在金融业虚拟化和网络化程度不断提升的现代社会,信息安全与个人财产安全的关联度日益提升。作为政府以外公民信息最主要的收集和使用者以及公民财产重要的贮藏和代管者,银行有完全的责任和义务成为捍卫公民信息安全的“排头兵”。而近年来却频频发生银行个人金融信息泄漏事件,让公众震惊和忧虑,也说明银行个人金融信息保护工作亟待加强。 一、个人金融信息的界定、泄漏方式及威胁 银行个人金融信息,又称银行客户敏感信息,由银行的各种业务产生,通过银行信息系统进行输入、输出及处理,是银行日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。个人金融信息一般包含客户、账户及交易类敏感信息,具体为:①个人身份信息,包括个人姓名、民族、身份证件种类和号码等;②个人财产信息,包括个人收入状况、拥有的不动产状况等;③个人账户信息,包括账号、账户开立时间、开户行、账户余额等;④个人信用信息,包括信用卡还款情况、贷款偿还情况等;⑤个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;⑥衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;⑦个人其他信息。 由于个人金融信息的生命周期管理涉及客户、银行、商户、支付服务商乃至外部不法分子等诸多主体,涉及人、系统、流程等要素,还涉及收集、使用、传输、销毁等环节,因此,对个人金融信息的保护尤为复杂。如何收集、使用、对外提供个人金融信息,既涉及银行业务的正常开展,也涉及客户信息、个人隐私的保护;如果出现与个人金融信息有关的不当行为,不但会直接侵害客户的合法权益,也会增加银行的诉讼风险,加大运营成本。总结起来,银行个人金融信息泄漏主要有以下三种渠道。 (1)银行泄漏。首先,银行出于某种利益关系考虑可能主动将个人金融信息透露给第三方。如2010年香港金管局对外披露,有6家银行将超过60万名客户的资料泄漏给非关联的第三方,内地这种情况也很普遍,客户很难区分接到的保险销售电话究竟来自银行还是来自非关联的保险公司。其次,银行内部人员可能非法买卖个人金融信息。如上海司法机关日前查获一起关于买卖银行客户信息案件,其中两名嫌疑人已被检察机关批捕,批捕罪名包括涉嫌窃取、收买、非法提供信用卡信息罪和涉嫌出售公民信息罪。最后,由于对为银行服务的外包商管理不严,导致外包商非法越权接触银行个人金融信息并引发泄漏事件。 (2)商户及支付服务机构泄漏。当前,很多现实交易及网上交易是通过商户安装的POS机具或支付服务机构的支付平台进行的,在此过程中,银行个人金融信息“落地”至商户及支付服务平台系统内,使商户及支付服务机构接触个人金融信息并引发泄漏。2010年,大庆警方破获一起案件,某商场员工于2008~2010年利用维修收银台POS的便利条件,从POS的程序中窃取顾客的银行卡信息,复制了120张银行卡,并通过商场会员系统获取会员身份信息和刷卡记录,找出银行卡和会员身份的对应关系,并破译了较为简单的银行卡密码,由此盗用20多张银行卡,盗取现金20多万元。 (3)黑客及不法分子入侵导致泄漏。黑客可以通过脚本程序、无线网络或植入恶意程序等途径侵入金融机构的电脑系统,窃取后台数据库违规留存的包括磁道信息在内的账户信息。2011年6月,花旗银行证实受到黑客袭击,约有1%的信用卡用户(36万左右)受到影响,受影响客户的姓名、账号、联系信息(包括电子邮件地址)均被黑客浏览。个人金融信息泄漏使得不法分子获取了大量个人信息,并成为其他诸多犯罪的源头。一是被泄漏的个人金融信息成为电信诈骗的最佳“原材料”。个人金融信息含有丰富的内容,不法分子获取后,利用其进行电信诈骗是最为常见的危害。在电信诈骗案件侦破中,警方发现,受害者个人金融信息的泄漏是根本原因。二是被泄露的个人金融信息为冒名办理信用卡套现、复制银行卡盗取资金提供了极大便利。近年来发生的大量案件表明,犯罪分子在获取足够的个人金融信息后,可通过冒名办理信用卡及贷款、复制银行卡等手段,盗取客户资金,并严重影响客户信用。三是被泄漏的个人金融信息造成众多垃圾信息,严重影响社会生活秩序。相关单位获取个人金融信息后,向这些个人进行宣传或推销,此类垃圾信息的频发影响人们休息、侵害用户健康、干扰人们正常生活,成为一种新型社会污染。 二、个人金融信息泄漏的主要原因 (1)银行个人金融信息管理意识淡薄、制度不健全。 一是银行当前对个人金融信息保护的意识较为薄弱,普遍未认识到个人金融信息是银行的重要资产,是关乎银行声誉、客户隐私保护的重要因素,未将个人金融信息泄漏作为一种重要风险来对待,未将个人金融信息保护纳入银行整体风险管理框架中。二是银行个人金融信息保护机制不健全。未形成完善的个人金融信息保护管理制度,已有的相关制度主要分散于各类业务管理制度中,没有形成体系,也无法覆盖信息的采集、保管和销毁等所有工作环节。 (2)银行个人金融信息管理内控机制不健全、信息系统建设管理不完善。 当前,银行普遍未形成个人金融信息保护的有效组织和完善的信息系统,各业务部门在个人金融信息保护方面各自为政,信息系统中的信息互为孤岛,缺乏统一管理。内控方面,一是没有形成专业化的个人信息管理组织,缺乏专职的个人信息保护人员,个人信息保护的职能难于充分发挥。二是内部监督检查力度较弱,没有对个人信息保护的专项检查制度,将该类检查纳入常规性检查定期进行的机构比例较低。三是信息查询审计跟踪能力不足,银行缺乏信息调阅查询等行为以及信息交接过程的记录,难于跟踪个人信息使用的过程。四是外包管理中,对外包人员行为的控制有所欠缺,对外包商的保密管理情况审计不足。信息系统方面,银行存储个人金融信息的系统建设管理也不完善,未对信息进行统一整合。当前多数银行的个人金融信息分散在存款、支付结算、银行卡、电子银行等业务中,业务又分属不同部门运营,且分别由不同的信息系统支持,形成了许多信息孤岛,使得信息保护更加困难。一是对系统查询信息的权限控制不足,工作人员查询时,往往能够获取超过其权限的信息。二是信息系统开发和测试时,数据变形管理不严格,缺乏关于数据变形管理的制度和规定,数据变形工作的随意性较大。#p#分页标题#e# (3)对商户及支付服务机构的管理不规范,缺乏有效制约。银行签约商户及第三方支付服务机构作为个人金融信息的“落地”主体,对个人金融信息保护也负有义务,但当前银行对签约商户的管理不规范,对第三方支付服务机构也缺乏有效监管。一是银行对签约商户及支付服务机构管理不到位。签订的合作协议不完善,未明确个人金融信息传输使用过程的权责关系,缺乏必要的安全保护技术手段;缺乏对合作方的定期检查核查机制,例行检查往往流于形式。二是对商户及新型支付服务机构缺乏有效监管。商户及支付服务机构出于利益考量,往往成为个人金融信息泄漏的积极群体,当前,国内尚未有效构建对此类机构的监管机制。 (4)监管部门对个人金融信息保护的监管不到位。 2011年以来,人民银行、银监会分别针对银行个人金融信息保护下发了通知(银发〔2011〕17号、银监发〔2011〕86号),但总体来说,监管部门对银行个人金融信息保护的监管还处于起步阶段。一是现有的监管制度较为零散且可操作性不强。现行银行业监管法规仅针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定,无法覆盖银行业提供的各类业务,不能全面规范客户个人信息采集、保管和销毁的全流程;同时,原则性规定较多,多数只规定保护的基本原则,缺乏具体条款,可操作性不强。二是针对性不强。如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》虽然对客户信息安全管理做了一些规定,但立法目的是加强反洗钱的监督管理,不是针对客户个人信息保护。 (5)法律不完善、行政法律责任缺失。一是我国尚未制定专门的个人信息保护法,对个人信息的保护主要依据只有《民法通则》中对个人姓名权、肖像权和名誉权的规定,《刑法修正案(七)》中规定的出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名,个人信息主体的权利难以得到全面明确和保护。 二是行政法责任缺失。从我国现有法规来看,对侵犯公民个人信息的行为,《民法通则》规定了损害赔偿的民事责任,《刑法》规定了出售、非法提供及非法获取公民个人信息应承担的刑事责任,而在行政法层面,对于侵犯银行客户个人信息但尚未构成犯罪的行为,银行业监管法规没有规定直接适用的罚则,监管部门也缺乏对银行违规泄漏客户信息进行行政处罚的直接依据。 (6)公众教育缺乏、客户风险防范意识淡薄。一方面,社会针对个人金融信息保护开展的公众教育相对不足,例如,银行在营销业务产品过程中对客户培训不足,未履行对客户必要的告知义务;另一方面,银行客户层次有差异,素质参差不齐,部分客户风险防范意识较弱,缺乏对个人金融信息保护的意识。 三、个人金融信息保护的建议与对策个人金融信息保护是一项系统工程,需要个人、银行、监管部门及有关部门的有效协同。 (1)银行层面要提升意识、构建机制,强化个人金融信息生命周期的保护管理。一是要强化内控建设。银行机构应尽快完善客户个人信息管理的规章制度,对客户个人信息的采集、使用、存储的生命周期管理做出明确规定,有效保护客户个人信息安全;建立健全信息安全内控机制,制定信息安全控制流程,明确各岗位人员的保密和管理职责权限;对纸质和电子信息实行集中统一管理,对信息查阅、下载、拷贝实行严格的审批、登记和权限管理;强化监督问责,定期对信息安全状况进行评估、审计和检查监督,及时发现和纠正客户信息管理工作中的隐患和漏洞。二是要完善信息系统建设与管理。一方面,银行要在数据大集中基础上进一步整合信息系统,真正实现由“以账户为中心”到“以客户为中心”的转变,全面整合个人金融信息,以便于进行统一保护管理;另一方面,要进一步提升信息安全管理能力。银行机构应对信息系统可能遇到的各种技术风险进行评估,综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,有效防范来自于外部的攻击,确保信息及信息系统安全。三是要加强员工管理。银行机构应加强员工保密教育,提高员工素养,增强员工法律意识,严格遵守“为客户保密”的原则;加强对保密要害部门、要害部位和涉密工作人员的管理,加强对业务外包单位及合作单位工作人员管理,及时消除风险隐患。 (2)监管层面要完善规章,加强银行业个人金融信息保护工作监管。一是要考虑将个人金融信息保护纳入对银行的总体风险监管框架中。监管部门可根据《民法通则》、《商业银行法》等法律中有关公民信息保护的原则性规定,制定银行客户个人信息保护的部门规章,对银行客户个人信息的采集、使用、保密等环节作出详细规定,明确对银行业机构违规泄漏客户个人信息,造成客户较大损失或引发社会不良影响的,可以视情形予以处罚或采取监管措施。二是可依托银行业标准化委员会,建立金融客户个人信息保护的规范和标准,促进银行业构建个人信息保护工作的体制和机制,以利于监管银行业机构,更好地保护个人信息。三是加强对银行个人金融信息保护工作的现场检查和非现场监测,切实督促银行加强客户个人金融信息数据库营销管理,督促银行业加强信息系统安全管理,规范其个人信息数据库的管理,防止信息被滥用。 (3)国家层面要加快立法进程,加强宣传教育,提升公众的个人信息保护意识。一是建议国家相关部门建立一整套系统化、多层次的个人信息保护法规制度,将个人信息保护工作法制化,如完善信息主体权益保护法规制度,完善征信监管主体法规制度,建立依法合规的个人信息查询办法和规定,建立行业监管机制等。二是设立专门的信息资源管理机构,对使用私人信息的社会团体或个人进行严格的监督。三是提高公民自我保护意识。通过开展形式多样的宣传活动,加大宣传力度,引导民众注意保护个人信息,提高防范意识。
