为非公开的个人信息(nonpublic personal information)，即金融机构在提供金融产品或服务方面收集的关于客户的任何“个人身份识别财务信息”(除非该信息是“公开可用的”)，但美国的司法实践和学术界的普遍观点都扩大了金融隐私权的内涵，即将其定义为客户金融信息：为了某种目的可利用的且未经利害关系人明确同意的敏感个人信息。

二、美国的个人金融信息保护制度及执行机构

在个人金融信息保护方面，美国已有了与欧盟立法不同的制度体系，并实施了专门领域特殊立法模式——一种截然不同的分散的立法模式[3-4]。

(一)美国个人金融信息保护制度的主要执行机构

1.美国联邦贸易委员会

1914年，根据《美国联邦贸易委员会法案》(The Federal Trade Commission Act)成立的美国联邦贸易委员会(FTC)，是负责美国个人金融信息和数据安全事务的主要执行机构之一。法案的第5节规定了该委员会拥有禁止不公平或欺诈性贸易行为的执行权力，由此项权力，联邦贸易委员会对国内所有行业明确了信息数据保护的责任。此外，联邦贸易委员会有权监控数据泄露，并可以起诉相关机构涉嫌不公平或欺骗性的行为，包括涉及隐私政策。

近年来，随着信息化社会的逐步迈进，美国联邦贸易委员会也不断改进和调整自身的工作内容。如2012年3月，联邦贸易委员会专门成立了隐私和身份信息保护部门并发布了“最终隐私报告”，其中包括准则、实际应用以及对联邦立法的建议条款。另外，联邦贸易委员会和其他几个联邦机构联合颁布了规范金融机构职员向第三方机构提供客户信息的最终要求，针对那些没有遵守信息和数据安全要求的金融机构强制执行信息保护政策，包括一些惩罚措施。

2.美国消费者金融保护局

美国消费者金融保护局是根据2010年通过的《多德·弗兰克华尔街改革和消费者保护法案》(the Dodd-Frank Wall Street Reform and Consumer Protection Act)所创立的,它主要保护消费者在金融领域的各项权益，其中也自然涵盖了客户的个人金融信息保护权，该法案的管辖对象也涵盖了银行、信用社、证券公司、抵押服务业等大多数的美国金融机构。

美国为完善本国的金融隐私权制度，对专门领域进行了特殊立法，逐步及时调整经济社会发展中的法律问题。美国与瑞士严格的保密制度不同，客户信息保密制度较为灵活，在不断完善信息披露制度的同时不断扩大个人金融信息保护范围，促进了公民隐私权和信息披露间的关系。

美国是世界上保护金融消费者最全面的国家之一。美国银行被公认为对账户的信息、客户交易的信息、在保管客户的账户时银行获得的与客户有关的任何信息等三方面客户的个人金融隐私权的保护以及拒绝查询的权利，有效地制约了公权力的行使[5]。

目前，美国的客户金融信息保护的法律制度包括联邦法律规定、州法律规定、自律规范、行为守则等，这些庞大且零散的规范文件在实际生活中为金融机构实现保护客户隐私，指明了方向，限定了行为，同时也维护了客户个人的财产权利和人身权利。

(二)美国联邦层面的个人金融信息保护

1．《公平信用报告法案》(The Fair Credit Reporting Act)

1970年颁布的《公平信用报告法案》(FCRA)是一部联邦法案，它规范了金融机构如何正确收集、披露和使用客户信息。这些客户信息涉及信贷发放、保险投放、支票签发、医疗记录和租房历史等。该法案由美国联邦贸易委员会和其他社会组织监督执行。

2．《格雷姆·里奇·比利雷法案》(Gramm-Leach-Bliley Act)

1999年颁布的《金融服务现代法》，其中《格雷姆·里奇·比利雷法案》第五部分规范了那些拥有账户、借款、投资或保险信息的金融机构必须让客户知晓它的信息保护政策的具体内容、它是如何采集和保护个人信息的、它收集和分享个人金融信息的权利与义务等多方面内容。

此外，在联邦层面，还有2003年的《公平和准确信用交易法》(the Fair and Accurate Credit Transactions Act,)，2004年的《支付卡行业数据安全标准》(the Payment Card Industry Data Security Standard)，2006年的《电子资金转移法》(the Electronic Fund Transfer Act)和《平等信贷机会法》(the Equal Credit Opportunity Act)，2009年的《数据责任和信托法》(the Data Accountability and Trust Act)、《个人数据隐私和安全法》(the Personal Data Privacy and Security Act)以及《数据泄露通知法》(the Data Breach Notification Act)等法案，这些法案提出了金融机构在披露金融信息时，具有通知的强制责任要求，从而进一步规范了信息化时代下保护金融交易信息的相关法律制度。

(三)美国各州层面的个人金融信息保护

除了联邦法律规范，在各州同样执行它们的法律制度，这其中既有涉及不公平和欺诈性交易的实践法案，也有各州自身的隐私法和数据安全法。

其具体内容主要有以下三类：1.州宪法中的隐私保护条款。这些条款大多限制性规范了个人金融信息的出售、交换或传播；2.州普通法。被泄露自身金融信息的客户有时可以引述州普通法中如隐私、诽谤或默认合同条款来维护其权利；3.金融隐私法。大多数州的金融隐私法限定只可将信息披露给政府机构。

近年来，随着信息技术的不断发展，各州在涉及金融信息安全内容的法律和法规的制定上提出了更加具体的保障要求。比如，俄勒冈州在2007年颁布的《俄勒冈州预防身份盗用法》(The Oregon Identity Theft Prevention Act) 要求拥有个人金融信息的任何个体(机构或个人)都能制定严密的信息保障计划，包括管理保障措施、技术保障措施和物理保障措施。其中管理保障措施包括指定员工协调方案，确定合理的可预见风险，评估当前保障措施的充分性，并适时进行调整，以解决新的风险或变化。技术保障措施包括评估在网络和软件设计的风险，检测、预防和应对系统故障或攻击，并定期测试、监控系统和程序。物理安全措施包括评估信息风险的贮存和处置，检测、预防和应对入侵，防止个人信息的非法访问。马萨诸塞州政府于2007年颁布的安全泄露通知法赋予了“消费者事务和商业活动规范办事处“(the Office of Consumer Affairs and Business Regulation)具有公布数据安全法规的权利。这些法规强制规范了一些数据保护标准，包括要求各家金融机构应对客户加密处理后的数据信息储存。内华达州政府在2009年制定了数据安全法通过一系列加密要求以规范那些数据信息收集者。数据信息收集者必须遵守《支付卡行业数据安全标准》(Payment Card Industry Data Security Standard)或者遵守其他加密要求。无论是收集、储存、转移个人信息数据都要求金融机构采用加密技术。

在美国，银行客户个人信息的保护还有特殊的监管模式，所以“美国银行家协会”制定出的行业规范能够切合实际，成为银行金融机构遵循的行为准则。美国是非常严格有条件按程序限制银行披露客户个人信息的，有了有效的监管，金融业在平衡个人金融信息保护和社会公共利益方面得以健康发展[6]。

三、美国个人金融信息保护制度对我国的借鉴意义

目前在我国法治环境下，客户的个人信息不能用隐私权进行有效的保护，究其原因，一是我国法律并没有把个人金融信息作为独立的民事权利加以保护，二是我国个人隐私只是个人信息的一部分。对违规查询、泄漏客户信息的情况，监管部门尚无处罚的依据，发生的侵害个人信息的行为得不到相应的惩罚，给客户个人信息带来重大的安全隐患。现阶段我国对银行客户个人信息保护的法律条款是不全的，迫切需要加强个人金融信息保护立法[7]。

从20世纪30年代开始，美国等国重视对金融信息的保护，目前我国银行业飞速发展，但我国对金融信息的保护不及美国等国家，这有可能会引起信用危机，所以金融信息保护制度对我国来说十分重要[8]。

目前，我国银行业大多通过构建信息安全技术保障体系来保护银行客户个人信息，以防范外来的攻击，对内部员工的管理不够重视。由于大量的客户信息很方便就被银行内部员工接触，给客户个人金融信息带来了极大的安全隐患。

《商业银行法》在保护客户个人信息方面具有明显的漏洞，各商业银行应逐步严格实施并承担银行个人身份信息和个人金融信息的保密义务[9]。当然，目前世界各国过严的银行保密体系，也会带来一系列的弊端，特别是执法机构获取相关银行客户信息时特别困难，如何权衡制约是值得进一步探讨的。

美国视个人金融信息为商品，也强调信息的流通，但我们认为统一的个人信息保护法不适合我国的国情[10]，我国尚且没有金融隐私权的立法经验，所以在短期内还不能出台。目前可考虑先对银行个人信息进行立法，为我国的《个人信息保护法》做好准备，在制度上维护客户的合法权益[11]。

微观层面，银行及其工作人员若侵害客户信息时，应该承担相应的责任。明确个人金融信息的具体内涵及界定的具体标准，可有效实施对金融信息的保护。个人金融信息的保护主要在金融机构，明确可能涉及获取、收集、储存客户金融信息的金融机构的范围，要求这些金融机构落实相关问责制度，强化内部管理，规定信息收集的种类、目的、用途、向第三方披露的条件以及客户的权利是目前可操作并需要尽快完善的事宜。

目前我国尚没有专门的个人信息保护立法，而应对不断推进的数据化时代，国家必须明确个人金融信息保护是监管中非常重要的一环。明确具体监管部门，建立个人金融信息保护评价标准体系，细化监督检查措施，通过适当的惩戒，督促金融机构履行保护客户金融信息的义务势在必行[12]。

[1]GREGORY T NOJEIM.Financial Privacy.[J]. New York Law School Journalof Human Rights, 2000,81.

[2]阳露昭,丁丽雪.美国的金融信息保护制度及其对我国的启示[J].浙江金融．2009(5):22-23．

[3]COVINGTON P E M, MUSSELMAN M S. Recent Privacy and Data Security Developments[J].Business Lawyer, 2010, 65(2):611-620.

[4]VIRGINIA BOYD.Financial Privacy in the United States and the European Union: A Path to Transatlantic Regulatory Harmonization[J].Berkeley Journal of International Law ,2006:939．

[5]LI W T S, FRASHER M. The cross-Atlantic tussle over financial data and privacy rights[J]. Business Horizons, 2013, 56(6):767-778.

[6]PATRICIA E M. Covington and Meghan S. Musselman，Recent Privacy and Data Security Developments[J].Business Law, 2009-2010:611．

[7]朱庆华,颜祥林,袁勤俭.信息法教程[M].北京:高等教育出版社,2011.

[8]齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009.

[9]郭丹.金融服务法研究:金融消费者保护的视角[M].北京:法律出版社,2010.

[10][美]肯尼斯·斯朋.美国银行监管制度[M].第五版.中国银行业监督管理委员会译.上海:复旦大学出版社,2008．

[11]曹建华,高泽湖,从规则到原则——FSA监管方法改革及对我国银行业监管的启示[J].中国金融,2007(13):50-52.

[12]巴曙松.金融消费者保护:全球金融监管改革重点[J].资本市场,2010(4):56-58.

(责任编辑 王海雷)

The American Personal Financial Information Protection System in Information Age

Shao Shujia

(Hangzhou Jintou Capital Management Co., Ltd., Hangzhou, Zhejiang310016)

In recent years, with the continuous development of Internet “big data”, increasing attention has been paid to the risk of personal information of all financial institutions. The United States, a country with a mature financial market, boasts a perfect system of personal information protection system through the progressive implementation of information disclosure and privacy protection system to meet the rapid development of the financial industry. Through the analysis of development history of the financial protection and the different levels of financial protection system in the United States, and compared with China’s existing financial information protection system, the present paper attempts to propose that China learn from the foreign advanced legislation model, perfect the legal provisions of financial protection, and formulate the legislative model of protecting personal financial information compatible with China’s actual conditions.

financial client; personal information; protection system; reference significance

10.16169/j.issn.1008-293x.j.2017.10.022

F830

A

1008-293X(2017)10-0110-05

2016-10-20

邵舒嘉(1983- )，女，浙江杭州人，杭州金投资本管理有限公司经济师，研究方向：金融法、银行法。