泄露客戶隱私中信銀行道歉 如何守護個人金融信息安全?

脫口秀藝人王越池(藝名:池子)與笑果文化的勞動糾紛,意外讓中信銀行“踩雷”。前日,池子發(fā)長微博控訴,中信銀行在沒有獲得個人同意的前提下,打印了池子近兩年的流水交給笑果文化,中信銀行客服對池子的解釋是“配合大客戶的要求”。事件迅速引發(fā)大眾關(guān)注,中信銀行被頂上熱搜。7日凌晨,中信銀行在官方微博上發(fā)布致歉信,承認(rèn)員工未嚴(yán)格按規(guī)定辦理,并對支行行長予以撤職。因為涉事網(wǎng)點為中信銀行虹口支行,按照監(jiān)管屬地原則,上海銀監(jiān)局相關(guān)人士表示已介入調(diào)查。

“大客戶”能否查詢個人流水信息

中信銀在深夜發(fā)表的致歉信中稱,關(guān)于王越池先生(藝名“池子”)通過微博反映其個人賬戶交易信息被調(diào)取一事,“經(jīng)核實,近期上海笑果文化傳媒有限公司聯(lián)系開戶支行,要求查詢其為員工王越池先生支付勞務(wù)工資記錄時,我行員工未嚴(yán)格按規(guī)定辦理,提供了王先生的收款記錄。”

“大客戶”是否有特權(quán)?事實上,各家銀行在客戶經(jīng)營上會針對不同大客戶給予不同的VIP待遇。但這并不意味著能隨意調(diào)取用戶的個人信息。“在銀行調(diào)取客戶流水其實是一件很正常的事兒,比如推銷理財、信用卡、pos機等都能用到,但是我們不會把客戶的信息提供給我們銀行以外的人。”某股份制銀行風(fēng)控相關(guān)人士對新快報記者表示,除了個別員工的操作問題外,極有可能中信銀行內(nèi)部管理也存在漏洞。

中信銀行則表示,“在客戶信息保護方面,我行建立了一整套制度及流程,但個別員工未嚴(yán)格按照制度操作,反映出我行個別機構(gòu)在制度執(zhí)行上不到位。我行將舉一反三,全面檢查,加大培訓(xùn),強抓制度執(zhí)行,避免此類問題再次發(fā)生。”

“理論上說,銀行是不能把客戶的個人信息透露給第三方,除非客戶本人同意才可以。”國家金融與發(fā)展實驗室特聘研究員董希淼表示。多位律師對新快報記者表示,未經(jīng)當(dāng)事人授權(quán)以及司法機關(guān)合法調(diào)查的情況下,銀行向第三方提供個人賬戶交易明細(xì)屬于違法行為。也就是說,打印流水必須是本人持有效身份證件,或者是取得本人書面委托授權(quán)且經(jīng)過公證的,銀行才會認(rèn)可。

情節(jié)嚴(yán)重者可判刑

作為銀行客戶,在辦理業(yè)務(wù)時都需要與銀行簽署合同。“合同中,銀行通常負(fù)有為客戶保守個人信息的義務(wù)。”北京威諾律師事務(wù)所主任楊兆全表示,根據(jù)《合同法》第一百零七條規(guī)定:“當(dāng)事人一方不履行合同義務(wù)或者履行合同義務(wù)不符合約定的,應(yīng)當(dāng)承擔(dān)繼續(xù)履行、采取補救措施或者賠償損失等違約責(zé)任。”他認(rèn)為,若銀行未經(jīng)客戶授權(quán),且無其他正當(dāng)理由打印銀行流水給他人,便違反了保密義務(wù),應(yīng)當(dāng)承擔(dān)違約責(zé)任。

除了違約責(zé)任,公眾關(guān)注的焦點更在于銀行泄露個人隱私。

中國人民大學(xué)法學(xué)院教授劉俊海表示,在沒有法律授權(quán)的的情況下,任何單位和個人都不得要求銀行非法泄露消費者的個人隱私信息。《消費者權(quán)益保護法》第29條規(guī)定, “經(jīng)營者收集使用消費者個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)消費者同意。”經(jīng)營者及其工作人員,包括銀行工作人員,“對收集的消費者個人信息,必須嚴(yán)格保密,不得泄露、出售或者非法向他人提供。”否則,就要承擔(dān)對消費者的民事賠償責(zé)任。情節(jié)嚴(yán)重,構(gòu)成犯罪的,按照《刑法》第253條的規(guī)定,還要追究泄露公民個人信息罪的刑事責(zé)任。

廣東合邦律師事務(wù)所律師肖錦陽也表示,根據(jù)《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定,如果非法獲取的信息數(shù)量較大,即便沒有造成任何實際損害,也能構(gòu)成犯罪,比如“非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息50條以上的”或“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息500條以上的”等行為,屬于情節(jié)嚴(yán)重,應(yīng)該認(rèn)定為犯罪。

如何守護個人金融信息安全?

某銀行支行行長泄露用戶個人信息,銀行員工為了業(yè)績盜用他人信息辦理ETC等個人金融信息泄露事件,近年來屢見不鮮。不久前還曾傳出“大量中國銀行業(yè)的客戶數(shù)據(jù)在暗網(wǎng)被兜售”的消息,涉及多家金融機構(gòu)。銀保監(jiān)會副主席黃洪對此公開回應(yīng)稱,經(jīng)查被販賣的信息絕大部分是黑客偽造或拼湊的。但是不可否認(rèn),提高個人金融信息安全意識,保護好個人信息已經(jīng)刻不容緩。

個人金融信息問題,已經(jīng)成為監(jiān)管層愈發(fā)重視的問題。今年2月份,金融標(biāo)準(zhǔn)化委員會下發(fā)了《個人金融信息保護技術(shù)規(guī)范》,不僅對個人金融信息從敏感度進行了分類,還對個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等各環(huán)節(jié)的安全防護提出要求。其中還提及,對于個人信息收集要采取“最少夠用”原則,即數(shù)量最少、頻率最低、保存時間最短。同時還要求收集個人信息類型應(yīng)該與產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。

去年底,央行發(fā)布的《中國人民銀行金融消費者權(quán)益保護實施辦法(征求意見稿)》稱,金融機構(gòu)收集、使用消費者金融信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,經(jīng)金融消費者明示同意。金融機構(gòu)不得收集與業(yè)務(wù)無關(guān)的消費者金融信息,不得采取不正當(dāng)方式收集信息,不得變相強制收集消費者金融信息。金融機構(gòu)及其工作人員應(yīng)當(dāng)對消費者金融信息嚴(yán)格保密,不得泄露或者非法向他人提供。

毫無疑問,此次中信銀行事件,將再次引發(fā)監(jiān)管對金融機構(gòu)個人信息安全問題的排查。事實上,今年關(guān)于個人金融信息安全問題,早已成為監(jiān)管關(guān)注重點。早在4月17日,央行官網(wǎng)公布的《2020年規(guī)章制定工作計劃》中,就包括了個人金融信息(數(shù)據(jù))保護試行辦法、征信業(yè)務(wù)管理辦法、中國人民銀行金融消費者權(quán)益保護實施辦法等。