完善銀行客戶個人信息保護機制的思考

1、完善銀行客戶個人信息保護機制的思考一、我國銀行客戶個人信息保護的法律法規(guī)建設情況 （一）國家法律法規(guī)建設情況 我國民法通則、刑法和商業(yè)銀行法均對銀行客戶個人 信息保護作出規(guī)定。民法通則 第 99101 條分別對公民的姓名權、 肖像權和名譽權作出保護規(guī)定。 刑法修正案（七）將侵犯公民個人 信息的行為納入刑事犯罪的范疇， 規(guī)定了出售、 非法提供公民個人信 息罪及非法獲取公民個人信息罪兩個罪名。 商業(yè)銀行法 第 29 條則 規(guī)定：“商業(yè)銀行辦理個人儲蓄存款業(yè)務，應當遵循存款自愿、取款 自由、存款有息、為存款人保密的原則” ?！盀榇婵钊吮Ｃ堋笔侵干蹄y 行業(yè)對存款人的姓名、住址、存款金額、儲蓄種類、存款

2、次數(shù)、提取 情況、印鑒以及其他各種情況都要嚴格的保守秘密，不得披露。對個 人儲蓄銀存款 ，商業(yè)銀行有權拒絕任何單位或者個人查詢、凍結、 扣劃，但法律另有規(guī)定的除外。 這一原則是保護存款人合法權益的最 基本要求，是商業(yè)銀行在辦理個人存款業(yè)務時必須遵循的原則。（二）部門規(guī)章建設情況人民銀行、 銀監(jiān)會等部門在其規(guī)章中針對電子銀行、 反洗錢及信 用卡業(yè)務等方面對銀行客戶個人信息保護作出規(guī)定。 如電子銀行業(yè) 務管理辦法第 52 條規(guī)定：“金融機構應采取適當措施，保證電子銀 行業(yè)務符合相關法律法規(guī)對客戶信息和隱私保護的規(guī)定” ；金融機構 客戶身份識別和客戶身份資料及交易記錄保存管理辦法第 28 條規(guī) 定：

3、“金融機構應采取必要管理措施和技術措施，防止客戶身份資料 和交易記錄的缺失、損毀，防止泄漏客戶身份信息和交易信息” ；銀 監(jiān)會商業(yè)銀行信息科技風險管理指引 第四章以專章形式規(guī)定了信 息安全，對信息安全管理職能、 信息安全級別劃分和信息安全措施等 作出具體規(guī)定。 人民銀行 關于銀行業(yè)金融機構做好個人金融信息保 護工作的通知第 2 條規(guī)定：“銀行業(yè)金融機構在收集、保存、使用、 對外提供個人金融信息時， 應當嚴格遵守法律規(guī)定， 采取有效措施加 強對個人金融信息保護，確保信息安全，防止信息泄露和濫用” ；商 業(yè)銀行信用卡業(yè)務監(jiān)督管理辦法第 3 條規(guī)定：“商業(yè)銀行經(jīng)營信用 卡業(yè)務（整理提供），應當依法保

4、護客戶合法權益和相關信息安全。 未經(jīng)客戶授權，不得將相關信息用于本行信用卡業(yè)務以外的其他用 途”。二、我國銀行客戶個人信息保護存在的主要問題（一）客戶個人信息保護法律法規(guī)缺失1. 行政法責任缺失。我國尚未制訂專門的個人信息保護法 ， 對個人信息的保護主要依據(jù)民法通則中對個人姓名權、肖像權和 名譽權的規(guī)定， 個人信息主體的權利難以得到全面明確和保護。 從我 國現(xiàn)有法規(guī)來看，對侵犯公民個人信息的行為， 民法通則規(guī)定了 損害賠償?shù)拿袷仑熑危?刑法規(guī)定了出售、非法提供及非法獲取公 民個人信息應承擔的刑事責任， 而在行政法層面， 對于侵犯銀行客戶 個人信息但尚未構成犯罪的行為，銀行業(yè)監(jiān)管法規(guī)沒有適用的罰

5、則， 監(jiān)管部門也缺乏對銀行違規(guī)泄露客戶信息的罰則。2. 例外規(guī)定缺失。銀行對客戶個人信息的保密與保密例外是銀行保密制度中并行的兩大部分， 遺憾的是我國法律法規(guī)在規(guī)定銀行負有 保密義務的同時， 卻沒有系統(tǒng)地規(guī)定保密例外的情形， 而僅是為了執(zhí) 法與司法的方便，在民事訴訟法 、刑事訴訟法、稅收征收管理 法等法律法規(guī)中，分別賦予人民法院、人民檢察院、公安機關、稅 務機關等機構在特定情形下查詢、凍結和劃撥銀行客戶資金的權力。 現(xiàn)有法律法規(guī)沒有將基于當事人授權、 社會征信及社會公共利益而進 行的信息公開等列為銀行保密義務的例外， 不利于對銀行業(yè)和社會公 眾合法權益的保護。3. 監(jiān)管法規(guī)缺失。 一是規(guī)定較為

6、零散。 現(xiàn)行銀行業(yè)監(jiān)管法規(guī)僅分 別針對儲蓄存款業(yè)務、 電子銀行業(yè)務、 信用卡業(yè)務等領域的客戶個人 信息保護作出個別規(guī)定， 無法覆蓋銀行業(yè)提供的各類業(yè)務全流程。 二 是針對性不強。 如金融機構客戶身份識別和客戶身份資料及交易記 錄保存管理辦法 雖然對客戶信息安全管理做了一些規(guī)定， 但立法目 的是加強反洗錢， 不是針對客戶個人信息保護。 三是原則性規(guī)定較多， 缺乏具體條款，可操作性不強。（二）銀行客戶個人信息保護不力的表現(xiàn)1. 管理架構不健全。 目前，部分基層銀行業(yè)金融機構的管理重點 更多的仍傾向于存貸款規(guī)模、 資產(chǎn)質量、 利潤等業(yè)績指標和信用風險 等常規(guī)風險管控，而未將客戶信息保護納入銀行整體風

7、險管理框架 中。客戶信息多頭管理，未成立專門的客戶信息風險管理領導機構， 缺乏有效的制約機制， 員工風險意識較為薄弱， 基層銀行業(yè)信息管理 漏洞較為突出。2. 尺度標準不一致。由于對客戶信息保護缺乏統(tǒng)一的行業(yè)標準， 銀行業(yè)間執(zhí)行情況參差不齊，主要表現(xiàn)在客戶信息保護的側重點不 同、客戶信息使用管理制度不一致等方面。 對客戶信息資料處理的執(zhí) 行標準不一加大了外界在政策把握方面的難度， 不利于引導客戶及時 行使保護個人信息安全的權利， 在銀行內部約束機制引發(fā)客戶投訴與 糾紛，加大了銀行經(jīng)營管理中的操作風險和聲譽風險。3. 制度機制不健全。 一是系統(tǒng)性的客戶信息保護制度缺失。 調研 發(fā)現(xiàn)，多數(shù)基層銀行

8、業(yè)金融機構認為保護客戶信息的關鍵在于上級行 開發(fā)、構建信息科技安全技術保障體系， 主要防范來自于外部的攻擊， 而忽視內部員工行為的規(guī)范管理，缺乏系統(tǒng)性的客戶信息保護制度。 二是事前監(jiān)督制衡機制缺失。 如中國銀行 個人客戶信息保密管理辦 法第 29 條規(guī)定了銀行內部查詢客戶信息審核批準制度，但并未把 審批要求固化到電子化信息系統(tǒng)之中，缺乏流程和環(huán)節(jié)的剛性控制， 員工可以通過業(yè)務信息系統(tǒng)輕易查詢客戶信息， 導致內部查詢審批制 度形同虛設。 三是事后責任追究機制缺失。 多數(shù)銀行機構注重強調員 工的保密義務，而問責機制不明確，責任追究不到位。4. 人員配備不合理。銀行業(yè)信息技術管理部、公司業(yè)務部、電子

9、 銀行部、個人金融部、國際業(yè)務部等部門，都掌握了客戶的大量敏感 信息，但重要崗位均有相當數(shù)量的非正式員工，其中前臺柜員、客戶 經(jīng)理崗位中占均較高。由于非正式員工對單位的歸屬感和認同感不 強，流動性較大，易誘發(fā)道德風險和操作風險，違規(guī)使用、泄露客戶 信息，對銀行造成損失，影響聲譽形象和社會信心。5. 合作管理不規(guī)范。 為提高市場份額、 解決人力資源配備不足等問題，銀行機構與保險公司、房地產(chǎn)開發(fā)商、汽車經(jīng)銷商、擔保 公司、專業(yè)外包公司等服務機構的合作日益增多。 但是多數(shù)銀行機構 沒有建立并落實對第三方合作機構的制約和擔責制度， 合同中為客戶 保密條款約束力較弱， 對第三方機構人員行為和客戶信息保護

10、的控制 缺乏剛性。三、完善我國銀行客戶個人信息保護機制的建議 在信息化時代，客戶個人信息泄露可能給銀行帶來法律風險和聲 譽風險，對銀行客戶個人信息的保護應引起足夠的重視， 通過健全法 律法規(guī)，督促銀行業(yè)加強內部管理等方式， 進一步完善銀行客戶個人 信息保護機制。（一）完善制度機制。在我國個人信息保護法出臺之前，可以根 據(jù)民法通則、商業(yè)銀行法等法律中有關公民信息保護的原則性 規(guī)定，由監(jiān)管部門先行制定銀行客戶個人信息保護的部門規(guī)章， 對銀 行客戶個人信息的采集、 使用、保密及保密例外等環(huán)節(jié)作出詳細規(guī)定。 主要從三個方面考慮： 一是銀行業(yè)機構對收集到的各類客戶個人信息 負有保密的義務， 除非經(jīng)過客戶

11、本人授權或法律許可， 銀行業(yè)機構無 權對外公布、 泄露客戶的個人信息， 也不能將這些信息用于謀取商業(yè) 或其他方面的利益。 二是依照有關法律規(guī)定， 為了維護公共利益或公 共安全，有關安全、 司法或稅務部門可以依照法定程序查詢其職能范 圍內的銀行客戶個人信息。三是規(guī)范對泄露客戶個人信息的處罰。（二）完善內控機制。銀行業(yè)機構盡快完善客戶個人信息管理的 規(guī)章制度，對客戶個人信息的采集、 使用、存儲等方面做出明確規(guī)定， 有效保護客戶個人信息安全； 建立健全信息安全內控機制， 制定信息 安全控制流程， 明確各崗位人員的保密和管理職責權限； 對紙質和電 子信息實行集中統(tǒng)一管理， 對信息查閱、 下載、拷貝實行

12、嚴格的審批、 登記和權限管理；強化監(jiān)督問責，定期對信息安全狀況進行評估、審 計和檢查監(jiān)督。 同時，銀行業(yè)金融機構要對客戶信息進行分類管理并 確定密級，設立保密信息專員，完善適合客戶信息需要的制度流程， 并努力實現(xiàn) IT 系統(tǒng)升級，提升過程監(jiān)督的智能化控制能力；內審部 門要對第三方合作機構開展定期不定期檢查， 對于客戶信息保護不力 的機構應及時終止合作，并追究相應責任。（三）完善保密機制。銀行業(yè)機構加強員工保密教育，提高員工 素養(yǎng)，增強員工法律意識，嚴格遵守“為客戶保密”的原則；落實責 任制，與員工簽訂安全保密責任書， 與離崗人員簽訂安全保密承諾書； 加強對保密要害部門、 要害部位和涉密工作人員的管理， 加強對業(yè)務 外包單位及合作單位工作人員管理，及時消除風險隱患。（四）完善防控機制。隨著信息技術和網(wǎng)絡銀行的發(fā)展，銀行易 遭受信息