银行业金融机构消费者个人信息保护的建议

□ 周金龙

近年来随着个人信息被侵害案件的频发，我国法律也加大了对消费者个人信息的保护力度与侵害惩处力度。为此，银行业金融机构需要高度重视消费者个人信息保护工作，尽快熟悉相关规制，反思自身工作的不足，有所为有所不为，将保护消费者个人信息作为一项重要工作来抓。

一、存在的问题

（一）法律制度方面。

1.“个人信息”定义不明确，增加了银行业金融机构的操作难度。虽然《民法总则》第111条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，但“个人信息”范围如何确定，该法并无规定，实践中也存在争议。2017年5月9日公布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，明确“公民个人信息”范围只及于刑法领域，是否能直接适用于民法领域，存在不确定性；且该司法解释对“个人信息”范围也只是采取列举式描述，对于债务状况、婚姻状况、家庭成员状况、学历状况等在列举之外的内容是否属于个人信息，没有涉及。可以预料，保护规则的不明确，将不利于银行业金融机构的行为预判，银行业金融机构容易处在两难之中，随之产生的争议和处理成本也会增加。

2.“个人信息”的权利人与相关利益群体存在法律保护冲突。如目前很多银行业金融机构存在着和担保机构的业务合作，合作协议约定担保机构为债务人的债务提供连带担保，同时约定担保机构有权了解被担保债务人的债务信息。笔者认为约定担保机构的这一权利是公平的，因为承担保证义务的担保机构了解被担保债务信息，属于权利义务的对等，且如不约定这一权利，担保机构就难以提前准备承担保证义务的资金，也就难以承担保证义务，也将最终影响银行业金融机构的权利实现。对于一般的担保业务，有些银行业金融机构也以合同的形式约定了担保人的权利。如某银行制式文本《金穗信用卡（个人卡）保证合同》“第二条保证人的权利”项下“保证人有权向债权人了解其所担保的债务情况，有权向债权人咨询关于信用卡申请使用的相关合同”。按此约定，则保证人有权了解其所担保的债务情况，也就有权了解债务人的债务信息，既然属于保证人的权利，就不需要征得债务人同意。而如果债务信息属于“个人信息”，则银行业金融机构又负有保护债务信息的义务。面对担保人了解债务情况的要求，银行该如何作为？更深一步思考，如何摆置“个人信息”权利人和相关利益群体的权利冲突，将是银行业金融机构需要考虑的问题。

3.“个人信息”保护的法律规定不完善。如法律没有规定个人信息的保护期限，如果一味地要求永久保存，银行业金融机构需付出成本，而这一成本如果均由自身承担，缺乏分担，对银行业金融机构是不公平的。如个人信息保护是否应分为民事信息和商事信息，对于自然人的债权债务信息，是否不纳入个人信息范围，任何人均可以任意查询，国家机关也将搭建平台便利查询，从而提高交易的通明度，促进交易。另外，个人属处的群体信息，是否与个体适用同样的保护尺度；对于研究机构和民间智库是否可以为了研究需要，从基于促进社会发展的目的，规定可以查询个人信息等等。

（二）宏观环境方面。银行业跨界合作对个人信息保护提出新挑战。目前银行业跨界合作时代来临，如中信银行继宣布与顺丰集团开展“银行+物流”跨界合作后，又将与当当网开展合作；邮政储蓄银行引入战略投资者，借助腾讯的专业优势，强化在互联网金融领域的战略布局。跨界合作既要确保各合作伙伴之间合作资源信息的完整、顺畅传递，又要构建客户资料信息防火墙以防止信息泄露，更要强化科技保障，促进交易数据信息安全，弱化跨界带给银行的声誉风险。这就产生了资源信息共享的尺度把握问题、信息保护的技术支持问题、操作层面的制度建设问题，这三个问题都对银行业金融机构的个人信息保护提出了要求。

（三）银行业金融机构的内部管理方面。一是个人信息收集、使用不够规范。部分机构未经同意收集信息、未经授权查询个人征信报告；收集信息范围过大，不符合“最少必须”原则；在内部接触和使用个人信息时，未实施严格的审批和责任制度，缺乏必要的权限控制和跟踪管理；未严格执行岗位职责与权限相匹配的操作制度，未合理限制各类操作人员的信息接触面。二是对外提供信息不规范。部分机构未按规定对外包服务机构和网络特约商户开展安全评估，向外包公司提供个人信息时未向信息主体明确告知；与外包服务商签订的保密协议中，未明确规定其对保护个人信息的职责和保密义务，未制定风险事件发生后的止损措施。三是个人信息保管不规范。部分机构未制定或未能及时修改信息安全技术防范措施，未对信息系统进行风险评估；信息系统技术防护措施不严格，未采取有效技术手段防范业务网络用户使用U盘、连接外部网络的行为。四是对员工的信息保护教育培训不到位。部分机构未将个人信息保护等内容纳入教育培训计划，对接触个人信息的人员未进行专项培训，也无相应考核结果。五是个人信息保护工作不规范。部分机构未明确个人信息保护工作的主管部门、岗位设置、职责以及权限划分；未制定专门的操作规程、检查制度、责任追究制度及应急预案；未开展个人信息泄露应急演练。收集消费者个人信息时，未通过书面提醒方式进行明确告知和警示；未告知客户相关信息的使用目的和范围；未将有关保护个人信息纳入员工培训教育中；未明确员工为客户信息保密的相关义务；未与外包机构约定信息泄露后双方应承担的法律责任及合作终止后客户信息的处置方式。

二、建议

（一）明晰泄露个人信息的法律责任。

1.民事责任。在银行业金融机构与消费者订立的相关业务合同中，如果包含消费者个人信息保密方面的约定，在此情况下，若未经消费者许可擅自对外提供个人信息，则明显违反了合同约定。即使没有保密方面的专门约定，但根据《合同法》第60条规定：“当事人应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务”，银行业金融机构仍应为消费者个人信息进行保密，如不当泄露个人客户信息，则极有可能承担违约责任。《合同法》第107条规定：“当事人一方不履行合同义务或者履行合同义务不符合约定的，应当承担继续履行、采取补救措施或者赔偿损失等违约责任”。除此以外，银行业金融机构如果因违反客户个人信息保密义务侵害了客户隐私权，根据《侵权责任法》还可能被要求承担停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失等侵权责任。

2.行政责任。根据《治安管理处罚法》第42条规定，偷窥、偷拍、窃听、散布他人隐私的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，并处五百元以下罚款。而《储蓄管理条例》、《征信业管理条例》、《商业银行法》等金融法规更是对违规泄露客户个人信息行为明确了行政处罚，如《征信业管理条例》第38条规定，征信机构、金融信用信息基础数据库运行机构违反本条例规定，违法提供或者出售信息，由国务院征信业监督管理部门或者其派出机构责令限期改正，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款。如果银行业金融机构违反上述法规相关规定，就有可能受到行政部门处罚。根据《中国银监会行政处罚办法》，对银行不当泄露客户个人信息，可能受到行政处罚包括以下两类：一是对银行单位的处罚，包括警告、罚款、没收违法所得、停业整顿、吊销金融许可证等;二是对责任人员的处罚，包括警告、罚款、没收违法所得、取消董（理）事、高级管理人员一定期限直至终身的任职资格、禁止一定期限直至终身从事银行业工作等等。

3.刑事责任。为了打击愈加猖狂的侵犯公民个人信息行为，我国《刑法》进一步加大对侵犯公民个人信息行为的处罚力度。2015年11月1日实施的《刑法修正案(九)》将《刑法》第253条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”。此次修改扩大犯罪主体的范围，同时，增加规定出售或者非法提供个人信息情节严重的犯罪。如果银行业金融机构在业务发展过程中，为营销客户、获取存款或者其它目的，未经过客户授权，不当提供客户个人信息，就极有可能违反上述《刑法》规定。

（二）遵循《中国人民银行金融消费者权益保护实施办法》的相关内容。虽然法律对个人信息保护不够完善，但银行业金融机构还是可以运用现有规制，开展工作。如《中国人民银行金融消费者权益保护实施办法》单独设立了“个人金融信息保护”章节，强化个人金融信息保护的重要性，要求金融机构至少每半年排查一次个人金融信息安全隐患；建立个人金融信息数据库分级授权管理机制，合理确定本机构员工调取信息的范围、权限及程序。明确禁止金融机构以下行为：一是收集与业务无关的信息或者采取不正当方式收集信息；二是非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息；三是以概括授权的方式，索取与金融产品和服务无关的个人金融信息使用授权或者同意；四是将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件（该业务关系的性质决定需要预先做出相关授权或者同意的除外）；五是向境外提供境内个人金融信息（除法律法规及中国人民银行另有规定外）。同时明确规定“金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免”。

（三）规范管理行为，保障消费者个人信息安全。

1.严格落实个人信息安全管理责任。银行业金融机构要层层落实责任，有效防范和处置消费者信息泄露和滥用风险，包括明确各级行、各部门及条线信息安全管理的领导责任，明确全体员工的岗位责任。

2.建立客户信息安全保护制度。一是建立个人信息收集制度，在获得消费者授权的情况下，遵循合法、合理、必要原则收集个人信息。二是建立个人信息数据库分级授权管理制度，合理确定本机构员工调取信息的范围、权限和程序，采取有效措施确保个人信息在内部使用及对外提供等流转环节的安全，防范信息泄露风险。三是建立个人信息保护的监控制度，形成专项检查的常态化机制，常态化地检查客户信息收集、存储、使用等各环节中存在的风险隐患，采取有效完善措施。四是建立信息采集、保存、使用的岗位分离制度。五是建立消费者信息安全管理考评制度，将信息安全管理工作情况纳入各机构年度工作评价中，对存在客户信息泄露隐患或风险事件的机构，真正实现一票否决，切实发挥评价结果的激励约束作用。

3.畅通客户投诉渠道。建立投诉热线，提高社会公众的知晓度，使广大社会公众在察觉自身信息遇到泄露时，能改变“只要不上当就好”的被动状态，主动将信息泄露问题向银行业金融机构及监管机构反映，通过相关部门的核查和分析，摸准责任人，将信息泄露问题扼杀在源头。做好与客户的反馈，建立良好的沟通和合作渠道。

4.将保护消费者信息安全内化为银行业金融机构的企业文化。构建全行统一的个人信息安全文化，对检查发现问题，结合沟通反馈情况现场对当事人进行教育，问题集中、性质恶劣的坚持现场召开有上级主管部门参加的案例分析会；对先进典型，充分利用各种载体及时进行宣传，扩大示范引领效应；对内外典型案例，引导员工开展集中学习和自我学习，帮助员工分析问题成因，提升制度执行意识。