新华财经上海5月7日电(记者 王淑娟)个人信息泄露不是小事,这些年来银行信息泄露的事件屡屡发生,不少人对之深恶痛绝。针对有客户在网络上公开投诉个人交易流水信息被泄露一事,中信银行6日晚间回应称,经核实,员工未严格按规定办理,提供了客户的收款记录。已按制度规定对相关员工予以处分,并对支行行长予以撤职。
中信银行虽然对涉事人道歉并对支行行长撤职,但事件在网络上仍然引发热议,不少网友提出质疑。“大客户要数据就可以轻易要到,这令人细思恐极!”“泄露客户信息撤职道歉就可以了吗?”
还有不少网友喊话中信银行,“大客户才是客户,其他都是活该?”
法律界专家认为,“中信银行事件”明显侵犯了个人信息隐私,尤其要敲响警钟的是,个人信息保护理念是金融机构过往容易忽视的。
银行个人信息泄露频发
近年来,个人信息泄漏事件频发,金融领域的个人信息保护也开始受到重视。记者检索裁判文书网和公开信息了解到,银行客户信息泄露的事件时有发生。
——个人征信信息未经授权被查询甚至泄露。近年来,有不少银行未经授权,违规随意查询个人征信信息,导致个人隐私泄露。
例如,2018年,中国银行湖北通山支行因“客户信息管理安全不到位”被处以罚款20万元,该行员工陈谦被禁止终身从事银行业工作。罚单显示,陈谦利用职务便利查询客户个人信息并泄露给外部人员,禁止终身从事银行业。
——银行内鬼倒卖客户信息谋利。4月底,上海虹口区人民法院审理了一起贩卖银行客户信息案件。2019年8月起,被告人徐某某委托同案关系人黄某,利用黄某在浙江民泰商业银行工作、可以接触到公民房产产权调查信息的工作便利,以每条人民币50元的价格购买黄某从银行中窃取的公民产调信息,涉案信息为206条。虹口区人民法院法院认为,被告人违反国家有关规定,以购买的方式非法获取公民个人信息并向他人出售,其行为均已构成侵犯公民个人信息罪。
利用银行工作的职务之便,将客户信息当做“摇钱树”倒卖的案例还有很多。近日,徐州法院公布的刑事判决书显示,2017年8月至2017年12月,曾在北京银行上海张江支行临时工作的吴某某,在明知诸某某、陈某某利用银行系统,违规为闫某查询公民个人征信信息,提供给闫某收取费用的情况下,仍然帮助诸、陈二人违规为闫某查询相关信息,并通过邮箱发送给闫某。截至案发,吴某某共计向闫某提供公民个人征信信息830余条。最终,吴某某的行为被认定为侵犯公民个人信息罪,且与他人系共同犯罪。
——贷款客户财产信息被泄露。2020年3月底,原建设银行余姚城建支行行长沈某某因犯侵犯公民个人信息罪,被判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。法院认定,2017年3月至4月,沈某某曾将非法获取的余姚市东城名苑业主财产信息1111条和其所在行贷款客户财产信息127条非法提供给他人用于招揽业务。
——银行App违规收集信息屡遭点名。国家计算机病毒应急处理中心2020年1月表示,在“净网2020”专项行动中通过互联网监测发现多款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。被通报的App中出现多家银行的身影,分别为民生银行、兴业银行、内蒙古农村信用社等。
谁来守护个人金融信息安全?
央行数据显示,截至2019年底,我国开立银行账户113.52亿户,其中,个人银行账户112.84亿户,同比增长12.07%。全国人均拥有银行账户数达8.09户。此外,截至2019年6月,我国征信系统已累计收录了9.9亿自然人、2591万户企业和其他组织的有关信息,成为世界上收录人数最多、数据规模最大、覆盖范围最广的征信系统,基本覆盖全国范围内每一个有信用活动的企业和个人。
那么,这些个人金融信息安全谁来守护?协力律师事务所资深顾问江翔宇指出,金融行业因为涉及个人的资产安全,因此对金融机构的保密义务相对于其它行业一直有较高要求,金融监管部门亦一直将保密义务作为金融监管的重点。
其实,早在2016年11月监管出台的《关于银行业金融机构客户个人信息泄露案件风险提示的通知》就提出,部分银行业金融机构客户个人信息管理使用制度不健全,岗位制约和机制监督缺失,未能严格按照相关法律法规、监管要求完善内控制度建设;甚至有银行“内鬼”出售客户信息非法谋利,部分银行对员工日常行为疏于管理,个别员工在社会不法分子的利益诱惑下,利用职务之便窃取、出售或非法提供客户个人信息,形成案件风险。
值得关注的是,目前随着金融业互联网化程度不断提升,个人信息安全面临的挑战更大。
江翔宇表示,鉴于金融数据保护通常涉及个人的敏感信息,并且具有高度精准识别性,特别是账户数据、交易数据、信用数据等信息可能被交易对手或外界所利用,从而对客户造成可能的经济损失,同时由于金融行业数据的量级和复杂性,因此金融数据泄露的实际风险较大,对金融数据的风险控制、信息安全和数据防护能力以及技术处理手段都提出了更高的要求。
专家认为,目前我国在个人金融信息保护方面仍存在不足,缺乏专门性立法,对违法机构和个人的法律追究机制尚不健全。据悉,《个人金融信息(数据)保护试行办法》有望在今年出台,或将从源头上约束金融机构加强对个人信息保护。