池子吐槽中信銀行泄露個(gè)人賬戶交易明細(xì)引發(fā)熱議
個(gè)人金融信息安全漏洞怎么堵
● 無論是依據(jù)商業(yè)銀行法還是消費(fèi)者權(quán)益保護(hù)法,銀行在收集儲(chǔ)戶的個(gè)人信息后,應(yīng)當(dāng)依法妥善保管,未經(jīng)法定機(jī)關(guān)法定程序,不得任意向其他第三人提供
● 銀行員工私自對(duì)外提供個(gè)人金融信息的情況時(shí)有發(fā)生,尤其是在銀行支行一級(jí),由于信息安全把關(guān)不嚴(yán),“內(nèi)鬼”鉆漏洞泄露個(gè)人金融信息的亂象較多
● 在立法方面,要進(jìn)一步推進(jìn)個(gè)人信息保護(hù)法出臺(tái)。同時(shí),要加強(qiáng)合規(guī)管理,嚴(yán)厲打擊銀行員工利用職務(wù)之便侵犯公民權(quán)利的行為
近日,脫口秀演員池子(本名王越池)發(fā)文吐槽中信銀行泄露個(gè)人賬戶交易明細(xì)引發(fā)熱議。
5月9日,中國(guó)銀保監(jiān)會(huì)消費(fèi)者權(quán)益保護(hù)局發(fā)布通報(bào)稱,將按照相關(guān)法律法規(guī),啟動(dòng)立案調(diào)查程序,嚴(yán)格依法依規(guī)進(jìn)行查處。
接受《法制日?qǐng)?bào)》記者采訪的業(yè)內(nèi)人士認(rèn)為,銀行流水屬于財(cái)產(chǎn)信息,是個(gè)人信息的重要組成方面,任何人都不得侵害。要根據(jù)信息泄露過程的不同特征進(jìn)行具體分析,如果是銀行的不當(dāng)行為,應(yīng)由銀行承擔(dān)責(zé)任;如果個(gè)人存在違法違規(guī)行為,則可能觸犯刑法或商業(yè)銀行法。此事件也暴露出我國(guó)在個(gè)人金融信息保護(hù)立法和實(shí)施方面還有待完善,需進(jìn)一步推進(jìn)個(gè)人信息保護(hù)法出臺(tái),同時(shí)加強(qiáng)合規(guī)管理,嚴(yán)厲打擊銀行員工利用職務(wù)之便侵犯公民權(quán)利的行為。
銀行泄露交易明細(xì) 違規(guī)同時(shí)涉嫌違法
5月6日,池子發(fā)布長(zhǎng)文稱,他在處理與笑果文化的合約糾紛時(shí)收到來自對(duì)方的案件材料,里面包含他在中信銀行的個(gè)人賬戶交易明細(xì)。
5月6日晚,上海笑果文化在微博上回應(yīng)稱,相關(guān)仲裁正在進(jìn)行中,其“根據(jù)相關(guān)流程采取了財(cái)產(chǎn)保全、提起仲裁、證據(jù)收集等法律活動(dòng)”,且上述行動(dòng)“均在法律及合同的框架之下進(jìn)行”。
5月7日凌晨,中信銀行發(fā)布致歉信稱:“經(jīng)我行核實(shí),近期上海笑果文化傳媒有限公司聯(lián)系開戶支行,要求查詢其為員工王越池先生支付勞務(wù)工資記錄時(shí),我行員工未嚴(yán)格按規(guī)定辦理,提供了王先生的收款記錄。對(duì)此,我們向王先生鄭重道歉!”并稱該行已按制度規(guī)定對(duì)相關(guān)員工予以處分,并對(duì)支行行長(zhǎng)予以撤職。
中信銀行表示,在客戶信息保護(hù)方面,該行建立了一整套制度及流程,但個(gè)別員工未嚴(yán)格按照制度操作,反映出該行個(gè)別機(jī)構(gòu)在制度執(zhí)行上不到位。“我行將舉一反三,全面檢查,加大培訓(xùn),強(qiáng)抓制度執(zhí)行,堅(jiān)決避免此類問題再次發(fā)生,切實(shí)保護(hù)金融消費(fèi)者合法權(quán)益?!?/p>
個(gè)人金融信息泄露產(chǎn)生的影響不容忽視。據(jù)中央財(cái)經(jīng)大學(xué)法學(xué)院教授鄧建鵬介紹,信息泄露后,實(shí)施電信詐騙者極可能對(duì)潛在的犯罪對(duì)象進(jìn)行精準(zhǔn)定位和選擇;一些出售房產(chǎn)、保險(xiǎn)類產(chǎn)品的商業(yè)機(jī)構(gòu)很可能根據(jù)泄露的信息來精準(zhǔn)挑選潛在用戶,推銷產(chǎn)品,構(gòu)成商業(yè)性騷擾;此外,銀行“流水”公布后,用戶與他人、機(jī)構(gòu)之間的交往記錄就會(huì)被他人知曉,使得被交往對(duì)象的信息也被牽扯進(jìn)來。
根據(jù)人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》和民法中提到的誠(chéng)信原則,銀行有保守客戶信息秘密的義務(wù)要求。
因此,鄧建鵬認(rèn)為,泄露客戶賬戶信息的行為違背了金融監(jiān)管部門發(fā)布的規(guī)章制度,還涉嫌違法。另外,存錢相當(dāng)于達(dá)成合同契約,銀行泄露客戶信息違背了合同法的相關(guān)規(guī)定。
“個(gè)別員工固然涉及違規(guī)和違法問題,但管理層也有監(jiān)督管理和培訓(xùn)職責(zé)。出現(xiàn)此類事件,說明他們沒有履行好監(jiān)督管理責(zé)任。因此,個(gè)人和單位都存在問題,不能將責(zé)任全部推給個(gè)人?!编嚱i說。
中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)中心特約研究員趙占領(lǐng)也認(rèn)為,無論是依據(jù)商業(yè)銀行法還是消費(fèi)者權(quán)益保護(hù)法,銀行在收集儲(chǔ)戶的個(gè)人信息后,應(yīng)當(dāng)依法妥善保管,未經(jīng)法定機(jī)關(guān)法定程序,不得任意向其他第三人提供。
“從現(xiàn)行立法角度看,個(gè)人金融信息已經(jīng)被各種法律所保護(hù)。民法總則和侵權(quán)責(zé)任法中規(guī)定了隱私權(quán)與個(gè)人信息權(quán),銀行‘流水’屬于財(cái)產(chǎn)信息,是個(gè)人信息的重要組成方面,任何人都不得侵害。商業(yè)銀行法更是進(jìn)一步明確了銀行對(duì)存款人的保密義務(wù)?!壁w占領(lǐng)說。
據(jù)趙占領(lǐng)介紹,我國(guó)刑法修正案(九)特別規(guī)定了侵犯公民個(gè)人信息犯罪的罪名,兩高也出臺(tái)了相關(guān)司法解釋,詳盡描述了侵害公民財(cái)產(chǎn)信息刑事立案標(biāo)準(zhǔn)所需要達(dá)到的數(shù)量,又特別規(guī)定,那些在履行職責(zé)過程中和提供服務(wù)過程中,將獲得的個(gè)人信息出售或提供他人的,刑事立案標(biāo)準(zhǔn)只需要達(dá)到普通案件的一半即可。
“即便泄露是由個(gè)人行為構(gòu)成,銀行也應(yīng)該承擔(dān)管理不當(dāng)?shù)呢?zé)任。監(jiān)管部門和行政部門應(yīng)從外部督促銀行承擔(dān)責(zé)任,相關(guān)負(fù)責(zé)人也應(yīng)被追責(zé)并受到處罰?!敝袊?guó)社會(huì)科學(xué)院金融風(fēng)險(xiǎn)與金融監(jiān)管研究室副主任尹振濤說。
尹振濤認(rèn)為,應(yīng)針對(duì)客戶信息泄露過程的不同特征分情況看待,如果是銀行的不當(dāng)行為,則應(yīng)由銀行承擔(dān)責(zé)任;如果個(gè)人存在違法違規(guī)行為,則可能觸犯刑法或商業(yè)銀行法,要受到懲處。
信息安全把關(guān)不嚴(yán) 銀行內(nèi)鬼頻鉆漏洞
多名銀行從業(yè)人士在接受采訪時(shí)稱,發(fā)生在中信銀行的這件事不具有普遍性,監(jiān)管部門、銀行對(duì)個(gè)人信息保護(hù)極為重視,也出臺(tái)了相關(guān)的政策、規(guī)章制度,但問題在于缺少嚴(yán)格的法律監(jiān)管,以及如何督促相關(guān)人員執(zhí)行到位。
據(jù)了解,即使是有權(quán)力機(jī)關(guān)如公檢法紀(jì)委監(jiān)委等要求銀行配合調(diào)查,按照規(guī)定一般需要有權(quán)機(jī)關(guān)(公檢法紀(jì)委監(jiān)委等)兩名工作人員,攜帶證件及公函前往辦理。以法院查詢?yōu)槔?,需要兩名法院工作人員攜帶兩證(工作證和執(zhí)行公務(wù)證)、法院蓋章的查詢文書辦理。銀行的工作人員核對(duì)法院工作人員的證件和公函,核對(duì)無誤后才予以辦理。
《法制日?qǐng)?bào)》記者也通過采訪獲悉,按照規(guī)定,用戶若想查詢個(gè)人賬戶交易明細(xì),需攜帶身份證、銀行卡到所屬銀行營(yíng)業(yè)網(wǎng)點(diǎn)非現(xiàn)金業(yè)務(wù)窗口通過銀行工作人員打印,特殊情況除外,其他人均無權(quán)打印。
一位銀行人士告訴《法制日?qǐng)?bào)》記者:“其他打印‘流水’的幾種方法,也都需要用戶銀行卡或身份證及相關(guān)授權(quán)信息,除了用戶本人及本人提供的授權(quán)外,在沒有這些證明的情況下,即便用戶的父母也無法打印其個(gè)人交易‘流水’?!?/p>
然而,從近年公布的法律判決書來看,銀行員工私自對(duì)外提供個(gè)人金融信息的情況時(shí)有發(fā)生,尤其是在銀行支行一級(jí),由于信息安全把關(guān)不嚴(yán),“內(nèi)鬼”鉆漏洞泄露個(gè)人金融信息的亂象較多。
某城商行高管透露,類似在暗網(wǎng)大規(guī)模的金融數(shù)據(jù)被交易確實(shí)存在,但主要發(fā)生在2018年以前,當(dāng)時(shí)《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》尚未出臺(tái),很多銀行分支行操作不規(guī)范,存在“內(nèi)鬼”。
此外,還有些銀行可能會(huì)屈從于“大客戶”,進(jìn)而泄露個(gè)人金融信息。有銀行從業(yè)者坦言,在銀行內(nèi)部,員工隨意查閱用戶“流水”信息的現(xiàn)象確實(shí)存在,“不過,銀行即使屈從于‘大客戶’,幫助其查閱‘流水’信息也只能是隱秘不公開的,更不會(huì)在未經(jīng)授權(quán)的情況下提供用戶‘流水’作為證據(jù)”。
據(jù)池子透露,中信銀行就回復(fù)其稱“這是配合大客戶的要求”。
這一說法再次引爆輿論。有多名網(wǎng)友質(zhì)疑:“大客戶有要求,銀行就能隨意泄露其他客戶信息?個(gè)人在銀行的賬戶信息是否安全?”
鄧建鵬認(rèn)為,根據(jù)池子所提供的信息,銀行之所以泄露其信息,是為了討好所謂的“大客戶”,從這里可以看出,泄露個(gè)人金融信息行為的背后主要是一種利益推動(dòng)。當(dāng)犯罪嫌疑人將用戶信息賣給他人就能夠從中獲利,而在本事件中,銀行則能夠討好大客戶從而刺激其儲(chǔ)蓄,獲取額外收益。
有媒體直言,“池子事件”只是商業(yè)銀行信息泄露情況的冰山一角,商業(yè)銀行大量基層員工的客戶信息保密的意識(shí)相當(dāng)?shù) ?/p>
河南工業(yè)大學(xué)知識(shí)產(chǎn)權(quán)研究中心主任李文江曾對(duì)鄭州商業(yè)銀行300位客戶經(jīng)理進(jìn)行問卷調(diào)查,2018年在《我國(guó)商業(yè)銀行客戶信息的秘密性及其保護(hù)》一文中公布了結(jié)果:“60%以上的客戶經(jīng)理所在銀行沒有建立客戶信息保密制度,不了解客戶信息的范圍;70%的客戶經(jīng)理認(rèn)為所在銀行的客戶信息保密制度過于原則,沒有覆蓋客戶信息收集、整理、提升和使用的各個(gè)環(huán)節(jié);90%的客戶經(jīng)理認(rèn)為客戶信息主要掌握在客戶經(jīng)理手里,所在銀行沒有規(guī)定統(tǒng)一保護(hù)措施,工作調(diào)動(dòng)可以隨意帶走客戶信息,不存在任何制約措施?!?/p>
完善信息保護(hù)立法 加強(qiáng)銀行合規(guī)管理
一系列涉及個(gè)人金融信息安全事件的出現(xiàn),給從業(yè)機(jī)構(gòu)敲響了警鐘。
近年來,監(jiān)管部門嚴(yán)格監(jiān)管銀行客戶信息安全管理,罰單不斷。一些違規(guī)泄露客戶信息的員工,不僅遭終身禁業(yè),還會(huì)受到法律嚴(yán)懲。
“正因?yàn)槿绱耍淮嬖诖笠?guī)模數(shù)據(jù)泄露或?qū)С鍪圪u的可能性。但不可否認(rèn),依然存在個(gè)別通過‘走后門’的關(guān)系進(jìn)行信息查詢,或者由于員工操作不當(dāng)導(dǎo)致系統(tǒng)信息出現(xiàn)泄露的情況。”前述某城商行高管說。
在趙占領(lǐng)看來,違規(guī)泄露客戶信息的員工要么是缺乏法律意識(shí),要么就是在知曉行為違法性的基礎(chǔ)上心存僥幸心理,受到利益的驅(qū)使而做出此類不良行為。
“而從銀行角度來看,雖然已經(jīng)建立起內(nèi)部規(guī)章制度,但缺乏有效的執(zhí)行保障機(jī)制。如何將規(guī)章制度貫徹到位,同時(shí)落實(shí)到基層員工上,這些問題對(duì)于銀行管理實(shí)踐仍然是巨大的挑戰(zhàn),管理上仍然有短板。”趙占領(lǐng)說。
值得注意的是,監(jiān)管部門亦關(guān)注到相關(guān)風(fēng)險(xiǎn),并出手規(guī)范市場(chǎng)。
2019年,《個(gè)人金融信息(數(shù)據(jù))保護(hù)試行辦法》(初稿)、《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法(征求意見稿)》相繼發(fā)布。
今年年初,人民銀行發(fā)布的2020年規(guī)章制定工作計(jì)劃也明確,將制定《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》。根據(jù)2019年年末的征求意見稿,消費(fèi)者金融信息是指金融機(jī)構(gòu)通過開展業(yè)務(wù)或者其他合法渠道獲取、加工和存儲(chǔ)的消費(fèi)者信息,包括個(gè)人身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其他與特定消費(fèi)者購(gòu)買、使用金融產(chǎn)品或服務(wù)相關(guān)的信息。
復(fù)旦大學(xué)法學(xué)院教授許多奇在接受采訪時(shí)稱,如果池子因?yàn)椤傲魉北恍孤叮媸艿綋p害,他就要拿出證據(jù),證明后續(xù)受到的損害和之前的信息泄露具有密切聯(lián)系和因果關(guān)系。具體案件要根據(jù)場(chǎng)景具體分析,因?yàn)閿?shù)據(jù)法領(lǐng)域政出多門,規(guī)制相對(duì)薄弱,我國(guó)在個(gè)人金融信息保護(hù)立法和實(shí)施方面還有待完善。
鄧建鵬也認(rèn)為,目前,我國(guó)還沒有形成一部專門的數(shù)據(jù)法,只有與數(shù)據(jù)相關(guān)的法律法規(guī),確實(shí)存在一種政出多門的狀態(tài)。而這種狀態(tài)也與公民個(gè)人信息的復(fù)雜性有關(guān),若干個(gè)有權(quán)力的部門會(huì)根據(jù)他們的職權(quán)來規(guī)定如何保護(hù)公民個(gè)人信息和個(gè)人數(shù)據(jù)。
“信息性質(zhì)的不同決定了主管部門的差異。整體來看,我國(guó)目前還沒有一部完整的公民個(gè)人信息法,而是分散于各個(gè)部門進(jìn)行管理。金融信息作為個(gè)人信息中的核心組成,其保護(hù)主要依賴央行和銀監(jiān)會(huì)發(fā)布的規(guī)范性文件或部門規(guī)章。”鄧建鵬說。
因此,鄧建鵬建議,在立法方面,要進(jìn)一步推進(jìn)個(gè)人信息保護(hù)法出臺(tái)。在即將發(fā)布的民法典中也應(yīng)設(shè)置個(gè)人信息保護(hù)的章節(jié),為整個(gè)社會(huì)設(shè)置標(biāo)桿,厘清何種信息應(yīng)受到法律保護(hù),為開展商業(yè)行為或個(gè)人行為提供標(biāo)準(zhǔn)。此外,要加強(qiáng)合規(guī)管理,嚴(yán)厲打擊銀行員工利用職務(wù)之便侵犯公民權(quán)利的行為。(記者 趙麗 實(shí)習(xí)生 梁晨 郭元橋)