建立个人信息数据库分级授权管理制度，合理确定本机构员工调取信息的范围、权限和程序，采取有效措施，确保个人信息在内部使用及对外提供等流转环节的安全性，防范信息泄露风险
  银行业金融机构在办理金融业务过程中，不仅掌握着消费者相关的财产信息，也接触到消费者相关的身份信息。对消费者财产信息加以保护，既是尊重客户个人隐私的职业道德需要，也是防范信息被不当利用的现实需要。近年来，随着个人信息被侵害案件频发，我国法律加大了对消费者个人信息的保护力度与侵害个人信息的惩处力度。与此同时，银行业金融机构也应高度重视消费者个人信息保护工作，尽快熟悉相关规定，将保护消费者个人信息作为一项重要工作来抓。

金融消费者个人信息保护存在的问题
  （一）法律制度方面
  个人信息定义不明确，增加了银行业金融机构的操作难度。虽然民法总则第一百一十一条规定，“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，但个人信息范围如何确定，该法并未规定，实践中也存在争议。2017年5月9日公布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，公民个人信息范围只及于刑法领域，是否能直接适用于民法领域，存在不确定性，且该司法解释对个人信息范围也只是采取列举式描述，对于债务状况、婚姻状况、家庭成员状况、学历状况等在列举之外的内容是否属于个人信息，并未涉及。保护规则的不明确不利于银行业金融机构进行行为预判，银行业金融机构容易处在两难之中，与之产生的争议和处理成本也会增加。
  个人信息的权利人与相关利益群体存在法律保护冲突。例如，目前很多银行业金融机构存在着和担保机构的业务合作，合作协议约定担保机构为债务人的债务提供连带担保，同时约定担保机构有权了解被担保债务人的债务信息。笔者认为，约定担保机构的这一权利既是公平的，也是明智的。因为承担保证义务的担保机构了解被担保债务信息，属于权利义务对等，若不约定这一权利，担保机构就难以提前准备承担保证义务的资金，也就难以承担保证义务，进而最终影响银行业金融机构的权利实现。对于一般的担保业务，有些银行业金融机构也以合同的形式约定了担保人的权利。面对担保人了解债务情况的要求，银行该如何作为，如何应对个人信息权利人和相关利益群体的权利冲突，是银行业金融机构需要考虑的问题。
  个人信息保护的法律规定不完善。如法律没有规定个人信息的保护期限，如果一味要求永久保存，银行业金融机构需付出成本，而这一成本如果均由自身承担，缺乏分担，对银行业金融机构是不公平的。另外，由个人信息组成的群体信息是否与个体适用同样的保护尺度，研究机构和民间智库是否可以为了研究需要从基于促进社会发展的目的查询个人信息等等，也尚未有明确规定。
  （二）宏观环境方面
  银行业跨界合作对个人信息保护提出新挑战。跨界合作既要确保各合作伙伴之间合作资源信息的完整、顺畅传递，又要构建客户资料信息“防火墙”，以防止信息泄露，更要强化科技保障，促进交易数据信息安全，弱化跨界带给银行的声誉风险。这就产生了资源信息共享的尺度把握问题、信息保护的技术支持问题、操作层面的制度建设问题，前述三个问题都对银行业金融机构的个人信息保护提出了要求。
  （三）银行业金融机构内部管理方面
  个人信息收集、使用不够规范。部分机构未经同意收集信息、未经授权查询个人征信报告；收集信息范围过大，不符合“最少必须”原则；在内部接触和使用个人信息时，未实施严格的审批和责任制度，缺乏必要的权限控制和跟踪管理；未严格执行岗位职责与权限相匹配的操作制度，未合理限制各类操作人员的信息接触面。
  对外提供信息不规范。部分机构未按规定对外包服务机构和网络特约商户开展安全评估，向外包公司提供个人信息时未明确告知信息主体；与外包服务商签订保密协议时，未明确规定其对保护个人信息的职责和保密义务，未制定风险事件发生后的止损措施。
  个人信息保管不规范。部分机构未制定或未能及时修改信息安全技术防范措施，未对信息系统进行风险评估；信息系统技术防护措施不严格，未采取有效技术手段防范业务网络用户使用U盘、连接外部网络的行为。
  对员工的信息保护教育培训不到位。部分机构未将个人信息保护等内容纳入教育培训计划，对接触个人信息的人员未进行专项培训，也缺乏相应的考核。
  个人信息保护工作不规范。部分机构未明确个人信息保护工作的主管部门、岗位设置、职责以及权限划分，未制定专门的操作规程、检查制度、责任追究制度及应急预案；未开展个人信息泄露应急演练，收集消费者个人信息时，未通过书面提醒方式进行明确告知和警示；未告知客户相关信息的使用目的和范围；未将保护消费者个人信息纳入员工培训教育中；未明确员工对客户信息保密的相关义务；未与外包机构约定信息泄露后双方应承担的法律责任及合作终止后客户信息的处置方式。
  金融消费者个人信息保护的相关建议
  （一）明晰泄露个人信息的法律责任
  明晰民事责任。在银行业金融机构与消费者订立的相关业务合同中，如果包含消费者个人信息保密方面的约定，在此情况下，若未经消费者许可，擅自对外提供个人信息，则明显违反了合同约定。即使没有保密方面的专门约定，但根据合同法第六十条规定，银行业金融机构仍应为消费者个人信息进行保密，如不当泄露个人客户信息，则极有可能承担违约责任。除此以外，银行业金融机构如果因违反客户个人信息保密义务，侵害了客户隐私权，根据侵权责任法还可能被要求承担停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失等侵权责任。
  明晰行政责任。治安管理处罚法、储蓄管理条例、征信业管理条例、商业银行法等金融法规对违规泄露客户个人信息行为均有明确的行政处罚。根据《中国银监会行政处罚办法》，银行不当泄露客户个人信息可能受到的行政处罚包括以下两类：一是对银行单位的处罚，包括警告、罚款、没收违法所得、停业整顿、吊销金融许可证等；二是对责任人员的处罚，包括警告，罚款，没收违法所得，取消董（理）事、高级管理人员一定期限直至终身的任职资格，禁止一定期限直至终身从事银行业工作等等。
  明晰刑事责任。为了打击侵犯公民个人信息的行为，刑法进一步加大了对侵犯公民个人信息行为的处罚力度。2015年11月1日实施的刑法修正案（九）对刑法第二百五十三条进行了修改。此次修改扩大了犯罪主体的范围，同时规定了出售或者非法提供个人信息情节严重的犯罪。如果银行业金融机构在业务发展过程中，为营销客户、获取存款或者其他目的，未经客户授权，不当提供客户个人信息，就极有可能违反上述刑法规定。
  （二）遵循《中国人民银行金融消费者权益保护实施办法》的相关内容
  虽然法律对个人信息的保护不够完善，但银行业金融机构还是可以运用现有规制开展工作。如《中国人民银行金融消费者权益保护实施办法》单独设立了“个人金融信息保护”章节，强化个人金融信息保护的重要性，要求金融机构至少每半年排查一次个人金融信息安全隐患；建立个人金融信息数据库分级授权管理机制，合理确定本机构员工调取信息的范围、权限及程序。明确提出了禁止金融机构进行与消费者个人信息有关的五种行为。同时，明确规定，“金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免”。
  （三）规范管理行为，保障消费者个人信息安全
  严格落实个人信息安全管理责任。银行业金融机构要层层落实责任，有效防范和处置消费者信息泄露和滥用风险，包括明确各级行、各部门及条线信息安全管理的领导责任，明确全体员工的岗位责任。
  建立客户信息安全保护制度。一是建立个人信息收集制度，在获得消费者授权的情况下，遵循合法、合理、必要原则收集个人信息。二是建立个人信息数据库分级授权管理制度，合理确定本机构员工调取信息的范围、权限和程序，采取有效措施，确保个人信息在内部使用及对外提供等流转环节的安全性，防范信息泄露风险。三是建立个人信息保护的监控制度，形成专项检查的常态化机制，常态化地检查客户信息收集、存储、使用等各环节存在的风险隐患，采取有效完善措施。四是建立信息采集、保存、使用的岗位分离制度。五是建立消费者信息安全管理考评制度，将信息安全管理工作情况纳入各机构年度工作评价中，对存在客户信息泄露隐患或风险事件的机构，真正实现一票否决，切实发挥评价结果的激励约束作用。
  畅通客户投诉渠道。建立投诉热线，使广大社会公众在察觉自身信息遇到泄露时，能改变“只要不上当就好”的被动状态，主动将信息泄露问题向银行业金融机构及监管机构反映，通过相关部门的核查和分析，摸准责任人，将信息泄露问题扼杀在源头。与客户，建立良好的沟通和合作渠道。
  将保护消费者信息安全内化为银行业金融机构的企业文化。构建全行统一的个人信息安全文化，对检查发现的问题，结合沟通反馈情况现场对当事人进行教育。问题集中、性质恶劣的，坚持现场召开有上级主管部门参加的案例分析会；对先进典型，充分利用各种载体及时进行宣传，扩大示范引领效应；对内外典型案例，引导员工开展集中学习和自我学习，帮助员工分析问题成因，强化制度执行意识。（作者：中国农业银行江苏连云港分行周金龙，来源：《中国农村金融》2018年第3期）