商業(yè)銀行防范客戶信息泄露法律風(fēng)險問題研究

萬育

伴隨著我國經(jīng)濟的快速發(fā)展，商業(yè)銀行在市場經(jīng)濟中發(fā)揮的作用日益突出，商業(yè)銀行服務(wù)客戶群體不斷擴大，提供的金融服務(wù)內(nèi)容日益豐富。與此同時，商業(yè)銀行獲取了海量客戶信息，如何保護客戶信息安全，防范客戶信息泄露風(fēng)險，成為商業(yè)銀行面臨的重大課題。特別是近日某銀行泄露客戶個人賬戶信息事件，再次引發(fā)社會對客戶信息安全問題的關(guān)注。事情經(jīng)過大概如下：2020年5月6日，脫口秀演員王先生發(fā)微博稱，某銀行未獲本人授權(quán)，便將他的個人賬戶流水提供給一家文化傳媒有限公司，這屬于侵犯公民個人信息的違法行為。他通過律師發(fā)函，要求銀行賠償損失，并公開道歉。5月7日凌晨，涉事銀行通過官方微博發(fā)布道歉信，承認員工未嚴格按規(guī)定辦理，提供了王先生的收款記錄，向王先生鄭重道歉。該銀行按制度規(guī)定對相關(guān)員工予以處分，并對支行行長予以撤職。對于此事，當(dāng)?shù)劂y行業(yè)監(jiān)管部門也介入開展調(diào)查。

1.泄露客戶信息的法律責(zé)任及后果

1.1刑事責(zé)任

我國《刑法》第二百五十三條之一規(guī)定了侵犯公民個人信息罪，“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰?！?/p>

根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息50條以上的;或者違法所得達到5000元以上的，將會被追究刑事責(zé)任。同時，按照該司法解釋的規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人，上述信息數(shù)量達到25條以上，或者違法所得達到2500元以上，將會被追究刑事責(zé)任。

綜上，商業(yè)銀行員工如果泄露客戶財產(chǎn)信息數(shù)量在25條以上，或者違法所得達到2500元以上，涉嫌構(gòu)成侵犯公民個人信息罪，最高可處七年有期徒刑并處罰金。

1.2行政法律責(zé)任

根據(jù)《商業(yè)銀行法》、《消費者權(quán)益保護法》、《網(wǎng)絡(luò)安全法》、《征信管理條例》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等有關(guān)規(guī)定，對個人信息安全擁有一定監(jiān)管權(quán)力的行政機關(guān)包括人民銀行、銀保監(jiān)會、工商行政管理部門、國家網(wǎng)信部門等，銀行泄露個人信息將面臨行政監(jiān)管處罰。

1.2.1根據(jù)《中華人民共和國商業(yè)銀行法》第29條規(guī)定，商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)，應(yīng)當(dāng)遵循存款自愿、取款自由、存款有息、為存款人保密的原則。對個人儲蓄存款，商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃，但法律另有規(guī)定的除外。換言之，對個人儲蓄存款，商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃，通常只有在配合司法調(diào)查程序的情況下，銀行才會向公檢法等部門提供儲戶個人賬戶交易明細。結(jié)合《商業(yè)銀行法》第73條的規(guī)定，商業(yè)銀行違反《商業(yè)銀行法》規(guī)定的保密義務(wù)，對存款人或者其他客戶造成損害的，監(jiān)管機構(gòu)有權(quán)對商業(yè)銀行進行行政處罰。處罰內(nèi)容包括：“由國務(wù)院銀行業(yè)監(jiān)督管理機構(gòu)責(zé)令改正，有違法所得的，沒收違法所得，違法所得五萬元以上的，并處違法所得一倍以上五倍以下罰款;沒有違法所得或者違法所得不足五萬元的，處五萬元以上五十萬元以下罰款?！?/p>

1.2.2按照《消費者權(quán)益保護法》第56條規(guī)定，侵害消費者個人信息依法得到保護的權(quán)利的，經(jīng)營者除承擔(dān)相應(yīng)的民事責(zé)任外，其他有關(guān)法律、法規(guī)對處罰機關(guān)和處罰方式有規(guī)定的，依照法律、法規(guī)的規(guī)定執(zhí)行;法律、法規(guī)未作規(guī)定的，由工商行政管理部門或者其他有關(guān)行政部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以違法所得1以上10倍以下的罰款，沒有違法所得的，處以50萬元以下的罰款;情節(jié)嚴重的，責(zé)令停業(yè)整頓、吊銷營業(yè)執(zhí)照。

1.2.3根據(jù)人民銀行《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》（銀發(fā)〔2011〕17號）規(guī)定，中國人民銀行及其地市中心支行以上分支機構(gòu)受理投訴或發(fā)現(xiàn)銀行業(yè)金融機構(gòu)可能未履行個人金融信息保護義務(wù)的，可依法進行核實，認定銀行業(yè)金融機構(gòu)存在違反本通知規(guī)定，或存在其他未履行個人金融信息保護義務(wù)情形的，可采取以下處理措施：約見其高管人員談話，要求說明情況;責(zé)令銀行業(yè)金融機構(gòu)限期整改;在金融系統(tǒng)內(nèi)予以通報;建議銀行業(yè)金融機構(gòu)對直接負責(zé)的高級管理人員和其他直接責(zé)任人員依法給予處分;涉嫌犯罪的，依法移交司法機關(guān)處理。

1.3民事法律責(zé)任

銀行違反個人信息保護的有關(guān)規(guī)定，泄露客戶信息將會承擔(dān)違約責(zé)任或侵權(quán)責(zé)任。

1.3.1違約責(zé)任

如果銀行和客戶之間具有相關(guān)合同約定，客戶可依相關(guān)約定要求銀行承擔(dān)違約責(zé)任;如客戶與銀行之間沒有相關(guān)約定的，客戶可以依據(jù)《合同法》第60條和第92條規(guī)定的保密義務(wù)，也即民法理論上的附隨義務(wù)，要求銀行承擔(dān)違約責(zé)任。

1.3.2侵權(quán)責(zé)任

我國《民法總則》第111條規(guī)定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”同時，《民法總則》第120條規(guī)定：“民事權(quán)益受到侵害的，被侵權(quán)人有權(quán)請求侵權(quán)人承擔(dān)侵權(quán)責(zé)任?！?/p>

《中華人民共和國侵權(quán)責(zé)任法》第十五條規(guī)定：“承擔(dān)侵權(quán)責(zé)任的方式主要有：（一）停止侵害（二）排除妨礙（三）消除危險（四）返還財產(chǎn)（五）恢復(fù)原狀（六）賠償損失（七）賠禮道歉（八）消除影響、恢復(fù)名譽。以上承擔(dān)侵權(quán)責(zé)任的方式，可以單獨適用，也可以合并適用。”

綜上，商業(yè)銀行泄露個人客戶信息的行為侵犯了客戶的民事權(quán)益，將承擔(dān)賠禮道歉、賠償損失等侵權(quán)責(zé)任。

1.4泄露客戶信息的其他后果

對銀行而言，泄露客戶信息直接損害銀行的聲譽，在面臨監(jiān)管處罰的同時，導(dǎo)致客戶流失，從而帶來難以估量的經(jīng)濟損失。對銀行員工而言，泄露客戶信息面臨著內(nèi)部處分甚至開除、追究刑事責(zé)任，給個人職業(yè)生涯和家庭生活帶來沉重的打擊。

2.商業(yè)銀行發(fā)生客戶信息泄露的原因分析

結(jié)合實踐中發(fā)生的一些案例，商業(yè)銀行發(fā)生客戶信息泄露事件主要有內(nèi)部原因和外部原因。

2.1內(nèi)部原因

2.1.1有的商業(yè)銀行內(nèi)部管理薄弱。比如：在加強客戶信息保護工作方面，往往制定有規(guī)章制度，但在執(zhí)行落實方面不充分，不到位，存在執(zhí)行盲區(qū)。在員工管理方面不到位，“認識你的員工”是加強員工行為管理的重要原則，但在實踐中有的商業(yè)銀行營業(yè)機構(gòu)對員工管理不到位，以信任代替制度，未能事先發(fā)現(xiàn)員工異常行為，防范泄露客戶信息行為發(fā)生。

2.1.2有的銀行員工合規(guī)意識、法律意識薄弱。有的銀行員工合規(guī)意識不強，為追求營銷業(yè)績，有章不循，未能堅持嚴格遵守銀行的規(guī)章制度。有的銀行員工在主觀意識上存在模糊認識，未能認識到自己的行為屬于泄露客戶信息，或者雖然認識到自己的行為可能屬于泄露客戶信息行為，但心存僥幸，認為不會有什么后果，不會產(chǎn)生什么影響，也不會有什么危害。還有極少數(shù)銀行員工，明知行為屬于泄露客戶信息行為，但為了非法獲利，不惜鋌而走險。

2.2外部原因

公民個人信息具有重要商業(yè)價值，商業(yè)銀行所掌握的海量客戶信息，成為一些個人、企業(yè)覬覦的對象。一些不法分子，為達到獲取信息目的，采取各種手段，試圖打入商業(yè)銀行內(nèi)部，通過銀行員工實現(xiàn)非法利益的傳輸交換。外部誘因也是商業(yè)銀行發(fā)生客戶信息泄露風(fēng)險的重要原因。

3.商業(yè)銀行防范客戶信息泄露的應(yīng)對措施

為防范客戶信息泄露給商業(yè)銀行帶來的巨大法律風(fēng)險，結(jié)合上述原因分析，商業(yè)銀行應(yīng)多措并舉，從事前、事中、事后三個階段，實現(xiàn)從被動防護到主動防護轉(zhuǎn)變，嚴防客戶信息泄露風(fēng)險。

3.1事前階段

3.1.1加強客戶信息安全保護體系建設(shè)，從機制上防范客戶信息泄露。對客戶信息安全保護工作相關(guān)制度進行體系化梳理，查缺補漏，加強客戶信息保護的層級管理和業(yè)務(wù)條線管理，實現(xiàn)對客戶信息的縱橫交叉保護，編織成一張保護客戶信息安全的防護網(wǎng)。

3.1.2開展員工警示教育和業(yè)務(wù)培訓(xùn)，營造合規(guī)文化，樹牢銀行員工的合規(guī)意識、保密意識、法律意識，做到警鐘長鳴。通過教育培訓(xùn)，讓銀行員工充分認識到保護客戶信息安全是銀行人的職責(zé)所在，在思想上繃緊合規(guī)這根弦，由“要我合規(guī)”轉(zhuǎn)變?yōu)椤拔乙弦?guī)”，積極履行保密義務(wù)，主動承擔(dān)保密責(zé)任，嚴防泄露客戶信息。

3.2事中階段

3.2.1堅持合規(guī)經(jīng)營。在日常工作中，無論服務(wù)對象是否特別，商業(yè)銀行堅決不能突破合規(guī)底線。對于客戶要求通過電話查詢敏感信息的，銀行員工應(yīng)有禮有節(jié)引導(dǎo)客戶按照銀行相關(guān)制度規(guī)定辦理查詢業(yè)務(wù)，必要時可建議客戶向司法機關(guān)申請調(diào)取相關(guān)信息，銀行將給予司法協(xié)助。

3.2.2加強對客戶信息管理。遵循相關(guān)監(jiān)管規(guī)定，按照規(guī)定做好客戶個人信息的收集、查詢和使用，包括但不限于客戶的身份證、戶口本、銀行賬戶、征信信息等個人信息。日常做好客戶重要信息的保管保密工作，避免客戶信息文檔遺失，防范無關(guān)人員獲取客戶文檔信息，對于涉及客戶信息的廢棄文件要及時銷毀。

3.2.3加強技術(shù)支持和保障。商業(yè)銀行網(wǎng)絡(luò)運營部門、技術(shù)部門等應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)產(chǎn)品、服務(wù)安全，確保收集的個人信息安全，防止信息泄露、毀損、丟失。

3.2.4強化員工行為管理。加強對員工行為管控，加大對員工異常行為排查力度，關(guān)注重點崗位、重點人員、重點環(huán)節(jié)，建立員工行為的防火墻，隔離操作風(fēng)險、道德風(fēng)險等，將風(fēng)險發(fā)生機率控制在最低。

3.3事后階段

商業(yè)銀行應(yīng)制定完善個人客戶信息泄露突發(fā)事件應(yīng)急預(yù)案，建立突發(fā)事件應(yīng)急機制，一旦發(fā)現(xiàn)泄漏客戶信息的苗頭或風(fēng)險，第一時間進行應(yīng)急處理。在風(fēng)險化解之后，對相關(guān)責(zé)任人員嚴肅追究問責(zé)。同時，對事件進行總結(jié)復(fù)盤，針對發(fā)現(xiàn)的不足，進一步完善相關(guān)風(fēng)險防控機制。