本站小编为你精心准备了从法规视域解析银行私隐保护参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
一、商业银行内部审计中的个人隐私问题
(一)问题的起源
当前,我国银行内部审计工作中涉及个人隐私的最突出问题是银行是否有权对员工个人储蓄存款账户进行审计排查。近年来,随着计算机审计技术的发展,银行对个人客户信息资料进行大规模的核对排查已不再成为难题。为了防范内部经济案件,部分商业银行开始在审计工作中利用计算机程序,根据所掌握的员工名单和身份证号,对员工在行内开立的个人储蓄存款账户信息进行全面的排查、核实,并依据排查结果对有违规行为的员工实施处罚。如某银行根据部分违规行为特征,开发出多个审计模型,对员工在本行开立的个人储蓄存款账户进行排查。排查目标包括部分银行内部账户与员工个人储蓄存款账户间发生转账,银行贷款企业账户与员工个人储蓄存款账户间发生转账、员工个人储蓄存款账户通过网上银行办理批量转账等有可能涉及违规事项的敏感交易。根据排查核实,发现了少数员工贪污或挪用银行、客户资金、收受企业贿赂等违法违规事实,以及充当社会资金中介、代客户办理业务、虚假交易等不当行为。该类排查取得了较好的审计效果,得到了管理层的肯定。因此,尽管银行内部对这一审计方式存在着一些质疑声,但并不能影响部分银行对此进一步发展应用。
(二)对员工个人账户审计排查的理由
目前,银行内部对这一审计方式的质疑声,主要是认为针对员工个人储蓄存款账户的审计排查违反了《中华人民共和国商业银行法》中有关银行对个人储蓄存款账户信息保密的规定。而对此支持的一方,其理由主要如下:
一是依据《商业银行法》第六章监督管理的第60条规定:“商业银行应当建立、健全本行对存款、贷款、结算、呆账等各项情况的稽核、检查制度。”
二是虽然《商业银行法》中规定了对存款人保护的条款,但该条款规定:“对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外”。条款中所指的任何单位或个人应该是指个人储蓄存款开户银行以外的任何单位和个人。因为开户银行已经掌握了客户的个人储蓄存款信息,它只是作为信息的提供者,对第三者才履行上述法律条款的保密规定。
三是虽然对员工个人储蓄存款账户的审计排查是近年来才发展起来的审计方式,但是银行内部审计涉及到个人储蓄存款账户事实上一直存在。如银行内部针对小金库的审计,对个人贷款资金流向的跟踪检查都需要对可疑的个人储蓄存款账户进行检查。国家有关监管部门对此一直都是清楚和认可的,也从无法律机构提出过异议。既然在部分审计工作中对个人储蓄存款账户检查是银行一惯的做法,那么,对员工个人储蓄存款账户审计排查也应该没有法律问题。
四是银行对员工个人储蓄存款账户进行审计排查,是为了防范员工违法违规,确保资金安全。作为银行员工,有义务遵守相关的法律法规,自觉接受审计监督。
(三)问题产生的原因
虽然部分银行对员工个人储蓄存款账户的审计排查是出于内部管理的需要,但更深的原因是我国法律在保护个人隐私方面存在不足,使得部分银行抱着法律未明令禁止就可行的想法,为了自身需要,大胆操作。主要体现如下:
一是现有的与银行内部审计相关的法律,如《审计法》、《商业银行法》均未明确界定银行内部审计在使用个人客户信息资料方面的权限和范围,使得内部审计工作在实际操作中缺乏必要规范。
二是现实中缺乏可供参考的法院判例。银行对员工个人储蓄存款账户的审计排查是近年新出现的审计方式。同时,开展这项工作的银行并不公开披露相关信息,银行员工出于种种顾虑,以及取证困难,也还未有人提出强烈的反对意见。所以,现实中缺乏相关的法院判例可供参考。
三是我国宪法、民法、刑法均对个人隐私权保护不足。我国宪法规定:“公民的人格尊严不受侵犯”、“公民的住宅不受侵犯”、“公民的通讯自由和通讯秘密受法律保护”,仅涉及个人隐私权的小部分内容。我国民法只是简单规定了与公民的隐私权有关的肖像权和名誉权的保护问题。2009年2月28日通过并施行的中华人民共和国刑法修证案(七)中第7条,虽然增加了对公民个人信息保护的条款,但该条款仅针对“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的”才予以刑罚,而对这些单位自身使用公民个人信息过程中的法律权限和违法后的处罚则未提及。
四是我国还未出台专门的个人信息保护法。银行的个人储蓄存款账户信息属于个人隐私范畴,不少国家均有专门的个人隐私法对个人信息资料的使用作出严格限制。而我国虽然从2003年就开始了《个人信息保护法》的立法研究,但至今还未见正式法案出台。
由于我国现行法律中的这些不足,我们只有从两方面着手研究该问题:一是通过银行信息个人隐私权保护的国际立法比较,分析判断本文所述的审计排查是否符合国际个人隐私法的规定。二是通过对我国银行内部审计中个人隐私保护的立法分析,判断这样的审计排查是否符合我国相关法律的立法精神。
(四)问题的社会危害性
对员工个人储蓄存款账户的审计排查虽然只是部分银行的内部管理手段,但其社会危害性不容小觑。首先是容易造成当事人的个人财产信息外泄。在审计排查过程中,银行虽然尽量控制知情人员范围,但还是要经过多个管理环节和管理人员的转手,最终还要通过现场调查、调阅相关的实物资料,访谈、质询当事人及同事、相关证明人才能真正核实情况。因此信息审计很难保证当事人财产信息不被泄露。其次是问题涉及面广。我国银行业员工总人数有200多万,即使只有部分银行进行此类审计排查,所涉及的当事人仍有数十万之多。三是问题的社会影响大。本文所讨论问题虽然从表面看只是银行员工的储蓄存款账户被审计排查,但其本质却关系到整个银行客户群的隐私权。因为个人储蓄存款是银行所掌握的个人客户信息中最为敏感的部分,如果部分银行仅以内部管理需要就可以审计排查,那么是否意味着它也能根据自身需要对所有客户的个人储蓄存款账户开展相同工作?
正是出于以上考虑,部分银行管理层尽管支持对员工个人储蓄存款账户的审计排查。但为了减轻负面影响,此类工作信息不公开披露,依据审计结果对员工的处罚也采取相对灵活的方式进行。如本来依据规章制度对某违规员工应作开除处理的,改为劝说其自行提出辞职。
二、银行个人隐私权保护的国际立法比较和分析
(一)国际个人隐私法的概述
从上世纪七十年代开始,欧美国家普遍开始了个人隐私方面的立法。如瑞典1973年制定的全国性资料法,美国1974年制定的隐私法,英国1984年制定的资料保护法,欧共体1995年通过的资料保护指令。这些法律或指令都对个人资料的收集、存储、处理、查阅和共享等做了详细的规定。同时,美洲的加拿大、巴西、阿根廷,大洋洲的澳大利亚和新西兰,亚洲的日本、韩国,中国台湾、香港和澳门也都制定了资料保护法。尽管各国隐私法在具体规定和细节上会有差异,但在基本原则上却大同小异。如对资料的使用目的,均要求必须为了特定、明确、正当的目的,而且对资料的进一步处理亦不得背离上述目的。除非为了为保护公共利益所必需或满足法律规定的其他条件,不然对个人资料的使用必须获得资料当事人明确表示同意。我国香港特别行政区,1995年颁布的《个人资料(私隐)条例》,吸收了欧美各国个人隐私法律的先进经验和基本原则,与国际接轨;在回归时又考虑了本土实际情况,对个别条款进行修订,经过了全国人民代表大会常务委员会的审核,对我国正在建设中的个人信息保护法具有较强的参考价值。本文以香港特别行政区《个人资料(私隐)条例》为例来说明国际个人隐私法对于个人信息资料保护的基本规定。
(二)香港《个人资料(私隐)条例》的具体规定
根据对香港特别行政区《个人资料(私隐)条例》中有关条款,我们归纳出其对个人资料使用的五条基本原则:一是资料使用者在收集个人资料时,就应当明确收集这些资料的用途,并告之资料当事人。二是只能在收集资料时所述明的用途或与其直接有关的用途范围内使用(含查询)该个人资料。三是如果要将个人资料用于其他用途时,必须征得资料当事人的同意。四是利用计算机批量对个人资料进行的核对程序,必须征得资料当事人同意。五是当某些个人资料符合条例所规定的豁免事项时,一般是出于公共安全和利益的原因,或是资料使用者与资料当事人间存在合法的权力义务关系。当资料使用者有证据怀疑资料当事人有欺诈或其他不当行为时,为维护自己权益,且是充分必要的情况下,可以使用对方资料而无须同意。这五条基本规定对我们正确认识个人隐私权具有重要的意义。
(三)商业银行对个人客户信息资料的使用权利
国内不少银行都认为,自已既然掌握了客户的个人信息资料,就自然有权使用,只有在对外提供这些信息时,才要受到相关法律的约束。但根据上述《个人资料(私隐)条例》中的基本规定,银行持有客户信息资料,并不等于可以任意使用。为了在收集资料时就明确使用用途,国际银行业通行的做法是制定专门的个人隐私政策并告之客户。如美国花旗银行、香港汇丰银行、渣打银行的电子银行网站上均刊登了对客户的隐私政策。香港汇丰银行和渣打银行的隐私政策针对香港《个人资料(私隐)条例》的规定详细列明了银行可能使用客户个人信息资料的十二类用途。而国内各大银行在这方面也和国际接轨,中国工商银行、中国建设银行、中国银行、中国农业银行的网站上均刊登有对客户的隐私政策。如中国建设银行规定“我行将把收集到的相关信息用于了解您的服务需求以及开展各项业务,为您提供更优质的产品和服务”。中国工商银行、中国农业银行、中国银行的隐私政策也与之基本相同,可以简单地归纳为一句话“为客户提供更优质的产品和服务”。主要是我国缺乏相应的个人信息保护法对此进行规范。但既便如此,也为国内银行使用个人资料的权力划出了限制范围。如果根据个人隐私法的基本原则,除了满足隐私法中所规定豁免条件的相关使用或者得到客户本人同意外,银行只能在为给客户提供更优质的产品和服务这一用途范围内合理使用个人客户信息。尽管我国的个人信息保护法还未出台,但从合同法的角度来看,各银行在其网站上公布的隐私政策,相当于与客户间签定的有关隐私事项的合同条款,对其同样具有约束作用。如果银行在使用客户资料过程中,不符合为客户提供更优质产品和服务的用途,客户有权以违约追究其法律责任。所以,银行对个人客户信息资料的使用必须树立正确的观点,即持有并不等于可以任意使用。
(四)内部审计中个人储蓄存款账户信息使用情况分析
银行在开展业务中掌握的个人客户信息主要有个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息。不同的个人信息资料隐私性不同。根据我国的《商业银行法》第二十九条规定:“商业银行办理个人储蓄存款业务 ,为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”单独将个人储蓄存款账户列为保密对象,而对其他类型个人客户信息资料的保密要求未作规定。可见个人储蓄存款账户信息在我国属于相对敏感的个人信息范畴。
在银行内部审计中,个人储蓄存款账户信息的使用情况比较特殊和复杂。一方面个人存款账户中的资金作为客户私有财产,一般与银行利益不直接相关(存在贷款资金的例外)。另一方面,个人存款账户中的资金往来为客户本人操作,只要客户对交易真实性不存在异议,银行内部审计似乎没有理由对此进行审计。所以银行常规的内部审计工作一般不会涉及客户的个人存款账户信息,只有在某些特殊情况下才会涉及,如常见的对小金库的审计,对信贷资金流向的跟踪检查等。但如果深入分析,就会发现这些审计工作与员工个人储蓄存款账户的审计排查是截然不同的:
一是工作性质的区别。传统的涉及个人客户储蓄存款账户的审计项目都是有针对性地确定具体目标再展开审计。如对个人贷款资金流向的审计,只针对少数可疑的个人贷款客户,且对其个人存款账户的检查内容仅限于银行贷款资金的去向,不得任意扩大检查范围。而对员工个人储蓄存款账户的审计排查则是在事先未掌握任何线索的情况下,对所有员工的账户信息进行全面排查。两者相比,前者就如执法部门掌握了犯罪嫌疑人的确切证据,进行有针对性的搜查。后者则是挨家挨户,不分青红皂白的大搜查。显然后种做法是与现代文明社会的法治精神相违背的。
二是审计方法的区别。传统的审计项目既使涉及到个人储蓄存款账户,也都是以手工查询方法为主,查询的个人客户账户范围十分有限。但对员工个人储蓄存款账户的审计排查,则是银行方将掌握的所有员工身份信息与个人账户信息数据库进行计算机批量核对,再对筛选出的员工个人账户信息根据预先设定的审计条件,运用审计程序进行排查,涉及账户数成千上万,且审计结果会对部分员工产生不利影响。按照香港特别行政区《个人资料(私隐)条例》规定,属于“核对程序”范畴,是《条例》严格管限的行为,必须征得资料当事人同意方可进行。其他国家的个人隐私法案也均对此类运用计算机技术批量处理个人信息资料的行为进行严格限制。主要是因为计算机技术的发展,使得以电子形态存在的公民信息资料隐私更容易受到大范围的侵犯。因此必须通过法律严格约束。
三是法律依据的区别。从个人隐私法的基本原则来看,传统审计项目中涉及到个人账户信息,虽然未经资料当事人同意,但大都符合隐私法的豁免条件。如对个人贷款客户存款账户中的贷款资金流向进行跟踪检查,是由于贷款客户与银行有合同约定,承诺不会将贷款资金用于未约定的其他目的。国家有关金融法规也严禁贷款资金流入股市等领域。银行为了防止客户违反贷款合同约定,不诚实地将贷款资金用作其他用途,从而给资金带来损失而采取的必要的风险防范措施。但对员工个人储蓄存款账户的审计排查则既没有得到当事人同意,也不满足任何《条例》规定的豁免条件。首先,在进行排查之前,银行未掌握任何员工违法违规的证据。其次,银行对员工个人储蓄存款账户所排查的一些账务往来,大多只是与银行内部管理要求不符,并不违反相关的法律法规。如现行法律法规中没有一条禁止银行员工与贷款企业发生资金往来。员工既使有这一行为也不能证明他就是充当资金中介或收受企业贿赂,也有可能是从企业购买商品。如向房产公司购买住房,向汽车公司购买汽车等正常行为。最后,真正通过审计排查发现的,存在不当行为的员工毕竟只是极少数,最终证实违法的更是屈指可数。在毫无证据的前提下,为了查处这极少数可能存在不当行为而对成千上万员工个人储蓄存款账户进行排查,显然与适用于相关豁免条件的使用个人信息资料行为必须是“充分必要”的这一法律原则不相符合,属于滥用客户个人信息。
因此,与传统的审计项目不同,对员工个人储蓄存款账户的审计排查工作并不符合国际个人隐私法的相关规定。
三、我国商业银行内部审计中个人隐私保护立法分析
(一)我国相关法规对个人储蓄存款隐私保护立法精神
在查询个人储蓄存款账户的问题上,法律上有严格的权限限制。根据《商业银行法》规定,对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。这就是说只有全国人民代表大会或全国人民代表大会常务委员会通过的法律才有权限规定哪一个部门在何种情况下可以查询个人储蓄存款账户,行政法规、部门规章等均没有此权限。依据现行法律规定,目前能够对个人储蓄存款账户进行查询的主要是法院、检察院、公安机关、国家审计部门、税务机关等。如:《民事诉讼法》第221条规定:“被执行人未按执行通知履行法律文书确定的义务,人民法院有权向银行、信用合作社和其他有储蓄业务的单位查询被执行人的存款情况,有权冻结、划拨被执行人的存款,但查询、冻结、划拨存款不得超出被执行人应当履行义务的范围。”《刑事诉讼法》第117条规定:“人民检察院、公安机关根据侦查犯罪的需要,可以依照规定查询、冻结犯罪嫌疑人的存款、汇款”。《税收征收管理法》第54条规定:“县以上税务局(分局)局长批准,凭全国统一格式的检查存款账户许可证明,查询从事生产、经营的纳税人、扣缴义务人在银行或者其他金融机构的存款账户。税务机关在调查税收违法案件时,经设区的市、自治州以上税务局(分局)局长批准,可以查询案件涉嫌人员的储蓄存款。税务机关查询所获得的资料,不得用于税收以外的用途”。《审计法》第33条规定“审计机关有证据证明被审计单位以个人名义存储公款的,经县级以上人民政府审计机关主要负责人批准,有权查询被审计单位以个人名义在金融机构的存款”。
通过以上法律规定我们了解到,国家对个人储蓄存款账户实施十分严格的保护,只有少数国家司法、行政机构才拥有对个人账户信息的查询权,而且在行使查询权时受到严格的条件和程序限制:一是必需掌握一定的证据,才能对可疑的个人账户进行查询。如法院只有当被执行人未按执行通知履行法律文书确定的义务下,才有权行使查询权。二是必须经过一定级别的国家机关(至少县级以上)批准后方可实施查询权。如根据《公安机关程序规定》第225条规定,向银行或其他金融机构、邮电部门查询犯罪嫌疑人的存款、汇款,应当经县级以上公安机关负责人批准,制作《查询存款、汇款通知书》,通知银行或其他金融机构、邮电部门执行。从这些法律规定中我们可以得出结论,既然国家现有法律对个人储蓄存款账户实施如此严格的保护,那么这一立法精神也同样适用于所有的单位和个人。而与国家有关司法、行政机关相比,只是作为企业内部管理机构的银行内审部门,其权限理应受到更严格的限制。至少也应当参照国家有关法律规定,在掌握相当证据证明某个人储蓄存款账户存在问题的前提下,为了维护有关方的合法利益,且充分必要的情况下,在经过一定程序和一定级别的内部授权后,才能使用该个人账户信息。而目前的这种审计排查方式显然违背了我国法律对个人储蓄存款账户信息进行保护的立法本意。
(二)银行员工储蓄存款账户的隐私权
既然根据我国现行法律对个人储蓄存款账户信息进行保护的立法精神,银行不能任意使用客户的个人储蓄存款账户信息,那么,员工的个人储蓄存款账户也应同样对待。因为,作为银行员工虽然有义务遵守法律法规以及银行内部管理制度,但员工在本单位的个人储蓄存款账户,是其以普通客户身份开立并存入资金的,办理的是同样的开户手续,签定的是同样的账户服务协议,既没有因为内部员工而享受任何特殊的权益,也没有事前约定要承担额外的义务。所以,员工的存款账户对银行而言就是客户的存款账户,两者本质上并无区别,员工的个人储蓄存款账户不应因为其所在单位的因素而额外承担被审计检查的义务。银行单独将员工的个人储蓄存款账户筛选出来进行审计排查,不但没有任何法律依据,也剥夺了员工的隐私权,是一种带歧视性色彩的管理手段,违背了对待客户一律平等的行业准则。
(三)对员工个人储蓄账户信息审计排查的利弊
银行对员工个人储蓄账户信息审计排查不但有可能引发法律风险,从审计效果来看也是弊大于利。首先,为了查处有可能存在的少数员工的违规行为,而侵犯绝大多数遵纪守法全体员工的隐私权,对于任何一家注重社会声誉的银行来说,都是因小失大之举。其二,这样的审计排查或许短期内会有较好效果,但从长期看,只会促使广大员工逐渐将其个人存款转存到其他银行,使该银行失去员工支持,失去部分客户资源。员工是企业的基础,在毫无证据的前提下,对作为隐私的员工个人储蓄存款账户进行审计排查,等于将全体员工都看成有可能损害企业利益的嫌疑人。这种防民如防贼的管理方式,不但法律上存在问题,还会损害广大员工的归属感,影响企业的凝聚力。因此,无论于公于私,于法于理,这样的审计排查并不是现代化商业银行的明智之举。
综上所述,对员工个人储蓄存款账户的审计排查不但违反了国际个人隐私法的基本原则,也违背了我国法律的立法精神。而要解决这一问题,除了银行要加强自律,防范法律风险,国家金融监管部门要加强对银行使用客户信息情况的监管力度外,更关键的还在于国家相关法律法规的健全,特别是要加快个人信息保护法的立法进程,尽早出台专门的个人信息保护法,为全体公民的个人隐私提供必要而全方位的法律保护。