我国法律法规对银行客户个人信息保护中存在的问题

我国法律法规对银行客户个人信息保护中存在的问题

亟待完善

我国法律法规对银行客户个人信息保护中存在的问题

有四：

一是没有统一的个人信息保护法。我国尚未制订专门的《个人信息保护法》，对个人信息的保护主要依据《民法通则》中对个人姓名权、肖像权和名誉权的规定，个人信息主体的权利难以得到全面明确和保护。

二是银行业监管法规的相关规定缺乏系统性。一是规定较为零散。现行银行业监管法规仅分别针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定，无法覆盖银行业提供的各类业务，不能全面规范客户个人信息采集、保管和销毁的全流程。二是针对性不强。如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》虽然对客户信息安全管理做了一些规定，但立法目的是加强反洗钱的监督管理，不是针对客户个人信息保护。三是原则性规定较多。多数只规定了保护的基本原则，缺乏具体条款，可操作性不强。

三是行政法责任缺失。从我国现有法规来看，对侵犯公民个人信息的行为，《民法通则》规定了损害赔偿的民事责任，《刑法》规定了出售、非法提供及非法获取公民个人信

息应承担的刑事责任，而在行政法层面，对于侵犯银行客户个人信息但尚未构成犯罪的行为，银行业监管法规没有规定直接适用的罚则，监管部门也缺乏对银行违规泄露客户信息进行行政处罚的直接依据。

四是例外规定缺失。银行对客户个人信息的保密与保密例外是银行保密制度中并行的两大部分，遗憾的是我国法律法规在规定银行负有保密义务的同时，却没有系统地规定保密例外的情形，而仅是为了执法与司法的方便，在《民事诉讼法》、《刑事诉讼法》、《税收征收管理法》等法律法规中，分别赋予人民法院、人民检察院、公安机关、税务机关等机构在特定情形下查询、冻结和划拨银行客户资金的权力。现有法律法规没有将基于当事人授权、社会征信及社会公共利益而进行的信息公开等列为银行保密义务的例外，不利于对银行业和社会公众合法权益的保护。

几点建议

一是健全监管法规。在我国个人信息保护法出台之前，可以根据《民法通则》、《商业银行法》等法律中有关公民信息保护的原则性规定，由监管部门先行制定银行客户个人信息保护的部门规章，对银行客户个人信息的采集、使用、保密及保密例外等环节做出详细规定，健全监管法规。

二是完善内控建设。指导和督促银行业机构尽快完善客户个人信息管理的规章制度，对客户个人信息的采集、使用、

存储等方面做出明确规定，有效保护客户个人信息安全；建立健全信息安全内控机制，制定信息安全控制流程，明确各岗位人员的保密和管理职责权限；对纸质和电子信息实行集中统一管理，对信息查阅、下载、拷贝实行严格的审批、登记和权限管理；强化监督问责，定期对信息安全状况进行评估、审计和检查监督，及时发现和纠正客户信息管理工作中的隐患和漏洞。

三是加强银行员工管理。督促银行业机构加强员工保密教育，提高员工素养，增强员工法律意识，严格遵守“为客户保密”的原则；落实责任制，与员工签订安全保密责任书，与离岗人员签订安全保密承诺书；加强对保密要害部门、要害部位和涉密工作人员的管理，加强对业务外包单位及合作单位工作人员管理，及时消除风险隐患；加强企业文化建设和职业道德教育，引导员工遵守工作纪律，杜绝泄密事件发生。

四是强化保密技术。随着信息技术和网络银行的发展，银行更易遭受信息系统被非法入侵、传输过程中信息被非法窃取等侵害。银行业机构应对信息系统可能遇到的各种技术风险进行评估，加大信息技术的科技含量，综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新，有效防范来自于外部的攻击，确保信息及信息系统安全。