完善银行客户个人信息保护机制的思考[学习].pdfVIP

完善银行客户个人信息保护机制的思考 　一、我国银行客户个人信息保护的法律法规建设情况 　　（一）国家法律法规建设情况 　　我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规 定。《民法通则》第99— 101 条分别对公民的姓名权、肖像权和名誉权作出保护规 定。《刑法修正案（七）》将侵犯公民个人信息的行为纳入刑事犯罪的范畴，规定了 出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行 法》第29 条则规定：“商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款 自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人 的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情 况都要严格的保守秘密，不得披露。对个人储蓄银存款 ，商业银行有权拒绝任何 单位或者个人查询、冻结、扣划，但法律另有规定的除外。这一原则是保护存款 人合法权益的最基本要求，是商业银行在办理个人存款业务时必须遵循的原则。 　　（二）部门规章建设情况 　　人民银行、银监会等部 在其规章中针对电子银行、反洗钱及信用卡业务等 方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52 条规 定：“金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息 和隐私保护的规 ” ；《金融机构客户身份识别和客户身份资料及交易记录保存管 理办法》第28 条规定：“金融机构应采取必要管理措施和技术措施，防止客户身份 资料和交易记录的缺失、损毁，防止泄漏客户身份信息和交易信息” ；银监会《商 业银行信息科技风险管理指引》第四章以专章形式规定了信息安全，对信息安全 管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于 银行业金融机构做好个人金融信息保护工作的通知》第2 条规定：“银行业金融机 构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取 有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用” ；《商 业银行信用卡业务监督管理办法》第3 条规定：“商业银行经营信用卡业务 （ 整理提供），应当依法保护客户合法权益和相关信息安全。 未经客户授权，不得将相关信息用于本行信用卡业务以外的其他用途”。 　　二、我国银行客户个人信息保护存在的主要问题 　　（一）客户个人信息保护法律法规缺失 　　1.行政法责任缺失。我国尚未制订专 的《个人信息保护法》，对个人信息的 保护主要依据《民法通则》中对个人姓名权、肖像权和名誉权的规定，个人信息主 体的权利难以得到全面明确和保护。从我国现有法规来看，对侵犯公民个人信息 的行为，《民法通则》规定了损害赔偿的民事责任，《刑法》规定了出售、非法提供及 非法获取公民个人信息应承担的刑事责任，而在行政法层面，对于侵犯银行客户 个人信息但尚未构成犯罪的行为，银行业监管法规没有适用的罚则，监管部 也 缺乏对银行违规泄露客户信息的罚则。 　　2.例外规定缺失。银行对客户个人信息的保密与保密例外是银行保密制度中 并行的两大部分，遗憾的是我国法律法规在规 银行负有保密义务的同时，却没 有系统地规定保密例外的情形，而仅是为了执法与司法的方便，在《民事诉讼法》、 《刑事诉讼法》、《税收征收管理法》等法律法规中，分别赋予人民法院、人民检察院、 公安机关、税务机关等机构在特定情形下查询、冻结和划拨银行客户资金的权力。 现有法律法规没有将基于当事人授权、社会征信及社会公共利益而进行的信息 公开等列为银行保密义务的例外，不利于对银行业和社会公众合法权益的保护。 　　3.监管法规缺失。一是规 较为零散。现行银行业监管法规仅分别针对储蓄 存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定， 无法覆盖银行业提供的各类业务全流程。二是针对性不强。如《金融机构客户身 份识别和客户身份资料及交易记录保存管理办法》虽然对客户信息安全管理做了 一些规定，但立法目的是加强反洗钱，不是针对客户个人信息保护。三是原则性 规 较多，缺乏具体条款，可操作性不强。 　　（二）银行客户个人信息保护不力的表现 　　1.管理架构不健全。目前，部分基层银行业金融机构的管理重点更多的仍倾 向于存贷款规模、资产质量、利润等业绩指标和信用风险等常规风险管控，而未 将客户信息保护纳入银行整体风险管理框架中。客户信息多头管理，未成立专 的客户信息风险管理领导机构，缺乏有效的制约机制，员工风险意识较为薄弱， 基层银行业信息管理漏洞较为突出。 　　2.尺度标准不一致。由于对客户信息保护缺乏统一的行业标准，银行业间执 行