个人金融信息管理中存在的问题

　　首先，现行法规对个人金融信息保护管理适用性不强。现阶段，发挥个人金融信息保护功能的主要是中国人民银行出台的《个人信用信息基础数据库管理暂行办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》，《办法》和《通知》对个人金融信息收集、保存、使用等做了相应规定，但前者属效力层级较低的部门规章，且只针对信贷领域的个人信用信息，后者为规范性文件，不具备正式法的效力。其次，金融机构缺乏统一的标准和行为范式参照。在个人金融信息的收集、使用、披露和跨境提供等方面缺乏专门的法规政策规定，大大增加了个人金融信息外泄的风险。再次，信息主体所享有权益的救济手段有限。从司法实践看，个人金融信息遭受非法侵犯后，多数获得的仅仅是停止侵害、消除影响等名誉补偿方式，经济和精神赔偿请求基本得不到司法部门支持。侵害个人金融信息的违法成本较低，对违法犯罪分子形成不了有力威慑。另外，行使金融监管职权的法律依据和监管手段欠缺。现行法律体系缺乏对金融监管部门履行个人金融信息保护监管职责的充分授权。

　　加强个人金融信息的法律保护

　　建议先由国务院制定《金融机构个人金融信息保护管理条例》，明确金融机构个人金融信息保护管理的基本原则、内容范围、主体权利、法律责任、监督管理等主要内容。从长远看，应尽早谋划制定统一的《个人信息保护法》。

　　确立个人金融信息保护管理的内容和范围。明确规定金融机构处理个人金融信息所应遵循的基本原则，如合法原则、透明原则、合适原则、安全原则等，并且对敏感个人金融信息的处理作出特别规定——非经信息主体明确同意，金融机构不得处理敏感个人金融信息。通过以列举加兜底的方式，明确个人金融信息保护管理的范围，如个人身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息，以及金融机构在与个人建立业务关系过程中获取、保存的其他个人信息，以改变现行法律体系规定零散、金融机构保护范围和执行尺度不一的现状。

　　规定信息主体拥有的权利。明确规定信息主体至少应包括以下权利：一是知情权，信息主体有权知晓金融机构收集、使用、披露、转移个人金融信息等的目的、范围；二是选择权，信息主体可自主选择是否接受金融机构对其个人金融信息的收集、披露等；三是访问权，有权查询其在金融机构的个人金融信息及其管理情况；四是异议权，信息主体有权要求金融机构对其个人金融信息进行适当更改、删除；五是索赔权，信息主体有权要求其信息免受非法和不当使用的侵害，并在遭受侵害时要求赔偿。

　　明确监管机构授权职责和监管措施。监管机构负责建立个人金融信息保护管理的统一规范和标准，督促金融机构加强信息安全管理，强化个人信息数据库的管理，防止信息被滥用等。为确保监管机构履行其监管职责，应进行必要的法律授权，授权监管机构有权对金融机构个人金融信息保护工作开展非现场监测和现场检查，对金融机构违规泄漏个人金融信息，造成客户损失或引发不良社会影响的，可视情形实施行政处罚或采取其他监管措施。

　　谋划制定统一的《个人信息保护法》。从长期看，我国应尽快制定一部专门的《个人信息保护法》，明确个人信息的法律性质、立法宗旨、基本原则、信息主体权利、侵犯个人信息权利的救济等重要问题，以保证整个法律体系的系统性和协调性。（作者单位：中国人民银行琼海市支行）