浅谈个人金融信息的现状与对策

-.z.摘要：近年来，随着全球金融业信息化和网络化不断开展，个人金融信息侵权行为不断增加，这不但会侵害客户合法权益，也会增加金融机构诉讼风险和运营本钱，进而影响地区金融生态环境和金融平安稳定。本文在实地调查 ****地区个人金融信息领域金融消费者权益保护现状和缺乏的根底上，通过借鉴欧美国家的先进经历，提出了相应的对策建议。

一、根本情况

〔一〕个人信息的构成一般是由生活和工作两大方面，生活信息，包括：个人或家庭组成和成员信息、个人或家庭财产信息、个人或家庭成长信息等；工作信息，包括：目标管理、职业规划、工作任务、日程方案、通讯信息、、工作日记、纸质和电子文档等。〔二〕个人信息滥用的形式逐渐多样化。具体而言，个人信息被滥用包括以下几种形式：

1、擅自提供个人信息。有关机构未经法律授权、未经本人同意，将所掌握的个人信息提供应其他机构。比方，银行、保险公司、航空公司等机构之间未经客户授权或者超出授权围共享客户信息，这是一些企业获取他人信息的重要渠道。

2、非法买卖个人信息。近年来，非法买卖个人信息牟利的问题十分严重。社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象，并形成了一个新兴的产业。

3、有关机构不能对掌握的个人信息尽到妥善保管的义务，导致个人信息遗失、泄露。比方，*高校就发生过数千名学生和教师的电子学籍管理系统账号和密码外泄的事件。而医疗机构将病历卡挂在住院病人床头、将化验单放在检验室门口任由患者和家属自取的做法也属于保管不善。

4、个人信息被冒用。在本人不知情的情况下，其个人信息被他人冒用办理有关的业务。比方，冒用他人件，办理银行开户业务、电信入网业务、驾照申办业务等。二、金融效劳行业中个人信息的状况〔一〕金融机构个人金融信息管理意识较弱。从目前各金融机构情况来看，金融机构对个人金融信息保护的意识较为薄弱，普遍未认识到个人金融信息是关乎客户隐私保护和金融平安的重要因素，现在的银行机构均未将个人金融信息泄漏作为一种重要风险来对待，未将个人金融信息保护纳入金融机构整体风险管理框架中。根据网上已发布的调查还显示，75%的一般居民和个体工商户表示金融机构在对其营销业务产品和提供效劳过程中未进展个人金融信息保护知识的培训，未履行对客户风险防护和告知义务；仅25%表示在办理业务中金融机构提及过。

〔二〕金融机构个人金融信息管理制度建立不到位。从实地调查情况看，辖区银行机构均建立了金融消费者保护工作机构，并建立健全相应的管理制度，但在个人金融信息保护制度建立方面还不到位，银行机构均未形成完善的个人金融信息保护管理制度，已有的制度主要分散于信息平安管理或银行卡、存贷款等各类具体业务制度中，没有形成体系，也不符合"中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知"规定的要求覆盖信息采集、传输、加工、保存、使用和销毁等所有工作环节的要求。

〔三〕客户个人金融信息保护意识整体不强。金融机构客户层次有差异，素质参差不齐，对个人金融信息保护工作的认知度一般，据网上调查显示25%的一般居民和个体工商户对个人金融信息领域金融消费者权益保护工作比拟了解，40%的听说过，35%表示不知道；55%的被调查居民和个体工商户对个人金融信息的如何使用保管表示不了解，知道一些的仅占25%，且都在不同程度上存在办理业务时的泄露个人金融信息的现象；65%的被调查居民和个体工商户不清楚个人金融信息泄露的途径以及相应的维权措施，了解的仅占15%。

三、个人金融信息领域金融消费者权益保护缺乏和问题

〔一〕个人金融信息保护法律不完善、行政法律责任缺失。一是目前我国尚未设立专门的个人信息保护法，立法散乱，呈零星、分散状态，不成体系，主要是："宪法"中规定公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利、国家尊重和保障人权等。在"民法通则"中规定公民、法人享有名誉权。"刑法修正案"中规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。近年来，我国不断加大对个人信息的保护，相关立法组织已向国务院提交了"个人信息平安保护法"草案。二是行政责任缺失，对于侵犯银行客户个人信息但尚未构成犯罪的行为，没有规定直接适用的罚则，监管部门也缺乏对金融机构违规泄漏客户信息进展处分的直接依据。

〔二〕金融机构个人金融信息管理控机制不健全。辖区金融机构普遍未形成个人金融信息保护的有效组织管理机制，各业务部门在个人金融信息保护方面各自为政，缺乏统一管理。一是没有专门的组织机构，缺乏专职个人信息保护人员，个人信息保护的职能难于充分发挥。二是信息查询监测不到位，缺乏信息调阅查询的监测检查记录，难于跟踪个人信息使用的全过程。三是个人信息保护平安教育不到位，对外包人员行为的控制也有所欠缺。

〔三〕金融机构个人金融信息技术管控能力不强、信息系统建立管理不完善。金融机构存储个人金融信息的系统建立管理不完善，各系统缺乏保护监视制约机制，未对系统进展统一整合。以农业银行为例，当前个人金融信息分散在存贷款、支付结算、银行卡、电子银行等业务中，业务又分属不同部门运营，且由不同信息系统支持，形成许多信息孤岛，使得信息保护更加困难。一是各系统之间缺乏信息保护监视制约机制，对系统查询信息的权限控制缺乏，工作人员查询时，往往能够获取超过其权限的信息。二是技术防控手段较弱，安装或使用个人金融信息系统的计算机未设置光驱、USB等数据输出屏蔽设备，对信息的导出、下载、打印、复制难以有效实施管控。

〔四〕对个人金融信息保护工作监管不到位。2021年人民银行出台了"中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知"，但总体来说监管还处于起步阶段。一是现有监管制度较为零散且可操作性不强，主要针对存款、电子银行、信用卡业务等领域的个人信息保护作出个别规定，无法覆盖各类业务，也不能全面规个人信息采集、使用、保管的全流程。二是针对性不强，如"个人存款账户实名制管理规定"主要是针对个人存款账户个人信息的管理，"金融机构客户身份识别和客户身份资料及交易记录保存管理方法"是为加强反洗钱监管，不是针对个人信息保护。

三、兴旺国家经历借鉴

〔一〕确立对隐私权和个人信息权的法律地位。在很多国家，个人信息保护方面的法律直接采用“个人隐私〞称谓，如1974年美国"隐私权法"、1988年澳大利亚"隐私权法"、德国"联邦数据保护法"、英国1998年"数据保护法"等，都无一例外地把保护个人隐私权和信息权作为首要任务。美国国会于1978年通过的"金融隐私权法"〔RFPA〕主要用于保护客户隐私，"金融效劳现代法"，要求每个金融机构有明确和长期的尊重客户隐私义务，并保护客户的非公开信息的平安性和性。

〔二〕针对个人金融信息保护的法律防措施。为保护消费者的隐私权，各国对数据的采集、利用、保管都有明确规定。如欧盟"个人数据保护指令"以法律形式明确数据使用管理六大原则：一是合法性原则，个人数据仅为指定目的而处理；二是终极原则，个人数据仅为指定、明示、合法的目的而收集，不得与目的相违背；三是透明性原则，应当告知当事人有关数据处理情况；四是适宜原则，收集处理数据时应保证数据的充分性、相关性和适宜性；五是个人性和平安性原则，应采取相应的手段、措施确保处理信息的性和平安性；六是监控性原则，数据保护机构应该监控数据的处理，数据使用只有经数据主体明确表示同意才能进展处理，假设未征得客户同意，超出使用目的使用个人信息属行为。

〔三〕建立完善的权利救济制度。一是建立民事责任制度。根据欧盟"个人数据保护指令"，对于非法收集、处理、使用个人信息，成心或过失提供错误信息或不完整信息等给有关当事人造成损害的，都应当承当民事赔偿责任。二是行政救济制度。确立个人信息保护机构，负责个人信息保护法规的执行和对信息控制人的监视，并采取行政措施防止行为的发生或及时制止行为。如德国的联邦数据保护专员对未经授权收集、处理通常情况下无法取得的个人数据等严重行为处以25万欧元以下的罚款。三是刑事责任的规定，对违反个人信息保护法律规定的行为，造成信息非法泄露而侵犯个人隐私或引起资金平安损失的要严格追究刑事责任。

四、对策建议

〔一〕健全完善个人金融信息法律法规体系。一是尽快制定"个人信息保护法"，明确个人信息的法律性质、立法宗旨、根本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题，保证整个法律体系的系统性和协调性。二是建议在国家层面建立一整套系统化、多层次的个人信息保护法规制度，如完善信息主体权益保护法规制度，完善征信监管主体法规制度，建立依法合规的个人信息查询方法和规定，建立行业监管机制等。三是明确并设立专门个人信息管理机构，对使用私人信息的社会团体或个人进展严格监视，同时确立信息侵权的民事赔偿责任制度，通过行政、司法等手段将信息收集、处理和使用机构及其工作人员成心泄露信息、篡改信息、损害个人信用行为应当承当损害赔偿责任以及法律责任。

〔二〕加强对金融机构的监视管理。一是将个人金融信息保护纳入对银行总体风险监管框架中，制定个人信息保护部门监视管理制度，对客户个人信息的采集、使用、保管、等环节作出详细规定，明确对金融机构违规泄漏客户个人信息的监管处分措施。二是建立统一的个人金融信息保护的规和标准，促进金融机构构建个人信息保护工作体制和机制，更好地保护个人信息。三是加强对金融机构个人金融信息保护工作检查监测力度，催促加强信息系统平安管理，规个人信息数据库管理。

〔三〕健全金融机构个人信息平安保护控制度。一是催促金融机构应尽快完善个人信息管理规章制度，对个人信息采集、使用、存储管理做出明确规定，有效保护客户个人信息平安；二是明确各岗位人员管理职责权限，制定平安控制流程，对信息查阅、下载、拷贝实行严格审批、登记和权限管理；三是强化监视问责，定期对信息平安状况进展评估、审计和检查监视，同时监视机构应加大对金融机构涉及客户信息系统执法检查力度，排查个人金融信息外泄隐患。

〔四〕加强金融机构系统技术支持和管理。一是提升信息平安保护水平，综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络平安监控等技术并及时更新，有效防来自于外部的攻击。二是强化部信息管理，建立健全完整的信息系统监测制度，通过软硬件等方式切断或控制接入信息系统的计算机信息输出功能，并建立各种违规操作信息系统平安预警机制。三要进一步整合完善个人金融信息系统建立与管理工作，全面整合金融机构业务部门个人金融信息，以便于进展统一保护管理。

〔五〕加强个人金融信息保护