中国信用卡个人信息保护现状分析_陈世知

业务平台

目前，中国的信用卡产业正处于高速发展期，在社会信用环境整体不发达的前提下，为确保风险可控，发卡机构会严格审核申请人的资信，审核方式多以电话审核为主。在这个过程中，发卡机构必须处理大量的个人数据。由于我国目前缺乏统一的个人信息保护法，信息保护意识集体缺失，使得整个信用卡行业面临着个人信息泄露的风险。2008年5月13日的《京华时报》上曾报道一名男子被冒名办了9家银行的信用卡，彻底暴露出了银行审核不严以及信息流失严重的现状。如何对持卡人的信息加以有效保护，避免信息泄露的风险，是当前整个信用卡行业急需思考的问题。

一、我国信用卡行业的法律规制现状

目前，各家银行在信用卡业务管理方面遵循的仍然是1999年中国人民银行颁布的《银行卡业务管理办法》，该办法无论在管理层面还是业务层面都已经远远落后于市场的发展，而新的管理办法由于种种原因迟迟没有出台，使得如今国内的信用卡产业基本上处于无法可依的局面。另外，目前也没有专门规范个人信息保护和征信方面的法律，相关规定零散地分布在《中华人民共和国民法通则》、《中华人民共和国合同法》、《中华人民共和国反不正当竞争法》、《中华人民共和国票据法》、《中华人民共和国公司法》、《中华人民共和国证券法》等法律中。在此背景下，一方面是信用卡产业的蓬勃发展，另一方面却是个人信息被大量滥用。

可喜的是，我国的一些地方政府在征信制度建设方面制定了一些颇具前瞻性的地方性法规和规章，如《江苏省个人信用征信管理暂行办法》、《湖南省信用信息管理

中国信用卡个人信息保护

现状分析

中国民生银行信用卡中心 陈世知

办法》、《海南省征信和信用评估暂行规定》、《深圳市个人信用征信及信用评级管理办法》等。在此值得一提的是，《上海市个人信用征信管理试行办法》对个人信用信息的采集、加工、处理、提供等都做了详细的规定。在征信原则中，它将“尊重个人隐私”明确作为征信的原则之一，为征信活动的进行定下了一个基调，即不得以征信为目的滥用公民的个人信息。同时，它还规定了个人信用信息采集方法，以及可以采集的信息和禁止采集的信息（如涉及个人的敏感数据），尤其对征信机构在对外提供所掌握的信息条件时设定了严格的限制，并且允许被征信个人对已收集的、涉及本人的信息可提出异议，要求征信机构在法定期限内做出处理。这些规定较之以前分散在各个法律文件中的保护隐私的规定更为系统、完备。

另外，中国人民银行在推进银行间信息共享方面也做出了积极的贡献，先后制定了《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库信用报告本人查询规程》和《个人信用信息基础数据库异议处理规程》。这三个规章对于个人信用信息采集的范围和方式、数据库的用途、个人获取本人信用报告的途径和异议处理方式等做出了详细的规定，对促进我国征信业稳定健康发展发挥着重要作用。

二、信用卡办理过程中个人信息处理现状

1.信息收集目的

从国际经验和国内法律的规定来看，任何信息收集者在收集申请人的信息之前，必须告知申请人信息收集的目的并严格遵守目的的要求。对于发卡银行而言，收集申请

人信息的目的在于尽可能真实地形成对申请人资信状况的

Business Platform

业务平台

完整评价，并确保在信用卡出现逾期时能有效联系客户，任何与此无关的信息都不可收集。这个规定在各家银行的信用卡领用合约中，表述方式多为“本行有权为业务或管理需要而收集、处理、传递及应用申请人及持卡人的个人资料，对于申请人及持卡人的个人隐私和商业秘密依法予以保密”，同时排除了依照法律法规规定或征信需要而传递信息的例外情形。在之后的信用审批、资料保存、资料销毁以及上传征信系统的各个环节，银行都不能超出该目的来处理申请人的个人信息，如果出现违规处理的情形，申请人可追究银行的违约责任。

2.信息收集方式

发卡银行主要通过申请人填写的申请表来收集信息。申请分为申请人主动申请和发卡银行主动营销两种方式。主动申请是指申请人主动到银行营业网点领取申请表或直接在网上下载申请表，填写好后邮寄给银行；主动营销是指发卡银行主动营销客户办卡。目前，国内多数发卡银行都在其分支行所在城市设立了营销分中心负责拓展客户，营销方式从送礼品到奖励积分等，名目繁多，激烈的竞争和丰厚的发卡佣金促使营销人员在发卡方式上“八仙过海，各显神通”。有些营销人员在获取客户信息时力求简便，原本客户须提供填写完整的申请表、身份证明复印件、工作证明材料和收入证明材料，但为了让客户不觉得麻烦，会主动替客户包办一切，除了必须的客户本人亲笔签名外，其他信息都是根据客户口述帮客户填写，更有甚者帮客户虚构信息来申请。另外，由于营销人员的流动性较大，经常出现某个营销员这个月在甲银行工作，下个月就去乙银行工作了，频繁的流动使得银行对这一人群的监管很难到位，由此造成的后果是客户的信息很容易在不知情的情况下在几个银行之间成为“共享”。业界人士经常听到客户抱怨说“我并没有申请X X银行的信用卡，但却收到了他们的卡片”。这种现象如果不加以规制，很容易造成客户信息的大量泄露，甚至可能给银行带来难以弥补的损失。

3.信息处理

申请人的信息收集上来后，发卡银行需要对其进行加工处理，并最终形成对申请人的信用评价。

（1）资料递交

发卡银行通常会规定，分中心营销人员或是分支行柜台收到客户的申请资料后，应当在第一时间递交给信用卡审批部门，但是，出于利益的考虑，营销人员有可能将当月的申请表积压至下月甚至更长一段时间后才递交，这样必然会给客户资料的安全性带来很大的隐患。另外，有些银行在营销当地实施预审批制度，所有的申请资料都必须经过预审员审批后才能交到总部进行最终审核。对于预审不合格的申请资料，有些银行可能直接就在当地进行了销毁，由此造成的后果是客户的被拒信息在总行的系统中无法查询。一旦出现客户信息泄露的情况，银行很难分辨是资料没收到还是已经销毁，使自己处于很不利的地位。

（2）资料录入

银行信用卡部门收到从各地分支行或是营销分中心递交的申请资料后，会由专门的资料录入部门将客户的信息录入到系统中。该录入部门可能是银行的内设部门，也可能是外包公司。对于后者，银行往往会与外包公司签订数据保密服务标准，要求外包公司对客户身份资料的传输加密、保存期限以及网络安全作出明确要求。规定外包公司必须与其员工签订数据保密协议，银行会有专人定期现场检查其数据安全保护情况。如果在资料录入环节出现客户信息外泄的情况，银行会对其外包公司作出处罚。

（3）资料审核及信用评价

资料录入完毕后，银行的授信部门将对客户资料的完整性和真实性进行审核，从而对申请人形成一个信用评价。国外信用市场发达的国家对于信用卡的审批普遍采用系统评分的手段，只需将几项关键指标输入计算机系统，几秒钟之内就能得到相应的决策。

但是，采用评分模型的前提是发卡银行积累了足够多的客户数据，能够确保提取样本的代表性。对于发卡不久的银行来说，通常不会使用系统评分，而是采用人工判断的模式，依靠审批人员的个人经验来决定是否给申请人核卡以及给予多少额度。这种方式具有快速、灵活、针对性强的特点，但其弊端也是明显的，即操作风险太高。审批人员必须具有准确的判断能力和良好的职业操守，否则很容易滥用客户的信息。