商業(yè)銀行個人信息泄露問題啟示

鄧小華 王果

摘要：隨著科學(xué)技術(shù)的發(fā)展，商業(yè)銀行中個人信息的應(yīng)用場景面臨著前所未有的發(fā)展機(jī)遇，它提升了商業(yè)銀行的日常經(jīng)營效率、降低交易成本，提升服務(wù)質(zhì)量，然而，目前我國商業(yè)銀行存在個人信息保護(hù)的立法滯后且不完備，現(xiàn)有的相關(guān)法律規(guī)定缺乏可操作性，有關(guān)個人信息保護(hù)的監(jiān)管職責(zé)不明確、處罰缺位，基層分支機(jī)構(gòu)對個人信息保護(hù)不夠重視等一系列問題，在金融科技迅猛發(fā)展的同時，如何保護(hù)這些信息安全不受侵犯，維護(hù)客戶的資金安全，強(qiáng)化對客戶個人信息的保護(hù)值得我們深思。本文著重以商業(yè)銀行內(nèi)部監(jiān)管角度為切入點(diǎn)，針對目前商業(yè)銀行在個人信息保護(hù)上的現(xiàn)狀和問題，提出了幾點(diǎn)完善建議。

關(guān)鍵詞：個人信息保護(hù);商業(yè)銀行;內(nèi)部監(jiān)管

2020年，脫口秀演員池子與東家公司打官司中發(fā)生詭異一幕，中信銀行上海虹口支行未獲池子本人授權(quán)，且未經(jīng)司法機(jī)關(guān)合法調(diào)查程序的情況下，將其個人名下銀行賬戶交易明細(xì)直接提供給上海笑果文化公司。該銀行的行為明顯侵犯了當(dāng)事人的個人信息權(quán)益，池子隨即委托律師向笑果文化以及中信銀行上海虹口支行發(fā)出律師函，并向銀保監(jiān)會等監(jiān)管部門進(jìn)行實名投訴和舉報。事情曝光以后中信銀行口碑風(fēng)評一度被推到風(fēng)口浪尖。商業(yè)銀行作為客戶個人信息的直接接觸者，如何在發(fā)展的同時保護(hù)這些信息安全，值得我們深思。

一、個人信息的定義及概念

截至2020年，我國頒布了一系列有關(guān)個人信息保護(hù)的法律法規(guī)，明確將個人信息定義為以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映自然人活動情況的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、交易信息等。目前，我國對個人信息的保護(hù)體現(xiàn)在各部門法律文件中，例如《民法典》、《網(wǎng)絡(luò)安全法》等。同時，全世界已經(jīng)有120多個國家制定了有關(guān)個人信息保護(hù)的相關(guān)法律，足以說明其重要性，如歐盟出臺《通用數(shù)據(jù)保護(hù)條例》、美國《隱私法案》、日本《個人信息保護(hù)法》等。如今社會處于科技高速發(fā)展的階段，信息化程度不斷提升，而個人信息保護(hù)也上升為全民熱點(diǎn)關(guān)注問題。黨中央一直以來高度重視此問題，以期在個人信息保護(hù)和信息化高速發(fā)展之間找到平衡點(diǎn)。就在2020年10月21日，我國立法部門就發(fā)布《個人信息保護(hù)法草案》，征求各方意見建議，立法工作正在有條不紊開展。

二、商業(yè)銀行對于個人信息保護(hù)的重要作用

個人金融信息與經(jīng)濟(jì)發(fā)展、國家安全息息相關(guān)。特別是在向數(shù)字金融轉(zhuǎn)型的過程中，個人金融信息保護(hù)事關(guān)我國數(shù)字經(jīng)濟(jì)發(fā)展壯大。商業(yè)銀行在日常經(jīng)營活動中，能夠最直接的獲取到客戶的個人信息，且絕大部分是個人金融信息，事關(guān)個人的金融安全。廣大群眾在與商業(yè)銀行進(jìn)行業(yè)務(wù)往來時往往處于弱勢地位，被動接受商業(yè)銀行的安排，提供詳盡的個人信息、填寫各項相關(guān)表格，銀行機(jī)構(gòu)與系統(tǒng)由于獨(dú)特的技術(shù)與專業(yè)優(yōu)勢，整合客戶的消費(fèi)、存取等動態(tài)信息，早已掌握大部分人的身份、消費(fèi)習(xí)慣、資產(chǎn)狀況等與人身有密切聯(lián)系的信息。此外，商業(yè)銀行所掌握的個人信息中的金融信息兼具人格利益和財產(chǎn)利益，與普通個人信息相比，其所體現(xiàn)的財產(chǎn)利益也更為明顯。一旦發(fā)生個人金融信息泄露、銀行卡被盜刷等事件，銀行又多以已履行告知和妥善保管義務(wù)，屬于客戶保管不善等原因主張免責(zé)。由此看來，商業(yè)銀行作為個人金融信息流通過程中的信息集合地，在個人信息保護(hù)問題上顯得尤為重要。

三、商業(yè)銀行在個人信息保護(hù)上的現(xiàn)狀和問題

1.缺乏系統(tǒng)性規(guī)定

目前國家對于商業(yè)銀行保護(hù)個人信息的法律規(guī)定呈現(xiàn)碎片化特點(diǎn)，沒有一個系統(tǒng)的法律規(guī)定加以規(guī)范，同時現(xiàn)有的法律法規(guī)也有待改進(jìn)，商業(yè)銀行缺乏法律引導(dǎo)。比如，商業(yè)銀行監(jiān)管規(guī)章制度針對電子銀行業(yè)務(wù)、信用卡業(yè)務(wù)、儲蓄存款業(yè)務(wù)等方面的客戶個人信息保護(hù)作出個別規(guī)定，難以覆蓋銀行業(yè)提供的各類金融業(yè)務(wù)，無法全面規(guī)范客戶個人信息采集、保管和銷毀的全流程。

2.沒有針對相關(guān)法律文件作出具體的操作條款

法律對于相關(guān)問題的規(guī)定時較原則性的，可操作性不強(qiáng)，這需要商業(yè)銀行的相關(guān)部門在法律規(guī)定的原則基礎(chǔ)之上制定具體的操作流程和具體條款，以保證個人信息保護(hù)能夠落實在與客戶的每一筆業(yè)務(wù)之中，在每一個環(huán)節(jié)都給客戶切切實實的安全感。

3.商業(yè)銀行個人信息保護(hù)的監(jiān)管職責(zé)待強(qiáng)化，專項處罰措施待明確

商業(yè)銀行個人信息與人信息相比，具有特殊性，與個人的資產(chǎn)、信用狀況等緊密相關(guān)，一旦泄露對客戶的財產(chǎn)安全將會造成很大威脅，但《商業(yè)銀行法》和其他相關(guān)法律規(guī)定對于主管部門的監(jiān)管職責(zé)和處罰措施的規(guī)定較少，商業(yè)銀行內(nèi)部對于該類行為的規(guī)治措施就更少，使得個人信息重要性在銀行內(nèi)部得不到重視，違規(guī)行為也得不到相應(yīng)的懲罰。

四、商業(yè)銀行針對個人信息保護(hù)的改善意見

1.確立銀行內(nèi)部的個人信息保護(hù)制度，做到有法可依

業(yè)務(wù)部門與合規(guī)部應(yīng)該在我國有關(guān)保護(hù)個人信息的法律法規(guī)基礎(chǔ)之上，將個人信息保護(hù)內(nèi)容納入相關(guān)規(guī)章制度、業(yè)務(wù)流程及業(yè)務(wù)規(guī)范，施行責(zé)任負(fù)責(zé)制原則，出現(xiàn)問題追本溯源，追究處罰相關(guān)責(zé)任人，爭取在各方面對個人信息做好保護(hù)。同時各部門的權(quán)限職責(zé)要嚴(yán)格厘清，包括但不限于獲取金融消費(fèi)者個人信息時所要通過的各項審批程序，以及金融消費(fèi)者個人信息發(fā)生泄露、損毀、遺失時應(yīng)當(dāng)采取何種補(bǔ)救措施等。同時，銀行還應(yīng)當(dāng)完善內(nèi)部員工培訓(xùn)管理制度，針對個人信息保護(hù)意識方面重點(diǎn)強(qiáng)化。

2.對有關(guān)個人信息的格式合同條款進(jìn)行優(yōu)化完善

目前商業(yè)銀行也面臨著數(shù)字化轉(zhuǎn)型升級，需要通過電話、短信、線上營銷等方式進(jìn)行產(chǎn)品推薦和活動推廣，必然會對行內(nèi)留存客戶的個人信息進(jìn)行應(yīng)用和處理，合理地使用能夠拓寬銀行業(yè)務(wù)的渠道，并且能夠增強(qiáng)客戶體驗，滿足客戶更多的金融需求。但此商業(yè)銀行在進(jìn)行此類營銷方式時，應(yīng)當(dāng)在客戶首次留存信息時就口頭提示客戶，并與客戶書面形式確認(rèn)。

在開展業(yè)務(wù)的過程中，為對客戶的金融風(fēng)險進(jìn)行有效及時的確認(rèn)，收集個人信息的行為在所難免，但為保障金融消費(fèi)者個人信息權(quán)益不受侵害，應(yīng)對搜集個人信息的目的、范圍和使用方法等事項與利用范圍進(jìn)行明確規(guī)定，防止各類打擦邊球的行為。

3.商業(yè)銀行在于第三方進(jìn)行合作時，應(yīng)保證個人信息安全

商業(yè)銀行與第三方開展合作或者將業(yè)務(wù)進(jìn)行外包是極其常見的事項。例如，與保險公司、汽車經(jīng)銷商、移動通信運(yùn)營商等第三方開展?fàn)I銷合作、將各項業(yè)務(wù)分包給第三方。在合作過程中將客戶個人信息披露給合作方時業(yè)務(wù)開展的需要，對此商業(yè)銀行要對自己的合作方負(fù)責(zé)，對自己的披露行為負(fù)責(zé)，要對合作方的各項資質(zhì)嚴(yán)格審查，用保密協(xié)議等書面形式對第三方的行為加以約束，保障客戶的個人信息不被非法利用。

4.做好個人信息數(shù)據(jù)開發(fā)安全工作

商業(yè)銀行每一項新系統(tǒng)開發(fā)上線前，必須做好個人信息收集、處理、傳輸、儲存等安全測試，并在上線后及時跟蹤評估，系統(tǒng)不定期升級，排查漏洞和自檢風(fēng)險。對于個人信息發(fā)生泄露、毀損等安全事件，及時妥善處理，做好記錄，分析原因，及時上報主管部門，制定相應(yīng)補(bǔ)救措施，防止事態(tài)進(jìn)一步惡化，把風(fēng)險損失降到最低。

5.內(nèi)部加強(qiáng)自檢自查工作

商業(yè)銀行應(yīng)堅持內(nèi)部自檢自查工作常態(tài)化、長效化、精細(xì)化，深入推進(jìn)個人信息保護(hù)工作取得更大實效。加強(qiáng)對全行各部門機(jī)構(gòu)不定期排查工作，對各部門業(yè)務(wù)的各個環(huán)節(jié)進(jìn)行嚴(yán)格檢查，全面落實指定的相關(guān)個人信息保護(hù)制度，對日常工作中顯現(xiàn)的缺陷和漏洞進(jìn)行填補(bǔ)和補(bǔ)充，對相關(guān)文件進(jìn)行更新改善，逐步完善客戶個人信息保護(hù)的各項機(jī)制落實。

參考文獻(xiàn)：

[1]高巖.銀行客戶信息泄露問題值得關(guān)注[J].中國信用卡，2011，（12）：41-44.

[2]劉暢;大數(shù)據(jù)時代個人信息保護(hù)問題研究[D];東北財經(jīng)大學(xué);2016.