随着新技术的发展和经济社会的一体化,越来越多的个人信息被公之于众。商业银行在向消费者提供金融产品服务过程中,也必然接触消费者个人相关信息。如何收集、使用、对外提供个人金融信息,既涉及商业银行业务正常开展,也涉及金融消费者权益保护,如果出现与个人金融信息有关的不当行为,不但会直接侵害个人金融信息主体的合法权益,也会增加商业银行的诉讼风险和声誉风险,影响商业银行的正常运营,甚至可能引发系统性金融风险。
加强对商业银行个人金融信息保护工作的背景
(一)涉及个人金融信息的产品比例较大。抽取山西省包含国有、股份制、地方法人的20家商业银行数据可以发现,截至2020年5月末,20家商业银行共推出306类1034种金融产品,其中,涉及个人金融信息的产品有1034种,占比为100%;涉及个人金融信息的产品笔数为0.46亿笔,发生额为2734.42亿元,占比分别为100%和93.34%。
(二)涉及个人金融信息的消费投诉较多。2019年5月至2020年5月,山西省10家人民银行地市级机构共收到金融消费者投诉346条。其中,涉及个人金融信息的投诉33条,占比达9.53%。相较于商业银行经常发生的储蓄、贷款、信用卡、理财、支付结算等业务,个人金融信息领域投诉占比明显较大。
(三)涉及个人金融信息的社会关注较高。2020年全国两会期间,金融领域的个人金融信息保护问题引起了人民银行系统人大代表的关注和热议。如全国人大代表、中国人民银行南京分行行长郭新明从完善制度、加强监管、提升自我防范、提供投诉举报渠道等方面提出了加强对个人金融信息保护工作的建议。人行系统人大代表周振海、王玉玲、张智富等同志都针对个人金融信息保护工作提出了自己的看法和建议。
商业银行存在的主要问题 (一)超出规定范围使用消费者个人金融信息。根据《中华人民共和国消费者权益保护法》第二十九条第一款规定,“经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”,但由于商业银行业绩考核等原因,银行工作人员往往存在“明知不可为而为之”,存在未经消费者本人同意、违反信息保密义务、擅自使用个人金融信息的行为。
(二)滥用消费者个人金融信息。部分商业银行对国家相关政策规定执行不到位,未将消费者个人金融信息保护工作纳入整体风险管理框架中,未构建完善的个人金融信息保护机制,部分商业银行营销人员多次反复利用消费者个人金融信息,导致消费者频繁遭受营销电话或短信骚扰。
(三)向第三方泄露消费者个人金融信息。部分商业银行业务系统存在漏洞或业务操作人员工作态度不严谨,个别商业银行工作人员保护消费者个人金融信息的意识不强,未严格执行“为客户保密”的原则,导致消费者个人金融信息泄露、财产损失等。
加强对商业银行个人金融信息保护规范与监管的建议
(一)加快推动个人信息保护立法。当前我国涉及个人金融信息的刑事保护、内控制度保护和技术规范的法律法规已在不断完善,2013年颁布的征信管理条例明确禁止征信机构采集个人的隐私信息,人民银行也陆续发布《关于商业银行进一步做好客户个人金融信息保护工作的通知》《个人金融信息保护技术规范》等一系列规范性文件,对商业银行行为予以约束。但从整体上看,尚无一部专门的个人信息保护法对个人金融信息保护理念、原则、范围界定、各方权责等做一致性的约定,没有统一的法律规制来维护公民最基本的个人信息权益,不能满足人民群众信息安全的客观需求。因此,要加快个人信息保护立法进程,构建和完善关于个人信息保护的法制体系。另一方面,可采取分步推进的方式,整理现行法律、法规、规章中与个人信息保护相关的条文,梳理各法律法规之间的承接和递进关系,将个人信息保护立法体系结构由低级向高级、由零散向系统化演进。
(二)商业银行要切实履行个人金融信息保护的主体责任。要加强个人信息保护内部控制建设,不断健全基础设施和业务系统,通过“技防+人防”相结合的方式,有效避免个人金融信息风险事件的发生;要加强对个人信息保护的法制宣传和内部员工培训,教育员工切实树立信息保护法治意识和“红线”意识;要加强制度建设,将法律、法规和相关监管规定中关于个人金融信息保护的相关规定落实到位;要建立健全个人信息保护机制,运用科技手段提升个人信息保护能力,持续评估、改进个人信息保护政策和措施,搭建个人信息保护事前、事中、事后全流程规范体系。
(三)金融监管部门要切实加强个人金融信息保护监管力度。要强化个人金融信息保护主管部门的监管职能,进一步推进个人金融信息保护制度建设,明确对银行业金融机构等监管对象开展个人金融信息保护的监管标准,采取多种灵活方式开展经常性的工作指导和风险提示,定期对银行业金融机构开展个人金融信息领域的执法检查和评估,对发现的违法违规行为进行查处。同时,要加强监管合作,破除数据壁垒,形成多方合力,加大对窃取、倒卖、盗用个人信息行为的打击力度,畅通受理渠道,开展综合整治,形成高压态势,切断个人信息犯罪产业链条,明确“谁收集、谁负责”的原则,加大对涉及个人信息违规行为的惩处力度,依法严肃追究相应的刑事和民事法律责任。
(四)社会公众要提升个人金融信息自我保护意识和维权意识。银行业金融机构等社会主体要充分利用数字化普及方式,帮助广大社会公众了解掌握个人金融信息保护基础知识内容,提升涉及个人信息格式条款的辨别能力。金融消费者也要从细节入手,养成良好的金融消费习惯,包括不随意向他人透露、提供自己的重要信息,不随便向他人出借身份证件、银行卡、金融账户或其他附载有重要信息的物品,在发生重要身份证件遗失或个人金融信息遭到侵害后要采取合法途径维护自身权益。
