郑 冉 陆佳怡

华东理工大学法学院，上海 201424



金融机构客户资料隐私权保护规范探讨*
——以英美法为借鉴

郑 冉 陆佳怡

华东理工大学法学院，上海 201424

当前社会处在数字化时代，数据资料铺天盖地，我国出现大量金融机构泄露客户资料、侵犯客户隐私权事件，本文通过分析该类事件出现原因，借鉴英美法律相关经验，为相关规则制度提出法律建议。

金融机构；客户资料；隐私权

金融机构作为一个国家实体经济发展的主要资金提供者，每天都进行着大量的数据交换与客户资料传输，如何在保证运营服务效率与保护客户资料不被泄露之间保持平衡，做好客户金融财务信息的保护问题日益凸显。特别是随着信息处理和储存技术的发展，个人信息滥用问题日趋严重，使得建立有关个人信息保护法律法规的社会需求增加，呼声不断。基于此，今年公布的《民法总则(草案)》中特别加入了个人信息保护的规定，为捍卫个人信息提供了有力的法律后盾。本文期望以金融机构客户资料隐私权的保护切入，通过对国外有关制度的建立以及相关案件判决的研究分析，得出有益于我国金融业对客户资料进行有效管理的制度启示及改进方向，以期个人信息保护相关法律完善。

一、现状及问题

近年来，伴随着网络信息技术的高速发展与人民生活水平的迅速提高，经济生活比重增大，金融业蓬勃发展，各类金融机构层出不穷，进行着大量的业务活动，而金融类业务活动的开展，除了大量的资金流动，还包含着各类客户财务资料的使用与财务数据的传输。如何对这类资料数据进行有效管理与保护，本应是金融机构的首要任务，但显然，由于其对客户资料疏于管理以及客户本身对隐私权的不重视，导致在现实层面存在着大量客户资料被泄露及滥用的现象。

金融客户隐私权，顾名思义就是客户所享有的收集、管理、支配、处理其个人金融信息与数据的权利。而2016却似乎成为了客户信息被泄露滥用的“井喷年”，几乎每个参与过金融业务消费的客户都曾收到过不法分子打来的诈骗电话或短信，甚至能清楚的说出客户办理的业务资料，多起被曝光的令人震惊的金融信息泄露案件，使得人们不得不开始重视这项隐私权，通过寻找信息泄露的根源，发现问题所在。

客观方面，在金融业内各类机构之间都或多或少的存在着业务往来，而进行这些业务往来则需要进行数据交换与传输，在向第三方传输资料的过程中，可能由于技术问题形成安全隐患，导致客户资料被他人获知，进而被滥用，造成客户损失。但这并不足以形成客户资料被大量泄漏的现状，究其根本，仍在于金融机构主观方面：一、金融机构在收集客户资料时保密意识薄弱。例如在填写客户信息时，常常会没有限制、反复收集，那么重复过量收集的资料究竟如何处理？随意处置不当收集的信息为不法分子打开了方便之门。二、金融机构保管客户资料措施不当。实务存在着大量随意查询客户资料的现象，没有严格的配套制度，未经授权随意查询使用客户资料的现象严重。三、金融机构在与第三方进行合作时，往往不甚在意第三方对于客户资料的保密情况，也没有形成相应的风险管理与责任承担制度，资料传输、合作达成即认为完成其义务，在这其中的客户资料却很容易被第三方随意泄露。四、金融机构内部人员几乎没有保密意识，甚至形成了客户资料数据交易的“灰色产业”，他们的手中掌握着大量的客户资料，而且有效信息的价值比例高，一旦出现出价较高的不法分子，他们就会将手中的信息进行兜售，以换取利益，这恰恰是形成客户资料被大量泄漏滥用的主要途径。

造成上述金融机构在主观方面保密意识薄弱的根本原因在于缺乏统一完善的法律规则，即便出台了相关的规章制度，也只散见于银行、保险等个别金融机构，比较零散，不能引起业内人士的足够重视。又由于基本统一立法的缺失造成实践中各规章制度之间难以联系、执行混乱，归责存在漏洞，追究不力，欠缺针对性与可操作性，没有发挥应有的法律效果。由此也就导致各金融机构内部制定规章执行度不高，内部人员法律意识薄弱，没有相应的惩戒与警告措施，客户资料泄露在所难免。

但金融机构必须通过客户资料的取得以及传输，协助客户进行金融交易，使得客户资料具有无法被绝对保密的现实需求，特别是在金融交易全球化的影响之下，社会需求推动着法律建设的发展，有效借鉴英国、美国等发达国家的相关制度与经验，为金融机构开展客户信息保护工作提供法律依据与操作准则，则是有效解决这一问题的路径之一。

二、国外有关制度借鉴

欧美国家相比较而言对于个人信息隐私权的立法较早，有着相对完善的法律制度规章，有一定的学习借鉴价值。

(一)英国数据保护法

英国于1988年颁布修正《数据保护法案》主要是为了迎合欧盟指令的要求，使得各会员国之间有关保护个人资料隐私权方面达成一致，以利于资料的传输保护，因此该法案对于所有行业不作区分而采用统一标准。

该法案将所保护的个人资料规定为可以被识别的个人相关数据，包含了人工资料与电脑数据资料，且其适用对象既包括组织也包括个人，适用领域既包括公权力领域也包括私权利领域。①该法案所确定的金融机构保护客户资料隐私权的基本义务值得借鉴思考。

法案规定资料管理者适用该法案进行收集、处理及使用个人资料应遵循的资料保护基本原则大致概括为公平合法原则、符合特定目的原则、当事人同意原则以及安全原则。具体包括：1.个人资料的取得及处理，应公平合法；2.个人资料的取得应符合特定及法律认可的目的，不得在特定目的之外使用；3.对个人资料的处理应适当、相当，且不超过该特定目的或增加目的；4.个人资料应正确，必要时保持更新；5.因任何目的所持有的个人资料，其持有期间不得超出该目的所需期间；6.个人资料的处理不得违反资料保护法有关当事人权利的规定，以保障主体权利为前提；7.资料管理者应采取适当技术及管理措施，以防止个人资料未经授权被不当或非法使用，以及被意外损失或灭失。8.个人资料除处理该资料的国家或地区，对于资料当事人的个人自由与权利已有适当程度的保护外，禁止传输至“欧洲经济区”以外的国家或地区。②所有具体制度的相关规定都围绕这八个基本原则而具体展开。

除此之外，该法案值得我们进行特别关注的地方在于有关资料传输方面的特别规定。

在欧盟共同经济体的框架下，各行业的数据传输适用了相当程度的资料保护制度而得以自由传输，但若想传至第三国，因各国资料保护规范程度不一致，需资料管理者对于第三国的资料保护法规有一定程度的了解，以防止其所持有的客户资料被不正当使用。对于此制定了一系列的规范，对属于对当事人个人自由与权利已有适当程度保护的第三国作出了具体可实行的适用规定，在一定程度上加重了企业身为资料管理者的资料保护责任，强化了其对当事人权益的保护。

英国制定这一系列复杂制度的目的在于寻找提高银行金融服务效率水平、促进国际金融合作与有效保护客户资料隐私权之间的平衡点。在经过上述选择后进行的银行客户资料国际传输，两方当事人之间能够在一定范围内对客户资料保护规范达成一致，将有效促进国际范围内资料保护法律观念的传播交流，推动国际间个人信息隐私保护统一规范的形成。

(二)美国相关制度

美国在制定其隐私权保护法时采取了分行业保护的方式，于不同行业制定相应的行业隐私权保护法律规范。

1.金融服务现代化法案

虽然该法案出现的目的是为了减少金融组织与其他商业机构进行合作的限制阻碍，促进金融市场的发展，但其仍然对金融机构设有限制，要求其尊重客户隐私，保护客户非公开个人资料的安全性与秘密性。

该法案的特别之处在于设置了通知原则，要求金融机构在提供金融服务时需向客户发出三项有关其隐私政策以及具体施行基本通知，还要求其与消费者之间建立客户关系，该关系持续期间，每年至少有一次以会面、电子邮件或其他允许的方式，将其对于客户资料的保护情况清楚且明确的告知该客户。除此之外，还设置了较为完善的执行与补救程序，最大程度上保障客户隐私权不受侵犯。

美国政府对于隐私权的重视，落实在金融服务的细节方面，并要求不断更正以配合权利发展的需要，正是我们值得学习借鉴的地方。

2.财务隐私权法

该法规定财务隐私权是指个人控制收集、揭露和使用关于其金融交易或事务的权利，具有防御金融资料外泄与不当使用的功能。

该法制定的核心在于政府不得自金融机构取得含有任何客户财务记录的资料或其副本。法律并不禁止金融机构向联邦政府透露其客户资料，但对于政府取得客户资料的程序进行了明确的规定，并给予客户知悉和质疑的权利：联邦政府为得到财务记录，必须在申请中对其需要的信息进行合理的原因叙述，并得到当事人本人的同意，或有传票、搜查令作为依据；政府也可向金融机构提出书面申请，说明其要求信息的行为为正当的行政或执法行为，但政府必须事前将该要求通知当事人。

三、启发

英国与美国在金融客户隐私权保护方面的不同制度要求，是经济基础决定上层建筑的充分体现，这就要求我们在构建金融机构客户隐私权概念时，既要适当参考外国立法，又要立足于我国国情，创造出适合我国法制的金融机构客户资料隐私权，才能真正发挥该隐私权保障客户金融资料不受侵害的功能。

(一)首先应当建立健全我国关于保护个人信息隐私权的专门立法，在此基础上制定有关客户金融信息隐私权保护的部门法。目前我国有关个人隐私权的法律制度仅限于在《民法通则》名誉权之下进行间接保护，或在其他部门法中以个别法律条文的形式出现，缺乏统一立法模式，意味着对个人信息的概念、性质定义不明确，难以在实际操作中加以运用，进而影响各行业部门的管理规范。反观美国，正是由于其在《隐私权法》中对隐私权的有关概念进行了明确定义、详细保护，进而又在各行业制定了一系列隐私权保护规范，使其关于隐私权的法律保护成为世界各国学习借鉴的对象。

(二)制定金融业内可实际操作适用的客户资料隐私权法律法规。因行业本身存在特殊性，仅仅归置隐私权统一立法不足以满足每一行业使用，需制定符合行业本身特性的金融业隐私权保护法律，可以借鉴英美法制定基本原则，至少具体应包含：

1.明确应当被保护的客户资料的概念与范围。通过立法的形式明确客户资料的范围，使金融机构明确其职责范围，避免因概念、边界不清而产生纠纷。通过规定当事人的概念明确何为金融机构的客户，以利于金融机构制定保护机制。

2.对金融机构取得客户资料的行为方式进行规范限制，防止进行无节制的收集，要求其对于资料的收集应符合特定的目的且取得客户同意许可，在其目的范围内进行资料的使用处理。

3.金融机构传输客户资料时应当有一定的限制，不得随意使用。对于将客户资料传输至第三方，无论是个人、组织机构还是政府机关，都应当取得其客户的授权许可，并细化责任。

4.金融机构需采取一定的技术手段与制度管理措施，避免客户资料丢失或被泄露。

5.客户对其资料应当有及时更新、改正、删除的义务与权利。

6.制定相应的责任制度，明确归责方式与救济方式。

此类规范制度的主要目的在于限制金融机构收集及处理客户资料的权利范围，在最大程度范围内明确法律对于客户资料的保护。

(三)除了立法保护之外，金融机构本身也应当根据出台的相关归责政策，制定自身规范机制，全面提高对于客户资料的掌控能力与保护能力，全面防范，并制定相应的惩戒措施，提高监督能力，同时加强内部管理，完善相关保密技术设备，通过对其职工的职业道德与技术培训，增强保护客户资料的保密意识和风险防范意识。政府也应加强对金融机构的监督管理，在市场自我调节的同时发挥政府宏观调控法作用。

(四)最重要的是金融机构客户本身应当对其个人资料具有主人翁意识，不随意泄露个人资料，提高自我防范风险的能力，在社会上形成一种保护个人信息的意识风气，而使其信息始终处于安全状态，从根源上保护个人信息隐私权。

[ 注 释 ]

①姚岳绒.别具一格的英国个人信息立法保护[J].信息系统工程，2012(07).

②刘占领.公法视角下的我国台湾地区个人信息保护问题研究[Z].中国优秀硕士学位论文全文数据库，2015.

[1]姚岳绒.别具一格的英国个人信息立法保护[J].信息系统工程，2012(07).

[2]刘占领.公法视角下的我国台湾地区个人信息保护问题研究[Z].中国优秀硕士学位论文全文数据库，2015.

*2016年上海大学生创新项目“网络信息的依法治理机制研究”(项目编号：S16124)的成果。

D

A

2095-4379-(2017)19-0049-03

郑冉(1996-)，女，汉族，山东日照人，华东理工大学法学院，本科在读，研究方向：个人信息隐私权保护；陆佳怡，女，汉族，上海人，华东理工大学法学院，本科在读，研究方向：个人信息隐私权保护。