完善銀行客戶個人信息保護機制的思考

1、完善銀行客戶個人信息保護機制的思考一、我國銀行客戶個人信息保護的法律法規(guī)建設(shè)情況（一）國家法律法規(guī)建設(shè)情況我國民法通則、刑法和商業(yè)銀行法均對銀行客戶個人信息 保護作出規(guī)定。民法通則第 99 101 條分別對公民的姓名權(quán)、肖像權(quán)和名 譽權(quán)作出保護規(guī)定。 刑法修正案（七）將侵犯公民個人信息的行為納入刑事 犯罪的范疇， 規(guī)定了出售、非法提供公民個人信息罪及非法獲取公民個人信息罪 兩個罪名。 商業(yè)銀行法第 29 條則規(guī)定：“商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)， 應(yīng)當(dāng)遵循存款自愿、取款自由、存款有息、為存款人保密的原則”。 “為存款人 保密”是指商銀行業(yè)對存款人的姓名、住址、存款金額、儲蓄種類、存款次數(shù)、 提

2、取情況、 印鑒以及其他各種情況都要嚴(yán)格的保守秘密， 不得披露。對個人儲蓄 銀存款 ，商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃，但法律另有 規(guī)定的除外。 這一原則是保護存款人合法權(quán)益的最基本要求， 是商業(yè)銀行在辦理 個人存款業(yè)務(wù)時必須遵循的原則。（二）部門規(guī)章建設(shè)情況人民銀行、銀監(jiān)會等部門在其規(guī)章中針對電子銀行、 反洗錢及信用卡業(yè) 務(wù)等方面對銀行客戶個人信息保護作出規(guī)定。如電子銀行業(yè)務(wù)管理辦法第 52 條規(guī)定：“金融機構(gòu)應(yīng)采取適當(dāng)措施，保證電子銀行業(yè)務(wù)符合相關(guān)法律法規(guī) 對客戶信息和隱私保護的規(guī)定” ；金融機構(gòu)客戶身份識別和客戶身份資料及交 易記錄保存管理辦法第 28 條規(guī)定：“金融機構(gòu)應(yīng)

3、采取必要管理措施和技術(shù)措 施，防止客戶身份資料和交易記錄的缺失、 損毀， 防止泄漏客戶身份信息和交易 信息”；銀監(jiān)會商業(yè)銀行信息科技風(fēng)險管理指引第四章以專章形式規(guī)定了信 息安全，對信息安全管理職能、 信息安全級別劃分和信息安全措施等作出具體規(guī) 定。人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知第 2 條規(guī)定： “銀行業(yè)金融機構(gòu)在收集、保存、使用、對外提供個人金融信息時，應(yīng) 當(dāng)嚴(yán)格遵守法律規(guī)定，采取有效措施加強對個人金融信息保護，確保信息安全， 防止信息泄露和濫用” ；商業(yè)銀行信用卡業(yè)務(wù)監(jiān)督管理辦法 第3 條規(guī)定：“商 業(yè)銀行經(jīng)營信用卡業(yè)務(wù) （整理提供） ，應(yīng)當(dāng)依法保護客戶合法權(quán)益和相

4、關(guān)信息安 全。未經(jīng)客戶授權(quán)，不得將相關(guān)信息用于本行信用卡業(yè)務(wù)以外的其他用途”。二、我國銀行客戶個人信息保護存在的主要問題 （一）客戶個人信息保護法律法規(guī)缺失1. 行政法責(zé)任缺失。我國尚未制訂專門的個人信息保護法，對個人 信息的保護主要依據(jù)民法通則中對個人姓名權(quán)、肖像權(quán)和名譽權(quán)的規(guī)定，個 人信息主體的權(quán)利難以得到全面明確和保護。 從我國現(xiàn)有法規(guī)來看， 對侵犯公民 個人信息的行為， 民法通則規(guī)定了損害賠償?shù)拿袷仑?zé)任， 刑法規(guī)定了出 售、非法提供及非法獲取公民個人信息應(yīng)承擔(dān)的刑事責(zé)任， 而在行政法層面， 對 于侵犯銀行客戶個人信息但尚未構(gòu)成犯罪的行為， 銀行業(yè)監(jiān)管法規(guī)沒有適用的罰 則，監(jiān)管部門也缺乏

5、對銀行違規(guī)泄露客戶信息的罰則。2. 例外規(guī)定缺失。 銀行對客戶個人信息的保密與保密例外是銀行保密制 度中并行的兩大部分，遺憾的是我國法律法規(guī)在規(guī)定銀行負(fù)有保密義務(wù)的同時， 卻沒有系統(tǒng)地規(guī)定保密例外的情形， 而僅是為了執(zhí)法與司法的方便， 在民事訴 訟法、刑事訴訟法、稅收征收管理法等法律法規(guī)中，分別賦予人民法 院、人民檢察院、公安機關(guān)、稅務(wù)機關(guān)等機構(gòu)在特定情形下查詢、凍結(jié)和劃撥銀 行客戶資金的權(quán)力。 現(xiàn)有法律法規(guī)沒有將基于當(dāng)事人授權(quán)、 社會征信及社會公共 利益而進行的信息公開等列為銀行保密義務(wù)的例外， 不利于對銀行業(yè)和社會公眾 合法權(quán)益的保護。3. 監(jiān)管法規(guī)缺失。一是規(guī)定較為零散?，F(xiàn)行銀行業(yè)監(jiān)管法

6、規(guī)僅分別針對 儲蓄存款業(yè)務(wù)、 電子銀行業(yè)務(wù)、 信用卡業(yè)務(wù)等領(lǐng)域的客戶個人信息保護作出個別 規(guī)定，無法覆蓋銀行業(yè)提供的各類業(yè)務(wù)全流程。二是針對性不強。如金融機構(gòu) 客戶身份識別和客戶身份資料及交易記錄保存管理辦法 雖然對客戶信息安全管 理做了一些規(guī)定， 但立法目的是加強反洗錢， 不是針對客戶個人信息保護。 三是 原則性規(guī)定較多，缺乏具體條款，可操作性不強。（二）銀行客戶個人信息保護不力的表現(xiàn)1. 管理架構(gòu)不健全。目前，部分基層銀行業(yè)金融機構(gòu)的管理重點更多的 仍傾向于存貸款規(guī)模、資產(chǎn)質(zhì)量、利潤等業(yè)績指標(biāo)和信用風(fēng)險等常規(guī)風(fēng)險管控， 而未將客戶信息保護納入銀行整體風(fēng)險管理框架中。 客戶信息多頭管理， 未

7、成立 專門的客戶信息風(fēng)險管理領(lǐng)導(dǎo)機構(gòu)， 缺乏有效的制約機制， 員工風(fēng)險意識較為薄 弱，基層銀行業(yè)信息管理漏洞較為突出。2. 尺度標(biāo)準(zhǔn)不一致。由于對客戶信息保護缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，銀行業(yè) 間執(zhí)行情況參差不齊， 主要表現(xiàn)在客戶信息保護的側(cè)重點不同、 客戶信息使用管 理制度不一致等方面。 對客戶信息資料處理的執(zhí)行標(biāo)準(zhǔn)不一加大了外界在政策把 握方面的難度， 不利于引導(dǎo)客戶及時行使保護個人信息安全的權(quán)利， 在銀行內(nèi)部 約束機制引發(fā)客戶投訴與糾紛，加大了銀行經(jīng)營管理中的操作風(fēng)險和聲譽風(fēng)險。3. 制度機制不健全。一是系統(tǒng)性的客戶信息保護制度缺失。調(diào)研發(fā)現(xiàn)，多數(shù)基層銀行業(yè)金融機構(gòu)認(rèn)為保護客戶信息的關(guān)鍵在于上級

8、行開發(fā)、 構(gòu)建信息科 技安全技術(shù)保障體系， 主要防范來自于外部的攻擊， 而忽視內(nèi)部員工行為的規(guī)范 管理，缺乏系統(tǒng)性的客戶信息保護制度。 二是事前監(jiān)督制衡機制缺失。 如中國銀 行個人客戶信息保密管理辦法第 29 條規(guī)定了銀行內(nèi)部查詢客戶信息審核批 準(zhǔn)制度，但并未把審批要求固化到電子化信息系統(tǒng)之中， 缺乏流程和環(huán)節(jié)的剛性 控制，員工可以通過業(yè)務(wù)信息系統(tǒng)輕易查詢客戶信息， 導(dǎo)致內(nèi)部查詢審批制度形 同虛設(shè)。三是事后責(zé)任追究機制缺失。多數(shù)銀行機構(gòu)注重強調(diào)員工的保密義務(wù)， 而問責(zé)機制不明確，責(zé)任追究不到位。4. 人員配備不合理。 銀行業(yè)信息技術(shù)管理部、 公司業(yè)務(wù)部、 電子銀行部、 個人金融部、 國際業(yè)務(wù)部

9、等部門， 都掌握了客戶的大量敏感信息， 但重要崗位均 有相當(dāng)數(shù)量的非正式員工， 其中前臺柜員、 客戶經(jīng)理崗位中占均較高。 由于非正 式員工對單位的歸屬感和認(rèn)同感不強， 流動性較大，易誘發(fā)道德風(fēng)險和操作風(fēng)險， 違規(guī)使用、泄露客戶信息，對銀行造成損失，影響聲譽形象和社會信心。5. 合作管理不規(guī)范。為提高市場份額、解決人力資源配備不足等問題， 銀行機構(gòu)與保險公司、房地產(chǎn)開發(fā)商、汽車經(jīng)銷商、擔(dān)保公司、專業(yè)外包公司等 服務(wù)機構(gòu)的合作日益增多。 但是多數(shù)銀行機構(gòu)沒有建立并落實對第三方合作機構(gòu) 的制約和擔(dān)責(zé)制度， 合同中為客戶保密條款約束力較弱， 對第三方機構(gòu)人員行為 和客戶信息保護的控制缺乏剛性。三、完善

10、我國銀行客戶個人信息保護機制的建議 在信息化時代，客戶個人信息泄露可能給銀行帶來法律風(fēng)險和聲譽風(fēng) 險，對銀行客戶個人信息的保護應(yīng)引起足夠的重視， 通過健全法律法規(guī)， 督促銀 行業(yè)加強內(nèi)部管理等方式，進一步完善銀行客戶個人信息保護機制。（一）完善制度機制。在我國個人信息保護法出臺之前，可以根據(jù)民 法通則、商業(yè)銀行法等法律中有關(guān)公民信息保護的原則性規(guī)定，由監(jiān)管部 門先行制定銀行客戶個人信息保護的部門規(guī)章， 對銀行客戶個人信息的采集、 使 用、保密及保密例外等環(huán)節(jié)作出詳細(xì)規(guī)定。 主要從三個方面考慮： 一是銀行業(yè)機 構(gòu)對收集到的各類客戶個人信息負(fù)有保密的義務(wù)， 除非經(jīng)過客戶本人授權(quán)或法律 許可，銀行業(yè)

11、機構(gòu)無權(quán)對外公布、 泄露客戶的個人信息， 也不能將這些信息用于 謀取商業(yè)或其他方面的利益。 二是依照有關(guān)法律規(guī)定， 為了維護公共利益或公共 安全，有關(guān)安全、司法或稅務(wù)部門可以依照法定程序查詢其職能范圍內(nèi)的銀行客 戶個人信息。三是規(guī)范對泄露客戶個人信息的處罰。（二） 完善內(nèi)控機制。 銀行業(yè)機構(gòu)盡快完善客戶個人信息管理的規(guī)章制 度，對客戶個人信息的采集、使用、存儲等方面做出明確規(guī)定，有效保護客戶個 人信息安全； 建立健全信息安全內(nèi)控機制， 制定信息安全控制流程， 明確各崗位 人員的保密和管理職責(zé)權(quán)限； 對紙質(zhì)和電子信息實行集中統(tǒng)一管理， 對信息查閱、 下載、拷貝實行嚴(yán)格的審批、登記和權(quán)限管理；強化

12、監(jiān)督問責(zé)，定期對信息安全 狀況進行評估、 審計和檢查監(jiān)督。 同時，銀行業(yè)金融機構(gòu)要對客戶信息進行分類 管理并確定密級， 設(shè)立保密信息專員， 完善適合客戶信息需要的制度流程， 并努 力實現(xiàn) IT 系統(tǒng)升級，提升過程監(jiān)督的智能化控制能力；內(nèi)審部門要對第三方合 作機構(gòu)開展定期不定期檢查， 對于客戶信息保護不力的機構(gòu)應(yīng)及時終止合作， 并 追究相應(yīng)責(zé)任。（三）完善保密機制。銀行業(yè)機構(gòu)加強員工保密教育，提高員工素養(yǎng)， 增強員工法律意識，嚴(yán)格遵守“為客戶保密”的原則；落實責(zé)任制，與員工簽訂 安全保密責(zé)任書， 與離崗人員簽訂安全保密承諾書； 加強對保密要害部門、 要害 部位和涉密工作人員的管理，加強對業(yè)務(wù)外包單位及合作單位工作人員