摘要:金融消费者隐私权包含私人信息、私人关系两方面内容,其贬损只能基于“自己同意”、公共利益、他人权利三大事由。金融机构侵犯消费者隐私权的事情时有发生,其原因来自隐私权保护理念不先进、立法不完善、主体利益不同三个方面。对金融机构消费者隐私权进行更为充分的保护势在必行,这依赖于相关立法、法律实施及金融机构三个层面的改进,诸如更新对隐私权的保护理念,明确金融机构保护隐私权的义务,明确保密例外条款及各方责任义务,完善隐私侵权救济手段,加大处罚力度。
关键词:金融消费者;隐私权;银行;金融机构
中图分类号:DF529 文献标识码:A 文章编号:1008-2972(2010)02-0106-05
随着金融信息化的发展和深入,金融机构在经营过程中所掌握的大量客户财务数据已经成为其重要的商业资源。“9・11”事件之后,美国监控全球200多个国家和地区近8000家金融机构交易情况的事件引起了各国的愤慨,其侵犯世界金融隐私权的行为不仅受到各国人民的责难,而且还引发了全球对金融隐私权的关注。依法有效保护个人隐私不受侵犯和非法滥用已成为各金融机构必须履行的重要职责,强化对金融消费者隐私权的法律保护是国际立法趋势之一,其中如何规制金融消费者的隐私权、如何在保障银行营运自由与尊重个人隐私权之间寻求利益平衡也已成为各国金融立法及隐私权立法保护中的重点。
一、金融消费者隐私权的法律界定
1 金融消费者的法律界定
金融消费者是指接受金融服务或者购买、使用金融产品的自然人。它仅仅指自然人,不包括单位或者团体,体现的是对这一特定经济关系中弱者的特殊保护。它与客户、储户或持卡人之间存在一定的区别,以银行为例,其区别体现在:(1)银行的客户包括机构客户及公众客户,而消费者仅指自然人;(2)储户或持卡人必须是与银行之间正式成立银行业务法律关系的组织或个人,而银行消费者包括那些在银行经营场所内挑选产品而没有买单或者没有签约的人,范畴要广泛得多;(3)从本质上说,银行与客户之间的关系是债权债务关系,因此银行对储户或持卡人的保护是一种契约义务,由于对消费者的保护是法律义务,故银行对消费者的义务是出于一种法律规定。
2 金融消费者隐私权的内涵
金融消费者隐私权是“金融消费者为保护人性尊严而对自己私人领域事务的自我决定权。”其主体是作为独立个体的自然人,范围是私人领域事务,内容是自我决定权,保护的利益是人性尊严。其具体内容可以分为两个方面。(1)私人信息:指消费者预留在金融机构的所有的个人信息和资料,诸如姓名、家庭住址、电话号码、工作单位、财产状况等等。权利主体有权禁止他人非法利用个人生活信息资料。(2)私人关系:指权利主体有权对在其接受金融服务或者使用金融产品时候的信件、电报、电话、传真及谈话的内容加以保密,禁止他人非法窃听或窃取。
3 金融消费者隐私权的贬损事由
隐私权不是绝对的权利,在《欧洲人权法案》中,隐私权被划归为可以贬损的权利,赋予政府基于特定的事由贬损其权利。隐私权可以基于以下事由贬损。(1)自己同意。从法谚“自愿即无侵害”的观点出发,只要是当事人真实地同意放弃该权利,那么其他对这一权利的侵害不会导致对权利主体的侵权。(2)公共利益。由法律来确认或者形成客观的公共利益成为现代法治社会的普遍做法。美国《布莱克法律大辞典》将公共利益定义为:公众和社团普遍享有的包含某种金钱利益或者公众和社团的权利和义务因之受到影响的某种利益。在中国“公共利益”一般是指国家为了进行社会、经济、文化、国防建设以及兴办社会公共事业需要的利益。它既不同于国家利益、地方利益,更不同于简单的“大家利益”。(3)他人权利。他人权利在国际法的层次上是指人权公约规定的各项权利。在国内法层次上,包括他人的基本权利,也包括他人的一般权利。
二、金融机构侵犯消费者隐私权的主要表现――以银行为例
在中国,很多人都有这样的经历:上午存钱,下午就有人打电话要为你提供理财服务;刚在银行填完贷款申请表,立马有短信告知你“我公司”办理贷款代理业务;你的银行对账单上的广告越来越多……更让人觉得可怕的是银行将其消费者的个人信息卖给其他经营者,就连对账单也成了银行的“摇钱树”。
1 发卡银行把消费者的相关信息擅自提供给其他经营者。如保险借助银行信用卡客户信息“嫁接”销售模式其实质就是银行与保险公司联合推出依托银行信用卡业务,通过在银行营业场所内现场销售或通过电话呼叫中心联系客户等方式,向信用卡持卡人推销保险。“××银行信用卡对账单专递广告报价表”载明“每份1.5元~3.5元,3万份起发”,这不菲的广告收费源自“实名制银行”对账单的邮寄可以确保100%的到达率及准确率。
2 银行工作人员工作中的过失导致消费者隐私权被第三人侵犯。2006年10月福州市中级人民法院审理了一起私人擅自查询并在境外披露他人银行账户信息案件。虽然当事人只起诉了非法取得其银行账户信息的人,但是多数人认为对消费者的隐私负有保密义务的银行及其工作人员没有履行好自己的法定义务,造成第三人对消费者账户信息不合法的使用,他们也应该承担法律责任,招行保管箱“飞”走事件隐私权之争也是如此。
3 银行共享、公布欠贷黑名单,侵害消费者隐私权。银行为遏止不良贷款继续增加、制裁欠债不还的失信者,出台欠贷“黑名单”。如北京16家中资银行于2003年10月联手建立了“信用信息共享系统”(俗称欠贷“黑名单”),截至2004年9月,2876名个人住房贷款客户和3701名汽车消费贷款客户上了“黑名单”。甘肃兰州的6家银行直接在主流媒体刊登了欠款催收公告,并曝光了客户姓名及相关资料。
4 “友情提示”及歧视性质的管理方式导致消费者隐私权被侵犯。“取款2000元以下的持卡客户请到ATM机办理。”“1号储蓄柜为5000元以上存取柜,2、3号储蓄柜为5000元以下存取柜。”该制度的设计初衷是想改变传统的服务方式,减少客户排队等候时间,进一步提高服务质量,可实际效果却走向了反面。这种划分容易造成明摆着告诉别有用心的人。我取了5000元以上的现金的后果。这不但泄露了消费者的隐私,而且让犯罪分子的盯梢更加简单有效。
5 透支被追款易导致消费者隐私权侵犯之纠纷。有这样一则咨询案例:咨询人的信用卡透支后未及时还款,银行把催收电话打到了他家里。当时是他女朋友接的电话,她告诉银行的人当事人不在家后,银行的工作人员仍进行催收。女友知道其财务状况后,不久与咨询人分手。该咨询人认为这个催收过程向外人泄露了卡主的经济状况,侵犯了卡主的隐私权,欲以侵犯隐私权为由,要求银行赔偿损失。
6 不安全的银行系统,导致消费者的隐私权被侵犯。信息技术和网络银行的发展,使得金融机构面临
交易系统被非法入侵、传输过程中信息被非法窃取或篡改、账户被非法盗用等问题。如2007年,由于信息安全漏洞,美国发生了恶意黑客窃取约4000万信用卡账户资料的事件,这是有史以来最严重的信息安全案件。黑客和有组织犯罪勾结是信用卡信息安全案件的新趋势。
三、金融机构侵犯消费者隐私权行为成因分析
(一)根源:隐私权保护理念不先进
相对于自由权或平等权而言,隐私权是不是被认为是一种绝对的、基本的人权?这个问题的回答是分析该问题的主流范式。鉴于两次世界大战对人权、自由和权利的漠视与践踏以及由此带来的深重灾难,多数欧洲国家和欧洲人民高度重视人权,屡次强调人的自由与权利是“天赋的不可剥夺的”。在隐私权利保护方面,欧洲走在世界前列。联邦德国宪法法院的“人口普查案”最早将隐私权利独立出来,成为法律保护的客体之一,该判决认为:个人原则上有自行决定是否将其个人资料公开及使用的“个人资料自决权”。不少欧洲国际组织和政府纷纷制定隐私保护法律,在金融隐私日益重要的今天,又制定出金融隐私保护法律,赋予公民数据控制权、接近权与救济权。可以说,欧盟对金融隐私权的理念代表了世界最先进的保护理念。在中国,显然没有把隐私权视作与自由权或平等权同等重要的权利,理念上的阙如是实践不尽如人意的最深刻根源。
(二)核心:立法实践的不完备
中国关于隐私权的立法包括:(1)《宪法》第38、39、40条关于公民人格尊严、私人住宅、通信自由和通信秘密保护的规定;(2)《民法通则》、《民事诉讼法》和高法《关于审理名誉权案件若干问题的解答》、《关于确定民事侵权精神损害责任若干问题的解释》等确定了公民的隐私权保护,但这些均为原则性规定,且将“隐私权”放在“名誉权”之下;(3)《中华人民共和国消费者权益保护法》第14条规定要保护消费者的人格尊严;(4)《商业银行法》第29条及《储蓄管理条例》第5条共同确立了“为储户保密”的原则。较之于欧美的立法实践,中国的立法是不完备的。
1 立法层次不高,缺乏应有的权威性。在欧洲,隐私权作为一项最基本的人权赫然写入《欧洲人权公约》(第8条),足见其在权利体系中的地位之高。美国则在1961年的彼特森案中,确认了银行保密义务是银行与客户之间契约的默示条款。美国法院认为。银行在任何时候均不得认为它有权向外界透露与客户账户有关信息。不容侵犯的保密性是银行与客户关系的内在的最根本原则之一。而中国《宪法》本身没有明确隐私权这一概念,未突出隐私权的重要性。
2 立法模式不清晰、立法缺少系统规划。有学者认为,世界共有三种金融隐私法律保护模式,欧盟对金融隐私的综合保护模式,代表了世界最高的保护水平;美国对金融隐私的分业保护模式,具有很强的实用性;还有分立保护模式,主要是把政府等公有机构与民间机构等私有机构区别开来,根据信息处理机关的不同性质,对信息处理活动给予不同规定。考察中国银行消费者隐私保护的法律规定,很难确定中国的立法究竟属于哪一模式。同时,整个立法非常松散、凌乱,缺少系统规划,所涉内容既有冲突规制之处,也有立法内容不周延、存在不少立法空白之处。如《商业银行法》第53条虽然规定银行有保密义务,但是该义务仅限于国家秘密、商业秘密。这就意味着银行对消费者(自然人)不负担此义务,因为他们不掌握上述两秘密,这就意味他们的隐私权不受此条保护。
3 具体法律规定过于原则,法条缺少可操作性。为增强实用性,美国在金融隐私权保护立法方面采取了区分行业、分别保护的模式。银行等金融行业的隐私保护以联邦法律为主,保险业的隐私保护则以州法律为主。此外,州法、自律规则、行为准则和市场机制等也发挥了重要作用。1999年美国制定《金融服务现代化’法》,该法第五章专门规定客户金融隐私保护,确立了一个基本前提,即每一个金融机构有“明确而持续的义务尊重其客户的隐私,并保护这些客户非公开个人信息的安全与秘密。”同时,该法针对银行与消费者关系的持续过程中的通知问题、选择问题、安全问题、信息披露问题及执行问题做出了详尽的规定。欧盟委员会在1995年10月24日通过《数据保护指令》(Direetive 95/46/EC)后,于2000年12月18日制定了《数据保护章程》(Regulation(EC)No 45/2001)力图细化与补充《数据保护指令》。《数据保护章程》明确规定个人享有获取权和拒绝权,并设立了“预先审查”制度,主张成立专司个人数据保护的工作组。纵观中国的相关立法,在适用范围、数据主体接近权、对信息的二次使用控制权及对敏感信息的特别处理等重大问题都缺乏具体规定。试图用这样空洞的法律法规来保护消费者的权益谈何容易?
4 法律规定之间存在的冲突。中国实行的是个人储蓄实名制,金融机构在业务中必定会获得消费者的一些私人信息。同时,金融机构又是一个企业,承载着一定的社会责任。金融机构保护金融隐私权的义务时常与金融机构的披露义务相冲突。
5 法律救济手段不足。尽管相关法律、法规规定金融机构因违反金融隐私保护义务而承担民事责任、行政责任和刑事责任,但行政责任的规定明显多于民事责任和刑事责任,且行政责任内容比较完善,具有较强的可操作性。金融机构的民事责任和刑事责任规定的较为原则,比较笼统,导致受害者很难寻求应有的救济。在金融隐私保护的实践中,个人客户“事前无知情权、事中无选择权、事后无救济权”,处于典型的弱势地位,个人金融隐私权利难以实现与保护。㈣
(三)冲突:不同利益主导下之必然
由于金融机构利益不同于消费者利益,也不同于公共利益,因此作为“经济人”的金融机构其行为的出发点在于对自己利益甚至是短期成本的考量之上。在法律法规存在滞后、模糊、空白等问题的情况下。其行为不可避免地将伤害消费者利益甚至公共利益,包括滥用隐私权贬损事由。以“自己同意”为例,民生银行《隐私权政策》规定“本行会对其持有的客户数据保密,你同意让第三方共享资料情况除外”,笔者在其他银行的规定中也见到类似规定。究竟怎样的情况属于“自己同意”,法律没有明确规定、合同根本没有规定,那当然由银行来解释。其结果当然就会与传统民法中的侵权的抗辩事由之“自己同意”
(当事人在知晓侵权行为可能造成的损害结果后,真实地同意放弃该权利)相去甚远。“自己同意”原则不仅在银行消费者隐私权保护的领域被滥用,而且在整个银行消费者权益保护中都有这种滥用现实。
四、金融消费者隐私权保护之改进
(一)立法层面之改进
1 更新立法理念。从源头上来说,我们应该改进对隐私权的保护理念,视之为一项与自由权或平等权同等重要的基本权利,在《宪法》中明确其地位,在《民法通则》中或者在未来的《民法典》中,将隐私权在人格权制度中单列,清晰界定隐私权的内涵;在
具体的法规中做出对金融机构应采取何种适当措施来保证对客户信息和隐私的保护的具体规定。
2 立法模式及内容的选择。由于中国金融分业经营已经成为一个不争的事实,因此欧盟的综合立法保护模式是一个不错的选择,而制定专门的《金融隐私权保护法》则是一个必然路径。未来的《金融隐私权保护法》内容至少应该包括以下内容。(1)金融隐私权概念的清晰界定;明确金融机构可以采集消费者的信息范围,一般应禁止金融机构采集消费者的敏感信息,即消费者的种族或人种,政治观点,宗教或哲学信仰或从属关系等等。(2)明确金融机构对其消费者的隐私保护义务,包括在业务关系建立前到业务关系终止后的一段时期内,负有法定的保密义务,除法定情形或客户明确同意外不得披露、使用客户金融信息。(3)明确保密的例外条款(法律明确规定可以免、客户明确同意、基于社会公共利益或者为了国家安全等特殊情况),不允许扩张解释保密例外条款。(4)规范采集、存储、使用、披露消费者个人信息的条件及程序,明确金融机构使用消费者私人信息的告知义务及消费者的选进权甚至选退权。(5)明确规定当对客户金融隐私权保护义务与向第三方披露信息的义务冲突时,金融机构应该如何行为。这可以借鉴美国新墨西哥州上诉法院审理的“派克”案的经验。本案中,法院认为披露义务应优先于保密义务。如果法院发现有要求适用“特殊情势”原则的关系的存在,并且存在该“特殊情势”,则银行负有披露义务,而不必担心会因此而违反了对另一客户的默示的金融隐私权保护义务。(6)明确消费者的举证责任负担,明确规定在特殊情况下实行“举证责任倒置”。(7)完善隐私侵权救济手段,明确责任条款。“无救济,无权利”,《金融隐私权保护法》应明确规定消费者的救济方式。包括可供消费者维权的路径(协商、调解、申诉、仲裁、诉讼)及相应的部门、承担法律责任的条件及形式。要改变现行法律以行政责任为主,甚至以行政责任代替民事责任和刑事责任的做法,一方面,增加金融机构不当使用消费者个人信息的损害赔偿之规定,另一方面,加大对金融机构的惩罚力度、增加违法成本,充分保障消费者的金融隐私救济权利。
(二)法律实施层面之改进
从广义的法律实施层面而言,中国应积极参与签订双边或多边金融协作条约。目前虽然没有达成金融隐私权保护的国际条约,但金融隐私权保护规则趋于统一是金融全球化的大势所趋。因此,中国要积极参与各国政府、国际组织举行的双边、多边谈判和有关标准的制定工作,努力建立一个国际社会普遍接受的金融隐私权保护体制。
从狭义的法律实施层面而言,我们应该注意到当金融机构与消费者产生隐私权纠纷的时候,金融机构的“尚方宝剑”就是“在其他本行认为需要公开、编辑或透露个人信息的情况下,本行可以不受隐私权保护政策限制”之条款。为避免由此产生的侵犯消费者隐私权的纠纷,可以分别采取如下措施。(1)对含有格式条款的合同文本实行报工商行政部门备案管理制度,这种做法在很多地方已经实施;同时规定“经备案的格式条款(合同),不排除经营者因格式条款(合同)损害消费者权益应当承担的民事责任。”(2)赋予法院对金融机构与消费者之间所签协议的司法审查权,即法院须审查契约条款所含的交易条件,依法决定其效力。这种做法实际上就是授权法院解释合同的效力。由法院来审查合同是否违法,是否违背了公序良俗和诚实信用原则。但是,司法审查的内容仅限于是否违反法律的强制性和限制性规定,而且做为事后审查。(3)对有争议的条款进行解释的时候要严格按照《合同法》的规定来进行,即“排除对方主要权利,免除自己主要义务的条款无效”以及“做出利于格式条款被提供者的解释”;如果合同没有规定之内容出现应按照订立合同的目的来进行解释。
(三)金融机构层面之改进
金融机构应加强自律:(1)在制定合同时,金融机构应该本着诚实信用的原则来进行,合同中不得含有下列内容:免除或者减轻经营者应当承担的合同义务或违约责任,或者对经营者违约时应承担的违约金、赔偿金数额,作出明显过低的规定。《澳大利亚国民银行隐私政策》是一个不错的范本。(2)完善金融机构有关消费者隐私保密的内部管理制度。金融机构内部要有比较详尽的消费者隐私保密政策,包括消费者隐私的收集方式、使用方式、与第三者共用政策及用户的权利等规定。该保密政策要向客户声明,声明的方式可用邮件或电子方式。另外,金融机构还应该制定职员保密责任制度,具体规定职员保密范围、保密方式、保密措施以及泄密责任等。(3)完善金融机构有关消费者隐私保密的技术。金融机构应该具备足够安全的信息系统,金融机构应对信息系统各种可能遇到的技术风险进行评估,综合运用先进的防火墙、身份识别与认证、加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,防止用户财务隐私被恶意窃取。
责任编校:瑞生
摘要:金融消费者隐私权包含私人信息、私人关系两方面内容,其贬损只能基于“自己同意”、公共利益、他人权利三大事由。金融机构侵犯消费者隐私权的事情时有发生,其原因来自隐私权保护理念不先进、立法不完善、主体利益不同三个方面。对金融机构消费者隐私权进行更为充分的保护势在必行,这依赖于相关立法、法律实施及金融机构三个层面的改进,诸如更新对隐私权的保护理念,明确金融机构保护隐私权的义务,明确保密例外条款及各方责任义务,完善隐私侵权救济手段,加大处罚力度。
关键词:金融消费者;隐私权;银行;金融机构
中图分类号:DF529 文献标识码:A 文章编号:1008-2972(2010)02-0106-05
随着金融信息化的发展和深入,金融机构在经营过程中所掌握的大量客户财务数据已经成为其重要的商业资源。“9・11”事件之后,美国监控全球200多个国家和地区近8000家金融机构交易情况的事件引起了各国的愤慨,其侵犯世界金融隐私权的行为不仅受到各国人民的责难,而且还引发了全球对金融隐私权的关注。依法有效保护个人隐私不受侵犯和非法滥用已成为各金融机构必须履行的重要职责,强化对金融消费者隐私权的法律保护是国际立法趋势之一,其中如何规制金融消费者的隐私权、如何在保障银行营运自由与尊重个人隐私权之间寻求利益平衡也已成为各国金融立法及隐私权立法保护中的重点。
一、金融消费者隐私权的法律界定
1 金融消费者的法律界定
金融消费者是指接受金融服务或者购买、使用金融产品的自然人。它仅仅指自然人,不包括单位或者团体,体现的是对这一特定经济关系中弱者的特殊保护。它与客户、储户或持卡人之间存在一定的区别,以银行为例,其区别体现在:(1)银行的客户包括机构客户及公众客户,而消费者仅指自然人;(2)储户或持卡人必须是与银行之间正式成立银行业务法律关系的组织或个人,而银行消费者包括那些在银行经营场所内挑选产品而没有买单或者没有签约的人,范畴要广泛得多;(3)从本质上说,银行与客户之间的关系是债权债务关系,因此银行对储户或持卡人的保护是一种契约义务,由于对消费者的保护是法律义务,故银行对消费者的义务是出于一种法律规定。
2 金融消费者隐私权的内涵
金融消费者隐私权是“金融消费者为保护人性尊严而对自己私人领域事务的自我决定权。”其主体是作为独立个体的自然人,范围是私人领域事务,内容是自我决定权,保护的利益是人性尊严。其具体内容可以分为两个方面。(1)私人信息:指消费者预留在金融机构的所有的个人信息和资料,诸如姓名、家庭住址、电话号码、工作单位、财产状况等等。权利主体有权禁止他人非法利用个人生活信息资料。(2)私人关系:指权利主体有权对在其接受金融服务或者使用金融产品时候的信件、电报、电话、传真及谈话的内容加以保密,禁止他人非法窃听或窃取。
3 金融消费者隐私权的贬损事由
隐私权不是绝对的权利,在《欧洲人权法案》中,隐私权被划归为可以贬损的权利,赋予政府基于特定的事由贬损其权利。隐私权可以基于以下事由贬损。(1)自己同意。从法谚“自愿即无侵害”的观点出发,只要是当事人真实地同意放弃该权利,那么其他对这一权利的侵害不会导致对权利主体的侵权。(2)公共利益。由法律来确认或者形成客观的公共利益成为现代法治社会的普遍做法。美国《布莱克法律大辞典》将公共利益定义为:公众和社团普遍享有的包含某种金钱利益或者公众和社团的权利和义务因之受到影响的某种利益。在中国“公共利益”一般是指国家为了进行社会、经济、文化、国防建设以及兴办社会公共事业需要的利益。它既不同于国家利益、地方利益,更不同于简单的“大家利益”。(3)他人权利。他人权利在国际法的层次上是指人权公约规定的各项权利。在国内法层次上,包括他人的基本权利,也包括他人的一般权利。
二、金融机构侵犯消费者隐私权的主要表现――以银行为例
在中国,很多人都有这样的经历:上午存钱,下午就有人打电话要为你提供理财服务;刚在银行填完贷款申请表,立马有短信告知你“我公司”办理贷款代理业务;你的银行对账单上的广告越来越多……更让人觉得可怕的是银行将其消费者的个人信息卖给其他经营者,就连对账单也成了银行的“摇钱树”。
1 发卡银行把消费者的相关信息擅自提供给其他经营者。如保险借助银行信用卡客户信息“嫁接”销售模式其实质就是银行与保险公司联合推出依托银行信用卡业务,通过在银行营业场所内现场销售或通过电话呼叫中心联系客户等方式,向信用卡持卡人推销保险。“××银行信用卡对账单专递广告报价表”载明“每份1.5元~3.5元,3万份起发”,这不菲的广告收费源自“实名制银行”对账单的邮寄可以确保100%的到达率及准确率。
2 银行工作人员工作中的过失导致消费者隐私权被第三人侵犯。2006年10月福州市中级人民法院审理了一起私人擅自查询并在境外披露他人银行账户信息案件。虽然当事人只起诉了非法取得其银行账户信息的人,但是多数人认为对消费者的隐私负有保密义务的银行及其工作人员没有履行好自己的法定义务,造成第三人对消费者账户信息不合法的使用,他们也应该承担法律责任,招行保管箱“飞”走事件隐私权之争也是如此。
3 银行共享、公布欠贷黑名单,侵害消费者隐私权。银行为遏止不良贷款继续增加、制裁欠债不还的失信者,出台欠贷“黑名单”。如北京16家中资银行于2003年10月联手建立了“信用信息共享系统”(俗称欠贷“黑名单”),截至2004年9月,2876名个人住房贷款客户和3701名汽车消费贷款客户上了“黑名单”。甘肃兰州的6家银行直接在主流媒体刊登了欠款催收公告,并曝光了客户姓名及相关资料。
4 “友情提示”及歧视性质的管理方式导致消费者隐私权被侵犯。“取款2000元以下的持卡客户请到ATM机办理。”“1号储蓄柜为5000元以上存取柜,2、3号储蓄柜为5000元以下存取柜。”该制度的设计初衷是想改变传统的服务方式,减少客户排队等候时间,进一步提高服务质量,可实际效果却走向了反面。这种划分容易造成明摆着告诉别有用心的人。我取了5000元以上的现金的后果。这不但泄露了消费者的隐私,而且让犯罪分子的盯梢更加简单有效。
5 透支被追款易导致消费者隐私权侵犯之纠纷。有这样一则咨询案例:咨询人的信用卡透支后未及时还款,银行把催收电话打到了他家里。当时是他女朋友接的电话,她告诉银行的人当事人不在家后,银行的工作人员仍进行催收。女友知道其财务状况后,不久与咨询人分手。该咨询人认为这个催收过程向外人泄露了卡主的经济状况,侵犯了卡主的隐私权,欲以侵犯隐私权为由,要求银行赔偿损失。
6 不安全的银行系统,导致消费者的隐私权被侵犯。信息技术和网络银行的发展,使得金融机构面临
交易系统被非法入侵、传输过程中信息被非法窃取或篡改、账户被非法盗用等问题。如2007年,由于信息安全漏洞,美国发生了恶意黑客窃取约4000万信用卡账户资料的事件,这是有史以来最严重的信息安全案件。黑客和有组织犯罪勾结是信用卡信息安全案件的新趋势。
三、金融机构侵犯消费者隐私权行为成因分析
(一)根源:隐私权保护理念不先进
相对于自由权或平等权而言,隐私权是不是被认为是一种绝对的、基本的人权?这个问题的回答是分析该问题的主流范式。鉴于两次世界大战对人权、自由和权利的漠视与践踏以及由此带来的深重灾难,多数欧洲国家和欧洲人民高度重视人权,屡次强调人的自由与权利是“天赋的不可剥夺的”。在隐私权利保护方面,欧洲走在世界前列。联邦德国宪法法院的“人口普查案”最早将隐私权利独立出来,成为法律保护的客体之一,该判决认为:个人原则上有自行决定是否将其个人资料公开及使用的“个人资料自决权”。不少欧洲国际组织和政府纷纷制定隐私保护法律,在金融隐私日益重要的今天,又制定出金融隐私保护法律,赋予公民数据控制权、接近权与救济权。可以说,欧盟对金融隐私权的理念代表了世界最先进的保护理念。在中国,显然没有把隐私权视作与自由权或平等权同等重要的权利,理念上的阙如是实践不尽如人意的最深刻根源。
(二)核心:立法实践的不完备
中国关于隐私权的立法包括:(1)《宪法》第38、39、40条关于公民人格尊严、私人住宅、通信自由和通信秘密保护的规定;(2)《民法通则》、《民事诉讼法》和高法《关于审理名誉权案件若干问题的解答》、《关于确定民事侵权精神损害责任若干问题的解释》等确定了公民的隐私权保护,但这些均为原则性规定,且将“隐私权”放在“名誉权”之下;(3)《中华人民共和国消费者权益保护法》第14条规定要保护消费者的人格尊严;(4)《商业银行法》第29条及《储蓄管理条例》第5条共同确立了“为储户保密”的原则。较之于欧美的立法实践,中国的立法是不完备的。
1 立法层次不高,缺乏应有的权威性。在欧洲,隐私权作为一项最基本的人权赫然写入《欧洲人权公约》(第8条),足见其在权利体系中的地位之高。美国则在1961年的彼特森案中,确认了银行保密义务是银行与客户之间契约的默示条款。美国法院认为。银行在任何时候均不得认为它有权向外界透露与客户账户有关信息。不容侵犯的保密性是银行与客户关系的内在的最根本原则之一。而中国《宪法》本身没有明确隐私权这一概念,未突出隐私权的重要性。
2 立法模式不清晰、立法缺少系统规划。有学者认为,世界共有三种金融隐私法律保护模式,欧盟对金融隐私的综合保护模式,代表了世界最高的保护水平;美国对金融隐私的分业保护模式,具有很强的实用性;还有分立保护模式,主要是把政府等公有机构与民间机构等私有机构区别开来,根据信息处理机关的不同性质,对信息处理活动给予不同规定。考察中国银行消费者隐私保护的法律规定,很难确定中国的立法究竟属于哪一模式。同时,整个立法非常松散、凌乱,缺少系统规划,所涉内容既有冲突规制之处,也有立法内容不周延、存在不少立法空白之处。如《商业银行法》第53条虽然规定银行有保密义务,但是该义务仅限于国家秘密、商业秘密。这就意味着银行对消费者(自然人)不负担此义务,因为他们不掌握上述两秘密,这就意味他们的隐私权不受此条保护。
3 具体法律规定过于原则,法条缺少可操作性。为增强实用性,美国在金融隐私权保护立法方面采取了区分行业、分别保护的模式。银行等金融行业的隐私保护以联邦法律为主,保险业的隐私保护则以州法律为主。此外,州法、自律规则、行为准则和市场机制等也发挥了重要作用。1999年美国制定《金融服务现代化’法》,该法第五章专门规定客户金融隐私保护,确立了一个基本前提,即每一个金融机构有“明确而持续的义务尊重其客户的隐私,并保护这些客户非公开个人信息的安全与秘密。”同时,该法针对银行与消费者关系的持续过程中的通知问题、选择问题、安全问题、信息披露问题及执行问题做出了详尽的规定。欧盟委员会在1995年10月24日通过《数据保护指令》(Direetive 95/46/EC)后,于2000年12月18日制定了《数据保护章程》(Regulation(EC)No 45/2001)力图细化与补充《数据保护指令》。《数据保护章程》明确规定个人享有获取权和拒绝权,并设立了“预先审查”制度,主张成立专司个人数据保护的工作组。纵观中国的相关立法,在适用范围、数据主体接近权、对信息的二次使用控制权及对敏感信息的特别处理等重大问题都缺乏具体规定。试图用这样空洞的法律法规来保护消费者的权益谈何容易?
4 法律规定之间存在的冲突。中国实行的是个人储蓄实名制,金融机构在业务中必定会获得消费者的一些私人信息。同时,金融机构又是一个企业,承载着一定的社会责任。金融机构保护金融隐私权的义务时常与金融机构的披露义务相冲突。
5 法律救济手段不足。尽管相关法律、法规规定金融机构因违反金融隐私保护义务而承担民事责任、行政责任和刑事责任,但行政责任的规定明显多于民事责任和刑事责任,且行政责任内容比较完善,具有较强的可操作性。金融机构的民事责任和刑事责任规定的较为原则,比较笼统,导致受害者很难寻求应有的救济。在金融隐私保护的实践中,个人客户“事前无知情权、事中无选择权、事后无救济权”,处于典型的弱势地位,个人金融隐私权利难以实现与保护。㈣
(三)冲突:不同利益主导下之必然
由于金融机构利益不同于消费者利益,也不同于公共利益,因此作为“经济人”的金融机构其行为的出发点在于对自己利益甚至是短期成本的考量之上。在法律法规存在滞后、模糊、空白等问题的情况下。其行为不可避免地将伤害消费者利益甚至公共利益,包括滥用隐私权贬损事由。以“自己同意”为例,民生银行《隐私权政策》规定“本行会对其持有的客户数据保密,你同意让第三方共享资料情况除外”,笔者在其他银行的规定中也见到类似规定。究竟怎样的情况属于“自己同意”,法律没有明确规定、合同根本没有规定,那当然由银行来解释。其结果当然就会与传统民法中的侵权的抗辩事由之“自己同意”
(当事人在知晓侵权行为可能造成的损害结果后,真实地同意放弃该权利)相去甚远。“自己同意”原则不仅在银行消费者隐私权保护的领域被滥用,而且在整个银行消费者权益保护中都有这种滥用现实。
四、金融消费者隐私权保护之改进
(一)立法层面之改进
1 更新立法理念。从源头上来说,我们应该改进对隐私权的保护理念,视之为一项与自由权或平等权同等重要的基本权利,在《宪法》中明确其地位,在《民法通则》中或者在未来的《民法典》中,将隐私权在人格权制度中单列,清晰界定隐私权的内涵;在
具体的法规中做出对金融机构应采取何种适当措施来保证对客户信息和隐私的保护的具体规定。
2 立法模式及内容的选择。由于中国金融分业经营已经成为一个不争的事实,因此欧盟的综合立法保护模式是一个不错的选择,而制定专门的《金融隐私权保护法》则是一个必然路径。未来的《金融隐私权保护法》内容至少应该包括以下内容。(1)金融隐私权概念的清晰界定;明确金融机构可以采集消费者的信息范围,一般应禁止金融机构采集消费者的敏感信息,即消费者的种族或人种,政治观点,宗教或哲学信仰或从属关系等等。(2)明确金融机构对其消费者的隐私保护义务,包括在业务关系建立前到业务关系终止后的一段时期内,负有法定的保密义务,除法定情形或客户明确同意外不得披露、使用客户金融信息。(3)明确保密的例外条款(法律明确规定可以免、客户明确同意、基于社会公共利益或者为了国家安全等特殊情况),不允许扩张解释保密例外条款。(4)规范采集、存储、使用、披露消费者个人信息的条件及程序,明确金融机构使用消费者私人信息的告知义务及消费者的选进权甚至选退权。(5)明确规定当对客户金融隐私权保护义务与向第三方披露信息的义务冲突时,金融机构应该如何行为。这可以借鉴美国新墨西哥州上诉法院审理的“派克”案的经验。本案中,法院认为披露义务应优先于保密义务。如果法院发现有要求适用“特殊情势”原则的关系的存在,并且存在该“特殊情势”,则银行负有披露义务,而不必担心会因此而违反了对另一客户的默示的金融隐私权保护义务。(6)明确消费者的举证责任负担,明确规定在特殊情况下实行“举证责任倒置”。(7)完善隐私侵权救济手段,明确责任条款。“无救济,无权利”,《金融隐私权保护法》应明确规定消费者的救济方式。包括可供消费者维权的路径(协商、调解、申诉、仲裁、诉讼)及相应的部门、承担法律责任的条件及形式。要改变现行法律以行政责任为主,甚至以行政责任代替民事责任和刑事责任的做法,一方面,增加金融机构不当使用消费者个人信息的损害赔偿之规定,另一方面,加大对金融机构的惩罚力度、增加违法成本,充分保障消费者的金融隐私救济权利。
(二)法律实施层面之改进
从广义的法律实施层面而言,中国应积极参与签订双边或多边金融协作条约。目前虽然没有达成金融隐私权保护的国际条约,但金融隐私权保护规则趋于统一是金融全球化的大势所趋。因此,中国要积极参与各国政府、国际组织举行的双边、多边谈判和有关标准的制定工作,努力建立一个国际社会普遍接受的金融隐私权保护体制。
从狭义的法律实施层面而言,我们应该注意到当金融机构与消费者产生隐私权纠纷的时候,金融机构的“尚方宝剑”就是“在其他本行认为需要公开、编辑或透露个人信息的情况下,本行可以不受隐私权保护政策限制”之条款。为避免由此产生的侵犯消费者隐私权的纠纷,可以分别采取如下措施。(1)对含有格式条款的合同文本实行报工商行政部门备案管理制度,这种做法在很多地方已经实施;同时规定“经备案的格式条款(合同),不排除经营者因格式条款(合同)损害消费者权益应当承担的民事责任。”(2)赋予法院对金融机构与消费者之间所签协议的司法审查权,即法院须审查契约条款所含的交易条件,依法决定其效力。这种做法实际上就是授权法院解释合同的效力。由法院来审查合同是否违法,是否违背了公序良俗和诚实信用原则。但是,司法审查的内容仅限于是否违反法律的强制性和限制性规定,而且做为事后审查。(3)对有争议的条款进行解释的时候要严格按照《合同法》的规定来进行,即“排除对方主要权利,免除自己主要义务的条款无效”以及“做出利于格式条款被提供者的解释”;如果合同没有规定之内容出现应按照订立合同的目的来进行解释。
(三)金融机构层面之改进
金融机构应加强自律:(1)在制定合同时,金融机构应该本着诚实信用的原则来进行,合同中不得含有下列内容:免除或者减轻经营者应当承担的合同义务或违约责任,或者对经营者违约时应承担的违约金、赔偿金数额,作出明显过低的规定。《澳大利亚国民银行隐私政策》是一个不错的范本。(2)完善金融机构有关消费者隐私保密的内部管理制度。金融机构内部要有比较详尽的消费者隐私保密政策,包括消费者隐私的收集方式、使用方式、与第三者共用政策及用户的权利等规定。该保密政策要向客户声明,声明的方式可用邮件或电子方式。另外,金融机构还应该制定职员保密责任制度,具体规定职员保密范围、保密方式、保密措施以及泄密责任等。(3)完善金融机构有关消费者隐私保密的技术。金融机构应该具备足够安全的信息系统,金融机构应对信息系统各种可能遇到的技术风险进行评估,综合运用先进的防火墙、身份识别与认证、加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,防止用户财务隐私被恶意窃取。
责任编校:瑞生