商业

官媒谈金融信息立法:尽快构建有效的个人金融信息保护制度。

金融时报8月10日消息:在脸书(Facebook)个人信息泄露事件可能以向FTC支付50亿美元和解金的代价结束的消息为世人关注的同时,美国再次发生了个人信息泄露事件,这次泄露的是个人金融信息。今年7月29日,美国第一资本投资国际集团(Capital One Financial Corp)发文称,该公司于7月19日发现有外部个人窃取了该公司信用卡产品用户个人信息,涉及1亿美国用户及600万加拿大用户,其中除个人基本信息外,还包括收入报告、信用评分、信用额度等敏感信息。事实上,这并非是美国第一次个人金融信息泄露。2017年9月,美国四大信用报告机构之一的Equifax宣布有犯罪分子从它的数据库中窃走大量数据,预计涉及1.43亿美国人的个人信息。此外,在2014年,美国摩根大通银行电脑系统遭黑客袭击,导致7600万家庭和700万小企业的账户信息泄露。

  在我国也发生过个人金融信息泄露事件。如2012年央视“3·15”晚会曝光的银行职员非法买卖储户信息致3000万存款损失事件;2012年某银行支行在未与客户发生业务往来情况下利用央行征信系统非法查询3.2万余人个人信用资料事件;2016年10月14日四川绵阳警方破获“5·26”侵犯公民个人信息案”,该案件涉及泄露公民银行个人信息257条,涉案金额230万元,起因是某银行行长售卖征信系统查询账号。

  金融领域个人信息泄露具有其特殊性,与其他个人信息相比,个人金融信息与个人的资产、信用状况高度相关并具有极高的分析价值,同时因金融系统在现代个人生活中的重要性,个人金融信息的真实性和准确性都较高,一旦泄露对受害者的财产安全可能造成很大威胁。在当前注重个人信息保护的大背景下,对个人金融信息的保护,应当给予更大的关注。

  关于我国当前的个人金融信息保护,中国人民银行自2007年开始,通过《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《关于银行业金融机构做好个人金融信息保护工作的通知》《关于金融机构进一步做好客户个人金融信息保护工作的通知》等文件,分别确立了对金融机构客户身份资料和交易信息保护的框架、个人金融信息范围、个人信息收集范围、利用原则和保护个人金融信息的要求。在2016年印发的《中国人民银行金融消费者权益保护实施办法》中,专门强调了金融消费者个人金融信息保护问题。2013年8月,银监会在《银行业消费者权益保护工作指引》中规定了包括个人金融信息安全权在内的八种行为规范,明确制度保障和监督管理等。

  此外,我国个人金融信息保护的规定还散见于其他法律法规。如《消费者权益保护法》第29条中对消费者个人信息保护的要求等。

  结合现实来看,我国当前个人金融信息立法保护方面仍存在不足。一是缺乏专门性立法,法律体系协调性不够。二是对违法机构和个人的法律追究机制不健全。三是现行规定原则性强,可操作性较差。四是监管部门在执法上手段缺乏,缺乏基础性法律制度的支持。因此,无论是从个人金融信息保护的需求来看,还是从当前个人金融信息保护的立法现状来看,制定一部系统性的个人金融信息保护法律是有必要的。

  2019年4月16日,中国人民银行公布的2019年规章制定工作计划,其中将《个人金融信息(数据)保护试行办法》列入本年度规章制定计划当中。在《个人金融信息(数据)保护试行办法》制定过程中,笔者建议应当关注如下一些重要方面:

  一是明确个人金融信息保护中的一些基本因素。对于个人金融信息保护而言,一些重要的基本因素应当得到明确。如个人金融信息的界定、个人金融信息保护的原则与主要内容以及个人金融信息保护的特殊规定等。只有在明确这些因素的基础上,才可能进一步实现良好的个人金融信息保护。

  二是划分监管主体之间的权限和建立合作监管原则。个人金融信息的保护依赖单一监管主体的力量可能难以发挥最大的作用,需要多个监管部门的协同。2015年7月,中国人民银行等十部委发布《关于促进互联网金融健康发展的指导意见》。在其中创新性地提出了多方共管网络信息安全的原则。在该指导意见的基础上构建系统的监管模式将更有利于个人金融信息的保护。

  三是与个人信息保护法的衔接与协调。个人信息保护法已纳入本届人大的立法规划当中,《个人金融信息(数据)保护试行办法》在制定过程中,应当注意与个人信息保护法的协调和对其立法要求与精神的实现,以实现更好地个人信息保护。

  四是切实构建个人金融信息保护长效机制。现有个人金融信息保护法律法规面临的困境主要是原则性较强而可操作性欠缺。因此,作为专门规定个人金融信息保护的规章,《个人金融信息(数据)保护试行办法》应针对现有问题构建有力而强效的规定,要求金融机构构建切实有效的个人金融信息保护制度。(黄震 蒋松成)