法律理论分析与创新
                  Legal Theory Analysis and Innovation


             规和相关监管部门的规定，并通过签订协议、现场核查等有效措施，并要求境外
             机构为所获得的个人金融信息保密。违反该等规定，直接面临行政处罚，严重的
             还涉嫌刑事犯罪。个人信息存储、传输、安保措施不符合要求，查询数据权限分

             级不恰当将引发行政处罚。《金融消费者权益保护实施办法》规定，金融机构应
             当建立个人金融信息数据库分级授权管理机制，根据个人金融信息的重要性、敏
             感度及业务开展需要，合理确定本机构员工调取信息的范围、权限及程序。违反
             该等规定，极易引发行政处罚。发生个人敏感信息泄露，应当及时向包括人民银

             行、银保监会或其派出机构、公安机关报告，如未按照要求完成报告存在行政问
             责风险。未按照客户要求采取数据删除或去标识化措施易引发行政处罚。根据银
             保监会要求，“银行业金融机构采集、应用数据涉及个人信息的，应遵循国家个
             人信息保护法律法规要求，符合与个人信息安全相关的国家标准”。《信息安全

             技术个人信息安全规范》是国家关于个人信息的国家标准，该标准规定，在个人
             发现收集者非法收集或使用个人信息时，有权要求收集者删除该等信息。不及时
             履行数据删除或采取去标识化措施，不仅可能导致个人向监管部门投诉，还可能
             产生客户索赔。

                  第三，民事责任。银行业因个人信息保护工作开展得较为规范，对于个人信
             息安全保护采取的措施较为完善，且在大数据应用中，除非发生个人信息泄漏事
             件给个人造成明显影响外，单独个体的个人信息应用不易为信息主体察觉，因此
             目前未有银行发生过因个人信息导致的民事索赔。从银行的业务场景来看，银行

             可能承担两类民事责任：一是违约责任。银行在部分协议如银行卡协议中约定了
             对于客户信息的保密义务，若违约泄露，存在承担赔偿损失等违约责任的风险；
             二是侵权责任。即使银行与客户并未签署关于客户信息保密的协议，但未经客户
             许可泄露其个人信息，属于侵害民事权益的行为，存在承担赔偿损失、赔礼道歉、

             消除影响等侵权责任的风险。
                 （三）商业银行个人数据治理法律风险管理要点
                  1. 构建以隐私政策的运行管理为基础的法律风险管理机制，控制直接收

             集及使用个人信息的法律风险
                  收集、使用信息应当制定并公开收集使用规则（如隐私政策），推动隐私政
             策落地执行，为数据资产构建法律保护层。个人信息保护是数据治理与数据资产
             构成的基础，隐私政策以个人授权的方式，为个人信息的收集与使用形成关键保



             20