商業銀行個人信息泄露問題啟示

鄧小華 王果

摘要：隨著科學技術的發展，商業銀行中個人信息的應用場景面臨著前所未有的發展機遇，它提升了商業銀行的日常經營效率、降低交易成本，提升服務質量，然而，目前我國商業銀行存在個人信息保護的立法滯后且不完備，現有的相關法律規定缺乏可操作性，有關個人信息保護的監管職責不明確、處罰缺位，基層分支機構對個人信息保護不夠重視等一系列問題，在金融科技迅猛發展的同時，如何保護這些信息安全不受侵犯，維護客戶的資金安全，強化對客戶個人信息的保護值得我們深思。本文著重以商業銀行內部監管角度為切入點，針對目前商業銀行在個人信息保護上的現狀和問題，提出了幾點完善建議。

關鍵詞：個人信息保護;商業銀行;內部監管

2020年，脫口秀演員池子與東家公司打官司中發生詭異一幕，中信銀行上海虹口支行未獲池子本人授權，且未經司法機關合法調查程序的情況下，將其個人名下銀行賬戶交易明細直接提供給上海笑果文化公司。該銀行的行為明顯侵犯了當事人的個人信息權益，池子隨即委托律師向笑果文化以及中信銀行上海虹口支行發出律師函，并向銀保監會等監管部門進行實名投訴和舉報。事情曝光以后中信銀行口碑風評一度被推到風口浪尖。商業銀行作為客戶個人信息的直接接觸者，如何在發展的同時保護這些信息安全，值得我們深思。

一、個人信息的定義及概念

截至2020年，我國頒布了一系列有關個人信息保護的法律法規，明確將個人信息定義為以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映自然人活動情況的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、交易信息等。目前，我國對個人信息的保護體現在各部門法律文件中，例如《民法典》、《網絡安全法》等。同時，全世界已經有120多個國家制定了有關個人信息保護的相關法律，足以說明其重要性，如歐盟出臺《通用數據保護條例》、美國《隱私法案》、日本《個人信息保護法》等。如今社會處于科技高速發展的階段，信息化程度不斷提升，而個人信息保護也上升為全民熱點關注問題。黨中央一直以來高度重視此問題，以期在個人信息保護和信息化高速發展之間找到平衡點。就在2020年10月21日，我國立法部門就發布《個人信息保護法草案》，征求各方意見建議，立法工作正在有條不紊開展。

二、商業銀行對于個人信息保護的重要作用

個人金融信息與經濟發展、國家安全息息相關。特別是在向數字金融轉型的過程中，個人金融信息保護事關我國數字經濟發展壯大。商業銀行在日常經營活動中，能夠最直接的獲取到客戶的個人信息，且絕大部分是個人金融信息，事關個人的金融安全。廣大群眾在與商業銀行進行業務往來時往往處于弱勢地位，被動接受商業銀行的安排，提供詳盡的個人信息、填寫各項相關表格，銀行機構與系統由于獨特的技術與專業優勢，整合客戶的消費、存取等動態信息，早已掌握大部分人的身份、消費習慣、資產狀況等與人身有密切聯系的信息。此外，商業銀行所掌握的個人信息中的金融信息兼具人格利益和財產利益，與普通個人信息相比，其所體現的財產利益也更為明顯。一旦發生個人金融信息泄露、銀行卡被盜刷等事件，銀行又多以已履行告知和妥善保管義務，屬于客戶保管不善等原因主張免責。由此看來，商業銀行作為個人金融信息流通過程中的信息集合地，在個人信息保護問題上顯得尤為重要。

三、商業銀行在個人信息保護上的現狀和問題

1.缺乏系統性規定

目前國家對于商業銀行保護個人信息的法律規定呈現碎片化特點，沒有一個系統的法律規定加以規范，同時現有的法律法規也有待改進，商業銀行缺乏法律引導。比如，商業銀行監管規章制度針對電子銀行業務、信用卡業務、儲蓄存款業務等方面的客戶個人信息保護作出個別規定，難以覆蓋銀行業提供的各類金融業務，無法全面規范客戶個人信息采集、保管和銷毀的全流程。

2.沒有針對相關法律文件作出具體的操作條款

法律對于相關問題的規定時較原則性的，可操作性不強，這需要商業銀行的相關部門在法律規定的原則基礎之上制定具體的操作流程和具體條款，以保證個人信息保護能夠落實在與客戶的每一筆業務之中，在每一個環節都給客戶切切實實的安全感。

3.商業銀行個人信息保護的監管職責待強化，專項處罰措施待明確

商業銀行個人信息與人信息相比，具有特殊性，與個人的資產、信用狀況等緊密相關，一旦泄露對客戶的財產安全將會造成很大威脅，但《商業銀行法》和其他相關法律規定對于主管部門的監管職責和處罰措施的規定較少，商業銀行內部對于該類行為的規治措施就更少，使得個人信息重要性在銀行內部得不到重視，違規行為也得不到相應的懲罰。

四、商業銀行針對個人信息保護的改善意見

1.確立銀行內部的個人信息保護制度，做到有法可依

業務部門與合規部應該在我國有關保護個人信息的法律法規基礎之上，將個人信息保護內容納入相關規章制度、業務流程及業務規范，施行責任負責制原則，出現問題追本溯源，追究處罰相關責任人，爭取在各方面對個人信息做好保護。同時各部門的權限職責要嚴格厘清，包括但不限于獲取金融消費者個人信息時所要通過的各項審批程序，以及金融消費者個人信息發生泄露、損毀、遺失時應當采取何種補救措施等。同時，銀行還應當完善內部員工培訓管理制度，針對個人信息保護意識方面重點強化。

2.對有關個人信息的格式合同條款進行優化完善

目前商業銀行也面臨著數字化轉型升級，需要通過電話、短信、線上營銷等方式進行產品推薦和活動推廣，必然會對行內留存客戶的個人信息進行應用和處理，合理地使用能夠拓寬銀行業務的渠道，并且能夠增強客戶體驗，滿足客戶更多的金融需求。但此商業銀行在進行此類營銷方式時，應當在客戶首次留存信息時就口頭提示客戶，并與客戶書面形式確認。

在開展業務的過程中，為對客戶的金融風險進行有效及時的確認，收集個人信息的行為在所難免，但為保障金融消費者個人信息權益不受侵害，應對搜集個人信息的目的、范圍和使用方法等事項與利用范圍進行明確規定，防止各類打擦邊球的行為。

3.商業銀行在于第三方進行合作時，應保證個人信息安全

商業銀行與第三方開展合作或者將業務進行外包是極其常見的事項。例如，與保險公司、汽車經銷商、移動通信運營商等第三方開展營銷合作、將各項業務分包給第三方。在合作過程中將客戶個人信息披露給合作方時業務開展的需要，對此商業銀行要對自己的合作方負責，對自己的披露行為負責，要對合作方的各項資質嚴格審查，用保密協議等書面形式對第三方的行為加以約束，保障客戶的個人信息不被非法利用。

4.做好個人信息數據開發安全工作

商業銀行每一項新系統開發上線前，必須做好個人信息收集、處理、傳輸、儲存等安全測試，并在上線后及時跟蹤評估，系統不定期升級，排查漏洞和自檢風險。對于個人信息發生泄露、毀損等安全事件，及時妥善處理，做好記錄，分析原因，及時上報主管部門，制定相應補救措施，防止事態進一步惡化，把風險損失降到最低。

5.內部加強自檢自查工作

商業銀行應堅持內部自檢自查工作常態化、長效化、精細化，深入推進個人信息保護工作取得更大實效。加強對全行各部門機構不定期排查工作，對各部門業務的各個環節進行嚴格檢查，全面落實指定的相關個人信息保護制度，對日常工作中顯現的缺陷和漏洞進行填補和補充，對相關文件進行更新改善，逐步完善客戶個人信息保護的各項機制落實。

參考文獻：

[1]高巖.銀行客戶信息泄露問題值得關注[J].中國信用卡，2011，（12）：41-44.

[2]劉暢;大數據時代個人信息保護問題研究[D];東北財經大學;2016.