制定统一的监管规程和工作指引,明确监管标准,采取多种灵活的方式对商业银行机构在个人金融信息保护工作方面进行经常性的指导和提示。 大数据时代,金融业信息化程度日益提高。从全球范围看,多数发达国家已经采取了许多行之有效的保护个人金融信息安全的模式,而我国对个人金融信息的保护尚不成熟。 我国个人金融信息保护中存在的问题 个人金融信息保护意识不强 一是立法理念上重信息披露、轻信息保护。二是金融机构个人金融信息保护意识不强。在实践中,银行业金融机构内部检查监督力度很弱,没有建立金融信息安全隐患排查机制,一般都做不到按规定每半年排查一次金融信息安全隐患,银行内部员工的信息保护意识也需加强。 法律制度不完善 一是我国尚未针对个人信息保护专门立法,法律体系不完备。目前对个人金融信息保护的规定主要是夹杂在《刑法修正案(九)》、《商业银行法》和行政法规、部门规章中,比较零散,不成体系。二是我国没有个人金融信息保护的基本法,个人金融信息保护的规定大多是部门规章。三是我国现行关于个人金融信息保护的规定中信息主体享有的知情权、拒绝权、索赔权等在现有法律体系中均未明确规定。 监管效果不明显 一方面,监管部门不明确。因我国并未制定个人金融信息基本法,所以具体哪个机构拥有个人金融信息保护的监管权不明确。中国人民银行、银保监会、证监会都是在各自的监管职权范围内开展工作,没有明确具体的分工和协调机制,所以容易出现监管真空、多方监管和效率低下的问题;另一方面,缺乏行之有效的监管手段。由于缺乏基础性的法律支持,监管机构在执法时也缺乏行之有效的监管手段,处罚依据也不充分。《商业银行法》规定商业银行应当遵循为存款人保密的原则,但是未规定哪个部门拥有处罚权以及处罚的标准。 个人金融信息保护的国际经验 具有相对完善的个人金融信息保护法律制度 美国、欧盟、日本、韩国都根据实际,制定了比较合理的、符合实际的个人金融信息保护法律规范,且法律体系相对成熟,在立法理念上都体现了兼顾信息披露和信息保护之间的平衡。一是分散立法模式。美国采用分散立法、分别保护的模式,不同的信息类型适用不同的法律,而且美国个人金融信息保护立法呈现“查漏补缺”的特点。日本为分散立法模式,个人金融信息保护主要是依靠《个人信息保护法》,由于信息技术发展,该法于2015年全面修订,于2017年5月实施。除此之外,日本还制定了《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等法律文件,这些构成了日本个人信息保护的法律体系。二是专门立法模式。欧盟对个人金融信息采取统一保护的模式,对各类个人金融信息实行同一水平的保护。1995年欧盟通过的《关于个人资料处理及自由流通个人保护指令》为个人金融信息保护提供了统一的标准。韩国为专门立法模式,在个人信息及数据保护法律领域,形成了《个人信息保护法》《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》三法分立的局面。 重视发挥行业自律作用 除个别领域外,美国个人金融信息保护主要依靠金融行业协会制定的自律规范。金融行业协会发挥其主观能动性,以行业规范自主约束本行业,减轻了政府的负担。在保护机制上,日本则参照了美国的“行业自律”模式,将政府立法与行业自律相结合,实现对个人信息的综合保护。在《个人信息保护法》制定后,金融业界参照该法修订了自律规范。日本全国银行协会也参照监管部门发布了个人资料保护指南,用以指导金融机构做好个人信息保护工作。 个人金融信息来源和收集坚持合法原则 美欧日均规定了个人金融信息来源和收集均要坚持合法原则。在个人金融信息的来源渠道上,坚持合法、正当、必要的原则,规定金融机构首次获得个人金融信息必须是基于业务关系,而且要明示收集,消费者要有明确同意的意思表示。在个人金融信息的收集上,要明示收集,并且要坚持“最少必需”的原则,即收集的信息应与实现产品或服务的业务功能有直接关联。韩国还设立了《位置信息保护法》,要求在使用个人位置信息时必须得到当事人允许。 规定金融信息保护的例外内容,有利于金融业务开展和创新 为合理平衡个人金融信息公开和保护之间的关系,美欧日韩均规定了一些例外情况。总体来说都是基于公共利益或者委托、业务继承等。这些例外情况在一定程度上解决了金融信息权益保护冲突,维护了社会公共利益。例如,韩国现行法规定个人信息的收集或使用是合同签署及履行的必要条件及生命或财产安全受到威胁,需要紧急处理而无法获取事前同意的情况下,允许事前同意的例外。 行政管理部门职责明晰 美国是判例法为主,对个人金融信息保护主要是联邦立法、各州立法和行业保护相协调。对银行、证券和保险行业采取分别保护的模式。英国金融行为监管局负责对各类金融服务机构的监管工作。该局权力很大,能够监管金融产品的营销行为,拥有对金融机构和个人进行调查的权力,还有权暂停某项金融产品的销售。日本政府各省厅经常举行个人信息保护联席会议,交流信息,协调措施。而作为内阁府下属中央直属局的消费者厅全面负责保护国民个人信息的工作。该厅成立于2009年9月,是基于消费者的视角监督整体政策执行情况的机构。 对我国的启示 完善个人金融信息法律体系 加快个人金融信息保护立法步伐, 制定国家级的《个人信息保护法》,明确个人信息的法律性质、立法宗旨、基本原则、信息主体权利、侵犯个人信息权利的救济等重要问题,以保证整个法律体系的系统性和协调性;尽快完善《商业银行法》《证券法》《保险法》等法律, 明确金融机构保护个人金融信息的义务和法律责任;金融机构加强部门内规章立法建设。形成以专门法律为核心、其他法律法规相配合、部门规章和制度为补充的个人金融信息保护法律体系。 实行有效监管与行业自律相结合 明确监管牵头部门及相应的监管职责,整合“一行两会”的金融消费者保护部门,形成高效协作的金融消费维权体系。建立联席会议制度,加强协调配合,就交叉监管领域定期组织交流协商。制定统一的监管规程和工作指引,明确监管标准,采取多种灵活的方式对商业银行机构在个人金融信息保护工作方面进行经常性的指导和提示。加强对金融机构个人金融信息保护工作开展非现场监测和现场检测。不断加大对第三方服务机构的管理力度,积极发挥行业自律的作用。 明确信息主体享有的各项权利和特殊规定 借鉴发达国家做法,明确规定信息主体享有的主要权利,包括知情权、拒绝权、损害赔偿权。对于信息的二次使用的权限和敏感信息的处理,我国可主要借鉴日本的做法,即应事先征得本人同意,但基于法律法规规定和社会公共利益以及基于委托、业务继承等关系的除外。 进一步完善金融领域的纠纷解决机制 健全消费者协会和行业协会主导下的投诉、和解和调解机制;建立综合性专业化的民间性或事业性的金融消费投诉处理机构,公正、高效、便捷处理金融信息权纠纷。金融监管部门之间应当加强执法信息的共享和执法过程的沟通协调,破除分业监管模式带来的阻碍。对于个人信息被大规模披露和滥用的案件,通过健全民事公益诉讼的方式来化解纠纷。在证据的收集方面,充分发挥电子证据保全制度的优势,通过专门的数据鉴别和还原技术固定和收集证据。 (作者单位为中国人民银行朔州市中心支行)
上一篇:党建与业务工作坚持六个“双融合”
下一篇:金融机构个人保证保险贷款业务的思考