池子吐槽中信銀行泄露個人賬戶交易明細引發熱議
個人金融信息安全漏洞怎么堵
● 無論是依據商業銀行法還是消費者權益保護法,銀行在收集儲戶的個人信息后,應當依法妥善保管,未經法定機關法定程序,不得任意向其他第三人提供
● 銀行員工私自對外提供個人金融信息的情況時有發生,尤其是在銀行支行一級,由于信息安全把關不嚴,“內鬼”鉆漏洞泄露個人金融信息的亂象較多
● 在立法方面,要進一步推進個人信息保護法出臺。同時,要加強合規管理,嚴厲打擊銀行員工利用職務之便侵犯公民權利的行為
近日,脫口秀演員池子(本名王越池)發文吐槽中信銀行泄露個人賬戶交易明細引發熱議。
5月9日,中國銀保監會消費者權益保護局發布通報稱,將按照相關法律法規,啟動立案調查程序,嚴格依法依規進行查處。
接受《法制日報》記者采訪的業內人士認為,銀行流水屬于財產信息,是個人信息的重要組成方面,任何人都不得侵害。要根據信息泄露過程的不同特征進行具體分析,如果是銀行的不當行為,應由銀行承擔責任;如果個人存在違法違規行為,則可能觸犯刑法或商業銀行法。此事件也暴露出我國在個人金融信息保護立法和實施方面還有待完善,需進一步推進個人信息保護法出臺,同時加強合規管理,嚴厲打擊銀行員工利用職務之便侵犯公民權利的行為。
銀行泄露交易明細 違規同時涉嫌違法
5月6日,池子發布長文稱,他在處理與笑果文化的合約糾紛時收到來自對方的案件材料,里面包含他在中信銀行的個人賬戶交易明細。
5月6日晚,上海笑果文化在微博上回應稱,相關仲裁正在進行中,其“根據相關流程采取了財產保全、提起仲裁、證據收集等法律活動”,且上述行動“均在法律及合同的框架之下進行”。
5月7日凌晨,中信銀行發布致歉信稱:“經我行核實,近期上海笑果文化傳媒有限公司聯系開戶支行,要求查詢其為員工王越池先生支付勞務工資記錄時,我行員工未嚴格按規定辦理,提供了王先生的收款記錄。對此,我們向王先生鄭重道歉!”并稱該行已按制度規定對相關員工予以處分,并對支行行長予以撤職。
中信銀行表示,在客戶信息保護方面,該行建立了一整套制度及流程,但個別員工未嚴格按照制度操作,反映出該行個別機構在制度執行上不到位。“我行將舉一反三,全面檢查,加大培訓,強抓制度執行,堅決避免此類問題再次發生,切實保護金融消費者合法權益。”
個人金融信息泄露產生的影響不容忽視。據中央財經大學法學院教授鄧建鵬介紹,信息泄露后,實施電信詐騙者極可能對潛在的犯罪對象進行精準定位和選擇;一些出售房產、保險類產品的商業機構很可能根據泄露的信息來精準挑選潛在用戶,推銷產品,構成商業性騷擾;此外,銀行“流水”公布后,用戶與他人、機構之間的交往記錄就會被他人知曉,使得被交往對象的信息也被牽扯進來。
根據人民銀行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》和民法中提到的誠信原則,銀行有保守客戶信息秘密的義務要求。
因此,鄧建鵬認為,泄露客戶賬戶信息的行為違背了金融監管部門發布的規章制度,還涉嫌違法。另外,存錢相當于達成合同契約,銀行泄露客戶信息違背了合同法的相關規定。
“個別員工固然涉及違規和違法問題,但管理層也有監督管理和培訓職責。出現此類事件,說明他們沒有履行好監督管理責任。因此,個人和單位都存在問題,不能將責任全部推給個人。”鄧建鵬說。
中國政法大學知識產權中心特約研究員趙占領也認為,無論是依據商業銀行法還是消費者權益保護法,銀行在收集儲戶的個人信息后,應當依法妥善保管,未經法定機關法定程序,不得任意向其他第三人提供。
“從現行立法角度看,個人金融信息已經被各種法律所保護。民法總則和侵權責任法中規定了隱私權與個人信息權,銀行‘流水’屬于財產信息,是個人信息的重要組成方面,任何人都不得侵害。商業銀行法更是進一步明確了銀行對存款人的保密義務。”趙占領說。
據趙占領介紹,我國刑法修正案(九)特別規定了侵犯公民個人信息犯罪的罪名,兩高也出臺了相關司法解釋,詳盡描述了侵害公民財產信息刑事立案標準所需要達到的數量,又特別規定,那些在履行職責過程中和提供服務過程中,將獲得的個人信息出售或提供他人的,刑事立案標準只需要達到普通案件的一半即可。
“即便泄露是由個人行為構成,銀行也應該承擔管理不當的責任。監管部門和行政部門應從外部督促銀行承擔責任,相關負責人也應被追責并受到處罰。”中國社會科學院金融風險與金融監管研究室副主任尹振濤說。
尹振濤認為,應針對客戶信息泄露過程的不同特征分情況看待,如果是銀行的不當行為,則應由銀行承擔責任;如果個人存在違法違規行為,則可能觸犯刑法或商業銀行法,要受到懲處。
信息安全把關不嚴 銀行內鬼頻鉆漏洞
多名銀行從業人士在接受采訪時稱,發生在中信銀行的這件事不具有普遍性,監管部門、銀行對個人信息保護極為重視,也出臺了相關的政策、規章制度,但問題在于缺少嚴格的法律監管,以及如何督促相關人員執行到位。
據了解,即使是有權力機關如公檢法紀委監委等要求銀行配合調查,按照規定一般需要有權機關(公檢法紀委監委等)兩名工作人員,攜帶證件及公函前往辦理。以法院查詢為例,需要兩名法院工作人員攜帶兩證(工作證和執行公務證)、法院蓋章的查詢文書辦理。銀行的工作人員核對法院工作人員的證件和公函,核對無誤后才予以辦理。
《法制日報》記者也通過采訪獲悉,按照規定,用戶若想查詢個人賬戶交易明細,需攜帶身份證、銀行卡到所屬銀行營業網點非現金業務窗口通過銀行工作人員打印,特殊情況除外,其他人均無權打印。
一位銀行人士告訴《法制日報》記者:“其他打印‘流水’的幾種方法,也都需要用戶銀行卡或身份證及相關授權信息,除了用戶本人及本人提供的授權外,在沒有這些證明的情況下,即便用戶的父母也無法打印其個人交易‘流水’。”
然而,從近年公布的法律判決書來看,銀行員工私自對外提供個人金融信息的情況時有發生,尤其是在銀行支行一級,由于信息安全把關不嚴,“內鬼”鉆漏洞泄露個人金融信息的亂象較多。
某城商行高管透露,類似在暗網大規模的金融數據被交易確實存在,但主要發生在2018年以前,當時《銀行業金融機構數據治理指引》尚未出臺,很多銀行分支行操作不規范,存在“內鬼”。
此外,還有些銀行可能會屈從于“大客戶”,進而泄露個人金融信息。有銀行從業者坦言,在銀行內部,員工隨意查閱用戶“流水”信息的現象確實存在,“不過,銀行即使屈從于‘大客戶’,幫助其查閱‘流水’信息也只能是隱秘不公開的,更不會在未經授權的情況下提供用戶‘流水’作為證據”。
據池子透露,中信銀行就回復其稱“這是配合大客戶的要求”。
這一說法再次引爆輿論。有多名網友質疑:“大客戶有要求,銀行就能隨意泄露其他客戶信息?個人在銀行的賬戶信息是否安全?”
鄧建鵬認為,根據池子所提供的信息,銀行之所以泄露其信息,是為了討好所謂的“大客戶”,從這里可以看出,泄露個人金融信息行為的背后主要是一種利益推動。當犯罪嫌疑人將用戶信息賣給他人就能夠從中獲利,而在本事件中,銀行則能夠討好大客戶從而刺激其儲蓄,獲取額外收益。
有媒體直言,“池子事件”只是商業銀行信息泄露情況的冰山一角,商業銀行大量基層員工的客戶信息保密的意識相當淡薄。
河南工業大學知識產權研究中心主任李文江曾對鄭州商業銀行300位客戶經理進行問卷調查,2018年在《我國商業銀行客戶信息的秘密性及其保護》一文中公布了結果:“60%以上的客戶經理所在銀行沒有建立客戶信息保密制度,不了解客戶信息的范圍;70%的客戶經理認為所在銀行的客戶信息保密制度過于原則,沒有覆蓋客戶信息收集、整理、提升和使用的各個環節;90%的客戶經理認為客戶信息主要掌握在客戶經理手里,所在銀行沒有規定統一保護措施,工作調動可以隨意帶走客戶信息,不存在任何制約措施。”
完善信息保護立法 加強銀行合規管理
一系列涉及個人金融信息安全事件的出現,給從業機構敲響了警鐘。
近年來,監管部門嚴格監管銀行客戶信息安全管理,罰單不斷。一些違規泄露客戶信息的員工,不僅遭終身禁業,還會受到法律嚴懲。
“正因為如此,不存在大規模數據泄露或導出售賣的可能性。但不可否認,依然存在個別通過‘走后門’的關系進行信息查詢,或者由于員工操作不當導致系統信息出現泄露的情況。”前述某城商行高管說。
在趙占領看來,違規泄露客戶信息的員工要么是缺乏法律意識,要么就是在知曉行為違法性的基礎上心存僥幸心理,受到利益的驅使而做出此類不良行為。
“而從銀行角度來看,雖然已經建立起內部規章制度,但缺乏有效的執行保障機制。如何將規章制度貫徹到位,同時落實到基層員工上,這些問題對于銀行管理實踐仍然是巨大的挑戰,管理上仍然有短板。”趙占領說。
值得注意的是,監管部門亦關注到相關風險,并出手規范市場。
2019年,《個人金融信息(數據)保護試行辦法》(初稿)、《中國人民銀行金融消費者權益保護實施辦法(征求意見稿)》相繼發布。
今年年初,人民銀行發布的2020年規章制定工作計劃也明確,將制定《中國人民銀行金融消費者權益保護實施辦法》。根據2019年年末的征求意見稿,消費者金融信息是指金融機構通過開展業務或者其他合法渠道獲取、加工和存儲的消費者信息,包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他與特定消費者購買、使用金融產品或服務相關的信息。
復旦大學法學院教授許多奇在接受采訪時稱,如果池子因為“流水”被泄露,利益受到損害,他就要拿出證據,證明后續受到的損害和之前的信息泄露具有密切聯系和因果關系。具體案件要根據場景具體分析,因為數據法領域政出多門,規制相對薄弱,我國在個人金融信息保護立法和實施方面還有待完善。
鄧建鵬也認為,目前,我國還沒有形成一部專門的數據法,只有與數據相關的法律法規,確實存在一種政出多門的狀態。而這種狀態也與公民個人信息的復雜性有關,若干個有權力的部門會根據他們的職權來規定如何保護公民個人信息和個人數據。
“信息性質的不同決定了主管部門的差異。整體來看,我國目前還沒有一部完整的公民個人信息法,而是分散于各個部門進行管理。金融信息作為個人信息中的核心組成,其保護主要依賴央行和銀監會發布的規范性文件或部門規章。”鄧建鵬說。
因此,鄧建鵬建議,在立法方面,要進一步推進個人信息保護法出臺。在即將發布的民法典中也應設置個人信息保護的章節,為整個社會設置標桿,厘清何種信息應受到法律保護,為開展商業行為或個人行為提供標準。此外,要加強合規管理,嚴厲打擊銀行員工利用職務之便侵犯公民權利的行為。(記者 趙麗 實習生 梁晨 郭元橋)
