商业银行个人信息保护法律分析与措施建议

《民法典》对个人隐私权、个人信息保护进行了系统规定。中国人民银

行等部门出台的监管规定则细化了商业银行个人信息保护方面的义务。银行违

反相关规定、侵害客户个人信息相关权利，将依法承担民事责任、行政责任，

如构成犯罪的还应承担刑事责任。商业银行需高度重视个人信息保护，健全个

人信息保护相关管理制度，完善对客协议文本，明示个人信息处理规则，规范

客户营销，加强对外合作信息安全管理。

案例

甲银行与乙公司建立代发工资业务关系。乙公司与其员工丙就工资支付发生纠纷。

乙公司联系甲银行要求提供该员工工资发放记录。银行工作人员在未经客户丙同

意的情况下，将其账户两年内的收支明细均提供给乙公司。于是丙就银行泄露客

户信息提出质疑。该行也因泄露客户信息引发舆情和监管调查。

本案是银行违规对外提供客户信息的典型案例。近年来，个人信息保护日益趋严。

商业银行掌握个人客户身份信息、金融资产信息等大量个人敏感信息，更需高度

重视个人客户信息保护，严格遵守客户信息保护相关规定。本文将介绍商业银行

个人客户信息保护相关法律规定、违反规定的法律后果，并就保护个人客户信息

的措施提出建议。

商业银行个人客户信息保护的主要法律规定

《商业银行法》《消费者权益保护法》《网络安全法》等法律均有个人信息保护

的规定。2021年1月1日施行的《民法典》对个人隐私权保护、个人信息保护

进行了系统规定。《中国人民银行金融消费者权益保护实施办法》《信息安全技

术个人信息安全规范》等监管规定、国家标准则对个人信息保护提出了细化要

求。相关规定主要有：

（一）个人隐私和个人信息的含义《民法典》第1032条和第1034条规定了隐私

和个人信息的含义。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、

私密活动、私密信息。个人信息是以电子或者其他方式记录的能够单独或者与其

他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证

件号码、生物识别信息、住址、电话号码、、健康信息、行踪信息等。

自然人享有隐私权。自然人的个人信息受法律保护。

（二）个人信息处理者的主要义务根据《民法典》规定，个人信息的处理包括个

人信息的收集、存储、使用、加工、传输、提供、公开等。处理个人信息应当遵

循合法、正当、必要原则，不得过度处理。商业银行作为信息处理者需承担以下

义务：

一是处理个人信息应征得该自然人或者其监护人同意，并公开处理信息的规则、

目的、方式和范围。不得以客户不同意处理其信息为由拒绝提供金融产品或者服

务，但处理其信息属于提供金融产品或者服务所必需的除外。

二是未经客户同意，不得向他人非法提供其个人信息，对外提供经过加工无法识

别特定个人且不能复原的信息除外。此外，根据《商业银行法》，对个人储蓄存

款，除法律另有规定外商业银行有权拒绝任何单位或个人查询、冻结、扣划。

三是负有信息安全保障义务。不得泄露或者篡改其收集、存储的个人信息；应当

采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄

露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采

取补救措施，按照规定告知客户并向有关主管部门报告。

四是收集个人金融信息用于营销、用户体验改进或者市场调查的，应当以适当方

式供客户自主选择是否同意；客户不同意的，不得因此拒绝提供金融产品或者服

务。银行发送金融营销信息的，应当提供拒绝继续接收金融营销信息的方式。

五是在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。

除法律法规及中国人民银行另有规定外，不得向提供境内个人金融信息。

（三）信息主体的主要权利依据《民法典》规定，信息主体享有查阅复制权、更

正权、删除权。信息主体可以依法向信息处理者查阅或者复制其个人信息；发现

信息有错误的,有权提出异议并请求及时采取更正等必要措施；发现信息处理者

违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处

理者及时删除。

商业银行违反个人信息保护相关规定的法律后果

商业银行违反个人信息保护相关法律、监管规定，例如违规收集客户信息、超越

范围使用客户信息、泄露客户信息等，将依法承担法律责任，包括民事责任、行

政责任，构成犯罪的应依法承担刑事责任。

（一）民事责任根据《民法典》第1165条，行为人因过错侵害他人民事权益造

成损害的，应当承担侵权责任。银行违反法律规定处理客户信息，侵害客户隐私

权或个人信息权的，应向客户承担赔偿责任，包括因侵权行为造成财产损失的赔

偿；造成严重精神损害的，客户还可能主张精神赔偿。银行违反其与客户约定处

理客户信息的，客户还可要求银行按合同约定承担违约责任。

（二）行政责任依据《消费者权益保护法》及《中国人民银行金融消费者权益保

护实施办法》规定，银行侵害客户个人信息相关权利的，除承担相应的民事责任

外，由中国人民银行总行或其分支机构、工商行政管理部门等有关行政部门在其

职责范围内责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违

法所得一倍以上十倍以下的，没有违法所得的，处以五十万以下的；情

节严重的，责令停业整顿、吊销营业执照。

（三）刑事责任根据《刑法》第253条之一，违反国家有关规定，向他人出售或

者提供公民个人信息，窃取或者以其他方法非法获取公民个人信息的，情节严重

的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三

年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提

供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从

重处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其

他直接责任人员，依照各该款的规定处罚。

《、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律

若干问题的解释》则进一步明确了具体标准。具有下列情形之一的，应当认定为

刑法第253条之一规定的“情节严重”：非法获取、出售或者提供行踪轨迹信息、

通信内容、征信信息、财产信息五十条以上的；非法获取、出售或者提供住宿信

息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民

个人信息五百条以上的；非法获取、出售或者提供上述两项规定以外的公民个人

信息五千条以上的；数量未达到上述规定标准，但是按相应比例合计达到有关数

量标准的；违法所得五千元以上的。将在履行职责或者提供服务过程中获得的公

民个人信息出售或者提供给他人，数量或者数额达到上述规定标准一半以上的应

当认定为“情节严重”。因而，如银行或其工作人员非法获取、出售或提供个人

信息达到上述标准，将构成犯罪，应承担刑事责任。

商业银行保护个人信息有关措施建议

（一）建立健全个人信息保护管理制度银行处理个人客户信息涉及多业务条线、

多渠道、多环节，有必要建立覆盖个人信息收集、使用、加工、对外提供、跨境

传输、安全管理、内控审计等全流程的管理制度和操作规程，确定个人信息保护

牵头管理部门及各相关部门职责，明确员工保密要求，根据各类业务需要确定收

集客户信息的基本原则、一般规则和安全保障措施。

（二）完善对客协议文本，明示客户信息处理规则银行涉及收集、使用个人客户

信息的各类产品文件，例如个人银行结算账户管理协议、借记卡章程、信用卡章

程、电子银行章程、理财产品销售文件、各类个人贷款合同等，需结合业务实际

对个人信息收集、使用、加工、对外提供等内容进行约定，明示处理信息的规则。

其主要内容需包括：

一是信息收集的范围、方式、目的等。例如：银行需收集客户的身份信息、财产

信息、征信信息等；收集方式可包括自身渠道直接收集以及通过合法持有其信息

的第三方获取；收集的目的则包括客户身份识别、授信审批、贷后管理、客户服

务等。

二是加工客户信息相关条款。银行可通过数据分析等形式对客户信息进行加工、

总结，并将分析结果应用于客户服务、产品改进等。

三是客户信息可对外提供的情形。例如：服务外包、营销合作或联名卡合作等需

要向合作方提供；集团内信息共享；债权转让、资产证券化及相关尽职调查需要

向受让方、专业机构提供；为履行协议之必要向清算机构、代销机构、资产管理

机构等机构提供；向审计、会计、律师等专业机构提供；为信息查询、获取之需

要向第三方机构提供等。

四是客户信息存储时间及客户查询、更正、删除等权利的行使方式或渠道。需注

意，客户信息存储时间应满足反法等法律法规要求。

（三）规范营销活动，避免侵扰客户生活安宁《民法典》第1033条规定，除法

律另有规定或权利人明确同意外，不得“以电话、短信、即时通信工具、电子邮

件、传单等方式侵扰他人的私人生活安宁”。因而，通过短信、电话、即时通讯

工具、等方式向客户营销时需取得客户同意；如客户不同意的，应及时

停止发送。即使客户同意接收营销信息，也需注意信息发送的频率、时间，避免

对客户生活造成打扰。

（四）加强对外合作信息安全管理银行对外业务合作过程中可能涉及客户信息的

传递，例如：催收外包中将客户必要信息提供给催收机构。本文案例中提到的代

发工资业务也会涉及员工账户及工资信息传递。如操作不当，可能会造成客户信

息泄露。因而对外合作中，银行首先应就对外提供及从第三方收集客户信息获得

客户授权，对外提供信息遵循“最小必要”原则。其次，应对合作方的资质及信

息安全能力进行全面评估和持续监测，如从合作方获取信息还需核查其信息来源

的合法性，避免因合作方泄露或非法采集客户信息引发银行声誉风险或法律风险。