加强个人信息保护为消费者金融信息安全保驾护航

《个人信息保护法》的正式施行，有效地规范了个人信息保护，明确了信息处理者、受托人和信息源等主体的法律权利义务。该法的施行被认为是个人信息保护的里程碑事件，表明我国个人信息保护法律体系初步建立，个人信息保护进入了严监管时代。

当前银行机构处理客户个人信息存在的主要问题

客户信息保护体制机制不健全，制度执行不到位。部分银行机构业务操作流程不完善，内控制度不健全，岗位制约和授权监督不到位，未能严格按照相关法律法规、监管要求加强客户个人信息管理。有的银行员工未经客户授权查询并向第三方提供客户个人账户交易信息，受到社会广泛关注，相关违法违规行为也受到监管部门行政处罚。

客户信息保护意识薄弱，重视程度不足。在业务快速发展的同时，部分银行尚未健全科学审慎的合规文化和合规管理体系，客户信息保护意识还有所欠缺，员工行为管理还不够到位，不符合相关法规和监管部门关于个人信息保护、审慎经营的有关规定。

信息系统建设不完善，信息使用和访问不规范。近年来，互联网、大数据、云计算、人工智能等新兴技术与金融领域深度结合，银行机构普遍加大科技运用力度，不断提高金融科技水平。但在个人信息存储、传输、处理过程中，部分银行风险防范机制还不够严格有效，信息系统运维管理、数据提取及使用、密码管理、网络访问等存在薄弱环节。

自主研发能力不足，过度依赖外包。一些中小银行自身科技实力较弱，IT外包现象较为普遍，外包服务商大都承担多家银行机构的信息科技服务。目前对外包服务商的监督规范还不够健全完善，一旦外包服务商存在不当行为或信息系统管理不到位，容易造成客户个人信息安全问题。

银行机构应如何规范个人信息处理活动

银行机构在为客户提供金融服务的同时，掌握了大量详尽的客户个人金融信息，包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人交易信息，以及其他与特定消费者购买、使用金融产品或服务相关信息等，客户个人信息处理不当会给银行带来法律风险和声誉风险。《个人信息保护法》明确个人信息受法律保护，规范了个人信息处理活动，银行机构应据此进一步健全完善客户个人信息处理机制，加强客户个人信息收集、使用、保管等全流程管理。

厘清个人信息收集边界。银行机构处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

明确个人信息处理责任范围。银行机构应当根据个人信息处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，修订完善内部管理制度和操作规程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施。对已发生或者可能发生个人信息泄露、篡改、丢失的，银行机构应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

修改合同服务协议条款。为了避免在使用客户个人信息时发生不必要的争议，银行机构应与个人客户在合同协议中进一步明确约定授权查询、使用、加工、传输、提供、公开等，并赋予个人撤回同意的权利，在个人撤回其同意后，银行机构应当停止处理或及时删除其个人信息。同时，还应当在合同协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提示。

加强敏感个人信息保护。《个人信息保护法》在第二十八条关于“敏感个人信息”定义中，将“金融账户”作为个人敏感信息特别地列举出来，一方面在法律层面对个人金融信息有了更好的保障，另一方面对银行机构处理客户信息提出更高的要求。银行机构只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，才能处理敏感个人信息，并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

金融监管部门应如何为个人金融信息保驾护航

现行金融法律和金融监管部门有关规定均对个人信息保护提出明确要求，但存在不够严格、不够细化、问责力度不足、震慑力低等情况，个人信息主体的权利难以得到全面明确和保护。比如，《中华人民共和国商业银行法》规定商业银行有“为存款人保密”的义务，但对如何履行义务未作出明确规定，对瑕疵履行或不履行义务也未规定相应的法律责任。《中华人民共和国反洗钱法》及《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》规定金融机构有“防止泄露客户身份信息和交易信息”的义务，但侧重于对反洗钱有关信息的保护，而缺乏对一般性信息的保护。《银行业金融机构数据治理指引》要求银行业机构采集、应用数据涉及个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。该款国家标准所指主要是《信息安全技术个人信息安全规范》，但从性质上看，该规范属于推荐性国家标准，并不具备强制的法律效力。《个人信息保护法》的实施，为金融监管部门指导金融机构建立客户个人信息保护内控制度，开展金融机构处理客户个人信息专项检查提供了法律依据，并为有效开展个人信息保护监督管理工作指明了方向。

积极履行个人金融信息保护职责部门责任。《个人信息保护法》要求个人信息保护职责部门开展个人信息保护宣传教育；接受、处理与个人信息有关的投诉、举报；组织对应用程序等个人信息保护情况进行测评，并公布测评结果；调查、处理违法个人信息处理活动等。金融监管部门作为金融机构个人信息保护职责部门，应加大金融监管资源配置力度，全方位履行相应职责。

违法处理个人金融信息行为应受到更加严厉处罚。《个人信息保护法》承继了严厉惩罚个人信息违法行为的国际通行做法，加重了对侵犯个人信息行为的惩处力度。对于金融机构违法处理客户个人信息或未按规定履行个人信息保护义务的，金融监管部门应根据情节轻重，给予责令整改、警告、没收违法所得、罚款、责令暂停相关业务、高管人员禁业等行政处罚，督促金融机构规范客户个人信息处理，提高监管震慑作用。

推动建立个人金融信息保护长效机制。个人金融信息是金融机构在日常业务中积累的重要基础数据，也是金融机构客户个人隐私的重要内容。金融机构如何依法收集、使用、加工、传输个人金融信息，既与金融机构业务开展息息相关，也涉及客户信息安全、个人隐私保护。金融监管部门应进一步细化个人金融信息保护的具体规范，增强个人金融信息保护的可操作性，督导金融机构完善客户个人金融信息保护的长效机制。