当前位置:>>全球视野
分享到:
    发布时间:2017-10-11 15:15:03     文章来源:原创     点击量:74
美国金融消费者财务隐私保护掠影

美国金融消费者财务隐私保护掠影

 

  《最终规则》规定,所有金融机构必须为消费者提供其个人财务隐私保密政策,详细描述在哪些情况下金融机构可以把消费者的个人财务隐私提供给第三方,并规定客户有权通过“选退”方式拒绝银行把自己的财务隐私透露给第三方

 

文/上海银监局消保处

 

  随着金融信息化的发展和深入,银行在经营过程中所掌握的大量客户数据已经成为其重要的商业资源。同时,依法有效保护消费者个人财务隐私不受侵犯和非法滥用也已成为各金融机构必须履行的重要职责。对此,美国四大金融监管机构——货币监理署、联邦储备委员会、联邦储蓄保险公司和储蓄管理办公室,共同制定《消费者财务隐私保密最终规则》(以下简称《最终规则》),要求银行、保险公司、投资公司和抵押公司等金融机构对消费者采取隐私告知、提供选退机会等方式,以保护金融消费者的个人财务信息。这项规则中所规定的内容对我国的金融信息保护具有借鉴意义。

  《最终规则》的内容要求

  《最终规则》规定,所有金融机构必须为消费者提供其个人财务隐私保密政策,透露和共享个人财务隐私的具体情况,详细描述在哪些情况下金融机构可以把消费者的个人财务隐私提供给第三方,并规定客户有权通过“选退”方式拒绝银行把自己的财务隐私透露给第三方。

  《最终规则》对个人非公开和可识别的财务信息即个人财务隐私进行保护。非公开个人信息是指“可识别为个人消费者的非公开财务信息”,包括业务往来时消费者提供给银行的个人资料,如姓名、住址、电话号码以及个人收入状况等;客户的业务交易数据,如交易记录、交易金额、账户金额、支付记录、透支记录、借记卡或贷记卡的购物信息等;银行与客户交往过程中获取的其他衍生信息。此外,个人的财务隐私还包括银行曾经与客户之间发生过业务交易的事实以及银行在网络上通过加密数据收集到的个人信息。这类信息中不包括不可识别单个消费者的信息,即银行对所有消费者的信息进行统计分析后的整合信息,如银行全年账户余额、储蓄总额、贷款总额等,这些信息并不能识别单个消费者。可公开获得的信息,包括政府有关个人的记录、媒体报道的事实以及通过法律披露给公众的信息等。

  金融机构应履行的义务。对一般的消费者,银行在透露其财务隐私之前,必须向消费者提供初始的隐私政策说明书和选退说明书。对与银行已经建立客户关系的客户,银行必须在客户关系建立时向客户提供初始的隐私政策说明书;在客户关系持续期内提供年度隐私政策说明书;在将客户的财务隐私透露给第三方之前,应为客户提供选退说明书。

  初始隐私政策说明书。《最终规则》规定金融机构必须在不晚于“与客户建立客户关系”之时,也就是和客户签订协议之前,提供初始隐私政策说明书。例如,当银行提供贷款业务时,与客户的关系建立在客户执行贷款合同之时;当客户在银行开立信用卡账户之时,信用卡业务的客户关系也随之建立。《最终规则》还要求金融机构在把消费者的个人财务隐私提供给非关联第三方之前,需向消费者提供初始隐私政策说明书。例如,如果银行想将其所搜集到的客户使用ATM的信息提供给第三方,必须将初始隐私政策说明书作为ATM交易条款的一部分提供给消费者。

  年度隐私政策说明书。《最终规则》要求金融机构至少每12个月对客户提供一份隐私政策说明书,直至客户不再与银行保持持续的客户关系为止。《最终规则》明确了如何判断客户关系是否终止(比如当客户停止与银行联系的时间超过12个月后)。

  选退说明书。金融机构必须在把消费者的个人财务隐私提供给非关联第三方之前,将选退说明书提供给消费者,让其选择是否共享其财务信息。说明书必须告知消费者银行可能分享的信息以及其有权拒绝银行将其个人财务隐私提供给非关联第三方。说明书必须向消费者提示合理有效的选退渠道,如果金融机构没有将消费者的个人财务隐私提供给非关联第三方的意向,则无需提供选退说明书。

  隐私政策中所需要涵盖的内容。《最终规则》规定了隐私政策说明书提供的内容:一是银行可能搜集的信息范围。说明书必须说明银行所收集的个人财务信息及其来源,如消费者提供的信息、交易信息、信用报告等。二是银行可能分享的信息范围。说明书必须指明银行可能泄露给第三方的个人财务信息范围。银行需就这类信息的来源进行分类,并举例描述信息的内容。比如说明可能向第三方泄露消费者提供给银行的个人资料,如姓名、住址、社保号码以及个人收入状况等;客户的业务交易数据,如账户余额、交易记录、交易金额、支付记录、透支记录、借记卡或贷记卡的购物信息等。如果银行并不会泄露客户的个人信息,则只需简单陈述即可。三是可能获取银行客户信息的第三方机构。说明书还必须指出可能从银行得到客户个人财务信息的第三方机构(关联和非关联)。银行可以指出这些第三方机构的业务类型。同时,在初始和年度隐私政策说明书中,银行必须说明其如何利用和分享已经不再和银行保持客户关系的消费者的个人财务信息。四是提供给服务承包商和营销团队的信息。作为例外,美国《金融服务现代化法》允许金融机构以获取相关服务为目的,将客户的个人财务信息提供给非关联的第三方,包括推广银行自有以及与其他金融机构共同提供的产品。对这类信息披露,消费者无权“选退”,但银行必须将这类信息披露给消费者。《最终规则》要求隐私政策说明书必须包含对此例外的单独描述,说明会向何种类型的第三方提供哪些种类的信息。五是选退权。在初始和年度隐私政策说明书中,银行必须告知客户有权选择以及如何通过“选退”方式选择是否共享其财务信息。机构可以选择在说明书中提供完整的选退条款,或请消费者参考银行专门的选退条款通知。六是关于信息的保密和安全。说明书必须包含银行保护客户个人信息的保密性和安全性的有关政策。这类说明无需涉及技术层面的内容,但应该说明谁可以接触到客户信息,以及银行是否有完善的保密措施保护客户信息安全。

  《最终规则》对我国的启示

  尽早立法保护消费者金融隐私

  金融信息的泄露极易引发金融犯罪,因此,对金融业消费者的隐私权立法加以保护已成为国际共识。除了美国的《金融服务现代化法》之外,主要发达国家也都有相应的法律或规定。例如,《加拿大银行协会法令》要求银行在以营销为目的使用个人信息之前,必须获取消费者的同意。日本于2003年3月颁布《个人信息保护法案》,并于2004年2月发布《隐私保护基本指导方针》,在金融服务、医药等部门制定保护个人信息的措施。欧盟也于1995年通过了《欧盟隐私条例》,对个人资料的收集、存储、处理、查阅和共享进行了详细的规定。

  目前,我国法律尚未对隐私权保护明确和系统的规定。商业银行法仅规定了“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”和“对个人储蓄存款,商业银行有权拒绝任何单位或者个人的查询、冻结、扣划,但法律另有规定的除外”。同时,现行法律法规对企业泄露公民信息的责任约束还较为笼统,缺乏可操作性。

  从根本上看,有必要对个人隐私保护作出明确的法律规定,形成有关隐私权保护的法律体系,明确银行等机构对公民个人信息的保护责任。相关部门也可以配合法律法规的实施作出更为细致的规定。规定应考虑到两方面的内容:一是金融机构对收集到的个人财务隐私负有保密的义务,除非经过消费者本人同意、授权或法律许可,金融机构无权对外公布和泄露,更不得以这些信息谋取利益。二是为了维护公共利益或公共安全,有关部门可以合法、正当的目的查询或处理其职能范围内的个人财务隐私。法律应明确查询个人财务隐私的程序,防止权力被滥用。如果当事人因此受到损害,可以行使相关的救济权。

  督促金融机构建立个人信息保护机制

  金融消费者信息泄露已成为社会普遍关注的热点。隐私权作为公民的一项基本权利,在系统制定个人信息保护法律之前,监管部门应根据民法通则、商业银行法等法律中有关公民信息保护的原则性规定,督促金融机构建立客户信息保护机制。

  确立事前监督制衡机制。对客户个人信息的采集、使用、存储等作出明确规定,健全信息安全内控机制,明确金融机构内部各部门、各岗位信息保密和管理权限,在业务流程各环节嵌入客户信息查询审核批准制度。

  确立事后责任追究机制。金融机构应强化保护客户金融信息的意识,在强调员工保密义务的同时,明确岗位问责机制,确保责任追究到位。对第三方合作机构定期、不定期开展检查,对于客户信息保护不力的机构,应及时终止合作,并追究相应责任。

  建立统一的客户信息保护行业标准。明确金融机构的告知义务及客户的“选退”权利,对客户做好风险提示,提高其安全意识,强化金融机构信息安全保护义务。同时,监管部门在对金融机构进行检查评估时,应包含隐私保密方面的内容,督促金融机构切实履行保护消费者个人财务隐私的义务。

文章来源:节选于《中国农村金融》杂志2017年12期

 

附件下载:




电话:010-68981196 通用网址:中国农村金融网 网络实名:中国农村金融网

中华人民共和国电信与信息服务经营许可证:京ICP备12018315号-1 中国农村金融网版权所有