这是美国第一次针对消费者金融隐私权之保障所进行之立法,且其涵盖范围除包括银行、金融控股公司、证券商等金融机构外,亦包括在美国十分发达之信用资料公司等,未来相关机构在处理、分享或贩卖消费者个人金融信息时,都将受相关规则之规范,将有效保障网络时代,消费者个人的金融隐私权的避免遭滥用。
过去台湾主要以「计算机处理个人数据保护法」来保障消费者之个人隐私权,由于金融机构属个资法规范八大行业之一,因此金融机构对消费者个人资料之搜集利用需符合个资法第十八条所规范要件,如:经当事人书面同意、与当事人有契约或类似契约关系而对当事人权益无侵害之虞者、已公开资料且无害于当事人利益者等,并需先经目的事业主管机关登记且发给执照后,方得进行个人资料搜集、计算机处理及利用。且除有下列四项情形:为增进公共利益、为免除当事人生命、身体、自主或财产上急迫之危险、为防止他人权益之重大危害而必要者、或经当事人书面同意者外,需在搜集之特定目的必要范围内利用之。同时,财政部亦依个资法第二十条第五项制订「金融业个人数据文件安全维护计画标准」,要求金融机构遵照办理,以维消费者个人资料之安全。在上述个资法相关规范及安全维护计画保障下,目前台湾对于隐私权保护已有基本保障,然针对涉及个人高度机密之金融信息隐私权之保护则有所不足,有待其它法规之补足。
金融控股
公司法第
四十二条规定金融控股公司对客户个人资料应保守秘密且主管机关得令金融控股公司及其子公司就应保守秘密之资料订定相关书面保密措施,并以公告、网际网络或主管机关指定之方式,揭露保密措施之重要事项。第四十三条亦规定金融控股公司与子公司及各子公司间业务或交易行为、共同业务推广行为、信息交互运用或共享营业设备或营业场所之方式不得损及客户权益,前述行为并应由各同业公会订定自律规范,报经主管机关核定后实施。以上为金融控股
公司法中对客户数据保护相关规定。另银行法中亦规范银行对客户之存款、放款或汇款等有关资料,除其它法律或中央主管机关另有规定者,应保守秘密。
何谓对于客户数据保护之适当机制随时代演进及经营型态之改变有所更易,以英美为例,多以要求企业自律规范为主,辅以主管机关行政监督,此次台湾金融控股公司之立法,即仿效英美等国,采行自律规范之模式。由各公会制订自律规范,送财政部核定后实施。
由各公会 所共同制订,财政部台财融(一)字第○九○○○○七五二四号函所核定公布之「金融控股公司及子公司自律规范」 中即对客户数据保护多所规范。
依该自律规范第二条规定,所谓客户资料包括基本资料、帐务资料、信用资料、投资资料及保险资料等;然除法令另有规定,经客户签订契约获书面名识同意者外,揭露、转介或交互运用客户资料并不得含有客户基本资料以外之帐务、信用、投资或保险资料。亦即若金融控股公司与其子公司及各子公司间获与其它第三人进行共同行销时,仍须践行一定程序,取得客户书面同意或与客户签订契约,方得揭露、转介或交互运用客户含帐务、信用、投资、保险等资料。且金融控股公司与其公司及各子公司间相互揭露客户资料,或揭露库户资料与其它第三人时,应订定秘密协议,并维护客户资料之机密性或限制其用途;收受并运用资料之机构不得再向其它第三人揭露该等资料。该自律规范中并规范金融控股公司与其子公司与其从业人员之忠实义务,亦即因信息交互运用或职务之关系知悉客户为公开之消息,如该未公开消息经公开后足以对客户所发行之有价证券价格产生重大影响者,知悉消息之上开公司或人员于该消息公开前不得买进货卖出该客户所发行之有价证券暨以该有价正规标的之期货契约及将该为公开消息向职务无关之第三者透露,亦不得暗示或促使或利用第三人买进或卖出前述之有价证券暨以该有价证券为标的之期货契约。
另自律规范中颇值赞同者为自律规范第八条规定,金融控股公司及其子公司除法令另有规定外,应向客户揭露保密措施,该措施应包含下列内容:资料搜集方式、资料储存保管方式、资料安全及保护方法、资料分类、利用范围及项目、资料利用目的、资料揭露对象、客户资料变更修改方式,及最重要的是提供客户行使退出选择权方式。并规定金融控股公司或其子公司于使用客户资料从事共同业务推广行为时,应于接获客户通知停止使用其资料后,立即依其通知办理。亦即仿效欧美等国,提供消费者选择推出(opt-out)之机制,该规定实值肯定。
金融控股
公司法中针对子公司之共同行销于第
四十八条第一项明订,金融控股公司之银行子公司及其它子公司进行共同行销时,其营业场所及人应予区分,并明确标示之。但该银行子公司之人员符合从事其它子公司之业务或商品所应具备之资格条件者,不在此限。
另在各公会所共同制订,财政部所核定公布之「金融控股公司及子公司自律规范」中亦针对共同行销订立自律条款,兹胪列相关重要条款如下。
自律规范第九条规定:金融控股公司及其子公司应将所为共同行销行为应遵守之规范,列入内部控制与内部稽核项目。第十四条规定:金融控股公司之子公司既有或新设之营业场所及设备,增设其它子公司之业务或商品贩售,其营业场所及设备之设置应符合相关法律及主管机关之规定。第十五条规定:金融控股公司之子公司间共享营业场所时,应明确区分不同之业务项目,并于营业场所内明显适当位置设置营业项目之告示牌。第十七条:金融控股公司之子公司之从业人员从事其它子公司之业务执行或商品销售时,应具备该业务所需之特定资格条件或证照;客户要求从业人员于交易前出具依法所需具备之资格条件或证照时,该从业人员不得拒绝并应立即出示。
比较上开金控法之规定与自律规范之自律条款不难发现二者规定宽言不一之处,颇有值得再议之处。
首为有关共同行销处所之问题,金控法中明订营业处所及人员应予区分;然自律规范第十五条则规定子公司间共享营业场所时,应明确区分不同之业务项目,则此处所为之区分是否得以满足金控法中对营业处所区分之要求则不无可议。另在从业人员之要求上,依金控法之规定,仅银行从业人员于符合从事其它子公司之业务获商品所应具备之资格条件者,始得从事他子公司之业务或商品销售,然若依自律规范之规定,则其范围则不限银行子公司。亦即无论银行、证券或保险子公司之人员凡符合从事他公司之业务获商品所应具备之资格条件者,即可进行销售,未来各相关金融机构于适用上应行注意,例若证券公司人员从事银行贷款商品或保险商品之销售,即便其具有相关资格或证照,仍有违反金控法之虞。
又依上开规范,吾人可知金控法中禁止所谓单一柜台之共同行销,除银行人员于符合一定要件下,亦禁止单一人员进行整合性金融商品之销售,则所谓共同行销之利益即无法充分满足。然若透过网络即可以单一入口网站进行整合性金融商品之销售与服务,国外亦已多有所见,如下图花旗银行之financial portal (www.citi.com)。但于此产生一争议,即在网络金融服务架构下,当客户透过网络上金融控股集团之单一窗口网站接触金融控股集团成员所提供服务时,上述对于共同行销之规范与限制,将无法达成,对消费者而言,客户应如何确认其交易对象及资格是否具备即为一值得注意之问题。
金融控股
公司法第
四十八条第二项规定:「金融控股公司之银行子公司或其它子公司经营业务或商品时,应向客户揭露该业务之重要内容及交易风险,并注明该业务或商品有无受存款保险之保障。」自律规范第十条亦再次明订,金融控股公司之子公司与客户签订商品或服务契约时,应向客户明确揭露本契约涵盖之重要内容及交易风险,并注明该业务或商品有无受存款保险之保障。是以在规范上均已明订相关要求,然若金融控股公司透过网络及金融控股集团单一网站进行金融服务之销售时,亦形成消费者对交易商品与内容相关信息之混淆,此时金融服务或商品相关讯息与交易风险之揭露将更形重要。是以,为确认消费者是否已清楚了解所进行交易之交易内容、相关信息与交易风险,金融机构应于网站上设计适当机制,确认消费者以了解清楚后,始进行相关交易。
在过去法令的限制 及主管机关的禁止下,台湾网络金融的发展起步相较国际发展已属较晚晚。过去虽有许多银行极早即着手进行网络银行的建置工作,在网络上提供自行网站,但囿于主管机关之限制,所提供金融服务皆仅限于资料展示、查询与理财试算服务,并无法涉及资金移转等转帐付款服务。及至民国八十八年五月二十五日,财政部始藉「个人计算机银行与网络银行服务契约模板」 (以下简称服务契约模板)之公布,解除过去禁止银行透过开放性网际网络提供资金移转及交易指示类服务之限制,除以服务契约模板作为银行与客户间拟约之依据外,并以「金融机构办理电子银行业务安全控管作业基准」 (以下简称安控基准)规范银行办理网络银行所需遵行之安全机制及应满足之安全需求。自开放来,国内各银行陆续提出申请,并于八十九年三月二十八日开放台湾首家网络银行,截至目前,台湾多数银行均已在网络上提供基本金融服务,甚且已有银行可透过网络提供相当完整之个人理财服务,无庸置疑的,台湾金融业俨已进入网络金融的时代。
