完善银行客户个人信息保护机制思索.docVIP

完善银行客户个人信息保护机制思索一、我国银行客户个人信息保护的法律法规建设情况 （一）国家法律法规建设情况 我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规定。《民法通则》第99—101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案（七）》将侵犯公民个人信息的行为纳入刑事犯罪的范畴，规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第29条则规定：“商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密，不得披露。对个人储蓄银存款 ，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求，是商业银行在办理个人存款业务时必须遵循的原则。 （二）部门规章建设情况 人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52条规定：“金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”；《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第28条规定：“金融机构应采取必要管理措施和技术措施，防止客户身份资料和交易记录的缺失、损毁，防止泄漏客户身份信息和交易信息”；银监会《商业银行信息科技风险管理指引》第四章以专章形式规定了信息安全，对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第2条规定：“银行业金融机构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用”；《商业银行信用卡业务监督管理办法》第3条规定：“商业银行经营信用卡业务，应当依法保护客户合法权益和相关信息安全。未经客户授权，不得将相关信息用于本行信用卡业务以外的其他用途”。 二、我国银行客户个人信息保护存在的主要问题 （一）客户个人信息保护法律法规缺失 1.行政法责任缺失。我国尚未制订专门的《个人信息保护法》，对个人信息的保护主要依据《民法通则》中对个人姓名权、肖像权和名誉权的规定，个人信息主体的权利难以得到全面明确和保护。从我国现有法规来看，对侵犯公民个人信息的行为，《民法通则》规定了损害赔偿的民事责任，《刑法》规定了出售、非法提供及非法获取公民个人信息应承担的刑事责任，而在行政法层面，对于侵犯银行客户个人信息但尚未构成犯罪的行为，银行业监管法规没有适用的罚则，监管部门也缺乏对银行违规泄露客户信息的罚则。 2.例外规定缺失。银行对客户个人信息的保密与保密例外是银行保密制度中并行的两大部分，遗憾的是我国法律法规在规定银行负有保密义务的同时，却没有系统地规定保密例外的情形，而仅是为了执法与司法的方便，在《民事诉讼法》、《刑事诉讼法》、《税收征收管理法》等法律法规中，分别赋予人民法院、人民检察院、公安机关、税务机关等机构在特定情形下查询、冻结和划拨银行客户资金的权力。现有法律法规没有将基于当事人授权、社会征信及社会公共利益而进行的信息公开等列为银行保密义务的例外，不利于对银行业和社会公众合法权益的保护。 3.监管法规缺失。一是规定较为零散。现行银行业监管法规仅分别针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定，无法覆盖银行业提供的各类业务全流程。二是针对性不强。如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》虽然对客户信息安全管理做了一些规定，但立法目的是加强反洗钱，不是针对客户个人信息保护。三是原则性规定较多，缺乏具体条款，可操作性不强。 （二）银行客户个人信息保护不力的表现 1.管理架构不健全。目前，部分基层银行业金融机构的管理重点更多的仍倾向于存贷款规模、资产质量、利润等业绩指标和信用风险等常规风险管控，而未将客户信息保护纳入银行整体风险管理框架中。客户信息多头管理，未成立专门的客户信息风险管理领导机构，缺乏有效的制约机制，员工风险意识较为薄弱，基层银行业信息管理漏洞较为突出。 2.尺度标准不一致。由于对客户信息保护缺乏统一的行业标准，银行业间执行情况参差不齐，主要表现在客户信息保护的侧重点不同、客户信息使用管理制度不一致等方面。对客户信息资料处理的执行标准不一加大了外界在政策把握方面的难度，不利于引导客户及时行使保护个人信息安全的权利，在银行内部约束机制引发客户投诉与纠纷，加大了银行经营管理中的操作风险和声誉风险。