歐盟金融隱私保護(hù)法律制度評(píng)價(jià)與啟示

王凌飛 陳亞楠 謝聲時(shí)

摘要:在現(xiàn)代社會(huì),隨著金融全球化、金融一體化、金融信息化的迅猛發(fā)展,如何規(guī)制金融隱私權(quán)、如何在保障金融機(jī)構(gòu)營(yíng)運(yùn)自由與尊重個(gè)人隱私權(quán)之間尋求利益平衡也已成為世界各國(guó)隱私權(quán)立法保護(hù)中的重點(diǎn)。文章試從歐盟金融隱私保護(hù)法律制度入手,探析完善我國(guó)金融隱私保護(hù)法律制度的相關(guān)措施。

關(guān)鍵詞:歐盟;金融隱私保護(hù);評(píng)價(jià)與啟示

一、金融隱私權(quán)的內(nèi)涵

金融隱私權(quán)(financial pri-vacy)是一個(gè)來(lái)自西方的概念,也可譯作“財(cái)務(wù)隱私權(quán)”,是個(gè)人對(duì)于本人金融資料(fi-nancial information)所享有的隱私權(quán)利,即個(gè)人控制收集、揭露和使用關(guān)于其本人金融交易或事務(wù)的權(quán)利。在消極方面,個(gè)人在與金融機(jī)構(gòu),包括與銀行機(jī)構(gòu)、證券機(jī)構(gòu)、保險(xiǎn)機(jī)構(gòu)的交易中,有要求交易相對(duì)人不得任意透露信息的權(quán)利,可以對(duì)抗來(lái)自于第三人的不當(dāng)侵犯;在積極方面,個(gè)人可以請(qǐng)求交易相對(duì)人改正對(duì)其產(chǎn)生不當(dāng)影響的不實(shí)金融記錄,甚至在受到損害時(shí)要求賠償。

金融隱私權(quán)不同于以精神性利益為客體的通常的隱私權(quán),它與信息持有者的經(jīng)濟(jì)利益或財(cái)產(chǎn)利益緊密相連,是一種兼具人格權(quán)與財(cái)產(chǎn)權(quán)性質(zhì)的混合性商事權(quán)利,是商事倫理制度化的產(chǎn)物。一般地說(shuō),金融隱私權(quán)所涉及的個(gè)人金融信息包括:有關(guān)賬戶的信息,包括賬戶上所存款項(xiàng)、收支情況、資金來(lái)源和去向、賬戶記錄、信用卡的情況;有關(guān)客戶交易的信息,包括交易標(biāo)的、種類、性質(zhì)、內(nèi)容、價(jià)格、當(dāng)事人、時(shí)間等;銀行因保管客戶的賬戶而獲得的與客戶有關(guān)的任何信息,主要指客戶提供給銀行的個(gè)人信息,包括姓名、住址、電話號(hào)碼以及個(gè)人收入狀況等及客戶的衍生信息,即對(duì)客戶的金融信息進(jìn)行分析的基礎(chǔ)上產(chǎn)生的主觀信息,如個(gè)人的交易習(xí)慣、消費(fèi)偏好等。

二、歐盟金融隱私權(quán)法律制度及評(píng)價(jià)

歐盟對(duì)于所有行業(yè)的隱私保護(hù)實(shí)行同一標(biāo)準(zhǔn)。歐洲議會(huì)和歐盟委員會(huì)于1995年通過(guò)了《關(guān)于對(duì)個(gè)人數(shù)據(jù)處理中的個(gè)體予以保護(hù)以及這些數(shù)據(jù)的自由流動(dòng)的指令》(Directive 95/46/EC on the protection of individu-alswith regard tothe processingof personal data and on the free movement of such data)(以下簡(jiǎn)稱《指令》)。《指令》有兩個(gè)目標(biāo),一是保證個(gè)人數(shù)據(jù)在網(wǎng)上的自由流動(dòng),另一個(gè)是為數(shù)據(jù)主體的隱私提供統(tǒng)一水平的保護(hù)。另外,《指令》規(guī)定,個(gè)人信息是指關(guān)于已識(shí)別或可識(shí)別的自然人即“數(shù)據(jù)主體”的任何信息;可識(shí)別的人是指可直接或間接地、特別是可通過(guò)識(shí)別號(hào)碼或其特定的生理、心理、經(jīng)濟(jì)、文化或社會(huì)身份等一個(gè)或多個(gè)因素而被識(shí)別的人。

(一)《指令》規(guī)定的金融隱私基本制度

1、保護(hù)范圍。(1)數(shù)據(jù)類型及處理形式。歐盟數(shù)據(jù)保護(hù)《指令》涵蓋的個(gè)人數(shù)據(jù)類型及處理形式比較廣泛,包括非財(cái)務(wù)數(shù)據(jù)、某些數(shù)據(jù)處理類型以及某些主權(quán)管轄范圍內(nèi)外的數(shù)據(jù)處理。關(guān)于金融數(shù)據(jù),《指令》的定義為“任何與一個(gè)被證實(shí)的或可以證實(shí)的自然人有關(guān)的信息”,同時(shí)它將“對(duì)個(gè)人數(shù)據(jù)的任何操作”也作為“數(shù)據(jù)處理”包含進(jìn)來(lái),使得數(shù)據(jù)保護(hù)法適用于幾乎所有數(shù)據(jù)處理操作類型,包括身份描述和身份分析。(2)地域范圍。為了防止大量個(gè)人信息被收集用以危害個(gè)人隱私,或者阻礙信息自由流動(dòng),歐盟《指令》覆蓋了廣泛的地理管轄范圍,包含了使用成員國(guó)或其管轄領(lǐng)土內(nèi)設(shè)備的數(shù)據(jù)控制者和處理者,還包含在第三國(guó)處理歐盟公民個(gè)人數(shù)據(jù)的情形。

2、數(shù)據(jù)主體對(duì)個(gè)人信息的存取權(quán)、獲得信息權(quán)和拒絕權(quán)。數(shù)據(jù)控制者或其代理人必須向其收集個(gè)人數(shù)據(jù)的數(shù)據(jù)主體提供有關(guān)控制者身份、數(shù)據(jù)處理目的的信息。每個(gè)數(shù)據(jù)主體均有權(quán)從控制者處獲取信息。數(shù)據(jù)主體有權(quán)以令人相信的有關(guān)其個(gè)人情況的合法理由隨時(shí)拒絕有關(guān)其個(gè)人的數(shù)據(jù)處理,有權(quán)拒絕控制者為直接營(yíng)銷目的計(jì)劃進(jìn)行的數(shù)據(jù)處理,或者有權(quán)在私人數(shù)據(jù)首次為直接營(yíng)銷之目的向第三方披露前或代表他們使用前,得到通知,并可以明確地取得拒絕此類披露或使用的權(quán)利,且不承擔(dān)費(fèi)用。

3、數(shù)據(jù)處理合法性原則。個(gè)人數(shù)據(jù)僅在下列幾種情況下方可處理:(1)數(shù)據(jù)主體毫不含糊地表明其同意;(2)為履行數(shù)據(jù)主體作為一方當(dāng)事人的合同,或在簽訂合同時(shí)經(jīng)數(shù)據(jù)主體請(qǐng)示為采取措施有必要處理時(shí);(3)為履行約束控制者的義務(wù)有必要處理時(shí);(4)為保護(hù)數(shù)據(jù)主體的重大利益有必要處理時(shí);(5)為公共利益或者獲得接受信息披露的第三人正式授權(quán)而完成有關(guān)事務(wù),有必要處理時(shí);(6)控制者為追求合法利益,有必要時(shí)。禁止處理敏感數(shù)據(jù),禁止泄露種族、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)身份的私人數(shù)據(jù)的處理,并禁止有關(guān)健康和性生活的數(shù)據(jù)的處理。

4、數(shù)據(jù)質(zhì)量原則。《指令》規(guī)定了數(shù)據(jù)質(zhì)量原則。數(shù)據(jù)必須準(zhǔn)確地得到處理,收集數(shù)據(jù)必須是為特定、明確且合法的目的,數(shù)據(jù)收集和處理必須是相關(guān)的、不過(guò)度的。數(shù)據(jù)必須及時(shí)更新,數(shù)據(jù)保存不得超過(guò)必要的時(shí)間。

5、消費(fèi)者對(duì)信息共享的控制標(biāo)準(zhǔn)。首先,在歐盟,數(shù)據(jù)的處理必須符合指定的用途。除非滿足某些條件以確保處理是“公平合法”,否則,不可隨意對(duì)數(shù)據(jù)進(jìn)行處理、使用和轉(zhuǎn)移。如果用于非指定用途,數(shù)據(jù)控制者必須從數(shù)據(jù)主體那里得到明確的授權(quán),或者這種使用對(duì)于另外一些重要利益來(lái)說(shuō)是必不可少的,如為了履行合同或者為了數(shù)據(jù)主體的“重大利益”。其次,在歐盟,消費(fèi)者可以對(duì)向關(guān)聯(lián)方轉(zhuǎn)移數(shù)據(jù)進(jìn)行選出(opt out)。金融機(jī)構(gòu)是多種行業(yè)的聯(lián)合大企業(yè),如綜合銀行,數(shù)據(jù)保護(hù)法允許在公司內(nèi)部各部門之間實(shí)現(xiàn)自由共享。歐盟《指令》對(duì)數(shù)據(jù)處理方與代理人之間的合約關(guān)系又多有限制,它特別規(guī)定,除非得到數(shù)據(jù)控制者的指示,否則數(shù)據(jù)處理者不得處理數(shù)據(jù)。此外,數(shù)據(jù)控制者對(duì)確保數(shù)據(jù)處理的安全負(fù)有最后責(zé)任。最后,歐盟《指令》規(guī)定,如果數(shù)據(jù)主體“明確表示同意”,則數(shù)據(jù)處理是合法的。

6、關(guān)于司法救濟(jì)、法律責(zé)任和制裁。數(shù)據(jù)主體在不影響任何有規(guī)定的行政救濟(jì)的情況下,有權(quán)向司法機(jī)關(guān)尋求救濟(jì)。任何人由于非法處理操作和任何違反根據(jù)該批示所采取的國(guó)家法律的行為而遭受損害時(shí),有權(quán)要求損害賠償。各成員國(guó)應(yīng)采取適當(dāng)?shù)拇胧┮源_保該指示的全面實(shí)施,特別應(yīng)該制裁違反根據(jù)該指示所采取的規(guī)定的行為。

(二)對(duì)《指令》的評(píng)價(jià)

1、雖然《指令》第25條對(duì)數(shù)據(jù)轉(zhuǎn)移做出限制性規(guī)定,但是在一些國(guó)家沒有得到完全的履行,而且有證據(jù)表明歐盟金融機(jī)構(gòu)也在大量收集數(shù)據(jù)。雖然歐盟可能將防止數(shù)據(jù)轉(zhuǎn)移的理論上的權(quán)利視作一項(xiàng)重要權(quán)利,但是實(shí)際上,它也并不能為歐盟公民提供更多實(shí)際保護(hù)。那些由于經(jīng)營(yíng)原因而決定大量收集信息的機(jī)構(gòu)總會(huì)找到收集的途徑。

2、《指令》規(guī)定,如果數(shù)據(jù)主體“明確表示同意”,則數(shù)據(jù)處理是合法的。但是,實(shí)際上,歐盟的國(guó)內(nèi)數(shù)據(jù)保護(hù)官允許一個(gè)選出的機(jī)制,只是對(duì)敏感數(shù)據(jù)保留選入的嚴(yán)格標(biāo)準(zhǔn)。歐盟《指令》并沒有明確規(guī)定構(gòu)成同意的形式,因而在成員國(guó)之間廣泛認(rèn)同選出標(biāo)準(zhǔn),而不是選入標(biāo)準(zhǔn)。因?yàn)閷?duì)于金融機(jī)構(gòu)及其服務(wù)的人們而言,選入機(jī)制的成本太過(guò)高昂。

3、歐盟數(shù)據(jù)保護(hù)《指令》規(guī)定了數(shù)據(jù)主體的存取權(quán),但數(shù)據(jù)主體的查詢權(quán)實(shí)際上并沒有《指令》表面上所顯示的那樣廣泛。對(duì)一般查詢權(quán)有幾個(gè)重要的限制,包括查詢權(quán)不得構(gòu)成對(duì)數(shù)據(jù)控制者的不適當(dāng)?shù)呢?fù)擔(dān)。而且,個(gè)人信息查詢權(quán)不包括那些個(gè)人只是作為一個(gè)參與者而不是數(shù)據(jù)主體的檔案。統(tǒng)計(jì)數(shù)據(jù)表明,在歐盟,查詢需求量并不大。

三、我國(guó)的金融隱私保護(hù)法律制度現(xiàn)狀及其完善

(一)我國(guó)的金融隱私保護(hù)法律制度現(xiàn)狀

目前我國(guó)對(duì)于金融隱私權(quán)的保護(hù)仍然沒有專門的立法,最早規(guī)定銀行保密義務(wù)的是1992年的《儲(chǔ)蓄管理?xiàng)l例》第5條,該條規(guī)定“儲(chǔ)蓄機(jī)構(gòu)辦理儲(chǔ)蓄業(yè)務(wù),必須遵循為儲(chǔ)戶保密的原則”。此外,1995年《商業(yè)銀行法》第29條中規(guī)定:“商業(yè)銀行辦理個(gè)人儲(chǔ)蓄存款業(yè)務(wù)應(yīng)遵循為存款人保密的原則。對(duì)個(gè)人儲(chǔ)蓄存款,商業(yè)銀行有權(quán)拒絕任何單位或個(gè)人查詢、凍結(jié)、扣劃,但法律另有規(guī)定的除外”。雖然上述兩項(xiàng)規(guī)定都體現(xiàn)了銀行保密原則,但極為籠統(tǒng),簡(jiǎn)單零散,側(cè)重于銀行對(duì)金融隱私權(quán)保護(hù)的義務(wù)規(guī)定,缺乏系統(tǒng)性和協(xié)調(diào)性,無(wú)法應(yīng)對(duì)現(xiàn)實(shí)情況的多樣性與復(fù)雜性,難以有效地保護(hù)客戶的金融隱私權(quán)。同時(shí),我國(guó)也沒有明確的隱私權(quán)保護(hù)制度。目前,我國(guó)公民的個(gè)人隱私都是放在《民法通則》的名譽(yù)權(quán)下進(jìn)行間接保護(hù)。2003年開始起草的《個(gè)人信息保護(hù)法》保護(hù)對(duì)象是公民的個(gè)人信息,即一切可識(shí)別為是特定自然人的屬人或?qū)偈碌男畔?當(dāng)然也包括公民的金融信息,但至今沒有出臺(tái)。如何保護(hù)金融隱私權(quán)成為我國(guó)法律界亟待解決的問題。

(二)完善我國(guó)金融隱私保護(hù)法律制度的相關(guān)建議

以《指令》為代表的歐洲模式是當(dāng)今世界個(gè)人資料保護(hù)的最高標(biāo)準(zhǔn)。歐盟實(shí)行一體化保護(hù),不分行業(yè),隱私保護(hù)堪稱全世界最高水平。但是成員國(guó)在實(shí)際上對(duì)《指令》做出種種變通規(guī)定,法律上的文字規(guī)定和實(shí)際保護(hù)水平存在一定差異,實(shí)際上降低了《指令》的可執(zhí)行性。以此來(lái)看,從我國(guó)實(shí)際國(guó)情來(lái)看,我國(guó)立法保護(hù)金融隱私權(quán)應(yīng)以預(yù)防損害,而不是保證消費(fèi)者個(gè)人信息控制權(quán)為首要目標(biāo),首先應(yīng)滿足比較低的金融隱私保護(hù)標(biāo)準(zhǔn),這樣既不至于給金融機(jī)構(gòu)的經(jīng)營(yíng)管理以太大的壓力,又可以符合我國(guó)目前的國(guó)情。

1、我國(guó)應(yīng)該在民法中確認(rèn)隱私權(quán)保護(hù)制度,對(duì)其提供直接保護(hù)。我國(guó)對(duì)隱私權(quán)一直進(jìn)行間接保護(hù),這不利于保護(hù)我國(guó)公民的人格尊嚴(yán),也不利于公民金融隱私信息的保護(hù)。我國(guó)隱私權(quán)制度的確立已經(jīng)刻不容緩。在此基礎(chǔ)上,對(duì)金融隱私權(quán)立法。明確金融隱私權(quán)的內(nèi)容、金融隱私權(quán)保護(hù)的內(nèi)容、主客體及明確金融隱私權(quán)保護(hù)的例外情形和救濟(jì)機(jī)制等。我國(guó)目前的立法現(xiàn)狀是要制定一部《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息進(jìn)行統(tǒng)一保護(hù)。我國(guó)立法機(jī)關(guān)的統(tǒng)一立法模式是在認(rèn)真分析我國(guó)具體國(guó)情基礎(chǔ)上做出的正確選擇。但是,統(tǒng)一立法對(duì)金融信息的保護(hù)是遠(yuǎn)遠(yuǎn)不夠的。因?yàn)榻鹑谛畔⑾啾绕渌钠胀ㄐ畔⒕哂刑厥庑?需要進(jìn)行專門的法律規(guī)制。因此,我國(guó)的金融管理部門應(yīng)當(dāng)制定具體的實(shí)施細(xì)則配合《個(gè)人信息保護(hù)法》在金融領(lǐng)域的施行,規(guī)范金融領(lǐng)域個(gè)人信息的保護(hù),盡快制定具體的實(shí)施細(xì)則。

2、要處理好金融信息權(quán)與政府知情權(quán)的關(guān)系。要明確規(guī)定信息持有人應(yīng)有的保護(hù)個(gè)人信息的權(quán)利。包括知情權(quán)、修改權(quán)和索賠權(quán)等。信息持有人有權(quán)要求保障其信息免受非法和不正當(dāng)使用的侵害,而且應(yīng)當(dāng)有決定何時(shí)、何地以何種方式與外界溝通其信息的主動(dòng)支配權(quán);有權(quán)質(zhì)詢其信息如何收集、使用和管理,查閱、抄錄或者復(fù)制自身的有關(guān)資料,有權(quán)阻止某些個(gè)人信息的發(fā)布、轉(zhuǎn)讓、出售。應(yīng)采取措施保障客戶能夠及時(shí)知道關(guān)于自己資料的存在及內(nèi)容,以便其在必要時(shí)要求修正。同時(shí),政府應(yīng)享有對(duì)于與國(guó)家利益相關(guān)的金融信息的全部知情權(quán)。

參考文獻(xiàn):

1、陳永.歐盟和美國(guó)關(guān)于信息隱私保護(hù)的比較研究[J].北大國(guó)際法與比較法評(píng)論,2003(2).

2、Alfredo Sousa De Jesus.Data Protection in EUFinancial Services[J].ECRI ResearchReport,2004(6).

3、國(guó)家保密局法規(guī)處.德國(guó)荷蘭保密法律制度[M].金城出版社,2001.

4、程合紅.商事人格權(quán)論[M].中國(guó)人民大學(xué)出版社,2001.

(作者單位:中國(guó)人民銀行海口中心支行)