邵舒嘉

(杭州金投資本管理有限公司，浙江 杭州310016)

信息時代下美國的個人金融信息保護制度及借鑒

邵舒嘉

(杭州金投資本管理有限公司，浙江 杭州310016)

隨著互聯(lián)網(wǎng)“大數(shù)據(jù)”的持續(xù)發(fā)展，人們對金融機構(gòu)所有的消費者個人信息的風險產(chǎn)生了越來越多的關(guān)注。美國作為一個擁有成熟金融市場的國家，已有了完善的個人金融信息保護制度體系，通過逐步實施信息披露和隱私權(quán)保護制度，滿足金融業(yè)迅速發(fā)展的需要。對美國金融保護制度的發(fā)展過程及不同層面金融保護制度進行分析，對照我國現(xiàn)有金融保護制度的缺陷，提出我國可借鑒外國先進立法模式，完善金融保護法律條款，制定與我國實際相適應的保護個人金融信息的立法模式。

金融客戶；個人信息；保護制度；借鑒意義

隨著時代的發(fā)展和科技的日新月異，今天的數(shù)據(jù)信息已經(jīng)跨越公司、跨越財團、跨越國界，成為了真正全球化的一大標志。由于它隱形的巨大價值，也被定義為民主社會和市場經(jīng)濟發(fā)展進步的重要基石。而在龐雜的各類數(shù)據(jù)信息中，不斷加強的個人信息技術(shù)處理能力使得金融服務業(yè)演變成另一種模式的“信息產(chǎn)業(yè)”，使得金融信息成為具有重大價值的資源。

目前信息交流越來越多，信息泄露的風險也日益增多，金融信息全球化在給世界人民帶來便利的同時，迫切需要用制度有效保護個人金融隱私權(quán)和金融隱私權(quán)與政府知情權(quán)的關(guān)系是各國金融信息立法保護中的重點。

一、客戶個人金融信息的內(nèi)涵

金融機構(gòu)與客戶締結(jié)合同時，就了解了客戶的大量個人信息，可是客戶信息的保密義務，如果金融機構(gòu)不履行的話，可能使客戶金融信息處于危險的境地，引起客戶生活的困擾，影響個人生活。有研究表明，金融機構(gòu)對客戶個人信息的保密工作做得好的銀行有更大的吸引力[1]。

1999年11月12日美國頒布的《金融服務現(xiàn)代法》[2]中最后一段“Amm-Leach-Bliley Act”定義了客戶金融隱私權(quán)的內(nèi)容為非公開的個人信息(nonpublic personal information)，即金融機構(gòu)在提供金融產(chǎn)品或服務方面收集的關(guān)于客戶的任何“個人身份識別財務信息”(除非該信息是“公開可用的”)，但美國的司法實踐和學術(shù)界的普遍觀點都擴大了金融隱私權(quán)的內(nèi)涵，即將其定義為客戶金融信息：為了某種目的可利用的且未經(jīng)利害關(guān)系人明確同意的敏感個人信息。

二、美國的個人金融信息保護制度及執(zhí)行機構(gòu)

在個人金融信息保護方面，美國已有了與歐盟立法不同的制度體系，并實施了專門領(lǐng)域特殊立法模式——一種截然不同的分散的立法模式[3-4]。

(一)美國個人金融信息保護制度的主要執(zhí)行機構(gòu)

1.美國聯(lián)邦貿(mào)易委員會

1914年，根據(jù)《美國聯(lián)邦貿(mào)易委員會法案》(The Federal Trade Commission Act)成立的美國聯(lián)邦貿(mào)易委員會(FTC)，是負責美國個人金融信息和數(shù)據(jù)安全事務的主要執(zhí)行機構(gòu)之一。法案的第5節(jié)規(guī)定了該委員會擁有禁止不公平或欺詐性貿(mào)易行為的執(zhí)行權(quán)力，由此項權(quán)力，聯(lián)邦貿(mào)易委員會對國內(nèi)所有行業(yè)明確了信息數(shù)據(jù)保護的責任。此外，聯(lián)邦貿(mào)易委員會有權(quán)監(jiān)控數(shù)據(jù)泄露，并可以起訴相關(guān)機構(gòu)涉嫌不公平或欺騙性的行為，包括涉及隱私政策。

近年來，隨著信息化社會的逐步邁進，美國聯(lián)邦貿(mào)易委員會也不斷改進和調(diào)整自身的工作內(nèi)容。如2012年3月，聯(lián)邦貿(mào)易委員會專門成立了隱私和身份信息保護部門并發(fā)布了“最終隱私報告”，其中包括準則、實際應用以及對聯(lián)邦立法的建議條款。另外，聯(lián)邦貿(mào)易委員會和其他幾個聯(lián)邦機構(gòu)聯(lián)合頒布了規(guī)范金融機構(gòu)職員向第三方機構(gòu)提供客戶信息的最終要求，針對那些沒有遵守信息和數(shù)據(jù)安全要求的金融機構(gòu)強制執(zhí)行信息保護政策，包括一些懲罰措施。

2.美國消費者金融保護局

美國消費者金融保護局是根據(jù)2010年通過的《多德·弗蘭克華爾街改革和消費者保護法案》(the Dodd-Frank Wall Street Reform and Consumer Protection Act)所創(chuàng)立的,它主要保護消費者在金融領(lǐng)域的各項權(quán)益，其中也自然涵蓋了客戶的個人金融信息保護權(quán)，該法案的管轄對象也涵蓋了銀行、信用社、證券公司、抵押服務業(yè)等大多數(shù)的美國金融機構(gòu)。

美國為完善本國的金融隱私權(quán)制度，對專門領(lǐng)域進行了特殊立法，逐步及時調(diào)整經(jīng)濟社會發(fā)展中的法律問題。美國與瑞士嚴格的保密制度不同，客戶信息保密制度較為靈活，在不斷完善信息披露制度的同時不斷擴大個人金融信息保護范圍，促進了公民隱私權(quán)和信息披露間的關(guān)系。

美國是世界上保護金融消費者最全面的國家之一。美國銀行被公認為對賬戶的信息、客戶交易的信息、在保管客戶的賬戶時銀行獲得的與客戶有關(guān)的任何信息等三方面客戶的個人金融隱私權(quán)的保護以及拒絕查詢的權(quán)利，有效地制約了公權(quán)力的行使[5]。

目前，美國的客戶金融信息保護的法律制度包括聯(lián)邦法律規(guī)定、州法律規(guī)定、自律規(guī)范、行為守則等，這些龐大且零散的規(guī)范文件在實際生活中為金融機構(gòu)實現(xiàn)保護客戶隱私，指明了方向，限定了行為，同時也維護了客戶個人的財產(chǎn)權(quán)利和人身權(quán)利。

(二)美國聯(lián)邦層面的個人金融信息保護

1．《公平信用報告法案》(The Fair Credit Reporting Act)

1970年頒布的《公平信用報告法案》(FCRA)是一部聯(lián)邦法案，它規(guī)范了金融機構(gòu)如何正確收集、披露和使用客戶信息。這些客戶信息涉及信貸發(fā)放、保險投放、支票簽發(fā)、醫(yī)療記錄和租房歷史等。該法案由美國聯(lián)邦貿(mào)易委員會和其他社會組織監(jiān)督執(zhí)行。

2．《格雷姆·里奇·比利雷法案》(Gramm-Leach-Bliley Act)

1999年頒布的《金融服務現(xiàn)代法》，其中《格雷姆·里奇·比利雷法案》第五部分規(guī)范了那些擁有賬戶、借款、投資或保險信息的金融機構(gòu)必須讓客戶知曉它的信息保護政策的具體內(nèi)容、它是如何采集和保護個人信息的、它收集和分享個人金融信息的權(quán)利與義務等多方面內(nèi)容。

此外，在聯(lián)邦層面，還有2003年的《公平和準確信用交易法》(the Fair and Accurate Credit Transactions Act,)，2004年的《支付卡行業(yè)數(shù)據(jù)安全標準》(the Payment Card Industry Data Security Standard)，2006年的《電子資金轉(zhuǎn)移法》(the Electronic Fund Transfer Act)和《平等信貸機會法》(the Equal Credit Opportunity Act)，2009年的《數(shù)據(jù)責任和信托法》(the Data Accountability and Trust Act)、《個人數(shù)據(jù)隱私和安全法》(the Personal Data Privacy and Security Act)以及《數(shù)據(jù)泄露通知法》(the Data Breach Notification Act)等法案，這些法案提出了金融機構(gòu)在披露金融信息時，具有通知的強制責任要求，從而進一步規(guī)范了信息化時代下保護金融交易信息的相關(guān)法律制度。

(三)美國各州層面的個人金融信息保護

除了聯(lián)邦法律規(guī)范，在各州同樣執(zhí)行它們的法律制度，這其中既有涉及不公平和欺詐性交易的實踐法案，也有各州自身的隱私法和數(shù)據(jù)安全法。

其具體內(nèi)容主要有以下三類：1.州憲法中的隱私保護條款。這些條款大多限制性規(guī)范了個人金融信息的出售、交換或傳播；2.州普通法。被泄露自身金融信息的客戶有時可以引述州普通法中如隱私、誹謗或默認合同條款來維護其權(quán)利；3.金融隱私法。大多數(shù)州的金融隱私法限定只可將信息披露給政府機構(gòu)。

近年來，隨著信息技術(shù)的不斷發(fā)展，各州在涉及金融信息安全內(nèi)容的法律和法規(guī)的制定上提出了更加具體的保障要求。比如，俄勒岡州在2007年頒布的《俄勒岡州預防身份盜用法》(The Oregon Identity Theft Prevention Act) 要求擁有個人金融信息的任何個體(機構(gòu)或個人)都能制定嚴密的信息保障計劃，包括管理保障措施、技術(shù)保障措施和物理保障措施。其中管理保障措施包括指定員工協(xié)調(diào)方案，確定合理的可預見風險，評估當前保障措施的充分性，并適時進行調(diào)整，以解決新的風險或變化。技術(shù)保障措施包括評估在網(wǎng)絡和軟件設計的風險，檢測、預防和應對系統(tǒng)故障或攻擊，并定期測試、監(jiān)控系統(tǒng)和程序。物理安全措施包括評估信息風險的貯存和處置，檢測、預防和應對入侵，防止個人信息的非法訪問。馬薩諸塞州政府于2007年頒布的安全泄露通知法賦予了“消費者事務和商業(yè)活動規(guī)范辦事處“(the Office of Consumer Affairs and Business Regulation)具有公布數(shù)據(jù)安全法規(guī)的權(quán)利。這些法規(guī)強制規(guī)范了一些數(shù)據(jù)保護標準，包括要求各家金融機構(gòu)應對客戶加密處理后的數(shù)據(jù)信息儲存。內(nèi)華達州政府在2009年制定了數(shù)據(jù)安全法通過一系列加密要求以規(guī)范那些數(shù)據(jù)信息收集者。數(shù)據(jù)信息收集者必須遵守《支付卡行業(yè)數(shù)據(jù)安全標準》(Payment Card Industry Data Security Standard)或者遵守其他加密要求。無論是收集、儲存、轉(zhuǎn)移個人信息數(shù)據(jù)都要求金融機構(gòu)采用加密技術(shù)。

在美國，銀行客戶個人信息的保護還有特殊的監(jiān)管模式，所以“美國銀行家協(xié)會”制定出的行業(yè)規(guī)范能夠切合實際，成為銀行金融機構(gòu)遵循的行為準則。美國是非常嚴格有條件按程序限制銀行披露客戶個人信息的，有了有效的監(jiān)管，金融業(yè)在平衡個人金融信息保護和社會公共利益方面得以健康發(fā)展[6]。

三、美國個人金融信息保護制度對我國的借鑒意義

目前在我國法治環(huán)境下，客戶的個人信息不能用隱私權(quán)進行有效的保護，究其原因，一是我國法律并沒有把個人金融信息作為獨立的民事權(quán)利加以保護，二是我國個人隱私只是個人信息的一部分。對違規(guī)查詢、泄漏客戶信息的情況，監(jiān)管部門尚無處罰的依據(jù)，發(fā)生的侵害個人信息的行為得不到相應的懲罰，給客戶個人信息帶來重大的安全隱患?，F(xiàn)階段我國對銀行客戶個人信息保護的法律條款是不全的，迫切需要加強個人金融信息保護立法[7]。

從20世紀30年代開始，美國等國重視對金融信息的保護，目前我國銀行業(yè)飛速發(fā)展，但我國對金融信息的保護不及美國等國家，這有可能會引起信用危機，所以金融信息保護制度對我國來說十分重要[8]。

目前，我國銀行業(yè)大多通過構(gòu)建信息安全技術(shù)保障體系來保護銀行客戶個人信息，以防范外來的攻擊，對內(nèi)部員工的管理不夠重視。由于大量的客戶信息很方便就被銀行內(nèi)部員工接觸，給客戶個人金融信息帶來了極大的安全隱患。

《商業(yè)銀行法》在保護客戶個人信息方面具有明顯的漏洞，各商業(yè)銀行應逐步嚴格實施并承擔銀行個人身份信息和個人金融信息的保密義務[9]。當然，目前世界各國過嚴的銀行保密體系，也會帶來一系列的弊端，特別是執(zhí)法機構(gòu)獲取相關(guān)銀行客戶信息時特別困難，如何權(quán)衡制約是值得進一步探討的。

美國視個人金融信息為商品，也強調(diào)信息的流通，但我們認為統(tǒng)一的個人信息保護法不適合我國的國情[10]，我國尚且沒有金融隱私權(quán)的立法經(jīng)驗，所以在短期內(nèi)還不能出臺。目前可考慮先對銀行個人信息進行立法，為我國的《個人信息保護法》做好準備，在制度上維護客戶的合法權(quán)益[11]。

微觀層面，銀行及其工作人員若侵害客戶信息時，應該承擔相應的責任。明確個人金融信息的具體內(nèi)涵及界定的具體標準，可有效實施對金融信息的保護。個人金融信息的保護主要在金融機構(gòu)，明確可能涉及獲取、收集、儲存客戶金融信息的金融機構(gòu)的范圍，要求這些金融機構(gòu)落實相關(guān)問責制度，強化內(nèi)部管理，規(guī)定信息收集的種類、目的、用途、向第三方披露的條件以及客戶的權(quán)利是目前可操作并需要盡快完善的事宜。

目前我國尚沒有專門的個人信息保護立法，而應對不斷推進的數(shù)據(jù)化時代，國家必須明確個人金融信息保護是監(jiān)管中非常重要的一環(huán)。明確具體監(jiān)管部門，建立個人金融信息保護評價標準體系，細化監(jiān)督檢查措施，通過適當?shù)膽徒?，督促金融機構(gòu)履行保護客戶金融信息的義務勢在必行[12]。

[1]GREGORY T NOJEIM.Financial Privacy.[J]. New York Law School Journalof Human Rights, 2000,81.

[2]陽露昭,丁麗雪.美國的金融信息保護制度及其對我國的啟示[J].浙江金融．2009(5):22-23．

[3]COVINGTON P E M, MUSSELMAN M S. Recent Privacy and Data Security Developments[J].Business Lawyer, 2010, 65(2):611-620.

[4]VIRGINIA BOYD.Financial Privacy in the United States and the European Union: A Path to Transatlantic Regulatory Harmonization[J].Berkeley Journal of International Law ,2006:939．

[5]LI W T S, FRASHER M. The cross-Atlantic tussle over financial data and privacy rights[J]. Business Horizons, 2013, 56(6):767-778.

[6]PATRICIA E M. Covington and Meghan S. Musselman，Recent Privacy and Data Security Developments[J].Business Law, 2009-2010:611．

[7]朱慶華,顏祥林,袁勤儉.信息法教程[M].北京:高等教育出版社,2011.

[8]齊愛民.拯救信息社會中的人格:個人信息保護法總論[M].北京:北京大學出版社,2009.

[9]郭丹.金融服務法研究:金融消費者保護的視角[M].北京:法律出版社,2010.

[10][美]肯尼斯·斯朋.美國銀行監(jiān)管制度[M].第五版.中國銀行業(yè)監(jiān)督管理委員會譯.上海:復旦大學出版社,2008．

[11]曹建華,高澤湖,從規(guī)則到原則——FSA監(jiān)管方法改革及對我國銀行業(yè)監(jiān)管的啟示[J].中國金融,2007(13):50-52.

[12]巴曙松.金融消費者保護:全球金融監(jiān)管改革重點[J].資本市場,2010(4):56-58.

(責任編輯 王海雷)

The American Personal Financial Information Protection System in Information Age

Shao Shujia

(Hangzhou Jintou Capital Management Co., Ltd., Hangzhou, Zhejiang310016)

In recent years, with the continuous development of Internet “big data”, increasing attention has been paid to the risk of personal information of all financial institutions. The United States, a country with a mature financial market, boasts a perfect system of personal information protection system through the progressive implementation of information disclosure and privacy protection system to meet the rapid development of the financial industry. Through the analysis of development history of the financial protection and the different levels of financial protection system in the United States, and compared with China’s existing financial information protection system, the present paper attempts to propose that China learn from the foreign advanced legislation model, perfect the legal provisions of financial protection, and formulate the legislative model of protecting personal financial information compatible with China’s actual conditions.

financial client; personal information; protection system; reference significance

10.16169/j.issn.1008-293x.j.2017.10.022

F830

A

1008-293X(2017)10-0110-05

2016-10-20

邵舒嘉(1983- )，女，浙江杭州人，杭州金投資本管理有限公司經(jīng)濟師，研究方向：金融法、銀行法。