完善銀行客戶個(gè)人信息保護(hù)機(jī)制的思考

1、完善銀行客戶個(gè)人信息保護(hù)機(jī)制的思考一、我國銀行客戶個(gè)人信息保護(hù)的法律法規(guī)建設(shè)情況（一）國家法律法規(guī)建設(shè)情況我國民法通則、刑法和商業(yè)銀行法均對(duì)銀行客戶個(gè)人信息 保護(hù)作出規(guī)定。民法通則第 99 101 條分別對(duì)公民的姓名權(quán)、肖像權(quán)和名 譽(yù)權(quán)作出保護(hù)規(guī)定。 刑法修正案（七）將侵犯公民個(gè)人信息的行為納入刑事 犯罪的范疇， 規(guī)定了出售、非法提供公民個(gè)人信息罪及非法獲取公民個(gè)人信息罪 兩個(gè)罪名。 商業(yè)銀行法第 29 條則規(guī)定：“商業(yè)銀行辦理個(gè)人儲(chǔ)蓄存款業(yè)務(wù)， 應(yīng)當(dāng)遵循存款自愿、取款自由、存款有息、為存款人保密的原則”。 “為存款人 保密”是指商銀行業(yè)對(duì)存款人的姓名、住址、存款金額、儲(chǔ)蓄種類、存款次數(shù)、 提

2、取情況、 印鑒以及其他各種情況都要嚴(yán)格的保守秘密， 不得披露。對(duì)個(gè)人儲(chǔ)蓄 銀存款 ，商業(yè)銀行有權(quán)拒絕任何單位或者個(gè)人查詢、凍結(jié)、扣劃，但法律另有 規(guī)定的除外。 這一原則是保護(hù)存款人合法權(quán)益的最基本要求， 是商業(yè)銀行在辦理 個(gè)人存款業(yè)務(wù)時(shí)必須遵循的原則。（二）部門規(guī)章建設(shè)情況人民銀行、銀監(jiān)會(huì)等部門在其規(guī)章中針對(duì)電子銀行、 反洗錢及信用卡業(yè) 務(wù)等方面對(duì)銀行客戶個(gè)人信息保護(hù)作出規(guī)定。如電子銀行業(yè)務(wù)管理辦法第 52 條規(guī)定：“金融機(jī)構(gòu)應(yīng)采取適當(dāng)措施，保證電子銀行業(yè)務(wù)符合相關(guān)法律法規(guī) 對(duì)客戶信息和隱私保護(hù)的規(guī)定” ；金融機(jī)構(gòu)客戶身份識(shí)別和客戶身份資料及交 易記錄保存管理辦法第 28 條規(guī)定：“金融機(jī)構(gòu)應(yīng)

3、采取必要管理措施和技術(shù)措 施，防止客戶身份資料和交易記錄的缺失、 損毀， 防止泄漏客戶身份信息和交易 信息”；銀監(jiān)會(huì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第四章以專章形式規(guī)定了信 息安全，對(duì)信息安全管理職能、 信息安全級(jí)別劃分和信息安全措施等作出具體規(guī) 定。人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知第 2 條規(guī)定： “銀行業(yè)金融機(jī)構(gòu)在收集、保存、使用、對(duì)外提供個(gè)人金融信息時(shí)，應(yīng) 當(dāng)嚴(yán)格遵守法律規(guī)定，采取有效措施加強(qiáng)對(duì)個(gè)人金融信息保護(hù)，確保信息安全， 防止信息泄露和濫用” ；商業(yè)銀行信用卡業(yè)務(wù)監(jiān)督管理辦法 第3 條規(guī)定：“商 業(yè)銀行經(jīng)營信用卡業(yè)務(wù) （整理提供） ，應(yīng)當(dāng)依法保護(hù)客戶合法權(quán)益和相

4、關(guān)信息安 全。未經(jīng)客戶授權(quán)，不得將相關(guān)信息用于本行信用卡業(yè)務(wù)以外的其他用途”。二、我國銀行客戶個(gè)人信息保護(hù)存在的主要問題 （一）客戶個(gè)人信息保護(hù)法律法規(guī)缺失1. 行政法責(zé)任缺失。我國尚未制訂專門的個(gè)人信息保護(hù)法，對(duì)個(gè)人 信息的保護(hù)主要依據(jù)民法通則中對(duì)個(gè)人姓名權(quán)、肖像權(quán)和名譽(yù)權(quán)的規(guī)定，個(gè) 人信息主體的權(quán)利難以得到全面明確和保護(hù)。 從我國現(xiàn)有法規(guī)來看， 對(duì)侵犯公民 個(gè)人信息的行為， 民法通則規(guī)定了損害賠償?shù)拿袷仑?zé)任， 刑法規(guī)定了出 售、非法提供及非法獲取公民個(gè)人信息應(yīng)承擔(dān)的刑事責(zé)任， 而在行政法層面， 對(duì) 于侵犯銀行客戶個(gè)人信息但尚未構(gòu)成犯罪的行為， 銀行業(yè)監(jiān)管法規(guī)沒有適用的罰 則，監(jiān)管部門也缺乏

5、對(duì)銀行違規(guī)泄露客戶信息的罰則。2. 例外規(guī)定缺失。 銀行對(duì)客戶個(gè)人信息的保密與保密例外是銀行保密制 度中并行的兩大部分，遺憾的是我國法律法規(guī)在規(guī)定銀行負(fù)有保密義務(wù)的同時(shí)， 卻沒有系統(tǒng)地規(guī)定保密例外的情形， 而僅是為了執(zhí)法與司法的方便， 在民事訴 訟法、刑事訴訟法、稅收征收管理法等法律法規(guī)中，分別賦予人民法 院、人民檢察院、公安機(jī)關(guān)、稅務(wù)機(jī)關(guān)等機(jī)構(gòu)在特定情形下查詢、凍結(jié)和劃撥銀 行客戶資金的權(quán)力。 現(xiàn)有法律法規(guī)沒有將基于當(dāng)事人授權(quán)、 社會(huì)征信及社會(huì)公共 利益而進(jìn)行的信息公開等列為銀行保密義務(wù)的例外， 不利于對(duì)銀行業(yè)和社會(huì)公眾 合法權(quán)益的保護(hù)。3. 監(jiān)管法規(guī)缺失。一是規(guī)定較為零散?，F(xiàn)行銀行業(yè)監(jiān)管法

6、規(guī)僅分別針對(duì) 儲(chǔ)蓄存款業(yè)務(wù)、 電子銀行業(yè)務(wù)、 信用卡業(yè)務(wù)等領(lǐng)域的客戶個(gè)人信息保護(hù)作出個(gè)別 規(guī)定，無法覆蓋銀行業(yè)提供的各類業(yè)務(wù)全流程。二是針對(duì)性不強(qiáng)。如金融機(jī)構(gòu) 客戶身份識(shí)別和客戶身份資料及交易記錄保存管理辦法 雖然對(duì)客戶信息安全管 理做了一些規(guī)定， 但立法目的是加強(qiáng)反洗錢， 不是針對(duì)客戶個(gè)人信息保護(hù)。 三是 原則性規(guī)定較多，缺乏具體條款，可操作性不強(qiáng)。（二）銀行客戶個(gè)人信息保護(hù)不力的表現(xiàn)1. 管理架構(gòu)不健全。目前，部分基層銀行業(yè)金融機(jī)構(gòu)的管理重點(diǎn)更多的 仍傾向于存貸款規(guī)模、資產(chǎn)質(zhì)量、利潤等業(yè)績指標(biāo)和信用風(fēng)險(xiǎn)等常規(guī)風(fēng)險(xiǎn)管控， 而未將客戶信息保護(hù)納入銀行整體風(fēng)險(xiǎn)管理框架中。 客戶信息多頭管理， 未

7、成立 專門的客戶信息風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)機(jī)構(gòu)， 缺乏有效的制約機(jī)制， 員工風(fēng)險(xiǎn)意識(shí)較為薄 弱，基層銀行業(yè)信息管理漏洞較為突出。2. 尺度標(biāo)準(zhǔn)不一致。由于對(duì)客戶信息保護(hù)缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，銀行業(yè) 間執(zhí)行情況參差不齊， 主要表現(xiàn)在客戶信息保護(hù)的側(cè)重點(diǎn)不同、 客戶信息使用管 理制度不一致等方面。 對(duì)客戶信息資料處理的執(zhí)行標(biāo)準(zhǔn)不一加大了外界在政策把 握方面的難度， 不利于引導(dǎo)客戶及時(shí)行使保護(hù)個(gè)人信息安全的權(quán)利， 在銀行內(nèi)部 約束機(jī)制引發(fā)客戶投訴與糾紛，加大了銀行經(jīng)營管理中的操作風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)。3. 制度機(jī)制不健全。一是系統(tǒng)性的客戶信息保護(hù)制度缺失。調(diào)研發(fā)現(xiàn)，多數(shù)基層銀行業(yè)金融機(jī)構(gòu)認(rèn)為保護(hù)客戶信息的關(guān)鍵在于上級(jí)

8、行開發(fā)、 構(gòu)建信息科 技安全技術(shù)保障體系， 主要防范來自于外部的攻擊， 而忽視內(nèi)部員工行為的規(guī)范 管理，缺乏系統(tǒng)性的客戶信息保護(hù)制度。 二是事前監(jiān)督制衡機(jī)制缺失。 如中國銀 行個(gè)人客戶信息保密管理辦法第 29 條規(guī)定了銀行內(nèi)部查詢客戶信息審核批 準(zhǔn)制度，但并未把審批要求固化到電子化信息系統(tǒng)之中， 缺乏流程和環(huán)節(jié)的剛性 控制，員工可以通過業(yè)務(wù)信息系統(tǒng)輕易查詢客戶信息， 導(dǎo)致內(nèi)部查詢審批制度形 同虛設(shè)。三是事后責(zé)任追究機(jī)制缺失。多數(shù)銀行機(jī)構(gòu)注重強(qiáng)調(diào)員工的保密義務(wù)， 而問責(zé)機(jī)制不明確，責(zé)任追究不到位。4. 人員配備不合理。 銀行業(yè)信息技術(shù)管理部、 公司業(yè)務(wù)部、 電子銀行部、 個(gè)人金融部、 國際業(yè)務(wù)部

9、等部門， 都掌握了客戶的大量敏感信息， 但重要崗位均 有相當(dāng)數(shù)量的非正式員工， 其中前臺(tái)柜員、 客戶經(jīng)理崗位中占均較高。 由于非正 式員工對(duì)單位的歸屬感和認(rèn)同感不強(qiáng)， 流動(dòng)性較大，易誘發(fā)道德風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)， 違規(guī)使用、泄露客戶信息，對(duì)銀行造成損失，影響聲譽(yù)形象和社會(huì)信心。5. 合作管理不規(guī)范。為提高市場份額、解決人力資源配備不足等問題， 銀行機(jī)構(gòu)與保險(xiǎn)公司、房地產(chǎn)開發(fā)商、汽車經(jīng)銷商、擔(dān)保公司、專業(yè)外包公司等 服務(wù)機(jī)構(gòu)的合作日益增多。 但是多數(shù)銀行機(jī)構(gòu)沒有建立并落實(shí)對(duì)第三方合作機(jī)構(gòu) 的制約和擔(dān)責(zé)制度， 合同中為客戶保密條款約束力較弱， 對(duì)第三方機(jī)構(gòu)人員行為 和客戶信息保護(hù)的控制缺乏剛性。三、完善

10、我國銀行客戶個(gè)人信息保護(hù)機(jī)制的建議 在信息化時(shí)代，客戶個(gè)人信息泄露可能給銀行帶來法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng) 險(xiǎn)，對(duì)銀行客戶個(gè)人信息的保護(hù)應(yīng)引起足夠的重視， 通過健全法律法規(guī)， 督促銀 行業(yè)加強(qiáng)內(nèi)部管理等方式，進(jìn)一步完善銀行客戶個(gè)人信息保護(hù)機(jī)制。（一）完善制度機(jī)制。在我國個(gè)人信息保護(hù)法出臺(tái)之前，可以根據(jù)民 法通則、商業(yè)銀行法等法律中有關(guān)公民信息保護(hù)的原則性規(guī)定，由監(jiān)管部 門先行制定銀行客戶個(gè)人信息保護(hù)的部門規(guī)章， 對(duì)銀行客戶個(gè)人信息的采集、 使 用、保密及保密例外等環(huán)節(jié)作出詳細(xì)規(guī)定。 主要從三個(gè)方面考慮： 一是銀行業(yè)機(jī) 構(gòu)對(duì)收集到的各類客戶個(gè)人信息負(fù)有保密的義務(wù)， 除非經(jīng)過客戶本人授權(quán)或法律 許可，銀行業(yè)

11、機(jī)構(gòu)無權(quán)對(duì)外公布、 泄露客戶的個(gè)人信息， 也不能將這些信息用于 謀取商業(yè)或其他方面的利益。 二是依照有關(guān)法律規(guī)定， 為了維護(hù)公共利益或公共 安全，有關(guān)安全、司法或稅務(wù)部門可以依照法定程序查詢其職能范圍內(nèi)的銀行客 戶個(gè)人信息。三是規(guī)范對(duì)泄露客戶個(gè)人信息的處罰。（二） 完善內(nèi)控機(jī)制。 銀行業(yè)機(jī)構(gòu)盡快完善客戶個(gè)人信息管理的規(guī)章制 度，對(duì)客戶個(gè)人信息的采集、使用、存儲(chǔ)等方面做出明確規(guī)定，有效保護(hù)客戶個(gè) 人信息安全； 建立健全信息安全內(nèi)控機(jī)制， 制定信息安全控制流程， 明確各崗位 人員的保密和管理職責(zé)權(quán)限； 對(duì)紙質(zhì)和電子信息實(shí)行集中統(tǒng)一管理， 對(duì)信息查閱、 下載、拷貝實(shí)行嚴(yán)格的審批、登記和權(quán)限管理；強(qiáng)化

12、監(jiān)督問責(zé)，定期對(duì)信息安全 狀況進(jìn)行評(píng)估、 審計(jì)和檢查監(jiān)督。 同時(shí)，銀行業(yè)金融機(jī)構(gòu)要對(duì)客戶信息進(jìn)行分類 管理并確定密級(jí)， 設(shè)立保密信息專員， 完善適合客戶信息需要的制度流程， 并努 力實(shí)現(xiàn) IT 系統(tǒng)升級(jí)，提升過程監(jiān)督的智能化控制能力；內(nèi)審部門要對(duì)第三方合 作機(jī)構(gòu)開展定期不定期檢查， 對(duì)于客戶信息保護(hù)不力的機(jī)構(gòu)應(yīng)及時(shí)終止合作， 并 追究相應(yīng)責(zé)任。（三）完善保密機(jī)制。銀行業(yè)機(jī)構(gòu)加強(qiáng)員工保密教育，提高員工素養(yǎng)， 增強(qiáng)員工法律意識(shí)，嚴(yán)格遵守“為客戶保密”的原則；落實(shí)責(zé)任制，與員工簽訂 安全保密責(zé)任書， 與離崗人員簽訂安全保密承諾書； 加強(qiáng)對(duì)保密要害部門、 要害 部位和涉密工作人員的管理，加強(qiáng)對(duì)業(yè)務(wù)外包單位及合作單位工作人員