“2020金融文字節——銀行數字化創新主題征文大賽”由中國電子銀行網（微信公眾號：cfca-cebnet）、未央網聯合主辦，和訊網作為戰略合作媒體，清華大學金融科技研究院作為學術支持，以下為參賽者投稿。

作者：麻袋研究院 蘇筱芮

大數據時代，個人信息保護正受到市場空前重視。

近年來，央視315晚會曝光了各類竊取個人信息的非法行徑，引發社會高度關注。與此同時，伴隨著App專項治理工作組的成立及《App違法違規收集使用個人信息行為認定方法》等文件的落地，我國個人信息保護領域的監管工作正有條不紊展開。

然而，就我國金融領域，尤其是銀行業的個人信息保護工作而言，綱領性、針對性規范幾乎處于空白狀態，筆者比對了國內外銀行的個人信息保護政策與監管架構等，發現還存在相當大的差距。

從國際視角來看，發達國家存有值得借鑒的先進經驗，尤其是日本，在銀行業的個人信息保護工作方面內容較為豐富、架構相對完整?；诖?，筆者查閱了大量一手外語資料，挑選重點內容研究分析，試圖為我國相關工作的開展提供一些實務參考。

一、日本銀行個人信息保護的協會管理渠道

日本大型銀行的隱私政策頁面，均顯著標明了個人信息保護相關咨詢投訴渠道，除了銀行自身的內部渠道外，還有來自外部的四類渠道，分別解析如下：

1. 銀行個人信息保護協會（All Banks Personal Data Protection Council）

銀行個人信息保護協會成立于2005年，是由銀行、銀行控股股東、各地銀行業協會等主體共同發起組建的自律組織，旨在引導會員單位正確處理用戶信息。該協會由日本銀行業協會牽頭成立。

銀行個人信息保護協會（下文簡稱“信息保護協會”）作為管理日本銀行業機構個人信息保護工作的專門協會，是日本《個人信息保護法》授權的“個人信息保護團體”，官網顯示，截至2020年7月27日，該協會共擁有242名會員，如表1所示：

針對會員管理，信息保護協會制定了專門章程?！躲y行個人信息保護協會章程》共十章三十九條，分別從會員資格管理、會費繳納、董事監事及秘書處的設立、會長副會長的設立等角度予以規范。

協會接受來自外部的咨詢與投訴，并在官網公布了日本各都道府縣的聯系方式，包括辦公地址、郵編及聯系電話，由協會特別會員——銀行地方協會提供。

就咨詢與投訴結果，協會還會按年度發布工作總結報告，從平成17年度（2005年）到令和元年度（2019年）連續披露了15年。筆者選取奇數年度的投訴量及咨詢量數據，以觀察協會成立以來的工作量變化：

可以看出，協會成立首年共受理474件工作案件，其中投訴為181件，咨詢為293件；隨著時間的推移，投訴數量先升后降，咨詢數量穩步下降，整體來看案件總量也在下降。筆者認為，信息保護協會的建立為推動銀行業個人信息保護工作帶來了積極意義，讓銀行與個人的交流變得更加透明，也促使銀行會員單位充分重視來自外部渠道的反饋，不斷提升個人信息保護工作的水平能力。

信息保護協會針對個人信息保護工作制定的規范性文件，下文將有專門闡述。

2. 日本證券業協會（Japan Securities Dealers Association）

日本證券業協會成立于1973年7月，是管理全國證券公司的注冊協會，根據日本《金融商品交易法》設立，目前共擁有會員單位269家、特定業務會員17家、特別會員202家。

日本證券業協會下設名為“個人信息咨詢室”的部門，接受外部信息反饋，并將工作數據定期公示在官網上。針對會員單位的個人信息保護工作，日本證券業協會制定了若干規范文件，如表2所示：

3.日本消費者信用協會（Japan Consumer Credit Association）

日本消費者信用協會成立于2009年，由1958年成立的國家信用協會、1967年成立的日本信用行業協會與2005年成立的信用個人信息保護促進委員會合并組成。截至2020年4月，該協會共擁有969名會員。

該協會同樣設置了個人信息保護咨詢窗口，同為日本《個人信息保護法》授權的“個人信息保護團體”，接受個人消費者對機構的咨詢投訴，疫情期間僅能通過電話咨詢，不負責現場接待。該協會還標注了咨詢范圍的除外事項：

l  針對非協會會員的咨詢投訴

l  由申請人或其代理人以外人員提出的申請

l  事件造成損害或與損害賠償有關

l  存在未決訴訟（包括民事調解）

4.  日本金融期貨交易協會（The Financial Futures Association of Japan）

日本金融期貨交易協會成立于1989年8月，截至2020年7月末，擁有會員144家、特別會員3家。該協會亦是被官方認可的“個人信息保護團體”，設置了“個人信息咨詢投訴窗口”以接受外部反饋。

二、日本銀行個人信息保護的相關文件

本章從兩方面闡述，首先聚焦銀行個人信息保護協會，角度側重銀行業；其次擴大至全行業通用的《個人信息保護法》法系。

1. 信息保護協會的五項規范文件

針對會員管理，銀行個人信息保護協會從管理框架、技術標準等層面制定了五項規范文件，如表3所示：

日本銀行版《個人信息保護指南》及別冊《個人信息數據安全管理措施指南》，是信息保護協會針對成員制定的綱領性文件，從個人信息的定義、采集與使用、信息真實性確認、安全管理與監督措施、第三方共享數據管理、個人信息的對外披露規范、外包服務商的選擇、儲存/傳輸/刪除等環節的處置規則、如何應對信息泄露事件等角度進行了全面而詳細的規定。

《全國銀行個人征信中心信息保護指南》及別冊《全國銀行個人征信中心會員安全管理措施指南》與《個人信息保護指南》框架接近，但其主要針對的是來自征信中心的個人信息。

《匿名加工信息規則》則包括了匿名加工信息的定義范圍、規則創建等內容，并列舉了大量官方范例，例如在處理具體地址信息時用XX縣代替、將年齡信息“116歲”替換為“90歲以上”等。

2. 《個人信息保護法》法系

日本在個人信息保護領域最為權威的法律當屬《個人信息保護法》，該法誕生于2005年（正式實施），從總則、國家及地方公共團體職責、個人信息保護措施、個人信息相關從業者義務、雜則、罰則等進行了系統、全面的梳理。該法提出了“個人信息保護團體”的概念，為銀行個人信息保護協會等協會組織制定規范性文件提供了法律依據。

圖2是日本政府部門公布的《個人信息保護法》適用領域資料，該法第1-3章既適用于政府機關，又適用于民營領域；但第4-7章僅適用于民營領域。此外，在政府機關的個人信息保護方面，另有《行政機關個人信息保護法》、《獨立行政法人個人信息保護法》等法律法規。

在法律層級上，日本與我國較為相似，最高層為憲法，其次為法律（國會頒布）、政令（內閣頒布）、省府令和條例等。日本政府就個人信息保護頒布了多項文件并構成了“法系”，在《個人信息保護法》法系中，主要文件如表4所示：

三、日本銀行業個人信息保護工作的啟示與思考

日本在金融個人信息保護領域所做的工作，具有一定的借鑒意義與參考價值，總結為如下四點：

1.完善的信息披露

筆者隨機瀏覽了幾家日本銀行的官網，發現隱私政策頁面均按照《個人信息保護指南》、《全國銀行個人征信中心信息保護指南》等信息保護協會列示的五項文件進行詳細披露，涵蓋個人信息的定義、使用目的、信息采集渠道、安全措施管理、個人信息材料證明的披露程序等。

值得一提的是，日本針對銀行客戶個人信息的共同使用、第三方使用制定了詳細方案。實際上，這也是我國個人信息保護工作中一塊難啃的“硬骨頭”，例如今年以來，在工信部發布的侵害用戶權益APP的相關通報中，“私自共享給第三方”淪為重災區。在日本各銀行官網，可以觀察到共同使用個人信息的商業機構名單：

   完善的信息披露不僅體現在從業機構和自律協會層面，政府部門也會定期公示個人信息保護的工作成效，筆者在日本內閣府網站查詢到相關數據披露：

備注：圖4中，藍色為咨詢投訴案件數量，紅色為信息泄露案件數量，由于內閣府數據的統計口徑涵蓋了全行業領域，因此案件數量顯著多于銀行個人信息保護協會發布的報告。不過，無論是信息保護協會還是內閣府，在經歷了個人信息保護工作的各項規范后，相關案件數量均呈現出明顯下降趨勢。

2.明確的監督渠道

日本各大銀行網站還披露了外部監督渠道，如果想要就個人信息保護問題進行咨詢或投訴，可以按照公開方式聯絡：

日本銀行在披露外部監督渠道的同時，也會披露內部監督渠道。據觀察，目前國內銀行僅存在內部監督渠道，即便個人可以通過“App個人信息舉報”欄目向App專項治理工作組遞交和查詢舉報內容，但未發現有銀行將該類外部監督渠道對公眾進行披露。

3.專門的部門協會

銀行個人信息保護協會作為銀行業針對個人信息保護工作而成立的專門協會，在維護金融消費者權益、提升會員機構工作水平方面發揮了積極作用。但這僅僅是協會層面。在政府層面，日本還擁有層級更高的部門——個人信息保護委員會（Personal Information Protection Commission，官方簡稱“PPC”）。

PPC作為內閣府的外局，是日本的行政機關之一，于2016年1月依照《個人信息保護法》成立，前身為2014年設立的特定個人信息保護委員會。官網顯示，PPC設委員長1位、委員8位（常務與非常務各4位），以及特別委員5位。

與《個人信息保護法》類似，PPC同樣對個人信息保護相關的團體組織進行了授權，認可其合法地位，涵蓋銀行個人信息保護協會等組織。

4.豐富的法規文件

豐富的法律法規及規范性文件，為日本個人信息保護監管體系筑牢根基。PPC官網披露了其主要法律框架，有兩大“法系”，一個即是前文提到的《個人信息保護法》法系，另一個則與《個人號碼（My Number）法》相關，如圖6所示：

四、總結與展望

截稿前，筆者剛好看到中國互聯網金融協會的李東榮會長新發表了題為《建設個人金融信息保護體系的必要性和緊迫性》的署名文章，其中提到“科學借鑒歐盟、美國、英國、日本等國家和地區立法經驗”，再回顧這些天來對國外網站及文件資料的梳理，能深刻感受到，在構建個人金融信息保護體系的工作方面，我們還有很長一段路要走。

筆者認為，李東榮會長在文中提到的五項建議——“強化法律規范”、“嚴格行政監管”、“推進行業自律”、“加強機構自治”和“加強公眾參與”，可以借鑒一部分日本經驗，再結合我們自身的實際情況，找到著力點、瞄準落腳點：

l  強化法律規范方面，需加強頂層設計。我國《個人信息保護法》被列入全國人大常委會2020年立法規劃，《個人金融信息（數據）保護試行辦法》亦被央行列入2020年規章制定工作計劃，截至目前尚未出臺，筆者認為，如要推進行業自律，可參照日本將相關條款納入法律，明確有關團體組織的合法地位，亦可以為自律組織制定更為細化的規范性文件提供法律依據。

l  嚴格行政監管方面，日本經驗是成立一個全新的部門——隸屬內閣的個人信息保護委員會以統籌全國不同行業的監管，但我國目前還沒觀察到相關討論，如有類似考慮，或者需要明晰不同部門之間分工協作、權利義務的，也應盡早寫入法律。

l  推進行業自律方面，日本經驗是由各金融行業協會進行管理，涉及到銀行業協會、證券業協會、消費者信用協會和期貨協會等，但考慮到我國金融科技水平比較發達，中國互聯網金融協會已牽頭開展金融App實名備案等重要工作，因此不能完全照搬外國經驗，而是需要結合實際“因地制宜”。

l  加強機構自治方面，筆者認為，要想加強機構自治，先要提升機構意識，有一些中小銀行，連個人信息保護相關的內部聯絡渠道都沒有披露，隱私政策更只有寥寥數行，自治水平與國外相比天差地別，需要政府部門、自律組織等加大監督和培訓。

l  加強公眾參與方面，筆者對李東榮會長所述的“加強違法違規行為舉報獎勵、舉報人保護等機制建設”深表贊同，可參照日本經驗，督促機構在其官方網站、App等開設專門頁面公示舉報渠道，亦可提升公眾的參與度與個人信息保護意識。

道阻且長，行則將至。個人信息保護體系的建設雖長路漫漫但前景可期。以史為鏡，我們能夠看到日本在頒布《個人信息保護法》、建立個人信息保護的一系列制度后，其工作成效與社會口碑均不斷提升。筆者亦期待，我國的《個人信息保護法》能夠在吸納眾長后予以落地，使個人信息保護體系的建設之路早日邁上正軌。

后記

作為活躍在各大財經媒體的行業觀察員，在參加此次創新主題征文大賽之初，筆者就決定將“創新”二字貫徹到底，翻閱超百頁外文資料作為根基，力爭填補國內細分領域研究的空白。然而限于時間精力與篇幅，本文僅將重點放在了銀行業機構及銀行個人信息保護協會上，實際上My Number法系、第三方共享/共同利用規范、不同協會在個人信息保護工作中的權利義務劃分等等，還有很多值得深入挖掘的地方。不足之處，還望各位評委及讀者海涵。

【參考資料】

1. 全國銀行個人情報保護協議會，http://www.abpdpc.gr.jp/

2. 日本証券業協會，https://www.jsda.or.jp/

3. 日本クレジット協會，https://www.j-credit.or.jp/

4. 金融先物取引業協會，https://www.ffaj.or.jp/privacy-association/

5. 個人情報保護委員會-PPC，https://www.ppc.go.jp/

6. 日本內閣府-Cabinet Office，https://www.cao.go.jp/

7.《個人情報保護指針》（平成17年４月実施，平成30年3月一部改正）

8.《個人データの安全管理措置等に関する指針》（「個人情報保護指針」の「安全管理措置」の規定にもとづき）

9. 《全國銀行個人信用情報センターにおける個人情報保護指針》（平成17年４月実施，平成31年3月一部改正）

10.《全國銀行個人信用情報センターの會員における安全管理措置等に関する指針》（「センター保護指針」第18條の規定にもとづき）

11.《匿名加工情報に関するルール》（平成30年３月実施）

12.《個人情報の保護に関する法律》(平成15年５月30日法律第57號)

13.《個人情報の保護に関する法律施行令》（平成15年政令第507號）

14.《個人情報の保護に関する法律施行規則》（平成28年個人情報保護委員會規則第３號）

責任編輯：王超