金融消费者保护工作浅析

【前言】金融消费者保护工作浅析由文秘帮小编整理而成，但愿对你的学习工作带来帮助。2011年1月21日，人民银行颁布《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》以前，中国境内的外资银行出于数据处理或母国反洗钱机构的要求，将一些数据向境外监管机构、母行或总行报送，外资银行将中国境内取得的客户信息任意向境外提供，几乎不...

2012年，为保护金融消费者权益，中央机构编制委员会批准“一行三会”设立，央行下辖的金融消费者保护局。同年，央行“两管理、两综合”的行业履职内容，也变更为“两管理、两综合、一保护”，增加了金融消费者保护的职能。

当前，银行业务呈现出市场化进程快、信息化速度快的“双快”特点，业务量和金融数据量也实现了“双增”。银行进入了海量信息时代，金融服务已经渗透到我们生活的方方面面，银行客户信息也随之成为银行日常业务工作中积累的一项重要基础数据。由于银行客户信息与资金财产的高度关联，致使针对这部分信息的不法行为频频发生。如何保证银行客户信息的安全，维护银行客户的合法权益，平衡银行业务发展和风险防控之间的关系，是当前必须认真面对的课题。

一、银行客户信息的安全处境令人担忧

银行客户信息保护是金融消费者保护工作的重要组成部分，在金融“虚拟化”、网络化程度不断提升的现代社会，客户信息安全与客户财产安全的关联度也是日益提升。银行等金融机构作为政府以外的公民信息最主要的收集和使用者，以及公民财产重要的贮藏和代管者，与其有关的客户信息泄露事件频频发生，令公众震惊与忧虑。

2010年7月，香港“八达通”卡（香港通用的电子收费系统，又被称为电子货币）被媒体曝光从2002年开始，先后向6家公司转移客户个人资料197万个，从中获利4400万元港币。

2011年1月21日，人民银行颁布《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》以前，中国境内的外资银行出于数据处理或母国反洗钱机构的要求，将一些数据向境外监管机构、母行或总行报送，外资银行将中国境内取得的客户信息任意向境外提供，几乎不受任何限制，增加了国内客户个人信息外泄的风险。

2011年2月下旬起，上海警方连续接到几十起报案，涉及国内多家银行机构，涉案被盗金额最高的达到233万余元。后经上海警方查实，银行内部人员分别向犯罪嫌疑人出售了300多份个人银行信息和2318份个人征信报告。此事件在2012年的“315”晚会上被公诸于众。

2012年，关于个人资料泄密的话题从互联网行业蔓延至金融领域。有网友称，国内多家银行的客户数据已经泄露。虽然事后相关银行均集体否认，中国银行业协会也出面澄清，但仍然引起了全社会的广泛关注。

围绕客户信息的不法行为屡屡发生，主要有以下三个方面的原因：

一是信息内容的衍生化导致客户信息成了“唐僧肉”。目前，银行客户信息不再单一反映个人基本信息，它包含了客户的身份信息、财产信息、账户信息、信用信息，金融交易信息和消费习惯、投资意愿等衍生信息，甚至是密码信息，因此银行客户信息蕴含了巨大的利益价值。为此，不法之徒对其垂涎不止。

二是信息的商业价值导致部分银行内部人员道德沦丧。有对客户信息的需求，就有对客户信息的有偿出卖，而这些出卖客户信息者则通常是掌握客户信息的银行内部人员。他们在牟取利益的同时，对其行为，不以为然。

三是交易渠道的多元化形成开放式风险。进入信息时代以来，各种信息手段的应用使银行业务完全处在开放式的环境下。拒不完全统计，2012年第2季度，全国性银行中最高的电子替代率已接近80%，多渠道的交易方式在节约成本和方便客户的同时，也令不法之徒窥到了可乘之机。一方面，由于逻辑关系，安全措施的不断更新实则是亡羊补牢的滞后反应，客户信息的安全始终存在风险，银行对此除了紧跟技术革新的步伐之外，别无选择。另一方面，开放式环境下，以诈骗等手段非法获得客户信息的事件频繁发生，银行除了提示客户和事后挂失外，一筹莫展。

二、我国银行客户信息保护工作面临的困难

一是我国银行客户信息缺少专业法律保护。目前，国际上已经有50多个国家和组织制定了个人信息保护的相关法规和标准。如德国1976年颁布的《联邦数据保护法》，美国1974年颁布的《隐私权法》、1986年《电子通信隐私法》、1999年《互联网保护个人隐私政策》，法国1978年颁布的《数据处理.档案与自由法》，加拿大的《隐私保护法》，英国的《数据保护法》、日本的《个人信息保护法》等，日本的《个人信息保护法》特别对于个人信息的出境，有着明确的法律法规对等要求。

2009年，我国《刑法修正案（七）》第一次将金融机构及其工作人员出售或非法提供公民个人信息作为犯罪，但却没有出台个人信息保护的专门法律，相关规定散见于一些法律、行政法规和部门规章中。2011年，由于诉求强烈，我国颁布的第一项“个人信息保护”专项国家标准――《信息安全技术 公共及商用服务信息系统个人信息保护指南》，填补了缺少具有广泛指导性和适用性制度的空白，但推荐性强度的指南形式，仍无法满足当前对个人信息保护专业立法的声索要求。截至目前，银行客户信息保护方面的法律依据，主要还是基于《中华人民共和国商业银行法》第二十九条“为存款人保密的原则”。在这种粗放型的规定之下，监管部门、客户在查处和维权时，屡屡面临无法可依的窘境。

二是银行客户信息保护工作存在漏洞环节。目前，我国银行客户信息的处理环节缺少信息化自主知识产权的保护。银行在收集、存储、处理和分析客户信息时，涉及的信息化手段，如数据库、核心硬件等技术专利，都是国外厂商提供的，这无疑将客户信息托于产权国操作。同时，如果出现可能导致信息丢失、损坏的软件漏洞或硬件故障，国外专利产品又无法供给时，客户信息的安全就无法得到保障。

截止2012年，我国部分银行通过自建系统，为消费者发放电子签名证书以用于电子交易。发放证书的银行作为交易的一方，既是服务机构，又是认证机构。根据《中华人民共和国电子签名法》第十三条“电子签名同时符合下列条件的，视为可靠的电子签名：第一，电子签名制作数据用于电子签名时，属于电子签名人专有；第二，签署时电子签名制作数据仅由电子签名人控制；第三，签署后对电子签名的任何改动能够被发现；第四，签署后对数据电文内容和形式的任何改动能够被发现。”的内容规定，在银行无法证明客户信息属于客户专有前，这些电子签名是不可靠的。

三、对策及建议

（一）加快个人信息保护的法制建设

专业立法方面。首先，立法部门应尽快制定专门的个人信息保护法，全面规范个人信息的收集、存储、处理和分析等行为。必须明确个人信息主体的权利、信息管理者的义务、信息监管部门及其职责，严格控制个人信息的跨境使用，确定侵害个人信息的法律责任与诉讼程序。其次，法律应设定最低的损害赔偿标准，并在举证责任分配及举证责任能力赋予上向处于弱势地位的受害者倾斜，从而使其得到合理的赔偿，使泄露者、买卖者的违法成本高于收益，从根本上威慑、遏制盗卖个人信息的行为。最后，立法应明确除了泄露、买卖个人信息外，若因机构丢失客户信息造成客户的重大损失或侵权，机构需要负民事责任，负责赔偿。

监管法规方面。首先，监管机构应尽快出台客户信息保护的监管法规，督促银行履行客户信息的保密义务，制定“最小授权、最小知悉范围、最小信息量”的客户信息使用原则，明确内部的客户信息管理部门。其次，参考国际研究成果，结合我国实际情况，专项研究个人信息保护技术手段，提出个人信息保护标准体系框架，通过抽样测试和银行试点等方式，制定关键标准。最后，应建立行业涉信人员从业资格机制，签订涉信人员保密协议，进一步探索个人信息保护的分担方式。明确银行对其内部人员、第三方合作人员或机构的盗卖、丢失客户信息的行为负有同样的责任。

（二）实现核心技术自主可控，提高整体安全水平

国产化方面。首先，在国家战略层面上建立信息技术国产化体系，加大对国产技术产业链的政策倾斜，引导其逐渐发展成为具备支持能力的高端产业链，实现产业准备。其次，加快研制具有自主知识产权的、可靠的国产技术专利，大力推广国产化技术在国际上的认可度，营造适宜的国际环境。最后，在顶层设计的框架下，行业主管部门协调相关产业部门，依靠国有商业银行的技术优势，选择可行的重点突破领域，通过开展检测验证、试点等前置任务，积累经验，在银行核心技术领域逐步推广国产化。

技术规范方面。首先，制定银行客户信息保护的专业技术标准，明确客户信息，特别是跨境使用的客户信息在收集、存储、处理和分析的环节中，最低安全标准的技术手段和配置参数。其次，对于通过自建系统发放客户电子签名证书的银行，督促、指导其根据相关法律法规，开展足以证明所发放的电子签名是可靠的整改。最后，引导所有银行选取实力雄厚、技术成熟、服务规范的第三方合作机构。

（三）开展银行客户信息的环境建设工作

银行方面。首先，在全面统计自身客户信息数据的基础上，梳理自身管理现状，开展自查自纠。其次，银行应通过技术控制和管理措施，开展自身个人信息保护标准体系和保护环境的建设，组织内部员工学习相关法律法规，明确红线。最后，通过官网、短信和柜面宣传等方式，向客户普及信息保护相关知识，提高客户的保护意识。

行业方面。首先，应统一思想，自顶向下地部署工作，主要依靠基层力量，严惩一批非法购买信息的不法分子，取缔信息购买源非法产业链，创造客户信息“有价无市”的工作基础。其次，与司法部门建立银行信息泄露和处置的联动机制，加大对非法掌握、泄露客户信息行为的打击力度，及时冻结“被害账户”，避免损失的进一步扩大。最后，应从政府、行业主管部门的层面，通过电视、报刊等媒体形式，制作相关法制警示的栏目，开展“信息保护月”等系列活动，建立全社会各司其职、齐抓共管的良好局面。