完善银行客户信息保护(精选9篇)
一、我国银行客户个人信息保护的法律法规建设情况
(一)国家法律法规建设情况
我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规定。《民法通则》第99—101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案
(七)》将侵犯公民个人信息的行为纳入刑事犯罪的范畴,规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第29条则规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密,不得披露。对个人储蓄银存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求,是商业银行在办理个人存款业务时必须遵循的原则。
(二)部门规章建设情况
人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”;《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第28条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”;银监会《商业银行信息科技风险管理指引》第四章以专章形式规定了信息安全,对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”;《商业银行信用卡业务监督管理办法》第3条规定:“商业银行经营信用卡业务(http://整理提供),应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。
二、我国银行客户个人信息保护存在的主要问题
(一)客户个人信息保护法律法规缺失
1.行政法责任缺失。我国尚未制订专门的《个人信息保护法》,对个人信息的保护主要依据《民法通则》中对个人姓名权、肖像权和名誉权的规定,个人信息主体的权利难以得到全面明确和保护。从我国现有法规来看,对侵犯公民个人信息的行为,《民法通则》规定了损害赔偿的民事责任,《刑法》规定了出售、非法提供及非法获取公民个人信息应承担的刑事责任,而在行政法层面,对于侵犯银行客户个人信息但尚未构成犯罪的行为,银行业监管法规没有适用的罚则,监管部门也缺乏对银行违规泄露客户信息的罚则。
2.例外规定缺失。银行对客户个人信息的保密与保密例外是银行保密制度中并行的两大部分,遗憾的是我国法律法规在规定银行负有保密义务的同时,却没有系统地规定保密例外的情形,而仅是为了执法与司法的方便,在《民事诉讼法》、《刑事诉讼法》、《税收征收管理法》等法律法规中,分别赋予人民法院、人民检察院、公安机关、税务机关等机构在特定情形下查询、冻结和划拨银行客户资金的权力。现有法律法规没有将基于当事人授权、社会征信及社会公共利益而进行的信息公开等列为银行保密义务的例外,不利于对银行业和社会公众合法权益的保护。
3.监管法规缺失。一是规定较为零散。现行银行业监管法规仅分别针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定,无法覆盖银行业提供的各类业务全流程。二是针对性不强。如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》虽然对客户信息安全管理做了一些规定,但立法目的是加强反洗钱,不是针对客户个人信息保护。三是原则性规定较多,缺乏具体条款,可操作性不强。
(二)银行客户个人信息保护不力的表现
1.管理架构不健全。目前,部分基层银行业金融机构的管理重点更多的仍倾向于存贷款规模、资产质量、利润等业绩指标和信用风险等常规风险管控,而未将客户信息保护纳入银行整体风险管理框架中。客户信息多头管理,未成立专门的客户信息风险管理领导机构,缺乏有效的制约机制,员工风险意识较为薄弱,基层银行业信息管理漏洞较为突出。
2.尺度标准不一致。由于对客户信息保护缺乏统一的行业标准,银行业间执行情况参差不齐,主要表现在客户信息保护的侧重点不同、客户信息使用管理制度不一致等方面。对客户信息资料处理的执行标准不一加大了外界在政策把握方面的难度,不利于引导客户及时行使保护个人信息安全的权利,在银行内部约束机制引发客户投诉与纠纷,加大了银行经营管理中的操作风险和声誉风险。
3.制度机制不健全。一是系统性的客户信息保护制度缺失。调研发现,多数基层银行业金融机构认为保护客户信息的关键在于上级行开发、构建信息科技安全技术保障体系,主要防范来自于外部的攻击,而忽视内部员工行为的规范管理,缺乏系统性的客户信息保护制度。二是事前监督制衡机制缺失。如中国银行《个
人客户信息保密管理办法》第29条规定了银行内部查询客户信息审核批准制度,但并未把审批要求固化到电子化信息系统之中,缺乏流程和环节的刚性控制,员工可以通过业务信息系统轻易查询客户信息,导致内部查询审批制度形同虚设。三是事后责任追究机制缺失。多数银行机构注重强调员工的保密义务,而问责机制不明确,责任追究不到位。
4.人员配备不合理。银行业信息技术管理部、公司业务部、电子银行部、个人金融部、国际业务部等部门,都掌握了客户的大量敏感信息,但重要岗位均有相当数量的非正式员工,其中前台柜员、客户经理岗位中占均较高。由于非正式员工对单位的归属感和认同感不强,流动性较大,易诱发道德风险和操作风险,违规使用、泄露客户信息,对银行造成损失,影响声誉形象和社会信心。
5.合作管理不规范。为提高市场份额、解决人力资源配备不足等问题,银行机构与保险公司、房地产开发商、汽车经销商、担保公司、专业外包公司等服务机构的合作日益增多。但是多数银行机构没有建立并落实对第三方合作机构的制约和担责制度,合同中为客户保密条款约束力较弱,对第三方机构人员行为和客户信息保护的控制缺乏刚性。
三、完善我国银行客户个人信息保护机制的建议
在信息化时代,客户个人信息泄露可能给银行带来法律风险和声誉风险,对银行客户个人信息的保护应引起足够的重视,通过健全法律法规,督促银行业加强内部管理等方式,进一步完善银行客户个人信息保护机制。
(一)完善制度机制。在我国个人信息保护法出台之前,可以根据《民法通则》、《商业银行法》等法律中有关公民信息保护的原则性规定,由监管部门先行制定银行客户个人信息保护的部门规章,对银行客户个人信息的采集、使用、保密及保密例外等环节作出详细规定。主要从三个方面考虑:一是银行业机构对收集到的各类客户个人信息负有保密的义务,除非经过客户本人授权或法律许可,银行业机构无权对外公布、泄露客户的个人信息,也不能将这些信息用于谋取商业或其他方面的利益。二是依照有关法律规定,为了维护公共利益或公共安全,有关安全、司法或税务部门可以依照法定程序查询其职能范围内的银行客户个人信息。三是规范对泄露客户个人信息的处罚。
(二)完善内控机制。银行业机构尽快完善客户个人信息管理的规章制度,对客户个人信息的采集、使用、存储等方面做出明确规定,有效保护客户个人信息安全;建立健全信息安全内控机制,制定信息安全控制流程,明确各岗位人员的保密和管理职责权限;对纸质和电子信息实行集中统一管理,对信息查阅、下载、拷贝实行严格的审批、登记和权限管理;强化监督问责,定期对信息安全状况进行评估、审计和检查监督。同时,银行业金融机构要对客户信息进行分类管理并确定密级,设立保密信息专员,完善适合客户信息需要的制度流程,并努力
实现IT系统升级,提升过程监督的智能化控制能力;内审部门要对第三方合作机构开展定期不定期检查,对于客户信息保护不力的机构应及时终止合作,并追究相应责任。
(三)完善保密机制。银行业机构加强员工保密教育,提高员工素养,增强员工法律意识,严格遵守“为客户保密”的原则;落实责任制,与员工签订安全保密责任书,与离岗人员签订安全保密承诺书;加强对保密要害部门、要害部位和涉密工作人员的管理,加强对业务外包单位及合作单位工作人员管理,及时消除风险隐患。
一、客户信息保护工作已有进展
(一) 信息安全管理已引起高管层普遍关注
从对5家法人银行经营管理层所发放的105份调查问卷来看, 有95.24%的被调查者认为客户信息安全问题对银行金融服务的影响“非常大”, 87.62%的被调查者认为“有必要”进一步强化客户信息安全管理。在对4家银行的高管层进行访谈显示, 辖内法人银行高管人员普遍认为本行客户风险保护工作尚处于起步或初级阶段, 并对本行信息安全普遍存有较大忧虑。
(二) 核心业务制度新加载信息安全内容
为强化客户信息保护工作, 辖内银行业金融机构特意将信息安全管理的内容嵌入核心业务管理制度当中。如湖州银行在负债、信贷、电子银行等核心业务领域共制定了9项制度, 专门对客户信息保护工作进行规定;浙商银行针对信息系统数据使用制定专门管理办法, 严格规定数据使用的范围、流程等方面内容。
(三) 科技与法律手段并举, 内部泄密风险有所降低
调查发现, 部分小法人银行对客户信息保护措施日趋先进, 手段逐步丰富, 如在信息科技领域, 浙商银行、台州银行部署了运维审计系统, 系统维护和操作人员在信息系统中的任何操作均将被记录并可查询和追溯, 能够有效降低内部人员泄密风险;在法律领域, 为加强对涉及客户信息的重要工作岗位的管理, 11家法人银行均与相关岗位工作人员签订了保密协议。
二、客户信息保护工作待解四大难题
(一) 客户数据未脱敏处理, 信息驻留易外泄
1. IT系统软件开发。
在与软件公司开展系统开发外包合作时, 对于合作开发外包方“防火墙”隔离制度落实不严, 未能有效保护客户信息。综合对11家法人银行现场检查的情况, 均不同程度的在系统UAT测试、压力测试中使用未经脱敏处理的客户数据、对外包开发人员访问银行前置业务系统未做严格限制、对提供给外包商的工作设备未进行彻底的数据清洗等情况。
2. 自助设备维护。
如现场检查发现, 浙商银行一家基层经营网点的ATM终端安全设置不审慎, 外包人员在维护时可通过FTP登陆到银行卡信息系统中获取客户交易日志和银行卡磁道信息, 用于复制和伪造银行卡。
3. 银行卡业务。
部分银行的银行卡第三方支付在开通环节存在银行卡敏感信息驻留现象, 未经银行安全认证即可执行资金交易, 而且第三方支付机构系统安全保护不足, 存在银行卡客户信息泄露和资金安全风险。此外, 部分外包服务商不具有足够的守法意识与内控能力, 在为银行提供服务时可能发生客户信息泄密, 使银行面临严重的信誉风险和法律风险。
(二) 数据存储管理松懈, 重要系统加密措施落后
1. 数据存储安全管理不严。
部分银行对于办公计算机USB接口的使用未做控制, 在连接互联网计算机存放客户信息相关的密钥、文件、数据以明文的形式保存, 导致客户信息可通过光盘、U盘、互联网等途径外泄, 并被不法人员轻易利用。
2. 信息系统维护不审慎。
如现场检查发现, 民泰商业银行信息科技部门没有严格落实重要系统维护“双人操作”的内控要求, 在数据库操作、数据备份、系统变更等关系到数据信息安全的重要环节, 均存在单人操作的情况, 对于维护人员泄露客户信息的道德风险缺乏制约和监督。
3. 重要系统加密程序存在漏洞。
部分银行的网上银行系统使用软加密算法对客户的账户密码加密, 密钥明文固化于加密程序中, 外部不法分子可轻易获取密钥、算法进而破解客户账户口令。
4. 用户权限管理混乱。
监管发现湖州银行等多家银行对于系统重要用户的管理存在授权过大、未定期要求修改登陆口令、用户权限未随岗位调整而变更、未及时删除离职员工用户等情况。
(三) 自助终端缺乏风险提示, 重要岗位缺乏培训
一方面是对金融消费者的引导和教育力度不足。如在自助设备、电子银行等需客户自主操作的业务平台上, 部分银行没有显示任何的风险提示信息, 致使部分客户在自助终端办理业务后, 随意丢弃凭条, 为不法分子获取私人信息提供了可乘之机;在业务办理环节, 多家城商行工作人员没有就客户信息的保密注意事项进行过风险提示, 没有主动提醒客户阅读银行相关书面说明。另一方面是对重要岗位内部员工的培训滞后。如浙商银行没有就客户信息保护工作开展过全行性培训, 没有对涉及客户信息安全的系统维护、软件开发、数据统计、信息管理等重要岗位进行专门培训, 仅在新员工入职培训中涉及到相关内容。
(四) 部门职责割裂掣肘, 内部违规成本低廉
一是认知存在偏差。各银行普遍将客户信息保护视作保密管理、信息安全管理或是征信管理的一部分, 没有明确定义客户信息保护的范畴, 系统性管理的理念尚未形成。二是工作职责割裂。监管发现, 多数银行将客户信息保护工作职责割裂在各相关业务部门 (信贷管理、信息科技、办公室等部门) , 在实际工作中不仅未能形成合力, 甚至存在相互掣肘的情况。三是内部问责机制缺失。多数小法人银行在客户信息保护方面的相关规章制度普遍侧重规定员工的保密义务, 对于客户信息保护不力导致损失的问责等并未做出明确规定, 有8家银行未建立客户信息保护的专项检查机制, 低廉的违规成本使内部工作人员客户信息保护意识普遍不高。
三、监管建议
(一) 完善客户信息保护的管理机制
一是健全组织。银行应将客户信息保护的职责落实到专门部门牵头管理, 建立由各涉及客户信息部门参与的全行性、专业化的管理体系, 覆盖客户信息采集、处理、传输、使用、维护的全流程。二是完善制度。应建立全面的管理制度, 对客户信息建立分类、分级保护策略和制度规范, 对涉及客户信息安全的各个领域和各类业务操作进行严密管理、严格约束。三是强化问责。应定期组织对客户信息保护的情况进行专门检查或审计, 对发现的问题严格问责, 提升违规成本, 增强震慑力。
(二) 提升外包服务的管理水平
银行应全面落实《商业银行外包风险管理指引》和《银行业金融机构信息科技外包风险管理指引》的要求, 对外包公司的规模、技术水平、业务保障能力、保密等情况进行全面评估, 对外包服务进行持续的监控, 并定期开展安全检查。应高度关注和重点防范外包公司员工道德风险, 采取合同管理、流程控制、审计监督、风险排查、教育培训等综合性措施, 落实外包业务客户信息保护的措施和监督要求, 切实控制外包业务中可能产生客户信息泄密的安全隐患。
(三) 加强计算机信息安全管理
一是加强桌面计算机和服务器的管理, 实现生产系统与测试系统的有效分离, 严格控制计算机USB接口的使用, 关闭FTP, Telnet等多余接口。二是完善关键岗位和系统用户的管控措施, 遵循“必须知道”和“最小授权”原则, 重要信息系统维护必须落实“双人四眼”, 定期开展安全排查和专项审计。三是提升信息系统安全功能, 从系统控制层面增强口令管理、重要信息屏蔽、信息输出控制等功能, 提升密钥验证和数据传输的可靠性。四是加大信息前沿技术的关注度, 对网上黑客论坛进行监测, 定期用恶意软件对系统进行测试, 及时发现问题, 及时维护。
(四) 推进客户信息安全宣传教育
关键词:金融隐私权 银行 责任
近几年来,客户个人信息被披露的事件屡屡发生使得银行与客户冲突愈演愈烈。人们的法律意识也在不断增强,人们已经意识到通过法律手段保护自己正当权益。隐私权在现代社会已作为一项重要的法律权益,但银行仗着自己的强势地位剥夺客戶金融隐私权的事件屡有发生。基于此,本文将着重探讨银行对客户金融隐私权的保护责任。
一、银行对客户金融隐私权保护的职责
(一)银行的权利
银行为了自身利益不受侵害有向银行客户收集信息,处理信息的权利。银行为了避免贷款骗局还有核对交易客户信息,担保信息的权利。还要同相关监管部门如工商部门,税收部门进行信息的核对,了解贷款的去向。银行可以根据交易客户提供的相关信息在数据库中查询该客户的交易情况以及有无偷税漏税,欠款情况。同时银行在国家反洗钱活动中有必要向公安机关提供相应信息,配合公安机关的工作。
(二)银行的义务
对客户的金融隐私进行保护是银行的一项基本义务,但这项义务不会在银行和客户的合同中体现出来。银行和客户之间的交易关系存在一种默示性,虽然银行会与客户签订合同,但正因为合同中存在的默示性使得很多条款都不会再合同中出现。金融隐私保护权既是一项默示条款,不管合同中有没有明确规定银行对客户进行隐私保护的义务,银行都必须承担保护客户金融隐私的权利。银行在未经过当人事统一的情况下不得将其信息公开,除非是法律要求或是社会公共利益的要求。
二、银行对客户金融隐私权保护的现状
(一)金融隐私权现行立法的不完善
中国几千年的封建经济制度使得中国的金融行业较国外而言起步比较晚。中国因缺乏传统的文化要素在历史上对金融隐私权的保护也无处可查。在古代时期,人们生活在传统的封建制度下,财产被剥夺是经常发生的事情。财产毫无保障,更不用提精神层面的隐私权保护了。在过去的立法中,封建统治者一味强调自己的权利,树立自己的天子地位。而没有尽到保护公民财产的义务,总之,在中国历史上,对隐私权保护的相关宪法还不够完善。
(二)银行的强势地位以及客户掌握信息的不对称
银行为不损害自身利益,追求利益的最大化往往借助业务来与客户签订各种合同,将客户的信息收集在自己的数据库中以避免银行风险。银行通常仗着专业的人员与技术不断减少客户的利益条款而增加自身的免责条款。在银行业务中有着垄断的优势,对自身应尽的责任没有明确处理,使得客户的利益受到损害。而当前银行法也相当不健全,当事人无法通过法律手段来保护自己的权益,只能听候银行差遣。
三、银行对客户金融隐私权的保护责任的思考
(一)明确银行对客户金融隐私权保护义务的范围
笔者认为在保护客户金融隐私权方面的问题,银行有着不可脱卸的责任。为了进一步完善银行金融隐私权保护的条款,首先应该明确银行对客户金融隐私权保护义务的范围。让银行了解自己对客户金融隐私权的保密性有着法定义务。其次应明确规定银行对客户进行金融保护的义务职责。在客户金融隐私权中最重要的三点就是:客户银行交易的信息,客户账户的信息,以及客户在银行所有业务操作的相关信息。在对银行责任的设定上不能过于宽松,应明规定其义务。
(二)明确银行对客户金融隐私权保护义务免除的具体情形
目前我国银行对客户金融隐私权保护义务免除的具体情形没有其他相关机构的限定,仅仅只限制于法律的规定。而此种立法模式还不够完善,银行对客户金融隐私权的保护工作还做得不到位。法律中的明文条款也没有真正得到落实。我国有关金融隐私保护的相关法律还不能保证客户的金融隐私不被外露,因此,笔者认为我国可以借鉴国外的立法模式完善我国立法模式的不足与漏洞。只有在法律的规定下并经过客户同意的情况下才能将客户的个人信息进行公开。不能处于个人利益的需要而将客户的信息进行披露。在基于公共利益,征信需要而不得进行信息交流的情况下可以经过客户许可将其信息进行公开。为了保护客户的金融隐私权,使银行通过合理手段获得其信息,笔者认为必须加强对信息公开以及银行取得信息方式的管理。通过法律手段来为维护银行客户的权利。
(三)明确银行对客户金融隐私权保护义务与信息披露义务的处理规则
银行最基本的义务就是想监管部门披露自己所公开的银行客户信息,这种监管方式也是对银行客户金融隐私保护的一个重要途径。因此,笔者认为相关法规应该完善银行对融隐私权保护义务与信息披露义务这两项义务。实际上,这两项义务的平衡标准并不能解决客户在银行中所遇到的问题,这两项义务在一定意义上地位也不是平等的。其中,必须要有一项义务优于另一项义务才能解决实际问题。从银行所承担这两项义务来看,保密义务是银行最基本的一项义务,其注重的是对银行客户信息的保护。信息披露义务则是以银行的利益为出发点,无疑当两种利益发生冲突时,银行首先会考虑自身的利益。所以,本着认为相关法规应明确信息披露义务优先的原则。
四、结束语
为规范银行对客户金融隐私保护的权利就必须建立完善的金融隐私权保护法规。这也是提高人们信用意识的有效途径,应该明确规范银行应当承担的责任,明确征信管理部门的权利与义务。这样才能保证金融行业健康快速的发展。同时可以借鉴国外的法律法规,完善我国的市场机制,使之健康发展。
参考文献:
[1]黄艳.金融消费者权益法律保护研究[D].上海:复旦大学,2008年10月
[2]王利明.隐私权概念的再界定[J].法学家,2012(1)
就目前国内大多数电信运营商的BSS情况,从上节总结出的CRM系统必须做好的四项工作来说,我们至少还分别有这些差距:
在“理解客户”方面
在日常运营中记录的原始客户信息不够完整,并且这些信息被割裂在“BOSS系统”、“客服系统”、“BI系统”至少这三个系统中,无法向企业各部门、各角色人员提供一致的展示。对于电信行业来说,我们可以将客户相关的原始信息总结为这六大类:客户基本资料、订单信息、交费信息、服务请求信息、接触信息、客户分析信息。一方面,这些信息当中的有些信息目前还没有很好的记录;另一方面,这些信息被割裂在BOSS系统、客服系统、BI系统,但是没有一个集中存储和获取机制,运营商内部的员工无法获取完整、统一的客户信息。
对原始客户信息进行分析的广度、深度均不足,同时这些信息也仍然无法向向企业各部门、各角色人员提供一致的展示。对原始客户信息进行分析。正如前述,电信运营商的客户信息包括6大类。而目前大多数运营商,BI系统对客户信息的分析,从广度上来说,大多仅仅基于BOSS系统的业务交易记录、服务使用记录,而基于呼叫中心系统进行服务请求的记录就很少参与分析,更不用说基于还没有记录的客户接触信息的分析了;从深度上来说,即使基于已有的BOSS系统提供的数据进行的客户分析,大部分情况下,还仅仅停留“统计”层面的分析,还远远没有建立起有效的“主题挖掘”,
这一方面,固然是因为BI系统没有真正得到各业务部门人员充分重视导致;而更重要的原因,还是因为运营商没有形成有效的客户管理机制,包括各方面的工作流程、考核制度、客户营销和服务人员本身的技能等等这些“运营商内部与IT系统无关的软素质”导致。
在“管理客户关系”方面
作为基础,建设完备的“营销管理”、“客户服务”、“服务开通”功能域。其中,“客户服务”应该大家都没有太大问题;而“服务开通”可能很多运营商都没有很好的统一规划建设,还属于相对薄弱的、更多靠多个分散系统甚至人工管理的阶段;最薄弱的,应该是“营销管理”,我个人了解的普遍的情况,是大家都已经开始建设这个功能域,但是就像BI系统一样,还基本停留在“理论基础层面”,并没有很好的发挥作用——这实际上就几乎相当于没有这个功能域。
在BI和BOSS之间,针对性客户维系挽留,以及针对性新业务营销,目前还没有实现完整的、闭环的“互动营销平台”。这其实是和上一个问题密切关联的:没有很好的在BI和BOSS之间建立互动,就很难将“营销管理”功能域很好的发挥作用。一方面,物理上,没有打通BI和BOSS之间的双向互动接口,从而也没有实现BI系统营销策划、到BOSS营销执行、再返回到BI营销评估并不断优化营销方案的流程;另一方面,其实也由于没有打通物理接口,导致BI本身对于客户原始信息的分析,也缺乏目标导向型,从而导致BI本身的分析没有真正提高到可以对市场活动起到很好的指导作用。
信息管理工作的报告
中国银行业监督管理委员会****监管分局:
根据贵局下发的《转发中国银监会关于加强电子银行客户信息管理工作的通知》﹙**银监发〔20**〕***号﹚要求,我行组织相关部门进行了认真、全面、深入的自查工作。通过自查,我行在客户信息安全管理工作方面,基本满足管理检查要求。现将有关情况汇报如下:
一、我行严格执行《通知》和《电子银行业务管理办法》等有关规定,建立健全相应的规章制度,切实采取有效措施保障客户信息安全。
(一)在业务管理方面,我行制定了《***商业银行股份有限公司网上银行业务章程》,明确对客户资料的访问授权及信息保密义务等要求,除法律另有明确的规定外,否则在未经客户允许下,不得对第三方提供相关客户资料;
(二)在技术管理方面,我行对生产环境的客户信息数据进行安全隔离,且已建立严格的访问授权控制机制;
(三)在数据管理方面,我行制定了《生产数据使用管理办法》,明确客户资料信息的安全保存及使用的规定,除公安部门等特殊需求需要提取原始客户信息资料外,任何需要使用到客户相关资料的提取,必须进行脱敏;
(四)在合作外包管理方面,我行制定了《信息科技外包管理办 法》,明确对合作单位的资格评审、安全评估、保密协议签订、合作过程中的信息安全监督等规定,并成立专职的项目管理部门对所有合作单位进行管理和监督。
二、我行组织架构健全、完善,总行管理职能部门分工明确,并配备专业人员,能够有效防范风险。
我行高度重视电子银行业务的发展,明确由信息科技部负责电子银行系统的整体规划、技术开发以及维护管理,公司金融部、零售业务部根据服务客户类型进行归口业务管理。实施专业化分工,专门致力于电子银行产品的研发和风险管理等核心环节,充分发挥专业分工优势、全面提升电子银行专业化服务水平。
特此报告。
基础数据库客户授权书
因业务需要,本人授权齐商银行向中国人民银行个人信用信息基础数据库查询、留存个人信用报告,用于:
1、审核个人贷款申请;
2、审核个人贷记卡、准贷记卡申请;
3、审核个人作为担保人;
4、对已发放的个人信贷进行贷后风险管理;
5、受理法人或其他组织的贷款申请或其作为担保人,需要查询其法人代表及出资人信用状况。
并同时授权贵行向中国人民银行个人信用信息基础数据库报送个人信用信息。
客户签名:身份证编号:联系电话:
客户签名:身份证编号:联系电话:
客户签名:身份证编号:联系电话:
客户签名:身份证编号:联系电话:
1 银行方面泄露客户信息的主要途径
据相关资料显示银行泄露客户信息的途径主要包括四个方面:
(1) 由于银行方面的失误未对资料进行妥善保管。例如银行工作人员随意丢弃顾客信息资料, 将废弃的顾客信息资料当成普通垃圾一样处理。
(2) 银行相关的工作人员为了个人的私利, 利用工作之便私自保留客户信息。例如2000年左右的时候, 某银行的工作人员盗取了该行顾客的身份证复印件, 冒名贷款数万元, 且逾期不还, 进而导致顾客的银行信誉度受损, 长时间无法再办理其他贷款业务。
(3) 银行工作人员与其他金融机构联系, 以贩卖顾客信息为自身谋取暴利。
(4) 不法分子利用信息存储介质盗取顾客信息。银行内部人员为了一己私利与一些不法分子勾结, 在获知银行安全管理工作的薄弱环节之后, 利用光盘、U盘等可移动介质盗取银行电脑内存储的顾客信息。
2 现阶段我国银行在落实顾客信息安全管理过程中存在的问题
2.1 银行的工作人员在落实工作的时候, 必然会接触到顾客的信息资料, 这在某一个层面上就加大了信息泄露的可能性
近些年来各大银行为了广泛的吸收资金, 经常以顾客金融资产信息的数值作为员工绩效考核的依据, 再加上相关系统的应用, 使银行的工作人员接触的顾客金融资产信息越来越多, 如果工作人员受不住利益诱惑, 就极易导致心理偏差, 进而造成顾客信息泄露问题出现。
2.2 银行的工作人员缺乏必要的信息安全防护意识
在工作之余生活之中, 会无意识的泄露顾客的信息资料, 对这些问题出现的原因进行分析, 主要是银行方面缺乏对工作人员进行必要的教育, 导致工作人员无法全面的了解泄露顾客信息的危害性, 更不知道这样做违反职业道德, 更违反了国家的相关法律政策。
2.3 银行方面不重视市场客户信息管理工作, 致使管理工作的效果差强人意
这方面的问题具体表现在客户资料管理的随意性, 有些工作人员将客户信息资料随意的摆放, 为了自身工作的方便, 更有甚者会将客户资料随意带出银行;工作人员缺乏信息资料的保护意识, 不对信息保管做任何处理, 致使信息可以被他人随意的翻找、查阅;保存顾客信息的电脑未加密, 随意将电脑接入互联网, 或将电脑转借给他人使用;不按照相关规定利用客户资料, 查询服务范围之外与客户相关的资料。
2.4 银行方面缺乏保护客户信息的相关机制
因为银行方面未对工作人员进行顾客信息管理的各个环节做出细致的规定, 工作人员缺乏必要的“法”, 导致无法可依, 本来就在一定程度上增加了客户信息泄露的风险, 另一方面, 银行方面没有对工作人员建立严厉的奖惩规章, 更没有明文规定工作人员如果泄露顾客的信息资料所要接受如何的惩处, 这就在思想上放纵了工作人员, 使之觉得泄露顾客信息资料并不是什么大事, 进而导致其在管理客户信息资料时过于随意, 违规操作使得顾客信息泄露的风险不断地加大。
2.5 忽视外包人员泄露顾客资料的情况
除了银行的工作人员之外, 外包人员也会接触大量的客户信息资料, 但是, 银行在对相关人员进行管理的时候, 往往将这些人员排除在外, 得不到有效的管理, 这些人极有可能泄露顾客的信息资料。
3 落实银行客户信息网络安全管理的相关措施
3.1 建立健全顾客信息管理制度
首先银行应该采取有效的措施, 使顾客信息安全管理的组织构架完善。建立信息安全管理专业组织机构, 全权负责顾客信息安全管理, 强化各部门之间的有效联系, 为顺利开展顾客信息安全管理的相关工作提供保障。其次, 建立科学的问责制度, 严惩泄露顾客信息资料的工作人员, 在严惩的同时建立举报奖励机制, 鼓励人们检举违规操作的工作人员, 在思想意识上给银行工作者以震慑, 尽可能地降低他们泄露顾客信息资料的概率。
3.2 对工作人员进行专业的培训, 提高其思想认识水平
定期不定期地对相关人员进行专业的培训, 使他们认识到泄露顾客信息资料给顾客和自身带来的危害性。在教育工作人员的时候, 向他们剖析与之相关的典型案件, 强化工作人员的职业道德, 增强其为顾客保密的思想认知。值得一提的是, 此处所指的工作人员也应包括银行的外包人员, “一视同仁”的对待他们, 使他们能够和其他工作人员一样为银行客户信息网络安全管理贡献自己的力量。
3.3 强化银行的日常管理
首先规范工作人员的工作流程, 在工作的过程中使之严格要求自身, 降低信息资料泄露的可能性。其次, 将安全管理的重点放在个人类客户信息资料的管理上。如在顾客方面, 硬性规定个人业务需本人亲自办理;在银行相关工作人员方面, 利用严厉地奖惩对他们产生震慑, 使之严格执行信息保密的相关制度。最后, 对客户信息进行定期的检查, 保证其安全性。定期的排查有助于发现问题, 只有及时地发现问题才能够保证及时地解决问题, 尽可能地降低问题给人们带来的损失。
除了上述三点之外, 银行方面还需要建立必要的信息泄露应急机制, 以便能够及时地对信息泄露问题作出回应, 降低信息泄露的不良影响, 降低相关者的经济损失。
4 结束语
虽然现阶段我国银行客户信息网络安全管理在落实的过程中存在诸多的问题, 但是相信通过相关者的不断努力, 一定能够有效的解决问题, 提高顾客信息网络安全, 充分的发挥客户信息作用, 使之在相关工作者的利用下更好地服务于客户。
参考文献
[1]王升.商业银行客户信息数据管理系统的设计与实现[D].电子科技大学, 2013 (09) .
中国人民银行:
为进一步强化银行业金融机构个人金融信息保护工作,保护金融消费者合法权益,维护金融稳定,根据《中华人民共和国商业银行法》、《个人存款账户实名制规定》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令[2005]第3号发布)、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)等法律、法规、规章和规范性文件的规定,对我行个人金融信息保护工作进行了自查,现将自查情况汇报如下:
一、恪守法律,严遵法规。
认真汇总相关方面的法律法规及规范性文件,使我行客户个人金融信息方面的工作做到有法可依。能够做到依法合规收集、保存、使用和对外提供个人金融信息,不违规对外出售或提供客户个人金融信息。
二、组织培训,加强学习。
重视客户个人金融信息保护工作,充分认识保护个人金融信息的重要性。将相关法律法规纳入培训范围,由综合管理部负责牵头办理,汇总法律法规知识,形成题库,组织学习并考试;由营业部组织前台柜员进行学习,提高员工的自律性,让直接接触客户信息的他们能够充分认识到保护客户个人金融信息是我行的法定义务,了解客户信息泄露的恶劣影响及严重后果。
通过系统学习,全方面地提高员工对相关法律、法规、知识的了解。明确个人金融信息泄露和滥用对本机构及员工个人带来的法律后果。
三、加强制度建设,落实内控制度。
通过对相关法律法规学习,制定适合我行的相关制度。完善本机构已有的内控制度,强化各部门、各岗位和人员在客户个人金融信息保护方面的责任,堵塞漏洞,完善内部监督和责任追究机制。
四、提高防范意识,降低风险隐患。
在技术层面提高防范意识,严格各相关系统的权限管理,出台权限设置管理办法,完善信息安全的防范措施,有效降低个人金融信息被盗的风险。关注员工的异常思想动态,通过员工走访,了解员工八小时外的生活状态,能够及时防范风险。
权益保护的思考
——基于对商业银行监管的视角
摘要
近年来,商业银行违规查询使用客户个人信用报告、侵犯客户信息权益的现象时有发生。通过对商业银行侵害客户征信信息权益的表现形式、深层原因等进行分析,借鉴国外征信业成熟国家维护信息主体权益的经验做法,从加强对商业银行监管的角度提出如何维护客户征信信息权益的建议。
一、商业银行侵害个人客户征信信息主体权益的表现形式
(一)因数据录错导致信用报告背离真实情况,案例描述:王女士,状告某银行错报其“婚姻状况”,导致其信用报告展示为“已婚”,严重侵犯了其声誉。经调查,是该行工作人员在办理信用卡业务时,将其婚姻状况录错所致的。
由于个人信用报告信息绝大部分是由各商业银行总行通过接口程序将自身信贷系统中的数据报送至个人征信系统,因此商业银行信贷系统数据的准确性将直接影响到客户个人信用报告的准确性。如果商业银行工作人员疏忽大意,没有认真审核客户原始资料,错误将客户的婚姻状况、居住情况录错,就会导致客户“被结婚”“被购房”,甚至会影响其他商业银行对其的信贷决策、审批流程,如要求客户提供配偶的情况、对客户执行二套房贷政策,从而损害客户的经济权益。
(二)因系统程序出错或更新不及时导致信用报告记录不实
案例描述:2012年中国人民银行扬州市中心支行在开展个人征信执法检查时,发现当地某银行自2011年9月后个人信贷业务就未在个人征信系统中进行过更新,经了解,是其上级机构系统升级所致;此外,抽查某银行60笔个人信贷业务,发现信用报告中的“剩余还款期数”均比其信贷系统多1期。
在商业银行自身信贷系统数据正确的情况下,客户信用报告记录与实际不符的原因大多出在数据报送环节,因此由于报送程序出错或报送不及时,极有可能导致客户信用报告中的信息形成逾期或长期得不到更新,误导他行对客户信用状况的判别和信贷决策,客户贷款申请也极有可能遭拒贷。
(三)异议处理不及时、不规范
案例描述:吴先生,2006年在某银行有一笔个人消费贷款,2008年在他行申请信用卡时发现,其信用报告中有两笔该贷款,且逾期12次。经核查,该银行为吴某出具了证明,并向征信中心提出异议申请(仅写了异议申请的报告,并传真给征信中心)。由于异议一直未解决,导致吴某在他行的贷款没有得到批准,造成一定经济损失。
根据中国人民银行《个人信用信息基础数据库异议处理规程》有关规定,我们认为,此案例中该银行作为代理人直接向征信中心提出异议申请时,没有严格按照规定提交相关申请材料,导致征信中心无法及时受理并解决客户的异议,并影响了吴某在他行的贷款审批。
(四)未经授权违规查询个人信用报告
案例描述:郭先生,状告民生银行和南京银行未经其本人授权,以信用卡审批和贷款审批名义私查其信用报告,侵犯其隐私权。中国人民银行南京分行营管部调查认定属实,依据《个人信用信息基础数据库管理暂行办法》对两家银行均处以2万元的罚款。
为规范商业银行查询行为,中国人民银行在个人征信系统上线之前就发布了《个人信用信息基础数据库管理暂行办法》,该办法第13条规定除对已发放个人信贷进行贷后风险管理的,商业银行查询个人信用报告应当取得被查询人的书面授权。但部分商业银行违反规定,在客户授权前或授权要素不全的情况下查询,甚至未经客户授权,以“二次客户开发”等名义擅自查询客户信用报告,令客户对自身信息安全担忧。
(五)非法出售客户个人征信记录
案例描述:2012年3.15央视媒体曝光了国内3家银行员工非法售卖客户征信记录的事件,在全国引起较大反响,随后不久江苏银行上海某支行在未与客户发生业务关系的情况下,查询了3万余人的个人信用报告,并将部分查询结果提供给某公司的事件再度引发了公众对个人征信信息安全的担忧。
虽然《个人信用信息基础数据库管理暂行办法》规定,商业银行应当建立保证个人信用信息安全的管理制度,不得将个人信用报告用于规定以外的其他用途,并对违反规定的行为明确处罚办法,但依然有部分商业银行为利益驱动选择“铤
而走险”,将客户的征信记录作为商品非法售卖,不仅侵害了客户的信息权益,在信息落到不法分子手中进行信用卡、身份证伪造骗贷时,进一步损害客户的经济权益。
二、商业银行损害个人客户征信信息主体权益的原因剖析
(一)主观因素——疏忽管理、漠视客户权益、对《个人信用信息基础数据库管理暂行办法》领会不透
1.疏忽管理。检查中发现,商业银行或多或少存在违规查询、授权制度执行不严、用户离职不及时停用、设置公共用户等问题,这些问题均有可能导致损害客户信息权益。问题根源之一在于商业银行认识不到位,管理粗放。
2.漠视客户权益。从违规查询到非法出售信用报告,无不体现出商业银行对客户信息权益的漠视,在损害客户权益的同时,也损害了银行的声誉和形象,引发公众对银行的“信任危机”。据调查,不少非恶意个人逾期记录仅仅是因为遗忘或是贷款利率卜调,少还上调利息所致,如果商业银行能给予及时提醒,这种非恶意的逾期记录一定会大幅减少。
3.对《个人信用信息基础数据库管理暂行办法》领会不透。目前《个人信用信息基础数据库管理暂行办法》对商业银行查询个人信用报告的范围、授权要求、用户及信息安全管理、异议处理、违规处罚均有明确规定。但一些商业银行对严令禁止的行为不清、对违规行为的责任追究制度不明,不按制度查询,不按制度管理,必然产生极大的风险隐患。
(二)客观因素——缺少法规、系统故障
1.缺少法规。综观商业银行对客户信息安全方l面的法律法规,仅有《中华人民共和国商业银行法》 《储蓄管理条例》,但这两部法规涉及客户信息安全的规定均是从存款人角度制定,未从贷款人角度明确,因此对个人信用报告信息查询使用方面违规行为没有约束力。《个人信用信息基础数据库管理暂行办法》虽是针对个人信用报告查询使用制定的,但只是部门规章,级别较低,处罚金额较小,对商业银行的约束力较弱。
2.系统故障。非人为的系统故障是导致信用报告信息不实的客观因素之一。系统故障,可能会产生数据漏报、数据重复、数据无法上报等问题,并导致个人信用报告中出现贷款重复、贷款未结清、错误的异议信息得不到纠正等现象。在当前查询个人信用报告已经成为商业银行审贷必经环节的情况下,与实不符的信用报告可能会误导银行的审贷决策。
三、客户信息主体权益保护的国际经验
综观国际上征信业发展相对成熟的国家,均对消费者信息主体权益给予了严格的保护,尤其注重通过法律制度来规范信用信息流转和传播巾涉及的信息提供者、使用者、征信机构与信息主体之间的权利和义务,明确法律责任、监督部门等保护信息主体的信息安全,防止损害客户信息权益。
(一)征信立法是保护客户信息主体权益的必由之路
美国信用管理的法律体系建于20世纪60年代,包括《公平信用报告法》《公平债务催收作业法》《平等信用机会法》等16部法律,核心是《公平信用报告法》。英国与征信有关的法律是消费信贷和数据保护方面的法案,即1974年的《消费信用法》和1998年的《数据保护法》。法国保护个人信息主体权利的主要法律是1978年的《法国数据处理、数据文件及个人自由法》。德国没有专门的征信管理法,有关征信管理的法律规定散见于商法、民法、银行法和数据保护法中,2001年5月生效的《联邦数据保护法》是大陆法系国家最有代表性的一部个人数据保护法。欧盟1995年《个人数据保护指令》是其15个会员国修订数据保护立法的依据,共34条,包括数据控制人的义务及数据主体的权利两部分。
(二)国外征信法律对个人信息在收集、传播、使用环节的保护
1.收集环节。美国规定,在合理的动机和目的下,如出于信贷活动、就业、保险等目的,征信机构收集和获取消费者个人信用信息不需要经过信息主体授权。英国对信息采集的目的和范围有两个原则:(1)不得超过已经声明的目的所要求的范围采集、保存和使用数据;(2)敏感数据不能作为采集范围(特殊目的除外)。“必须公平合理地取得八人信息,不允许以欺骗手段从数据主体那里取得信息,必须要征得个人同意”。法国要求数据应公平合法地获得与处理。德国要求只有在法律允许或者数据主体同意时,个人数据的收集、处理和使用才被许可。
2.传播、使用环节。美国规定,除当事人有权取得自身的信用调查报告和复本,其他合法使用消费者信用调查报告的机构或个人必须符合信贷、就业、保险、获得政府许可证或其他利益等8个条件。金融机构不得向非关联第三方披露客户非公开个人信息,除非金融机构已明确告知消费者,且消费者有权终止该信
息披露。英国明确只为合法、特定的目的才能使用个人数据。使用或者披露个人数据的方式不能与其目的相违背。如果使用个人数据的目的是有期限的,则使用期不能超过该期限。法国规定数据处理必须得到数据主体同意;数据因具体、明确且合法目的收集获得后不得以与该目的相矛盾的方式进行处理。德国强调个人数据的存储、修改和使用必须符合法律规定、取得数据主体授权同意。
(三)国外征信法律对个人数据质量及安全保护的要求
美国要求对征信机构提供信息的机构,必须保证信息的准确性,并负有协助征信机构对信息再调查的义务。金融机构有尊重客户隐私的义务,并保护客户的非公开个人信息的安全性和机密性。英国规定个人数据必须准确,及时更新;必须采取安全措施防止个人数据未经授权被更改、披露及销毁。法国规定个人数据应准确、完整,如有必要,保持更新。银行工作人员都要对客户、第三者提交的非公开资料保密。欧盟强调个人数据资料必须正确且随时更新。应当采取适当的安全措施,保护自动化数据文档中的个人数据,使其免受破坏或意外丢失,同时免受未经授权的获取、变更或分解。
(四)国外征信法律赋予信息主体的权利
征信法制健全的国家普遍在法律上赋予了消费者知情权、异议权、投诉权和纠错权,来维护其个人信息权益。美国每个人有权查看自己的信用档案,了解自己的信用数据;对于其信用数据存有异议时,有权要求征信机构对该数据进行再调查,纠正或删除不准确的信息。英国规定个人有权知道被收集了什么信息及谁使用了这些信息,有权在支付了合理费用之后向征信机构查询本人信用报告,并在适当的情况下要求修改。德国规定数据主体对自身数据享有知情权、异议权和投诉权,若数据主体认为数据控制者在收集、处理和使用其数据时损害了个人合法权益,数据主体有权向联邦数据保护专员投诉。
四、强化商业银行维护客户信息权益的建议
(一)健全信用信息管理法律制度
通过立法保障客户信息主体权益,是国际通行做法,也是征信业发展的必然要求。目前《个人信用信息基础数据库管理暂行办法》由于法律层级较低,处罚金额少,商业银行违规成本较低,对商业银行制约力相对较弱。《征信管理条例》目前尚未出台,《个人征信信息保护暂行规定》仍在研讨之中。可以说,当前我国在信用信息管理方面的法律制度依然是空白,这与个人征信系统使用的现状要求明显不符。建议尽快出台《征信管理条例》 《个人征信信息保护暂行规定》,并制定相应的实施细则,从立法上明确商业银行在查询使用个人信用报告中涉及影响客户信息权益的权利和义务,提高对商业银行违规违法行为处罚金额。
(二)强化对商业银行的监督管理
商业银行在个人征信系统建设和使用中同时兼具信息采集者、提供者和使用者三种角色,是信用报告流转环节中的关键。因此,维护客户信息权益必须从商业银行信用信息采集、使用、管理等环节把关,加强现场核查,强化监督管理。要核查商业银行是否将信息真实、准确、完整地录入相关业务系统;信息向征信系统报送、商业银行查询信用报告是否得到客户的书面授权;是否在规定的业务范围内、符合规定的程序下查询信用报告;是否采取了可靠的安全措施,确保只有得到内部授权的人员才能接触信用报告等,要督查商业银行是否建立了从信用信息采集、使用、管理各个环节维护客户信息权益的制度和规章。要加强对商业银行工作人员的培训和资格考核,增强其维护客户信息权益的责任和意识。
(三)改进个人征信系统相关功能
目前人民银行在开展对商业银行征信执法检查时,需提前向征信中心申请反馈商业银行查询记录,不能随时掌握商业银行的查询情况,基层人民银行核查商业银行的违规查询行为具有一定的难度,不便于加强对商业银行的监管。建议进一步完善个人征信系统,增加商业银行查询记录下载功能,以便于基层人民银行随时加强对商业银行的督查;同时,建议个人征信系统查询原因中增加“数据核查”项目,基层人民银行可以通过查询打印商业银行客户信用报告来核查商业银行数据报送质量。
(四)充分发挥个人异议投诉机制的作用
【完善银行客户信息保护】推荐阅读:
银行支行客户个人金融信息保护工作自查报告10-11
对完善商业银行激励机制的思考10-08
完善上市公司信息披露的思考10-29
进一步完善我国证券市场的信息公开制度02-27
银行客户经理11-07
银行高端客户活动02-16
工商银行客户经理02-26
银行业客户营销06-27
银行客户经理竞聘材料09-06
