在互聯(lián)網(wǎng)和大數(shù)據(jù)時(shí)代，個(gè)人信息保護(hù)的重要性日益凸現(xiàn)。我國(guó)近期新出臺(tái)的法律法規(guī)明顯加強(qiáng)了對(duì)個(gè)人信息保護(hù)的重視。但相關(guān)要求與部分國(guó)家、地區(qū)相比尚有差距。我國(guó)銀行業(yè)在積極走出去的同時(shí)，還需關(guān)注不同地區(qū)的法律法規(guī)，建立國(guó)際化的信息保護(hù)機(jī)制。

一、重視個(gè)人信息的保護(hù)

2017年3月15日審議通過(guò)的《民法總則》就民法基本原則、民事主體、民事權(quán)利、民事法律行為等基本民事法律制度作出了規(guī)定。相較1986年制定的《民法通則》《民法總則》新增了保護(hù)個(gè)人信息的要求：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息。”2017年5月，最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》將“公民個(gè)人信息”定義為：以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。商業(yè)銀行掌握大量的個(gè)人信息，需持續(xù)重視、改進(jìn)個(gè)人信息保護(hù)，不斷優(yōu)化制度措施。

二、香港個(gè)人信息保護(hù)措施

在香港地區(qū)，銀行及其他金融機(jī)構(gòu)須遵守《個(gè)人資料（私隱）條例》（Personal Data Privacy Ordinance）的規(guī)定，妥善處理客戶的姓名、聯(lián)系方式、身份證件信息、職業(yè)情況、財(cái)務(wù)狀況、信貸記錄等敏感信息。條例的核心內(nèi)容主要有6個(gè)方面，包括：收集個(gè)人信息的目的及方式（Purpose and manner of collection of personal data）、個(gè)人信息的準(zhǔn)確性及保留期間（Accuracy and duration of retention of personal data）、個(gè)人信息的使用（Use of personal data）、個(gè)人信息的保安（Security of personal data）、信息需在一般情況下可提供（Information to be generally available）和查閱個(gè)人信息（Access to personal data）。

個(gè)人資料私隱專員公署發(fā)布的《銀行業(yè)界妥善處理客戶個(gè)人資料指引》進(jìn)一步細(xì)化了要求：

1.收集信息的目的與方式應(yīng)當(dāng)合法。收集的內(nèi)容應(yīng)與收集者的經(jīng)營(yíng)職能活動(dòng)相關(guān)，信息應(yīng)足夠且未超過(guò)必要的限度。銀行收集客戶個(gè)人信息時(shí)，應(yīng)向客戶提供《收集個(gè)人資料聲明》?！堵暶鳌沸枇忻魇占畔⒌哪康摹⑹占男畔⒖赡軙?huì)被轉(zhuǎn)交給什么類型的第三人、客戶可自愿選擇是否提供信息。銀行還需告知客戶，其享有查閱并更正個(gè)人信息的權(quán)利。甚至對(duì)《聲明》的字體、行間距、表述是否清晰、用語(yǔ)是否易于理解都有提示。

2.銀行應(yīng)采取切實(shí)的步驟，確保信息的準(zhǔn)確，并對(duì)信息的留存不超過(guò)約定的合理時(shí)間。如果因?yàn)榻?jīng)營(yíng)需要，銀行把收集的個(gè)人信息轉(zhuǎn)交科技公司、廢紙?zhí)幚砉镜鹊谌教幚?，還應(yīng)確保第三方對(duì)信息進(jìn)行適當(dāng)?shù)奶幚怼?/p>

3.事前未經(jīng)當(dāng)事人同意，銀行不能將收集的信息用于原聲明之外的任何用途。如果因?yàn)槲唇?jīng)同意的信息披露，對(duì)當(dāng)事人造成心理傷害，將構(gòu)成犯罪。

4.作為個(gè)人信息收集方，銀行需確保持有的個(gè)人信息不受未獲準(zhǔn)許的查閱、處理、刪除、丟失或使用。

5.銀行需確保相關(guān)政策的透明度，向公眾提供的《私隱政策聲明》應(yīng)詳細(xì)列出持有的個(gè)人信息的種類、目的、內(nèi)部的處理政策。

6.信息當(dāng)事人可查閱銀行掌握的信息，并要求銀行更新關(guān)于其本人的信息。收到當(dāng)事人的要求后，銀行應(yīng)在40日內(nèi)提供掌握的信息副本。

7.對(duì)于只辦理貨幣兌換等業(yè)務(wù)，不在銀行開(kāi)戶的非賬戶持有人，只有在業(yè)務(wù)金額超出特定的上限后，銀行才可以收集其身份證件號(hào)碼。

8.如銀行屬于集團(tuán)公司，需告知客戶可能會(huì)被集團(tuán)共享的信息類型。

三、個(gè)人信息跨境轉(zhuǎn)移

對(duì)于將個(gè)人信息轉(zhuǎn)出香港，《個(gè)人資料（私隱）條例》有更嚴(yán)苛的要求。其中第33條：“除特例外，禁止資料使用者將個(gè)人資料轉(zhuǎn)移至香港以外的地方（Prohibition against transfer of personal data to place outside Hong Kong except in specified circumstances）”已經(jīng)通過(guò)，但尚未施行。一旦施行，個(gè)人信息只在以下5種情況下才能轉(zhuǎn)出香港：

1.轉(zhuǎn)移至特定司法區(qū)——由個(gè)人資料私隱專員發(fā)布的白名單確定；

2.經(jīng)綜合評(píng)估，該地方有現(xiàn)行有效的、與《個(gè)人資料（私隱）條例》效果相似的法律；

3.明確告知當(dāng)事人信息將被轉(zhuǎn)移至何處后，得到其書(shū)面同意；

4.為保護(hù)當(dāng)事人利益而轉(zhuǎn)移信息，以避免或減輕對(duì)其的不利行動(dòng)；

5.在法律程序要求、為統(tǒng)計(jì)研究或危急處境等特定情況下的轉(zhuǎn)移。

四、國(guó)際化的信息保護(hù)機(jī)制

隨著我國(guó)銀行業(yè)國(guó)際化的推進(jìn)，銀行海外機(jī)構(gòu)持有的個(gè)人信息量持續(xù)增長(zhǎng)。境內(nèi)、外機(jī)構(gòu)間協(xié)同聯(lián)動(dòng)的深入，個(gè)人信息的跨區(qū)域流轉(zhuǎn)日益頻繁。面對(duì)不同司法管轄區(qū)的具體要求，我國(guó)銀行集團(tuán)層面亟需建立更細(xì)致的內(nèi)部管理制度和更高的程序標(biāo)準(zhǔn)，進(jìn)一步重視、加強(qiáng)個(gè)人信息的保護(hù)，嚴(yán)防法律合規(guī)風(fēng)險(xiǎn)。

作者簡(jiǎn)介：

倪波航（1985—），男，籍貫：浙江杭州人，學(xué)歷：碩士研究生，畢業(yè)于浙江大學(xué)；現(xiàn)有職稱：中級(jí)經(jīng)濟(jì)師；研究方向：商業(yè)銀行經(jīng)營(yíng)與管理。