2019-1011

《个人金融信息(数据)保护试行办法(初稿)》来了 央行个人金融信息保护再迈一步

随着信息科技与金融深度融合,金融消费者个人信息产生了巨大的商业价值,问题也与之而来。近日,一批金融领域的大数据风控公司接连"出事",再次引发人们对个人金融信息安全问题的高度关注。

  近年来,非法泄露买卖个人金融信息、银行卡盗刷、冒名办理信用卡恶意透支、电信诈骗等侵犯金融信息主体权益的案件呈高发态势,然而,目前我国关于个人金融信息保护立法相对薄弱,有关的规定散见于一些法律条文中,因此,构建一个系统、完整的法律体系来保护公民的个人金融信息安全迫在眉睫。

  央行关于个人金融信息(数据)保护又向前迈出了一大步。109日,消金界、北京商报等多方媒体报道称,《个人金融信息(数据)保护试行办法(初稿)(以下简称《办法》)已经出炉,央行已经将文件下发至各银行征求意见。

  上述报道披露了《个人金融信息(数据)保护试行办法(初稿)》第十二条及第十八条规定。第十二条规定为:"(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。"第十八条规定为:"金融机构不得以"概括授权"的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。"

  财经网向建设银行、中信银行等银行工作人员多方求证,上述人员称暂未收到该文件,但确有听闻央行正在加快个人金融信息保护的立法进程,《个人金融信息(数据)保护试行办法》已列入20194月中国人民银行发布的《中国人民银行2019年规章制定工作计划》。

  待到《办法》正式出台后,银行将根据该办法的要求,对提供业务数据的第三方机构进行摸排。对于不能保证数据来源合法的数据供应商,要停止合作。


  个人金融信息亟需系统法律体系保护

  个人金融信息的概念是从隐私权衍生而来,逐渐被各国重视并进行立法保护。从广义的角度来讲,个人金融信息包括:银行业机构、证券与期货业机构、保险与保险中介机构等金融机构在与客户办理业务过程中,所知悉、收集的个人身份、财产、信用、交易等其他个人信息。2011年中国人民银行将个人金融信息保护范围具体为身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息及其他信息七类。

  随着信息科技与金融深度融合,金融消费者个人信息产生了巨大的商业价值,其被非法获取、滥用甚至出售营利的风险也随之加剧。如果消费者的个人金融信息遭受侵害后得不到有效救济,势必会影响社会公众对金融行业的信心,甚至可能引发潜在的金融风险。因此,加强个人金融信息保护、完善金融机构数据信息管理、防范打击金融信息犯罪,已成为金融监管工作亟待解决的重要课题。

  陕西银监局消保处李妙在其文章《大数据时代加强个人金融信息保护问题探析--以完善法律规制及主体责任为视角》中指出,当前我国关于个人金融信息保护立法较为薄弱。


  一是在法律、行政法规层面对"个人金融信息"缺乏统一法律界定。

  只有《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17)中以概括加列举的方式将"个人金融信息"分为个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息等七大类。

  但该《通知》仅为规范性文件,法律效力层级较低,且只适用于银行业金融机构。无法定概念,则更无从谈起法律定性和统一规范。


  二是法律体系不健全,相关规定较为散乱。

  现阶段有关金融消费者个人信息保护的规定不成体系,散见于各项有关法律、法规、行政规章和规范性文件当中,如《商业银行法》《证券法》《保险法》《反洗钱法》《刑法修正案()》《网络安全法》《民法总则》、国务院办公厅《关于加强金融消费者权益保护工作的指导意见》《中国人民银行金融消费者权益保护实施办法》《征信业管理条例》、原银监会《银行业消费者权益保护工作指引》《网络借贷资金存管业务指引》《个人信用信息基础数据库管理暂行办法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。

  总体来看,个人金融信息保护所应遵循的基本原则、程序和制度没有统一的规范,各项制度规定之间存在重复、空白甚至冲突的情况。


  三是制度规定本身存在不足,有待完善。

  上述大多数制度规定都是针对某一具体问题,内容原则性比较强,可操作性不强;在法律责任方面,目前对于金融机构及其工作人员侵害金融消费者个人信息安全权的行为,主要是追究其行政责任和刑事责任(参见《刑法》第二百五十三条),而民事责任并不突显,对金融消费者权利救济手段的规定也缺乏法律依据。

  中国人民银行银川中心支行蔡芊、张青媛在其文章中指出,现阶段,唯有在建立完善个人金融信息保护法律体系的基础上,厘清、强化金融机构、监管部门和金融消费者的主体责任,方能防范和打击个人金融信息犯罪,促进金融市场健康、稳定、持续发展。


  央行的个人金融信息保护探索之路

事实上,建立健全金融科技监管体系、保护个人金融信息已被央行反复提及。

  2018年,央行就下发了《中国人民银行办公厅关于2017年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔201899)》及《中国人民银行办公厅关于开展2018年支付服务领域金融消费权益保护监督检查工作的通知》,要求各机构开展金融消费权益的自查和整改落实工作。

  20194月,央行发布了《中国人民银行2019年规章制定工作计划》,其中,明确将《个人金融信息(数据)保护试行办法》的制定列入章程。

  20195月,央行办公厅下发了《中国人民银行办公厅关于2018年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔201972)》。在通报中"金融消费者信息安全管理不规范。部分机构存在收集信息范围过大、未经消费者授权收集其个人金融信息的情形、业务系统存储不规范等情形。"属于重点问题。

  2019614日,央行副行长朱鹤新在国务院新闻办公室举办的"覆盖全社会的征信系统建设情况"吹风会上强调,加强个人信息保护立法工作,先易后难,先研究推动个人金融信息保护立法,明确各方的权益义务,使个人金融信息保护取得实效。完善征信服务方式,优化征信维权机制,畅通征信维权渠道,提高征信维权效率,为用户使用和维权提供便利。继续加大对违规采集,查询和使用个人征信信息的惩处力度,提高征信信息侵权行为的成本。

  2019925日,央行科技司司长李伟在"首都金融科技发展研讨会"中指出,央行将多措并举推动金融科技健康发展,建立健全金融科技监管体系,强化个人金融信息保护,严防个人金融信息的泄露、篡改和滥用,平衡好金融服务便捷和安全的关系。

 

  结语

  有相关人士透露,《个人金融信息(数据)保护试行办法(初稿)》确实已经下发至各个银行,但是文件要求,相关内容必须严格保密不得向外透露。现在透露出来的两条内容或许与近日大数据行业风波相关。

  "大数据风控行业,对于个人信息的采集、使用等方面一直缺乏一个法定的'红线',很多的个人信息使用面临着游走在监管法律空白的问题,《办法》的出台将既是对于用户的保护,也是对行业内公司的保护。"苏宁金融研究院高级研究员黄大智向财经网解释道。

  他还告诉财经网,近几年来,个人信息保护立法的事项一直是热议话题,在2018年、2019年的两会中,有几十位代表提及对个人信息保护的立法。而个人金融信息作为个人信息中最重要的一种,其安全性直接影响到个人财产的安全,《个人金融信息(数据)保护试行办法》的出炉对于保护个人金融信息安全、个人财产安全的意义不言而喻。

  全国人大代表、中国人民银行南京分行行长周学东此前在其署名文章《关于完善个人金融信息保护法律体系的思考中》总结称,目前我国尚无一部专门的法律对个人信息,特别是个人金融信息的收集、使用、披露等行为进行规范。

  因此,从法律层面加强对个人金融信息的保护,是保证个人信息安全、维护个人权益和金融稳定的重要课题。

  央行《个人金融信息(数据)保护试行办法(初稿)》的推出,意味着个人金融信息安全保护终于有了一部系统的、专门的法律条款,个人金融信息安全保护又迈出了一大步。个人金融信息保护所应遵循的基本原则、程序和制度有了统一的规范,各项制度规定之间存在重复、空白甚至冲突的情况将成为过去式。

  "对于金融机构及其工作人员侵害金融消费者个人信息安全权的行为,终于有""可依。"黄大智向财经网总结称。