肖君擁　張雪亭

2021年8月，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》），自2021年11月1日起施行?！秱€人信息保護(hù)法》作為我國首部針對個人信息保護(hù)的專門性立法，進(jìn)一步明確個人信息收集和處理應(yīng)遵循的原則，構(gòu)建更為系統(tǒng)的信息安全法律保障體系。銀行業(yè)應(yīng)在《個人信息保護(hù)法》的指導(dǎo)下，進(jìn)一步強(qiáng)化個人信息的監(jiān)管與保護(hù)，轉(zhuǎn)變個人信息保護(hù)理念，構(gòu)建動態(tài)化的個人信息保護(hù)框架，以適應(yīng)“后大數(shù)據(jù)時(shí)代”的到來。

我國銀行業(yè)個人信息保護(hù)現(xiàn)狀評析

個人信息和隱私概念區(qū)分不清晰

銀行業(yè)是擁有客戶靜態(tài)資產(chǎn)數(shù)據(jù)以及動態(tài)交易數(shù)據(jù)最多的行業(yè)，但近年來銀行業(yè)產(chǎn)品營銷推介涉及的電信詐騙案件等問題，極大地?cái)嚁_了客戶的生活安寧，給銀行業(yè)的聲譽(yù)帶來了較大的負(fù)面影響。銀行業(yè)在收集客戶個人信息時(shí)須充分保障客戶個人信息安全，強(qiáng)化個人信息保護(hù)理念，在個人信息保護(hù)方面構(gòu)筑更加完備的制度體系和實(shí)施體系。

《民法典》第1032條第2款明確了“隱私”概念，規(guī)定“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”。同時(shí)，《民法典》明確了“個人信息”中有關(guān)“私密信息”的規(guī)定適用有關(guān)隱私權(quán)的相關(guān)規(guī)定。個人信息與隱私在概念上存在重合部分，個人信息著重強(qiáng)調(diào)“可識別性”，即該信息不僅能夠?qū)€體身份進(jìn)行識別，還能夠?qū)€體特征進(jìn)行識別;不僅能夠顯現(xiàn)出自然痕跡和社會痕跡，還能夠通過人物信息對人物進(jìn)行精準(zhǔn)描摹。隱私則更加強(qiáng)調(diào)維護(hù)個人的私生活安寧，個人私密性信息或活動不被公開。個人信息權(quán)利更加強(qiáng)調(diào)不當(dāng)利用信息帶來的客觀人身及財(cái)產(chǎn)風(fēng)險(xiǎn)，隱私權(quán)則更加強(qiáng)調(diào)因信息涉及人格利益而不愿為他人知曉的主觀意愿。因此，隱私權(quán)和個人信息權(quán)利邊界問題及公民對于個人金融信息保護(hù)的訴求問題，對銀行業(yè)合規(guī)管理提出了更高的要求。

對于銀行客戶來說，個人信息權(quán)主要體現(xiàn)在其對于個人信息被使用范圍的知情權(quán)和自主決定權(quán)，隱私權(quán)主要體現(xiàn)在銀行推廣、營銷業(yè)務(wù)時(shí)不應(yīng)影響其“生活安寧”上，兩者均與銀行業(yè)務(wù)關(guān)系密切。銀行業(yè)個人信息合規(guī)管理的出發(fā)點(diǎn)應(yīng)當(dāng)是將其收集的所有信息按照“個人信息”以及“私密信息”合理地進(jìn)行區(qū)分，進(jìn)而有效降低信息收集行為的相關(guān)風(fēng)險(xiǎn)。

在實(shí)踐中，某些銀行往往既侵犯客戶的個人信息權(quán)，又侵犯客戶的隱私權(quán)。有的銀行在開展業(yè)務(wù)時(shí)，未嚴(yán)格恪守“最少必要性”原則，而是采用“應(yīng)收盡收”的策略，極大地侵犯了客戶的知情權(quán)與選擇權(quán)。在收集完個人信息后，部分銀行又存在未經(jīng)客戶允許即向其撥打營銷電話、發(fā)送營銷信息等侵害客戶生活安寧的行為。

第三方機(jī)構(gòu)數(shù)據(jù)引入存在安全問題

《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，2020年全年累計(jì)監(jiān)測發(fā)現(xiàn)個人信息非法售賣事件203起，其中銀行、證券、保險(xiǎn)相關(guān)行業(yè)用戶個人信息遭非法售賣的事件占比較高，約占數(shù)據(jù)非法交易事件總數(shù)的40%。

銀行業(yè)涉及的業(yè)務(wù)之多、范圍之廣、關(guān)系之復(fù)雜是其他行業(yè)無法比擬的，保障儲戶個人金融信息安全是銀行義不容辭的責(zé)任。銀行在開展催收、代發(fā)工資等業(yè)務(wù)時(shí)，應(yīng)當(dāng)采取必要措施保障客戶的個人信息安全。盡管央行、銀保監(jiān)會和證監(jiān)會均設(shè)立了專門的金融消費(fèi)者權(quán)益保護(hù)部門， 但目前并沒有一個專門對信息進(jìn)行監(jiān)督和管理的統(tǒng)一的個人金融信息監(jiān)管機(jī)構(gòu)，分屬不同領(lǐng)域不同部門的分別監(jiān)管，導(dǎo)致監(jiān)管職責(zé)不清晰，存在監(jiān)管套利和監(jiān)管真空狀態(tài)，監(jiān)管缺位也是銀行頻繁發(fā)生數(shù)據(jù)泄露、丟失等情況的重要原因之一。在當(dāng)前豐富的支付場景下，銀行信息安全面臨著更嚴(yán)峻的挑戰(zhàn)。

《個人信息保護(hù)法》對銀行展業(yè)產(chǎn)生的影響

不同于《民法典》對于個人信息保護(hù)僅停留在原則性規(guī)定，《個人信息保護(hù)法》對個人信息處理行為進(jìn)行了具體的規(guī)定，全方位強(qiáng)調(diào)了各方主體的義務(wù)與責(zé)任。銀行業(yè)在開展相關(guān)業(yè)務(wù)時(shí)應(yīng)當(dāng)在《個人信息保護(hù)法》出臺的大背景下，多角度考慮提升其相關(guān)合規(guī)舉措。

在《個人信息保護(hù)法》出臺之前，我國已經(jīng)在相關(guān)法律法規(guī)以及行業(yè)標(biāo)準(zhǔn)中多次提到銀行業(yè)的個人信息采集原則。2021 年1月，中國人民銀行發(fā)布《征信業(yè)務(wù)管理辦法（征求意見稿）》（以下簡稱《辦法》），明確信用信息將以信用信息服務(wù)、信用服務(wù)、信用評分等名義對外提供征信功能的服務(wù)納入監(jiān)管，再次明確“最少必要”的信息采集原則。

《個人信息保護(hù)法》第6條規(guī)定，處理個人信息應(yīng)當(dāng)具有明確、合理的目的， 并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個人信息。銀行業(yè)在收集個人信息時(shí)須以此原則為指導(dǎo)，對不同類型的個人信息進(jìn)行分類分級，只收集與銀行開展業(yè)務(wù)所必需的個人信息，對一些無關(guān)信息如身份識別、宗教信仰等，則不應(yīng)該收集。根據(jù)《個人信息保護(hù)法》第17條的規(guī)定， 個人信息處理者應(yīng)當(dāng)以顯著方式清晰易懂的語言告知信息所有者相關(guān)規(guī)定事項(xiàng)，發(fā)生變更的，還應(yīng)當(dāng)將變更部分告知個人。也就是說，銀行須在基于客戶個人知情、明確表示同意的情況下才能對客戶的信息進(jìn)行處理。

銀行在與金融消費(fèi)者簽訂相關(guān)業(yè)務(wù)協(xié)議時(shí)，應(yīng)明確收集、使用客戶信息的范圍、途徑、使用方式，并允許消費(fèi)者自行選擇，且不得因客戶不同意其收集相關(guān)信息而拒絕為客戶提供服務(wù)。

國外個人信息保護(hù)措施

歐盟的個人信息保護(hù)。以歐盟為代表的國家和地區(qū)對個人數(shù)據(jù)信息進(jìn)行保護(hù)時(shí)采取統(tǒng)一立法的方式進(jìn)行，除了我們所熟知的《通用數(shù)據(jù)保護(hù)條例》（GDPR） 外，還出臺了《金融指令》《歐盟金融工具市場指令Ⅱ》（MiFID Ⅱ）等一系列法律法規(guī)對金融信息的保護(hù)加以規(guī)范， 以此形成更加系統(tǒng)的個人金融信息保護(hù)體系。盡管G D P R沒有把個人金融信息作為敏感數(shù)據(jù)給予最有力的保障，但歐盟法律將個人金融信息與電子通信、就業(yè)、醫(yī)療、研究統(tǒng)計(jì)這四類重要信息進(jìn)行并列保護(hù)。GDPR擁有完善的個人信息保護(hù)體系，除知情權(quán)、訪問權(quán)、反對權(quán)等權(quán)利之外，還引入了刪除權(quán)、被遺忘權(quán)等全新概念。

美國的個人信息保護(hù)。美國采用分散立法的方式，通過聯(lián)邦和各州分開立法的方式來規(guī)制個人金融信息保護(hù)的相關(guān)問題。聯(lián)邦層面的立法主要有《金融隱私法》《金融服務(wù)現(xiàn)代化法案》，州立法層面主要有《加利福尼亞隱私法》《歌貝弗利信用卡法案》。美國的立法相比于歐盟更加側(cè)重信息的可控性以及實(shí)用性。美國個人金融信息保護(hù)值得借鑒的是客戶異議糾錯權(quán)的行使。異議糾錯權(quán)是指客戶發(fā)現(xiàn)金融機(jī)構(gòu)在存儲用戶個人信息有誤時(shí)，可以向金融機(jī)構(gòu)提出異議并要求更正的權(quán)利。客戶行使異議糾錯權(quán)不僅可以降低銀行業(yè)的法律風(fēng)險(xiǎn)，還可以減少銀行對個人金融信息進(jìn)行二次審查的工作量。

日本的個人信息保護(hù)。日本在出臺《個人信息保護(hù)法》的同時(shí)，還出臺了《金融領(lǐng)域個人信息保護(hù)方針》等一系列法規(guī)。日本全面修訂《個人信息保護(hù)法》后，增設(shè)了“敏感信息”這一全新概念，對個人信息處理者、匿名加工信息處理者都作出了進(jìn)一步的規(guī)定，有效地防范了個人信息泄露問題的發(fā)生。日本對數(shù)據(jù)進(jìn)行分級處理，制定數(shù)據(jù)分級分類標(biāo)準(zhǔn)，對不同管理級別的數(shù)據(jù)采取不同安全防護(hù)措施，平衡數(shù)據(jù)安全保障的全面性和重要性。

幾點(diǎn)建議

完善銀行業(yè)安全防范的內(nèi)部治理。作為對聲譽(yù)風(fēng)險(xiǎn)高度敏感的銀行業(yè)，將個人信息保護(hù)納入其內(nèi)部合規(guī)管理勢在必行。銀行在收集客戶個人信息時(shí)，應(yīng)嚴(yán)格遵守相關(guān)法律法規(guī)和行業(yè)規(guī)范，明確各部門的具體權(quán)限與職責(zé)，將銀行相關(guān)業(yè)務(wù)細(xì)致化、規(guī)范化、流程化。標(biāo)準(zhǔn)越明確，權(quán)責(zé)越清晰，越有利于銀行維護(hù)自身利益，規(guī)避相關(guān)法律風(fēng)險(xiǎn)。要持續(xù)常態(tài)化開展宣傳培訓(xùn)和警示教育，將個人信息保護(hù)的具體要求融入相關(guān)業(yè)務(wù)及技術(shù)操作規(guī)范和流程中，定期進(jìn)行考試，并將其納入員工績效考核。問責(zé)缺位必然導(dǎo)致銀行業(yè)的相關(guān)法律法規(guī)形同虛設(shè)，建立明確的獎懲機(jī)制，構(gòu)建多元化的責(zé)任制度才是解決此類問題的根源所在。無論是銀行領(lǐng)導(dǎo)人員風(fēng)險(xiǎn)意識薄弱，還是銀行工作人員利用職務(wù)便利在違法的邊緣反復(fù)試探，根源或許都在于責(zé)任追究制度落實(shí)不到位。提高違規(guī)成本和懲處力度，強(qiáng)化員工對個人信息泄露引發(fā)法律后果的認(rèn)知，讓從業(yè)人員不愿做、不敢做才是解決問題的關(guān)鍵所在。

加強(qiáng)信息安全基礎(chǔ)設(shè)施建設(shè)。隨著云計(jì)算、大數(shù)據(jù)與人工智能等新興科技的發(fā)展，銀行數(shù)據(jù)使用的場景擴(kuò)展至跨機(jī)構(gòu)、跨行業(yè)甚至跨境等復(fù)雜信息交互場景，任意場景的任何一端出現(xiàn)薄弱環(huán)節(jié)，都存在使個人金融信息數(shù)據(jù)泄露的風(fēng)險(xiǎn)，這也對基礎(chǔ)設(shè)施的建設(shè)、技術(shù)設(shè)備的先進(jìn)程度以及數(shù)據(jù)保護(hù)的技術(shù)水平提出了更高的要求。銀行業(yè)應(yīng)當(dāng)不斷增強(qiáng)自身應(yīng)用新興科技的能力，從基礎(chǔ)設(shè)施建設(shè)、技術(shù)設(shè)備建設(shè)以及技術(shù)能力的提高等多個層面入手，各部門與各企業(yè)強(qiáng)強(qiáng)聯(lián)手，以增強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)抵御能力。要完善信息系統(tǒng)安全建設(shè)，銀行應(yīng)不定期地組織安全漏洞的排查，并對有關(guān)信息采取去標(biāo)識化等方式進(jìn)行脫敏處理，嚴(yán)格把控編程規(guī)范，定期維護(hù)系統(tǒng)。銀行要積極利用數(shù)據(jù)加密、安全存儲、區(qū)塊鏈等技術(shù)，構(gòu)建自主可控、可支撐億量級客戶和高并發(fā)交易的數(shù)據(jù)保護(hù)能力，不斷提高金融科技服務(wù)的安全性，保障用戶隱私與資金安全，加強(qiáng)金融安全管控，完善新形勢下的銀行金融安全體系。

加強(qiáng)消費(fèi)者個人信息安全保護(hù)教育。《個人信息保護(hù)法》在《網(wǎng)絡(luò)安全法》和《民法典》的基礎(chǔ)上，對個人在個人信息處理活動中的權(quán)利作出了更加具體的規(guī)定，目的就是為了更好地保護(hù)自然人的個人信息權(quán)益。面對突然到來的大數(shù)據(jù)時(shí)代，公眾通常對個人信息使用的態(tài)度容易走極端，要么認(rèn)為當(dāng)今社會是一個“個人信息裸奔”的年代，對于自己的個人信息保護(hù)采取無所謂的態(tài)度;要么采用“簡單粗暴”的“個人信息一概不提供”的對外原則。在大數(shù)據(jù)與個人信息保護(hù)之間需要找到平衡點(diǎn)，不斷推進(jìn)銀行的數(shù)字化轉(zhuǎn)型發(fā)展以及提升消費(fèi)者的體驗(yàn)。銀行應(yīng)當(dāng)加強(qiáng)消費(fèi)者金融信息保護(hù)教育，針對廣泛普及的數(shù)字金融服務(wù)，定期舉行個人信息保護(hù)條款解讀，增強(qiáng)消費(fèi)者日常消費(fèi)行為中的個人信息保護(hù)意識的培養(yǎng)，使公眾從被動抵制轉(zhuǎn)為主動預(yù)防;針對普惠數(shù)字金融服務(wù)，提高公眾對必要的數(shù)據(jù)采集和個人信息保護(hù)的分辨能力以及主動預(yù)防能力，推動社會公眾意識到個人金融信息保護(hù)是維護(hù)公民隱私、維護(hù)商業(yè)利益、維護(hù)國家安全的關(guān)鍵所在，每個公民都有義務(wù)從自身做起，維護(hù)包括自身數(shù)據(jù)在內(nèi)的數(shù)據(jù)安全。銀行的數(shù)字化轉(zhuǎn)型是一項(xiàng)長期性、系統(tǒng)性工程，不僅需要銀行系統(tǒng)的各部門高度協(xié)同配合，消費(fèi)者的積極參與也是其中必不可少的環(huán)節(jié)。

暢通金融消費(fèi)者多元救濟(jì)渠道。根據(jù)《個人信息保護(hù)法》第69條的規(guī)定，處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。個人信息處理者如果對個人的信息處理不當(dāng)，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。因此，銀行應(yīng)當(dāng)建立個人信息保護(hù)檔案管理系統(tǒng)、信息分級授權(quán)管理體系以及信息安全事件應(yīng)急處理機(jī)制。拓寬金融消費(fèi)者救濟(jì)渠道，制定個人信息保護(hù)預(yù)案，在內(nèi)部建立健全常態(tài)化預(yù)警機(jī)制，從而做到，一旦發(fā)生個人信息泄露事件，做到早發(fā)現(xiàn)、早預(yù)警，及時(shí)采取相關(guān)補(bǔ)救措施，從而做到未雨綢繆。

《個人信息保護(hù)法》第70條規(guī)定，個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。在個人信息處理者違反個人信息保護(hù)法規(guī)定處理個人信息，侵害眾多個人的權(quán)益時(shí)，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。我國已經(jīng)逐步建立起政府部門、監(jiān)察機(jī)關(guān)、公益組織、集體訴訟四位一體的救濟(jì)途徑，援用歐盟GDPR舉證責(zé)任倒置規(guī)則，極大地提高了金融消費(fèi)者在訴訟中的地位。因此，銀行在涉及客戶信息傳遞的對外合作業(yè)務(wù)時(shí)，應(yīng)當(dāng)十分謹(jǐn)慎地進(jìn)行充分審查、評估第三方機(jī)構(gòu)的個人信息保護(hù)能力，將事前預(yù)防做到位;要充分保障客戶的知情權(quán)，知情權(quán)不應(yīng)是只包括對于信息控制者對信息的收集，而應(yīng)當(dāng)是一個過程，由個人信息收集開始直到信息完全刪除的全過程都要充分保障金融消費(fèi)者的知情權(quán);銀行內(nèi)部應(yīng)進(jìn)行信息共享，定期對信息保護(hù)工作進(jìn)行排查，并對合作方的資質(zhì)及信息安全能力進(jìn)行全行業(yè)的數(shù)據(jù)共享，通過預(yù)防將風(fēng)險(xiǎn)隱患降到最低，避免引發(fā)整個銀行業(yè)聲譽(yù)風(fēng)險(xiǎn)或法律風(fēng)險(xiǎn)。

責(zé)任編輯：楊生恒