浅析我国法律法规对银行客户个人信息保护问题

　　生活在信息四通八达的时代，我们似乎很难找到一片属于自己个人信息安全的沃土。每年全球都会发生范围不一的信息泄露事件，或涉及个人用户或涉及个别国家或地区，个人和国家对泄露信息的恐慌与日俱增，对强化信息保护的需求日益增加。无论从维护个人利益还是从维护国家整体利益出发，增强信息安全性都势在必然。

　　银行客户个人信息是金融机构掌握的个人信息。银行客户个人信息与其他机构掌握的个人信息的一个重要区别在于，银行客户个人信息承载了客户的财产状况，能够部分或全部反映个人的经济状况，涉及个人最核心的隐私问题。在许多国家，人们都羞于言齿个人财产状况，因为个人财产状况往往反映一个人的生活条件、决定一个人的社会地位和公众形象。银行一旦掌握了客户个人信息，不仅会有损隐私保护，还可能据此获取用户资金提取渠道，危机客户资金安全。此外，银行的客户信用征信系统还会记录客户个人的金融信用状况，对客户继续消费金融服务产生影响，还有可能影响个人的社会信用和形象。

　　恰如所述，消费者有理由寻求法律帮助来维护自己的个人金融信息。

　　个人信息保护是一个系统性的问题，涉及诸多方面。首先是个人信息包罗万象，难以用相同的方法加以保护。其次，信息保护也不能单纯的依靠法律手段，还需要利用包括道德、文化、信仰等在内的诸多手段。因此泛泛的谈个人信息保护，无异于无的放矢，容易陷入一言难尽又无话可说的尴尬境地。而银行客户个人信息的法律保护问题，是个人信息在金融领域的一个细分，也是选取法律手段解决此类问题的一个着力点，既能避免抽象、空泛的理论研究，又能掷地有声的回应社会关切。

　　本文在研究银行客户个人信息保护这一问题时，试图将其置于个人信息保护的大框架下，探讨其与保护个人其他信息问题的共性，又充分考虑金融领域的特殊性，试图找到契合金融业发展规律的保护路径。与其他个人信息相同，个人金融信息也受到法律的有限保护，国家机关为履行职务而依法获取个人信息，不需要事先征得个人同意。而银行等金融部门要获取客户信息，必须要事先征得个人同意。对银行客户个人信息的法律保护是一个系统的问题，不仅涉及民事法律问题，还需要运用行政、刑事法律手段，从多个角度加以分析研究。从立法角度看，“采取何种立法模式保护银行客户个人信息、立法的性质如何？与一国的政治经济发展、历史文化延续及法律传统有关，但从根本上看，这种立法首先应当是民事立法，其次才是其他性质的部门立法。”[胡文涛.金融隐私权的法律保护明[J].上海政法学院学报(法治论从)，2015(2).

　　]如何从法律角度尤其是民法视角保护个人金融信息，不仅是一个在理论上值得探讨的问题，更具有很强的实践需求。

　　金融是实践性行业，研究金融也必须从金融行业的实践出发。金融机构为金融消费者提供的服务有别于其他行业的服务，因此对金融机构保护客户个人信息也必须从其行业的特殊性入手。要将金融行业的特殊性和法律对个人信息保护的一般性有机结合并非易事，这也是本文研究的价值所在。只有将两者结合起来，才能保证个人信息保护政策落到实处，为立法者提供立法参考，使立法更加接地气，从而推动立法尽快落地生根、更具可操作性，也才能促进金融行业的健康和谐发展，为金融行业提高服务质量作出贡献。

　　在欧美等西方国家，银行客户个人信息的保护受到很大的重视。在X，早在1970年就专门颁布《公平信用报告法》保护公民个人信息。此后，为加强金融领域的个人信息保护，又陆续颁布了《金融隐私权法》、《金融服务现代化法》、《电子资金转移法》、《平等信用机会法》等法律，织密金融领域个人信息保护的法网。而在英国，虽然没有对金融隐私权的保护进行专门的立法，但形成了重要的判例法，甚至被许多其他国家借鉴，例如印度。不但如此，在整个欧盟的层面上，也对金融隐私权的保护作出了努力。《人权法案》、《数据保护》等许多国际条约及国际惯例中都有着保护银行客户个人信息安全的规定。1980年出台的《保护自动化处理个人资料公约》是欧共体为保护个人信息作出的第一次尝试。随后欧盟又在1995年颁布了《个人数据保护指令》，接着又通过了《电信个人信息处理及隐私保护指令》、《网络私人资料保护办法》等法令，进一步增强了对金融隐私权的保护。不仅欧盟，近年来随着金融隐私权概念的普及，诸如亚太经合组织、东盟、北约等国际性组织也陆续出台法令加强对成员国金融隐私权的保护。

　　我国学术界很早就将关注的视野投向了个人信息一方，像国内的齐爱民和孙昌兴等学者就针对于对个人信息的保护从法律的角度出发发表了相关的论述。笔者发现，虽然针对于个人信息的相关研究比较多，但是对于银行客户信息的相关论述屈指可数，偏向于金融稳私权等方面。这方面的学者例如谈李荣就在其论述《金融隐私权与信息披露的冲突与制衡》对于金融隐私权进行了具体的描述，并且提出了相关的建议。然而，银行客户的个人信息是一个非常综合的概念，金融隐私权仅仅是一个维度的内容，不能较为全面的进行对于个人信息的完全保护。我国目前对于隐私权的保护还涉足的不够完善，而且金融隐私权只是其中的一个维度。除此之外，银行对于客户的个人信息的保障方面，今年来多次发生客户信息外泄的情况，可见银行在这些方面保护力度还不够。

　　我们在探究这个问题的时候必须要对个人信息是什么进行更进一步的解释。早在2011年的时候，国内有关部门就发布了《信息安全技术个人信息保护指南》中就对此作出了详细的解释，其提到个人信息不是不能预见的，是可以被看见和处理的，和每个独立的人相互关联，既可以是独立存在的，也可以是和其他信息相互关系着存在的。《个人信息保护法(专家建议稿)》中也对个人信息进行了阐释，其认为个人信息是包括很多基本信息，例如名字、家庭地址、生日、就医信息、写真等多个信息组成的个人所独有的信息。从以上的观点我们可以看出，个人信息是包含个人主体独立且独特的信息，蕴含了个人的身心各方面的内容，也会联系到此人的社会关系和内部家庭关系等相关内容。

　　X学者曾对个人信息进行了相关的描述：“个人信息是结合了此人的身份方面的信息，当然也包括非身份方面的信息的。身份方面的信息就是指：个人的名字、身份证的号码、家庭地址、手机号码、手指指纹信息、个人基因信息等可以利用任何一个独立信息对于此人进行识别的信息。非个人身份信息是比较大众的信息，比较普遍存在的容易重合的信息，例如此人的所属的行业和业余爱好等”[颜苏.金融隐私权保护国际合作研究闭[J].理论界，2011(2).

　　]笔者在此对于国内学者和国外学者的相关观点进行了汇总发现，其对于个人信息的解释的共同点在于个人信息是既普遍存在的又是可以辨别的。在进行银行客户个人信息的识别的时候，也有以上的特征。英国有名的“图尔尼尔”案件的审理中，法官对于银行保密的职责进行了更加详细的定义，他认为：“银行在保密方面，要针对客户个人信息的存款多少，具体的开支和对外交易的情况，其个人担保的情况，还有其他方面和客户有关的信息”[孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社,2009.]总而言之，银行客户的个人信息应该包括两大部分，一个部分就是个人的基本信息，另外一个部分就是其在银行进行交易的信息。个人信息就是上文所提到的包括名字、地址等基本的可以识别客户的信息，银行进行交易的信息就是此人在银行的存款余额、交易的具体情况、收支情况、担保和借贷的情况等。

　　2.1法律法规对保密义务的规定

　　银行对客户个人信息的保密义务源于银行与客户之间签订的业务合同。按照合同法的基本原理，银行应当对在缔结合同过程当中知悉的客户个人信息予以保密，并且仅可以在业务范围之内或者经过客户个人同意才能够使用。对此，我国《合同法》第60条有明确规定。此外，银行作为专门的金融机构，我国规范商业银行的专门法律也对银行的保密义务有详细的规定。

　　例如，我国《商业银行法》在第三章中专门规定了商业银行办理个人储蓄存款业务应当为存款人保密。此一项作为商业银行从事个人存款储蓄业务的一项基本原则。

　　1988年出台的《银行结算办法》也明确规定“商业银行在为单位和个人办理结算业务时，应当依法为单位、个人的存款保密。”但当时还没有诞生使用“客户个人信息”这一概念，此时的保密义务主要在于维护单位、个人资金的自主支配权，除法律法规另有规定外，不得对外提供单位、个人存款的查询、扣款等行为。

　　2011年进行重新修订的《储蓄管理条例》中就银行相关业务进行了有关保密的规定，若银行相关人员私自泄露客户的相关信息，或者没有经过法定的程序就对客户的账号进行查找和冻结的，轻者由中国人民银行或者其有关机构对违法行为进行批评，若发现情况比较严重的可以对实行该行为的银行进行查处和处以罚金，甚至可以取消其营业资格等强制性的处罚手段。我国法律不仅规定了商业银行应当保护客户个人信息，还规定作为银行业监管部门和监管管理机构的人员，也应当为其监督管理的银行业金融机构及当事人保密，作为对银行客户个人信息保护的一种延伸。

　　2.2监管部门对保密义务的规定

　　中国人民银行和银监会是我国法定的商业银行监督、管理部门，我国《商业银行法》对两个部门的职能做出过规定，然而，在实务中，两个部门的职能多有交叉。为了做好客户个人信息的保护工作，两大部门曾经出台过专门的部门规章加强管理。例如，中国人民银行在2011年出台了《关于银行业金融机构做好银行客户个人信息保护工作的通知》（以下简称《通知》）。该《通知》首次以部门规章的形式明确了银行客户个人信息的范围。《通知》指出，所谓银行客户个人信息是指“银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息。”[中国人民银行.关于银行业金融机构做好银行客户个人信息保护工作的通知[EB/OL],http://www.sohu.com/a/218084288_679976]具体包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息以及相关的衍生信息等。《通知》要求银行业金融机构通过加强内部控制、完善信息安全技术防范措施、加强对从业人员的培训等方面严格收集、保存、使用、对外提供银行客户个人信息，是现行最全面、最集中和最直接规范银行业金融机构客户个人信息保护行为的监管规定。

　　银监会虽尚未发布对于银行客户个人信息保护的专门规定，但是其出台的先关部门规章当中也包含要求商业银行保护客户个人信息的规定。例如，银监会在2016年会同工信部、公安部、国家网信办联合出台的《网络借贷信息中介机构业务活动管理暂行办法》，对网络借贷信息中介机构从事网络借贷行为做了较为全面的规定。其中第九条第六款规定“网络借贷信息中介机构应当妥善保管出借人与借款人的资料和交易信息，不得删除、篡改，不得非法买卖、泄露出借人与借款人的基本信息和交易信息。”再如，银监会在2018年出台的《银行业金融机构从业人员行为管理指引的通知》中要求“银行业金融机构应加强对从业人员行为的管理，遵守工作纪律和保密原则，严格执行廉洁从业的各项规定。”

　　一般而言，部门规章是对法律法规的一种细化规定，目的在于使其更具有可操作性。按照法律规则的“假定”、“行为模式”和“法律后果”三要素构成理论，上述部门规章在“假定”和“行为模式”两个要素上规定的较为具体，然而对“法律后果”这一要素的规定则有些含混不清，对于银行以及银行从业人员违反保密义务而应当承担的法律后果，既没有做出具体化、详细化的规定，也没有创设新的规定，大都是对《商业银行法》和《银行业监督管理法》等法律法规中法律责任一章的照抄照搬。法律的权威性源于其强制性，如果不能将法律责任的适用落到实处，那么再具体、再详细的法律也将变成一纸空文。

　　由此可见，无论从法律法规层面还是从部门规章、行业规范层面看，我国法律都对银行的保密义务做了明确的规定，彰显了我国对保护银行客户个人信息的重视。但这些保密义务的规定大多泛泛而谈，仅仅以禁止性规定要求银行和银行业从业人员不得泄露客户信息，但没有对哪些信息应当予以保密、哪些可以合理使用、哪些需要客户授权在从事特定业务是可以使用予以明确规定，因此在实务中操作性较差。往往是涉及诉讼和客户投诉时才会对保密义务的范围予以明确解释，但这种解释往往是银行单方面的解释，不具有权威性和合法性，也容易误导消费者。

　　2.3.对银行客户个人信息保护的例外

　　银行对客户个人信息的保护是基于民事合同，但有时为了维护社会公共利益和第三人利益，特别是出于打击犯罪、履行个人对第三人到期债务等需要，有权机关可以查询银行客户个人信息，并可以冻结、划拨客户的银行存款等。笔者搜罗相关规定分类如下：

　　一是基于预防、打击刑事犯罪需要。我国《刑事诉讼法》以基本法的形式规定了人民检察院、公安机关未侦査犯罪，可依法查询、冻结犯罪嫌疑人的存款、汇款、债券等财产。具体到各种犯罪，法律法规又有细化的规定。例如，为了防止洗钱行为，《中华人民共和国反洗钱法》（以下简称《反洗钱法》）规定，金融机构“必须建立客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度。”相关部门只能基于反洗钱行政调査才能获取金融机构客户个人信息。再如，为了打击走私犯罪，《中华人民共和国海关法》（以下简称《海关法》）规定，在立案侦查走私案件时，经过海关关长的批准可以调查涉案单位或个人在金融机构的存款信息。对于未缴纳关税的单位和个人，海关也可以直接从金融机构里扣划其存款。

　　二是基于行政管理的需要。最能体现这方面规定的就是税务机关可依据相关法律查询、冻结纳税人的银行存款信息，对于未及时缴纳税款的纳税义务人，税务机关有权要求银行等金融机构直接予以扣缴。证券监督部门对涉嫌违法转移、隐匿证券等财产的单位和个人，也可以查封、冻结其中金融机构的财产。物价部门监督市场主体的价格行为时，也可以“査询、复制与价格违法行为有关的账簿、单据、凭证、文件及其他资料，核对与价格违法行为有关的银行资料。”

　　三是基于解决民事诉讼的需要。为解决民事争议案件，维护当事人的合法权益，民事诉讼法律规定可以对被告的财产采取保全措施，而财产保全措施当中最主要的方式就是冻结银行存款。当前，随着法院审判、执行业务信息化水平的提升，民事案件基于网络查控系统冻结被告（被申请人）的财产的数量急剧攀升。法院基于执行需要冻结、扣划被执行人银行账户的案件也呈井喷式增长。

　　3.1商业银行使用客户个人信息的实践

　　当前社会，商业银行对于客户个人信息滥用的情况可以分为3大类型，“一种类型是在商业银行内部进行客户信息的传播，第二种类型是银行集团内部进行客户信息的传播，第三种类型是为了个人利益而向外部传播客户的个人信息。”[齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京：北京大学出版社，2009.]

　　3.1.1银行内部使用客户信息

　　银行在内部进行客户信息的传播具体可以是:首先，由于银行要开展新业务，所以在内部对于客户的个人信息进行了有关的查询。其次，为了相互开展工作和互相披露有关客户的信息。最后，后台的有关部分出于工作原因而对客户信息进行使用。

　　3.1.2银行集团内部使用客户信息

　　由于一些商业银行存在多个分行和国外的分行，就使得集团内部为了拓展业务的时候，对于客户的个人信息就进行较大范围的传播，以此共享来发掘新业务的可能。由于这可能涉及到国外的银行，所以问题处理起来比较复杂，且处理难度比较大，需要进行专项立法才行。

　　3.1.3因业务需要向第三方提供客户信息

　　银行向外部传播信息的情况可以分为业务流程类、业务合作类和委托外包类的情况。

　　（1）业务流程类。就是一些商业银行为了开展自身的业务或为了自身谋取更大的利益，向外部的机构和公司传播银行客户的个人信息，以此完成业务流程。“主要可以在对于企业年金和理财相关业务等方面可以见到此类型。”[张新宝.隐私权的法律保护[J].北京：群众出版社,2004.]

　　（2）业务合作类。银行为了拓展自身的业务领域，把客户的个人信息提供给外部，只是为了外部的企业进行业务的拓展，例如进行保险行业的合作等。

　　（3）委托外包类。由于商业银行内部的人员情况紧张，为了更高效地进行内部的运转，银行把一部分业务进行了外包。为了外包公司更好地开展工作，必须把一些客户的个人信息提供给外包公司，这样的外包业务可以报考邮寄一些资料，信用卡或者贷款的预期未还的催账，和外部合作开展信息系统的设计的时候都可能涉及把银行客户的个人信息进行外泄。这也是相关监管部门所重点勘察的范围。因为一旦信息进行了外泄，银行客户的个人信息就可能把控不住而到处传播，从而可能引起法律的相关风险。

　　3.2商业银行泄露客户个人信息的实践

　　案例一:早在2013年的时候，国家就在电视节目中对于招商银行等向外部传播银行客户的个人信息，使得部分客户的账号被盗，出现了大规模资金损失的事件。这其中就讲述了一个比较具体的案例：由于李女士平时很少贷款，贷款的银行只有一家，在她对某银行进行了五十万元的融资之后，相继接到多个小银行或者借贷公司的电话，当在电话一头询问对方是怎么得知自己的联系方式的时候，对方却闭口不答，这让李女士心理十分犯嘀咕，自己平时很少向银行进行借款，而且自己也只向了一家银行有过借款的行为，会不会是该银行泄露了自己的个人信息呢？对于自身的个人信息被传播的事情，李女士也感到十分的苦恼，本来想向银行讨个说法，但是银行的态度却非常的强硬。了解到其身边的朋友也多次出现的情况，经常会接到保险公司的电话，而且保险公司的人可以准确知道自身的信息。这些经历都让大家非常的气氛，但是想维权却无从下手，有时候一天最多可以接到几十个推销电话，再多次逼问下推销员才松口说是银行方透露的信息。

　　案例二:这是发生在湖南的一起大型的泄露银行客户个人信息的案件，此行的行长以身作则亲自泄露自身的账号，卖给外部的机构，使得外部的机构对于客户的个人信息进行了大规模的传播。16年四川绵阳的还对于526侵犯公民个人信息案事件进行了专项的立案，查获了有关犯罪分子10余人，涉案金额高达200多万元。公安机关的有关部门力争严重打击泄露客户个人信息的违法犯罪行为。

　　1.1对个人隐私权的保护不够完整

　　现在社会公民越来越注重对个人信息隐私的保护，但是《商业银行法》在保护客户的个人信息这块做的并不完善，还存在很多这样那样的纰漏。举一个很典型的例子，比如个人信息并未列入《商业银行法》的具体规定中，在53条的相关规定是这样描述的：商业银行的工作人员在其任职期间不能泄露其知晓的国家和商业机密，而个人信息则未纳入法律保护的范围，一旦客户的个人信息遭受侵害，却并未有可供支持的法律依据。而且，客户作为商业银行的借款人，他的某些信息受到保护，但是极具商业价值的合同交易方以及贷款用途则不在被保护的行列里，一旦这些信息被出卖给商业机构，其产生的损失则不可想象。国外的金融机构在保护客户的金融隐私权方面做的相当谨慎与严密。相比我国金融机构的做法则缺乏相应法律保护，客户的隐私权保护有待完善，否则，一不小心容易受到非法侵犯。

　　1.2对泄露个人信息行为惩戒力度不够

　　公民的私人信息不可侵犯，我国的立法已经在《刑法》中对出售、非法获取或者提供公民个人信息的行为进行了法制约束，凡是有上述行为的人要承担相应的刑事责任。非正当途径收买、获取或者提供他人金融信息资料的，在《刑法》修正案(五)中明确规定要承担刑事责任，尤其是可以利用职务便利的金融机构工作人员，违反国家的法律规定作出泄露客户信息的事情，更要从重严惩。《刑法》修正案(七)中更是明确规定一旦金融单位的工作人员违反国家规定，非法将客户个人信息提供他人牟取不正当利益的的严重行为，将会受到三年以下的刑罚。从上面的法律规定中我们可以看到，一旦客户的信息受到侵害会有相应的法律刑罚，而未给客户造成直接损失的泄露信息行为尚未有明确的法律惩罚规制。此外，在行政法层面，“也没有相应的罚则适用，监管部门在金融机构违规泄露客户私人信息方面也没有相应惩罚的依据。”[强力.金融法[M].北京：法律出版社,2004.]在侵害客户私人信息方面，金融机构及其相应人员会因为没有相应的法律和其他惩罚规制而存在侥幸心理，这就埋伏了很严重的客户信息泄露安全隐患，一旦隐患爆发，后果可能非常严重。

　　近几年，网络银行的方兴未艾极大地方便了人们的生活，但网络银行并不是法外之地，也需要遵循现有法律法规，尤其是在保护个人信息方面，网络的公开性与个人信息的隐私性形成天然对立，对立法提出了新的挑战。首先，网络银行中嵌入的信息技术种类繁多、保护手段不一定全部健全，增加了个人金融信息泄露的风险，这对银行和监管部门都是挑战。其次，“网络银行业务和相关产品市场会涉及第三方，包括系统维护方或服务、平台提供方，这一主体的变化使得银行必须同时承担起对第三方的监督管理责任。”[刘渊恺.金融机构客户信息保密法律制度研究[D].华东政法大学,2006.]第三，网络银行具有全天候、全区域的业务特点，可以为客户不间断的提供金融服务，这同时也加剧了银行同业之间的竞争。为实现利益最大化，客户个人信息的传递愈加频繁，对金融隐私提出了巨大挑战。第四，随着国际社会对诸如洗钱罪、毒品犯罪以及恐怖犯罪等国际性犯罪的打击日益加剧，有权机关要求银行披露客户个人信息的数量、频次愈加甚于从前，这也间接增加了客户个人信息泄露的风险系数。

　　网络将每个人都置于全世界监视的范围内，由此导致保护个人信息逐渐从单个国家对公民应尽的义务推及到全世界范围，世界各国、各国际组织、各地区应当通力合作，为捍卫个人隐私作出应有的努力。

　　在金融发达的国家，例如X、英国已经将个人金融信息明确为个人隐私权的保护范围，通过专门立法的方式加以保护。

　　3.1．缺乏信息查询程序规范

　　客户的个人信息查询程序必须要得以规范，才能使得个人信息不至于被人非法以某种手段获取。但是，反观我国现在的金融机构，对个人信息的保护规定主要针对某几个业务部门，比如电子银行、信用卡业务部门等，全部的业务部门并未涉及，更为重要的是个人信息一旦被采集，如何规范使用，如何进行规范保管等安全规范问题并未进行规制。由于信息查询程序缺少必要的硬性技术支撑，虽然《客户个人信息保护管理办法》中对银行内部查询客户信息规定了审批制度，但是查询权限外的客户信息对金融机构的工作人员来说是可以操作的事情。比如银行职员从中国人民银行的个人信息数据库中查取公民的个人信息，所以说银行审批制度即使存在也未能有效规范公民个人信息查询。

　　3.2．内部督查制度不健全

　　除了外部监督制度，内部的监督制度也是有效规范客户个人信息泄露的有效措施和手段。但是在迄今为止，我国并未设置专门的监管银行客户个人信息工作的专门部门，各业务部门各自为政，各自管理客户的个人信息，导致内部各部门之间缺乏有效的监督和制约。中国人民银行就此问题曾经试图做过努力以弥补内部监督制度的不健全，但是他们印发的《关于银行业金融机构做好银行客户个人信息保护工作的通知》由于缺乏法律上的支撑，所以在加强客户信息保护工作的督查力度方面，未能达到预期的效果。况且，我国的银行自律组织与西方发达国家比起来，起步晚，覆盖面积窄，“自律组织协会的人员角色定位不准等问题，使得协会的自律监管作用未能全力发挥。”[孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社，2009.]最后，银行系统技术这块还有待提升，技术的不足导致客户信息被查阅、使用的状况不能全面掌握，当客户信息受到非法侵害时，不能及时查出问题，弥补错误。

　　3.3．保密信息的内容和方式规定不全面

　　商业银行对客户私人信息的重要性也是非常重视，在银行内部制度当中多多少少都做了不少规定，但是这些规定却很少对员工形成有效的制约，因为这些规则多出现于员工守则当中，没有引起员工的足够重视。早在2009年3月份，《华夏时报》就曾经报道广东佛山某支行印有客户资料的抵押合同和房产证复印件完整的出现在本市的一个废品收购站内。2011年2月，武汉某支行印有200多位客户家庭住址、收入等重要隐私信息的资料出现在其旁边的垃圾堆。为什么客户个人信息被泄露的报道层出不穷，首先，银行规定的保密信息范围不具体，致使有部分客户的信息不能得到及时有效的保护。举个很常见的例子，比如客户已经向银行提交签订合作意向的相关资料，但是由于某些原因最后未能签订意向合同，那这些未签订意向合同的客户信息应该怎么处理？多数银行并未对此作出明确规定。还有超出保存期限的客户信息应该如何妥善处理，多数银行并未作出明确规定，最后未科学规范处理导致客户信息泄露的风险增加。其次，在对客户信息的管理上，银行也存在不科学不合理的地方，对重要的信息一般保护，那客户信息被侵害被泄露的风险就增加很多。

　　3.4.责任追究制度不完善

　　客户信息被非法侵害遭受的损失产生的后果有时不可估量，因此，银行大都强调对客户信息的保护。《商业银行法》中73条的内容要求，当银行人员进行不合法操作对客户及其相关联系人造成不当的财产损失时，银行应承担相应的法律责任，银监会这一部门监督银行的相关行为并在金融机构违法时没收银行违法所得，该处罚款的进行罚款。看似很建全的制度实则并不健全，那些未给客户造成损失的行为，银行内部的问责制度便不会落实，不会对相关的责任人进行追惩，相关责任落实不到具体的人员头上，员工的保密意识不强烈，因此对客户信息保护落到实处还有一定的难度。

　　3.5.客户申诉维权途径不畅通

　　由于国家对于被泄露信息的客户来说，没有进行明确的立法，使得一些银行结构在进行泄露客户个人信息的时候变得肆无忌惮，而且国家的相关法律多倾向于公共机构对于信息的获取。虽然国内存在银行的监督管理机构，但是只是监督而不对问题进行处理的话，就会使得问题越堆积越多，没有相关的事件处理机构会使得客户的问题不能得到很好的申述，特别是一些问题不能够得到解决，只是设立监督和不处理的行为也不利于维护国家的威严。

　　而且，若银行客户发现自身的个人信息得到泄露的时候，一般就是走的上法庭的模式，这样的诉讼对于客户和银行都是不利的。因为客户通过法庭的模式来进行维权，相对来说金额耗费比较多，而且还存在着证据收集困难的情况发生，不能及时有效地维护自身的权利。就像上述案例中所提到的李女士一样，虽然通过银行的内部系统可以查询到银行对其的信息进行了查询，但是不可否认的是，不能证明银行把她的个人信息泄露到了外部的机构。所以证明其联系是十分困难的，在这种情况下，李女士除非找到直接的认证，否则其请求赔偿的诉讼很难得到法律的认可。站在银行的角度来说，一旦被告上法庭，若新闻媒体再加以大肆报告的话，无疑对于银行的社会形象会造成不良的影响，从而影响银行的业务。当然，若银行可以站在积极的角度采取例如调解等方式进行的话，既有利于纷争的解决，还可以维护自身公众的形象。

　　1.1加快个人信心保护法的制定

　　放眼全球，银行客户个人信息权保护主要有两种，一种是专门保护方式，另外一种是一般保护方式。

　　专门保护的方式是以X为代表的国家所提出的，专门保护强调的就是“各行业因为有着其不同的特点，所以要采取行业区分的方式来进行保护，根据不同行业的特点，制定相应的保护措施。”[张成虎.X银行业个人财务隐私保密制度及其对我国的启示[J].金融论坛,2003,（10）.]由于美利坚共和国一直比较注重银行客户的金融隐私安全，所以有着比较完善的立法和出发制度。对于一些VIP的客户信息采取了专门的保护，对于此领域还进行了专项的立法。这些举措都是有利于保护个人隐私进行全方面的信息交流的。

　　与X不同，欧盟采取的就是一般保护模式，这种模式强调的就是“对于各行各业都一视同仁，都采用较高标准来进行保护。”[张成虎.X银行业个人财务隐私保密制度及其对我国的启示[J].金融论坛,2003,（10）.]欧盟采用的较为统一的数据保护的立法，金融信息私密性等同于个人信息的私密性。于此相对的是，“X采取的是多样化的保护措施，而欧盟采取的是单一化的保护措施。”[岳彩申.X银行对客户信息保密制度研究[J].现代法学,2000（6)．

　　]所以业界分别把这两种模式叫做“自由流通论”和“权利保护论”，也形成了两种不同的个人信息保护的模式。

　　笔者认为，在对客户的个人信息加以保护的时候，要进行相关专项立法，而且相关的专项立法应该涉及到客户个人和社会的利益。银行客户的权利保护不应该只有金融的隐私权，还有从各个方面对于客户的信息加以保护，不要随意泄露客户的个人信息给外部的机构。若银行因为自身业务原因，必须要把客户的信息进行对外公布的时候，应该制定相关的银行客户信息公开的历程和法律制约的范围，信息传播的范围，规定使用实际用途等，不可在规定的用途之外再次进行使用客户个人信息，防止信息公开后造成不必要的后果。从细小的方面讲，银行保密应该从各个环节入手，例如在进行客户信息收集和处理相关信息的时候，相关的信息处理人员应该有保密的义务。若未经过客户本人的允许而进行相关信息的查询，也是违反客户个人隐私的，对于进行该事项的人员也要处以一定的惩罚。一旦犯罪的成本增加，就会减少犯罪行为的发生，也会逐步减少银行泄露客户个人信息的情况。同时银监会也会对银行进行处罚，警告其对于人员管理不到位，信息保护不到位的情况。这里可以借鉴美利坚的有关经验，对于客户也应该给予更多的权限，用于个人信息的查询和修改甚至赔偿，合法保护自身的权利不受到外来的侵害。其对于个人信息的保护是十分全面的，对于个人信息不能随意查询和复制传播，对于不符合自身实际情况的有关信息还可以进行更改，严厉控制信息的买卖行为和泄露行为。

　　1.2加大对商业银行泄露客户个人信息的惩戒力度

　　尽管我国法律对商业银行泄露客户个人信息规定了相应的民事、行政和刑事责任，然而在实践中，囿于维护银行形象，每次出现违法违规问题，银行总是想尽一切办法摆平事端，生怕影响银行形象。这样做无异于投鼠忌器，不仅不能达到预期的效果，还会助长违法犯罪份子的嚣张气焰。对于银行内鬼泄密事件，表面看是单个人的个人行为，但实质还是内部管理出现了问题。因此，要提高犯罪份子的违法成本，加大对这类违法事件的曝光度和惩戒力度，在处罚手段、处罚期限和处罚程度上都要有所提升。在笔者看来，既然银行不怕罚款，那么通过限制营业、局部退出或者实行高官终身禁业等方式未尝不是一项有效的措施。

　　为尽快建立金融信息保护制度，应当摒弃“先立法、后立规”的错误指导思想，毕竟立法的严谨性决定了立法的程序冗长和立法的论证复杂。为解眼下之急，可以考虑尽快出台部门规章或者其他规范性文件，发现问题整改问题，尽快做好修补性工作。从长远看，在前期摸索经验的前提下，制定科学、合理、系统的专门法律势在必行，当然也包括相关行政法规。笔者建议，立法可以采取自下而上的方式进行，将一些部门的规范性文件或者地方的规范性文件，取其精华、去其糟粕，提炼出适合当前行业发展的公因式，并将其上升一个法律效力等级，形成部门规章或者地方性法规。这样逐次递进，不断累积，必能形成完整的法律体系。

　　内控机制作为一项重要的措施在保护银行客户的个人信息方面不可或缺。每个银行的工作流程，客户个人信息等都具有特殊性和个性化，而银行客户的信息保护又要求规范合乎法律法规乎，所以不同的银行如何制定出符合本机构现状的客户信息保护机制就显得十分重要。提高内部人员的专业素养，增加工作人员的服务意识和保密意识，培训员工合法合规的操作处理客户个人信息，细化使用客户信息的审批流程，利用防火墙等安全设置总行提高和境外分行之间的安全，有效预防相关不安全因素，并且制定应急机制，一旦发生客户信息泄露问题及时检查处理，规避或者减小风险的发生。

　　3.1完善客户信息授权使用制度

　　厘清客户的信息使用权限范围，是银行部门规范操作客户信息使用的重要一环。使用客户信息必须经过客户同意和授权，但为了更好的开展银行业务，为客户提供更优质的金融服务，对客户信息的授权使用也应当区分等级。对需要使用客户的一般性信息时，可以对客户尽一般的提示义务，也即告知即可。但需要使用客户的涉及私密信息时，银行需要进特别提示义务，并需要客户的特别授权。除非银行基于法律的特别规定向法院、监管机构及征信服务机构等机构提供客户信息不需要经过客户同意之外，银行必须在使用这些信息时事先取得客户的同意。

　　滥用客户信息可能会产生法律和声誉风险，为了避免此种情况的发生，建立严格的“客户信息超目的使用审查机制”是必不可少的，由专门负责客户信息保护的部门审核超出客户信息收集目的使用情况，在未经过相关专业机构审核前不得私自使用。在审核的内容上，应当包括以下几个方面：一是“权限审查”，结合客户签署的相关授权条款，来判断银行是否确有权进行该等使用。二是“合法合规性审查”，用相关的法律法规来审查客户的信息使用是否符合相应的条件。三是“利益冲突审查”，当集团内部的不同职能部门之间需要共享客户信息时，应当审查此种共享信息是否存在利益冲突的情况。

　　3.2加强安全操作管控措施

　　科学规范的使用操作客户的相关信息，一般情况下是不会造成客户信息泄露问题。所以要做到客户信息不被泄露，加强安全操作规范，也显得尤为重要。首先，在客户信息易泄露链条上进行充分的排查，加强客户信息使用权限，明确细化各部门各工作人员的工作责任，以此用来有效防止客户信息的泄露或滥用。其次，银行员工在因工作需要而使用客户信息时，必须严格登记知悉人员数量，知悉客户的信息内容，严禁无关人员知悉客户信息。最后，一旦客户的信息被第三方需要，必须在合法合规的情况下与第三方签订客户信息保密协议，严格按照协议要求合法规范使用，客户信息，一旦私自滥用客户信息，必须承担相应的违约法律责任。此外，内部审计部门和内控合规部门也应当承担起自身的责任，加强对客户信息的保密的监督责任，及时检查银行对客户信息的制定的保护机制，对其安全性和有效性进行科学评估，一旦发现问题也应当及时提出整改意见和措施。

　　3.3畅通客户投诉渠道

　　个人信息越来越敏感，也越来越受到公民的重视。一旦客户信息使用操作不当，很容易引起客户的投诉，从而引发媒体的炒作，引起社会的关注。在客户投诉初期，及时而妥善的处理投诉是化解银行声誉风险和法律风险的最佳时机，一旦投诉转为诉讼则问题就会变得更加棘手。商业银行的领导者们应当提高对客户投诉信息的重视度。一旦面临客户投诉问题，银行的分支机构和涉及的有关部门，应当第一时间着手处理，及时查找问题出现的环节和原因，银行确实存在过错的，要按照关规定敢于承担相应的责任；如果是客户因为误解而产生的投诉，要耐心与客户解释，力争化解误会，将投诉风险化解在最初的萌芽状态。

　　个人信息安全意识必不可少，但是由于我国社会的大环境所致，现在社会还未形成个人信息保护的法制氛围，公民对个人信息的保护意识还比较薄弱。个人信息保护意识薄弱诱发了很多问题以及潜在的风险，所以每个公民都应该提高个人信息安全意识，不随意向别人透露自己的私人信息，尽量避免个人信息被别人泄露。商业银行也应该在这种社会氛围引导下，保护好客户的个人信息，这既是为了他们自身的发展所需，也是银行的社会责任和法律义务。国家层面更应该注重对个人信息保护的引导，通过不断的宣传教育，通过不断的立法宣传，将个人信息纳入法律保护层面。从而形成一个上到国家下到公民对个人信息保护的良好社会氛围。

　　随着社会主义社会的不断向前发展，经济发展也越来越走上健康有序的轨道，公民的个人信息愈发为人所重视，银行客户的个人信息也是如此。对客户信息的保护不仅直接关系到双方的切身利益，而且一旦保护不当会给客户带来很多风险，容易激化双方的矛盾，从而给银行的荣誉和效益造成不必要的损失。所以，保护客户的信息非常必要。然而，从我国目前现状来看，银行客户的信息保护还存在立法不完善，银行内部监督机制不健全等种种问题。我们必须要学会借鉴西方国家先进的经验，在顺应我国国情的情况下，不断完善各方面的机制，充分保护各方的利益。

　　在维护银行客户个人信息方面，法律法规的意义非常重要，必须不断完善我国相应的法律法规。我国已经在不断的完善立法来加强个人信息的保护，但是良好的社会运行环境，尤其是银行工作人员的配合与支持也很重要。当然，作为银行的客户，自身保护个人信息不被泄露的意识也要提高，学会运用法律的手段及时保护自身的合法权益不受侵犯。随着我国法律法规的不断完善，人民维权意识的提高，银行工作人员的保密工作越发做好，在不久的将来，银行的客户信息将越来越得到有效保护。

　　1.著作、论文类:

　　[1]齐爱民.大数据时代个人信息保护法比较研究[M].北京：法律出版社，2015．

　　[2]张才琴、齐爱民.大数据时代个入信息开发利用法律制度研究[M].北京:法律出版社，2015．

　　[3]马改然.个人信息犯罪研究[M].北京:法律出版化,2015．

　　[4]余劲松、吴志攀.国际经济法（第四版）[M].北京：北京大学出版社、高等教育出版社，2014．

　　[5]吴花弘.个人信息的刑法保护研究[M].上海：上海社会科学院出版社，2014．

　　[6]张民安.公开他人私人事务的隐私侵权[M].广州：中山大学出版社，2012.

　　[7]孙笑侠.法理学[M].北京：中国政法大学出版社，1996.

　　[8]李仁真.欧盟银行法研究[M].武汉：武汉大学出版社，2002.

　　[9]（美）阿丽塔·L·艾伦，理查德·C·托克音顿.X隐私法学说判例与立法[M].冯建妹、石宏、郝倩等译.北京：中国民主法制出版社，2004.

　　[10]张新宝.隐私权的法律保护[M].北京：群众出版社,2004.

　　[11]刘渊恺.金融机构客户信息保密法律制度研究[D].华东政法大学,2006.

　　[12]郎庆斌,孙毅,杨莉.个人信息保护概论[M].北京:人民出版社,2008.

　　[13]孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社，2009.

　　[14]强力.金融法[M].北京：法律出版社,2004.

　　2.期刊文章类:

　　[15]张成虎.X银行业个人财务隐私保密制度及其对我国的启示[J].金融论坛，2003,（10）.

　　[16]胡文涛．金强隐私权的法律保护[J].上海政法学院学报（法治论丛），2015(2)

　　[17]项定宜．论信息时代个人信息权的私法规制[J].哈尔滨商业大学学报（社会科学版）,2015(1)．

　　[18]张玉乾.“论非法获取公民个人信息罪”的司法认定一基于巧０件案例样本的分析[J].华东政法大学学报，2014(6)．

　　[19]颜苏.金融隐私权保护国际合作研究闭[J].理论界,2011(2).

　　[20]岳彩申.X银行对客户信息保密制度研究[J].现代法学,2000（6)．

　　3.电子文献类:

　　[21]中国人民银行.关于银行业金融机构做好银行客户个人信息保护工作的通知[EB/OL],http://www.sohu.com/a/218084288_679976