美國銀行反洗錢法律制度中客戶隱私保護的借鑒及其啟示

作者系澳大利亞新南威爾士大學商業碩士，研究方向為金融學等。

編輯| 葛辛晶

美國是對隱私權理論研究立法最早的國家，對隱私權的保護始於普通法。美國憲法上的隱私權的確立始於對個人事務自主性的個案爭議，開啟隱私權作為憲法上基本權利在概念範圍和內涵上的全新領域，使美國成為隱私權立法最為發達的國家，並形成自有的隱私權保護體系。

隨著科技發展，社會網路的普及化，隱私權的內容和隱私權保護髮生了相應轉變，在人格權的基礎上加入財產屬性的內容，隱私權保護轉變為積極層面上的控權模式。而金融隱私權融合了人格權和財產權的混合性權利。在金融業務往來中，銀行等金融機構掌握客戶許多金融信息，在銀行和客戶間存在不平等的締約關係，銀行在履行反洗錢職責時必須利用法律保護客戶金融隱私權。

在我國，隨著銀行業務創新和發展，銀行面臨愈演愈烈的洗錢威脅和衝擊。不當處理和搜集、知悉、應用客戶信息的行為勢必構成對客戶隱私的侵犯。銀行作為私法主體,對客戶隱私的保護是基於銀行和客戶之間的契約關係而形成的法律責任。反洗錢基於維護社會利益和金融安全的考量，賦予銀行一定公共職責，承擔公法上的義務。銀行在執行反洗錢制度時與保護相關主體隱私間的博弈中，在既要承擔公法義務，又要防止侵犯客戶私權利，有效協調反洗錢中公權與私權的衝突，對維護客戶合法權益、保證金融安全具有重要的現實意義。

我國反洗錢法律制度對客戶隱私保護方面存在的主要問題

第一，金融隱私權保護法律規定過於分散、原則，且沒有專門立法。

我國現行民法關於一般隱私權的保護規定不能全部涵蓋金融隱私權保護內容，銀行、證券、保險等行業的分別立法模式和分行業各自監管的狀況進一步加劇混亂，相關法律條文較為原則，且行業法規中對金融隱私權的保護範圍較狹窄，且沒有專門立法。基本法律層面缺乏系統規定，金融監管部門通過發布規章進行規範，金融隱私權保護措施的具體操作性不強。金融機構在信息收集問題上缺乏明確規定，存在信息失密、被濫用甚至盜用現象。金融監管部門對金融機構違規泄露客戶信息的處罰措施規定過於原則，缺乏具體條款，可操作性不強。

第二， 客戶隱私的保護規則與限制規則存在失衡，保密義務範圍狹窄。

《反洗錢法》第五條規定:「對依法履行反洗錢職責或者義務獲得的客戶身份資料和交易信息，應當予以保密；非依法律規定，不得向任何單位和個人提供。」。只將「客戶身份資料和交易信息」限定為客戶的隱私資料，對金融機構所負的保密義務規定過於抽象籠統，不夠全面，操作性不強。至今我國尚無銀行客戶信息保護方面的專門立法。但是，《反洗錢法》從主體、義務、披露程序上對客戶金融隱私的限制作出更具體規定，更有操作性，如要求金融機構在交易過程中，須詳細了解客戶的基本情況，對其身份的真實性和交易的性質進行嚴格審查。反洗錢法律體系對保密義務的範圍及其外延缺乏明確界定，使銀行保密義務處於不確定狀態。從法理上講，保密是第一性，例外是第二性，然而，我國立法對金融機構與客戶金融隱私保護及立法價值定位上產生一定的錯位。

第三，金融機構識別可疑交易的自由裁量權擴展，客戶身份信息有待釐清。

一是擴展金融機構識別可疑交易的自由裁量權。如《金融機構大額交易和可疑交易報告管理辦法》第十一條列舉了銀行對交易如短期內資金分散轉入、集中轉出或者集中轉入、分散轉出,與客戶身份、財務狀況、經營業務明顯不符的交易等可視為可疑交易並報告的鑒別標準，但該辦法第十四條規定：「除本辦法第十一、十二、十三條規定的情形外,金融機構及其工作人員發現其他交易的金額、頻率、流向、性質等有異常情形，經分析認為涉嫌洗錢的,應當向中國反洗錢監測分析中心提交可疑交易報告。」此規定擴展了金融機構識別可疑交易的自由裁量權。銀行在履行可疑交易報告義務時，可根據主觀判斷對自認為可疑的交易進行報告，即使該交易最終被有關部門認為合法交易，也無須為違反保密義務而承擔法律責任。銀行在執行交易報告義務時，涉及的客戶對相關情況毫不知情,根本無法得知自己的隱私是否被侵犯和採取相應的保護措施，無疑增大了客戶隱私遭受侵犯的風險。

二是客戶身份信息有待釐清。金融機構反洗錢工作的首要義務是客戶身份識別義務，但從目前我國法律、法規看，客戶身份信息概念尚未精確界定。對一般國內居民而言，需要證明身份的是要求提供有效居民身份證，而身份證資料是否已足夠證明反洗錢個人信息，卻有待立法對身份信息作出明確界定和解釋。

第四，侵權責任主體不夠全面，缺乏有效的法律救濟手段。

一是侵權責任主體單一。《反洗錢法》第三十條規定：反洗錢行政主管部門和其他依法負有反洗錢監督管理職責的部門、機構從事反洗錢工作的人員泄露因反洗錢知悉的國家秘密、商業秘密或者個人隱私的，依法給予行政處分。其主體僅指負有反洗錢監督管理職責的部門、機構從事反洗錢的工作人員，而沒有將負有反洗錢義務的機構，如金融機構和非金融機構反洗錢工作人員，以及其他與金融機構有業務關聯的機構及工作人員，如公安機關、檢察院、法院、海關等業務夥伴等納入侵權責任主體。

二是缺乏對金融隱私權利救濟的手段和途徑。反洗錢規則側重於公共機構獲得客戶信息的權利，缺乏對客戶權利救濟手段的規定。金融機構在反洗錢中違反保密規定只承擔行政責任，而不包括民事責任或刑事責任，單一的行政責任導致客戶在其合法權益受到侵害時缺乏足夠的救濟途徑。但我國現行法律對客戶隱私權無明確的規定，無疑增加客戶隱私在受到侵犯時尋求救濟的難度。當金融隱私權受到侵犯時，金融消費者救濟手段主要是起訴，請求停止侵害，要求賠償，且多由銀行承擔行政或刑事責任，使得客戶權利難以得到真正實現。

第五，責任內涵不明，免責過於模糊。

《反洗錢法》對金融機構反洗錢義務進行分類規定，但相關配套規定過於概括，賦予金融監管部門自由裁量空間較大，金融機構義務邊界不明顯。金融機構依法提交的可疑交易報告難免存在主觀判斷失誤，若客戶因為報告主體經驗不足而權益受到侵犯；或因反洗錢報送信息渠道不規範，造成客戶信息失密；或因反洗錢目的搜集客戶信息失范造成報告失誤等原因。基於這些情形，既要免除報告主體的責任，又要保證客戶權益得到救助等問題有待法律作出明確規定。

美國銀行反洗錢法律制度中客戶隱私保護的主要做法

其一，規定較完善的執行與補救程序,構築較嚴密的金融隱私保護網路。

一是從判例法方面確認金融隱私保護。美國法院在「皮特森」案

中確認銀行對第三方泄露客戶信息侵犯了客戶金融方面的隱私權。

二是對銀行客戶隱私的保護採用專門立法模式。《銀行保密法》（1970年）規定銀行對客戶的保密原則及保密原則的例外情形，主要內容：第一，要求所有國內銀行必須保存客戶交易記錄，並且獲得任何開設賬戶者的身份號碼（如社會保障號碼）；第二，授權財政部決定銀行的報告義務；第三，要求銀行必須建立專門部門和專職人員。《金融隱私權利法》（1978年）規定金融機構獲取客戶金融信息的途徑、程序和方法，確定金融機構保護客戶金融隱私權的基本義務，細化對保護客戶金融隱私權的義務及可披露客戶信息的情況。《洗錢抑製法》（1994年）規定了銀行不可以向其客戶或該交易所涉任何人透露其提交《可疑活動報告》的情況，也不可以通知客戶其記錄被政府以傳票索取，或是該客戶信息已被披露給了大陪審團。《金融服務現代化法》（1999年）將金融隱私權定義為：「不應公開的可以用來確認個人信息的金融信息」，該法為美國提供較完備的金融隱私權保護制度，提出「每一金融機構都有確定的持續的義務尊重其客戶的隱私、保護客戶非公開個人信息的安全和保密」。

三是金融監管部門共同制定隱私保密規則。2000年，美國貨幣監理署、聯邦儲備委員會、聯邦儲蓄保險公司和儲蓄管理辦公室共同制定《消費者財務隱私保密最終規則》(以下簡稱《最終規則》)，要求銀行、保險公司、投資公司和抵押公司等機構共同執行。《最終規則》規定，受保護的客戶信息包括：業務往來時消費者提供給銀行的個人資料，如姓名、住址、電話號碼及個人收入狀況等；客戶的業務交易數據，如交易記錄、交易金額、賬戶金額、支付記錄、透支記錄、借記卡或貸記卡的購物信息等；銀行與客戶交往過程中獲取的其他衍生信息。個人的財務隱私包括銀行曾經與客戶間發生過業務交易的事實以及銀行在Internet上通過Cookies收集到的個人信息。《最終規則》涉及金融機構必須給消費者提供其個人財務隱私保密政策，以及透露和共享個人財務隱私的具體情況；金融機構在何種情況下可以把消費者的個人財務隱私提供給第三方；規定客戶有權通過「選退」方式拒絕銀行把自己的財務隱私透露給第三方等。

其二，通過立法形式，限制聯邦機構獲取客戶資料的範圍和程序。

《金融隱私權利法》規定聯邦機構取得數據的方法、須經的程序以及例外情況。根據該法規定，聯邦機構只有在以下四種情況下可以獲得金融消費者的相關情況：第一，獲得該金融消費者的同意和授權；第二，按照政府行政部門的相關指令；第三，存在有效的搜查令；第四，按照該法所規定的程序批准透露的信息資料。規定嚴格限制聯邦機構獲取客戶資料的範圍及程序，並規定公民為保護其合法隱私而反對政府非法獲取其金融機構隱私的權利與相應的救濟手段。

其三，確立並強化銀行客戶交易報告制度，賦予政府更多獲知銀行秘密的權利。

《銀行保密法》是美國乃至全球第一部反洗錢法案，該法規定：銀行有義務報告有洗錢嫌疑的交易，要求銀行對超過1萬美元的現金交易，銀行必須向有關部門提交涉及存款、取款、現金兌換或者其他支付或轉移的報告。在提交的現金交易報告中，要求必須披露擁有賬號的客戶身份和客戶資金的來源；如果銀行不提交報告，或者提交虛假報告，則構成犯罪；要求銀行和其他金融機構具有報告可疑交易、保存交易記錄等義務，否則，構成犯罪，將被處以民事處罰，或者1年以下監禁刑和10萬美元罰金的刑事處罰；規定銀行應對其客戶的金融交易和資本轉移情況保存完整的資料和記錄；美國財政部主管部門可隨時以協助稅務、刑事訴訟的理由向銀行索取與客戶有關的交易資料。《阿農齊奧—懷利反洗錢法案》（1992年）強化銀行等金融機構的報告義務，即金融機構及其官員、董事、僱員、代理人被施加了貫徹反洗錢方案、保存涉及資金轉移的記錄、報告有關可能違反法律或規章的可疑交易等義務。

其四，基於銀行保護客戶交易隱私責任與披露客戶交易信息責任的衝突凸顯，美國法案創設安全港規則。

《阿農齊奧—懷利反洗錢法案》創設了安全港規則，使銀行等金融機構免受民事責任的困擾。該法案§5318（g）規定：任何對可能違反法律或規章的行為或根據本分節或任何規定進行披露的金融機構，以及該機構的任何董事、高級管理人員、僱員或代理人都不根據美國的任何法律或規章或是任何州或是政治單位的憲法、法律或規章對任何人為此披露或為未能通知交易涉及人員或該披露所涉及的任何其他人員而承擔責任。在司法實踐中，該法案創設的安全港規則被法院採用。

其五，完善反洗錢法律體系，擴大金融機構範圍。

《洗錢控制法》（1986年）與《銀行保密法》構成美國反洗錢法律體系的核心。《洗錢控制法》首次將洗錢列為聯邦犯罪，並將洗錢細化為四個罪名:第一，金融交易洗錢罪;第二，輸送貨幣工具洗錢罪；第三，利用卧底方式查獲的洗錢罪；第四，貨幣交易洗錢罪，也稱為跨境洗錢罪。《洗錢抑製法》增加報告跨境現金輸送的義務和在外國的銀行和證券賬戶的義務。《洗錢起訴改善法》（1988年），擴大了《銀行保密法》中關於金融機構的定義，將汽車、飛機、輪船的經銷商以及從事房地產、郵政服務的人員也列入金融機構的範疇。同時，《洗錢起訴改善法》對那些包括出於過失的銀行家在內的幫助洗錢之行為人規定了義務條款和罰則。《為攔截和阻止恐怖主義而提供適當手段以團結和鞏固美利堅的法案》（簡稱《愛國者法案》，2001年）修正《銀行保密法》和《洗錢控制法》的有關規定，對金融機構施加許多新義務，其中包括為貫徹反洗錢方案而實質性地修正現存的執行政策和程序、更嚴格的客戶辨別標準、增強謹慎義務的履行、禁止美國銀行與外國空殼銀行保持商務聯繫、加強防止洗錢的合作等。同時，擴大金融機構範圍，包括銀行等傳統的金融機構，還覆蓋信貸機構、期貨經紀商、珠寶商、賭場、旅遊代理店、典當商，以及從事汽車、飛機、輪船銷售的公司等；該法案對於外國人在美國境內實施的洗錢犯罪、外國銀行在美國銀行開立銀行賬戶、外國人轉移被美國法院命令沒收的資產等案件，允許美國法院具有審判權（即所謂的「長臂管轄權」）；擴大上游犯罪的範圍，將腐敗行為列為上游犯罪。

啟示

首先，借鑒美國立法經驗，完善金融隱私權保護立法。

借鑒美國立法經驗，完善金融隱私權保護模式，加快制定我國《金融隱私權保護法》，從金融隱私權的性質、適用範圍、主體權利義務、權利的救濟、金融機構及從業人員的責任義務等作出規定，明確侵權責任，權利受到侵害的救濟途徑和方法。根據責任不同，劃分行政、刑事和民事責任，並因不同的責任確定各自的賠償方式、範圍和懲罰措施。

其次，規範獲取客戶信息的範圍和程序，構建客戶隱私保護的權利義務制度。

一是明確規定客戶信息的保護範圍。如客戶的基本信息，包括姓名、性別、年齡、婚姻狀況、身份證號碼、職業、文化程度、住宅地址、聯繫電話等；賬戶的交易信息，包括戶名、賬戶號碼、交易時間、金額、餘額、資金流向及對方賬戶號碼等；基於賬戶產生的其他信息，如記錄分析客戶交易信息，判斷客戶的交易習慣、消費偏好等。規範客戶信息採集、使用、披露的情形、程度和程序。

二是構建客戶隱私保護機制和責任追究制度。金融機構在履行反洗錢義務中，要注重對客戶隱私的保護，強化對客戶隱私的保護措施，構建多元化的客戶隱私保護機制。明確客戶應有的權利，包括知情權、隱瞞權、更正及查詢自身信息的權利、「選退」權（指客戶有權通過「選退」方式拒絕金融機構把自己的金融隱私透露給他人）等。借鑒美國經驗，可由法律對客戶隱私保護的例外情形作出規定。要採用可靠的科技手段，強化員工對客戶隱私的保護意識，確保客戶隱私的安全性和保密性。明確客戶隱私內涵和保密主體，制定侵犯客戶隱私責任的承擔方式、追究機制和救濟路徑的相關規定。

再次，實行嚴格的貨幣交易報告制度，確保客戶信息的安全和保密。

在立法中規定：提升履行反洗錢等機構「了解你的客戶」義務的標準，完善告知義務，建立嚴格的貨幣交易報告執行程序。金融機構和一些特定非金融機構在進行超過一定金額的金融交易時，須填寫貨幣交易報告，並向有關部門報告，有關執法部門通過對報告進行分析，就可以及時發現洗錢線索。同時，金融機構和執法等部門在依法實施反洗錢工作中，必須確保客戶記錄和信息的安全和保密，有效預防潛在的威脅和危險以保護這些記錄的安全和完整，防止任何導致客戶實質性損害，或者不便利的非經授權而對這些記錄或信息的接觸或使用。

最後，進一步完善反洗錢法律制度，擴大反洗錢義務對象。

一是完善反洗錢的刑事立法。擴大《刑法》洗錢對象範圍，將腐敗行為列入洗錢上游犯罪範疇。增加相關罪名，如在《刑法》中增加以假名、冒名開立賬戶構成犯罪等，以確保反洗錢金融制度的有效執行。

二是制定反洗錢制度的實施細則。構建客戶身份識別的科學驗證標準，完善客戶身份核實程序，減少客戶身份識別的主觀隨意性，避免對客戶隱私的侵犯。完善可疑交易報告的識別標準，減少金融機構披露客戶交易信息的隨意性，避免金融機構濫用其反洗錢職權，減少自由裁量和主觀判斷，最大限度的保護客戶隱私免受錯誤推論的侵犯。制定概念準確、符合反洗錢要求的客戶信息保密和查詢制度，強化保密技術上的安全管理，規範查詢許可權，不斷完善金融機構披露客戶信息的程序和條件。同時，根據交易記錄的類型，合理設置不同的保存期限。

三是擴大反洗錢義務對象並賦予其更多的反洗錢義務。進一步擴大我國金融機構範圍，除金融機構外，還可包括擔保公司、貸款公司、現金密集行業、期貨經紀商、珠寶商、旅遊代理店、典當行等，並對其施加更多義務、執行更嚴格的客戶辨別標準和謹慎義務。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！