淺談個(gè)人金融信息的現(xiàn)狀與對(duì)策

-.z.摘要：近年來，隨著全球金融業(yè)信息化和網(wǎng)絡(luò)化不斷開展，個(gè)人金融信息侵權(quán)行為不斷增加，這不但會(huì)侵害客戶合法權(quán)益，也會(huì)增加金融機(jī)構(gòu)訴訟風(fēng)險(xiǎn)和運(yùn)營(yíng)本錢，進(jìn)而影響地區(qū)金融生態(tài)環(huán)境和金融平安穩(wěn)定。本文在實(shí)地調(diào)查 ****地區(qū)個(gè)人金融信息領(lǐng)域金融消費(fèi)者權(quán)益保護(hù)現(xiàn)狀和缺乏的根底上，通過借鑒歐美國(guó)家的先進(jìn)經(jīng)歷，提出了相應(yīng)的對(duì)策建議。

一、根本情況

〔一〕個(gè)人信息的構(gòu)成一般是由生活和工作兩大方面，生活信息，包括：個(gè)人或家庭組成和成員信息、個(gè)人或家庭財(cái)產(chǎn)信息、個(gè)人或家庭成長(zhǎng)信息等；工作信息，包括：目標(biāo)管理、職業(yè)規(guī)劃、工作任務(wù)、日程方案、通訊信息、、工作日記、紙質(zhì)和電子文檔等。〔二〕個(gè)人信息濫用的形式逐漸多樣化。具體而言，個(gè)人信息被濫用包括以下幾種形式：

1、擅自提供個(gè)人信息。有關(guān)機(jī)構(gòu)未經(jīng)法律授權(quán)、未經(jīng)本人同意，將所掌握的個(gè)人信息提供應(yīng)其他機(jī)構(gòu)。比方，銀行、保險(xiǎn)公司、航空公司等機(jī)構(gòu)之間未經(jīng)客戶授權(quán)或者超出授權(quán)圍共享客戶信息，這是一些企業(yè)獲取他人信息的重要渠道。

2、非法買賣個(gè)人信息。近年來，非法買賣個(gè)人信息牟利的問題十分嚴(yán)重。社會(huì)上出現(xiàn)了大量兜售房主信息、股民信息、商務(wù)人士信息、車主信息、電信用戶信息、患者信息的現(xiàn)象，并形成了一個(gè)新興的產(chǎn)業(yè)。

3、有關(guān)機(jī)構(gòu)不能對(duì)掌握的個(gè)人信息盡到妥善保管的義務(wù)，導(dǎo)致個(gè)人信息遺失、泄露。比方，*高校就發(fā)生過數(shù)千名學(xué)生和教師的電子學(xué)籍管理系統(tǒng)賬號(hào)和密碼外泄的事件。而醫(yī)療機(jī)構(gòu)將病歷卡掛在住院病人床頭、將化驗(yàn)單放在檢驗(yàn)室門口任由患者和家屬自取的做法也屬于保管不善。

4、個(gè)人信息被冒用。在本人不知情的情況下，其個(gè)人信息被他人冒用辦理有關(guān)的業(yè)務(wù)。比方，冒用他人件，辦理銀行開戶業(yè)務(wù)、電信入網(wǎng)業(yè)務(wù)、駕照申辦業(yè)務(wù)等。二、金融效勞行業(yè)中個(gè)人信息的狀況〔一〕金融機(jī)構(gòu)個(gè)人金融信息管理意識(shí)較弱。從目前各金融機(jī)構(gòu)情況來看，金融機(jī)構(gòu)對(duì)個(gè)人金融信息保護(hù)的意識(shí)較為薄弱，普遍未認(rèn)識(shí)到個(gè)人金融信息是關(guān)乎客戶隱私保護(hù)和金融平安的重要因素，現(xiàn)在的銀行機(jī)構(gòu)均未將個(gè)人金融信息泄漏作為一種重要風(fēng)險(xiǎn)來對(duì)待，未將個(gè)人金融信息保護(hù)納入金融機(jī)構(gòu)整體風(fēng)險(xiǎn)管理框架中。根據(jù)網(wǎng)上已發(fā)布的調(diào)查還顯示，75%的一般居民和個(gè)體工商戶表示金融機(jī)構(gòu)在對(duì)其營(yíng)銷業(yè)務(wù)產(chǎn)品和提供效勞過程中未進(jìn)展個(gè)人金融信息保護(hù)知識(shí)的培訓(xùn)，未履行對(duì)客戶風(fēng)險(xiǎn)防護(hù)和告知義務(wù)；僅25%表示在辦理業(yè)務(wù)中金融機(jī)構(gòu)提及過。

〔二〕金融機(jī)構(gòu)個(gè)人金融信息管理制度建立不到位。從實(shí)地調(diào)查情況看，轄區(qū)銀行機(jī)構(gòu)均建立了金融消費(fèi)者保護(hù)工作機(jī)構(gòu)，并建立健全相應(yīng)的管理制度，但在個(gè)人金融信息保護(hù)制度建立方面還不到位，銀行機(jī)構(gòu)均未形成完善的個(gè)人金融信息保護(hù)管理制度，已有的制度主要分散于信息平安管理或銀行卡、存貸款等各類具體業(yè)務(wù)制度中，沒有形成體系，也不符合"中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知"規(guī)定的要求覆蓋信息采集、傳輸、加工、保存、使用和銷毀等所有工作環(huán)節(jié)的要求。

〔三〕客戶個(gè)人金融信息保護(hù)意識(shí)整體不強(qiáng)。金融機(jī)構(gòu)客戶層次有差異，素質(zhì)參差不齊，對(duì)個(gè)人金融信息保護(hù)工作的認(rèn)知度一般，據(jù)網(wǎng)上調(diào)查顯示25%的一般居民和個(gè)體工商戶對(duì)個(gè)人金融信息領(lǐng)域金融消費(fèi)者權(quán)益保護(hù)工作比擬了解，40%的聽說過，35%表示不知道；55%的被調(diào)查居民和個(gè)體工商戶對(duì)個(gè)人金融信息的如何使用保管表示不了解，知道一些的僅占25%，且都在不同程度上存在辦理業(yè)務(wù)時(shí)的泄露個(gè)人金融信息的現(xiàn)象；65%的被調(diào)查居民和個(gè)體工商戶不清楚個(gè)人金融信息泄露的途徑以及相應(yīng)的維權(quán)措施，了解的僅占15%。

三、個(gè)人金融信息領(lǐng)域金融消費(fèi)者權(quán)益保護(hù)缺乏和問題

〔一〕個(gè)人金融信息保護(hù)法律不完善、行政法律責(zé)任缺失。一是目前我國(guó)尚未設(shè)立專門的個(gè)人信息保護(hù)法，立法散亂，呈零星、分散狀態(tài)，不成體系，主要是："憲法"中規(guī)定公民的人格尊嚴(yán)不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的權(quán)利、國(guó)家尊重和保障人權(quán)等。在"民法通則"中規(guī)定公民、法人享有名譽(yù)權(quán)。"刑法修正案"中規(guī)定了出售、非法提供公民個(gè)人信息罪及非法獲取公民個(gè)人信息罪兩個(gè)罪名。近年來，我國(guó)不斷加大對(duì)個(gè)人信息的保護(hù)，相關(guān)立法組織已向國(guó)務(wù)院提交了"個(gè)人信息平安保護(hù)法"草案。二是行政責(zé)任缺失，對(duì)于侵犯銀行客戶個(gè)人信息但尚未構(gòu)成犯罪的行為，沒有規(guī)定直接適用的罰則，監(jiān)管部門也缺乏對(duì)金融機(jī)構(gòu)違規(guī)泄漏客戶信息進(jìn)展處分的直接依據(jù)。

〔二〕金融機(jī)構(gòu)個(gè)人金融信息管理控機(jī)制不健全。轄區(qū)金融機(jī)構(gòu)普遍未形成個(gè)人金融信息保護(hù)的有效組織管理機(jī)制，各業(yè)務(wù)部門在個(gè)人金融信息保護(hù)方面各自為政，缺乏統(tǒng)一管理。一是沒有專門的組織機(jī)構(gòu)，缺乏專職個(gè)人信息保護(hù)人員，個(gè)人信息保護(hù)的職能難于充分發(fā)揮。二是信息查詢監(jiān)測(cè)不到位，缺乏信息調(diào)閱查詢的監(jiān)測(cè)檢查記錄，難于跟蹤個(gè)人信息使用的全過程。三是個(gè)人信息保護(hù)平安教育不到位，對(duì)外包人員行為的控制也有所欠缺。

〔三〕金融機(jī)構(gòu)個(gè)人金融信息技術(shù)管控能力不強(qiáng)、信息系統(tǒng)建立管理不完善。金融機(jī)構(gòu)存儲(chǔ)個(gè)人金融信息的系統(tǒng)建立管理不完善，各系統(tǒng)缺乏保護(hù)監(jiān)視制約機(jī)制，未對(duì)系統(tǒng)進(jìn)展統(tǒng)一整合。以農(nóng)業(yè)銀行為例，當(dāng)前個(gè)人金融信息分散在存貸款、支付結(jié)算、銀行卡、電子銀行等業(yè)務(wù)中，業(yè)務(wù)又分屬不同部門運(yùn)營(yíng)，且由不同信息系統(tǒng)支持，形成許多信息孤島，使得信息保護(hù)更加困難。一是各系統(tǒng)之間缺乏信息保護(hù)監(jiān)視制約機(jī)制，對(duì)系統(tǒng)查詢信息的權(quán)限控制缺乏，工作人員查詢時(shí)，往往能夠獲取超過其權(quán)限的信息。二是技術(shù)防控手段較弱，安裝或使用個(gè)人金融信息系統(tǒng)的計(jì)算機(jī)未設(shè)置光驅(qū)、USB等數(shù)據(jù)輸出屏蔽設(shè)備，對(duì)信息的導(dǎo)出、下載、打印、復(fù)制難以有效實(shí)施管控。

〔四〕對(duì)個(gè)人金融信息保護(hù)工作監(jiān)管不到位。2021年人民銀行出臺(tái)了"中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知"，但總體來說監(jiān)管還處于起步階段。一是現(xiàn)有監(jiān)管制度較為零散且可操作性不強(qiáng)，主要針對(duì)存款、電子銀行、信用卡業(yè)務(wù)等領(lǐng)域的個(gè)人信息保護(hù)作出個(gè)別規(guī)定，無法覆蓋各類業(yè)務(wù)，也不能全面規(guī)個(gè)人信息采集、使用、保管的全流程。二是針對(duì)性不強(qiáng)，如"個(gè)人存款賬戶實(shí)名制管理規(guī)定"主要是針對(duì)個(gè)人存款賬戶個(gè)人信息的管理，"金融機(jī)構(gòu)客戶身份識(shí)別和客戶身份資料及交易記錄保存管理方法"是為加強(qiáng)反洗錢監(jiān)管，不是針對(duì)個(gè)人信息保護(hù)。

三、興旺國(guó)家經(jīng)歷借鑒

〔一〕確立對(duì)隱私權(quán)和個(gè)人信息權(quán)的法律地位。在很多國(guó)家，個(gè)人信息保護(hù)方面的法律直接采用“個(gè)人隱私〞稱謂，如1974年美國(guó)"隱私權(quán)法"、1988年澳大利亞"隱私權(quán)法"、德國(guó)"聯(lián)邦數(shù)據(jù)保護(hù)法"、英國(guó)1998年"數(shù)據(jù)保護(hù)法"等，都無一例外地把保護(hù)個(gè)人隱私權(quán)和信息權(quán)作為首要任務(wù)。美國(guó)國(guó)會(huì)于1978年通過的"金融隱私權(quán)法"〔RFPA〕主要用于保護(hù)客戶隱私，"金融效勞現(xiàn)代法"，要求每個(gè)金融機(jī)構(gòu)有明確和長(zhǎng)期的尊重客戶隱私義務(wù)，并保護(hù)客戶的非公開信息的平安性和性。

〔二〕針對(duì)個(gè)人金融信息保護(hù)的法律防措施。為保護(hù)消費(fèi)者的隱私權(quán)，各國(guó)對(duì)數(shù)據(jù)的采集、利用、保管都有明確規(guī)定。如歐盟"個(gè)人數(shù)據(jù)保護(hù)指令"以法律形式明確數(shù)據(jù)使用管理六大原則：一是合法性原則，個(gè)人數(shù)據(jù)僅為指定目的而處理；二是終極原則，個(gè)人數(shù)據(jù)僅為指定、明示、合法的目的而收集，不得與目的相違背；三是透明性原則，應(yīng)當(dāng)告知當(dāng)事人有關(guān)數(shù)據(jù)處理情況；四是適宜原則，收集處理數(shù)據(jù)時(shí)應(yīng)保證數(shù)據(jù)的充分性、相關(guān)性和適宜性；五是個(gè)人性和平安性原則，應(yīng)采取相應(yīng)的手段、措施確保處理信息的性和平安性；六是監(jiān)控性原則，數(shù)據(jù)保護(hù)機(jī)構(gòu)應(yīng)該監(jiān)控?cái)?shù)據(jù)的處理，數(shù)據(jù)使用只有經(jīng)數(shù)據(jù)主體明確表示同意才能進(jìn)展處理，假設(shè)未征得客戶同意，超出使用目的使用個(gè)人信息屬行為。

〔三〕建立完善的權(quán)利救濟(jì)制度。一是建立民事責(zé)任制度。根據(jù)歐盟"個(gè)人數(shù)據(jù)保護(hù)指令"，對(duì)于非法收集、處理、使用個(gè)人信息，成心或過失提供錯(cuò)誤信息或不完整信息等給有關(guān)當(dāng)事人造成損害的，都應(yīng)當(dāng)承當(dāng)民事賠償責(zé)任。二是行政救濟(jì)制度。確立個(gè)人信息保護(hù)機(jī)構(gòu)，負(fù)責(zé)個(gè)人信息保護(hù)法規(guī)的執(zhí)行和對(duì)信息控制人的監(jiān)視，并采取行政措施防止行為的發(fā)生或及時(shí)制止行為。如德國(guó)的聯(lián)邦數(shù)據(jù)保護(hù)專員對(duì)未經(jīng)授權(quán)收集、處理通常情況下無法取得的個(gè)人數(shù)據(jù)等嚴(yán)重行為處以25萬歐元以下的罰款。三是刑事責(zé)任的規(guī)定，對(duì)違反個(gè)人信息保護(hù)法律規(guī)定的行為，造成信息非法泄露而侵犯?jìng)€(gè)人隱私或引起資金平安損失的要嚴(yán)格追究刑事責(zé)任。

四、對(duì)策建議

〔一〕健全完善個(gè)人金融信息法律法規(guī)體系。一是盡快制定"個(gè)人信息保護(hù)法"，明確個(gè)人信息的法律性質(zhì)、立法宗旨、根本原則、信息主體對(duì)本人信息享有的權(quán)利、侵犯?jìng)€(gè)人信息權(quán)利的救濟(jì)等重要問題，保證整個(gè)法律體系的系統(tǒng)性和協(xié)調(diào)性。二是建議在國(guó)家層面建立一整套系統(tǒng)化、多層次的個(gè)人信息保護(hù)法規(guī)制度，如完善信息主體權(quán)益保護(hù)法規(guī)制度，完善征信監(jiān)管主體法規(guī)制度，建立依法合規(guī)的個(gè)人信息查詢方法和規(guī)定，建立行業(yè)監(jiān)管機(jī)制等。三是明確并設(shè)立專門個(gè)人信息管理機(jī)構(gòu)，對(duì)使用私人信息的社會(huì)團(tuán)體或個(gè)人進(jìn)展嚴(yán)格監(jiān)視，同時(shí)確立信息侵權(quán)的民事賠償責(zé)任制度，通過行政、司法等手段將信息收集、處理和使用機(jī)構(gòu)及其工作人員成心泄露信息、篡改信息、損害個(gè)人信用行為應(yīng)當(dāng)承當(dāng)損害賠償責(zé)任以及法律責(zé)任。

〔二〕加強(qiáng)對(duì)金融機(jī)構(gòu)的監(jiān)視管理。一是將個(gè)人金融信息保護(hù)納入對(duì)銀行總體風(fēng)險(xiǎn)監(jiān)管框架中，制定個(gè)人信息保護(hù)部門監(jiān)視管理制度，對(duì)客戶個(gè)人信息的采集、使用、保管、等環(huán)節(jié)作出詳細(xì)規(guī)定，明確對(duì)金融機(jī)構(gòu)違規(guī)泄漏客戶個(gè)人信息的監(jiān)管處分措施。二是建立統(tǒng)一的個(gè)人金融信息保護(hù)的規(guī)和標(biāo)準(zhǔn)，促進(jìn)金融機(jī)構(gòu)構(gòu)建個(gè)人信息保護(hù)工作體制和機(jī)制，更好地保護(hù)個(gè)人信息。三是加強(qiáng)對(duì)金融機(jī)構(gòu)個(gè)人金融信息保護(hù)工作檢查監(jiān)測(cè)力度，催促加強(qiáng)信息系統(tǒng)平安管理，規(guī)個(gè)人信息數(shù)據(jù)庫(kù)管理。

〔三〕健全金融機(jī)構(gòu)個(gè)人信息平安保護(hù)控制度。一是催促金融機(jī)構(gòu)應(yīng)盡快完善個(gè)人信息管理規(guī)章制度，對(duì)個(gè)人信息采集、使用、存儲(chǔ)管理做出明確規(guī)定，有效保護(hù)客戶個(gè)人信息平安；二是明確各崗位人員管理職責(zé)權(quán)限，制定平安控制流程，對(duì)信息查閱、下載、拷貝實(shí)行嚴(yán)格審批、登記和權(quán)限管理；三是強(qiáng)化監(jiān)視問責(zé)，定期對(duì)信息平安狀況進(jìn)展評(píng)估、審計(jì)和檢查監(jiān)視，同時(shí)監(jiān)視機(jī)構(gòu)應(yīng)加大對(duì)金融機(jī)構(gòu)涉及客戶信息系統(tǒng)執(zhí)法檢查力度，排查個(gè)人金融信息外泄隱患。

〔四〕加強(qiáng)金融機(jī)構(gòu)系統(tǒng)技術(shù)支持和管理。一是提升信息平安保護(hù)水平，綜合運(yùn)用先進(jìn)的防火墻、身份識(shí)別與認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名、第三方認(rèn)證以及網(wǎng)絡(luò)平安監(jiān)控等技術(shù)并及時(shí)更新，有效防來自于外部的攻擊。二是強(qiáng)化部信息管理，建立健全完整的信息系統(tǒng)監(jiān)測(cè)制度，通過軟硬件等方式切斷或控制接入信息系統(tǒng)的計(jì)算機(jī)信息輸出功能，并建立各種違規(guī)操作信息系統(tǒng)平安預(yù)警機(jī)制。三要進(jìn)一步整合完善個(gè)人金融信息系統(tǒng)建立與管理工作，全面整合金融機(jī)構(gòu)業(yè)務(wù)部門個(gè)人金融信息，以便于進(jìn)展統(tǒng)一保護(hù)管理。

〔五〕加強(qiáng)個(gè)人金融信息保護(hù)