2015年7月1日實施的《國家安全法》明確提出“提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控” 。2017年6月1日即將實施的《中華人民共和國網絡安全法》（簡稱“《網絡安全法》”）第31條提出“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。這些規定對金融機構進行個人信息保護提出了新的挑戰。

　　銀行業金融機構涉及的個人信息種類較為豐富，包括：個人身份信息、個人財產信息、個人賬戶信息、個人信用信息、個人交易信息等?？蛻裘恳淮问褂眯庞每?、進行ATM取款、購買金融產品等都會在銀行留下記錄，而這些信息是獲知客戶消費偏好、財產情況的重要依據。若個人信息被銀行泄露或不當使用，在給信息主體帶來財產損失的同時，銀行可能會遭到行政處罰。如此背景下，銀行業金融機構該如何做到恰當保護的同時進行有效利用呢？

　　銀行收集客戶個人信息需明示并取得客戶同意

　　2016年10月10日，中國人民銀行營業管理部對某全國性股份制商業銀行作出行政處罰決定，該銀行因違反《征信業管理條例》相關規定（違規采集個人信息）而被罰款人民幣40萬元整?！般y行收集客戶個人信息需明示并取得客戶同意”的原則在本次頒布的《網絡安全法》第22條第3款中也有所體現：網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。

　　上述銀行收集客戶個人信息時的明示與同意要求與中國人民銀行對個人信息保護的監管思路整體是一脈相承的。早在2005年10月起實施的《個人信用信息基礎數據庫管理暫行辦法》就已經提出：銀行除對已發放的個人信貸進行貸后風險管理，查詢個人信用報告時應當取得被查詢人的書面授權。

　　書面授權可以通過在銀行服務申請書中增加相應條款的模式進行，增加“征信查詢授權”、“信息披露條款”等。比如在征信查詢授權方面可以描述如下：因本人向銀行申請某業務，基于業務的需要，本人授權銀行向中國人民銀行信用信息基礎數據庫和經中國人民銀行批準設立的征信機構采集、查詢、使用、報送本人的征信信息，并對銀行授權如下……（說明授權期限、用途、查詢范圍等）。

　　在法律服務的過程中，我們發現有的銀行在前期開展服務時并未與客戶約定相關的信息披露條款，后期希望委托第三方提供清收核查等外包服務時補簽信息披露條款，這種做法在實踐中存在難度。

　　個人信息應當依照法律、法規以及與用戶的約定進行有效使用

　　美國與歐盟曾就個人信息跨國流通問題簽訂《安全港協議》，該協議要求：收集個人數據的企業必須通知個人其數據被收集，并告知他們將對數據進行的處理，企業必須得到允許才能將信息傳遞給第三方，必須允許個人訪問被收集的數據，并保證數據的真實性和安全性以及采取措施保證這些條款得以遵從。但2015年10月，歐盟法院認為上述協議無法充分保證個人信息安全，必須予以撤銷。

　　《網絡安全法》第42條第1款提出：未經被收集者同意，不得向他人提供個人信息，經過處理無法識別特定個人且不能復原的除外。銀行在進行個人信息保護時需注意， “被收集者”涉及的對象可能是直接客戶，也可能是間接客戶。這里的間接客戶是指未直接從銀行獲取服務，但在銀行為直接客戶服務過程中充當擔保人等角色，向銀行提供了個人信息的主體。由于間接客戶同樣屬于《網絡安全法》第42條中提及的“被收集者”，所以銀行在業務過程中也應關注間接客戶的相關授權問題。

　　銀行集團客戶信息的共享

　　隨著傳統商業模式的轉型，客戶需求的把握變得尤為重要，個人信息對于銀行集團的價值不言而喻。銀行應當如何在合法合規的情況下協助集團有效使用個人信息呢？1）銀行可在信息披露部分明確個人信息相關定義，比如：“客戶”可指基于有關協議，與銀行有業務往來的人員、“個人資料”可指銀行從非公開渠道不時取得的與客戶有關的信息和資料以及任何擔保人（若有）和／或其他相關人員和實體有關的信息和資料，形式上包括但不限于各類書面文件、電子數據、視聽資料及電話錄音等、“集團成員”可指集團控股公司及其直接或間接投資的公司、企業或其他組織等等。2）為了避免銀行使用客戶個人信息時發生不必要的爭議，銀行與客戶需進一步明確約定授權查詢、使用和對外提供信息的原因、范圍、用途等。如果只是簡單的約定：“銀行可以為了更好得服務客戶，而將個人信息披露或與集團成員交換”是不可取的。3）需謹防將客戶的上述概括性授權作為建立業務關系的先決條件。上述建議可供參考，銀行集團需根據自身情況與具體業務情況選擇合適的約定方式?！　?/P>

　　本次的《網絡安全法》對集團使用個人信息提供了另一種渠道，根據該法第42條，如果個人信息經過處理無法識別特定個人且不能復原，那么即使未經過被收集人同意，銀行也可將經過處理的個人信息提供給集團使用。但對于何種信息屬于“不能識別特定個人”，又如何認定“不能復原”還有待相關監管機構進一步明確。

　　銀行對個人信息的境內儲存與跨境傳輸

　　《網絡安全法》第37條規定，關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲在運營中收集和產生的公民個人信息等重要數據；因業務需要，確需在境外存儲或者向境外的組織或者個人提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。早在2011年，《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》就曾規定：在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息。

　　在《網絡安全法》頒布之前，我們曾經遇到某外資汽車金融公司咨詢：汽車金融公司作為非銀行業金融機構，可否可以將在中國境內收集的個人信息傳輸并儲存至境外？我們認為，汽車金融機構雖不是央行上述文件的規范對象，但作為持牌金融機構，一旦客戶個人信息發生泄漏，同樣將導致嚴重后果，所以我們建議在進行個人信息跨境傳輸前仍應咨詢央行與監管機構的意見。在《網絡安全法》實施之后，上述問題將迎刃而解。關于“因業務需要，確需在境外存儲或者向境外的組織或者個人提供”中 “業務需要”的內涵，我們傾向認為僅指企業為客戶提供服務而進行的內部處理程序，不涉及第三方機構。

　　銀行業金融機構落實客戶個人信息保護的工作任重道遠，我們將持續關注相關監管動態，為銀行合法合規收集、使用、儲存、傳輸客戶個人信息保駕護航。

責任編輯：韓希宇