近日,中信银行上海一支行泄露客户个人账户交易信息一事引发关注。银保监会发布通报称,对中信银行侵害消费者合法权益事件启动立案调查程序,严格依法依规进行查处。中信银行此举虽是个别事件,但也暴露部分金融机构在客户信息安全、隐私保护方面仍存漏洞,应及时采取措施加以改进。
我国法律法规为保护个人金融信息提供保障。《商业银行法》及《储蓄管理条例》都要求,商业银行应当“为存款人保密”、“为储户保密”,并进一步规定:除法律另有规定之外,商业银行有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款。2019年10月,央行向部分银行发出《个人金融信息(数据)保护试行办法》初稿,该办法将明确和细化个人金融信息采集、使用、保护等要求。
中信银行作为一家全国性股份制商业银行,在个人金融信息保护方面建立了规章制度。此次事件,是分支机构在具体的执行过程中出现了违规操作。虽然性质恶劣,但属于个例,不应过度放大。总体而言,我国银行业金融机构对客户信息保护工作是到位的。
同时我们也要看到,部分银行基层机构和经办人员保护客户隐私意识淡薄,相关制度与流程仍然存在漏洞,在一定范围内出现有章不循、违规操作等行为。除违法提供账户信息外,违规查询客户征信、泄露银行卡信息等现象也时有发生。还有少数机构和银行员工,未能摆正客户服务与依法合规的关系,对大客户不合理的要求竟然一路绿灯,也应该进行深刻反思。
在大数据时代,个人信息获取更加容易,个人信息保护面临新的挑战。保护客户隐私、确保信息安全,可谓关系重大,不能有丝毫的马虎。从国家层面看,应加快个人信息保护立法。2012年全国人大常委会作出了关于加强网络信息保护的决定,2017年《网络安全法》开始施行,但法律缺失仍然是我们目前存在的问题。因此,要做好顶层设计,积极推动立法,建立个人信息保护的法律法规和基本规则。尤其是,要通过立法大幅度提高信息泄露和侵犯个人隐私的违法成本。同时,《个人金融信息(数据)保护试行办法》应加快公布实施。
对银行业金融机构而言,下一步应从三个方面努力:第一,高度重视客户信息保护。这既是维护金融消费者合法权益的重要内容,也是银行取信于社会和客户的基本义务和基础工作。第二,继续完善客户信息保护相关制度办法,客户信息什么情况下可以查询必须要进一步明确。第三,细化客户信息查询流程。如果需要查询个人信息,查询权限如何设置、谁来审批等要严格规定。此外,应在技术上对客户信息查询有硬约束,比如建立分级审批、双人控制等要求。总之,要将保护客户隐私的理念融入到银行企业文化之中,内化于心、外化于行,以最严格的标准确保客户信息安全。
此外,还要处理好信息获取与信息保护的关系。在加强信息保护的同时,应加快建立统一的信用信息平台,鼓励金融机构合法合规获取信息数据,在此基础上推动金融科技发展,加快金融产品创新,为企业和个人提供更多方便安全精准的金融服务。