金融机构收集个人信息太随意 我的信息为何你说卖就卖？

比如，收集了客户的地理位置信息，金融和支付机构就能够判断客户经常出现的地点，以此向客户精准推荐营业网点和合作商家；有了客户通讯录信息，金融软件就能像微信一样发展成社交网络，通过当前客户发展更多客户。

杨驰介绍，目前我国没有专门保护个人信息的法律，金融机构到底可以收集哪些信息，监管部门也没有出台详细规定。而对于信息保管，各家金融机构水平差别很大，“大的金融机构内控相对好一些，会有专职部门负责这项工作，但一些小机构几乎没有专人负责。”

金融机构收集个人信息太随意

由于内控机制不完善，金融机构泄露个人信息现象屡见不鲜，甚至很多内部员工成为“内鬼”。2013年11月，某支付机构内部员工因多次批量出售用户信息被杭州警方逮捕，该员工利用工作便利，多次下载公司用户资料，内容超过20G，支付公司负责人表示：“不得不承认，我们在管理上出了一些问题。”今年5月，山东菏泽警方侦破一起定制型贩卖个人信息案，抓获嫌疑人29名，其中包括银行员工2人，交易个人信息共计200余万条。今年公安部部署打击整治网络侵犯公民个人信息犯罪专项行动，半年内就抓获犯罪嫌疑人3300余人，其中银行、电信等行业“内鬼”270余人，查获信息290余亿条。

刘俊海表示，依据消费者权益保护法的规定，商业机构收集个人信息必须遵循明示、同意、必要、合法、保密等原则，金融和支付机构也不例外。很多机构在收集信息过程中，虽然也会征得消费者同意，但大多是走形式。更有甚者，消费者若不同意，就不能使用金融服务，消费者最终只能忍气吞声，做出无奈的选择。

“必须让金融机构明白，收集信息的行为本身意味着相应义务和责任的承担。只有如此，金融机构才会谨慎收集个人信息。”刘俊海说，基于信息泄露时消费者举证难、金融机构责任轻的实际状况，建议适当强化金融机构在个人信息保管方面的法律义务与责任。如果消费者能证明信息已提供给某机构，该机构就有义务证明自己尽到了合理谨慎的保管义务，否则，须赔偿消费者由于信息泄露而遭受的损失。

信息泄露是支付安全风险源

不法分子利用那些泄露的数据刻画客户身份并实施精准诈骗

从近年来电信和金融诈骗的发展趋势看，随着人们防范意识提高，广撒网式的随机诈骗手段已很难得逞，依靠个人信息实施精准诈骗成为主要手段。国内最大的第三方支付平台支付宝去年发布的统计显示，网上支付最常见的风险类型是信息泄露引起的账户被盗和个人欺诈，占到网上支付风险八成以上。

中国人民银行副行长范一飞近日公开表示，一段时期以来，一些行业个人信息泄露事件频发，不法分子利用泄露数据刻画客户身份并实施精准诈骗，信息泄露成为资金犯罪的基本作案条件和支付风险源头。

“骗子能够得逞，利用的就是信息不对称，而掌握越多的个人信息，意味着骗子成功的几率越大。”刘俊海表示，金融机构必须高度重视个人信息在支付安全中的重要意义，认真履行金融信息安全保障义务，切实堵住信息泄露的第一道门，真正为消费者站好岗、放好哨、把好关。

杨驰认为，应该借鉴国外经验，出台专门的个人信息保护法律，同时由金融监管部门根据行业特点出台具体细则，让金融和支付机构的信息采集与保管都能按照规定的行业标准执行。

对用户而言，应当加强日常支付中的风险防范。杨驰建议，消费者在日常网上支付时，应该按照账户分类管理的原则，不要绑定大额的银行卡。绑定的储蓄卡平时别放钱或少放钱，使用时再将相应金额转入卡内；绑定的信用卡，平时通过网上银行把额度关闭，使用时再把额度打开。