【工作研讨】银行个人信息保护问题与解决对策.pdf

【工作研讨】银行个人信息保护问题与解决对策--第1页

银行个人信息保护问题与解决对策

银行业金融机构在办理金融业务过程中，不仅掌握着消费者相关的财产信息，

也接触到消费者相关的身份信息。对消费者财产信息加以保护，既是尊重客户个

人隐私的职业道德需要，也是防范信息被不当利用的现实需要。近年来，随着个

人信息被侵害案件频发，我国法律加大了对消费者个人信息的保护力度与侵害个

人信息的惩处力度。与此同时，银行业金融机构也应高度重视消费者个人信息保

护工作，尽快熟悉相关规定，将保护消费者个人信息作为一项重要工作来抓。

一、金融消费者个人信息保护存在的问题

（一）法律制度方面

个人信息定义不明确，增加了银行业金融机构的操作难度。虽然民法总则第

一百一十一条规定，“自然人的个人信息受法律保护。任何组织和个人需要获取

他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、

传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，但个人信息

范围如何确定，该法并未规定，实践中也存在争议。2017年5月9日公布的《关

于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，公民个人信息范

围只及于刑法领域，是否能直接适用于民法领域，存在不确定性，且该司法解释

对个人信息范围也只是采取列举式描述，对于债务状况、婚姻状况、家庭成员状

况、学历状况等在列举之外的内容是否属于个人信息，并未涉及。保护规则的不

明确不利于银行业金融机构进行行为预判，银行业金融机构容易处在两难之中，

与之产生的争议和处理成本也会增加。

个人信息的权利人与相关利益群体存在法律保护冲突。例如，目前很多银行

业金融机构存在着和担保机构的业务合作，合作协议约定担保机构为债务人的债

务提供连带担保，同时约定担保机构有权了解被担保债务人的债务信息。笔者认

为，约定担保机构的这一权利既是公平的，也是明智的。因为承担保证义务的担

保机构了解被担保债务信息，属于权利义务对等，若不约定这一权利，担保机构

【工作研讨】银行个人信息保护问题与解决对策--第1页

【工作研讨】银行个人信息保护问题与解决对策--第2页

就难以提前准备承担保证义务的资金，也就难以承担保证义务，进而最终影响银

行业金融机构的权利实现。对于一般的担保业务，有些银行业金融机构也以合同

的形式约定了担保人的权利。面对担保人了解债务情况的要求，银行该如何作为，

如何应对个人信息权利人和相关利益群体的权利冲突，是银行业金融机构需要考

虑的问题。

个人信息保护的法律规定不完善。如法律没有规定个人信息的保护期限，如

果一味要求永久保存，银行业金融机构需付出成本，而这一成本如果均由自身承

担，缺乏分担，对银行业金融机构是不公平的。另外，由个人信息组成的群体信

息是否与个体适用同样的保护尺度，研究机构和民间智库是否可以为了研究需要

从基于促进社会发展的目的查询个人信息等等，也尚未有明确规定。

（二）宏观环境方面

银行业跨界合作对个人信息保护提出新挑战。跨界合作既要确保各合作伙伴

之间合作资源信息的完整、顺畅传递，又要构建客户资料信息“防火墙”，以防

止信息泄露，更要强化科技保障，促进交易数据信息安全，弱化跨界带给银行的

声誉风险。这就产生了资源信息共享的尺度把握问题、信息保护的技术支持问题、

操作层面的制度建设问题，前述三个问题都对银行业金融机构的个人信息保护提

出了要求。

（三）银行业金融机构内部管理方面

个人信息收集、使用不够规范。部分机构未经同意收集信息、未经授权查询

个人征信报告；收集信息范围过大，不符合“最少必须”原则；在内部接触和使

用个人信息时，未实施严格的审批和责任制度，缺乏必要的权限控制和跟踪管理；

未严格执行岗位职责与权限相匹配的操作制度，未合理限制各类操作人员的信息

接触面。

对外提供信息不规范。部分机构未按规定对外包服务机构和网络特约商户开

展安全评估，向外包公司提供个人信息时未明确告知信息主体；与外包服务商签

订必威体育官网网址协议时，未明确规定其对保护个人信息的职责和必威体育官网网址义务，未制定风险事

【工作研讨】银行个人信息保护问题与解决对策--第2页

【工作研讨】银行个人信息保护问题与解决对策--第3页

件发生后的止损措施。

个人信息保管不规范。部分机构未制定或未能及时修改信息安全技术防范措

施，未对信息系统进行风险评估；信息系统技术防护