个人金融信息具有高度的敏感性和私密性,往往会对公民人身和财产安全产生直接的影响,甚至成为电信网络诈骗、金融犯罪等违法活动的重要诱因。个人金融信息安全保护与公民基本权益保护、社会经济发展、国家安全均息息相关,因此也是各国个人信息保护的重要组成部分。美国个人金融信息保护制度较健全,有一定的借鉴意义。
个人金融信息保护的规制模式
美国在个人金融信息保护方面主要采用分散立法模式,通过联邦和各州层面立法进行法律保护,并沿用隐私法的规制框架。相应而言,美国对于个人金融信息的法律保护同样将其确定在隐私权的范畴,并且通过银行业、证券业、保险业等不同行业实现分业保护,以联邦立法和州立法为主,辅之以行业自律。
在联邦立法层面,美国个人金融信息保护的相关规定见于《公平信用报告法案》《金融服务现代化法案》等法律,具体规定了金融机构应当如何收集、使用、披露、分享个人信息。《公平信用报告法案》规定信用报告机构应当确保信息的准确性,并且对金融机构如何收集、披露和使用客户信息进行规范。《金融服务现代化法案》要求金融机构处理个人信息时应当尊重和保护客户隐私,充分保障客户的知情权和选择权。《金融服务现代化法案》主要包含隐私规则和安全保障规则两个部分:隐私规则旨在保护金融消费者的可识别非公开个人信息,对金融机构的隐私告知规则进行严格规范,金融机构以任何方式收集和使用个人金融信息都必须遵守《金融服务现代化法案》,向客户充分告知隐私规则,保障客户有权决定是否授权金融机构与非关联第三方共享其个人信息。安全保障规则主要规定金融机构应当实施严格的安全保障规则,为此联邦贸易委员会提供了保障措施的建议清单,金融机构应当对现有安全保障措施进行评估,确保能够为消费者提供充分的信息安全保护。
在州立法层面,美国各州也通过立法确立自身的隐私保护法和数据安全法,诸如《加州隐私权利法》《弗吉尼亚州消费者数据保护法》《科罗拉多州隐私法案》等立法都对个人信息安全管理提出了更加具体和细化的要求。制定并推行全面规范消费者数据隐私的专门法案,是现阶段美国各州兴起的新一轮隐私立法浪潮。
除了立法之外,美国个人金融信息保护还依赖于金融机构高度的自律性和自律组织的约束。金融机构遵循金融行业协会制定的相关行业规范,运用行业自律约束和规范金融机构的行为,对金融机构的个人金融信息处理活动设定了严格的程序要求和行为准则,有效地平衡了个人金融信息保护与金融产业发展、个人金融信息安全保障与信息流通利用之间的关系。
个人金融信息保护的执法机构
美国在联邦层面并没有设置专门的统一监管机构,美国个人金融信息保护监管和执法主要依靠美国联邦贸易委员会、消费者金融保护局等部门。1914年,根据《美国联邦贸易委员会法案》,美国联邦贸易委员会正式成立,成为美国个人金融信息和数据安全的主要监管机构之一,拥有着非常广泛的权力。而美国消费者金融保护局主要保护消费者在金融领域的各项权益,监管包括银行、证券公司等实体在内的金融机构。
在州层面,各州开始探索成立统一的数据安全监管机构。《加州隐私权利法》设立了加州隐私保护局作为统一监管机构,履行法案赋予的监管和执法职能,保障法案规定的消费者权利,对数据隐私安全进行专门性的保护和监管。
个人金融信息保护的新趋势
近年来,美国联邦贸易委员会不断加强信息安全和数据管理的立法和执法力度。为了进一步细化安全保障规则,美国联邦贸易委员会于2021年10月27日公布了《消费者信息保护准则》的修订规则。修订后的《消费者信息保护准则》旨在加强非银行金融机构个人金融信息的保护力度,要求金融机构以及其他收集敏感个人信息的实体应当承担其安全保障的义务,采取应对网络攻击和其他威胁的必要应对措施,以此回应技术发展所带来的新问题和新挑战,其主要内容如下:
第一,扩大了金融机构的概念范围。《金融服务现代化法案》适用于符合该法规定的主要从事金融活动的公司,而修订后的《消费者信息保护准则》将规制对象扩大到了与金融活动附带相关的金融机构。与此同时,为避免过于加重市场主体的合规负担,修订后的《消费者信息保护准则》将收集少于5000名客户信息的金融机构界定为小型企业,在风险评估、事件响应方案、董事会报告义务等方面可以得到豁免。
第二,明确了金融机构信息安全计划的详细要求。根据修订后的《消费者信息保护准则》,金融机构应当就消费者信息保护展开风险评估,并且采取相应的保障措施。这些保障措施包括访问限制、识别设备和人员、加密、多重身份验证、信息处置、记录、持续监测和测试、事件响应方案等方式。其中较为重要的变化在于,金融机构被要求采取措施验证和控制用户访问,防止未经授权获取消费者信息,这种访问权限的限制遵循最小化原则,访问授权的范围应当与执行特定功能所需的客户信息相对应。
与此同时,修订后的《消费者信息保护准则》要求金融机构对包括密码在内的进行外部传输的静态和动态数据进行加密,提高了联邦金融机构检查委员会对金融机构数据传输加密的要求。另外,修订后的《消费者信息保护准则》相较于联邦金融机构检查委员会,对于信息处置的要求也更加严格,金融机构需要为个人信息的处置制定相应程序,并在最后使用日期后两年内进行处置。
第三,加强信息安全保障的问责制度。修订后的《消费者信息保护准则》要求金融机构应当指定合格人员负责信息安全计划,并定期向董事会或负责信息安全的高级官员报告信息安全计划的整体情况以及相关重大事项,以此防范消费者信息安全管理出现疏漏。
州立法层面也开始对安全保障措施进行细化规范。2020年纽约州《停止黑客攻击和改进电子数据安全法案》正式生效,在原《数据泄露通知法案》的基础上扩大了适用范围,要求任何处理纽约居民信息的个人和企业都必须遵守相关规定。该法案对“私人信息”的范围进行列举,包括生物识别信息和在线账号等,个人金融账号、信用卡或借记卡号等均为私人信息的重要类型。企业应当承担安全保护义务,采取合理的行政、技术和物理保护措施,切实保障个人信息的安全性、保密性和完整性。行政保护措施包括指定负责安全计划的人员,进行数据安全管理的员工培训等;技术保护措施包括评估安全风险,检测和预防系统故障等;物理保护措施包括防止未经授权的数据访问,持续监测并确保安全等。
(作者单位:广东省清远市仲裁委员会)
京公网安备 11010502046778号