在金融業(yè)虛擬化和網(wǎng)絡(luò)化程度不斷提升的現(xiàn)代社會(huì)，信息安全與個(gè)人財(cái)產(chǎn)安全的關(guān)聯(lián)度日益提升。作為政府以外公民信息最主要的收集和使用者以及公民財(cái)產(chǎn)重要的貯藏和代管者，銀行有完全的責(zé)任和義務(wù)成為捍衛(wèi)公民信息安全的“排頭兵”。而近年來卻頻頻發(fā)生銀行個(gè)人金融信息泄漏事件，讓公眾震驚和憂慮，也說明銀行個(gè)人金融信息保護(hù)工作亟待加強(qiáng)。

一、個(gè)人金融信息的界定、泄漏方式及威脅

銀行個(gè)人金融信息，又稱銀行客戶敏感信息，由銀行的各種業(yè)務(wù)產(chǎn)生，通過銀行信息系統(tǒng)進(jìn)行輸入、輸出及處理，是銀行日常業(yè)務(wù)工作中積累的一項(xiàng)重要基礎(chǔ)數(shù)據(jù)，也是金融機(jī)構(gòu)客戶個(gè)人隱私的重要內(nèi)容。個(gè)人金融信息一般包含客戶、賬戶及交易類敏感信息，具體為：①個(gè)人身份信息，包括個(gè)人姓名、民族、身份證件種類和號(hào)碼等；②個(gè)人財(cái)產(chǎn)信息，包括個(gè)人收入狀況、擁有的不動(dòng)產(chǎn)狀況等；③個(gè)人賬戶信息，包括賬號(hào)、賬戶開立時(shí)間、開戶行、賬戶余額等；④個(gè)人信用信息，包括信用卡還款情況、貸款償還情況等；⑤個(gè)人金融交易信息，包括銀行業(yè)金融機(jī)構(gòu)在支付結(jié)算、理財(cái)、保險(xiǎn)箱等中間業(yè)務(wù)過程中獲取、保存、留存的個(gè)人信息和客戶在通過銀行業(yè)金融機(jī)構(gòu)與保險(xiǎn)公司、證券公司、基金公司、期貨公司等第三方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時(shí)產(chǎn)生的個(gè)人信息等；⑥衍生信息，包括個(gè)人消費(fèi)習(xí)慣、投資意愿等對(duì)原始信息進(jìn)行處理、分析所形成的反映特定個(gè)人某些情況的信息；⑦個(gè)人其他信息。

由于個(gè)人金融信息的生命周期管理涉及客戶、銀行、商戶、支付服務(wù)商乃至外部不法分子等諸多主體，涉及人、系統(tǒng)、流程等要素，還涉及收集、使用、傳輸、銷毀等環(huán)節(jié)，因此，對(duì)個(gè)人金融信息的保護(hù)尤為復(fù)雜。如何收集、使用、對(duì)外提供個(gè)人金融信息，既涉及銀行業(yè)務(wù)的正常開展，也涉及客戶信息、個(gè)人隱私的保護(hù)；如果出現(xiàn)與個(gè)人金融信息有關(guān)的不當(dāng)行為，不但會(huì)直接侵害客戶的合法權(quán)益，也會(huì)增加銀行的訴訟風(fēng)險(xiǎn)，加大運(yùn)營成本。總結(jié)起來，銀行個(gè)人金融信息泄漏主要有以下三種渠道。

（1）銀行泄漏。首先，銀行出于某種利益關(guān)系考慮可能主動(dòng)將個(gè)人金融信息透露給第三方。如2010年香港金管局對(duì)外披露，有6家銀行將超過60萬名客戶的資料泄漏給非關(guān)聯(lián)的第三方，內(nèi)地這種情況也很普遍，客戶很難區(qū)分接到的保險(xiǎn)銷售電話究竟來自銀行還是來自非關(guān)聯(lián)的保險(xiǎn)公司。其次，銀行內(nèi)部人員可能非法買賣個(gè)人金融信息。如上海司法機(jī)關(guān)日前查獲一起關(guān)于買賣銀行客戶信息案件，其中兩名嫌疑人已被檢察機(jī)關(guān)批捕，批捕罪名包括涉嫌竊取、收買、非法提供信用卡信息罪和涉嫌出售公民信息罪。最后，由于對(duì)為銀行服務(wù)的外包商管理不嚴(yán)，導(dǎo)致外包商非法越權(quán)接觸銀行個(gè)人金融信息并引發(fā)泄漏事件。

（2）商戶及支付服務(wù)機(jī)構(gòu)泄漏。當(dāng)前，很多現(xiàn)實(shí)交易及網(wǎng)上交易是通過商戶安裝的POS機(jī)具或支付服務(wù)機(jī)構(gòu)的支付平臺(tái)進(jìn)行的，在此過程中，銀行個(gè)人金融信息“落地”至商戶及支付服務(wù)平臺(tái)系統(tǒng)內(nèi)，使商戶及支付服務(wù)機(jī)構(gòu)接觸個(gè)人金融信息并引發(fā)泄漏。2010年，大慶警方破獲一起案件，某商場員工于2008～2010年利用維修收銀臺(tái)POS的便利條件，從POS的程序中竊取顧客的銀行卡信息，復(fù)制了120張銀行卡，并通過商場會(huì)員系統(tǒng)獲取會(huì)員身份信息和刷卡記錄，找出銀行卡和會(huì)員身份的對(duì)應(yīng)關(guān)系，并破譯了較為簡單的銀行卡密碼，由此盜用20多張銀行卡，盜取現(xiàn)金20多萬元。

（3）黑客及不法分子入侵導(dǎo)致泄漏。黑客可以通過腳本程序、無線網(wǎng)絡(luò)或植入惡意程序等途徑侵入金融機(jī)構(gòu)的電腦系統(tǒng)，竊取后臺(tái)數(shù)據(jù)庫違規(guī)留存的包括磁道信息在內(nèi)的賬戶信息。2011年6月，花旗銀行證實(shí)受到黑客襲擊，約有1%的信用卡用戶（36萬左右）受到影響，受影響客戶的姓名、賬號(hào)、聯(lián)系信息(包括電子郵件地址)均被黑客瀏覽。個(gè)人金融信息泄漏使得不法分子獲取了大量個(gè)人信息，并成為其他諸多犯罪的源頭。一是被泄漏的個(gè)人金融信息成為電信詐騙的最佳“原材料”。個(gè)人金融信息含有豐富的內(nèi)容，不法分子獲取后，利用其進(jìn)行電信詐騙是最為常見的危害。在電信詐騙案件偵破中，警方發(fā)現(xiàn)，受害者個(gè)人金融信息的泄漏是根本原因。二是被泄露的個(gè)人金融信息為冒名辦理信用卡套現(xiàn)、復(fù)制銀行卡盜取資金提供了極大便利。近年來發(fā)生的大量案件表明，犯罪分子在獲取足夠的個(gè)人金融信息后，可通過冒名辦理信用卡及貸款、復(fù)制銀行卡等手段，盜取客戶資金，并嚴(yán)重影響客戶信用。三是被泄漏的個(gè)人金融信息造成眾多垃圾信息，嚴(yán)重影響社會(huì)生活秩序。相關(guān)單位獲取個(gè)人金融信息后，向這些個(gè)人進(jìn)行宣傳或推銷，此類垃圾信息的頻發(fā)影響人們休息、侵害用戶健康、干擾人們正常生活，成為一種新型社會(huì)污染。

二、個(gè)人金融信息泄漏的主要原因

（1）銀行個(gè)人金融信息管理意識(shí)淡薄、制度不健全。

一是銀行當(dāng)前對(duì)個(gè)人金融信息保護(hù)的意識(shí)較為薄弱，普遍未認(rèn)識(shí)到個(gè)人金融信息是銀行的重要資產(chǎn)，是關(guān)乎銀行聲譽(yù)、客戶隱私保護(hù)的重要因素，未將個(gè)人金融信息泄漏作為一種重要風(fēng)險(xiǎn)來對(duì)待，未將個(gè)人金融信息保護(hù)納入銀行整體風(fēng)險(xiǎn)管理框架中。二是銀行個(gè)人金融信息保護(hù)機(jī)制不健全。未形成完善的個(gè)人金融信息保護(hù)管理制度，已有的相關(guān)制度主要分散于各類業(yè)務(wù)管理制度中，沒有形成體系，也無法覆蓋信息的采集、保管和銷毀等所有工作環(huán)節(jié)。

（2）銀行個(gè)人金融信息管理內(nèi)控機(jī)制不健全、信息系統(tǒng)建設(shè)管理不完善。

當(dāng)前，銀行普遍未形成個(gè)人金融信息保護(hù)的有效組織和完善的信息系統(tǒng)，各業(yè)務(wù)部門在個(gè)人金融信息保護(hù)方面各自為政，信息系統(tǒng)中的信息互為孤島，缺乏統(tǒng)一管理。內(nèi)控方面，一是沒有形成專業(yè)化的個(gè)人信息管理組織，缺乏專職的個(gè)人信息保護(hù)人員，個(gè)人信息保護(hù)的職能難于充分發(fā)揮。二是內(nèi)部監(jiān)督檢查力度較弱，沒有對(duì)個(gè)人信息保護(hù)的專項(xiàng)檢查制度，將該類檢查納入常規(guī)性檢查定期進(jìn)行的機(jī)構(gòu)比例較低。三是信息查詢審計(jì)跟蹤能力不足，銀行缺乏信息調(diào)閱查詢等行為以及信息交接過程的記錄，難于跟蹤個(gè)人信息使用的過程。四是外包管理中，對(duì)外包人員行為的控制有所欠缺，對(duì)外包商的保密管理情況審計(jì)不足。信息系統(tǒng)方面，銀行存儲(chǔ)個(gè)人金融信息的系統(tǒng)建設(shè)管理也不完善，未對(duì)信息進(jìn)行統(tǒng)一整合。當(dāng)前多數(shù)銀行的個(gè)人金融信息分散在存款、支付結(jié)算、銀行卡、電子銀行等業(yè)務(wù)中，業(yè)務(wù)又分屬不同部門運(yùn)營，且分別由不同的信息系統(tǒng)支持，形成了許多信息孤島，使得信息保護(hù)更加困難。一是對(duì)系統(tǒng)查詢信息的權(quán)限控制不足，工作人員查詢時(shí)，往往能夠獲取超過其權(quán)限的信息。二是信息系統(tǒng)開發(fā)和測試時(shí)，數(shù)據(jù)變形管理不嚴(yán)格，缺乏關(guān)于數(shù)據(jù)變形管理的制度和規(guī)定，數(shù)據(jù)變形工作的隨意性較大。