檢討與修法提出

4.1.3.1 對 GLBA 之檢討

然上述有關金融資訊隱私權之規範對消費者隱私權之保障顯有不足。當 GLBA 甫完成立法之際，即有來自於金融機構與消費者保護團體之嚴厲批 評；金融機構認為 GLBA 所規範之通知要求將提高金融機構之成本⁶⁴；然消 費者保護團體卻認為 GLBA 所涵蓋之隱私權保障明顯不足，隱私權團體及學 者提出呼籲，認為該法嚴重威脅美國消費者金融隱私權之保障，因為該法撤 除了金融機構間原透過限業經營之藩籬所建立之資訊中國牆，然而，GLBA 中有限的金融隱私條款卻不足以取代過去限業藩籬存在時，對客戶金融資訊 所提供之保障⁶⁵。

對於 GLBA 隱私權條款之首要抨擊來自於對關係企業第三人傳遞分享資 料之毫無限制，並主張當個人資料傳遞予關係企業第三人之前，應提供被傳 遞資料之個人有選擇退出機制以實踐個人資訊自主權⁶⁶。

此外，GLBA 中對金融機構對非關係企業之第三人傳遞客戶個人資料之 限制採選擇退出機制規定之不當亦為反對者另一主要主張。現行 GLBA 與其 授權命令主要要求金融機構必須揭露隱私權政策並賦予其客戶得以選擇禁止

（opt-out）金融機構向非關係企業第三人（unaffiliated third parties）傳遞個 人非公開資訊（non-public）資訊；換言之，GLBA 及 Regulation P 並未課予

63 Privacy of Consumer Financial Information (Regulation S-P), 17 C.F.R. § 248, available at http://www.sec.gov/rules/final/34-42974.htm (last visited on Aug. 20, 2002).

64 See Peter P. Swire, The Surprising Virtues of the New Financial Privacy Law, 86 MINN. L.

REV. 1263, 1264 (2002).

65 See Gregory T. Nojeim, Financial Privacy, 17 N.Y. L. SCH. J. HUM. RTS. 81, 81-82 (2000).

66 See Swire, supra note 64, at 1304-05.

金融機構於蒐集及向他人，包括非關係企業第三人，傳播客戶個人資訊前需 先獲得認可之同意（affirmative consent），在該法規定下，金融機構反而可 以蒐集與分享客戶資料直至客戶要求停止。

上述規範一方面保障消費者得隨時停止金融機構向任意第三人分享其金 融資訊，然另一方面卻嚴重侵害消費者隱私權，與一般隱私權保障之規定相 違背。消費者無法透過該法禁止金融機構在關係企業間傳遞與分享個人資 料，此其一；再者，金融機構傳遞客戶資料竟然不需要預先獲得同意，客戶 只有事後禁止之救濟方式。

筆者以為，上述表面看來立意良善之規範實有相當空間值得修正。除現 階段之隱私權揭露政策外，應明文賦予消費者得自由檢視或更正其個人資料 之權利，且上述權利並應以方便可行之方法確實落實。其次，應賦予消費者 得隨 時禁 止 金融 機構 對 集團 內部 關 係第 三人 間 之資 訊轉 介 與分 享（opt-out）；對於非關係第三人之資訊傳遞與轉介則需先取得客戶之同意方得進行 資訊傳遞（opt-in, the default rule should be prohibition on the information distri-bution to non-affiliated unless customers say yes）⁶⁷。另外，如涉及消費者敏感 資料，如與醫療資訊相關之就醫消費等，金融機構於傳遞於其他第三人，應 知會消費者，並取得其同意。

4.1.3.2 修正立法之提出

事實上，美國自 GLBA 與 Regulation P 陸續實施幾年以來，隱私權保護 相關討論之檢討聲浪亦不斷，其中最有利之主張則係以「隱私權保護」為其 競選主要主張之參議員 Senate Nelson 所推動之立法工作；繼前次推動修法未 果 後 ， Senate Nelson 於 2003 年 再 次 提 出 「 金 融 機 構 隱 私 保 護 法 草 案

（Financial Institution Privacy Protection Act of 2003）」修正 GLBA 之規定，

67 上述金融資訊隱私保護之建議之所以區分集團內關係第三人與集團外非關係第三人

而異其規定，主要乃考量交叉行銷本即為金融集團發展之主要利益之一，過份嚴格 之限制亦可能同時扼殺金融服務創新之可能性。誠如前文政策分析所提，法規制訂 之目的，應係在同時促進產業發展前提下，達成有效監理之目標。

禁止金融機構在未經得客戶允許前，販售或分享客戶私人資訊。同時，草案 中要求上述同意必須以書面明確表示（express written consent），且金融機構 於分享任何可資辨認個人之金融或醫療資料前，即需取得客戶書面同意。此 外，該草案要求金融機構不得因客戶拒絕同意個人資料分享而拒絕提供產品 或服務，金融機構尚須指定專門負責處理與客戶隱私權處理有關之人員。且 本草案訂有罰則，違反上述規定之金融機構每一違反案例，最高將可被處罰 100,000 美元，且上述客戶隱私處理人員與公司董事個人亦將受處罰，每一違 反案例最高可處 10,000 美元⁶⁸。

此外，Senate Corzine 也提出「金融資訊保護法（Financial Privacy Pro-tection Act of 2005）」，要求金融機構必須對消費者個人資料提出安全維 護系統，並定期更新，以防止越來越嚴重的身分盜用事件（Identity theft），

同時在消費者個人資料遭到未經授權使用時，須通知消費者與違反之民事責 任等⁶⁹。

4.1.3.3 Identity theft issue 的影響

除上述對 GLBA 之檢討與修正立法外，近幾年來身分竊取行為之猖獗亦 影響美國政府、企業團體及社會大眾對個人金融資訊保密與安全性之關切。

身分竊取行為應該是近幾年成長最快速之金融犯罪⁷⁰，而所謂身分竊取 行為係指個人之姓名、地址、身分證號碼或其他足資辨認個人之相關資訊 遭他人竊取並應用於犯罪行為⁷¹。近幾年因金融詐騙案之激增而引起主管機

68 Financial Institution Privacy Protection Act of 2003, S. 1458, 108th Cong. (2003).

69 Financial Privacy Protection Act of 2005, S. 1594, 109th Cong. (2005).

70 See Julia C. Schiller, Information Privacy v. The Commercial Speech Doctrine: Can the Gramm-Leach-Bliley Act Provide Adequate Privacy Protection?, 11 COMMLAW C ONSPEC-TUS 349, 353 (2003).

71 See Federal Trade Commission: About Identity Theft,

http://www.ftc.gov/bcp/edu/mi-crosites/idtheft/consumers/about-identity-theft.html (last visited July 15, 2007).

關⁷²、社會大眾之關切，而帶起另一波關於金融隱私權規範之討論熱潮，並 因身分竊取犯罪之猖獗，致使近幾年來基於為促進金融產業發展，而相當程 度容忍對個人資訊處理分享之寬鬆監理態度又有轉趨向保守之態勢，希望透 過對資料蒐集處理單位更嚴謹之規範要求，以降低日漸猖獗之身分竊取行 為。

4.2 台灣

台灣目前並無金融隱私權保護之專法，僅有 1995 年公布之「電腦處理 個人資料保護法」為概括性之保護法規；而屬於金融業別之各法規中與金融 隱私權較相關者則以金融控股公司法第 42、43 條，及銀行法第 48 條第 2 項 為主；金管會所屬各單位所頒布金融業（銀行業、證券業、保險業）辦理財 富管理業務應注意事項中，對金融隱私權亦有所著墨；此外，金管會於 7 月 方公布之金融服務法草案則為主管機關對金融服務之首度嘗試正式立法，其 中並當然包括對於客戶金融資訊隱私之保障。

下文謹就上開文所提及台灣現階段關於金融隱私權之相關規定區分一般 性規範、機構性規範與業務性規範為進一步說明；於個資法之說明中將併及 法務部目前已提出之修正草案內容與現行法制做比較，以說明未來修法之方 向。

72 依據美國聯邦貿易委員會之統計，目前美國每年約有 9 百萬美國人的身分資料遭到 竊取，美國聯邦貿易委員會甚至成立一個專門網站專門教導民眾如何預防、辨別、

發現自己的身分是否遭到竊取，及如發現身分遭到竊取時應如何處理，並在網站上 定時揭露美國政府目前進行什麼工作或完成什麼立法工作已防阻身分竊取犯罪行為 之繼續激增。

FTC「對抗身分竊取」網站：Federal Trade Commission: Fighting Back Against Identity Theft, http://www.ftc.gov/bcp/edu/microsites/idtheft/index.html (last visited July 15, 2007).