商業銀行金融活動中的個人信息私法保護研究

廣東省總工會干部學校 南華工商學院 楊詠婕

廣州市越秀區人民法院 陳逸新

1 金融活動中的個人信息具有特殊性

在科學技術迅猛發展、經濟水平不斷提高的今天，個人與銀行的交往頻繁，個人與銀行的業務往來已經成為人們日常生活中的重要組成部分。商業銀行的多樣化的金融業務給人們的日常生活帶來了前所未有的便利，同時也給人們的個人信息安全帶來了隱患。因為，人們若是想參與金融活動必然要向銀行提供相關的個人信息，并且在金融活動的存續發展的過程中也會不斷生成大量的個人信息。

筆者認為，金融活動中的個人信息具有如下特征：首先，金融活動中的個人信息的收集具有強制性。以我國相關立法為例，《個人存款賬戶實名制規定》、《儲蓄管理條例》、《關于執行<儲蓄管理條例>的若干規定》、《信用卡業務管理辦法》以及《商業銀行信用卡業務監督管理辦法》等都有要求客戶在進行金融活動時需提供姓名、有效身份證件名稱、證件號碼、單位名稱、單位地址、住宅地址、賬單寄送地址、聯系電話、聯系人姓名、聯系人電話、聯系人驗證信息、其他驗證信息等方面的規定。其次，金融活動中的個人信息內容具有龐雜性。人們通常認為，商業銀行只在開戶、取款、掛失時收集核對一些簡單的個人信息，在交易過程中記錄基本的確認簽字信息，其實不然。商業銀行不僅收集信息主體的姓名、身份證信息、聯系方式，還會收集性別信息、受教育信息、職業信息、婚姻狀況信息以及配偶的部分基本個人信息；在交易的過程中，商業銀行還會收集信息主體的何時何地存取款金額信息、資金往來去向信息、信用卡使用信息以及其他與商業銀行所進行的儲蓄、融資、理財等金融活動相關的個人信息。最后，金融活動中的個人信息具有動態性。金融活動本身就具有動態性，因此，金融活動中的個人信息必然也隨之具有動態性。個人在與商業銀行進行交易的過程中除了最具有直接識別力的姓名、身份信息相對穩定之外，大量的與交易相關的個人信息處于時刻的變動之中。儲蓄客戶的與存取款、資金往來相關的信息實時變動，個人的信用卡使用信息更是因個人活動而不斷刷新，因此，客戶的相關個人信息也具有動態性。

2 金融活動所關涉侵害個人信息的現象

商業銀行為了金融活動的形成和順利開展，其總是要與客戶在交易的過程中收集、處理相應的個人信息從而在銀行與客戶之間形成書面的法律關系。商業銀行對于客戶的個人信息的收集和處理如上文所言具有現行法的依據，同時立法(我國《商業銀行法》第29條、《儲蓄管理條例》第32條、《商業銀行信用卡業務監督管理辦法》第3條以及《商業銀行理財產品銷售管理辦法》第64條)也要求商業銀行對于客戶的個人信息具有保密義務。然而，即便是立法上嚴控商業銀行對于客戶個人信息收集、處理、傳遞的權限，而且商業銀行具有法定的保密義務，社會生活中依然存在著侵害銀行客戶個人信息的現象，例如：第一，商業銀行非法收集客戶的個人信息。商業銀行與客戶之間所有的交易關系幾乎都會涉及客戶的相關個人信息。立法也明確要求個人進行存款儲蓄、信用卡申領、個人投資貸款等活動應當向商業銀行提交相關的個人信息。立法出于方便銀行工作人員規范操作和保護客戶個人信息安全的考慮通常對收集客戶何種個人信息做出詳細的列舉說明。然而，并非所有的相關立法都是出于此兩方面的考慮而設計列舉型條款的。有的立法則是出于保護國家和銀行的利益設計了相對模糊的、寬泛的收集客戶個人信息的列舉型條款。以《個人貸款暫行管理辦法》第14條為例(貸款調查包括但不限于以下內容：借款人基本情況；借款人收入情況；借款用途；借款人還款來源、還款能力及還款方式；保證人擔保意愿、擔保能力或抵(質)押物價值及變現能力)，其所列舉的內容看似細致實則模糊。事實上，部分商業銀行在審查借款人的償還能力時不僅需要借款人提供受教育信息、收入信息，還會致電借款人單位人事或財務部門要求其提供借款人的大量的個人信息。筆者認為，這種收集個人信息的行為已然超出了銀行業務需要的范圍，有唯銀行之利益是圖不尊重客戶的合法權益、非法收集個人信息、窺探他人個人隱私之嫌。

第二，商業銀行非法處理客戶個人信息的現象。商業銀行與客戶因其之間的交易活動而不斷地產生新的信息，其不僅僅是交易數據信息，還有大量的能夠識別客戶的個人信息。商業銀行有義務適時更新客戶的個人信息，尤其是與其客戶信用有關的信息，若未及時更新，不僅可能使客戶的合法權益受到侵害，還可能使商業銀行自身陷入巨大困境。此外，商業銀行錯誤記錄、擅自修改等非法處理客戶個人信息的行為也會對客戶的合法權益造成不利影響。

第三，商業銀行不當披露客戶個人信息的現象。為銀行客戶保密是我國商業銀行進行相關業務活動所應遵守的基本原則。只有在國家法律、行政法規另有規定的情況下，為了保護國家利益、社會公共利益以及他人合法權益，或出于司法機關執法的需要，商業銀行方可依法定程序披露客戶的賬戶信息和資金往來信息。然而，相關部門并沒有對法律另有規定做出具體的解釋和明確的界定，在司法實踐中，公、檢、法、稅務、審計以及海關依照相關立法的規定，持縣級以上政府的有效證明，經所在銀行支行分管副行長簽字，并交由主任簽批，即可查看儲戶留存于該銀行的個人信息。正如中國金融學院賀力平教授所言，“盡管我國銀行內部的保密管理制度執行得較好，但是面向社會的保密法規還不夠細化。”立法僅對有權要求銀行披露儲戶個人信息的部門進行規定并未對銀行應披露到什么程度進行規定。據統計，有權要求銀行披露儲戶個人信息的部門達11個，然而，在幾乎所有的法律法規中對于不當披露或泄露儲戶個人信息的行為都沒有明確的懲罰條款[3]，這不僅不利于商業銀行遵守為客戶保密的基本原則，也不利于儲戶個人信息的保護。

第四，商業銀行工作人員利用職務便利侵害客戶個人信息的現象。商業銀行內部工作人員與客戶的個人信息的接觸最為直接。各商業銀行都對內部工作人員的保密義務做出要求，然而依然難以避免一部分銀行內部工作人員利用職務便利非法收集、泄露、出售銀行客戶的個人信息。2009年初，有人在廣東省佛山市的一處廢品收購站發現了一家銀行的客戶資料。在2010年，包括招行、建行、深發展在內的七八家銀行的客戶信息，被曝出賣給中融國際信托有限公司[4]。

3 金融活動中個人信息的私法保護策略

商業銀行作為企業法人與作為銀行客戶的自然人的地位是平等的，銀行客戶有權獲得平等、自愿、公平的商業銀行所提供的各項金融服務，并且商業銀行的各項金融活動開展和進行都會關涉銀行客戶的個人信息，商業銀行應當秉承著私法的精神，遵守著私法的相關規定尊重他人個人信息，保護他人個人信息安全。私法對于金融活動中的個人信息的私法保護主要為立法保護金融活動中的個人信息。國際上很多國家都對金融活動中的個人信息保護進行了單獨立法。較為著名的是美國《金融隱私權法》，其強調銀行為客戶的個人信息隱私保密是一項重要的法律原則，即便是聯邦調查機構也只能在金融犯罪領域內調查銀行客戶的個人信息。而我國與商業銀行、金融活動相關的法律法規對于金融活動中的個人信息保護的條款則較為零散，對于懲罰侵害客戶個人信息的行為鮮有規定，其多為原則性的條款，可操作性較差。筆者認為，我國不能僅有《商業銀行法》和其他相關法律法規的宣示性的“為存款人保密”原則，也不能僅將《侵權責任法》和《刑法》有關保護個人信息的條款作為保護金融活動中的個人信息的最后的防線。私法應當發揮保護民事主體人身權益和財產權益的功能，調整平等主體的商業銀行和個人之間的法律關系。私法若是以立法的方式賦予民事主體享有個人信息權并賦予商業銀行細致的保密義務，以及確立明確的非法收集、處理、傳遞客戶個人信息的民事責任，將會有利于個人信息在金融領域的私法保護。此外，商業銀行內部也應當依法制定自律規則，保護客戶的個人信息免受侵犯。筆者認為，商業銀行的行業自律規則在關涉客戶的個人信息方面，應當對客戶個人信息的收集、處理、傳遞進行嚴格限制，并要求其工作人員嚴守客戶個人信息，嚴禁向他人透露客戶的個人信息，即便因業務需要而以現代設備傳遞客戶信息也應當注意保護客戶信息的安全等。行業內部的自律規則能夠有效地實現保護客戶個人信息的安全，成為立法保護個人信息的有力補充。

[1]周漢華.個人信息保護前沿問題研究[M].北京:法律出版社,2006.

[2]孔令杰.個人資料隱私的法律保護[M].武漢:武漢大學出版社,2009.

[3]蔣坡.個人數據信息的法律保護[M].北京:中國政法大學出版社,2008.

[4]阿計.公民權利枕邊的“定時炸彈”[J].民主與法制,2012(10).