從另外壹個角度看,法律要求銀行等金融機構履行的個人信息保護責任,並不是像公眾所理解的,只是“未經過本人允許,不能把客戶信息告訴別人”這麽簡單。事實上,保護個人信息需要的是壹套嚴密的隱私與個人信息保護制度體系,且這套制度體系必須融入機構日常業務運作的所有流程和環節中。比如,制定銀行業務流程,在涉及客戶信息查詢時,不僅要有明確的授權層級與授權關系,還要有其他內控機制;如果相關數據處理、存儲業務外包給第三方,則需要有嚴格的管理要求和監控制度等。這些措施是個人信息保護制度得以有效發揮作用的基礎框架。
在這方面,個人信息保護法草案中也有明確規定:個人信息處理者需要建立諸多內控制度,甚至是安排專門的責任人來負責落實個人信息保護合規方面的法律要求。就此而言,任何市場主體都必須意識到,個人信息保護制度是壹個制度體系,其中任何環節出現紕漏或者不到位,都屬於違法違規,都應承擔責任。這是本案折射出來的第壹個重要意義。