中信银行泄露客户流水引发信任危机：个人信息安全该如何保护？

原创 倪泰 中国市场监管报

未经授权，本人未到场，没有银行卡、密码，也未走任何司法机关合法调查程序，第三方却轻易从银行获得个人账户交易流水……中信银行泄露客户流水引发信任危机：谁可以看我们的个人账户？个人信息安全该如何保护？

身陷泄密“池子”

5月6日，脱口秀演员王越池（艺名“池子”）发布微博称，中信银行股份有限公司虹口支行在未经授权、未经任何司法机关合法调查程序的情况下，便将其个人账户流水提供给上海笑果文化传媒有限公司，侵犯其个人隐私。对此，5月7日凌晨，中信银行在官微发文致歉，并对支行行长予以撤职。

“按照相关法规，除了国家行政机关，如公检法办案可以查询，其他情况下金融机构不得将储户信息私自泄露给第三方。”中央财经大学金融学院教授郭田勇说。

“中信银行涉嫌违反为储户保密的义务。”中央财经大学副教授缪因知表示。他指出，根据《商业银行法》第二十九条规定，商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。

监管部门反应快速。5月9日，中国银保监会发布《关于中信银行侵害消费者合法权益的通报》。通报称，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违反《商业银行法》和银保监会关于个人信息保护的监管规定。银保监会消费者权益保护局对中信银行启动立案调查，严格依法依规查处。

违规查询、泄露信息不止一家银行如此。2020年3月11日，中国人民银行重庆营业管理部公示行政处罚决定书，对重庆富民银行包括“侵害消费者个人信息依法得到保护的权利”等在内的多项违规行为予以处罚，没收其违法所得303489.56元，并处罚款184.5万元。

4月23日，中国银保监会官网公示两条行政处罚信息。岱山农商银行因违规泄露客户信息，被银保监会舟山监管分局依法罚款30万元。该行员工王某对泄露客户信息负有主要责任，被禁止从事银行业工作3年。

不止被行政处罚，情节严重还会被追究刑事责任。2020年3月24日，浙江省余姚市人民法院公布的一份刑事判决书显示，被告人沈某在担任建设银行余姚城建支行行长期间，利用职务之便非法对外提供客户财产信息。沈某犯侵犯公民个人信息罪，被判处有期徒刑3年、缓刑3年，并处罚金6000元。

而这些被泄露的个人信息可能会催生黑色链条。在2017年深圳警方破获的一起案件中，由某银行深圳市分行信贷部工作人员泄露的1000余份个人征信报告，非法流向房地产中介公司、小额贷款公司、自营手机店、金融投资咨询公司等。

网上个人信息泄露更引人关注。2019年7月11日，中国银行手机银行App因违反《网络安全法》关于收集使用个人信息的规定，被通报整改。12月4日，国家网络安全通报中心查处100款违法违规采集个人信息的App并责令其整改，光大银行、天津银行等多款金融类App被点名。

2020年1月，国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现，兴业银行（版本5.0.4）、民生银行（版本5.12）等银行类App未向用户明示申请的全部隐私权限，涉嫌违反《网络安全法》相关规定。

“公民财产信息作为高度敏感个人信息，受到我国《商业银行法》《网络安全法》以及民法、《刑法》等法律保护。金融机构当加强内部管控，避免触碰法律红线。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括说。

监管坚持零容忍

针对公民个人信息泄露事件频发、侵犯公民个人信息违法犯罪活动突出等问题，我国各监管部门开展联合整治，加强行业监管，严厉惩治犯罪，构建保护公民个人信息和数据安全的社会综合治理体系。

4月22日，在国新办2020年一季度银行业保险业运行发展情况发布会上，中国银保监会副主席黄洪表示，近年来银保监会印发一系列政策文件，查处不少案件，要求各银行保险机构认真贯彻落实个人信息保护方面的法律法规，加强客户隐私保护，对客户信息严格实行从采集到储存等全流程的制度化管理。

5月9日，中国银保监会起草《商业银行互联网贷款管理暂行办法（征求意见稿）》，并向社会公开征求意见。该《办法》明确商业银行不得与违规收集使用个人信息的第三方开展数据合作，对借款人的数据来源、使用、保管等问题提出要求。

2016年以来，公安部部署全国公安机关开展打击整治网络侵犯公民个人信息犯罪专项行动、“净网2018”“净网2019”“净网2020”专项行动，持续重拳打击整治侵犯公民个人信息违法犯罪活动，共侦破侵犯公民个人信息案件1.7万余起，抓获各行业内部人员3000余名。为配合新冠肺炎疫情防控工作，全国公安机关网安部门依法严厉打击网上侵害公民个人信息犯罪活动，共治安处罚1522人，通报其他部门给予党纪政纪处分433人。

2019年4月1日至9月30日，市场监管总局发布通知，针对房产租售、小贷金融、教育培训、保险经纪、美容健身、装饰装修、旅游住宿、快递、电话营销、网站或App运营等侵害消费者个人信息违法问题突出的行业和领域组织开展专项执法行动。行动期间，全国市场监管部门共立案查办各类侵害消费者个人信息案件1474起，查获涉案信息369.2万条，罚没款1946.4万元，移送公安机关案件154起；组织执法联动4225次；开展行政约谈3536次；开展宣传活动10653次。

线下严厉打击，线上同时发力。针对移动互联网应用程序（App）强制授权、过度索权、超范围收集个人信息的违法违规现象，2019年中央网信办、工业和信息化部、公安部、市场监管总局联合开展专项治理行动，指导App专项治理工作组受理8000多件网民举报，评估400余款常用App，督促其中100多家问题严重的App运营者整改，并发布《App违法违规收集使用个人信息行为认定方法》。

5月9日，江苏省委网信办、省公安厅、省市场监管局、省通信管理局联合发布公告，上线App违法违规收集使用个人信息举报系统，开展App违法违规收集使用个人信息专项治理工作。

监管坚持零容忍需要溯本清源。4月15日，公安部、中央网信办牵头，最高人民法院、最高人民检察院、工业和信息化部、市场监管总局等为成员单位，建立跨部委打击危害公民个人信息和数据安全违法犯罪长效机制，联合打击整治侵犯公民个人信息违法犯罪活动，构建保护公民个人信息和数据安全的社会综合治理体系。

“对于侵害金融消费者权益、损害客户信息安全的行为，只有依法严厉打击，增强执法威慑力，推进社会综合治理体系，才能从源头上治理公民个人信息被泄露的安全隐患。”中国地方金融研究院研究员莫开伟表示。

立法迫在眉睫

法律是国之重器，良法是善治之前提。增强内部管控，加强行业监管，最终都需要以法律为基石。

“在没有法律授权的情况下，任何单位和个人都不得要求银行非法泄露消费者的个人隐私信息。”中国人民大学法学院教授刘俊海谈及中信银行信息泄露事件时说。他认为，《消费者权益保护法》第二十九条的规定写得明明白白：“经营者收集使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。”经营者及其工作人员，包括银行工作人员，“对收集的消费者个人信息，必须严格保密，不得泄露、出售或者非法向他人提供”。否则，就要承担对消费者的民事赔偿责任。情节严重，构成犯罪的，还要按照《刑法》第二百五十三条的规定，追究泄露公民个人信息罪的刑事责任。

重庆静昇律师事务所律师朱幸表示，对金融消费者的信息保护应适用特别规定。2020年2月20日，中国人民银行印发《个人金融信息保护技术规范》，对“个人金融信息”明确界定标准，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。

“用《刑法》去追究刑事责任需要有犯罪构成要件，要求是比较严格的。当个人信息的泄露达不到那个程度怎么办？可以用民法的方式寻求救济，构成个人信息的立体保护网。”中国人民大学法学院院长王轶说。

王轶介绍，2019年12月，由民法典各分编草案与民法总则“合体”而成的完整版《民法典（草案）》，提交十三届全国人大常委会第十五次会议审议。《民法典总则编（草案）》中新增规定：自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

“个人信息保护相关规定散见于《商业银行法》《消费者权益保护法》《网络安全法》《民法总则》《电子商务法》等法律法规，亟须对个人信息保护专门立法。”多年来，多名人大代表呼吁通过国家立法为个人信息安全“上锁”，要求个人信息保护立法的呼声越来越高。

2019年3月4日，制定个人信息保护法迎来“加速度”。在十三届全国人大二次会议新闻发布会上，大会发言人张业遂介绍，全国人大常委会已将制定个人信息保护法列入本届立法规划。12月20日，全国人大常委会法工委发言人岳仲明在记者会上表示，2020年将制定个人信息保护法、数据安全法等。

中国消费者协会专家委员会专家邱宝昌指出：“制定个人信息保护法需要明确个人信息和个人隐私的界限，获取、查询个人信息的方式，个人信息的遗忘、删除权利，这在互联网时代非常重要。”

可以预见，筑牢法治支点，提升治理能力，强化自身管理，对个人信息保护信任感会转危为安。

中国市场监管报记者 倪 泰

原标题：《中信银行泄露客户流水引发信任危机：个人信息安全该如何保护？》

阅读原文