加强个人金融信息保护的建议

加强个人金融信息保护的建议人民银行虽然早在2011年4月，就银行业金融机构在保护个人金融信息方面的内容、责任和义务等做出了明确规定。但近年来，因个人金融信息被泄漏，而导致的侵权、侵财等违法行为和犯罪案件却始终频发高发，不仅严重侵害了个人的隐私权，有些直接给储户造成了重大财产损失。同时，也损害了银行业金融机构的声誉，阻碍了银行业务的发展，给地区金融稳定和金融环境带来了负面影响。导致个人金融信息被泄漏的渠道有许多，仅从信息主体与银行业金融机构在个人金融信息的保护中，就发现一些亟待加强与急需解决的问题。

一是内部保护机制不完善。首先是缺乏自上而下、集中统一的个人金融信息保护工作的规章制度。目前，我国银行机构关于个人金融信息保护的有关规定散见于各类业务条线的管理办法或操作规程中，具体针对个人金融信息保护的要求多数较为笼统，指导性或禁止性的居多，操作性不强，无法保证个人金融信息收集、使用及管理等工作严格做到有法可依，有章可循。其次是没有真正形成相互衔接、相互制约的个人金融信息的内控体系。银行机构在收集、使用和管理客户信息的过程中涉及主体多、流程长、环节复杂，内控管理侧重于各业务条线的纵向规范，部门之间的横向牵动制约力度不够，虽然各银行机构都有信息保护工作牵头部门，但其横向监督管理的职能得不到有效发挥。

二是未形成统一监管体系。目前，我国对个人金融信息还没有统一的监管部门，人民银行和对此虽都有监管职能，但都没有专管部门，监管力量分散，整个监管还处于起步阶段。我国现有的金融监管规范对于个人金融信息保护只存在一些间接的或隐性的法规可供参照，如人民银行的征信、支付结算、反洗钱、信息科技等业务法规中，均有关于个人金融信息保护或信息安全保密方面的规定，但未涵盖信息的收集、使用、保管等各环节。没有明确统一的个人金融信息监管规章制度及监管体系，一定程度弱化了监管力度，增加了监管成本，增大了贯彻落实的难度。

三是欠缺核心立法与规章。我国个人金融信息保护的相关条文零散、笼统地分散在《民法通则》、《刑法修正案（七）》、《商业银行法》、《证券法》、《法》、《反洗钱法》、《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》等、法规和规章制度中，且覆盖面窄、针对性差，具体的可操作性不强。缺乏基本法层面的保护，损害了公民个人对金融隐私权利的享有和保护。另外，现有法律民事赔偿不足，惩戒面较小，威慑力不强。人民银行制定的《关于银行业金融机构做好个人金融信息保护工作的通知》、《关于金融机构进一步做好客户个人金融信息保护工作的通知》因缺乏严格意义上的法律效力，因而执行效力相对较弱。

四是自我保密的意识不强。除立法和金融机构外，信息主体人对自身金融信息的保护意识不强、没有形成良好的保护习惯，有的对个

人金融信息不重视、也不主动去了解保护措施，甚至轻信不法分子的谎言而主动透露个人的金融信息。公众普遍认为个人金融信息安全的权利属于个人隐私权，而不是一项公民享有的基本权利。当个人信息被泄露给第三方、出售给不法分子等侵害时，只要没有造成财产损失，多数人常常迁就忍耐、自认倒霉。即使采取投诉、诉讼等维权手段，往往因侵害个人信息行为疑似环节多、追溯难、举证难、耗时久、成本高等原因最终不得不主动放弃维权。

针对商业银行等金融机构在开展零售、运营、风险、授信等业务中积累的个人金融信息数量庞大，范围广泛，特别是商业银行在接入征信系统、支付系统以及其他系统获取、加工和保存公众的信息量也日益增多，并随着金融业务的创新发展，使用个人身份、财产、账户、信用、金融交易等信息的机会不断增多，加之信息主体在个人消费、投资理财等方面不注意对自身产生的衍生金融信息进行有效的保护

等问题，建议政府和商业银行机构及信息主体人应积极做好以下几项工作：

一是加快个人金融信息保护的法制建设。整合对个人金融信息在收集、加工、使用、传输、保管等各环节的相关要求和规章，由中央银行牵头三会等职能部门，联合出台保护个人金融信息的系统性规章制度，鉴于个人金融信息相对其他个人信息的特殊性，需要配套推出专门针对金融领域个人信息保护的相关法律法规，并在适当时机报国

家层面出台《个人信息保护法》，从而确保个人金融信息保护工作的

措施和规章得到贯彻落实。

二是提高对个人金融信息的有效监管。要强化个人金融信息保护主管部门的监管职能，制定统一的监管规程和工作指引，明确对金融机构进行个人金融信息的监管标准。监管机构要不断加大对第三方服务机构的管理力度，统一操作规程，明确各业务条线在保护个人金融信息方面的具体责任，并采取多种灵活的方式对商业银行机构在个人金融信息保护工作方面进行经常性的指导和提示。

三是加强计算机及网络信息的安全防范。要加大信息安全技术防护的力度，对系统可能遇到的各种技术风险要及时进行评估检测，综合运用先进的防火墙、系统漏洞扫描、入侵检测设备、域控文件服务器、第三方认证以及网络安全监控等新的安保技术，有效防范系统遭受非法侵入、信息篡改流失、网银信息被盗等风险。

四是加大对个人金融信息保护的宣传。商业银行要强化预防管理，结合不同业务条线特点，对员工有的放矢地开展对客户金融信息保护业务的培训和教育，提高全员的保护意识。商业银行要加强对公众的金融信息保密的常识普及，发挥网点阵地优势，根据不同类型的金融业务，有针对性地对客户开展个人信息保护宣传；监管部门要充分利用现代媒介，加大对相关信息的披露和银行间信息共享，对一些失泄个人金融信息的典型案例进行及时通报，以起到警示、借鉴的作用。

五是提高信息主体人的自我保护意识。商业银行机构要建立相关风险提示的长效机制，切实履行告知义务，多形式、多渠道提醒客户加强风险防范，帮助客户掌握个人信息保护的常识，提高对自己金融信息保护的自觉性，使之养成良好的金融消费和享受金融服务的习惯，防止个人金融信息被不法分子利用。另外，鉴于金融机构的强势地位和双方在金融信息上的不对称，笔者还建议，因个人金融信息失泄后引发的诉讼案件中，将举证责任转移给商业银行等金融机构。

针对商业银行等金融机构在开展零售、运营、风险、授信等业务中积累的个人金融信息数量庞大，范围广泛，特别是商业银行在接入央行征信系统、支付系统以及其他系统获取、加工和保存公众的信息量也日益增多，建议政府和商业银行机构及信息主体人加快个人金融信息保护的法制建设；提高对个人金融信息的有效监管；加强计算机及网络信息的安全防范；加大对个人金融信息保护的宣传；提高信息主体人的自我保护意识。