銀行業個人信息保護的法律義務問題2021年8月，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），自2021年11月1日起施行。《個人信息保護法》作為我國首部針對個人信息保護的專門性立法，進一步明確個人信息收集和處理應遵循的原則，構建更為系統的信息安全法律保障體系。銀行業應在《個人信息保護法》的指導下，進一步強化個人信息的監管與保護，轉變個人信息保護理念，構建動態化的個人信息保護框架，以適應“后大數據時代”的到來。

我國銀行業個人信息保護現狀評析個人信息和隱私概念區分不清晰

銀行業是擁有客戶靜態資產數據以及動態交易數據最多的行業，但近年來銀行業產品營銷推介涉及的電信詐騙案件等問題，極大地攪擾了客戶的生活安寧，給銀行業的聲譽帶來了較大的負面影響。銀行業在收集客戶個人信息時須充分保障客戶個人信息安全，強化個人信息保護理念，在個人信息保護方面構筑更加完備的制度體系和實施體系。

《民法典》第1032條第2款明確了“隱私”概念，規定“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”。同時，《民法典》明確了“個人信息”中有關“私密信息”的規定適用有關隱私權的相關規定。個人信息與隱私在概念上存在重合部分，個人信息著重強調“可識別性”，即該信息不僅能夠對個體身份進行識別，還能夠對個體特征進行識別；不僅能夠顯現出自然痕跡和社會痕跡，還能夠通過人物信息對人物進行精準描摹。隱私則更加強調維護個人的私生活安寧，個人私密性信息或活動不被公開。個人信息權利更加強調不當利用信息帶來的客觀人身及財產風險，隱私權則更加強調因信息涉及人格利益而不愿為他人知曉的主觀意愿。因此，隱私權和個人信息權利邊界問題及公民對于個人金融信息保護的訴求問題，對銀行業合規管理提出了更高的要求。

對于銀行客戶來說，個人信息權主要體現在其對于個人信息被使用范圍的知情權和自主決定權，隱私權主要體現在銀行推廣、營銷業務時不應影響其“生活安寧”上，兩者均與銀行業務關系密切。銀行業個人信息合規管理的出發點應當是將其收集的所有信息按照“個人信息”以及“私密信息”合理地進行區分，進而有效降低信息收集行為的相關風險。

在實踐中，某些銀行往往既侵犯客戶的個人信息權，又侵犯客戶的隱私權。有的銀行在開展業務時，未嚴格恪守“最少必要性”原則，而是采用“應收盡收”的策略，極大地侵犯了客戶的知情權與選擇權。在收集完個人信息后，部分銀行又存在未經客戶允許即向其撥打營銷電話、發送營銷信息等侵害客戶生活安寧的行為。

第三方機構數據引入存在安全問題

《2020年中國互聯網網絡安全報告》顯示，2020年全年累計監測發現個人信息非法售賣事件203起，其中銀行、證券、保險相關行業用戶個人信息遭非法售賣的事件占比較高，約占數據非法交易事件總數的40%。

銀行業涉及的業務之多、范圍之廣、關系之復雜是其他行業無法比擬的，保障儲戶個人金融信息安全是銀行義不容辭的責任。銀行在開展催收、代發工資等業務時，應當采取必要措施保障客戶的個人信息安全。盡管央行、銀保監會和證監會均設立了專門的金融消費者權益保護部門，但目前并沒有一個專門對信息進行監督和管理的統一的個人金融信息監管機構，分屬不同領域不同部門的分別監管，導致監管職責不清晰，存在監管套利和監管真空狀態，監管缺位也是銀行頻繁發生數據泄露、丟失等情況的重要原因之一。在當前豐富的支付場景下，銀行信息安全面臨著更嚴峻的挑戰。

《個人信息保護法》對銀行展業產生的影響不同于《民法典》對于個人信息保護僅停留在原則性規定，《個人信息保護法》對個人信息處理行為進行了具體的規定，全方位強調了各方主體的義務與責任。銀行業在開展相關業務時應當在《個人信息保護法》出臺的大背景下，多角度考慮提升其相關合規舉措。

在《個人信息保護法》出臺之前，我國已經在相關法律法規以及行業標準中多次提到銀行業的個人信息采集原則。2021年1月，中國人民銀行發布《征信業務管理辦法（征求意見稿）》（以下簡稱《辦法》），明確信用信息將以信用信息服務、信用服務、信用評分等名義對外提供征信功能的服務納入監管，再次明確“最少必要”的信息采集原則。

《個人信息保護法》第6條規定，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。銀行業在收集個人信息時須以此原則為指導，對不同類型的個人信息進行分類分級，只收集與銀行開展業務所必需的個人信息，對一些無關信息如身份識別、宗教信仰等，則不應該收集。根據《個人信息保護法》第17條的規定，個人信息處理者應當以顯著方式清晰易懂的語言告知信息所有者相關規定事項，發生變更的，還應當將變更部分告知個人。也就是說，銀行須在基于客戶個人知情、明確表示同意的情況下才能對客戶的信息進行處理。

銀行在與金融消費者簽訂相關業務協議時，應明確收集、使用客戶信息的范圍、途徑、使用方式，并允許消費者自行選擇，且不得因客戶不同意其收集相關信息而拒絕為客戶提供服務。

國外個人信息保護措施

歐盟的個人信息保護。以歐盟為代表的國家和地區對個人數據信息進行保護時采取統一立法的方式進行，除了我們所熟知的《通用數據保護條例》（GDPR）外，還出臺了《金融指令》《歐盟金融工具市場指令Ⅱ》（MiFIDⅡ）等一系列法律法規對金融信息的保護加以規范，以此形成更加系統的個人金融信息保護體系。盡管GDPR沒有把個人金融信息作為敏感數據給予最有力的保障，但歐盟法律將個人金融信息與電子通信、就業、醫療、研究統計這四類重要信息進行并列保護。GDPR擁有完善的個人信息保護體系，除知情權、訪問權、反對權等權利之外，還引入了刪除權、被遺忘權等全新概念。

美國的個人信息保護。美國采用分散立法的方式，通過聯邦和各州分開立法的方式來規制個人金融信息保護的相關問題。聯邦層面的立法主要有《金融隱私法》《金融服務現代化法案》，州立法層面主要有《加利福尼亞隱私法》《歌貝弗利信用卡法案》。美國的立法相比于歐盟更加側重信息的可控性以及實用性。美國個人金融信息保護值得借鑒的是客戶異議糾錯權的行使。異議糾錯權是指客戶發現金融機構在存儲用戶個人信息有誤時，可以向金融機構提出異議并要求更正的權利。客戶行使異議糾錯權不僅可以降低銀行業的法律風險，還可以減少銀行對個人金融信息進行二次審查的工作量。

日本的個人信息保護。日本在出臺《個人信息保護法》的同時，還出臺了《金融領域個人信息保護方針》等一系列法規。日本全面修訂《個人信息保護法》后，增設了“敏感信息”這一全新概念，對個人信息處理者、匿名加工信息處理者都作出了進一步的規定，有效地防范了個人信息泄露問題的發生。日本對數據進行分級處理，制定數據分級分類標準，對不同管理級別的數據采取不同安全防護措施，平衡數據安全保障的全面性和重要性。

幾點建議

完善銀行業安全防范的內部治理。作為對聲譽風險高度敏感的銀行業，將個人信息保護納入其內部合規管理勢在必行。銀行在收集客戶個人信息時，應嚴格遵守相關法律法規和行業規范，明確各部門的具體權限與職責，將銀行相關業務細致化、規范化、流程化。標準越明確，權責越清晰，越有利于銀行維護自身利益，規避相關法律風險。要持續常態化開展宣傳培訓和警示教育，將個人信息保護的具體要求融入相關業務及技術操作規范和流程中，定期進行考試，并將其納入員工績效考核。問責缺位必然導致銀行業的相關法律法規形同虛設，建立明確的獎懲機制，構建多元化的責任制度才是解決此類問題的根源所在。無論是銀行領導人員風險意識薄弱，還是銀行工作人員利用職務便利在違法的邊緣反復試探，根源或許都在于責任追究制度落實不到位。提高違規成本和懲處力度，強化員工對個人信息泄露引發法律后果的認知，讓從業人員不愿做、不敢做才是解決問題的關鍵所在。

加強信息安全基礎設施建設。隨著云計算、大數據與人工智能等新興科技的發展，銀行數據使用的場景擴展至跨機構、跨行業甚至跨境等復雜信息交互場景，任意場景的任何一端出現薄弱環節，都存在使個人金融信息數據泄露的風險，這也對基礎設施的建設、技術設備的先進程度以及數據保護的技術水平提出了更高的要求。銀行業應當不斷增強自身應用新興科技的能力，從基礎設施建設、技術設備建設以及技術能力的提高等多個層面入手，各部門與各企業強強聯手，以增強數據風險抵御能力。要完善信息系統安全建設，銀行應不定期地組織安全漏洞的排查，并對有關信息采取去標識化等方式進行脫敏處理，嚴格把控編程規范，定期維護系統。銀行要積極利用數據加密、安全存儲、區塊鏈等技術，構建自主可控、可支撐億量級客戶和高并發交易的數據保護能力，不斷提高金融科技服務的安全性，保障用戶隱私與資金安全，加強金融安全管控，完善新形勢下的銀行金融安全體系。

加強消費者個人信息安全保護教育。《個人信息保護法》在《網絡安全法》和《民法典》的基礎上，對個人在個人信息處理活動中的權利作出了更加具體的規定，目的就是為了更好地保護自然人的個人信息權益。面對突然到來的大數據時代，公眾通常對個人信息使用的態度容易走極端，要么認為當今社會是一個“個人信息裸奔”的年代，對于自己的個人信息保護采取無所謂的態度；要么采用“簡單粗暴”的“個人信息一概不提供”的對外原則。在大數據與個人信息保護之間需要找到平衡點，不斷推進銀行的數字化轉型發展以及提升消費者的體驗。銀行應當加強消費者金融信息保護教育，針對廣泛普及的數字金融服務，定期舉行個人信息保護條款解讀，增強消費者日常消費行為中的個人信息保護意識的培養，使公眾從被動抵制轉為主動預防；針對普惠數字金融服務，提高公眾對必要的數據采集和個人信息保護的分辨能力以及主動預防能力，推動社會公眾意識到個人金融信息保護是維護公民隱私、維護商業利益、維護國家安全的關鍵所在，每個公民都有義務從自身做起，維護包括自身數據在內的數據安全。銀行的數字化轉型是一項長期性、系統性工程，不僅需要銀行系統的各部門高度協同配合，消費者的積極參與也是其中必不可少的環節。

暢通金融消費者多元救濟渠道。根據《個人信息保護法》第69條的規定，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。個人信息處理者如果對個人的信息處理不當，應當承擔損害賠償等侵權責任。因此，銀行應當建立個人信息保護檔案管理系統、信息分級授權管理體系以及信息安全事件應急處理機制。拓寬金融消費者救濟渠道，制定個人信息保護預案，在內部建立健全常態化預警機制，從而做到，一旦發生個人信息泄露事件，做到早發現、早預警，及時采取相關補救措施，從而做到未雨綢繆。

《個人信息保護法》第70條規定，個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。在個人信息處理者違反個人信息保護法規定處理個人信息，侵害眾多個人的權益時，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。我國已經逐步建立起政府部門、監察機關、公益組織、集體訴訟四位一體的救濟途徑，援用歐盟GDPR舉證責任倒置規則，極大地提高