前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的金融信息保護思考，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

在金融業(yè)虛擬化和網(wǎng)絡化程度不斷提升的現(xiàn)代社會，信息安全與個人財產(chǎn)安全的關聯(lián)度日益提升。作為政府以外公民信息最主要的收集和使用者以及公民財產(chǎn)重要的貯藏和代管者，銀行有完全的責任和義務成為捍衛(wèi)公民信息安全的“排頭兵”。而近年來卻頻頻發(fā)生銀行個人金融信息泄漏事件，讓公眾震驚和憂慮，也說明銀行個人金融信息保護工作亟待加強。   一、個人金融信息的界定、泄漏方式及威脅   銀行個人金融信息，又稱銀行客戶敏感信息，由銀行的各種業(yè)務產(chǎn)生，通過銀行信息系統(tǒng)進行輸入、輸出及處理，是銀行日常業(yè)務工作中積累的一項重要基礎數(shù)據(jù)，也是金融機構(gòu)客戶個人隱私的重要內(nèi)容。個人金融信息一般包含客戶、賬戶及交易類敏感信息，具體為：①個人身份信息，包括個人姓名、民族、身份證件種類和號碼等；②個人財產(chǎn)信息，包括個人收入狀況、擁有的不動產(chǎn)狀況等；③個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶余額等；④個人信用信息，包括信用卡還款情況、貸款償還情況等；⑤個人金融交易信息，包括銀行業(yè)金融機構(gòu)在支付結(jié)算、理財、保險箱等中間業(yè)務過程中獲取、保存、留存的個人信息和客戶在通過銀行業(yè)金融機構(gòu)與保險公司、證券公司、基金公司、期貨公司等第三方機構(gòu)發(fā)生業(yè)務關系時產(chǎn)生的個人信息等；⑥衍生信息，包括個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息；⑦個人其他信息。   由于個人金融信息的生命周期管理涉及客戶、銀行、商戶、支付服務商乃至外部不法分子等諸多主體，涉及人、系統(tǒng)、流程等要素，還涉及收集、使用、傳輸、銷毀等環(huán)節(jié)，因此，對個人金融信息的保護尤為復雜。如何收集、使用、對外提供個人金融信息，既涉及銀行業(yè)務的正常開展，也涉及客戶信息、個人隱私的保護；如果出現(xiàn)與個人金融信息有關的不當行為，不但會直接侵害客戶的合法權(quán)益，也會增加銀行的訴訟風險，加大運營成本。總結(jié)起來，銀行個人金融信息泄漏主要有以下三種渠道。   （1）銀行泄漏。首先，銀行出于某種利益關系考慮可能主動將個人金融信息透露給第三方。如2010年香港金管局對外披露，有6家銀行將超過60萬名客戶的資料泄漏給非關聯(lián)的第三方，內(nèi)地這種情況也很普遍，客戶很難區(qū)分接到的保險銷售電話究竟來自銀行還是來自非關聯(lián)的保險公司。其次，銀行內(nèi)部人員可能非法買賣個人金融信息。如上海司法機關日前查獲一起關于買賣銀行客戶信息案件，其中兩名嫌疑人已被檢察機關批捕，批捕罪名包括涉嫌竊取、收買、非法提供信用卡信息罪和涉嫌出售公民信息罪。最后，由于對為銀行服務的外包商管理不嚴，導致外包商非法越權(quán)接觸銀行個人金融信息并引發(fā)泄漏事件。   （2）商戶及支付服務機構(gòu)泄漏。當前，很多現(xiàn)實交易及網(wǎng)上交易是通過商戶安裝的POS機具或支付服務機構(gòu)的支付平臺進行的，在此過程中，銀行個人金融信息“落地”至商戶及支付服務平臺系統(tǒng)內(nèi)，使商戶及支付服務機構(gòu)接觸個人金融信息并引發(fā)泄漏。2010年，大慶警方破獲一起案件，某商場員工于2008～2010年利用維修收銀臺POS的便利條件，從POS的程序中竊取顧客的銀行卡信息，復制了120張銀行卡，并通過商場會員系統(tǒng)獲取會員身份信息和刷卡記錄，找出銀行卡和會員身份的對應關系，并破譯了較為簡單的銀行卡密碼，由此盜用20多張銀行卡，盜取現(xiàn)金20多萬元。   （3）黑客及不法分子入侵導致泄漏。黑客可以通過腳本程序、無線網(wǎng)絡或植入惡意程序等途徑侵入金融機構(gòu)的電腦系統(tǒng)，竊取后臺數(shù)據(jù)庫違規(guī)留存的包括磁道信息在內(nèi)的賬戶信息。2011年6月，花旗銀行證實受到黑客襲擊，約有1%的信用卡用戶（36萬左右）受到影響，受影響客戶的姓名、賬號、聯(lián)系信息(包括電子郵件地址)均被黑客瀏覽。個人金融信息泄漏使得不法分子獲取了大量個人信息，并成為其他諸多犯罪的源頭。一是被泄漏的個人金融信息成為電信詐騙的最佳“原材料”。個人金融信息含有豐富的內(nèi)容，不法分子獲取后，利用其進行電信詐騙是最為常見的危害。在電信詐騙案件偵破中，警方發(fā)現(xiàn)，受害者個人金融信息的泄漏是根本原因。二是被泄露的個人金融信息為冒名辦理信用卡套現(xiàn)、復制銀行卡盜取資金提供了極大便利。近年來發(fā)生的大量案件表明，犯罪分子在獲取足夠的個人金融信息后，可通過冒名辦理信用卡及貸款、復制銀行卡等手段，盜取客戶資金，并嚴重影響客戶信用。三是被泄漏的個人金融信息造成眾多垃圾信息，嚴重影響社會生活秩序。相關單位獲取個人金融信息后，向這些個人進行宣傳或推銷，此類垃圾信息的頻發(fā)影響人們休息、侵害用戶健康、干擾人們正常生活，成為一種新型社會污染。   二、個人金融信息泄漏的主要原因   （1）銀行個人金融信息管理意識淡薄、制度不健全。   一是銀行當前對個人金融信息保護的意識較為薄弱，普遍未認識到個人金融信息是銀行的重要資產(chǎn)，是關乎銀行聲譽、客戶隱私保護的重要因素，未將個人金融信息泄漏作為一種重要風險來對待，未將個人金融信息保護納入銀行整體風險管理框架中。二是銀行個人金融信息保護機制不健全。未形成完善的個人金融信息保護管理制度，已有的相關制度主要分散于各類業(yè)務管理制度中，沒有形成體系，也無法覆蓋信息的采集、保管和銷毀等所有工作環(huán)節(jié)。   （2）銀行個人金融信息管理內(nèi)控機制不健全、信息系統(tǒng)建設管理不完善。   當前，銀行普遍未形成個人金融信息保護的有效組織和完善的信息系統(tǒng)，各業(yè)務部門在個人金融信息保護方面各自為政，信息系統(tǒng)中的信息互為孤島，缺乏統(tǒng)一管理。內(nèi)控方面，一是沒有形成專業(yè)化的個人信息管理組織，缺乏專職的個人信息保護人員，個人信息保護的職能難于充分發(fā)揮。二是內(nèi)部監(jiān)督檢查力度較弱，沒有對個人信息保護的專項檢查制度，將該類檢查納入常規(guī)性檢查定期進行的機構(gòu)比例較低。三是信息查詢審計跟蹤能力不足，銀行缺乏信息調(diào)閱查詢等行為以及信息交接過程的記錄，難于跟蹤個人信息使用的過程。四是外包管理中，對外包人員行為的控制有所欠缺，對外包商的保密管理情況審計不足。信息系統(tǒng)方面，銀行存儲個人金融信息的系統(tǒng)建設管理也不完善，未對信息進行統(tǒng)一整合。當前多數(shù)銀行的個人金融信息分散在存款、支付結(jié)算、銀行卡、電子銀行等業(yè)務中，業(yè)務又分屬不同部門運營，且分別由不同的信息系統(tǒng)支持，形成了許多信息孤島，使得信息保護更加困難。一是對系統(tǒng)查詢信息的權(quán)限控制不足，工作人員查詢時，往往能夠獲取超過其權(quán)限的信息。二是信息系統(tǒng)開發(fā)和測試時，數(shù)據(jù)變形管理不嚴格，缺乏關于數(shù)據(jù)變形管理的制度和規(guī)定，數(shù)據(jù)變形工作的隨意性較大。#p#分頁標題#e# （3）對商戶及支付服務機構(gòu)的管理不規(guī)范，缺乏有效制約。銀行簽約商戶及第三方支付服務機構(gòu)作為個人金融信息的“落地”主體，對個人金融信息保護也負有義務，但當前銀行對簽約商戶的管理不規(guī)范，對第三方支付服務機構(gòu)也缺乏有效監(jiān)管。一是銀行對簽約商戶及支付服務機構(gòu)管理不到位。簽訂的合作協(xié)議不完善，未明確個人金融信息傳輸使用過程的權(quán)責關系，缺乏必要的安全保護技術(shù)手段；缺乏對合作方的定期檢查核查機制，例行檢查往往流于形式。二是對商戶及新型支付服務機構(gòu)缺乏有效監(jiān)管。商戶及支付服務機構(gòu)出于利益考量，往往成為個人金融信息泄漏的積極群體，當前，國內(nèi)尚未有效構(gòu)建對此類機構(gòu)的監(jiān)管機制。   （4）監(jiān)管部門對個人金融信息保護的監(jiān)管不到位。   2011年以來，人民銀行、銀監(jiān)會分別針對銀行個人金融信息保護下發(fā)了通知（銀發(fā)〔2011〕17號、銀監(jiān)發(fā)〔2011〕86號），但總體來說，監(jiān)管部門對銀行個人金融信息保護的監(jiān)管還處于起步階段。一是現(xiàn)有的監(jiān)管制度較為零散且可操作性不強。現(xiàn)行銀行業(yè)監(jiān)管法規(guī)僅針對儲蓄存款業(yè)務、電子銀行業(yè)務、信用卡業(yè)務等領域的客戶個人信息保護作出個別規(guī)定，無法覆蓋銀行業(yè)提供的各類業(yè)務，不能全面規(guī)范客戶個人信息采集、保管和銷毀的全流程；同時，原則性規(guī)定較多，多數(shù)只規(guī)定保護的基本原則，缺乏具體條款，可操作性不強。二是針對性不強。如《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》雖然對客戶信息安全管理做了一些規(guī)定，但立法目的是加強反洗錢的監(jiān)督管理，不是針對客戶個人信息保護。   （5）法律不完善、行政法律責任缺失。一是我國尚未制定專門的個人信息保護法，對個人信息的保護主要依據(jù)只有《民法通則》中對個人姓名權(quán)、肖像權(quán)和名譽權(quán)的規(guī)定，《刑法修正案（七）》中規(guī)定的出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名，個人信息主體的權(quán)利難以得到全面明確和保護。   二是行政法責任缺失。從我國現(xiàn)有法規(guī)來看，對侵犯公民個人信息的行為，《民法通則》規(guī)定了損害賠償?shù)拿袷仑熑危缎谭ā芬?guī)定了出售、非法提供及非法獲取公民個人信息應承擔的刑事責任，而在行政法層面，對于侵犯銀行客戶個人信息但尚未構(gòu)成犯罪的行為，銀行業(yè)監(jiān)管法規(guī)沒有規(guī)定直接適用的罰則，監(jiān)管部門也缺乏對銀行違規(guī)泄漏客戶信息進行行政處罰的直接依據(jù)。   （6）公眾教育缺乏、客戶風險防范意識淡薄。一方面，社會針對個人金融信息保護開展的公眾教育相對不足，例如，銀行在營銷業(yè)務產(chǎn)品過程中對客戶培訓不足，未履行對客戶必要的告知義務；另一方面，銀行客戶層次有差異，素質(zhì)參差不齊，部分客戶風險防范意識較弱，缺乏對個人金融信息保護的意識。   三、個人金融信息保護的建議與對策個人金融信息保護是一項系統(tǒng)工程，需要個人、銀行、監(jiān)管部門及有關部門的有效協(xié)同。   （1）銀行層面要提升意識、構(gòu)建機制，強化個人金融信息生命周期的保護管理。一是要強化內(nèi)控建設。銀行機構(gòu)應盡快完善客戶個人信息管理的規(guī)章制度，對客戶個人信息的采集、使用、存儲的生命周期管理做出明確規(guī)定，有效保護客戶個人信息安全；建立健全信息安全內(nèi)控機制，制定信息安全控制流程，明確各崗位人員的保密和管理職責權(quán)限；對紙質(zhì)和電子信息實行集中統(tǒng)一管理，對信息查閱、下載、拷貝實行嚴格的審批、登記和權(quán)限管理；強化監(jiān)督問責，定期對信息安全狀況進行評估、審計和檢查監(jiān)督，及時發(fā)現(xiàn)和糾正客戶信息管理工作中的隱患和漏洞。二是要完善信息系統(tǒng)建設與管理。一方面，銀行要在數(shù)據(jù)大集中基礎上進一步整合信息系統(tǒng)，真正實現(xiàn)由“以賬戶為中心”到“以客戶為中心”的轉(zhuǎn)變，全面整合個人金融信息，以便于進行統(tǒng)一保護管理；另一方面，要進一步提升信息安全管理能力。銀行機構(gòu)應對信息系統(tǒng)可能遇到的各種技術(shù)風險進行評估，綜合運用先進的防火墻、身份識別與認證、數(shù)據(jù)加密、數(shù)字簽名、第三方認證以及網(wǎng)絡安全監(jiān)控等技術(shù)并及時更新，有效防范來自于外部的攻擊，確保信息及信息系統(tǒng)安全。三是要加強員工管理。銀行機構(gòu)應加強員工保密教育，提高員工素養(yǎng)，增強員工法律意識，嚴格遵守“為客戶保密”的原則；加強對保密要害部門、要害部位和涉密工作人員的管理，加強對業(yè)務外包單位及合作單位工作人員管理，及時消除風險隱患。   （2）監(jiān)管層面要完善規(guī)章，加強銀行業(yè)個人金融信息保護工作監(jiān)管。一是要考慮將個人金融信息保護納入對銀行的總體風險監(jiān)管框架中。監(jiān)管部門可根據(jù)《民法通則》、《商業(yè)銀行法》等法律中有關公民信息保護的原則性規(guī)定，制定銀行客戶個人信息保護的部門規(guī)章，對銀行客戶個人信息的采集、使用、保密等環(huán)節(jié)作出詳細規(guī)定，明確對銀行業(yè)機構(gòu)違規(guī)泄漏客戶個人信息，造成客戶較大損失或引發(fā)社會不良影響的，可以視情形予以處罰或采取監(jiān)管措施。二是可依托銀行業(yè)標準化委員會，建立金融客戶個人信息保護的規(guī)范和標準，促進銀行業(yè)構(gòu)建個人信息保護工作的體制和機制，以利于監(jiān)管銀行業(yè)機構(gòu)，更好地保護個人信息。三是加強對銀行個人金融信息保護工作的現(xiàn)場檢查和非現(xiàn)場監(jiān)測，切實督促銀行加強客戶個人金融信息數(shù)據(jù)庫營銷管理，督促銀行業(yè)加強信息系統(tǒng)安全管理，規(guī)范其個人信息數(shù)據(jù)庫的管理，防止信息被濫用。   （3）國家層面要加快立法進程，加強宣傳教育，提升公眾的個人信息保護意識。一是建議國家相關部門建立一整套系統(tǒng)化、多層次的個人信息保護法規(guī)制度，將個人信息保護工作法制化，如完善信息主體權(quán)益保護法規(guī)制度，完善征信監(jiān)管主體法規(guī)制度，建立依法合規(guī)的個人信息查詢辦法和規(guī)定，建立行業(yè)監(jiān)管機制等。二是設立專門的信息資源管理機構(gòu)，對使用私人信息的社會團體或個人進行嚴格的監(jiān)督。三是提高公民自我保護意識。通過開展形式多樣的宣傳活動，加大宣傳力度，引導民眾注意保護個人信息，提高防范意識。