完善银行客户个人信息保护机制的思考.doc

。完善银行客户个人信息保护机制的思考一、我国银行客户个人信息保护的法律法规建设情况（一）国家法律法规建设情况我国民法通则、刑法和商业银行法均对银行客户个人信息保护作出规定。民法通则第99101条分别对公民的姓名权、肖像权和名誉权作出保护规定。刑法修正案（七）将侵犯公民个人信息的行为纳入刑事犯罪的范畴，规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。商业银行法第29条则规定：“商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密，不得披露。对个人储蓄银存款 ，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求，是商业银行在办理个人存款业务时必须遵循的原则。（二）部门规章建设情况人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如电子银行业务管理办法第52条规定：“金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”；金融机构客户身份识别和客户身份资料及交易记录保存管理办法第28条规定：“金融机构应采取必要管理措施和技术措施，防止客户身份资料和交易记录的缺失、损毁，防止泄漏客户身份信息和交易信息”；银监会商业银行信息科技风险管理指引第四章以专章形式规定了信息安全，对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行关于银行业金融机构做好个人金融信息保护工作的通知第2条规定：“银行业金融机构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用”；商业银行信用卡业务监督管理办法第3条规定：“商业银行经营信用卡业务（整理提供），应当依法保护客户合法权益和相关信息安全。未经客户授权，不得将相关信息用于本行信用卡业务以外的其他用途”。二、我国银行客户个人信息保护存在的主要问题（一）客户个人信息保护法律法规缺失1.行政法责任缺失。我国尚未制订专门的个人信息保护法，对个人信息的保护主要依据民法通则中对个人姓名权、肖像权和名誉权的规定，个人信息主体的权利难以得到全面明确和保护。从我国现有法规来看，对侵犯公民个人信息的行为，民法通则规定了损害赔偿的民事责任，刑法规定了出售、非法提供及非法获取公民个人信息应承担的刑事责任，而在行政法层面，对于侵犯银行客户个人信息但尚未构成犯罪的行为，银行业监管法规没有适用的罚则，监管部门也缺乏对银行违规泄露客户信息的罚则。2.例外规定缺失。银行对客户个人信息的保密与保密例外是银行保密制度中并行的两大部分，遗憾的是我国法律法规在规定银行负有保密义务的同时，却没有系统地规定保密例外的情形，而仅是为了执法与司法的方便，在民事诉讼法、刑事诉讼法、税收征收管理法等法律法规中，分别赋予人民法院、人民检察院、公安机关、税务机关等机构在特定情形下查询、冻结和划拨银行客户资金的权力。现有法律法规没有将基于当事人授权、社会征信及社会公共利益而进行的信息公开等列为银行保密义务的例外，不利于对银行业和社会公众合法权益的保护。3.监管法规缺失。一是规定较为零散。现行银行业监管法规仅分别针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定，无法覆盖银行业提供的各类业务全流程。二是针对性不强。如金融机构客户身份识别和客户身份资料及交易记录保存管理办法虽然对客户信息安全管理做了一些规定，但立法目的是加强反洗钱，不是针对客户个人信息保护。三是原则性规定较多，缺乏具体条款，可操作性不强。（二）银行客户个人信息保护不力的表现1.管理架构不健全。目前，部分基层银行业金融机构的管理重点更多的仍倾向于存贷款规模、资产质量、利润等业绩指标和信用风险等常规风险管控，而未将客户信息保护纳入银行整体风险管理框架中。客户信息多头管理，未成立专门的客户信息风险管理领导机构，缺乏有效的制约机制，员工风险意识较为薄弱，基层银行业信息管理漏洞较为突出。2.尺度标准不一致。由于对客户信息保护缺乏统一的行业标准，银行业间执行情况参差不齐，主要表现在客户信息保护的侧重点不同、客户信息使用管理制度不一致等方面。对客户信息资料处理的执行标准不一加大了外界在政策把握方面的难度，不利于引导客户及时行使保护个人信息安全的权利，在银行内部约束机制引发客户投诉与纠纷，加大了银行经营管理中的操作风险和声誉风险。3.制度机制不健全。一是系统性的客户信息保护制度缺失。调研发现，多数基层银行业金融机构认为保护客户信息的关键在于上级行开发、构建信息科技安全技术保障体系，主要防范来自于外部的攻击，而忽视内部员工行为的规范管理，缺乏系统性的客户信息保护制度。二是事前监督制衡机制缺失。如中国银行个人客户信息保密管理办法第29条规定了银行内部查询客户信息审核批准制度，但并未把审批要求固化到电子化信息系统之中，缺乏流程和环节的刚性控制，员工可以通过业务信息系统轻易查询客户信息，导致内部查询审批制度形同虚设。三是事后责任追究机制缺失。多数银行机构注重强调员工的保密义务，而问责机制不明确，责任追究不到位。4.人员配备不合理。银行业信息技术管理部、公司业务部、电子银行部、个人金融部、国际业务部等部门，都掌握了客户的大量敏感信息，但重要岗位均有相当数量的非正式员工，其中前台柜员、客户经理岗位中占均较高。由于非正式员工对单位的归属感和认同感不强，流动性较大，易诱发道德风险和操作风险，违规使用、泄露客户信息，对银行造成损失，影响声誉形象和社会信心。5.合作管理不规范。为提高市场份额、解决人力资源配备不足等问题，银行机构与保险公司、房地产开发商、汽车经销商、担保公司、专业外包公司等服务机构的合作日益增多。但是多数银行机构没有建立并落实对第三方合作机构的制约和担责制度，合同中为客户保密条款约束力较弱，对第三方机构人员行为和客户信息保护的控制缺乏刚性。三、完善我国银行客户个人信息保护机制的建议在信息化时代，客户个人信息泄露可能给银行带来法律风险和声誉风险，对银行客户个人信息的保护应引起足够的重视，通过健全法律法规，督促银行业加强内部管理等方式，进一步完善银行客户个人信息保护机制。（一）完善制度机制。在我国个人信息保护法出台之前，可以根据民法通则、商业银行法等法律中有关公民信息保护的原则性规定，由监管部门先行制定银行客户个人信息保护的部门规章，对银行客户个人信息的采集、使用、保密及保密例外等环节作出详细规定。主要从三个方面考虑：一是银行业机构对收集到的各类客户个人信息负有保密的义务，除非经过客户本人授权或法律许可，银行业机构无权对外公布、泄露客户的个人信息，也不能将这些信息用于谋取商业或其他方面的利益。二是依照有关法律规定，为了维护公共利益或公共安全，有关安全、司法或税务部门可以依照法定程序查询其职能范围内的银行客户个人信息。三是规范对泄露客户个人信息的处罚。（二）完善内控机制。银行业机构尽快完善客户个人信息管理的规章制度，对客户个人信息的采集、使用、存储等方面做出明确规定，有效保护客户个人信息安全；建立健全信息安全内控机制，制定信息安全控制流程，明确各岗位人员的保密和管理职责权限；对纸质和电子信息实行集中统一管理，对信息查阅、下载、拷贝实行严格的审批、登记和权限管理；强化监督问责，定期对信息安全状况进行评估、审计和检查监督。同时，银行业金融机构要对客户信息进行分类管理并确定密级，设立保密信息专员，完善适合客户信息需要的制度流程，并努力实现IT系统升级，提升过程监督的智能化控制能力；内审部门要对第三方合作机构开展定期不定期检查，对于客户信息保护不力的机构应及时终止合作，并追究相应责任。（三）完善保密机制。银行业机构加强员工保密教育，提高员工素养，增强员工法律意识，严格遵守“为客户保密”的原则；落实责任制，与员工签订安全保密责任书，与离岗人员签订安全保密承诺书；加强对保密要害部门、要害部位和涉密工作人员的管理，加强对业务外包单位及合作单位工作人员管理，及时消除风险隐患。（四）完善防控机制。随着信息技术和网络银行的发展，银行易遭受信息系统被非法入侵、传输过程中信息被非法窃取等