完善銀行客戶個人信息保護機制的思考

1、完善銀行客戶個人信息保護機制的思考一、我國銀行客戶個人信息保護的法律法規(guī)建設(shè)情況 （一）國家法律法規(guī)建設(shè)情況 我國民法通則、刑法和商業(yè)銀行法均對銀行客戶個人 信息保護作出規(guī)定。民法通則 第 99101 條分別對公民的姓名權(quán)、 肖像權(quán)和名譽權(quán)作出保護規(guī)定。 刑法修正案（七）將侵犯公民個人 信息的行為納入刑事犯罪的范疇， 規(guī)定了出售、 非法提供公民個人信 息罪及非法獲取公民個人信息罪兩個罪名。 商業(yè)銀行法 第 29 條則 規(guī)定：“商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)，應(yīng)當遵循存款自愿、取款 自由、存款有息、為存款人保密的原則” ?！盀榇婵钊吮Ｃ堋笔侵干蹄y 行業(yè)對存款人的姓名、住址、存款金額、儲蓄種類、存款

2、次數(shù)、提取 情況、印鑒以及其他各種情況都要嚴格的保守秘密，不得披露。對個 人儲蓄銀存款 ，商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、 扣劃，但法律另有規(guī)定的除外。 這一原則是保護存款人合法權(quán)益的最 基本要求，是商業(yè)銀行在辦理個人存款業(yè)務(wù)時必須遵循的原則。（二）部門規(guī)章建設(shè)情況人民銀行、 銀監(jiān)會等部門在其規(guī)章中針對電子銀行、 反洗錢及信 用卡業(yè)務(wù)等方面對銀行客戶個人信息保護作出規(guī)定。 如電子銀行業(yè) 務(wù)管理辦法第 52 條規(guī)定：“金融機構(gòu)應(yīng)采取適當措施，保證電子銀 行業(yè)務(wù)符合相關(guān)法律法規(guī)對客戶信息和隱私保護的規(guī)定” ；金融機構(gòu) 客戶身份識別和客戶身份資料及交易記錄保存管理辦法第 28 條規(guī) 定：

3、“金融機構(gòu)應(yīng)采取必要管理措施和技術(shù)措施，防止客戶身份資料 和交易記錄的缺失、損毀，防止泄漏客戶身份信息和交易信息” ；銀 監(jiān)會商業(yè)銀行信息科技風(fēng)險管理指引 第四章以專章形式規(guī)定了信 息安全，對信息安全管理職能、 信息安全級別劃分和信息安全措施等 作出具體規(guī)定。 人民銀行 關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保 護工作的通知第 2 條規(guī)定：“銀行業(yè)金融機構(gòu)在收集、保存、使用、 對外提供個人金融信息時， 應(yīng)當嚴格遵守法律規(guī)定， 采取有效措施加 強對個人金融信息保護，確保信息安全，防止信息泄露和濫用” ；商 業(yè)銀行信用卡業(yè)務(wù)監(jiān)督管理辦法第 3 條規(guī)定：“商業(yè)銀行經(jīng)營信用 卡業(yè)務(wù)（整理提供），應(yīng)當依法保

4、護客戶合法權(quán)益和相關(guān)信息安全。 未經(jīng)客戶授權(quán)，不得將相關(guān)信息用于本行信用卡業(yè)務(wù)以外的其他用 途”。二、我國銀行客戶個人信息保護存在的主要問題（一）客戶個人信息保護法律法規(guī)缺失1. 行政法責(zé)任缺失。我國尚未制訂專門的個人信息保護法 ， 對個人信息的保護主要依據(jù)民法通則中對個人姓名權(quán)、肖像權(quán)和 名譽權(quán)的規(guī)定， 個人信息主體的權(quán)利難以得到全面明確和保護。 從我 國現(xiàn)有法規(guī)來看，對侵犯公民個人信息的行為， 民法通則規(guī)定了 損害賠償?shù)拿袷仑?zé)任， 刑法規(guī)定了出售、非法提供及非法獲取公 民個人信息應(yīng)承擔(dān)的刑事責(zé)任， 而在行政法層面， 對于侵犯銀行客戶 個人信息但尚未構(gòu)成犯罪的行為，銀行業(yè)監(jiān)管法規(guī)沒有適用的罰

5、則， 監(jiān)管部門也缺乏對銀行違規(guī)泄露客戶信息的罰則。2. 例外規(guī)定缺失。銀行對客戶個人信息的保密與保密例外是銀行保密制度中并行的兩大部分， 遺憾的是我國法律法規(guī)在規(guī)定銀行負有 保密義務(wù)的同時， 卻沒有系統(tǒng)地規(guī)定保密例外的情形， 而僅是為了執(zhí) 法與司法的方便，在民事訴訟法 、刑事訴訟法、稅收征收管理 法等法律法規(guī)中，分別賦予人民法院、人民檢察院、公安機關(guān)、稅 務(wù)機關(guān)等機構(gòu)在特定情形下查詢、凍結(jié)和劃撥銀行客戶資金的權(quán)力。 現(xiàn)有法律法規(guī)沒有將基于當事人授權(quán)、 社會征信及社會公共利益而進 行的信息公開等列為銀行保密義務(wù)的例外， 不利于對銀行業(yè)和社會公 眾合法權(quán)益的保護。3. 監(jiān)管法規(guī)缺失。 一是規(guī)定較為

6、零散。 現(xiàn)行銀行業(yè)監(jiān)管法規(guī)僅分 別針對儲蓄存款業(yè)務(wù)、 電子銀行業(yè)務(wù)、 信用卡業(yè)務(wù)等領(lǐng)域的客戶個人 信息保護作出個別規(guī)定， 無法覆蓋銀行業(yè)提供的各類業(yè)務(wù)全流程。 二 是針對性不強。 如金融機構(gòu)客戶身份識別和客戶身份資料及交易記 錄保存管理辦法 雖然對客戶信息安全管理做了一些規(guī)定， 但立法目 的是加強反洗錢， 不是針對客戶個人信息保護。 三是原則性規(guī)定較多， 缺乏具體條款，可操作性不強。（二）銀行客戶個人信息保護不力的表現(xiàn)1. 管理架構(gòu)不健全。 目前，部分基層銀行業(yè)金融機構(gòu)的管理重點 更多的仍傾向于存貸款規(guī)模、 資產(chǎn)質(zhì)量、 利潤等業(yè)績指標和信用風(fēng)險 等常規(guī)風(fēng)險管控，而未將客戶信息保護納入銀行整體風(fēng)

7、險管理框架 中?？蛻粜畔⒍囝^管理，未成立專門的客戶信息風(fēng)險管理領(lǐng)導(dǎo)機構(gòu)， 缺乏有效的制約機制， 員工風(fēng)險意識較為薄弱， 基層銀行業(yè)信息管理 漏洞較為突出。2. 尺度標準不一致。由于對客戶信息保護缺乏統(tǒng)一的行業(yè)標準， 銀行業(yè)間執(zhí)行情況參差不齊，主要表現(xiàn)在客戶信息保護的側(cè)重點不 同、客戶信息使用管理制度不一致等方面。 對客戶信息資料處理的執(zhí) 行標準不一加大了外界在政策把握方面的難度， 不利于引導(dǎo)客戶及時 行使保護個人信息安全的權(quán)利， 在銀行內(nèi)部約束機制引發(fā)客戶投訴與 糾紛，加大了銀行經(jīng)營管理中的操作風(fēng)險和聲譽風(fēng)險。3. 制度機制不健全。 一是系統(tǒng)性的客戶信息保護制度缺失。 調(diào)研 發(fā)現(xiàn)，多數(shù)基層銀行

8、業(yè)金融機構(gòu)認為保護客戶信息的關(guān)鍵在于上級行 開發(fā)、構(gòu)建信息科技安全技術(shù)保障體系， 主要防范來自于外部的攻擊， 而忽視內(nèi)部員工行為的規(guī)范管理，缺乏系統(tǒng)性的客戶信息保護制度。 二是事前監(jiān)督制衡機制缺失。 如中國銀行 個人客戶信息保密管理辦 法第 29 條規(guī)定了銀行內(nèi)部查詢客戶信息審核批準制度，但并未把 審批要求固化到電子化信息系統(tǒng)之中，缺乏流程和環(huán)節(jié)的剛性控制， 員工可以通過業(yè)務(wù)信息系統(tǒng)輕易查詢客戶信息， 導(dǎo)致內(nèi)部查詢審批制 度形同虛設(shè)。 三是事后責(zé)任追究機制缺失。 多數(shù)銀行機構(gòu)注重強調(diào)員 工的保密義務(wù)，而問責(zé)機制不明確，責(zé)任追究不到位。4. 人員配備不合理。銀行業(yè)信息技術(shù)管理部、公司業(yè)務(wù)部、電子

9、 銀行部、個人金融部、國際業(yè)務(wù)部等部門，都掌握了客戶的大量敏感 信息，但重要崗位均有相當數(shù)量的非正式員工，其中前臺柜員、客戶 經(jīng)理崗位中占均較高。由于非正式員工對單位的歸屬感和認同感不 強，流動性較大，易誘發(fā)道德風(fēng)險和操作風(fēng)險，違規(guī)使用、泄露客戶 信息，對銀行造成損失，影響聲譽形象和社會信心。5. 合作管理不規(guī)范。 為提高市場份額、 解決人力資源配備不足等問題，銀行機構(gòu)與保險公司、房地產(chǎn)開發(fā)商、汽車經(jīng)銷商、擔(dān)保 公司、專業(yè)外包公司等服務(wù)機構(gòu)的合作日益增多。 但是多數(shù)銀行機構(gòu) 沒有建立并落實對第三方合作機構(gòu)的制約和擔(dān)責(zé)制度， 合同中為客戶 保密條款約束力較弱， 對第三方機構(gòu)人員行為和客戶信息保護

10、的控制 缺乏剛性。三、完善我國銀行客戶個人信息保護機制的建議 在信息化時代，客戶個人信息泄露可能給銀行帶來法律風(fēng)險和聲 譽風(fēng)險，對銀行客戶個人信息的保護應(yīng)引起足夠的重視， 通過健全法 律法規(guī)，督促銀行業(yè)加強內(nèi)部管理等方式， 進一步完善銀行客戶個人 信息保護機制。（一）完善制度機制。在我國個人信息保護法出臺之前，可以根 據(jù)民法通則、商業(yè)銀行法等法律中有關(guān)公民信息保護的原則性 規(guī)定，由監(jiān)管部門先行制定銀行客戶個人信息保護的部門規(guī)章， 對銀 行客戶個人信息的采集、 使用、保密及保密例外等環(huán)節(jié)作出詳細規(guī)定。 主要從三個方面考慮： 一是銀行業(yè)機構(gòu)對收集到的各類客戶個人信息 負有保密的義務(wù)， 除非經(jīng)過客戶

11、本人授權(quán)或法律許可， 銀行業(yè)機構(gòu)無 權(quán)對外公布、 泄露客戶的個人信息， 也不能將這些信息用于謀取商業(yè) 或其他方面的利益。 二是依照有關(guān)法律規(guī)定， 為了維護公共利益或公 共安全，有關(guān)安全、 司法或稅務(wù)部門可以依照法定程序查詢其職能范 圍內(nèi)的銀行客戶個人信息。三是規(guī)范對泄露客戶個人信息的處罰。（二）完善內(nèi)控機制。銀行業(yè)機構(gòu)盡快完善客戶個人信息管理的 規(guī)章制度，對客戶個人信息的采集、 使用、存儲等方面做出明確規(guī)定， 有效保護客戶個人信息安全； 建立健全信息安全內(nèi)控機制， 制定信息 安全控制流程， 明確各崗位人員的保密和管理職責(zé)權(quán)限； 對紙質(zhì)和電 子信息實行集中統(tǒng)一管理， 對信息查閱、 下載、拷貝實行

12、嚴格的審批、 登記和權(quán)限管理；強化監(jiān)督問責(zé)，定期對信息安全狀況進行評估、審 計和檢查監(jiān)督。 同時，銀行業(yè)金融機構(gòu)要對客戶信息進行分類管理并 確定密級，設(shè)立保密信息專員，完善適合客戶信息需要的制度流程， 并努力實現(xiàn) IT 系統(tǒng)升級，提升過程監(jiān)督的智能化控制能力；內(nèi)審部 門要對第三方合作機構(gòu)開展定期不定期檢查， 對于客戶信息保護不力 的機構(gòu)應(yīng)及時終止合作，并追究相應(yīng)責(zé)任。（三）完善保密機制。銀行業(yè)機構(gòu)加強員工保密教育，提高員工 素養(yǎng)，增強員工法律意識，嚴格遵守“為客戶保密”的原則；落實責(zé) 任制，與員工簽訂安全保密責(zé)任書， 與離崗人員簽訂安全保密承諾書； 加強對保密要害部門、 要害部位和涉密工作人員的管理， 加強對業(yè)務(wù) 外包單位及合作單位工作人員管理，及時消除風(fēng)險隱患。（四）完善防控機制。隨著信息技術(shù)和網(wǎng)絡(luò)銀行的發(fā)展，銀行易 遭受信息