在互联网和大数据时代，个人信息保护的重要性日益凸现。我国近期新出台的法律法规明显加强了对个人信息保护的重视。但相关要求与部分国家、地区相比尚有差距。我国银行业在积极走出去的同时，还需关注不同地区的法律法规，建立国际化的信息保护机制。

一、重视个人信息的保护

2017年3月15日审议通过的《民法总则》就民法基本原则、民事主体、民事权利、民事法律行为等基本民事法律制度作出了规定。相较1986年制定的《民法通则》《民法总则》新增了保护个人信息的要求：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，應当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”2017年5月，最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将“公民个人信息”定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。商业银行掌握大量的个人信息，需持续重视、改进个人信息保护，不断优化制度措施。

二、香港个人信息保护措施

在香港地区，银行及其他金融机构须遵守《个人资料（私隐）条例》（Personal Data Privacy Ordinance）的规定，妥善处理客户的姓名、联系方式、身份证件信息、职业情况、财务状况、信贷记录等敏感信息。条例的核心内容主要有6个方面，包括：收集个人信息的目的及方式（Purpose and manner of collection of personal data）、个人信息的准确性及保留期间（Accuracy and duration of retention of personal data）、个人信息的使用（Use of personal data）、个人信息的保安（Security of personal data）、信息需在一般情况下可提供（Information to be generally available）和查阅个人信息（Access to personal data）。

个人资料私隐专员公署发布的《银行业界妥善处理客户个人资料指引》进一步细化了要求：

1.收集信息的目的与方式应当合法。收集的内容应与收集者的经营职能活动相关，信息应足够且未超过必要的限度。银行收集客户个人信息时，应向客户提供《收集个人资料声明》。《声明》需列明收集信息的目的、收集的信息可能会被转交给什么类型的第三人、客户可自愿选择是否提供信息。银行还需告知客户，其享有查阅并更正个人信息的权利。甚至对《声明》的字体、行间距、表述是否清晰、用语是否易于理解都有提示。

2.银行应采取切实的步骤，确保信息的准确，并对信息的留存不超过约定的合理时间。如果因为经营需要，银行把收集的个人信息转交科技公司、废纸处理公司等第三方处理，还应确保第三方对信息进行适当的处理。

3.事前未经当事人同意，银行不能将收集的信息用于原声明之外的任何用途。如果因为未经同意的信息披露，对当事人造成心理伤害，将构成犯罪。

4.作为个人信息收集方，银行需确保持有的个人信息不受未获准许的查阅、处理、删除、丢失或使用。

5.银行需确保相关政策的透明度，向公众提供的《私隐政策声明》应详细列出持有的个人信息的种类、目的、内部的处理政策。

6.信息当事人可查阅银行掌握的信息，并要求银行更新关于其本人的信息。收到当事人的要求后，银行应在40日内提供掌握的信息副本。

7.对于只办理货币兑换等业务，不在银行开户的非账户持有人，只有在业务金额超出特定的上限后，银行才可以收集其身份证件号码。

8.如银行属于集团公司，需告知客户可能会被集团共享的信息类型。

三、个人信息跨境转移

对于将个人信息转出香港，《个人资料（私隐）条例》有更严苛的要求。其中第33条：“除特例外，禁止资料使用者将个人资料转移至香港以外的地方（Prohibition against transfer of personal data to place outside Hong Kong except in specified circumstances）”已经通过，但尚未施行。一旦施行，个人信息只在以下5种情况下才能转出香港：

1.转移至特定司法区——由个人资料私隐专员发布的白名单确定；

2.经综合评估，该地方有现行有效的、与《个人资料（私隐）条例》效果相似的法律；

3.明确告知当事人信息将被转移至何处后，得到其书面同意；

4.为保护当事人利益而转移信息，以避免或减轻对其的不利行动；

5.在法律程序要求、为统计研究或危急处境等特定情况下的转移。

四、国际化的信息保护机制

随着我国银行业国际化的推进，银行海外机构持有的个人信息量持续增长。境内、外机构间协同联动的深入，个人信息的跨区域流转日益频繁。面对不同司法管辖区的具体要求，我国银行集团层面亟需建立更细致的内部管理制度和更高的程序标准，进一步重视、加强个人信息的保护，严防法律合规风险。

作者简介：

倪波航（1985—），男，籍贯：浙江杭州人，学历：硕士研究生，毕业于浙江大学；现有职称：中级经济师；研究方向：商业银行经营与管理。