金融消費者保護工作淺析——銀行客戶信息保護的現(xiàn)狀與思考

擺 曄

（中國人民銀行昆明中心支行，云南 昆明650021）

2012年，為保護金融消費者權(quán)益，中央機構(gòu)編制委員會批準(zhǔn)“一行三會”設(shè)立，央行下轄的金融消費者保護局。同年，央行“兩管理、兩綜合”的行業(yè)履職內(nèi)容，也變更為“兩管理、兩綜合、一保護”，增加了金融消費者保護的職能。

當(dāng)前，銀行業(yè)務(wù)呈現(xiàn)出市場化進程快、信息化速度快的“雙快”特點，業(yè)務(wù)量和金融數(shù)據(jù)量也實現(xiàn)了“雙增”。銀行進入了海量信息時代，金融服務(wù)已經(jīng)滲透到我們生活的方方面面，銀行客戶信息也隨之成為銀行日常業(yè)務(wù)工作中積累的一項重要基礎(chǔ)數(shù)據(jù)。由于銀行客戶信息與資金財產(chǎn)的高度關(guān)聯(lián)，致使針對這部分信息的不法行為頻頻發(fā)生。如何保證銀行客戶信息的安全，維護銀行客戶的合法權(quán)益，平衡銀行業(yè)務(wù)發(fā)展和風(fēng)險防控之間的關(guān)系，是當(dāng)前必須認(rèn)真面對的課題。

一、銀行客戶信息的安全處境令人擔(dān)憂

銀行客戶信息保護是金融消費者保護工作的重要組成部分，在金融“虛擬化”、網(wǎng)絡(luò)化程度不斷提升的現(xiàn)代社會，客戶信息安全與客戶財產(chǎn)安全的關(guān)聯(lián)度也是日益提升。銀行等金融機構(gòu)作為政府以外的公民信息最主要的收集和使用者，以及公民財產(chǎn)重要的貯藏和代管者，與其有關(guān)的客戶信息泄露事件頻頻發(fā)生，令公眾震驚與憂慮。

2010年7月，香港“八達(dá)通”卡（香港通用的電子收費系統(tǒng)，又被稱為電子貨幣）被媒體曝光從2002年開始，先后向6家公司轉(zhuǎn)移客戶個人資料197萬個，從中獲利4400萬元港幣。

2011年1月21日，人民銀行頒布《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》以前，中國境內(nèi)的外資銀行出于數(shù)據(jù)處理或母國反洗錢機構(gòu)的要求，將一些數(shù)據(jù)向境外監(jiān)管機構(gòu)、母行或總行報送，外資銀行將中國境內(nèi)取得的客戶信息任意向境外提供，幾乎不受任何限制，增加了國內(nèi)客戶個人信息外泄的風(fēng)險。

2011年2月下旬起，上海警方連續(xù)接到幾十起報案，涉及國內(nèi)多家銀行機構(gòu)，涉案被盜金額最高的達(dá)到233萬余元。后經(jīng)上海警方查實，銀行內(nèi)部人員分別向犯罪嫌疑人出售了300多份個人銀行信息和2318份個人征信報告。此事件在2012年的“315”晚會上被公諸于眾。

2012年，關(guān)于個人資料泄密的話題從互聯(lián)網(wǎng)行業(yè)蔓延至金融領(lǐng)域。有網(wǎng)友稱，國內(nèi)多家銀行的客戶數(shù)據(jù)已經(jīng)泄露。雖然事后相關(guān)銀行均集體否認(rèn)，中國銀行業(yè)協(xié)會也出面澄清，但仍然引起了全社會的廣泛關(guān)注。

圍繞客戶信息的不法行為屢屢發(fā)生，主要有以下三個方面的原因：

一是信息內(nèi)容的衍生化導(dǎo)致客戶信息成了“唐僧肉”。目前，銀行客戶信息不再單一反映個人基本信息，它包含了客戶的身份信息、財產(chǎn)信息、賬戶信息、信用信息，金融交易信息和消費習(xí)慣、投資意愿等衍生信息，甚至是密碼信息，因此銀行客戶信息蘊含了巨大的利益價值。為此，不法之徒對其垂涎不止。

二是信息的商業(yè)價值導(dǎo)致部分銀行內(nèi)部人員道德淪喪。有對客戶信息的需求，就有對客戶信息的有償出賣，而這些出賣客戶信息者則通常是掌握客戶信息的銀行內(nèi)部人員。他們在牟取利益的同時，對其行為，不以為然。

三是交易渠道的多元化形成開放式風(fēng)險。進入信息時代以來，各種信息手段的應(yīng)用使銀行業(yè)務(wù)完全處在開放式的環(huán)境下。拒不完全統(tǒng)計，2012年第2季度，全國性銀行中最高的電子替代率已接近80%，多渠道的交易方式在節(jié)約成本和方便客戶的同時，也令不法之徒窺到了可乘之機。一方面，由于邏輯關(guān)系，安全措施的不斷更新實則是亡羊補牢的滯后反應(yīng)，客戶信息的安全始終存在風(fēng)險，銀行對此除了緊跟技術(shù)革新的步伐之外，別無選擇。另一方面，開放式環(huán)境下，以詐騙等手段非法獲得客戶信息的事件頻繁發(fā)生，銀行除了提示客戶和事后掛失外，一籌莫展。

二、我國銀行客戶信息保護工作面臨的困難

一是我國銀行客戶信息缺少專業(yè)法律保護。目前，國際上已經(jīng)有50多個國家和組織制定了個人信息保護的相關(guān)法規(guī)和標(biāo)準(zhǔn)。如德國1976年頒布的《聯(lián)邦數(shù)據(jù)保護法》，美國1974年頒布的《隱私權(quán)法》、1986年《電子通信隱私法》、1999年《互聯(lián)網(wǎng)保護個人隱私政策》，法國1978年頒布的《數(shù)據(jù)處理.檔案與自由法》，加拿大的《隱私保護法》，英國的《數(shù)據(jù)保護法》、日本的《個人信息保護法》等，日本的《個人信息保護法》特別對于個人信息的出境，有著明確的法律法規(guī)對等要求。

2009年，我國《刑法修正案（七）》第一次將金融機構(gòu)及其工作人員出售或非法提供公民個人信息作為犯罪，但卻沒有出臺個人信息保護的專門法律，相關(guān)規(guī)定散見于一些法律、行政法規(guī)和部門規(guī)章中。2011年，由于訴求強烈，我國頒布的第一項“個人信息保護”專項國家標(biāo)準(zhǔn)——《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》，填補了缺少具有廣泛指導(dǎo)性和適用性制度的空白，但推薦性強度的指南形式，仍無法滿足當(dāng)前對個人信息保護專業(yè)立法的聲索要求。截至目前，銀行客戶信息保護方面的法律依據(jù)，主要還是基于《中華人民共和國商業(yè)銀行法》第二十九條“為存款人保密的原則”。在這種粗放型的規(guī)定之下，監(jiān)管部門、客戶在查處和維權(quán)時，屢屢面臨無法可依的窘境。

二是銀行客戶信息保護工作存在漏洞環(huán)節(jié)。目前，我國銀行客戶信息的處理環(huán)節(jié)缺少信息化自主知識產(chǎn)權(quán)的保護。銀行在收集、存儲、處理和分析客戶信息時，涉及的信息化手段，如數(shù)據(jù)庫、核心硬件等技術(shù)專利，都是國外廠商提供的，這無疑將客戶信息托于產(chǎn)權(quán)國操作。同時，如果出現(xiàn)可能導(dǎo)致信息丟失、損壞的軟件漏洞或硬件故障，國外專利產(chǎn)品又無法供給時，客戶信息的安全就無法得到保障。

截止2012年，我國部分銀行通過自建系統(tǒng)，為消費者發(fā)放電子簽名證書以用于電子交易。發(fā)放證書的銀行作為交易的一方，既是服務(wù)機構(gòu)，又是認(rèn)證機構(gòu)。根據(jù)《中華人民共和國電子簽名法》第十三條“電子簽名同時符合下列條件的，視為可靠的電子簽名：第一，電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；第二，簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；第三，簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；第四，簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)?！钡膬?nèi)容規(guī)定，在銀行無法證明客戶信息屬于客戶專有前，這些電子簽名是不可靠的。

三、對策及建議

（一）加快個人信息保護的法制建設(shè)

專業(yè)立法方面。首先，立法部門應(yīng)盡快制定專門的個人信息保護法，全面規(guī)范個人信息的收集、存儲、處理和分析等行為。必須明確個人信息主體的權(quán)利、信息管理者的義務(wù)、信息監(jiān)管部門及其職責(zé)，嚴(yán)格控制個人信息的跨境使用，確定侵害個人信息的法律責(zé)任與訴訟程序。其次，法律應(yīng)設(shè)定最低的損害賠償標(biāo)準(zhǔn)，并在舉證責(zé)任分配及舉證責(zé)任能力賦予上向處于弱勢地位的受害者傾斜，從而使其得到合理的賠償，使泄露者、買賣者的違法成本高于收益，從根本上威懾、遏制盜賣個人信息的行為。最后，立法應(yīng)明確除了泄露、買賣個人信息外，若因機構(gòu)丟失客戶信息造成客戶的重大損失或侵權(quán)，機構(gòu)需要負(fù)民事責(zé)任，負(fù)責(zé)賠償。

監(jiān)管法規(guī)方面。首先，監(jiān)管機構(gòu)應(yīng)盡快出臺客戶信息保護的監(jiān)管法規(guī)，督促銀行履行客戶信息的保密義務(wù)，制定“最小授權(quán)、最小知悉范圍、最小信息量”的客戶信息使用原則，明確內(nèi)部的客戶信息管理部門。其次，參考國際研究成果，結(jié)合我國實際情況，專項研究個人信息保護技術(shù)手段，提出個人信息保護標(biāo)準(zhǔn)體系框架，通過抽樣測試和銀行試點等方式，制定關(guān)鍵標(biāo)準(zhǔn)。最后，應(yīng)建立行業(yè)涉信人員從業(yè)資格機制，簽訂涉信人員保密協(xié)議，進一步探索個人信息保護的分擔(dān)方式。明確銀行對其內(nèi)部人員、第三方合作人員或機構(gòu)的盜賣、丟失客戶信息的行為負(fù)有同樣的責(zé)任。

（二）實現(xiàn)核心技術(shù)自主可控，提高整體安全水平

國產(chǎn)化方面。首先，在國家戰(zhàn)略層面上建立信息技術(shù)國產(chǎn)化體系，加大對國產(chǎn)技術(shù)產(chǎn)業(yè)鏈的政策傾斜，引導(dǎo)其逐漸發(fā)展成為具備支持能力的高端產(chǎn)業(yè)鏈，實現(xiàn)產(chǎn)業(yè)準(zhǔn)備。其次，加快研制具有自主知識產(chǎn)權(quán)的、可靠的國產(chǎn)技術(shù)專利，大力推廣國產(chǎn)化技術(shù)在國際上的認(rèn)可度，營造適宜的國際環(huán)境。最后，在頂層設(shè)計的框架下，行業(yè)主管部門協(xié)調(diào)相關(guān)產(chǎn)業(yè)部門，依靠國有商業(yè)銀行的技術(shù)優(yōu)勢，選擇可行的重點突破領(lǐng)域，通過開展檢測驗證、試點等前置任務(wù)，積累經(jīng)驗，在銀行核心技術(shù)領(lǐng)域逐步推廣國產(chǎn)化。

技術(shù)規(guī)范方面。首先，制定銀行客戶信息保護的專業(yè)技術(shù)標(biāo)準(zhǔn)，明確客戶信息，特別是跨境使用的客戶信息在收集、存儲、處理和分析的環(huán)節(jié)中，最低安全標(biāo)準(zhǔn)的技術(shù)手段和配置參數(shù)。其次，對于通過自建系統(tǒng)發(fā)放客戶電子簽名證書的銀行，督促、指導(dǎo)其根據(jù)相關(guān)法律法規(guī)，開展足以證明所發(fā)放的電子簽名是可靠的整改。最后，引導(dǎo)所有銀行選取實力雄厚、技術(shù)成熟、服務(wù)規(guī)范的第三方合作機構(gòu)。

（三）開展銀行客戶信息的環(huán)境建設(shè)工作

銀行方面。首先，在全面統(tǒng)計自身客戶信息數(shù)據(jù)的基礎(chǔ)上，梳理自身管理現(xiàn)狀，開展自查自糾。其次，銀行應(yīng)通過技術(shù)控制和管理措施，開展自身個人信息保護標(biāo)準(zhǔn)體系和保護環(huán)境的建設(shè)，組織內(nèi)部員工學(xué)習(xí)相關(guān)法律法規(guī)，明確紅線。最后，通過官網(wǎng)、短信和柜面宣傳等方式，向客戶普及信息保護相關(guān)知識，提高客戶的保護意識。

行業(yè)方面。首先，應(yīng)統(tǒng)一思想，自頂向下地部署工作，主要依靠基層力量，嚴(yán)懲一批非法購買信息的不法分子，取締信息購買源非法產(chǎn)業(yè)鏈，創(chuàng)造客戶信息“有價無市”的工作基礎(chǔ)。其次，與司法部門建立銀行信息泄露和處置的聯(lián)動機制，加大對非法掌握、泄露客戶信息行為的打擊力度，及時凍結(jié)“被害賬戶”，避免損失的進一步擴大。最后，應(yīng)從政府、行業(yè)主管部門的層面，通過電視、報刊等媒體形式，制作相關(guān)法制警示的欄目，開展“信息保護月”等系列活動，建立全社會各司其職、齊抓共管的良好局面。