所谓防火墙,乃为防止金融机构跨业经营后所可能产生之利益冲突及不当联结行为。金融机构藉由成立金融控股公司,可能因子公司间为姐妹公司之关系,而对客户或公司之权益造成侵害。例如经营银行业务之子公司要求其客户购买姐妹公司承销之证券,或兼任之职员籍由取得客户资料而危害其利益等。美国金融服务现代化法,为防止上述情形,授权主管机关得发布谨慎经营之相关规定 。在金融机构藉由成立金融控股公司之方式,统合集团资源,并藉由联合行销(joint marketing)等提升综效行为 或加强客户整合服务之必要,主管机关得基于增进综效及公共利益,防止与客户利害冲突或损害客户权益之因素综合评断,就金融控股公司与其子公司及其子公司间之相互业务或交易行为、联合业务推广行为、负责人及职员之兼任及行为规范、信息流用或营业设备或营业场所之共享等行为适当规范、限制或禁止。台湾金融控股
公司法第
四十二条、第
四十三条亦仿美国金融服务现代化法规定关于利益冲突、搭售行为禁止、保密义务等规定,基本上可资赞同 。
金融控股公司最大之优点在于结合彼此资源,经由共同行销、信息交互运用及设备共享等方式,有效降低经营成本,然于此却不得不生有关信息流用之问题。亦即不同金融机构子公司间相互信息是否得以自由流通,不受限制,例如某客户于银行贷款后,未按期缴息之讯息,可否传送予同一控股公司之证券商,对该客户融资证券交易拒绝接受?此即涉及中国墙之设立。金融控股
公司法第四十二及第
四十三条规定对于客户料需保密,金融控股公司与其子公司或各子公司间业务或交易行为、共同业务推广行为、信息交互运用或共享营业设备或营业场所之方式,不得有损其客户之权益。
金融控股
公司法中与消费者权益较为相关条文有二,一为与客户数据保护相关;另则规范有关金融商品相关讯息之揭露。
上开与中国墙相关规范自另一角度观之,即系与客户数据保护相关之规范,依金融控股
公司法第
四十二条之规定:金融控股公司及其子公司对于客户个人资料、往来交易资料及其它相关资料,除其它法律或主管机关另有规定外,应保守秘密。且主管机关得另金融控股公司及其子公司就前项应保密资料订定相关书面保密措施并向客户揭露。
另金融控股
公司法第
四十八条第二项规定有关金融商品相关讯息之揭露,亦即金融控股公司之银行子公司或其它子公司经营业务或商品时,应向客户揭露该业务之重要内容及交易风险,并注明该业务或商品有无受存款保险之保障。
早期台湾银行业之利润实源于市场垄断及政府之高度保护,相关金融服务与商品之提供并不具备竞争力。其后随新银行之相继设立,金融机构分支单位急遽增加,金融业遂成竞争激烈之行业,往往宽松授信政策,或以价格作为竞争策略,以致造成台湾金融业之逾放比过高、体质不良。是以,近代银行均致力于思索如何透过现代信息科技之应用,金融创新与金融服务商品之开发,以提升银行竞争力与服务品质、创造获利来源。
金融控股公司设立目的之一乃在于透过作业平台及金融服务之整合达到one-stop shopping之金融服务,于此信息科技发展之时代,台湾多数银行、证券公司皆已透过网际网络提供客户相关金融服务的使用,是以,金融控股公司整合性金融服务之概念透过网络服务之特性,将更易达成。金融控股公司可透过金融控股公司单一金融入口网站或整合性的行销处所(Financial portal),结合旗下金融机构所提供金融服务,提供整合性金融服务,唯如在实体柜台服务处所时,则需注意行销处所标示与分隔之要求。
金融控股集团最大利益在于透过客户信息共享与交互行销,可谓集团创造更高利益,并达到范畴经济,但于此同时,如何适当保护客户之隐私权即为一值得深思之课题。
无论系金融服务之整合或个人化服务的提供,都将大量搜集与利用消费者之个人资料,尤其在整合性金融服务提供之际,参与者之间如何利用消费者之个人金融资料,如何规范金融机构对于消费者个人金融信息之搜集利用与分享也系网络金融时代另一相当重要之课题。有鉴于斯,美国在「金融服务现代化法(Gramm-Leach-Bliley Act, GLB Act)中即特辟章节规范消费者金融隐私权之保护。主要可分两部分,对消费者非公开个人资料之保护做相关规范,包括:金融机构隐私权政策之建立与揭露义务、金融机构信息安全要求、消费者选择权、主管机关法规制订义务等;第二部分则规范对于金融信息诈欺使用的处罚与责任。
简单来说,GLB Act在隐私权保障部分,可分四方面说明。第一,是要求所有的金融机构均应揭露该金融机构对于消费者非公开的个人金融信息保护的政策及方式。第二,限制金融机构对于消费者非公开的个人金融信息对于非关系企业的第三人揭露,并应将相关的隐私权保护政策、条文以书面或是电子档案方式告知消费者。 第三,该法要求相关金融主管机关,包括证管会及银行监理机关应落实以下要求:(1)公布消费者信息保护的标准;(2)公布相关的规则及执行法规;(3)在金融机构及其关系企业间可以分享信息的标准;及是否有足够的法规,保障未经授权揭露消费者财务信息的情况。第四,本法是对个人金融信息提供最低度的保障,如果各州有提供更高度的保障,应遵从各州本身的规定。同时,在GLB ACT中明确授权要求制订金融信息隐私权保护规则后,美国银行 、证券 相关监理当局与FTC 都纷纷在去年完成金融信息隐私权保护规则的制订。
在GLB Act授权下,由美国联邦准备委员会、财政部、联邦存保公司等八个金融机构监理部会组成联合工作小组,制订Regulation P (Privacy of Consumer Financial Information) 。将GLB Act之规范落实为下述具体措施:即1.金融机构必须以明确、清楚且显著的方式告知消费者关于金融机构在何种情况下,会对关系企业或非关系企业的第三者揭露消费者非公开的个人信息;2.金融机构必须定期以明确、清楚且显著的方式告知客户金融机构的隐私权政策;3.金融机构必须提供消费得选择(opt out)个人信息不被揭露之机制,所有受上述金融监理机关监理之金融机构将会受本规则之规范。同时针对资料安全保护方面,亦制订「客户资料安全与机密保护标准」,针对管理、技术、及检查程序方面制订消费者个人资料及交易记录的安全标准,来达到GLB Act三大要求:1.确保消费者金融信息隐私权的安全与机密;2.保护消费者的交易记录与金融信息不受可能的威胁与危险;3.避免未经授权的存取导致消费者交易记录及金融信息的破坏、损失或对消费者造成不便利之影响。并将其要求具体落实于下述原则:1.对于可能造成客户信息威胁之风险加以辨识与评估;2.对于相关风险的管理与控制应研拟具体的计画,其中必须包括风险管理政策与程序;3.确实执行并定期检视该计画;4.持续依据下列指针检视及调整该计画:信息科技进步、消费者信息的重要性、信息安全的内部与外部风险。政府相关单位并预计希望在本年度完成该标准之制订。
另同样基于「新金融服务法」的授权要求,美国证管会于2000年6月22日正式通过证券业有关消费者财务信息隐私权保护的法案「Regulation S-P」 。该法规会在2000年的11月13日生效,其中对于证券业者隐私权保障有明确的规范。
美国证管会所通过的「Regulation S-P」法案,针对线上券商隐私权保障部分,已有明确具体的规范,规范的主要内容大致可分为下列几点说明:1.通知:券商应公布其该网站上的隐私权保障政策。包括如何收集投资人信息、该信息如何使用及收集机构是否使用「cookies」技术。并应该告知投资人可以如何问问题或是重新检视该投资人的个人资料。存取中也应包括告知投资人如何更正其不正确的信息。也就是说,应该告知投资人其所获得隐私保障的内容及隐私声明所存放的位置;2.选择:包括陈述所收集的信息是否会被其它的公司使用,或是会因为其它的行销目的而向第三人揭露。也应告知投资人,该机构所收集的信息是否会超出其原先所收集的目的而为使用;3.系统安全:应告知投资人信息在传送过程及由券商储存时的安全信息,及其处理方式;4.联系:线上券商应告知投资人关于隐私问题的处理及抱怨、申诉与联系的沟通管道。
