鄧小華 王果

摘要：隨著科學(xué)技術(shù)的發(fā)展，商業(yè)銀行中個(gè)人信息的應(yīng)用場(chǎng)景面臨著前所未有的發(fā)展機(jī)遇，它提升了商業(yè)銀行的日常經(jīng)營(yíng)效率、降低交易成本，提升服務(wù)質(zhì)量，然而，目前我國(guó)商業(yè)銀行存在個(gè)人信息保護(hù)的立法滯后且不完備，現(xiàn)有的相關(guān)法律規(guī)定缺乏可操作性，有關(guān)個(gè)人信息保護(hù)的監(jiān)管職責(zé)不明確、處罰缺位，基層分支機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)不夠重視等一系列問題，在金融科技迅猛發(fā)展的同時(shí)，如何保護(hù)這些信息安全不受侵犯，維護(hù)客戶的資金安全，強(qiáng)化對(duì)客戶個(gè)人信息的保護(hù)值得我們深思。本文著重以商業(yè)銀行內(nèi)部監(jiān)管角度為切入點(diǎn)，針對(duì)目前商業(yè)銀行在個(gè)人信息保護(hù)上的現(xiàn)狀和問題，提出了幾點(diǎn)完善建議。

關(guān)鍵詞：個(gè)人信息保護(hù);商業(yè)銀行;內(nèi)部監(jiān)管

2020年，脫口秀演員池子與東家公司打官司中發(fā)生詭異一幕，中信銀行上海虹口支行未獲池子本人授權(quán)，且未經(jīng)司法機(jī)關(guān)合法調(diào)查程序的情況下，將其個(gè)人名下銀行賬戶交易明細(xì)直接提供給上海笑果文化公司。該銀行的行為明顯侵犯了當(dāng)事人的個(gè)人信息權(quán)益，池子隨即委托律師向笑果文化以及中信銀行上海虹口支行發(fā)出律師函，并向銀保監(jiān)會(huì)等監(jiān)管部門進(jìn)行實(shí)名投訴和舉報(bào)。事情曝光以后中信銀行口碑風(fēng)評(píng)一度被推到風(fēng)口浪尖。商業(yè)銀行作為客戶個(gè)人信息的直接接觸者，如何在發(fā)展的同時(shí)保護(hù)這些信息安全，值得我們深思。

一、個(gè)人信息的定義及概念

截至2020年，我國(guó)頒布了一系列有關(guān)個(gè)人信息保護(hù)的法律法規(guī)，明確將個(gè)人信息定義為以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映自然人活動(dòng)情況的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、交易信息等。目前，我國(guó)對(duì)個(gè)人信息的保護(hù)體現(xiàn)在各部門法律文件中，例如《民法典》、《網(wǎng)絡(luò)安全法》等。同時(shí)，全世界已經(jīng)有120多個(gè)國(guó)家制定了有關(guān)個(gè)人信息保護(hù)的相關(guān)法律，足以說明其重要性，如歐盟出臺(tái)《通用數(shù)據(jù)保護(hù)條例》、美國(guó)《隱私法案》、日本《個(gè)人信息保護(hù)法》等。如今社會(huì)處于科技高速發(fā)展的階段，信息化程度不斷提升，而個(gè)人信息保護(hù)也上升為全民熱點(diǎn)關(guān)注問題。黨中央一直以來高度重視此問題，以期在個(gè)人信息保護(hù)和信息化高速發(fā)展之間找到平衡點(diǎn)。就在2020年10月21日，我國(guó)立法部門就發(fā)布《個(gè)人信息保護(hù)法草案》，征求各方意見建議，立法工作正在有條不紊開展。

二、商業(yè)銀行對(duì)于個(gè)人信息保護(hù)的重要作用

個(gè)人金融信息與經(jīng)濟(jì)發(fā)展、國(guó)家安全息息相關(guān)。特別是在向數(shù)字金融轉(zhuǎn)型的過程中，個(gè)人金融信息保護(hù)事關(guān)我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展壯大。商業(yè)銀行在日常經(jīng)營(yíng)活動(dòng)中，能夠最直接的獲取到客戶的個(gè)人信息，且絕大部分是個(gè)人金融信息，事關(guān)個(gè)人的金融安全。廣大群眾在與商業(yè)銀行進(jìn)行業(yè)務(wù)往來時(shí)往往處于弱勢(shì)地位，被動(dòng)接受商業(yè)銀行的安排，提供詳盡的個(gè)人信息、填寫各項(xiàng)相關(guān)表格，銀行機(jī)構(gòu)與系統(tǒng)由于獨(dú)特的技術(shù)與專業(yè)優(yōu)勢(shì)，整合客戶的消費(fèi)、存取等動(dòng)態(tài)信息，早已掌握大部分人的身份、消費(fèi)習(xí)慣、資產(chǎn)狀況等與人身有密切聯(lián)系的信息。此外，商業(yè)銀行所掌握的個(gè)人信息中的金融信息兼具人格利益和財(cái)產(chǎn)利益，與普通個(gè)人信息相比，其所體現(xiàn)的財(cái)產(chǎn)利益也更為明顯。一旦發(fā)生個(gè)人金融信息泄露、銀行卡被盜刷等事件，銀行又多以已履行告知和妥善保管義務(wù)，屬于客戶保管不善等原因主張免責(zé)。由此看來，商業(yè)銀行作為個(gè)人金融信息流通過程中的信息集合地，在個(gè)人信息保護(hù)問題上顯得尤為重要。

三、商業(yè)銀行在個(gè)人信息保護(hù)上的現(xiàn)狀和問題

1.缺乏系統(tǒng)性規(guī)定

目前國(guó)家對(duì)于商業(yè)銀行保護(hù)個(gè)人信息的法律規(guī)定呈現(xiàn)碎片化特點(diǎn)，沒有一個(gè)系統(tǒng)的法律規(guī)定加以規(guī)范，同時(shí)現(xiàn)有的法律法規(guī)也有待改進(jìn)，商業(yè)銀行缺乏法律引導(dǎo)。比如，商業(yè)銀行監(jiān)管規(guī)章制度針對(duì)電子銀行業(yè)務(wù)、信用卡業(yè)務(wù)、儲(chǔ)蓄存款業(yè)務(wù)等方面的客戶個(gè)人信息保護(hù)作出個(gè)別規(guī)定，難以覆蓋銀行業(yè)提供的各類金融業(yè)務(wù)，無法全面規(guī)范客戶個(gè)人信息采集、保管和銷毀的全流程。

2.沒有針對(duì)相關(guān)法律文件作出具體的操作條款

法律對(duì)于相關(guān)問題的規(guī)定時(shí)較原則性的，可操作性不強(qiáng)，這需要商業(yè)銀行的相關(guān)部門在法律規(guī)定的原則基礎(chǔ)之上制定具體的操作流程和具體條款，以保證個(gè)人信息保護(hù)能夠落實(shí)在與客戶的每一筆業(yè)務(wù)之中，在每一個(gè)環(huán)節(jié)都給客戶切切實(shí)實(shí)的安全感。

3.商業(yè)銀行個(gè)人信息保護(hù)的監(jiān)管職責(zé)待強(qiáng)化，專項(xiàng)處罰措施待明確

商業(yè)銀行個(gè)人信息與人信息相比，具有特殊性，與個(gè)人的資產(chǎn)、信用狀況等緊密相關(guān)，一旦泄露對(duì)客戶的財(cái)產(chǎn)安全將會(huì)造成很大威脅，但《商業(yè)銀行法》和其他相關(guān)法律規(guī)定對(duì)于主管部門的監(jiān)管職責(zé)和處罰措施的規(guī)定較少，商業(yè)銀行內(nèi)部對(duì)于該類行為的規(guī)治措施就更少，使得個(gè)人信息重要性在銀行內(nèi)部得不到重視，違規(guī)行為也得不到相應(yīng)的懲罰。

四、商業(yè)銀行針對(duì)個(gè)人信息保護(hù)的改善意見

1.確立銀行內(nèi)部的個(gè)人信息保護(hù)制度，做到有法可依

業(yè)務(wù)部門與合規(guī)部應(yīng)該在我國(guó)有關(guān)保護(hù)個(gè)人信息的法律法規(guī)基礎(chǔ)之上，將個(gè)人信息保護(hù)內(nèi)容納入相關(guān)規(guī)章制度、業(yè)務(wù)流程及業(yè)務(wù)規(guī)范，施行責(zé)任負(fù)責(zé)制原則，出現(xiàn)問題追本溯源，追究處罰相關(guān)責(zé)任人，爭(zhēng)取在各方面對(duì)個(gè)人信息做好保護(hù)。同時(shí)各部門的權(quán)限職責(zé)要嚴(yán)格厘清，包括但不限于獲取金融消費(fèi)者個(gè)人信息時(shí)所要通過的各項(xiàng)審批程序，以及金融消費(fèi)者個(gè)人信息發(fā)生泄露、損毀、遺失時(shí)應(yīng)當(dāng)采取何種補(bǔ)救措施等。同時(shí)，銀行還應(yīng)當(dāng)完善內(nèi)部員工培訓(xùn)管理制度，針對(duì)個(gè)人信息保護(hù)意識(shí)方面重點(diǎn)強(qiáng)化。

2.對(duì)有關(guān)個(gè)人信息的格式合同條款進(jìn)行優(yōu)化完善

目前商業(yè)銀行也面臨著數(shù)字化轉(zhuǎn)型升級(jí)，需要通過電話、短信、線上營(yíng)銷等方式進(jìn)行產(chǎn)品推薦和活動(dòng)推廣，必然會(huì)對(duì)行內(nèi)留存客戶的個(gè)人信息進(jìn)行應(yīng)用和處理，合理地使用能夠拓寬銀行業(yè)務(wù)的渠道，并且能夠增強(qiáng)客戶體驗(yàn)，滿足客戶更多的金融需求。但此商業(yè)銀行在進(jìn)行此類營(yíng)銷方式時(shí)，應(yīng)當(dāng)在客戶首次留存信息時(shí)就口頭提示客戶，并與客戶書面形式確認(rèn)。

在開展業(yè)務(wù)的過程中，為對(duì)客戶的金融風(fēng)險(xiǎn)進(jìn)行有效及時(shí)的確認(rèn)，收集個(gè)人信息的行為在所難免，但為保障金融消費(fèi)者個(gè)人信息權(quán)益不受侵害，應(yīng)對(duì)搜集個(gè)人信息的目的、范圍和使用方法等事項(xiàng)與利用范圍進(jìn)行明確規(guī)定，防止各類打擦邊球的行為。

3.商業(yè)銀行在于第三方進(jìn)行合作時(shí)，應(yīng)保證個(gè)人信息安全

商業(yè)銀行與第三方開展合作或者將業(yè)務(wù)進(jìn)行外包是極其常見的事項(xiàng)。例如，與保險(xiǎn)公司、汽車經(jīng)銷商、移動(dòng)通信運(yùn)營(yíng)商等第三方開展?fàn)I銷合作、將各項(xiàng)業(yè)務(wù)分包給第三方。在合作過程中將客戶個(gè)人信息披露給合作方時(shí)業(yè)務(wù)開展的需要，對(duì)此商業(yè)銀行要對(duì)自己的合作方負(fù)責(zé)，對(duì)自己的披露行為負(fù)責(zé)，要對(duì)合作方的各項(xiàng)資質(zhì)嚴(yán)格審查，用保密協(xié)議等書面形式對(duì)第三方的行為加以約束，保障客戶的個(gè)人信息不被非法利用。

4.做好個(gè)人信息數(shù)據(jù)開發(fā)安全工作

商業(yè)銀行每一項(xiàng)新系統(tǒng)開發(fā)上線前，必須做好個(gè)人信息收集、處理、傳輸、儲(chǔ)存等安全測(cè)試，并在上線后及時(shí)跟蹤評(píng)估，系統(tǒng)不定期升級(jí)，排查漏洞和自檢風(fēng)險(xiǎn)。對(duì)于個(gè)人信息發(fā)生泄露、毀損等安全事件，及時(shí)妥善處理，做好記錄，分析原因，及時(shí)上報(bào)主管部門，制定相應(yīng)補(bǔ)救措施，防止事態(tài)進(jìn)一步惡化，把風(fēng)險(xiǎn)損失降到最低。

5.內(nèi)部加強(qiáng)自檢自查工作

商業(yè)銀行應(yīng)堅(jiān)持內(nèi)部自檢自查工作常態(tài)化、長(zhǎng)效化、精細(xì)化，深入推進(jìn)個(gè)人信息保護(hù)工作取得更大實(shí)效。加強(qiáng)對(duì)全行各部門機(jī)構(gòu)不定期排查工作，對(duì)各部門業(yè)務(wù)的各個(gè)環(huán)節(jié)進(jìn)行嚴(yán)格檢查，全面落實(shí)指定的相關(guān)個(gè)人信息保護(hù)制度，對(duì)日常工作中顯現(xiàn)的缺陷和漏洞進(jìn)行填補(bǔ)和補(bǔ)充，對(duì)相關(guān)文件進(jìn)行更新改善，逐步完善客戶個(gè)人信息保護(hù)的各項(xiàng)機(jī)制落實(shí)。

參考文獻(xiàn)：

[1]高巖.銀行客戶信息泄露問題值得關(guān)注[J].中國(guó)信用卡，2011，（12）：41-44.

[2]劉暢;大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)問題研究[D];東北財(cái)經(jīng)大學(xué);2016.