GLBA 關於金融隱私權之規範

承前所述，金融控股架構下之金融服務最大利益即在於多元化服務與整 合性單一窗口之提供，並針對使用者不同理財習性與財務狀況，提供客製化

54 王志誠，「美國金融隱私權保護法制之發展」，台灣金融財務季刊，第 7 輯第 1 期，頁 75（2006）。

55 Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, Pub. L. No. 107-56 (2001). 本法雖規定在 Gramm-Leach-Bliley Act 通過之後，然本法主要內容在於提供政府機關取得客戶隱密金融資 訊之方式，實質為對金融隱私權之限制，與前述銀行秘密法及財務隱私權法之規範 目的與內容實質相似；是以，筆者仍將此一通過於 GLBA 立法完成後之規範安排於 此。

56 施峰達，我國金融檢查與財務隱私權法制關聯性之探討，中原大學財經法律研究所

碩士論文，頁 67、76（2002）。指金融機構應確認其客戶身分，判定其交易是否正 常，監控其是否有不正常或可疑之轉帳行為。

57 包括客戶之姓名、地址、出生年月日、身分證字號、稅籍編號、非常規交易資料 等。See 31 C.F.R. § 103.121 (b)(1).

服務；然若欲將此一集團利益極大化，則無論係金融服務之整合或個人化服 務的提供，勢將大量蒐集與利用消費者之個人資料。是以，在整合性金融服 務提供之際，參與者之間如何利用消費者之個人金融資料，如何規範金融機 構對於消費者個人金融資訊之蒐集利用與分享乃網路金融時代另一相當重要 之課題。

有 鑑 於 斯 ， 美 國 在 「 金 融 服 務 現 代 化 法 （ Gramm-Leach-Bliley Act, GLBA）」中即特闢章節規範消費者金融隱私權之保護。主要可分兩部分，

對消費者非公開個人資料之保護做相關規範，包括：金融機構隱私權政策之 建立與揭露義務、金融機構資訊安全要求、消費者選擇權、主管機關法規制 訂義務等⁵⁸；第二部分則規範對於金融資訊詐欺使用的處罰與責任⁵⁹。

簡言之，GLBA 之隱私權相關規範，主要依循四項原則之建立。首為要 求所有金融機構均應揭露該金融機構對於消費者非公開的個人金融資訊保護 的政策及方式；次為限制金融機構對於消費者非公開的個人金融資訊對於非 關係企業的第三人揭露，並應將相關的隱私權保護政策、條文以書面或是電 子檔案方式告知消費者。再者該法要求相關金融主管機關，包括證管會及銀 行監理機關應落實以下要求：1.公布消費者資訊保護之標準；2.公布相關的規 則及執行法規；3.在金融機構及其關係企業間可以分享資訊的標準；及是否 有足夠的法規，保障未經授權揭露消費者財務資訊的情況。另本法乃係對 個人金融資訊提供最低度的保障，若各州另有規範提供更高度之保障，則遵 從各州規定。同時，在 GLBA 中明確授權要求制訂金融資訊隱私權保護規則 後⁶⁰，美國銀行、證券相關監理當局與聯邦貿易委員會（FTC）都紛紛在 2000 年完成金融資訊隱私權保護規則的制訂。

在 GLBA 授權下，由美國聯邦準備委員會、財政部、聯邦存保公司等八

58 Gramm-Leach-Bliley Act §§ 501-509, 15 U.S.C. §§ 6801-6809 (1999).

59 Gramm-Leach-Bliley Act §§ 521-527, 15 U.S.C. §§ 6821-6827 (1999).

60 Gramm-Leach-Bliley Act § 504(a), 15 U.S.C. § 6804(a) (1999).

個金融機構監理部會組成聯合工作小組，制訂「Regulation P（Privacy of Consumer Financial Information）」⁶¹。將 GLBA 之規範落實為下述具體措 施：即 1.金融機構必須以明確、清楚且顯著的方式告知消費者關於金融機構 在何種情況下，會對關係企業或非關係企業的第三者揭露消費者非公開的個 人資訊；2.金融機構必須定期以明確、清楚且顯著的方式告知客戶金融機構 的隱私權政策⁶²；3.金融機構必須提供消費得選擇（opt out）個人資訊不被揭 露之機制，所有受上述金融監理機關監理之金融機構將會受本規則之規範。

同時針對資料安全保護方面，亦制訂「客戶資料安全與機密保護標 準」，針對管理、技術、及檢查程序方面制訂消費者個人資料及交易紀錄的 安全標準，來達到 GLBA 三大要求：1.確保消費者金融資訊隱私權的安全與 機密；2.保護消費者的交易紀錄與金融資訊不受可能的威脅與危險；3.避免未 經授權的存取導致消費者交易紀錄及金融資訊的破壞、損失或對消費者造成 不便利之影響。並將其要求具體落實於下述原則：1.對於可能造成客戶資訊 威脅之風險加以辨識與評估；2.對於相關風險的管理與控制應研擬具體的計 畫，其中必須包括風險管理政策與程序；3.確實執行並定期檢視該計畫；4.持 續依據下列指標檢視及調整該計畫：資訊科技進步、消費者資訊的重要性、

資訊安全的內部與外部風險。雖則上述規定與要求對金融業造成極大負擔，

且易使其於客戶個人資訊應用上較以往受更高限制，然此除凸顯金融資訊隱 私權於此資訊整合時代之重要性外，亦可見美國相關主管當局對此議題之重 視，或值仿效。

另同樣基於「新金融服務法」的授權要求，美國證管會（SEC）於 2000

61 Privacy of Consumer Financial Information (Regulation P), 12 C.F.R. § 216, available at http://www.federalreserve.gov.

62 GLB 法中對消費者與客戶之定義乃有所區分；所謂消費者係指為個人、家庭或家計 等用途，向金融機構申請提供金融產品或服務之個人或其代理人；另「客戶」則定 義為與金融機構有持續往來（continuing relationship）之顧客，如：存款、授信、投 資業務等。See Gramm-Leach-Bliley Act § 509(9), 15 U.S.C. § 6809(9) (1999).

年 6 月 22 日 正 式 通 過 證 券 業 有 關 消 費 者 財 務 資 訊 隱 私 權 保 護 的 法 案

「Regulation S-P」⁶³。該規則主要規範受 SEC 監理之證券業者，其中對於證 券業者隱私權保障有明確的規範。