个人金融信息保护工作实践与探索
摘 要:个人金融信息保护工作是金融机构尊重和保护客户隐私权的重要体现,更是维护金融业良好声誉,促进金融业长期稳定发展的重要保障。本文立足于基层在个人金融信息保护工作方面的具体实践,深入分析当前个人金融保护工作面临问题,在借鉴国外先进经验基础上,提出完善和加强个人金融信息保护工作的建议。
关键词:个人金融信息保护;国外经验借鉴;实践探索
在当前金融业虚拟化和网络化程度不断提升的背景下,个人金融信息蕴含的商业价值被深度开发,出现了一些不当和非法使用个人金融信息谋利的行为,在对个人财产、名誉、信息等权益造成侵害的同时,也对正常的金融秩序带来了冲击和负面影响。本文立足于基层在个人金融信息保护工作方面的具体实践,深入分析当前个人金融保护工作面临突出问题,在借鉴国外先进经验基础上,提出完善和加强个人金融信息保护工作的建议。
一、个人金融信息保护工作国外经验
个人金融信息是个人在进行金融交易时向金融机构提供的个人资料以及在金融机构内储存的相关金融交易记录。个人金融信息体现的是一般人格利益、隐私利益,是一项基本人权,一旦泄露或失实就会损害个人信息主体的基本权利和自由,个人金融信息可能成为电信诈骗的“原材料”,也为冒名办理信用卡套现、复制银行卡盗取资金提供了便利,滋生的大量垃圾信息也打扰了个人的正常生活,对消费者的信用、财产安全和正常生活的权利造成了极大损害。个人金融信息主要通过金融机构、商户及支付服务机构、不法分子非法入侵三种渠道泄露,这其中既有金融机构为牟取利益而主动向第三方透漏,也有因监管缺位导致内部人员作案和服务外包商越权接触引发个人金融信息泄露,从数据统计看,内部作案占到信息泄露案件的70%-80%。
当前世界各国普遍形成了把个人金融信息保护权利作为人权理念中的重要内容加以保护的共识,个人金融信息保护已成为金融领域保障公民基本人权的需要和具体体现,各国依据本国的社会价值观和立法理念逐步形成了各具特色的个人金融信息保护做法和经验。
(一)采取统一立法对客户信息进行综合保护。欧盟通过制定统一的《个人数据处理和自由流动保护指令》数据保护法来保护个人资料的安全,把包括个人金融信息在内的一切信息统称为个人数据,明确个人数据处理的一般原则、数据主体权利、向第三国传输个人数据规则、司法救济和监管机构,通过统一立法,旨在实现全盟范围内数据的最低限度保护和数据流通。欧洲各国普遍注重对个人金融信息的保护。如英国规定收集个人信息只能经个人同意,不得采取欺骗手段获得,采集的个人信息只能用于合法目的,使用与披露个人信息应与本人无利害冲突,对于遗失、毁损或未经许可透露用户信息的,数据拥有主体有权要求赔偿;法国规定了保密信息的种类及披露责任,持有人约束与信息分享人约束,金融机构不得向代理人、客户继承人主张职业保密,并主张以惯例为依据。
(二)分行业分领域对客户隐私权进行专门保护。美国将金融隐私权作为一项独立的法定权利而存在,按照不同行业对金融隐私权分别予以保护,银行业主要是以联邦法律保护隐私权,而保险业主要是以州法律保护隐私权。美国就个人金融信息保护陆续推出了《银行保密法》、《金融隐私权法》、《金融服务现代化法》、《公平正确信用交易法》和《消费者财务隐私保密最终规则》等大量法律。当金融隐私权与政府知情权发生冲突时,美国法律以公共利益优先、权利协调以及最大限度保护人格尊严为原则。同时美国对于信息的二次使用明确了“选择退出”的规定,即获取消费者信用报告的金融机构可以用信用文件中的信息作为主动提供新产品或发送服务广告的依据,但消费者只要通过简单程序要求金融机构将自己的资料从有关名单中删除,以后金融机构就不能再寄送广告。这一制度使信息共享与隐私权保护的矛盾得以平衡,实现了个人隐私权保护下最大限度的信息共享。
(三)采取基本法+特别法+行业自律的综合保护模式。日本现行的个人信息保护制度,形式上接近与欧盟的立法模式。其出台的《个人信息保护法》是个人信息保护领域的基本法,该法对公共机构及非公共机构采取统一的立法模式。而在该基本法的框架下,日本对个人金融信息的保护又制定了相应的特别法。同时,还鼓励金融行业的行业自律,并引进了各种民间性的纠纷解决机制。总体上看,日本对个人信息保护的立法模式主要试图在保护个人信息权益与保障信息流通之间寻求平衡。
二、我国个人金融信息保护工作现状及实践
总体上看,我国现行保护模式只是把信息保护权利作为个人名誉权进行间接保护,保护法规零散、笼统,覆盖面较窄,缺乏具体的可操作性,立法层级也偏低,以行政法规和部门规章保护为主,缺乏基本法层面的保护,权威性不高,相关主体在个人金融信息收集、处理、传递、使用、销毁以及救济等方面无明确操作标准可依,个人金融信息保护工作与发达国家相比还存在较大差距。
(二)基层实践。近年来,辖区基层金融机构把个人金融信息保护工作作为依法经营、风险防范的重要内容,围绕构建有效的制衡机制、加强环节流程管控、强化技术防控措施、加强员工保密安全教育等方面,结合各自优势采取行之有效的措施,切实防范和杜绝个人金融信息泄露和不当使用的行为,取得了积极效果。
一是健全完善内控机制。工商银行成立了由行长担任组长的客户个人金融信息保护工作领导小组,统筹协调个人金融信息保护工作,指定专职部门牵头管理,形成了上下联动、纵横协调的工作机制。建立了全员性信息保密管理规定以及监督责任追究制度,零售、运营、科技等业务部门按照保护要求对涉及信息收集、加工、使用、存储、传输等环节分条线制定相应规定,层层签订保密承诺书,明确保密责任和义务,实现了客户个人金融信息保护要求的全员覆盖,定期开展内部稽核检查,评估安全风险隐患,严肃查处违规行为并进行责任追究,确保各项制度要求严格落实。建立了包括电话银行、网上银行和营业网点等在内的多渠道投诉管理体系,及时有效地处置客户投诉,畅通客户救济保护渠道。
二是加强环节流程管控。农业银行在信息征集阶段,详细向客户说明信息征集的用途和使用范围,在涉及二次营销和需向第三方提供信息时事先必须征得客户同意授权,无授权不能办理或开通相关业务,业务办理中严格履行客户身份识别义务,准确录入客户信息、客户资料变更时及时更新维护,并妥善保存客户信息资料原始凭证;在信息使用阶段,全部采用系统授权,实行岗位权限与职责相匹配的最小权限操作,防止不相关部门和岗位人员查询、泄露、损毁和篡改个人金融信息;在信息存储、传输阶段,采取了客户业务资料集中存放、集中管理的方式,网点柜员当日将所有客户资料扫描后上传至省分行资料中心,并将纸质资料封存寄出,由省分行统一保管、统一授权查询使用;在信息调阅查询时,对内严格按照使用部门申请-主管行领导审批-省分行资料中心查证授权的模式进行审批,对外只配合有法定权限的执法部门进行调阅查询,先由执法部门提供相应法律文件,经查证核实并逐级报审后可调阅查询,并留存法律文件原件及审批调阅记录,以备追溯。
三是强化技术防控措施。建设银行通过物理隔离、防火墙、入侵检测等方式进行严格的访问限制,做好网上银行、合作单位外联接入、互联网行内访问的技术防范和日常检测工作,定期开展网上银行、手机银行等外联业务系统的安全认证,有效防范外部非法入侵窃取个人金融信息。通过分级授权、日志记录、敏感信息屏蔽、关键数据加密、建立违规操作信息系统安全预警机制等手段,严格对数据信息查询、使用进行访问控制。通过由后台监控中心对柜面及自助设备进行实时监控,强化信息加工环节管控,防范信息篡改和流失风险。通过严格控制电脑设备外接插口、移动存储介质使用,物理隔离城市金融网与办公网络,有效堵塞信息外泄漏洞。严格执行各项业务系统用户安全管理制度,科学设置、妥善保管并定期更新用户密码,保证各项业务系统安全运行。
四是加强员工保密安全教育。邮政储蓄银行把保密安全教育纳入年度员工培训计划,围绕个人金融信息保护规定、本行员工行为准则、职业操守等内容,通过警示教育、专题学习、会议强调等形式,加强对保护客户个人金融信息重要性的解读和宣传,同时把个人金融信息保护操作规范纳入新上岗人员上岗前必考内容,教育引导员工充分认识个人金融信息泄露和不当使用对本机构及本人带来的法律后果,提高员工的保密责任意识和风险防范意识。并通过晨会和周例会端正规范员工的言行举止,防止员工在营销和日常生活中泄露客户信息,专门制定了《员工行为排查管理办法》对员工日常行为进行全方位排查,防止内部员工接触不法分子,泄露客户个人金融信息。
三、个人金融信息保护工作中面临的问题
(一)法制建设严重滞后。一是缺乏法律保障。目前我国还没有把个人信息作为隐私权而赋予独立的法定保护权利,缺失专门的《个人信息保护法》,导致个人信息主体的权利定位难以明确,个人信息保护工作无法可依。二是权责不对等。现行法律规章中仅从保密角度明确了金融机构对个人金融信息负有保密义务,而对哪些个人金融信息属于保密义务、出现侵害时金融机构和侵害方应承担的责任和赔偿义务却没有明确,导致权责不对等,可能造成金融机构不尽职、少尽职等行为的发生。三是行政法责任缺失。目前我国对未构成刑事犯罪的个人金融信息侵害行为没有直接适用的行政法罚则,导致金融监管部门对银行违规泄漏客户信息的行为只能依靠“核实、约见谈话、责令整改、通报“等柔性处理措施进行“软约束”,行政约束和制约力不足。四是救济保护措施不足。我国对个人金融信息侵害行为的民事赔偿责任部分缺乏规定或是规定得过于抽象,当事人在权利遭到侵害时缺乏完善的救济措施。
(二)金融机构内控建设仍需加强。一是保护机制不健全。大多数金融机构的个人金融信息保护相关制度主要分散于各类业务管理制度中,没有形成体系化,制度之间缺少衔接性,使得制度体系还不能完全实现对个人信息采集、使用、保管、销毁的所有环节的无缝覆盖。二是内控管理仍有薄弱环节。主要表现在没有形成体系化的个人信息管理组织架构,个人信息保护职能分散在不同的管理条线内,难以对个人信息实现有效地保护;涉及个人信息保护的专项、全面检查少,内部监督检查力度偏弱;信息查询审计跟踪能力不足,缺乏对信息调阅查询等行为以及信息交接过程的记录,难于跟踪个人信息使用的过程。三是信息系统建设管理还不完善。当前,金融机构普遍未对各业务系统存储的个人金融信息实施整合管理,各业务系统中的信息互为孤岛,既不利于信息资源的有效利用,也不利于信息的统一保护。
(三)外部监督管理存在缺失。一是监管部门不明确。《中国人民银行法》、《商业银行法》、《银行业监督管理法》等法律法规没有明确规定商业银行个人客户信息保护工作的监督管理部门。目前,虽一直致力于推进个人金融信息保护工作,但由于缺乏明确地法律支持,对个人金融信息保护履行监管职责的范围和手段受到限制,保护效果不明显。二是现有监管制度的全面性和操作性不强。现行监管法规仅针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定,无法覆盖金融机构所有业务,同时原则性规定较多,多数只规定保护的基本原则,缺乏具体条款,可操作性不强。
(四)信息主体自我保护意识有待加强。一方面,金融机构在日常业务和宣传活动中对个人金融信息保护的普及工作还不到位,表现在金融机构在履行客户告知义务和提示风险方面存在不告知或少告知的现象,面向社会公众开展的宣传教育力度相对不足;另一方面,金融机构客户层次有差异,部分客户风险防范意识较弱,对个人信息的重要性认识不足,缺乏个人信息保护的风险防范意识,向不法分子泄露了个人信息,导致资金受损。
四、推进个人金融信息保护工作的政策建议
(一)完善和加强法制建设。一是明晰法制保护思路。考虑到我国现有国情,采用一步到位的综合立法监管模式条件还不成熟,应采取循序渐进方式在不同发展时期采取不同的监管模式,在初期,应采取分业保护为主,行业自律为辅的监管模式,在中远期应采取立法规制、综合保护为主,行业自律为辅的监管模式。二是健全完善法律保护体系。适时制定出台《个人信息保护法》,作为个人信息保护的基本法,明确个人信息的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题,搭建起个人金融信息保护法律框架。鉴于目前个人信息保护基本法出台难度较大,建议先由国务院制定《个人金融信息保护条例》,明确个人金融信息保护的基本原则、内容范围、主体权利、法律责任、监督管理等主要内容,再由金融监管部门依据条例制定个人信息保护部门规章,对客户个人信息的采集、使用、保密及保密例外、监督处罚等环节做出详细明确地规定,作为个人金融信息保护法律体系的有益补充,最终形成基本法加特殊法加部门规章的一套成熟的个人金融信息保护模式。三是建立民事赔偿制度。对因金融机构或其工作人员违反守秘义务侵犯客户金融隐私权造成损害的但不构成犯罪的,应给予民事赔偿和救济,并由金融监管部门给予涉案金融机构行政处罚,畅通客户个人金融信息保护救济渠道。
(二)加强金融机构内部管理。一是健全完善内控机制。金融机构要突出事前预防的理念,适时完善客户个人信息管理的规章制度,细化操作流程,对纸质和电子信息实行集中统一管理,定期对信息安全状况进行评估、审计和检查监督,及时发现和纠正客户信息管理工作中的隐患和漏洞。二是完善信息系统建设与管理。进一步整合信息系统,真正实现由“以账户为中心”向“以客户为中心”的转变,为实现个人信息统一保护管理奠定基础。同时还要综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,有效防范来自于外部的攻击,确保信息系统安全。三是加强员工管理。严格遵守“为客户保密”的原则;把保密教育纳入员工培训必学必考内容,让保密教育入心入脑,不断增强员工的保密和法律意识。加强对业务外包单位及合作单位工作人员的管理,采取措施防范和避免其利用工作之便接触客户信息,及时堵塞风险漏洞,消除风险隐患。
(三)强化外部监督管理效力。一是明确监管部门。鉴于目前金融业分业监管的现实,为更好地推进个人金融信息保护工作落实,应建立个人金融信息跨部门监管协作机制,并明确一个部门作为牵头监管机构,其他监管部门作为协助机构,共同开展对个人金融信息保护工作的监督管理,有效降低监管成本,提升监管效果。二是依托金融机构行业自律组织,建立金融客户个人信息保护的规范和标准,促进金融机构个人信息保护工作的体制机制的形成,通过行业自律更好地保护个人信息。
(四)提升信息主体的风险防范意识。一方面金融机构要建立个人金融信息保护宣传长效机制,在日常业务办理中,主动向客户提示存在的金融信息风险,提醒客户注意保护自己的信息安全;在开展金融知识宣传中,加强对个人金融信息相关法规、制度的宣传深度,增强社会公众自我保护意识和风险防范能力,营造良好的金融消费环境。另一方面客户本人也要充分认识到自身金融信息的价值,培养良好的金融服务使用习惯,谨慎使用信用卡,不向无关人员透漏或出卖自己的信息特别是金融信息,切实提高自我防范和保护意识。