国浩论坛 | 新质生产力对银行客户个人信息保护制度的挑战与应对

几乎每个人都是银行的个人客户，银行收集的个人信息集中为个人金融信息，包括账户信息、鉴别信息、金融交易信息等，这些金融信息具有敏感性和高风险性，与个人财产、信用直接相关，敏感度高，泄露危害性大。同时，银行是国民经济的核心，其稳定性和信誉对金融安全和经济发展至关重要，如果银行客户个人信息得不到有效保护，则国家将丧失金融稳定和市场信心，影响经济的发展。因此无论从法律规定还是从监管要求，银行客户个人信息保护均为重中之重。

(一) 银行客户个人信息保护的现行法律框架

我国银行业个人信息保护法律法规包括《商业银行法》《个人信息保护法》《数据安全法》《网络安全法》等基础性法律以及《银行保险机构数据安全管理办法》和《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等监管规章。

《商业银行法》确立了商业银行与客户业务往来的基本原则，即“平等、自愿、公平和诚实信用的原则”，该基本原则同样适用于个人信息提供与保护。

平等原则要求银行不能搞“数据霸权”，在获取客户信息时，应以清晰、易懂的方式向客户说明信息收集、使用的目的、方式和范围，确保客户在充分理解的基础上做出同意的决定，客户依法享有对其个人信息的知情权、决定权、查阅权、复制权、更正权、删除权等。

自愿原则集中体现为“告知-同意”这一个人信息处理的合法性基石，禁止捆绑授权，且客户具有撤回同意的自由。

公平原则是指银行收集和处理个人信息应限于实现处理目的的最小范围，不得过度收集，如因银行泄露、滥用、丢失客户个人信息导致客户受损时，银行应当承担相应的责任。

诚实信用原则要求银行履行安全保障义务，禁止银行权利滥用与欺诈、信守承诺，如发生个人信息泄露，银行应本着诚实信用原则，立即采取补救措施并按照规定及时告知客户并向主管部门汇报。

《个人信息保护法》作为个人信息保护的专门立法，确立了个人信息处理的基本原则，特别强调“告知-同意”的核心规则，要求处理个人信息前应向个人告知个人信息处理者的身份、处理目的、方式、信息种类和保存期限等事项，并取得个人同意。《中华人民共和国数据安全法》从国家安全角度构建了数据安全保护框架，建立了数据分类分级、风险评估、应急响应和安全审查等制度，要求银行作为重要数据处理者明确数据安全负责人和管理机构，定期开展风险评估并报送评估报告。《网络安全法》则围绕网络运行安全和网络产品服务安全，要求网络运营者采取技术措施和其他必要措施，确保个人信息安全。

以上述法律为基础，金融监管总部于2024年12月27日发布了《银行保险机构数据安全管理办法》（以下简称“管理办法”），该管理办法成为银行业个人信息保护最为直接和具体的监管依据。《管理办法》要求银行保险机构建立数据安全治理体系，对数据（包括个人信息）进行分类分级保护（通常分为核心数据、重要数据、一般数据），并构建覆盖数据全生命周期的安全管理机制。强调处理个人信息应按照“明确告知、授权同意”的原则，并限于实现处理目的的最小范围，不得过度收集。

(二) 银行客户个人信息保护的司法现状

2025年8月28日，最高人民法院首次发布数据权益司法保护专题指导性案例，即指导性案例262-267号，其中个人信息保护案例纠纷有两个。一是《罗某诉某科技有限公司隐私权、个人信息保护纠纷案》（指导性案例265号），这是一件涉APP经营者过度收集用户个人信息的案件。该案例明确判断处理个人信息是否属于“为订立、履行个人作为一方当事人的合同所必需”的考量因素，进而明确在收集用户画像信息并非提供网络服务所必需的情况下，未向用户提供不同意提交相关信息情况下的其他登录方式的，构成对用户个人信息权益的侵害。二是《黄某欢诉某信用管理有限公司个人信息保护纠纷案》（指导性案例266号），这是一件涉“先享后付”功能服务的个人信息保护纠纷案件。该案例明确“先享后付”功能以开通信用服务为必要条件，相关信用服务商收集反映用户个人信用或者风险状况的个人信息，属于“为订立、履行个人作为一方当事人的合同所必需”。上述指导案例是对个人信息保护法律制度的生动诠释，体现个人信息保护的基本原则和具体制度。

(三)银行客户个人信息保护的核心原则

基于上述法律法规、监管规则和司法实践，我们可以总结银行业个人信息的处理原则为“先告知、少收集、保安全、限使用”。

先告知是指处理个人信息前，应以显著醒目、清晰易懂的语言真实、准确、完整地告知个人相关信息处理者的名称和联系方式、处理目的、方式、种类、保存期限，以及个人行使权利的方式等，并取得个人的同意。敏感信息需单独同意，信息出境、公开处理、向他人提供个人信息等场景也可能需要单独同意。

少收集是指收集个人信息应限于实现处理目的的最小范围，必须考虑为订立、履行个人作为一方当事人的合同所必需，不得过度收集。最高法指导案例265号和266号中，同为需要用户个人提供个人信息，但265号案件中因提供个人信息非必需而要求用户提供，构成对用户个人信息权益的侵害，266号中个人信息是开通信用服务的必需信息，因而不构成对用户个人信息权益的侵害。两个案例从一反一正两个角度充分说明了个人信息保护的少收集原则。

保安全是指银行必须采取技术措施和管理措施，确保个人信息安全，防止未经授权的访问、泄露、篡改和丢失。2023年全国公安机关破获涉信用卡信息犯罪案件近5000起，涉案金额超百亿元，某跨省份信用卡盗刷案更是导致1100万元损失，暴露了保安全的薄弱环节，保护个人信息数据安全已经进入强监管时代。

限使用是指银行收集个人信息只能用于特定用途，境内收集和产生的个人信息原则上应存储在境内，不得出境。确需出境，应履行安全评估和个人信息保护认证等，并需要个人单独同意。据监管通报显示，2024年银行业因个人信息违规使用引发的投诉量占金融消费投诉总量的37%，江苏长江商业银行、泰州高港兴福村镇银行等机构因未经同意查询、提供个人信息分别被处罚141万元、20.5万元，暴露了限制使用原则落实的薄弱环节。

自2023年9月习主席首次提出新质生产力概念到现在，短短两年时间，我们已经看到新质生产力的蓬勃发展以及以新质生产力为基础的社会关系、法律制度方面的巨大变化。新质生产力是由技术革命性突破、生产要素创新性配置、产业深度转型升级而催生的当代先进生产力，它以劳动者、劳动资料、劳动对象及其优化组合的质变为基本内涵，以全要素生产率提升为核心标志。新质生产力要求大力发展数字经济，促进数字经济和实体经济深度融合，并正在深刻重塑银行业的服务模式和运营范式，银行业正在大规模推动使用生成式人工智能、大数据分析、云计算等先进技术，我们看到银行推出的智能投顾、客户服务聊天机器人、风险评估模型、甚至自动生成客户画像，这些先进技术手段在优化货币资源配置、提升金融服务效率以及创新金融产品方面发挥了重要作用，但同时也不可避免的放大了银行业数据安全隐患和风险，显著提高了信息泄露和滥用的风险。银行业个人信息的处理原则——先告知、少收集、保安全、限使用，与新质生产力的发展所带来的新技术环境和新业务模式难以有效协调，面临来自新质生产力的全面挑战。

(一) 新质生产力的发展使“先告知”原则难于落实

《银行保险机构数据安全管理办法》要求银行与集团子公司共享敏感级及以上数据时，“应当获得数据主体的授权同意”，但新质生产力的发展推动了金融生态系统的开放化，银行与金融科技公司、电商平台以及第三方支付机构等主体之间的数据交换和共享日益频繁，为了满足数据共享的需要，实践中银行往往通过笼统的授权条款获得客户的一次性概括同意，而客户在注册时面对的是银行的格式合同，虽然《个人信息保护法》以及《银行保险机构安全管理办法》等明确规定，要求处理个人信息前应向个人告知相关情况并取得个人同意，但客户对格式合同往往只能用脚投票，因此并不关注格式合同的内容，促使银行很容易即获得客户的一次性概括同意，难以满足“具体、明确”的授权要求。以银行的隐私政策为例，30家银行中仅2家提供隐私政策简略版，其余文本均超万字且语言晦涩，用户阅读率与理解度极低。^[注1]

(二) 新质生产力的发展使“少收集”并不会“少获得”

少收集的目的是对用户的个人信息尽可能更少的收集和使用，但大数据分析技术使银行能够超出客户提供信息范围，通过整合客户的交易记录、行为数据以及社交信息等多源数据，并进行深度分析推导出客户未主动提供且很可能不愿/不同意提供的敏感信息，如消费习惯、健康状态甚至性格特征等，使得银行“少收集”但不会“少获得”。银行通过金融数字化和大数据分析技术所获得的用户信息，是否归属于用户、能否与用户自行提供的个人信息相区分、如何进行保护等，都是银行客户个人信息保护法律制度的新课题。

(三) 新质生产力的发展使“保安全”难度越来越大

信息保护的法律要求促使银行投入大量资源建设数据安全技术防护体系，但同时，数字化转型使银行个人信息处理呈现“总量激增、场景多元、流转复杂”的特征，如何保障信息安全，防止信息泄露风险，特别是新质生产力的发展给犯罪分子提供了网络和虚拟空间的犯罪工具，保安全难度越来越大。如某微信代理商私自使用600余万条银行会话数据训练模型，4家省联社因托管服务商漏洞导致客户信息失窃，反映银行在信息保安全方面的工作形势严峻。^[注2]

(四) 新质生产力的发展对“限使用”产生冲击。

新质生产力依赖于数据的高度聚合与智能分析，强调开放式创新和全球研发协作，而传统的逐案安全评估与单独同意的跨境审批模式，周期长，成本高，难以适应数据驱动创新的新质生产力发展，可能阻碍国际合作、技术交流以及全球市场拓展，也不能最大化发挥数据价值。

现行的银行个人客户信息保护法律制度核心原则，构筑的是一个限制信息流动的静态合规体系，该静态体系虽然有利于个人信息的保护，但却无法适应新质生产力的动态和迅猛发发展，为此，如何推动银行个人客户信息保护制度向动态、精准且适应技术迅猛发展的法律制度体系发展，实现数据安全与数据价值挖掘之间的平衡以及银行个人客户信息保护与新质生产力发展的平衡，是一个非常值得深入研究的课题。

(一) 充分利用高度发展的新质生产力为银行个人客户信息保护系统提供技术支持

虽然新质生产力的发展对银行个人信息保护制度有影响甚至挑战，但高度发展的新质生产力也可以为银行个人客户信息保护系统提供重要支持。例如，某城商行建立的数据安全中台，能够实现敏感数据的自动识别、访问行为实时监控和异常风险的智能预警，实现了泄密预警响应时间从24小时缩短至15分钟的良好效果。^[注3]一些银行应用联邦学习实现了“数据可用不可见”，在信贷审批等场景中避免原始信息聚合，并采用区块链技术建立数据流转溯源账本，确保每一次的数据处理均可追溯。事实上，数据安全不是一劳永逸的，需要建立持续的威胁监测、技术评估和系统优化机制，动态应对不断演变的安全挑战，这些都需要充分利用新质生产力，让银行将个人信息保护系统从成本中心和合规负担转变为强大的竞争优势和信任基石，实现数字经济时代银行的竞争发展。

(二) 健全法治体系和权利救济保障

在法治体系建设方面，应当构建动态分类分级体系，重点规范数据共享与跨境流动，针对技术伦理规则缺失的问题，建立算法备案、评估与伦理审查机制。由科技和金融监管部门组建金融算法伦理审查委员会，制定算法参数国家标准，保障金融服务公平性。

在权利救济保障方面，应当构建多元化的权利救济渠道，优化“投诉-调解-仲裁”链条，建立在线纠纷解决（ODR）平台及小额投诉专家裁决机制，在涉及数据的侵权纠纷中，要充分考虑技术发展给被侵权方带来的举证困难，适当向消费者倾斜的举证责任原则，要求金融机构证明其算法决策的合规性与合理性。同时，针对大规模数据泄露或系统性侵权，探索由金融消费者保护组织支持的集体诉讼制度。检察机关也可在涉及重大公共利益时提起公益诉讼。

这些伴随新质生产力发展而产生的法治和权利保障诉求，应当由金融监管部门制定金融领域个人信息保护细则，努力构建上述各项机制，明确核心数据、重要数据的认定标准，细化个人信息保护制度在金融领域的具体实施措施，形成完善的法律衔接机制。

为平衡金融创新与风险，监管机构可考虑设立“监管沙盒”。在沙盒内，允许银行在风险可控的前提下，测试新的数据应用模式和创新产品，并暂时享有适当的监管豁免。这有助于在保护消费者的同时，鼓励有益的技术和业务创新。

(三) 加强外部力量促进客户个人信息保护制度完善和发展

外部力量主要包括市场力量、技术力量和消费者力量三方面。

在市场力量方面，应当借助独立第三方机构所形成的协助和监督的力量。可以考虑强制性要求银行定期开展独立第三方的数据安全与隐私保护专项审计，以及个人信息保护认证等工作，审计结果或者认证结论均是有效的展示银行数据合规能力的有力证明，有利于促进银行的数据安全管理，并增强消费者的信心。

在技术力量方面，应当充分利用技术发展提供保护数据安全的关键动力，如引入联邦学习、安全多方计算、同态加密、差分隐私等隐私增强技术，或者聘请独立网络安全公司进行深度安全评估和渗透测试，均可有效发现系统漏洞和管理缺陷，从而降低数据泄露风险。

在消费者力量方面，应当充分唤醒全民消费者的数字金融风险防范意识，为消费者提供明确、便捷和低成本的投诉和维权渠道，使消费者有意识、有能力并有意愿通过投诉或者司法救济方式进行维权，以此促进银行加强个人信息保护的内生动力，实现个人信息保护制度的完善与发展。

【 特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。】