《浅谈个人金融信息的现状与对策资料》由会员分享,可在线阅读,更多相关《浅谈个人金融信息的现状与对策资料(9页珍藏版)》请在金锄头文库上搜索。
1、摘要:近年来,随着全球金融业信息化和网络化不断发展,个人金融信息侵权行为不断增加,这不但会侵害客户合法权益,也会增加金融机构诉讼风险和运营成本,进而影响地区金融生态环境和金融安全稳定。本文在实地调查XXXX地区个人金融信息领域金融消费者权益保护现状和不足的基础上,通过借鉴欧美国家的先进经验,提出了相应的对策建议。 一、基本情况 (一)个人信息的构成一般是由生活和工作两大方面,生活信息,包括:个人或家庭组成和成员信息、个人或家庭财产信息、个人或家庭成长信息等;工作信息,包括:目标管理、职业规划、工作任务、日程计划、通讯信息、邮件、工作日记、纸质和电子文档等。(二)个人信息滥用的形式逐渐多样化。具
2、体而言,个人信息被滥用包括以下几种形式:1、擅自提供个人信息。有关机构未经法律授权、未经本人同意,将所掌握的个人信息提供给其他机构。比如,银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息,这是一些企业获取他人信息的重要渠道。2、非法买卖个人信息。近年来,非法买卖个人信息牟利的问题十分严重。社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。3、有关机构不能对掌握的个人信息尽到妥善保管的义务,导致个人信息遗失、泄露。比如,某高校就发生过数千名学生和老师的电子学籍管理系统账号和密码外泄的事件。而医疗机构将病
3、历卡挂在住院病人床头、将化验单放在检验室门口任由患者和家属自取的做法也属于保管不善。4、个人信息被冒用。在本人不知情的情况下,其个人信息被他人冒用办理有关的业务。比如,冒用他人身份证件,办理银行开户业务、电信入网业务、驾照申办业务等。二、金融服务行业中个人信息的状况(一)金融机构个人金融信息管理意识较弱。从目前各金融机构情况来看,金融机构对个人金融信息保护的意识较为薄弱,普遍未认识到个人金融信息是关乎客户隐私保护和金融安全的重要因素,现在的银行机构均未将个人金融信息泄漏作为一种重要风险来对待,未将个人金融信息保护纳入金融机构整体风险管理框架中。根据网上已发布的调查还显示,75%的一般居民和个体
4、工商户表示金融机构在对其营销业务产品和提供服务过程中未进行个人金融信息保护知识的培训,未履行对客户风险防护和告知义务;仅25%表示在办理业务中金融机构提及过。 (二)金融机构个人金融信息管理制度建设不到位。从实地调查情况看,辖区银行机构均建立了金融消费者保护工作机构,并建立健全相应的管理制度,但在个人金融信息保护制度建设方面还不到位,银行机构均未形成完善的个人金融信息保护管理制度,已有的制度主要分散于信息安全管理或银行卡、存贷款等各类具体业务制度中,没有形成体系,也不符合中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知规定的要求覆盖信息采集、传输、加工、保存、使用和销毁等所有工作环
5、节的要求。 (三)客户个人金融信息保护意识整体不强。金融机构客户层次有差异,素质参差不齐,对个人金融信息保护工作的认知度一般,据网上调查显示25%的一般居民和个体工商户对个人金融信息领域金融消费者权益保护工作比较了解,40%的听说过,35%表示不知道;55%的被调查居民和个体工商户对个人金融信息的如何使用保管表示不了解,知道一些的仅占25%,且都在不同程度上存在办理业务时的泄露个人金融信息的现象;65%的被调查居民和个体工商户不清楚个人金融信息泄露的途径以及相应的维权措施,了解的仅占15%。 三、个人金融信息领域金融消费者权益保护不足和问题 (一)个人金融信息保护法律不完善、行政法律责任缺失。
6、一是目前我国尚未设立专门的个人信息保护法,立法散乱,呈零星、分散状态,不成体系,主要是:宪法中规定公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利、国家尊重和保障人权等。在民法通则中规定公民、法人享有名誉权。刑法修正案中规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。近年来,我国不断加大对个人信息的保护,相关立法组织已向国务院提交了个人信息安全保护法草案。二是行政责任缺失,对于侵犯银行客户个人信息但尚未构成犯罪的行为,没有规定直接适用的罚则,监管部门也缺乏对金融机构违规泄漏客户信息进行处罚的直接依据。 (二)金融机构个人金融信息管理内控机制不健全。
7、辖区金融机构普遍未形成个人金融信息保护的有效组织管理机制,各业务部门在个人金融信息保护方面各自为政,缺乏统一管理。一是没有专门的组织机构,缺乏专职个人信息保护人员,个人信息保护的职能难于充分发挥。二是信息查询监测不到位,缺乏信息调阅查询的监测检查记录,难于跟踪个人信息使用的全过程。三是个人信息保护保密安全教育不到位,对外包人员行为的控制也有所欠缺。 (三)金融机构个人金融信息技术管控能力不强、信息系统建设管理不完善。金融机构存储个人金融信息的系统建设管理不完善,各系统缺乏保护监督制约机制,未对系统进行统一整合。以农业银行为例,当前个人金融信息分散在存贷款、支付结算、银行卡、电子银行等业务中,业
8、务又分属不同部门运营,且由不同信息系统支持,形成许多信息孤岛,使得信息保护更加困难。一是各系统之间缺乏信息保护监督制约机制,对系统查询信息的权限控制不足,工作人员查询时,往往能够获取超过其权限的信息。二是技术防控手段较弱,安装或使用个人金融信息系统的计算机未设置光驱、USB等数据输出屏蔽设备,对信息的导出、下载、打印、复制难以有效实施管控。 (四)对个人金融信息保护工作监管不到位。2011年人民银行出台了中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知,但总体来说监管还处于起步阶段。一是现有监管制度较为零散且可操作性不强,主要针对存款、电子银行、信用卡业务等领域的个人信息保护作出个
9、别规定,无法覆盖各类业务,也不能全面规范个人信息采集、使用、保管的全流程。二是针对性不强,如个人存款账户实名制管理规定主要是针对个人存款账户个人信息的管理,金融机构客户 身份识别和客户身份资料及交易记录保存管理办法是为加强反洗钱监管,不是针对个人信息保护。 三、发达国家经验借鉴 (一)确立对隐私权和个人信息权的法律地位。在很多国家,个人信息保护方面的法律直接采用“个人隐私”称谓,如1974年美国隐私权法、1988年澳大利亚隐私权法、德国联邦数据保护法、英国1998年数据保护法等,都无一例外地把保护个人隐私权和信息权作为首要任务。美国国会于1978年通过的金融隐私权法(RFPA)主要用于保护客户
10、隐私,金融服务现代法,要求每个金融机构有明确和长期的尊重客户隐私义务,并保护客户的非公开信息的安全性和机密性。 (二)针对个人金融信息保护的法律防范措施。为保护消费者的隐私权,各国对数据的采集、利用、保管都有明确规定。如欧盟个人数据保护指令以法律形式明确数据使用管理六大原则:一是合法性原则,个人数据仅为指定目的而处理;二是终极原则,个人数据仅为指定、明示、合法的目的而收集,不得与目的相违背;三是透明性原则,应当告知当事人有关数据处理情况;四是合适原则,收集处理数据时应保证数据的充分性、相关性和合适性;五是个人保密性和安全性原则,应采取相应的手段、措施确保处理信息的保密性和安全性;六是监控性原则
11、,数据保护机构应该监控数据的处理,数据使用只有经数据主体明确表示同意才能进行处理,若未征得客户同意,超出使用目的使用个人信息属违法行为。 (三)建立完善的权利救济制度。一是建立民事责任制度。根据欧盟个人数据保护指令,对于非法收集、处理、使用个人信息,故意或过失提供错误信息或不完整信息等给有关当事人造成损害的,都应当承担民事赔偿责任。二是行政救济制度。确立个人信息保护机构,负责个人信息保护法规的执行和对信息控制人的监督,并采取行政措施防止违法行为的发生或及时制止违法行为。如德国的联邦数据保护专员对未经授权收集、处理通常情况下无法取得的个人数据等严重违法行为处以25万欧元以下的罚款。三是刑事责任的
12、规定,对违反个人信息保护法律规定的行为,造成信息非法泄露而侵犯个人隐私或引起资金安全损失的要严格追究刑事责任。 四、对策建议 (一)健全完善个人金融信息法律法规体系。一是尽快制定个人信息保护法,明确个人信息的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题,保证整个法律体系的系统性和协调性。二是建议在国 家层面建立一整套系统化、多层次的个人信息保护法规制度,如完善信息主体权益保护法规制度,完善征信监管主体法规制度,建立依法合规的个人信息查询办法和规定,建立行业监管机制等。三是明确并设立专门个人信息管理机构,对使用私人信息的社会团体或个人进行严格监督,
13、同时确立信息侵权的民事赔偿责任制度,通过行政、司法等手段将信息收集、处理和使用机构及其工作人员故意泄露信息、篡改信息、损害个人信用行为应当承担损害赔偿责任以及法律责任。 (二)加强对金融机构的监督管理。一是将个人金融信息保护纳入对银行总体风险监管框架中,制定个人信息保护部门监督管理制度,对客户个人信息的采集、使用、保管、保密等环节作出详细规定,明确对金融机构违规泄漏客户个人信息的监管处罚措施。二是建立统一的个人金融信息保护的规范和标准,促进金融机构构建个人信息保护工作体制和机制,更好地保护个人信息。三是加强对金融机构个人金融信息保护工作检查监测力度,督促加强信息系统安全管理,规范个人信息数据库
14、管理。 (三)健全金融机构个人信息安全保护内控制度。一是督促金融机构应尽快完善个人信息管理规章制度,对个人信息采集、使用、存储管理做出明确规定,有效保护客户个人信息安全;二是明确各岗位人员保密管理职责权限,制定安全控制流程,对信息查阅、下载、拷贝实行严格审批、登记和权限管理;三是强化监督问责,定期对信息安全状况进行评估、审计和检查监督,同时监督机构应加大对金融机构涉及客户信息系统执法检查力度,排查个人金融信息外泄隐患。 (四)加强金融机构系统技术支持和管理。一是提升信息安全保护水平,综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,有效防范来
15、自于外部的攻击。二是强化内部信息管理,建立健全完整的信息系统监测制度,通过软硬件等方式切断或控制接入信息系统的计算机信息输出功能,并建立各种违规操作信息系统安全预警机制。三要进一步整合完善个人金融信息系统建设与管理工作,全面整合金融机构业务部门个人金融信息,以便于进行统一保护管理。 (五)加强个人金融信息保护宣传教育力度。一方面加强对金融机构员工安全保密教育管理,增强员工法律意识,认真落实加强个人金融信息保护的各项法律规定和规章,严格遵守“为客户保密”的原则,杜绝信息非法使用、泄露和出售事件的发生。同时,金融机构应严格履行信息披露和安全 提示职责,及时告知客户个人金融信息泄漏后造成的风险以及信息泄露后如何处置和维权,并引导客户采取安全有效的方式保护客户个人金融信息。另一方面,注重提高公民自我保护意识,通过开展形式多样的专题宣传教育活动,积极引导民众注意保护个人信息,提高防范意识。
