互聯網時代下銀行業金融機構消費者個人信息保護的困境及合理化建議

劉融

一、互聯網時代下銀行業金融機構金融消費發展的現狀

（一）互聯網時代下銀行業金融已成為金融消費的重要組成部分

隨著電子商務向縱深發展，互聯網金融產品和服務因更加貼近金融需求而倍受消費者青睞。銀行業金融機構不斷對自身經營理念、服務方式及提供的金融產品進行改革，如工商銀行的融e購，農業銀行“手機WAP支付”與“電話錢包支付”，建設銀行的“善融商務”網上交易平臺等，都旨在推進互聯網絡與金融服務的一體化。

（二）互聯網金融消費權益保護日益受到社會關注

隨著互聯網金融業務迅速發展與消費規模的不斷增大，公眾參與互聯網金融的程度不斷加深，以及金融消費者的自我保護意識不斷增強，互聯網金融在給金融消費者帶來了極大的便利的同時，也對金融消費者保護提出挑戰，互聯網金融消費者糾紛不斷增多，呈多樣化、復雜化態勢。特別是2013年以來，以互聯網支付、P2P網絡信貸、眾籌融資等為代表的互聯網金融業務快速增長，部分網貸公司資金違約、個人金融信息被泄露、余額寶賬戶被盜刷等侵害消費者權益事件，使互聯網金融消費者保護問題日益凸顯，并作為社會熱點問題而倍受各界關注。

二、互聯網時代下銀行業金融機構消費者個人信息泄露成因

（1）竊取者通過互聯網網絡破壞、盜取銀行業金融消費者個人信息。一般網絡金融業務過程采用電子數據化的的運作方式，由銀行賬戶管理系統、電子貨幣系統、信用卡系統和網上服務系統等組成的數字網絡處理業務。信息竊取者或黑客通過互聯網絡破壞信息，竊取信息，使得金融消費者個人信息被泄露或名譽被侵權。如：近期，中信銀行大連分行戴某利用內部管理、網絡熊、監控設置上的漏洞，安裝和使用征信數據批量下載工具倒賣個人征信信息。

（2）金融機構通過信息共享等方式加大信息泄露的風險。部分金融機構為提高其在市場中的競爭力，會將金融消費者的金融信息用于金融服務和金融產品交易之外的用途，或與其他金融機構、商業機構形成信息共享機制，加大了金融消費者個人信息泄露的風險。

（3）網絡支付泄露金融消費者個人信息。隨著互聯網的發展，在網絡支付中，由于交易雙方不進行現場交易，無法通過系統面對面的方式確認雙方的合法身份，各類交易信息包括用戶個人信息、賬戶信息、資金信息等需要互聯網傳輸，因而存在可能被非法盜取、篡改的風險。

三、互聯網時代下銀行業金融機構消費者個人信息保護的困境

（1）法律支撐缺失，責任追究困難。目前，我國尚未出臺專門的個人金融信息保護法，涉及個人金融信息保護的現行法律規定或者過于原則，操作性不強，或者法律層級低，效力不足，并且散落在諸多法律條文中，不成體系，存在著相互沖突、交叉，也存在著盲區。在權益保護層面，信息主體權益保護的法律規范主要在《憲法》、《民法通則》、《刑法修正案》、《商業銀行法》、《反洗錢法》、《征信業管理條例》等有關法律法規中做間接原則規定或針對特定領域的個人信息保護；在行政法層面，對于侵犯個人金融信息但尚未構成5犯罪的行為，銀行業監管法規沒有規定直接適用的罰則，監管部門也缺乏對銀行違規泄漏客戶個人金融信息進行行政處罰的直接依據。

（2）人民銀行、銀監局等監管部門監管領域狹窄，銀行業金融機構監督考核乏力。一方面監管部門對個人金融信息保護的監管還處于起步階段，現有的監管制度較為零散且操作性不強，僅對儲蓄存款、電子銀行、信用卡等業務領域的客戶個人金融信息保護做出了個別規定，原則性規定較多，而操作性條款卻少之又少。另一方面雖然大多數銀行業在客戶個人金融信息保護方面做了一些內部的規定，但大多監督考核都流于形式，且對于員工的客戶個人信息保護宣傳教育工作不到位。

（3）網絡技術防范滯后，系統功能不足。部分銀行網絡技術防范滯后，容易受到釣魚網站、木馬病毒等攻擊，加之內部員工非法竊取數據、外部黑客攻擊數據等技術防范手段欠缺，導致操作人員可通過光驅、USB等數據輸出設備，隨意復制、保存客戶信息。

信息系統的查詢輸出功能設置技術防護手段，加之密碼設置過于簡單，使得多名用戶均可以登陸查詢。

（4）金融消費者認知程度偏低，防范意識淡薄。互聯網金融產品較新，由于受金融消費者客戶的自身素質不高、金融機構的宣傳缺失、風險防范意識淡薄等因素，如：登錄互聯網交易的密碼過于簡單、黑客盜取個人信息實行詐騙等。

四、互聯網時代下銀行業金融機構消費者個人信息保護的合理化建議

（1）加快立法進程，強化督查力度。建議國務院法制辦與人總行借鑒歐盟、美國、日本等先進國家的經驗，盡快出臺《中華人民共和國個人金融信息保護法》，從法律層面上確立人民銀行履行個人客戶信息保護工作的監管職責，并為銀行開展客戶個人金融信息保護工作提供操作標準和執行依據；盡快完善《銀行卡業務管理辦法》、《儲蓄管理條例》、《個人存款賬戶實名制規定》等個人金融信息保護相關法律、法規，使其適應個人金融信息保護工作中不斷出現的新情況和新問題。

（2）完善內控機制，創新管理手段。一是完善內控機制。基銀行業機構要主動整合內部資源，建立上下級機構聯動、同級部門協調配合的管理體制和工作機制，并明確各級機構、部門在客戶個人金融信息保護方面的職責；進一步完善涉及客戶個人金融信息收集、加工、保存、存儲、下載、傳輸、使用、對外提供、投訴處理、應急處置等方面的內控制度；加強涉及客戶個人金融信息業務系統的權限控制，確保個人金融信息操作崗位權限與職責相匹配。二是加強教育、宣傳和管理。應采取多種形式加強員工特別是新錄用和從事個人金融業務的員工保密教育和職業道德教育，引導金融消費者增強維權意識，并發揮其社會監督作用；加強對保密要害部門、要害崗位、涉密工作人員以及業務外包單位與合作單位工作人員的管理。

（3）創新科技管理手段。應對信息系統技術風險進行評估，綜合運用先進的防火墻、身份識別與認證、數據加密、數字簽名、第三方認證以及網絡安全監控等技術，有效防范外部攻擊；可以借鑒公安、安全、保密等部門案件防控、信息保護先進技術和成功經驗。

（4）引導金融消費者增強維權意識。組織開展金融消費者基本知識和消費者權益保護宣傳教育，強化金融消費者維護自身權利和義務，進一步增強消費者個人信息主體維權意識，不斷提高自我保護意識和能力。