香港地區(qū)銀行業(yè)個人客戶信息保護(hù)制度

在互聯(lián)網(wǎng)和大數(shù)據(jù)時代，個人信息保護(hù)的重要性日益凸現(xiàn)。我國近期新出臺的法律法規(guī)明顯加強(qiáng)了對個人信息保護(hù)的重視。但相關(guān)要求與部分國家、地區(qū)相比尚有差距。我國銀行業(yè)在積極走出去的同時，還需關(guān)注不同地區(qū)的法律法規(guī)，建立國際化的信息保護(hù)機(jī)制。

一、重視個人信息的保護(hù)

2017年3月15日審議通過的《民法總則》就民法基本原則、民事主體、民事權(quán)利、民事法律行為等基本民事法律制度作出了規(guī)定。相較1986年制定的《民法通則》《民法總則》新增了保護(hù)個人信息的要求：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！?017年5月，最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將“公民個人信息”定義為：以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。商業(yè)銀行掌握大量的個人信息，需持續(xù)重視、改進(jìn)個人信息保護(hù)，不斷優(yōu)化制度措施。

二、香港個人信息保護(hù)措施

在香港地區(qū)，銀行及其他金融機(jī)構(gòu)須遵守《個人資料（私隱）條例》（Personal Data Privacy Ordinance）的規(guī)定，妥善處理客戶的姓名、聯(lián)系方式、身份證件信息、職業(yè)情況、財務(wù)狀況、信貸記錄等敏感信息。條例的核心內(nèi)容主要有6個方面，包括：收集個人信息的目的及方式（Purpose and manner of collection of personal data）、個人信息的準(zhǔn)確性及保留期間（Accuracy and duration of retention of personal data）、個人信息的使用（Use of personal data）、個人信息的保安（Security of personal data）、信息需在一般情況下可提供（Information to be generally available）和查閱個人信息（Access to personal data）。

個人資料私隱專員公署發(fā)布的《銀行業(yè)界妥善處理客戶個人資料指引》進(jìn)一步細(xì)化了要求：

1.收集信息的目的與方式應(yīng)當(dāng)合法。收集的內(nèi)容應(yīng)與收集者的經(jīng)營職能活動相關(guān)，信息應(yīng)足夠且未超過必要的限度。銀行收集客戶個人信息時，應(yīng)向客戶提供《收集個人資料聲明》。《聲明》需列明收集信息的目的、收集的信息可能會被轉(zhuǎn)交給什么類型的第三人、客戶可自愿選擇是否提供信息。銀行還需告知客戶，其享有查閱并更正個人信息的權(quán)利。甚至對《聲明》的字體、行間距、表述是否清晰、用語是否易于理解都有提示。

2.銀行應(yīng)采取切實的步驟，確保信息的準(zhǔn)確，并對信息的留存不超過約定的合理時間。如果因為經(jīng)營需要，銀行把收集的個人信息轉(zhuǎn)交科技公司、廢紙?zhí)幚砉镜鹊谌教幚?，還應(yīng)確保第三方對信息進(jìn)行適當(dāng)?shù)奶幚怼?/p>

3.事前未經(jīng)當(dāng)事人同意，銀行不能將收集的信息用于原聲明之外的任何用途。如果因為未經(jīng)同意的信息披露，對當(dāng)事人造成心理傷害，將構(gòu)成犯罪。

4.作為個人信息收集方，銀行需確保持有的個人信息不受未獲準(zhǔn)許的查閱、處理、刪除、丟失或使用。

5.銀行需確保相關(guān)政策的透明度，向公眾提供的《私隱政策聲明》應(yīng)詳細(xì)列出持有的個人信息的種類、目的、內(nèi)部的處理政策。

6.信息當(dāng)事人可查閱銀行掌握的信息，并要求銀行更新關(guān)于其本人的信息。收到當(dāng)事人的要求后，銀行應(yīng)在40日內(nèi)提供掌握的信息副本。

7.對于只辦理貨幣兌換等業(yè)務(wù)，不在銀行開戶的非賬戶持有人，只有在業(yè)務(wù)金額超出特定的上限后，銀行才可以收集其身份證件號碼。

8.如銀行屬于集團(tuán)公司，需告知客戶可能會被集團(tuán)共享的信息類型。

三、個人信息跨境轉(zhuǎn)移

對于將個人信息轉(zhuǎn)出香港，《個人資料（私隱）條例》有更嚴(yán)苛的要求。其中第33條：“除特例外，禁止資料使用者將個人資料轉(zhuǎn)移至香港以外的地方（Prohibition against transfer of personal data to place outside Hong Kong except in specified circumstances）”已經(jīng)通過，但尚未施行。一旦施行，個人信息只在以下5種情況下才能轉(zhuǎn)出香港：

1.轉(zhuǎn)移至特定司法區(qū)——由個人資料私隱專員發(fā)布的白名單確定；

2.經(jīng)綜合評估，該地方有現(xiàn)行有效的、與《個人資料（私隱）條例》效果相似的法律；

3.明確告知當(dāng)事人信息將被轉(zhuǎn)移至何處后，得到其書面同意；

4.為保護(hù)當(dāng)事人利益而轉(zhuǎn)移信息，以避免或減輕對其的不利行動；

5.在法律程序要求、為統(tǒng)計研究或危急處境等特定情況下的轉(zhuǎn)移。

四、國際化的信息保護(hù)機(jī)制

隨著我國銀行業(yè)國際化的推進(jìn)，銀行海外機(jī)構(gòu)持有的個人信息量持續(xù)增長。境內(nèi)、外機(jī)構(gòu)間協(xié)同聯(lián)動的深入，個人信息的跨區(qū)域流轉(zhuǎn)日益頻繁。面對不同司法管轄區(qū)的具體要求，我國銀行集團(tuán)層面亟需建立更細(xì)致的內(nèi)部管理制度和更高的程序標(biāo)準(zhǔn)，進(jìn)一步重視、加強(qiáng)個人信息的保護(hù)，嚴(yán)防法律合規(guī)風(fēng)險。

作者簡介：

倪波航（1985—），男，籍貫：浙江杭州人，學(xué)歷：碩士研究生，畢業(yè)于浙江大學(xué)；現(xiàn)有職稱：中級經(jīng)濟(jì)師；研究方向：商業(yè)銀行經(jīng)營與管理。