银行侵犯客户隐私权的法律风险控制

摘要：银行业金融机构在处理日常的业务工作中，会接触到很多客户的信息和资料。如果银行或工作人员因操作不当或滥用客户信息，不但会直接损害客户的合法权益，也会增加银行法律诉讼的风险。因此，本文从银行客户隐私权涵义、银行侵犯客户隐私权的原因，以及如何采用有效措施保护客户的隐私权等几方面入手，探讨银行如何维护客户合法权益和控制银行法律风险。

关键词：银行客户隐私权， 金融信息，信息安全

我国《商业银行法》规定：“商业银行应当遵循为存款人保密的原则”。2009年12月，全国人大颁布了《中国人民共和国侵权责任法》，明确提出了对隐私权的法律保护和侵权责任。但是，近年来，客户金融信息侵权行为还是时有发生。2011年1月，中国人民银行出台了一份《关于银行业金融机构做好个人信息保护工作的通知》（2011年17号文），从部门规章的层面规范了银行收集、实用和对外提供个人金融信息行为，旨在进一步明确银行的侵权责任。由此可见，银行在日常经营管理中如果未尽客户金融信息安全保护义务，就会因侵犯客户隐私权而面临法律风险和合规风险。

银行客户隐私权的涵义

银行客户隐私权是指客户对其在银行开展业务或通过银行系统产生和保存的信息所享有的不受他人非法侵扰、知悉、收集、应用的权利。银行客户隐私权的主体是银行的客户，包括潜在客户。银行客户隐私权的客体是金融信息。具体包括：

（一）客户身份信息，包括姓名、性别、国籍、身份证件号码、职业、联系方式、住所或工作单位及照片等；

（二）客户财产信息，包括收入或盈利情况、动产和不动产的拥有状况、公积金税金的缴纳情况等；

（三）客户账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；

（四）客户信用信息，包括信用卡还款情况、贷款偿还情况以及能反映其他信用状况的其他信息；

（五）金融交易信息，包括银行在支付结算、理财、保险箱等中间业务过程中所产生、保留的信息和客户在通过银行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务时产生的信息等；

（六）衍生信息，包括消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定某些情况的信息；

（七）在于客户建立业务关系过程中产生、保存的其他客户信息。

由此看来，金融信息的覆盖面很广，银行运作中稍有不慎，就会引起客户隐私的泄露。2010年8月，香港金管局对外披露有银行将超过60万名客户资料泄露给非关联的第三方，其中有银行甚至从中收取报酬变相出售客户资料。即使是在国内，银行泄露客户资料也时有发生。相信不少客户都被莫名的推销保险和办信用卡的电话骚扰过。从法律角度来看，这都属于侵犯了客户的隐私权，如果情况严重，客户可依法，如果能举证到信息是从具体银行泄露，该银行将会受到监管机构的处罚或更严重的法律风险。

银行侵犯客户隐私权的原因分析

银行是金融信息的获取者和使用者，在对信息的采集、使用的每一个环节当中，都有可能因为主观或客观的原因而侵犯了客户的隐私。综合分析，其原因主要在以下几个方面：

第一、信息收集缺乏规范。

2001年颁布的《个人存款账户实名制规定》和2006年颁

布的《中华人民共和国反洗钱法》规定了金融机构要登记存款人身份证件上的姓名和号码和建立客户身份识别制度和客户身份资料，但对于银行究竟要收集哪些基本信息以及收集多少客户信息才足够，至今没有明确地规定。因此，各家银行只能根据自己的理解，尽可能多地搜集客户资料来满足客户尽职调查的要求。这往往会导致搜集信息过多和重复收集信息。例如，有些银行要求在开户申请表中要求填写子女状况或个人工作履历。有些银行在开户的时候要求客户提供住址证明、在购买具体产品的时候也要提供、甚至销户的时候还要再次提供。而且，信息的来源也缺少监管。这样，大量的无效的客户信息就自然而然地留存在银行系统当中

第二，信息保管不当。

客户信息保密不仅仅是一项法律准则，也是商业银行运营的国际惯例。美国和欧盟早就把银行对存款人的保密业务列入到立法范例当中。但在我国的《商业银行法》，仅在第二十九条笼统地规定了商业银行为存款人保密的原则。只有最近央行出台的《关于银行业金融机构做好个人信息保护工作的通知》，才明确规定银行不得纂改、违法适用个人金融信息，不得出售个人金融信息、向本金融机构以外的其他机构和个人提供个人信息等等。在此之前，银行并没有把保护客户信息放在一个很重要的位置，对客户信息的保管在很多方面都会失当：

（一）没有严格的机制区分信息的受保护程度。银

行接触的信息通常有对外信息、对内信息、秘密信息和绝密信息几类。不同的信息类型，所采取的安全保护措施将不一样。例如对秘密信息和绝密信息，安保程度明显应该比对外信息要高，获取该类信息也应该有相应的授权。如果没有类似的区分机制，客户信息就有可能像其他信息一样随便地被获取和使用。

（二）对员工的信息保管缺乏监督。有的员工应用

任务便利，违法为利益冲突的当事人提供另一方存款的信息。有些银行客户经理利用职务便利查询大额存款的客户信息，在客户存款到期后直接应用客户之前留存的联络电话进行电话销售。再有甚者，在离职之后把客户的名单全部带到新的单位来使用。出现这些情况，归根到底都是银行缺乏对员工信息使用的监管，导致客户信息失密和不当适用。

（三）为扩大业务宣传，银行利用、滥用客户信息。

例如，未经客户的授权，把A产品的客户资料发到B产品的市场部用于市场推广。或将客户同意其将个人信息用于营销作为开户的先决条件，在开户后，随时向客户发放营销广告，令客户被迫接受产品宣传。

第三，业务外包泄密。

银行为节省成本和提高效率，很多环节会通过外包服务供应商完成。但由于对外包供应商和外包流程缺乏监管，客户信息遭受泄密的情况也时有发生。例如，有的外包商受银行委托统一打印客户对账单，没有检查清楚就把A客户的账单发给了B客户。有的银行委托外包商清理银行载有客户信息的废弃资料，外包商却私自把资料倒买给第三方。

银行加强侵权法律风险控制的应对措施

第一、提高员工对客户隐私的保护意识，使其重视

隐私权侵权风险。银行应加强员工的法制教育和信息安全培训，强化银行从业人员的职业操守和信息安全意识，例如，员工非工作需要，不得与同事或在公共场所随意谈论客户情况等，使其明白非法使用和泄露客户金融信息的危害性及严重性。并应当要求接触客户金融信息岗位的从业人员在上岗前签署书面保密协议， 使员工上岗前就高度重视保密的责任。

第二、建立完善的信息管理体制，规范信息收集、

保存、使用和对外提供信息。首先，银行应当根据信息的类型，将其分成不同的安全等级。每一种等级都应该对应相应的收集、保存和使用规定，包括采集使用权限、采集使用途径、查询方式、信息保存地点、保存方式、保存时间、销毁方式和销毁时间等。银行的内部人员要严格遵守规定，不得收集与业务无关的信息，不得随意接触客户信息，更不得为个人目的利用客户信息。向公安机关、检察院和法院提供客户信息时，须严格按照规定程序进行。其次，应建立技术防范屏障，提高系统的防控能力。特别是以电子手段交流或传递业务信息时，要注意设置保护，防止及监控客户信息泄露。

第三、健全内部控制制度，严惩违规泄露和使用信

息的行为。银行应建立健全的内控机制，明确各部门、岗位和人员的管理责任，形成相互监督、相互制约的管理机制。设立信息安全负责人，定期对易发生客户信息泄露的环节进行检查，对屡次发生侵犯客户金融隐私权行为的部门和员工进行严肃处理。

第四、通过透明的条款，积极寻求客户授权，以降

低银行的侵权风险。如果银行因经营活动确需将客户信息告诉第三方的，应该通过格式条款明确告知客户协议中所适用的向他人提供其金融信息的目的、方式和对象，并取得客户的书面授权或同意。但不应将客户同意其个人信息用于共享作为开展业务的先决条件。

第五、严格监控外包服务。银行通过外包开展业务

的，应当充分审查、评估外包服务供应商保护客户金融信息的能力，并将其作为选择外包服务供应商的重要指标。银行与外包服务供应商签订服务协议时，应当明确其保护客户金融信息的责任和保密义务，并采取必要措施（如实地考察、突击检查等）保证外包业务供应商履行上述职责和义务。银行应要求外包服务供应商在外包业务终止后，及时销毁因外包业务获得的客户金融信息。

参考文献：

1、《我国商业银行应加强侵权法律风险控制》-刘泽华、陈云，2010

2、《我国个人信息保护之现状》-单飞，2008

3、《商业银行侵犯客户金融隐私权问题探讨》-卜祥瑞，2010