管理学百科|12Reads

金融隐私权

定义

金融隐私权(Right to Financial Privacy),是指个人对其金融信息所享有的不受他人非法侵扰、知悉、收集、利用和公开的一种权利。要正确理解其内涵,首先需要明确“金融信息”的范围。一般而言,金融信息是指金融机构在业务活动中知悉和掌握的包括个人的身份、各类金融资产状况和交易情况在内的所有信息和资料。大致为:(1)个人身份信息。一般包括姓名、性别、出生年月、身份证件名称及号码、社会保障号码、联系电话、通讯地址、文化程度、职业等。在办理维萨卡和万事达卡等银行卡时,还要求提供家庭财产状况,如存款账号、支票账号、住房权属、汽车品牌年代、融资渠道、目前债务及债权人姓名和账号号码等。一般而言,个人身份信息涵盖多方面,且容易通过多种渠道获得,似不应纳入保护范围中笔者认为这些信息因为与金融交易等动态信息串连在一起,会产生识别金融消费者个体的后果,应属于隐私权保护的范围。(2)个人交易信息。主要指账务信息(如银行账户号码、密码、存贷款数额等)、信用信息(如持卡数量、透支记录等)、投资信息(如证券账户资产构成)和保险信息等。这些信息全面反映了个人金融资产状况和信用状况,对个人而言,都是较为敏感的信息。(3)个人主观信息。主要指金融机构将与客户交往过程中所获取的衍生信息进行梳理分析后对客户形成的主观印象。如记录、分析个人持卡购物信息,就可以了解其消费的时间、地点、数额、交易对象,甚至所购买的商品种类和品牌,从而判断出其交易习惯、消费偏好,有时甚至可能整合出个人的职业背景、性格特点、不良嗜好和交际圈子等。

主体

理论界对隐私权主体的认识仅及于自然人,即只有自然人才享有隐私权,法人或其他组织是不能享有这一权利的。而金融隐私权的主体是一个广泛的民事主体范畴,金融隐私权主体有权排除主体以外的其他人(包括自然人和法人)的非法侵害。我国银行客户金融隐私权的主体当然是银行客户,但是“客户”这一概念尚无法律上的定

义,因此对其科学界定具有重要的意义。银行客户包括形式上的银行客户与实质上的银行客户。形式上的银行客户指持有银行有效账户的客户,这是当前银行客户的常态;实质上的银行客户指未持有银行有效账户,但与银行发生实质上的金融信息活动的客户,这是银行客户的非常态,对其进行保护主要基于以下原因:首先,在银行业务中开立账户只是其中一个环节,而开立账户前,银行已经与这些“可能或者即将成为客户”的客户有所接触,在这个过程中往往已经发生了金融信息活动;其次,在银行账户的使用过程中,客户的资金往来等信息将为银行所知悉,而一旦注销该账户,则当事人就丧失了客户的身份,丧失了相关信息受法律保护的权利,这将不利于鼓励交易;此外,随着金融制度、金融工具的不断创新,银行提供的金融产品也越来越复杂,许多金融服务并非由

一个银行独立完成,而是由更多的金融机构共同提供。客户为消费一项金融服务,可能仅在一个银行开立账户,而相关的服务却是由开户行与其他金融机构协调完成,在开户行与其他金融机构的合作过程中必然发生有关的金融信息活动,如果客户的金融信息权在非开户金融机构得不到保障,金融创新活动也许会因此无法吸引客户而受到打击。

客体

金融隐私权指向的客体包括:信息持有者的信用状况,信息持有者的交易信息,以及其他相关的能判断信息持有者财产状况和其财产流向的信息,如财产状况、经营负债情况、收入与负债、个人档案、纳税记录以及对当事人影响较大的经济诉讼等情况。目前,美国法学界和金融界普遍认为银行对客户的金融隐私权的保护应当及于以下三个方面:有关账户的信息;有关客户交易的信息;银行因保管客户的账户而获得的与客户有关的任何信息。笔者认为,金融隐私权的权利客体主要包括三方面内容:第一,账户的基本信息。账户的基本信息主要是指客户的身份信息。例如:客户的姓名、性别、年龄、身份证件号码等。银行客户在开户时必须按规定向银行提供相关的个人信息,而不同类型的账户所记载的客户信息详细程度是不同的。普通储蓄账户一般只涉及基本的身份信息,而信用卡账户则涉及更多的个人信息,包括:个人文化程度、就业单位、住宅地址、联系电话以及收入水平等。除了客户的身份信息之外,还包括开立账户的时间、账户号码、有效期限等信息。第二,账户的交易信息。账户交易信息是最重要的客户信息,包括:交易时间、种类、性质、内容、价格以及对方当事人、账户余额、资金来源去向等。第三,账户衍生信息。账户的衍生信息指客户基于账户而产生的其他信息。例如,客户的业务往来对象等。

性质

金融隐私权并非主要表现为人格的属性,以一种消极的利益形态依附于民事主体自身,而是成为了民事主体的具体权利形态。金融隐私权不同于以精神利益为客体的通常的隐私权,是一种兼具人格权与财产权性质的混合权利。与传统的隐私权不同,它与信息持有者的经济利益或财产权利益紧密相连,是人格权与财产权利的有机统一,并从人格利益向财产利益转化,具有经济价值而又与人身不可分割,兼具人格性和财产性并且财产性日益突出。在无形财产权框架内,金融隐私权已逐渐从人格利益转化为财产利益,是一种从一般人格权中分离出来的新型民事权利。财产权规则的目的是想要有财产权者必须在取得财产权之前先进行谈判协商,因而金融隐私权的财产权性质使得原本谈判协商实力薄弱的个人被赋予得以针对其信息隐私权进行谈判协商的能力。在信息时代,此种财产权模式乃是将个人信息视为可以分配给和该等信息有关的个人予以控制的资源,或者分配给该个人以外的商业经营者控制的使用的资源。因此,对其进行相对独立的权利定位,赋予其独立的财产形式有利于维护市场主体的信用信息利益。

权能

金融隐私权具有以下权能:一是隐瞒权能,信息持有者有权隐瞒其信用信息,使其不为他人所知;二是支配权能,信息持有者可以自由支配其信用信息,自主决定允许或不允许第三人知悉和利用其信用信息;三是救济权能,当信用信息被不当泄露或被侵害时,信息持有者有权寻求司法救济。金融隐私权权能的核心,是对信用信息及其利益的支配,即信息持有者对其信用信息享有控制支配权。其宗旨在于:信息持有者不仅是其信用信息产生的最初来源,也是其完整性和正确性最后核查者,还是其信用信息适用范围的参与决定者。所以必须赋予信息持有者对其信用信息主动控制及支配的权利。金融隐私权的诸权能之间是一个相互作用、相互影响的整体,随着主体和客体的变化发展,旧有的权能可能消灭,新型的权能也可能产生。

保护机制

在金融全球化的背景下,银行业、证券业打破国家界线,特别是跨国银行、网络银行的兴起,使国内金融市场与国际金融市场连成一体,金融活动已经突破国界限制向全球展开,形成金融产品、服务对象全球化的无国界金融。金融隐私权的保护已不仅仅是国内的问题,而是一个国际问题。金融隐私权保护国际化,是指金融隐私权的保护突破国内法的保护机制,通过成立国际组织或签订国际条约等手段使国家承担保护义务,对金融隐私权保护进行国际合作,并对侵害金融隐私权的行为加以防范和惩治。

金融隐私权保护国际化主要表现为如下特征:(1)金融隐私权保护主体的国际化。金融隐私权的保护主体不再限于传统意义上的国家,国际组织也开始关注金融隐私权保护领域,通过区域性和全球性的合作对金融隐私权进行保护;(2)金融隐私权保护对象的国际化。金融机构和金融业务国际化使得一国不仅要保护本国国民的金融隐私权,还要对在本国进行金融交易的他国国民的金融隐私权进行必要的保护;(3)金融隐私权保护手段的国际化。保护国民的金融隐私权不再局限于一国的法律法规,国家之间就金融隐私权的保护进行了积极的合作,国际条约中也出现了金融隐私权相关条款,金融隐私权保护手段呈现出国际化的趋势。

双边协调机制

双边协调机制是存在金融隐私权保护法律冲突的国家双方进行协调,主要通过双边协定的方式就金融隐私权保护进行协商或对话并解决冲突的机制。欧盟与美国之间有关隐私保护的《安全港协定》 (Safe Harbor Agreement)为我们研究金融隐私权保护双边协调机制提供了良好的素材。

20世纪70年代,美国与欧盟在隐私权保护上的巨大差异成为贸易争端的焦点。美国坚持灵活保护的策略,通过自律机制配合政府的执法保障来实现保护隐私权的目的,欧盟却倾向于通过严厉的立法对个人数据跨国流动进行保护。欧盟《个人数据处理和自由流动中个体权利保护指令》 (以下简称《个人数据保护指令》或《指令》)第25条规定,只有当第三国确保能够为个人数据提供充分程度(adequatelevel)的保护时,才能将个人资料移转或传送至第三国,这条规定被称为欧盟的“充分保护”标准。“充分保护”标准为美国企业在欧盟开展业务设置了限制性的门槛。为解决这个问题,欧盟和美国于2000年达成了《安全港协定》。“安全港”的目标是在确保美国企业达到欧盟的较高保护标准的同时,维持美国长久以来一直采用的自律机制。

“安全港”是指美国商务部建立一个公共目录,在联邦交易委员会和美国交通运输部管辖下的任何组织,自愿遵守“安全港”的规则就可以加入这个公共目录,成为“安全港”的一员。要达到“安全港”的要求并得到其保护,机构必须采取以下措施之一:(1)参加符合“安全港”原则的自律性隐私权保护项目;(2)制定符合“安全港”原则的自律政策;(3)遵守有关保护个人隐私权的法律规范。机构采取上述三项措施之一,并以“安全港”成员的身份从事电子商务,自愿做出承诺遵守“安全港”的七条隐私保护原则,这些机构就被假定达到了“充分保护”的要求,可以继续接受、传输来自欧盟的个人数据。加入“安全港”的机构也必须承担一定的义务,即要保证遵守“安全港”的七条原则,包括:(1)通知原则;(2)选择原则;(3)向外移转原则;(4)安全原则;(5)资料完整原则;(6)获取原则;(7)执行原则。

“安全港”在隐私权保护标准上体现了欧、美双方的妥协。首先,在联营机构数据共享方面,欧盟《指令》规定了明确的“选进”程序,只有经过数据主体的明确同意才能在联营机构之间进行数据共享。而“安全港”规定,联营机构间信息共享时,消费者有“选退”的权利,即在联营机构间共享非公开个人信息时,给消费者选择终止共享这些信息的权利,但是“选退”必须遵守“安全港”的原则。其次,和非联营第三方之间的信息传输方面,《指令》也采取“选进”标准,需要消费者明确的同意,“安全港”采用的是“选退”方法。可以说,“安全港”协定要求美国的机构为欧盟的个人提供充分的隐私权保护,但是也没有完全采用《指令》的标准,而是欧盟和美国两种隐私权保护标准的妥协。

由于历史原因,金融隐私权保护未纳入《安全港协定》 。但笔者认为以“安全港”的方式解决欧盟与美国之间的金融隐私权保护问题是可行的:首先,利用“安全港”协定的现有机制可以缩短谈判时间。美国和欧盟就“安全港”协定进行了近两年的谈判,若寻求其他协调途径,必定也需要漫长的谈判过程,而将金融机构的信息传输纳入“安全港”,可以利用现有的谈判成果,使两国的交锋点仅限于金融隐私权保护标准,从而大大缩短谈判时间。其次,纳入“安全港”可以节省成本,一次性解决问题。有学者曾提出使用“标准合同”的方式,由美国的金融机构个别向欧盟数据保护当局申请,通过双方签订合同,获得数据传输的个别批准,然而这种提议不具有可行性,因为个别谈判意味着数以千计的合同,执行成本非常高。纳入“安全港”则可以大大降低成本。再次,将金融信息传输纳入“安全港”具有一定的资源优势。“安全港”机制已经运作了六年多,经过几年实践和完善,“安全港”已经成为双边数据隐私保护的有效机制,将金融信息传输纳入“安全港”可以利用现有的、较完善的机制,尽快解决金融隐私信息的保护问题。

在欧盟和其他不符合欧盟“充分保护”标准的国家之间,也可以推行“安全港”这一模式。如果数据保护水平较弱的国家一味提高自身保护水平以迎合高标准国家,必然导致立法和实践脱节,造成国内金融机构的沉重负担,影响一国的金融秩序;而“安全港”协定这种双边妥协的方式能有效地弥合国家间隐私权保护的差距,是一种值得借鉴的方式。

多边协调机制

多边协调机制通过设立国际组织或签订国际条约保护金融隐私权,可以成立协调委员会或类似的机构具体负责协调运作。多边协调机制包括区域性多边协调机制和全球性多边协调机制。

1.区域性多边协调机制。20世纪80年代中期,无论是发达国家还是发展中国家都争相投入区域经济一体化建设,掀起了区域经济一体化浪潮。区域合作范围已涉及贸易、投资、税收、金融等领域,并仍在不断拓展。跨国界的人员流动、经济交往等对金融隐私权保护提出了新的要求。一些区域性组织敏锐地感觉到这些需求,开始关注金融隐私权保护的国际合作。

成立区域性合作组织或签订区域性条约是区域性多边协调机制的主要方式。经济合作与发展组织(在个人数据隐私保护方面做了大量的工作,1980年发布《保护个人隐私和跨国界个人数据流动指南》 ,1985年发布《跨国界数据流宣言》,1998年通过《在全球网络上保护个人隐私宣言》 ,其中1980年的《指南》是个人隐私和个人数据保护国际合作的第一个成果。《指南》中的“个人数据”是指与确定和可以确定的个人相关的任何信息。个人数据范围非常广泛,个人金融信息也在其中。这一定义在数据隐私保护领域被广泛采纳,欧盟国家基本上都采用了这种定义。《指南》的目的是在成员国之间达成隐私保护的最低标准,缩小各国立法的差异,降低因数据流动而带来的侵害个人隐私权的风险。《指南》规定了个人数据处理的八项原则,包括收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则。

欧盟是在金融隐私权保护区域合作与协调方面卓有成效的组织。早在1980年,欧洲议会就完成了有关保护个人资料的《保护自动化处理个人资料公约》。随着欧共体发展为欧洲联盟,对个人信息和隐私的保护更加重视:1995年,欧盟通过了《个人数据保护指令》,1997年通过了《电信事业个人信息处理及隐私保护指令》;1998年10月,欧盟制定的《网络私人资料保护办法》开始生效。《指令》是欧盟个人数据保护法律体系的核心规范,共计34条。《指令》中的“个人数据”是指任何与已经确认的或可确认的自然人(数据主体)相关的信息,包括身体、生理、经济、文化、社会等各方面的信息,金融信息保护也在指令中得以体现。指令几乎涵盖了所有处理个人数据的问题,包括个人数据处理的形式、个人数据的收集、记录、组织、储存、修改、修复、咨询、使用、披露、传播、删除、销毁、检索。《指令》的目标为:(1)保证个体的权利和他们在信息社会中的隐私权;(2)通过在欧盟各成员国间确立统一的个人数据保护规则,建立一个协调保护机制,促进欧盟个人数据自由流通;(3)防止由于第三国的保护不足而导致对个人数据的滥用。各国依据《指令》进行数据保护立法,现在欧盟各成员国之间已基本形成了统一的金融隐私权保护标准。

亚太经合组织也在韩国釜山第17届年度部长会议中达成了《APEC隐私保护框架》,该《框架》旨在通过整合并促进有效率的信息隐私保护,确保亚太地区信息的自由流动,从而促进亚太地区的贸易发展。《框架》中的“个人信息”是指任何可识别个人或足可识别该个人的信息。但合法公开的政府档案,新闻报道或依法公开的个人资料等可公开获得的资料不在保护之列。《框架》适用于收集、持有、处理和利用个人资料的个人或机构。《框架》规定了以下几个原则:预防损害原则、告知原则、收集限制原则、个人资料的利用原则、当事人自主原则、个人资料完整性原则、安全管理原则。

2.全球性多边协调机制。全球性多边协调机制主要是成立专门的国际组织,通过制定一些行业指南、原则、准则、谅解备忘录等对各国的金融隐私权保护提出可借鉴的标准。

始于20世纪80年代初的数据保护和隐私专员会议,是个人数据隐私保护领域的一个重要组织,其前身是西欧数据保护和隐私保护专员会议。会议每年召开一次,现在已经发展成为世界性的数据隐私保护会议。2005年,第27届数据保护和隐私专员会议在瑞士蒙特勒召开,通过了《蒙特勒宣言》 。《宣言》强调在尊重差异性的基础上,在全球范围内进行数据隐私保护工作《宣言》明确了数据隐私权的细节 ,将数据隐私保护视为人权保护的一部分强制施行,呼吁各国政府对数据和隐私保护进行立法,呼吁各国积极开展数据隐私保护合作。

随着数据传输在国际贸易中的地位日益提高,世界贸易组织(WTO)和个人数据保护之间的联系也越发紧密。《服务贸易总协定》(GATS)中规定的服务贸易包括四种:跨境支付、跨境消费、商业存在和自然人流动。其中第一和第二种涉及个数据的跨境转移,第三种情形中,人力资源信息也会被跨国公司带出境外。WTO中与隐私保护相关的条款是GATS第14条“一般例外”中的“施行法律例外”,在不构成任意或不合理歧视的手段或构成对服务贸易的变相限制的前提下,可以采取为使与本规定不相抵触的法律或法规得到遵守所必需的措施,其中,保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性就是其中的一种措施。GAT允许国家采用并且实施隐私保护措施,前提是这些措施不会专断或不公正地歧视其他国家,或者形成贸易限制。这样的规定,既体现了WTO对各国主权的尊重,也表明WTO对待隐私保护问题的态度,即隐私保护不能成为非关税壁垒。

有学者建议在WTO框架下建立一个“信息隐私总协定”,以促进对公民信息跨界流动的保护。Joel R.Reidenberg教授认为,GAIP在短期内应该致力于建立一个各种不同体制共存的制度,长期目标为推动信息隐私管理标准的统一。Reidenberg教授提出,可以在WTO层面上规定数据保护的核心内容,设立数据保护的基本标准,并将其并入多边贸易协定。由于WTO成员国众多,将GAIP纳入WTO框架可以在成员国之间形成统一的信息隐私保护标准,大大推动全球信息隐私保护的统一。

然而,由于信息隐私保护具有非常显著的社会性、历史性和文化差异性,将其纳入WTO体系存在很多困难:(1)WTO建立在自由贸易和市场经济的基础之上,是一个实施多边贸易规则的组织。处理贸易议题的一些原则不一定适合非贸易议题。如果将非贸易议题纳入WTO体系,将会扭曲多边贸易体系的功能甚至威胁到它的稳定性,从而损害WTO;(2)违反WTO原则的救济方法是贸易制裁,而私人隐私遭受侵害多通过私人赔偿金和强制禁令来维护个人权利,处罚机制的差异也很难调和;(3)隐私权在很多国家是作为人权出现的,涉及到人权问题,各国间的分歧和差异非常难协调;(4)将信息隐私议题纳入WTO体系,可能减损对私人隐私权的保护,WTO旨在促进贸易自由化,而信息隐私保护关注的是私人的权利,在WTO这样一个贸易组织里进行信息隐私的谈判,很有可能为达到促进贸易发展的目的而倾向于信息自由流动,减损隐私权的保护

该词条对我有帮助 (0)
成就高成效,实现管理能力快速提升,12Reads系列教材限时特惠! 立即购买 PURCHASE NOW