1、案例:未经同意开通第三方存管业务引纠纷 刘某在某银行办理银行卡业务时,工作人员指导其用自助设备进行办理。结束后,刘某收到证券公司提醒短信:欢迎您开通某证券公司股票账户,该账户已与尾号为*的银行卡绑定。刘某遂要求该银行为其注销股票账户,但银行却解释,开通股票账户是证券公司人员并不是银行人员。因此一再推诿说不予办理。刘某遂致电12363进行投诉。该则案例即为个人金融信息保护被泄露引发的纠纷。案例分析随着信息技术的高速发展,金融行业对于客户信息的收集、处理、存储能力大幅提高,该类信息的收集能够帮助企业分析客户的收入与支出、消费能力、消费习惯、个人需求,因而该类信息的收集与运用就会产生价值,能够帮助识
2、别企业的潜在客户。该类信息就属于个人隐私的范畴,现实生活中这类信息的被泄露也经常见诸报端,如何保护客户的个人金融信息不被泄露,保护客户权利不被侵犯,也是世界各国均在研究的课题,我们国家在这方面的研究要落后于欧美等发达国家,今天我们在结合国际上对个人金融信息保护的现状对我国的相关法律作一下梳理和探讨。一、个人金融信息和个人金融隐私权(一)个人金融信息的概念界定 个人金融信息是指金融机构在与自然人客户发生业务往来时,基于交易相对方的地位所知悉、收集、使用、保存、加工的有关信息,包括但不限于个人基本身份信息、交易记录信息以及其他信息。2011年中国人民银行下发银发(2011)17号人民银行关于银行业
3、金融机构做好个人金融信息保护工作的通知,其中关于个人金融信息的表述为:个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:1?个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;2?个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;3?个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;4?个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映
4、其信用状况的其他信息;5?个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;6?衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;7?在与个人建立业务关系过程中获取、保存的其他个人信息。对于以上7类信息可以概括为身份信息和财产信息两大类,对于个人金融信息来讲尤以与身份相关联的财产信息及其衍生信息应当重点保护,这些信息也是个人金融信息被交易被泄露的主要对象。(二)个人隐私权与个人金融隐私权
5、 隐私权是一种基本人格权,是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的一种人格权,而且权利主体对他人在何种程度上可以介入自己的私生活,对自己的隐私是否向他人公开以及公开的人群范围和程度等具有决定权。隐私权的权能主要包括:1?隐瞒权能,即权利主体对自己的隐私予以隐瞒,不为他人知悉的权利;2?利用权能,权利主体有权利用自己的隐私从事自己愿意的活动而不被他人干涉的权利;3?请求救济权能,权利主体当其隐私权被不当侵害或泄露时有权寻求司法救济的权利;4?支配权能,即权利主体有权决定其个人信用信息是否允许第三方知悉及知悉的范围。也有人将个人金融信息称为
6、个人金融隐私权,是指信息持有者享有的与其信用或交易信息相关的控制支配权,与传统的个人隐私权相比,个人金融隐私权的关键在于其以信用信息为核心,保护信息的财产利益性,包括信息持有者财产状况、财产属性和财产流向。但个人金融隐私权与个人金融信息还是有一定区分的,金融隐私权侧重于隐瞒个人敏感类信息,范围较窄,与之相比,个人金融信息的范围则更为宽泛,对客户的保护则更全面。二、个人金融信息保护的范围(一)有人将个人金融信息作了三类划分,分别为客观信息、主观信息和其他信息。客观信息是指对客户的身份信息及金融信息作的客观记录,该类信息具有较强的人身属性,有的信息已经固定,有的信息较为稳定,更改的频率较低,这些信
7、息主要是指客户的身份信息和交易记录信息,身份类信息包括客户的姓名、性别、民族、出生日期、家庭住址、婚姻状况等。交易记录信息主要是批金融消费者基于交易活动而产生的各类金融信息,包括账户开立及金额变动情况、信用卡交易记录、信用报告中记载的信用情况、购买保险产品情况、与证券公司、基金公司交易情况等。主观信息是指金融机构在对金融消费者金融信息收集的基础上所做的加工整理分析的得出的信息或数据。据该等信息能够构划出金融消费者的交易习惯、交易偏好、交易需求、交易动机,从而能够帮助企业利用该信息辩识出金融消费者是否为其目标客户。其他类信息主要是指纳入征信系统的行政机关、司法机关对有关金融消费者进行惩处的信息,
8、该类信息可以被公众利用公开渠道查阅。如纳税、罚款、破产和刑事处罚的信息等。(二)个人金融信息应当扩大化,有利于个人金融信息的保护 传统意义上的银行客户是指在银行开立并持有帐户的自然人或企业,如果个人隐私权仅保护在银行开立并持有帐户的客户,则会有失片面,实践中对于下面几类客户也应当纳入金融隐私权的保护范围。1、在银行开立帐户前,银行与客户磋商过程中知悉的客户商业秘密,无论该客户是否开立帐户,银行均应保守客户的商业秘密;2、在客户开立帐户期间,银行通过与客户的往来掌握了客户的金融信息,在客户注销银行帐户后,银行对于帐户开立期间掌握的客户信息仍负有保密义务;3、当一项金融服务业务由几个银行协同完成时
9、,如银行票据汇竞业务,在开立帐户、转帐、汇款过程中可能牵涉到几个银行,在此过程中知悉客户金融信息的各银行均负有保护客户金融信息秘密的义务。三、个人金融信息保护中的法律关系分析 从个人金融信息的流动角度来分析,主要有两种流动渠道,一种为从金融消费者个人流向金融机构,一种为从金融机构流向其他机构,包括金融机构本集团各机构或各部门之间的信息共享和金融机构流向外包机构等其他机构。个人金融保护中的法律关系分析也主要就这两个渠道中各方当事人之间法律关系性质和权利义务进行分析。(一)金融消费者与金融机构之间的合同关系 个人与金融机构初次建立业务关系时,必须出示身份证,提供身份信息,在以后的业务办理中形成的金
10、融信息也会被金融机构收集并储存。个人与金融机构之间的法律关系为借款合同法律关系,对于个人消费者来讲主合同权利为利息的取得,义务为资金的提供,而对于个人金融信息向金融机构提供及金融机构对个人消费者信息的保护则属于从合同义务。在此法律关系中,金融机构必须控制采集信息的范围,采取严格保密措施,确保信息的安全性,未经客户同意或授权,不得将信息转移给第三人使用。(二)金融机构与业务外包服务机构之间流转个人金融信息的法律关系分析 金融机构将某些业务外包给其他机构处理,可以节约成本,提高效率,这样的业务流程就必然意味着个人消费者的个人金融信息会流向金融外包机构。金融信息的流动与共享对于提高金融服务的效率是有
11、益处的,有助于金融服务水平的提高。因此我们不能因噎废食,为了强调与保护个人消费者的金融信息而禁止其流动。当获得消费者的同意和授权后,这些金融信息是可以流转到业务外包机构的,在金融机构向外包机构流转金融信息的过程中,消费者与金融机构之间属于代理关系。国外对于此种情况有明确的法律规定,如欧盟法律规定,数据代理人应当与数据所有人签订书面契约,必须根据数据所有人的意见处理相关数据。美国法律规定金融机构可以开展外包业务,当涉及个人信息的输出时必须签订保密协议,以防范个人金融信息的泄露。(三)金融机构所在金融集团内部其他金融机构使用个人消费者金融信息的法律关系分析 同样道理,金融信息在金融集团内部的共享有
12、利于提高金融机构效率,降低成本,因此人为地阻碍金融信息在金融集团内部的流动与共享不利于金融创新,从发达国家的立法例来看,很多国家的立法均是允许关联的金融机构之间对金融信息的共享的,只不过在共享金融信息是附有条件的,就是取得个人金融消费者的授权。同一金融集团内部各金融机构之间的关系构成关联关系,对于关联关系企业之间使用金融信息时存在不当使用行为时也是对个人金融消费者权益的侵犯。如保险公司在给金融消费者办理人身保险时,采集到金融消费者有关身体疾病状况信息、收入能力等信息,从而决定承保范围和保费交纳数额问题,倘若该等信息被同一集团内部的银行共享,银行通过评估从保险公司获取的信息对金融消费者的偿债能力
13、进行评估分析,最终产生不公平授信,这会侵犯金融消费者的权益。四、个人金融信息保护的原则 在保护金融消费者个人金融信息时所采取的措施千差万别,但在设计流程及开展业务时应当遵守一些普适性原则,具体为:(一)合法合理原则 合法合理原则是指金融机构在收集使用个人金融信息时应遵守相关法律法规规章规定,合理利用信息资源。在收集消费者信息时遵循合理原则,仅收集与业务相关信息,不要过度收集。收集客户信息要仅用于办理与产生该信息有关的金融业务,在利用该信息对客户进行营销时,要做到适可而止,不让客户反感。合法合理原则是指在收集与使用个人金融信息时要把握好度。(二)分级管理原则 分级管理原则是指对已取得的金融消费者
14、的金融信息要根据信息的内容、性质划分不同的安全等级,并采取不同的保护措施,从而降低泄密的风险和危害。分级管理原则对于提高保护效力、划分责任主体、节约保护成本等具有积极意义。(三)权限制衡原则 权限制衡原则是指对于有权接触到消费者金融信息的工作人员的权限进行限定,并使之互相牵制,达到监督制衡的目的。(四)流程可溯原则 流程可溯原则是指个人金融信息的收集、保管、使用应具有明确的节点记录,即能清晰反映个人金融信息的流向,并具有可查性。对于电子系统,应具有清晰记录每一操作行为的功能,并能清晰表明行为主体及活动的内容。对于非电子系统,应健全书面交接手续,明确个人金融信息的使用情况及最终流向。五、我国个人
15、金融信息保护的法律规制(一)我国有关个人金融信息保护的法律、法规和规章 目前,我国在中华人民共和国中国人民银行法、中华人民共和国商业银行法、中华人民共和国证券法、中华人民共和国保险法等法律法规中,都有保护个人金融信息的条款。例如:商业银行法第六条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。第二十九条规定:商业银行办理个人储蓄存款业务,应当遵循为存款人保密的原则,对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。2?中华人民共和国反洗钱法第五条规定:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得
16、向任何单位和个人提供。3?刑法修正案第七条规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。4?征信业管理条例第十三条规定:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。第十四条规定:征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。第二十六条规定:信息主体认为
17、征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉,信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉。5?个人信用信息基础数据库管理暂行办法第十三条规定:商业银行查询个人信用报告时应当取得被查询人的书面授权,但对已发放的个人信贷进行贷后风险管理的除外。第三十九条规定:商业银行越权查询个人信用数据库,或将查询结果用于本办法规定之外的其他目的的,由中国人民银行责令改正,并处1万元以上3万元以下罚款;逾期不改正的,给予警告,并处以3万元罚款。6?其他规范性文件。中国人民银行关于银行业金融机构做好个人金融信息保护
18、工作的通知(银发201117号)规定,银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息和采取不正当的方式收集信息。银行业金融机构不得篡改、违法使用个人金融信息。在使用个人金融信息时,应当符合收集该信息的目的,不得出售个人金融信息,不得向本金融机构以外的其他金融机构和个人提供个人金融信息(但个人书面授权同意、以及法律法规另有规定的除外),不得在个人提出反对的情况下,将个人金融信息用于产生该信息以外的本金融机构其他营销活动。
19、金融机构要做好内控,防止个人金融信息泄露(1)建立规章制度 一要考虑将个人金融信息保护纳入对银行的总体风险监管框架中。制定银行客户个人信息保护的部门规章,对银行客户个人信息的采集、使用、保密等环节作了详细规定,明确对金融机构泄露或不当使用客户信息的予以处罚或采取监管措施。二是可依托银行业标准化委员会,建立金融客户个人信息保护的规范和标准,促进银行业构建个人信息保护工作的体制和机制。三是加强对银行个人金融信息保护工作的现场检查和非现场监督。(2)提升金融机构技术防范措施 商业银行自助机具、ATM机等设施存在的漏洞会成为不法分子利用的犯罪工具,网上银行等电子银行业务中的个人客户信息技术防范方面,易被攻击者破解导致用户密码被窃取,要加强金融机构技术防范措施,避免消费者金融信息泄露。3?做好宣传工作,提高金融消费者的保密意识 金融消费者无论是风险意识还是掌握的金融知识都很欠缺,金融机构应当加大对个人金融信息保护方面的宣传,教育金融消费者有保密意识,不随手丢弃包含个人重要身份信息或金融信息的资料。谢谢