第一章  金融机构法律风险


               业务所必需并经个人书面授权或同意外，禁止向第三方提供个人信息。出售或违
               法提供银行合法获取的个人信息，符合《个人信息刑事司法解释》规定的定刑标
               准的，将被追究刑事责任。未经个人同意，在数据合作中向数据合作方提供未脱

               敏的个人身份信息，达到《个人信息刑事司法解释》规定的定刑标准的，将被追
               究刑事责任。银行掌握的个人基础身份信息，在与数据合作方开展合作时，若未
               经客户同意即不脱敏直接提供，达到刑事追责标准的，将构成犯罪。
                   2. 银行的个人信息管理面临较高行政处罚、民事赔偿法律风险

                   第一，个人信息的内部不当使用或对外提供，均可能因违反相应规定而引
               发行政处罚。数据合作中违反监管要求对外提供个人信息，存在行政处罚风险。
               《关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》（银发
              〔2012〕80 号）的要求，除为个人办理相关业务所必需并经个人书面授权或同意外，

               禁止向第三方提供个人信息。违反前述规定，存在行政处罚风险。客户信息内部
               交叉采取无控制措施，易导致客户信息使用超授权范围。人民银行对于个人金融
               信息的使用有明确的规则，要求除非经客户特别授权，否则在一个业务中收集的
               客户信息仅能在该业务中使用，但银行在系统开发，或开展交叉销售的过程中，

               对于客户信息的调用并未有查阅客户信息使用授权条款的操作，即完成客户信息
               的批量导入，违反监管规定，也会引起客户投诉。个人敏感信息的委托外包分析，
               需要履行额外的报送及监管流程，如违反，存在行政处罚风险。根据《银行业金
               融机构信息科技外包风险监管指引》（银监发〔2013〕5 号，以下简称《信息科

               技外包风险指引》）要求，外包个人敏感信息科技分析或处理，需要选择具有特
               定资质的服务商。
                   第二，个人信息存储涉及个人信息安全职责，该方面既是人民银行、银保监
               会管理的重点，也是银行需遵守的工信部、网信办、公安部等信息安全行政机关

               的管理规则，行政处罚法律风险较大，部分严重行为还将涉及刑事责任。违反个
               人数据存储在中国境内的要求，违规向境外分行传输在境内收集的个人信息需承
               担行政责任。《网络安全法》及《金融消费者权益保护实施办法》均规定，在中
               国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。《金融消

               费者权益保护实施办法》另行规定，境内金融机构为处理跨境业务且经当事人授
               权，向境外机构（含总公司、母公司或者分公司、子公司及其他为完成该业务所
               必需的关联机构）传输境内收集的相关个人金融信息的，应当符合法律、行政法



                                                                                       19