商业银行客户信息保护的义务与责任

商业银行客户信息保护的义务与责任

客户信息属于个人隐私，受法律保护。商业银行作为金融服务机构,在向客户提供金融服务的同时,亦承担着保护客户信息的义务和责任。近年来,我国商业银行客户信息保护工作逐步加强,但是相关的法律制度、体制和机制等尚不健全,还存在不少问题有待解决。例如,个别商业银行不当使用客户信息或者不法分子非法获取客户信息的案例引起了社会公众的广泛关注,暴露出个别商业银行在客户信息保护方面存在明显的操作风险。基于此,本文在考察西方发达国家个人信息保护立法与实践的基础上,对我国银行业个人信息保护现状进行分析研究,并有针对性地提出加强和改进我国商业银行个人客户信息保护的对策建议。一、西方发达国家银行关于个人客户信息的保护立法和实践研究(一)西方工业化国家银行关于个人客户信息的保护法律体系概述1.关联第三方披露(1)合理规范银行向非关联第三方(non-affiliatedthirdparty)披露个人客户信息的权利。美国1999年颁布的《金融服务与现代化法》对金融机构向非关联第三方披露非公开个人信息(nonpublicpersonalinformation)的权利进行了限制,其第502条规定,非经履行必要的通知程序并取得客户同意,金融机构不得将客户的非公开个人信息向任何非关联第三方披露。为实施《金融服务与现代化法》第502条的规定,美国货币监理署、联邦储备委员会、联邦存款保险公司和储蓄管理办公室于2000年共同制定了《消费者金融隐私保密最终规则》,强化对金融机构相关行为的约束:第一,金融机构必须每年向其客户提供其关于客户信息保护的“隐私政策”;第二,其向所有关联第三方和非关联第三方披露客户信息的,必须及时向客户发送“隐私通知”,通知的内容包括拟披露信息的类别、拟接收信息第三方的类别(关联或非关联)、客户享有的权利及其拟对客户信息采取的保护措施等;第三,如金融机构需向非附属第三方披露客户隐私信息的,必须向客户发出“选择退出通知”,赋予客户“选择退出权”,即有权选择终止与银行的业务或其他合作关系并禁止银行将其信息向该非关联第三方披露。(2)以判例方式确认银行与客户间的“默示条款”规则。爱达荷州最高法院1961年在PetersonV.IdahoFirstNationalBank一案中确立的“默示条款”规则是美国银行业个人客户信息保护立法中的一项重要规则。依据该规则,即使客户在与银行签订的业务合同中没有明示要求银行不得泄露客户的相关私人信息,普通法上也认为银行与客户之间的业务合同中存在着一个默示条款,即银行不能将客户的有关信息对外泄露。如果银行违反了该默示条款应当承担相应的违约责任。2.《指令》在信息主体和管理者之间欧盟在个人信息保护方面的要求比较严格。早在1995年,欧盟就发布了《个人信息保护与自由流通指令》(以下简称《指令》),对信息主体的权利、信息管理者的义务以及救济方式等做出了详细规定,并要求各成员国制定相关的国内法,落实《指令》中的相关个人信息保护要求。银行作为客户信息的收集和管理者,其与客户之间关于客户私人信息保护的法律关系受到《指令》的约束。《指令》的核心内容主要包括以下几个方面:(1)信息主体的权利。《指令》规定,个人对其私人信息享有如下权利:一是接触权(righttoaccess)。信息主体有权获知自己的个人信息及其处理情况,在发现信息处理不符合《指令》要求时,有权要求更改和删除。二是拒绝权。有权拒绝对其个人信息进行处理,特别是有权拒绝信息管理者出于营利的目的进行处理。三是救济权。个人信息因非法操作或其他违反《指令》的国家行为而受损害时,有权向信息的管理者进行索赔。(2)信息管理者的义务。第一,个人信息的收集与处理必须准确无误,并须适时地进行必要的更新。第二,管理者收集与处理个人客户信息应该具有关联性、适当性。第三,只有在个人同意的情况下,个人信息才可以被使用。第四,管理者有义务采取安全和适当的技术措施,防止个人信息在使用过程中发生泄漏。银行作为个人客户信息的管理者需要遵守以上规定。(3)信息的跨境转移。依据《指令》,只有当第三国确实能够提供“充分的保护”(anadequatelevelofprotection)的情况下,信息的管理者才可以向该第三国转移个人信息。若第三国无法就个人信息提供“充分的保护”,那么仅在获得信息主体的明确同意、为履行信息主体与信息管理者之间的契约义务、基于公共利益需要等情况下才可转移。3.信息主体的保护随着欧盟前述《指令》的颁布,德国作为欧盟的核心成员国也于1999年颁布了《联邦信息保护法》,采取集中统一的立法模式,对个人信息的采集、处理及利用的行为进行统一规定。与欧盟的《指引》一样,该法同样适用于银行与客户之间的私人信息保护问题。该法的核心内容主要包括以下3个方面:(1)信息主体的权利。德国《联邦信息保护法》确立了信息主体的三项基本权利:一是知情权,即有权要求告知信息收集的内容、目的以及收集机构;二是更正权,即对本人的错误、过时的信息有权要求予以更正;三是限制利用权,即有权将其个人信息限定在收集目的范围内进行使用,不得超出该收集目的之外使用。(2)个人信息的专门保护机制。为强化对个人信息的保护,德国还设立联邦和各州的“个人信息保护委员会”,负责监督信息收集机构的个人信息使用情况。此外,依据《联邦信息保护法》,银行作为非公共个人信息收集和管理机构还必须设立专门机构———“客户信息保护人”,基于独立的地位负责对银行收集、利用客户信息相关情况进行监督,并接受“个人信息保护委员会”的监督。(3)侵犯个人信息权利的救济机制。依据《联邦信息保护法》,银行如侵犯客户的私人信息权利,需要依据过错责任原则承担侵权损害赔偿责任,并且当客户无法证明损害是由银行引致的情况下,银行需要承担相应的举证责任,即举证责任倒置。此外,银行侵犯客户私人信息的侵权责任需适用“一般侵权责任”的规定,不得设定最高赔偿限额。4.完善客户保护管理机制日本金融厅颁布的《关于金融行业个人信息保护指引》以行业自律规范的形式进一步细化了《个人信息保护法》中相关内容,对金融企业保护客户个人信息提出了一些特殊要求,其中较为重要的有三项:一是机构与规则要求。《指引》要求金融企业必须设立负责客户信息保护的专职部门,该部门需负责制定客户信息保护管理规则,监督雇员行为,避免客户信息被泄露或毁损。二是授权使用管理要求。《指引》规定,如金融企业需要将其持有的客户信息授权给第三方使用的,必须采取必要和合适的授权确保该第三方不滥用或损害客户信息,包括应合理审慎选择被授权第三方、要求第三方建立必要的客户信息保护制度、限制转授权等。三是转让限制要求。《指引》进一步细化了金融机构客户信息转让的限制要求,规定金融企业向他人提供其持有的个人信息必须事前征求本人的同意,除非是基于法律规定或出于保护生命、防止人身伤害或保护财产的目的需要,且难以得到客户同意等情况。(二)国际银行的个人客户信息保护体系1.提供客户个人信息(1)“一般条款”与客户信息授权使用制度。花旗银行在与客户叙做业务时,一般会要求客户签署一份经其法律部门审定的客户信息授权使用“一般条款”,以明示的方式授权银行在一定范围内使用客户个人信息。“一般条款”包含强制性授权事项和任意性授权事项两类。前者指客户必须向银行授权的事项,否则客户只有行使“选择退出权”,终止与银行开展该项业务。强制性授权事项主要包括:(1)授权银行为开展本项业务使用客户个人信息;(2)授权银行有权向相关信用咨询服务机构了解其资信状况等相关信息;(3)授权银行向相关征信机构提供客户个人信息;(4)授权银行向法院、监管机构提供客户个人信息。任意性授权事项是指客户有权在与花旗银行开展业务的同时选择不予授权的事项,主要包括“基于向客户提供高品质的金融产品以实现客户之金融目标或需求的目的”授权向花旗银行不同分支机构、集团内关联机构以及向其他有业务需求的非关联第三方提供客户信息。值得注意的是,尽管后者在性质上是任意性的,但是花旗银行通常会在“一般条款”文本中将任意性授权事项的默认选项设置为同意授权银行进行披露,以此增加对客户信息使用的自由度,最大限度地实现在集团内客户信息的共享。(2)“控制室”机制(ControlRoom)。为确保客户信息使用的合法性,花旗银行在各级法律合规部门设立了专门负责客户信息保护的“控制室”。“控制室”具有相对独立的地位,无须受制于业务条线的负责人,仅须向独立的法律合规负责人汇报。“控制室”的职责主要包括:(1)权限检索。当客户信息的使用超出其收集目的时(包括被用作于其他业务,向其他分支机构、附属机构或者非关联第三方提供等),必须向所在机构的“控制室”汇报,由“控制室”结合客户签署的“一般条款”判断银行是否有权进行该等使用。(2)利益冲突检索。花旗银行具有较为严格的“防火墙”制度,严格限制银行滥用客户信息和优势地位侵害客户利益。当客户信息需用于其他业务或向其他机构提供时,“控制室”需负责对此种使用是否存在利益冲突的情况进行审查。如认定为存在利益冲突,则需经过更高层级的“利益冲突委员会”审核同意,才可“越墙”(CrossWall)提供个人信息。(3)合法合规性检索。“控制室”还需负责对客户信息的使用是否符合机构所在地的法律法规以及母国(美国)相关监管法规等进行审核。2.丰商业和采用“隐私政策原则”的方式在欧盟95号指令的要求下,欧盟国家的个人信息保护要求往往比美国等其他国家更为严格,因此,欧洲的国际银行在对待客户信息的问题上也更为谨慎。汇丰银行的客户信息保护制度颇具特点,概括起来,主要有以下几个方面核心制度:(1)客户经理负责制与明示的“隐私政策原则”。在汇丰银行,客户经理是负责客户信息保护的第一责任人,负责客户信息的收集和使用。客户经理在收集客户信息时,会向客户提供一份汇丰银行的“隐私政策原则”(PrivacyPrinciple),向客户说明该行收集和使用客户信息拟遵循的基本原则和要求,并在“隐私政策原则”中明确如客户接受汇丰银行的金融服务(如为电子银行服务,则以进入汇丰银行的官方网站为条件),即为同意该“隐私政策原则”。汇丰银行的“隐私政策原则”包括以下8项内容:(1)本行只收集本行认为相关且有助于了解客户财务需要及以便本行营运业务的个人资料;(2)本行运用客户的个人资料,以向客户提供更佳的服务和产品为目的;(3)本行可能将客户的个人资料转交汇丰集团其他成员或代理机构,但会依法进行;(4)本行不会向任何其他机构透露客户的个人资料,除非已获客户的同意,或按法律规定进行,或事前已通知客户;(5)本行可能随时被要求向政府部门、司法机构或本行的监管机构透露客户的个人资料,本行保证只会在适当的权限下进行;(6)本行致力保持准确而最新的客户个人资料记录;(7)本行实行严格的客户信息保密系统,可防止任何人(包括本行职员)未经授权而取得客户的个人资料;(8)本行明确规定所有获准使用客户个人资料的汇丰集团成员公司、本行职员及第三方,均须遵守本行的保密要求。“隐私政策原则”实际上是一份内容较为宽泛的“授权书”,授权汇丰银行除可自行使用客户信息外,还可“以向客户提供更佳的服务和产品为目的”向汇丰集团内的其他成员或第三方代理机构提供客户信息。(2)双重审核机制与必要性原则。尽管“隐私政策原则”设定的授权范围较为宽泛,但为避免客户经理或其他银行职员滥用客户信息,汇丰银行规定,超出客户信息收集目的使用客户信息的,需要履行“双重审核”(Dual-Approval)手续,且须满足“必要性原则”(NeedtoKnowBasis)。如需在集团内跨业务条线、跨区域使用客户信息或者向第三方代理人提供客户信息的,需要经过所在机构业务条线负责人及法律合规条线负责人双重审批同意,前者负责审核商业上的合理性,后者则负责审核合法合规性。此外,还必须满足“必要性原则”,仅在为合理开展业务必须披露客户信息的情况下,客户经理才可以将其掌握的客户信息向其他相关主体进行披露。二、分析中国银行个人客户信息保护现状(一)我国银行个人客户信息保护法律的实施1.关于商业银行办理个人存款业务的法律依据目前,我国法律对银行个人客户信息保护的规定主要体现在1995年颁布的《商业银行法》中。该法第二十九条规定,“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”;“对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但是法律另有规定的除外”。此外,《商业银行法》还规定了商业银行违反为储户保密义务的相关法律责任。2.单位工作人员的履职2009年,全国人大审议通过的《刑法修正案(七)》增加了非法泄露公民个人信息犯罪,规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。……单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚”。3.赋予公民隐私权一定的请求权长期以来,我国学术界对个人客户信息的性质一直存在争议。《侵权责任法》颁布以后,明确了“隐私权”属于法律保护的公民民事权益,因此,如果公民认为银行未尽到保护其客户信息安全的义务侵犯其隐私权,可以依照《侵权责任法》的相关规定,向人民法院依法提起诉讼,通过要求停止侵害、赔礼道歉、恢复名誉、消除影响、赔偿损失等方式来加以救济。4.通知》以下简称《通知》中国人民银行2011年印发了《关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称《通知》)。《通知》明确了“个人金融信息”的范围,对银行业金融机构收集、保存、使用、对外提供个人金融信息提出了较为全面的监管要求,是现行最全面、最集中和最直接规范银行业金融机构个人客户信息保护行为的监管规定。(二)客户信息使用范围目前,我国商业银行使用客户信息的情形大体相同,按照使用范围分类主要有三种:一是银行内部使用客户信息,二是银行集团内部使用客户信息,三是因业务需要向第三方提供客户信息。1.条线内部的客户信息银行内部使用客户信息的情况主要表现为:第一,单一业务条线内部因业务开展和管理需要,在本业务条线内部使用客户信息。第二,业务条线之间因业务需要,相互使用客户信息。第三,中后台管理部门因工作需要使用业务部门的客户信息。2.客户共同分享的客户信息在银行金融集团内部,集团成员及境内外分支机构之间通常具有较为紧密的业务联系,在许多情况下存在相互共享客户信息的情况。银行集团内部使用客户信息可能存在跨法人单位、跨境使用的问题,情况比较复杂,需要专门的内部制度进行约束。3.银行向第三方提供客户信息的种类银行向第三方提供客户信息的情形主要分为业务流程类、业务合作类和委托外包类三种。(1)业务流程类。即银行基于开展相关业务的需要,须向第三方提供相关客户信息才能完成相关业务流程。此类向第三方提供客户信息的情形主要见于证券第三方存管业务、部分企业年金业务、个别人民币理财业务、资信证明业务以及代理类业务等。(2)业务合作类。即银行与第三方开展业务合作,在该业务运作过程中银行按照约定向第三方提供客户信息。此类向第三方提供客户信息的情形主要见于保险合作营销业务和银行卡合作业务等。(3)委托外包类。即银行将相关业务、管理事项等外包给第三方办理,为实现委托外包目的,银行须向该第三方提供有关客户信息。主要包括信用卡建档及透支催收、对账单及相关资料制作和寄送、委托第三方进行系统设计开发、委托中介机构完成特定工作任务等情况。目前,银行因委托外包活动向第三方提供客户信息是社会公众和监管部门比较关注的领域,也是相关风险比较集中的领域。客户信息一旦脱离银行控制,如果缺乏必要的合同约束和刚性技术控制手段,有可能导致客户信息的泄露和滥用,进而引发相应的法律风险和声誉风险。三、中国银行对个人客户信息的保护存在主要问题(一)隐私权的独立确立隐私权是公民享有的一项重要权利,也是个人信息受法律保护的法理基础。我国在2009年《侵权责任法》出台前,隐私权并未被正式确立为一项独立的法律权利;《侵权责任法》颁布以后,虽然首次明确了隐私权的法律地位,但是隐私权的具体权利内容尚未在法律层面上得到细化明确,对隐私权的法律保护仍需要进一步完善,依法保护隐私权的法治理念还有待进一步培养和强化。(二)个人信息保护法律体系建设相对滞后与发达国家相比,我国个人信息保护法律制度建设还存在较大的差距。主要表现在以下3个方面:1.个人信息主体的权利目前,我国银行客户信息保护主要依靠《侵权责任法》、《刑法修正案(七)》等法律,这些法律是通过提供权利救济路径,实现对权利的逆向保护功能。由于我国没有制定专门的个人信息保护立法,关于个人信息权利的具体内容在法律上一直处于空白状态。相比而言,德国在《联邦个人信息保护法》中即明确了个人信息主体对其私人信息享有知情权、更正权、限制利用权以及封锁权等;日本亦在《个人信息保护法》中对信息主体的权利进行了细化,明确包括确认权、修改权、限制收集权、限制利用权等。这些规定明确了个人信息主体的权利内容,对于切实保护个人信息具有重要意义。美国在《消费者金融隐私保密最终规则》中设定的“隐私政策通知”程序、“隐私通知”程序以及“选择退出通知”程序等,有助于客户了解银行的隐私政策,特别是及时了解银行拟将其私人信息提供给第三方的情况,进而保障客户对其私人信息的知情权及决策权。2.银行的组织责任在客户信息保护领域,德国、日本等国特别重视专门的保护机制和救济制度的构建。例如,德国设立了专门的“个人信息保护委员会”,并要求银行设立专门机构———“客户信息保护人”,基于独立的地位对银行收集、利用客户信息的情况进行监督。此外,德国法律还规定对于银行侵犯客户信息的,银行不得设置“最高赔偿限额”,并需依据“举证责任倒置”的原则承担举证责任。此类保护机制与救济制度的设置对于银行客户信息的保护大有裨益,值得我国借鉴。3.跨境客户信息流动自由随着我国银行国际化进程的不断推进,我国银行机构在境外开展业务活动有时需要向当地监管机构或业务合作方提供有关客户信息。然而,人民银行《通知》规定,除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。在此种情况下,跨境客户信息流动的刚性需求与监管规则冲突难以避免。如何妥善地处理银行客户信息的跨境转移问题,有待国内立法与相关监管机构予以明确,欧盟的“充分保护原则”与美国的“安全港制度”都是可资借鉴的立法设计。(三)银行内部的客户信息保护机制尚不完善1.外机构共同管理,缺乏统一的制度规范目前,国内银行客户信息保护大多是由总行相关业务部门和境内外分支机构分头管理,相关制度和措施也由各业务部门及境内外分支机构分别制定,在客户信息保护原则、管理职责、使用限制、审批程序以及防火墙建设等方面,大都缺乏全行统一的制度规定。2.专业使用现状随着银行业务和科技水平的发展,银行涉及个人客户信息采集、存储、加工、分析、使用等情况的专业领域越来越多。由于银行内部普遍未明确统一的牵头管理部门,相关信息的使用审批、内部隔离机制、突发事件应急处置等工作由各专业部门分头开展,这种状况难以满足整个银行集团客户信息保护与风险管理的需要。3.业务审批权限不全,客户信息使用依从世界发达国家银行客户信息保护规制来看,银行客户信息保护的重点不在于如何限制客户信息的使用,而是在于确保相关行为依法合规。我国银行目前既没有花旗银行的“控制室”制度,也没有汇丰银行的双重审核机制,客户信息的使用审批基本上依附于相关业务审批权限。这种制度安排难以保证业务审批人在面对业务压力的情况下,能够对客户信息保护给予足够的重视,也难以有效保证有关客户信息使用行为完全符合相关法律法规的要求。(四)客户信息疏于管理近年来,个别银行使用客户信息不当或不法分子非法获取客户信息并盗用客户资金的案例引起了社会公众的广泛关注,这些案例既有银行内部对客户信息疏于管理的问题,也有个别银行员工道德风险问题,还有外部不法分子违法犯罪的外部欺诈问题,暴露出个别银行在客户信息保护方面存在明显的操作风险问题。此类问题主要有以下几种情况:一是未妥善保管客户信息导致信息泄露风险。二是内部员工违规操作导致客户信息泄露。三是因业务营销需要利用第三方中介机构不当查询客户信息可能导致客户信息泄露。四是不法分子非法获取客户信息并盗用客户资金。四、加强对中国银行个人客户信息的保护对策和建议(一)提高信息安全保护意识由于我国长期缺乏个人信息保护的法制环境,保护个人信息的社会意识比较薄弱。因此,必须进一步培养和增强全社会个人信息安全意识。每个公民都应当提高自身的信息安全保护意识,避免个人信息外泄。银行应该充分认识到有效保护客户信息不仅是自身经营发展的需要,也是银行的社会责任和法律义务。国家应当通过持续不断的宣传教育,引导社会公众形成尊重个人隐私、保护个人信息的氛围,同时着力推动相关立法建设,切实将银行客户信息保护纳入法制化、规范化的轨道。(二)加快立法工作,进一步保护个人信息和信息主体银行客户信息保护涉及公民隐私权等复杂法律问题,鉴于目前我国有关个人信息保护的法律规定尚不完备,效力层次不一,有必要加快相关立法工作步伐,尽快制定出台相关法律法规,借鉴个人信息保护相对成熟国家和地区的立法经验,明确界定纳入法律保护的信息范围、保护原则、保护方式、例外情况、权利内容、归责原则等问题,并建立信息合理转移和使用制度,切实保护个人信息安全和信息主体的相关合法权益。(三)建立健全安全可靠的银行信息保护机制1.完善组织体系商业银行应当高度重视客户信息保护问题,建立健全客户信息保护的组织体系,合理规划客户信息管理架构和基本流程,明确牵头部门和其他相关部门的工作职责,形成一套组织严密、分工明确、流程科学、依法合规的客户信息保护组织架构。2.研究制定符合本单位要求的客户信息保护管理办法银行客户信息保护具有很强的专业性和政策性,为使银行客户信息保护工作走上规范化、流程化和制度化的轨道,商业银行应当按照有关法律法规和监管要求,研究制定符合本行实际的客户信息保护管理办法,明确本行客户信息保护的基本原则、相关职能部门管理职责分工、客户信息使用许可与限制、内部审批流程、境内外机构和总行之间的防火墙设置、监督检查及应急处理机制等相关制度规范,同时加强内部宣传教育,强化员工个人客户金融信息的保护意识和依法合规操作意识,有效防控相关风险。3.授权使用条款为规范客户信息的使用,首先应当厘清银行享有的客户信息使用权限范围。在未来收集客户信息的过程中,应当结合业务情况在业务协议中增加必要的客户信息授权使用条款,或者拟定专门的授权使用条款,在客户叙做相关业务时单独签署,明确对于客户信息的使用权限。在授权条款的内容上,可以借鉴相关国际银行的做法,分为强制性授权事项与任意性授权事项,前者可以包括授权银行为开展拟叙做业务使用客户信息,向法院、监管机构及征信服务机构等提供客户信息等。后者则可结合客户及业务情况,设定较为宽泛的授权范围,如授权银行“为向客户提供更好的金融服务”而在集团内共享客户信息或向第三方代理机构、服务机构披露客户信息。但是,为避免陷入“霸王条款”之嫌,应允许客户自行选择是否授予银行此等权利。4.加强对客户信息的审核,加强监督,规范资金使用单一化运为