擺 曄

（中國人民銀行昆明中心支行，云南 昆明650021）

2012年，為保護(hù)金融消費(fèi)者權(quán)益，中央機(jī)構(gòu)編制委員會(huì)批準(zhǔn)“一行三會(huì)”設(shè)立，央行下轄的金融消費(fèi)者保護(hù)局。同年，央行“兩管理、兩綜合”的行業(yè)履職內(nèi)容，也變更為“兩管理、兩綜合、一保護(hù)”，增加了金融消費(fèi)者保護(hù)的職能。

當(dāng)前，銀行業(yè)務(wù)呈現(xiàn)出市場化進(jìn)程快、信息化速度快的“雙快”特點(diǎn)，業(yè)務(wù)量和金融數(shù)據(jù)量也實(shí)現(xiàn)了“雙增”。銀行進(jìn)入了海量信息時(shí)代，金融服務(wù)已經(jīng)滲透到我們生活的方方面面，銀行客戶信息也隨之成為銀行日常業(yè)務(wù)工作中積累的一項(xiàng)重要基礎(chǔ)數(shù)據(jù)。由于銀行客戶信息與資金財(cái)產(chǎn)的高度關(guān)聯(lián)，致使針對(duì)這部分信息的不法行為頻頻發(fā)生。如何保證銀行客戶信息的安全，維護(hù)銀行客戶的合法權(quán)益，平衡銀行業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)防控之間的關(guān)系，是當(dāng)前必須認(rèn)真面對(duì)的課題。

一、銀行客戶信息的安全處境令人擔(dān)憂

銀行客戶信息保護(hù)是金融消費(fèi)者保護(hù)工作的重要組成部分，在金融“虛擬化”、網(wǎng)絡(luò)化程度不斷提升的現(xiàn)代社會(huì)，客戶信息安全與客戶財(cái)產(chǎn)安全的關(guān)聯(lián)度也是日益提升。銀行等金融機(jī)構(gòu)作為政府以外的公民信息最主要的收集和使用者，以及公民財(cái)產(chǎn)重要的貯藏和代管者，與其有關(guān)的客戶信息泄露事件頻頻發(fā)生，令公眾震驚與憂慮。

2010年7月，香港“八達(dá)通”卡（香港通用的電子收費(fèi)系統(tǒng)，又被稱為電子貨幣）被媒體曝光從2002年開始，先后向6家公司轉(zhuǎn)移客戶個(gè)人資料197萬個(gè)，從中獲利4400萬元港幣。

2011年1月21日，人民銀行頒布《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》以前，中國境內(nèi)的外資銀行出于數(shù)據(jù)處理或母國反洗錢機(jī)構(gòu)的要求，將一些數(shù)據(jù)向境外監(jiān)管機(jī)構(gòu)、母行或總行報(bào)送，外資銀行將中國境內(nèi)取得的客戶信息任意向境外提供，幾乎不受任何限制，增加了國內(nèi)客戶個(gè)人信息外泄的風(fēng)險(xiǎn)。

2011年2月下旬起，上海警方連續(xù)接到幾十起報(bào)案，涉及國內(nèi)多家銀行機(jī)構(gòu)，涉案被盜金額最高的達(dá)到233萬余元。后經(jīng)上海警方查實(shí)，銀行內(nèi)部人員分別向犯罪嫌疑人出售了300多份個(gè)人銀行信息和2318份個(gè)人征信報(bào)告。此事件在2012年的“315”晚會(huì)上被公諸于眾。

2012年，關(guān)于個(gè)人資料泄密的話題從互聯(lián)網(wǎng)行業(yè)蔓延至金融領(lǐng)域。有網(wǎng)友稱，國內(nèi)多家銀行的客戶數(shù)據(jù)已經(jīng)泄露。雖然事后相關(guān)銀行均集體否認(rèn)，中國銀行業(yè)協(xié)會(huì)也出面澄清，但仍然引起了全社會(huì)的廣泛關(guān)注。

圍繞客戶信息的不法行為屢屢發(fā)生，主要有以下三個(gè)方面的原因：

一是信息內(nèi)容的衍生化導(dǎo)致客戶信息成了“唐僧肉”。目前，銀行客戶信息不再單一反映個(gè)人基本信息，它包含了客戶的身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息，金融交易信息和消費(fèi)習(xí)慣、投資意愿等衍生信息，甚至是密碼信息，因此銀行客戶信息蘊(yùn)含了巨大的利益價(jià)值。為此，不法之徒對(duì)其垂涎不止。

二是信息的商業(yè)價(jià)值導(dǎo)致部分銀行內(nèi)部人員道德淪喪。有對(duì)客戶信息的需求，就有對(duì)客戶信息的有償出賣，而這些出賣客戶信息者則通常是掌握客戶信息的銀行內(nèi)部人員。他們在牟取利益的同時(shí)，對(duì)其行為，不以為然。

三是交易渠道的多元化形成開放式風(fēng)險(xiǎn)。進(jìn)入信息時(shí)代以來，各種信息手段的應(yīng)用使銀行業(yè)務(wù)完全處在開放式的環(huán)境下。拒不完全統(tǒng)計(jì)，2012年第2季度，全國性銀行中最高的電子替代率已接近80%，多渠道的交易方式在節(jié)約成本和方便客戶的同時(shí)，也令不法之徒窺到了可乘之機(jī)。一方面，由于邏輯關(guān)系，安全措施的不斷更新實(shí)則是亡羊補(bǔ)牢的滯后反應(yīng)，客戶信息的安全始終存在風(fēng)險(xiǎn)，銀行對(duì)此除了緊跟技術(shù)革新的步伐之外，別無選擇。另一方面，開放式環(huán)境下，以詐騙等手段非法獲得客戶信息的事件頻繁發(fā)生，銀行除了提示客戶和事后掛失外，一籌莫展。

二、我國銀行客戶信息保護(hù)工作面臨的困難

一是我國銀行客戶信息缺少專業(yè)法律保護(hù)。目前，國際上已經(jīng)有50多個(gè)國家和組織制定了個(gè)人信息保護(hù)的相關(guān)法規(guī)和標(biāo)準(zhǔn)。如德國1976年頒布的《聯(lián)邦數(shù)據(jù)保護(hù)法》，美國1974年頒布的《隱私權(quán)法》、1986年《電子通信隱私法》、1999年《互聯(lián)網(wǎng)保護(hù)個(gè)人隱私政策》，法國1978年頒布的《數(shù)據(jù)處理.檔案與自由法》，加拿大的《隱私保護(hù)法》，英國的《數(shù)據(jù)保護(hù)法》、日本的《個(gè)人信息保護(hù)法》等，日本的《個(gè)人信息保護(hù)法》特別對(duì)于個(gè)人信息的出境，有著明確的法律法規(guī)對(duì)等要求。

2009年，我國《刑法修正案（七）》第一次將金融機(jī)構(gòu)及其工作人員出售或非法提供公民個(gè)人信息作為犯罪，但卻沒有出臺(tái)個(gè)人信息保護(hù)的專門法律，相關(guān)規(guī)定散見于一些法律、行政法規(guī)和部門規(guī)章中。2011年，由于訴求強(qiáng)烈，我國頒布的第一項(xiàng)“個(gè)人信息保護(hù)”專項(xiàng)國家標(biāo)準(zhǔn)——《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，填補(bǔ)了缺少具有廣泛指導(dǎo)性和適用性制度的空白，但推薦性強(qiáng)度的指南形式，仍無法滿足當(dāng)前對(duì)個(gè)人信息保護(hù)專業(yè)立法的聲索要求。截至目前，銀行客戶信息保護(hù)方面的法律依據(jù)，主要還是基于《中華人民共和國商業(yè)銀行法》第二十九條“為存款人保密的原則”。在這種粗放型的規(guī)定之下，監(jiān)管部門、客戶在查處和維權(quán)時(shí)，屢屢面臨無法可依的窘境。

二是銀行客戶信息保護(hù)工作存在漏洞環(huán)節(jié)。目前，我國銀行客戶信息的處理環(huán)節(jié)缺少信息化自主知識(shí)產(chǎn)權(quán)的保護(hù)。銀行在收集、存儲(chǔ)、處理和分析客戶信息時(shí)，涉及的信息化手段，如數(shù)據(jù)庫、核心硬件等技術(shù)專利，都是國外廠商提供的，這無疑將客戶信息托于產(chǎn)權(quán)國操作。同時(shí)，如果出現(xiàn)可能導(dǎo)致信息丟失、損壞的軟件漏洞或硬件故障，國外專利產(chǎn)品又無法供給時(shí)，客戶信息的安全就無法得到保障。

截止2012年，我國部分銀行通過自建系統(tǒng)，為消費(fèi)者發(fā)放電子簽名證書以用于電子交易。發(fā)放證書的銀行作為交易的一方，既是服務(wù)機(jī)構(gòu)，又是認(rèn)證機(jī)構(gòu)。根據(jù)《中華人民共和國電子簽名法》第十三條“電子簽名同時(shí)符合下列條件的，視為可靠的電子簽名：第一，電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有；第二，簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制；第三，簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)；第四，簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)?！钡膬?nèi)容規(guī)定，在銀行無法證明客戶信息屬于客戶專有前，這些電子簽名是不可靠的。

三、對(duì)策及建議

（一）加快個(gè)人信息保護(hù)的法制建設(shè)

專業(yè)立法方面。首先，立法部門應(yīng)盡快制定專門的個(gè)人信息保護(hù)法，全面規(guī)范個(gè)人信息的收集、存儲(chǔ)、處理和分析等行為。必須明確個(gè)人信息主體的權(quán)利、信息管理者的義務(wù)、信息監(jiān)管部門及其職責(zé)，嚴(yán)格控制個(gè)人信息的跨境使用，確定侵害個(gè)人信息的法律責(zé)任與訴訟程序。其次，法律應(yīng)設(shè)定最低的損害賠償標(biāo)準(zhǔn)，并在舉證責(zé)任分配及舉證責(zé)任能力賦予上向處于弱勢地位的受害者傾斜，從而使其得到合理的賠償，使泄露者、買賣者的違法成本高于收益，從根本上威懾、遏制盜賣個(gè)人信息的行為。最后，立法應(yīng)明確除了泄露、買賣個(gè)人信息外，若因機(jī)構(gòu)丟失客戶信息造成客戶的重大損失或侵權(quán)，機(jī)構(gòu)需要負(fù)民事責(zé)任，負(fù)責(zé)賠償。

監(jiān)管法規(guī)方面。首先，監(jiān)管機(jī)構(gòu)應(yīng)盡快出臺(tái)客戶信息保護(hù)的監(jiān)管法規(guī)，督促銀行履行客戶信息的保密義務(wù)，制定“最小授權(quán)、最小知悉范圍、最小信息量”的客戶信息使用原則，明確內(nèi)部的客戶信息管理部門。其次，參考國際研究成果，結(jié)合我國實(shí)際情況，專項(xiàng)研究個(gè)人信息保護(hù)技術(shù)手段，提出個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系框架，通過抽樣測試和銀行試點(diǎn)等方式，制定關(guān)鍵標(biāo)準(zhǔn)。最后，應(yīng)建立行業(yè)涉信人員從業(yè)資格機(jī)制，簽訂涉信人員保密協(xié)議，進(jìn)一步探索個(gè)人信息保護(hù)的分擔(dān)方式。明確銀行對(duì)其內(nèi)部人員、第三方合作人員或機(jī)構(gòu)的盜賣、丟失客戶信息的行為負(fù)有同樣的責(zé)任。

（二）實(shí)現(xiàn)核心技術(shù)自主可控，提高整體安全水平

國產(chǎn)化方面。首先，在國家戰(zhàn)略層面上建立信息技術(shù)國產(chǎn)化體系，加大對(duì)國產(chǎn)技術(shù)產(chǎn)業(yè)鏈的政策傾斜，引導(dǎo)其逐漸發(fā)展成為具備支持能力的高端產(chǎn)業(yè)鏈，實(shí)現(xiàn)產(chǎn)業(yè)準(zhǔn)備。其次，加快研制具有自主知識(shí)產(chǎn)權(quán)的、可靠的國產(chǎn)技術(shù)專利，大力推廣國產(chǎn)化技術(shù)在國際上的認(rèn)可度，營造適宜的國際環(huán)境。最后，在頂層設(shè)計(jì)的框架下，行業(yè)主管部門協(xié)調(diào)相關(guān)產(chǎn)業(yè)部門，依靠國有商業(yè)銀行的技術(shù)優(yōu)勢，選擇可行的重點(diǎn)突破領(lǐng)域，通過開展檢測驗(yàn)證、試點(diǎn)等前置任務(wù)，積累經(jīng)驗(yàn)，在銀行核心技術(shù)領(lǐng)域逐步推廣國產(chǎn)化。

技術(shù)規(guī)范方面。首先，制定銀行客戶信息保護(hù)的專業(yè)技術(shù)標(biāo)準(zhǔn)，明確客戶信息，特別是跨境使用的客戶信息在收集、存儲(chǔ)、處理和分析的環(huán)節(jié)中，最低安全標(biāo)準(zhǔn)的技術(shù)手段和配置參數(shù)。其次，對(duì)于通過自建系統(tǒng)發(fā)放客戶電子簽名證書的銀行，督促、指導(dǎo)其根據(jù)相關(guān)法律法規(guī)，開展足以證明所發(fā)放的電子簽名是可靠的整改。最后，引導(dǎo)所有銀行選取實(shí)力雄厚、技術(shù)成熟、服務(wù)規(guī)范的第三方合作機(jī)構(gòu)。

（三）開展銀行客戶信息的環(huán)境建設(shè)工作

銀行方面。首先，在全面統(tǒng)計(jì)自身客戶信息數(shù)據(jù)的基礎(chǔ)上，梳理自身管理現(xiàn)狀，開展自查自糾。其次，銀行應(yīng)通過技術(shù)控制和管理措施，開展自身個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系和保護(hù)環(huán)境的建設(shè)，組織內(nèi)部員工學(xué)習(xí)相關(guān)法律法規(guī)，明確紅線。最后，通過官網(wǎng)、短信和柜面宣傳等方式，向客戶普及信息保護(hù)相關(guān)知識(shí)，提高客戶的保護(hù)意識(shí)。

行業(yè)方面。首先，應(yīng)統(tǒng)一思想，自頂向下地部署工作，主要依靠基層力量，嚴(yán)懲一批非法購買信息的不法分子，取締信息購買源非法產(chǎn)業(yè)鏈，創(chuàng)造客戶信息“有價(jià)無市”的工作基礎(chǔ)。其次，與司法部門建立銀行信息泄露和處置的聯(lián)動(dòng)機(jī)制，加大對(duì)非法掌握、泄露客戶信息行為的打擊力度，及時(shí)凍結(jié)“被害賬戶”，避免損失的進(jìn)一步擴(kuò)大。最后，應(yīng)從政府、行業(yè)主管部門的層面，通過電視、報(bào)刊等媒體形式，制作相關(guān)法制警示的欄目，開展“信息保護(hù)月”等系列活動(dòng)，建立全社會(huì)各司其職、齊抓共管的良好局面。