商业银行个人金融信息保护机制的构建 第3页(三)客户信息纠纷案件逐年上升
近年来随着个人信息保护意识、文权意识逐年上升,银行受理的客户信息投诉量呈逐年上升态势。王女士反映,自从她办了某银行信用卡之后,某人寿保险公司的电话销售专员就三番五次地给她打电话,向她推销该公司的人寿保险。销售人员告诉她,如果她愿意办,可以直接从信用卡里扣缴保费。他们怎么知道她的号码?为什么如此肯定她是购买此类保险的合格客户?王女士为此很恼火,遂投诉了那家银行。
(四)立法体系和个人金融信息权属不明确 我国立法对于银行个人金融信息缺乏有效的保护和明确的规定,有关银行对个人客户信息保护的规定比较零散而且笼统,更多的规定集中于银行对个人金融信息的披露方面,并且授予许多政府部门获取个人金融信息的权利。而且现有法律规定层次不一,效力错综复杂,无论是给银行遵守相应的保密义务还是给法院处理有关纠纷都造成了很大的困难。我国现行法律对银行个人金融信息的保护内容过于简单,仅仅规定了银行负有保密义务,而这种保密义务也是非常笼统的,缺乏对个人金融信息权属的确定,个人客户在其信息利益遭受侵犯时无法获得法律上的救助。
三、我国商业银行个人金融信息保护机制构建的对策
(一)完善规章制度,形成有效的个人金融信息保护机制
在构建自身个人金融信息保护机制的过程中各家商业银行面临的境况迥异,采取的 措施可能千差万别,但应遵循以下普遍性原则,以为流程设计及业务开展的依据。
1.合法合理原则
合法合理原则是指在收集、使用个人金融信息时应遵循相关法律规定,符合业务特点要求,合理利用信息资源。
具体要求是:其一,在收集客户信息时应根据业务办理的需要来进行的,不得收集与业务办理无关的信息或采取不正当方式收集信息。其二,收集到的客户信息一般仅用于产生该信息的金融业务,与该业务范围对口一致。在利用现有客户信息进行产品营销时,最好在进行客户文护的同时进行,若客户对此反感,应即刻停止相关行为。其三,在对个人金融信息进行使用时应将信息用于产生该信息的相关业务,在未征得信息所有人同意的情况下,不得向其他第三方提供。合法合理原则是对个人金融信息使用的限制性要求,体现了对个人金融信息保护时应掌握的度,是个人金融信息保护机制的出发点和核心。
2.分级管理原则
分级管理原则是指在进行个人金融信息保护管理工作时,根据个人金融信息的内容、性质将个人金融信息划分为不同的业务种类和安全等级,并采取相应的保护措施。具体包含两个层面的内容:一是个人金融信息也是商业银行的商业秘密,可以参照《中央企业商业秘密保护暂行规定》等法律规定将个人金融信息划分为不同的商秘等级,规定不同商秘等级的查看范围和程序,从而降低泄密的风险和危害。二是个人金融信息应根据其产生地点将其限定在机构及其隶属上级部门范围内的查看、使用,平行机构无权查看或使用。当然,这一层面的限定应是相对的,对于如不良信用信息等应是共享的。分级管理原则对于提高保护效力、划分责任主体、节约保护成本等具有积极的意义,这也是现代信息安全常遵守的原则之一。
3.权限制衡原则
权限制衡原则是指在个人金融信息的保护过程中(尤其是对个人金融信息的查询和使用),对相关人员的权限进行限定,并使之相互牵制,以达到监督制衡的目的。权限制衡原则应体现在事前、事中、事后三个环节:事前环节体现为个人金融信息使用部门与管理部门的分离,即使用部门欲查询、使用个人金融信息,应根据信息的安全等级报使用部门与管理部门的共同上级审批同意后,管理部门才能进行相应的操作。事中环节则要求信息保管部门在提供个人金融信息或使用部门在使用信息的过程中应实行双签制度,即设置双人以上签名以监督个人金融信息的合理使用。事后环节则是要求商业银行设置相应的监督管理部门对业务部门收集、保管、使用个人金融信息的情况进行监督,以确保个人金融信息保护制度的贯彻落实。
4.流程可溯原则
流程可溯原则是指个人金融信息的收集、保管、使用应具有明确的节点记录,即能清晰反映个人金融信息的流向,并具有可查性。主要有以下两个方面的要求:其一,对于电子系统,系统应具有清晰记录每一操作行为的功能,并能清晰表明行为主体及活动的主要内容。其二,对于非电子系统,商业银行应建立健全规范的书面交接手续,以明确个人金融信息的使用情况及最终流向,从而清晰表明泄露信息的环节。流程可溯原则明确了责任主体,对责任的承担与追究具有积极的作用,也是防范信息外泄的重要手段之一。
上一页 [1] [2] [3] [4] [5] [6] 下一页
商业银行个人金融信息保护机制的构建 第3页下载如图片无法显示或论文不完整,请联系qq752018766