刘融

一、互联网时代下银行业金融机构金融消费发展的现状

（一）互联网时代下银行业金融已成为金融消费的重要组成部分

随着电子商务向纵深发展，互联网金融产品和服务因更加贴近金融需求而倍受消费者青睐。银行业金融机构不断对自身经营理念、服务方式及提供的金融产品进行改革，如工商银行的融e购，农业银行“手机WAP支付”与“电话钱包支付”，建设银行的“善融商务”网上交易平台等，都旨在推进互联网络与金融服务的一体化。

（二）互联网金融消费权益保护日益受到社会关注

随着互联网金融业务迅速发展与消费规模的不断增大，公众参与互联网金融的程度不断加深，以及金融消费者的自我保护意识不断增强，互联网金融在给金融消费者带来了极大的便利的同时，也对金融消费者保护提出挑战，互联网金融消费者纠纷不断增多，呈多样化、复杂化态势。特别是2013年以来，以互联网支付、P2P网络信贷、众筹融资等为代表的互联网金融业务快速增长，部分网贷公司资金违约、个人金融信息被泄露、余额宝账户被盗刷等侵害消费者权益事件，使互联网金融消费者保护问题日益凸显，并作为社会热点问题而倍受各界关注。

二、互联网时代下银行业金融机构消费者个人信息泄露成因

（1）窃取者通过互联网网络破坏、盗取银行业金融消费者个人信息。一般网络金融业务过程采用电子数据化的的运作方式，由银行账户管理系统、电子货币系统、信用卡系统和网上服务系统等组成的数字网络处理业务。信息窃取者或黑客通过互联网络破坏信息，窃取信息，使得金融消费者个人信息被泄露或名誉被侵权。如：近期，中信银行大连分行戴某利用内部管理、网络熊、监控设置上的漏洞，安装和使用征信数据批量下载工具倒卖个人征信信息。

（2）金融机构通过信息共享等方式加大信息泄露的风险。部分金融机构为提高其在市场中的竞争力，会将金融消费者的金融信息用于金融服务和金融产品交易之外的用途，或与其他金融机构、商业机构形成信息共享机制，加大了金融消费者个人信息泄露的风险。

（3）网络支付泄露金融消费者个人信息。随着互联网的发展，在网络支付中，由于交易双方不进行现场交易，无法通过系统面对面的方式确认双方的合法身份，各类交易信息包括用户个人信息、账户信息、资金信息等需要互联网传输，因而存在可能被非法盗取、篡改的风险。

三、互联网时代下银行业金融机构消费者个人信息保护的困境

（1）法律支撑缺失，责任追究困难。目前，我国尚未出台专门的个人金融信息保护法，涉及個人金融信息保护的现行法律规定或者过于原则，操作性不强，或者法律层级低，效力不足，并且散落在诸多法律条文中，不成体系，存在着相互冲突、交叉，也存在着盲区。在权益保护层面，信息主体权益保护的法律规范主要在《宪法》、《民法通则》、《刑法修正案》、《商业银行法》、《反洗钱法》、《征信业管理条例》等有关法律法规中做间接原则规定或针对特定领域的个人信息保护；在行政法层面，对于侵犯个人金融信息但尚未构成5犯罪的行为，银行业监管法规没有规定直接适用的罚则，监管部门也缺乏对银行违规泄漏客户个人金融信息进行行政处罚的直接依据。

（2）人民银行、银监局等监管部门监管领域狭窄，银行业金融机构监督考核乏力。一方面监管部门对个人金融信息保护的监管还处于起步阶段，现有的监管制度较为零散且操作性不强，仅对储蓄存款、电子银行、信用卡等业务领域的客户个人金融信息保护做出了个别规定，原则性规定较多，而操作性条款却少之又少。另一方面虽然大多数银行业在客户个人金融信息保护方面做了一些内部的规定，但大多监督考核都流于形式，且对于员工的客户个人信息保护宣传教育工作不到位。

（3）网络技术防范滞后，系统功能不足。部分银行网络技术防范滞后，容易受到钓鱼网站、木马病毒等攻击，加之内部员工非法窃取数据、外部黑客攻击数据等技术防范手段欠缺，导致操作人员可通过光驱、USB等数据输出设备，随意复制、保存客户信息。

信息系统的查询输出功能设置技术防护手段，加之密码设置过于简单，使得多名用户均可以登陆查询。

（4）金融消费者认知程度偏低，防范意识淡薄。互联网金融产品较新，由于受金融消费者客户的自身素质不高、金融机构的宣传缺失、风险防范意识淡薄等因素，如：登录互联网交易的密码过于简单、黑客盗取个人信息实行诈骗等。

四、互联网时代下银行业金融机构消费者个人信息保护的合理化建议

（1）加快立法进程，强化督查力度。建议国务院法制办与人总行借鉴欧盟、美国、日本等先进国家的经验，尽快出台《中华人民共和国个人金融信息保护法》，从法律层面上确立人民银行履行个人客户信息保护工作的监管职责，并为银行开展客户个人金融信息保护工作提供操作标准和执行依据；尽快完善《银行卡业务管理办法》、《储蓄管理条例》、《个人存款账户实名制规定》等个人金融信息保护相关法律、法规，使其适应个人金融信息保护工作中不断出现的新情况和新问题。

（2）完善内控机制，创新管理手段。一是完善内控机制。基银行业机构要主动整合内部资源，建立上下级机构联动、同级部门协调配合的管理体制和工作机制，并明确各级机构、部门在客户个人金融信息保护方面的职责；进一步完善涉及客户个人金融信息收集、加工、保存、存储、下载、传输、使用、对外提供、投诉处理、应急处置等方面的内控制度；加强涉及客户个人金融信息业务系统的权限控制，确保个人金融信息操作岗位权限与职责相匹配。二是加强教育、宣传和管理。应采取多种形式加强员工特别是新录用和从事个人金融业务的员工保密教育和职业道德教育，引导金融消费者增强维权意识，并发挥其社会监督作用；加强对保密要害部门、要害岗位、涉密工作人员以及业务外包单位与合作单位工作人员的管理。

（3）创新科技管理手段。应对信息系统技术风险进行评估，综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术，有效防范外部攻击；可以借鉴公安、安全、保密等部门案件防控、信息保护先进技术和成功经验。

（4）引导金融消费者增强维权意识。组织开展金融消费者基本知识和消费者权益保护宣传教育，强化金融消费者维护自身权利和义务，进一步增强消费者个人信息主体维权意识，不断提高自我保护意识和能力。