商業(yè)銀行防范客戶信息泄露法律風(fēng)險(xiǎn)問題研究

萬育

伴隨著我國(guó)經(jīng)濟(jì)的快速發(fā)展，商業(yè)銀行在市場(chǎng)經(jīng)濟(jì)中發(fā)揮的作用日益突出，商業(yè)銀行服務(wù)客戶群體不斷擴(kuò)大，提供的金融服務(wù)內(nèi)容日益豐富。與此同時(shí)，商業(yè)銀行獲取了海量客戶信息，如何保護(hù)客戶信息安全，防范客戶信息泄露風(fēng)險(xiǎn)，成為商業(yè)銀行面臨的重大課題。特別是近日某銀行泄露客戶個(gè)人賬戶信息事件，再次引發(fā)社會(huì)對(duì)客戶信息安全問題的關(guān)注。事情經(jīng)過大概如下：2020年5月6日，脫口秀演員王先生發(fā)微博稱，某銀行未獲本人授權(quán)，便將他的個(gè)人賬戶流水提供給一家文化傳媒有限公司，這屬于侵犯公民個(gè)人信息的違法行為。他通過律師發(fā)函，要求銀行賠償損失，并公開道歉。5月7日凌晨，涉事銀行通過官方微博發(fā)布道歉信，承認(rèn)員工未嚴(yán)格按規(guī)定辦理，提供了王先生的收款記錄，向王先生鄭重道歉。該銀行按制度規(guī)定對(duì)相關(guān)員工予以處分，并對(duì)支行行長(zhǎng)予以撤職。對(duì)于此事，當(dāng)?shù)劂y行業(yè)監(jiān)管部門也介入開展調(diào)查。

1.泄露客戶信息的法律責(zé)任及后果

1.1刑事責(zé)任

我國(guó)《刑法》第二百五十三條之一規(guī)定了侵犯公民個(gè)人信息罪，“違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。”

根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，“公民個(gè)人信息”，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息50條以上的;或者違法所得達(dá)到5000元以上的，將會(huì)被追究刑事責(zé)任。同時(shí)，按照該司法解釋的規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息出售或者提供給他人，上述信息數(shù)量達(dá)到25條以上，或者違法所得達(dá)到2500元以上，將會(huì)被追究刑事責(zé)任。

綜上，商業(yè)銀行員工如果泄露客戶財(cái)產(chǎn)信息數(shù)量在25條以上，或者違法所得達(dá)到2500元以上，涉嫌構(gòu)成侵犯公民個(gè)人信息罪，最高可處七年有期徒刑并處罰金。

1.2行政法律責(zé)任

根據(jù)《商業(yè)銀行法》、《消費(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》、《征信管理?xiàng)l例》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等有關(guān)規(guī)定，對(duì)個(gè)人信息安全擁有一定監(jiān)管權(quán)力的行政機(jī)關(guān)包括人民銀行、銀保監(jiān)會(huì)、工商行政管理部門、國(guó)家網(wǎng)信部門等，銀行泄露個(gè)人信息將面臨行政監(jiān)管處罰。

1.2.1根據(jù)《中華人民共和國(guó)商業(yè)銀行法》第29條規(guī)定，商業(yè)銀行辦理個(gè)人儲(chǔ)蓄存款業(yè)務(wù)，應(yīng)當(dāng)遵循存款自愿、取款自由、存款有息、為存款人保密的原則。對(duì)個(gè)人儲(chǔ)蓄存款，商業(yè)銀行有權(quán)拒絕任何單位或者個(gè)人查詢、凍結(jié)、扣劃，但法律另有規(guī)定的除外。換言之，對(duì)個(gè)人儲(chǔ)蓄存款，商業(yè)銀行有權(quán)拒絕任何單位或者個(gè)人查詢、凍結(jié)、扣劃，通常只有在配合司法調(diào)查程序的情況下，銀行才會(huì)向公檢法等部門提供儲(chǔ)戶個(gè)人賬戶交易明細(xì)。結(jié)合《商業(yè)銀行法》第73條的規(guī)定，商業(yè)銀行違反《商業(yè)銀行法》規(guī)定的保密義務(wù)，對(duì)存款人或者其他客戶造成損害的，監(jiān)管機(jī)構(gòu)有權(quán)對(duì)商業(yè)銀行進(jìn)行行政處罰。處罰內(nèi)容包括：“由國(guó)務(wù)院銀行業(yè)監(jiān)督管理機(jī)構(gòu)責(zé)令改正，有違法所得的，沒收違法所得，違法所得五萬元以上的，并處違法所得一倍以上五倍以下罰款;沒有違法所得或者違法所得不足五萬元的，處五萬元以上五十萬元以下罰款。”

1.2.2按照《消費(fèi)者權(quán)益保護(hù)法》第56條規(guī)定，侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利的，經(jīng)營(yíng)者除承擔(dān)相應(yīng)的民事責(zé)任外，其他有關(guān)法律、法規(guī)對(duì)處罰機(jī)關(guān)和處罰方式有規(guī)定的，依照法律、法規(guī)的規(guī)定執(zhí)行;法律、法規(guī)未作規(guī)定的，由工商行政管理部門或者其他有關(guān)行政部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以違法所得1以上10倍以下的罰款，沒有違法所得的，處以50萬元以下的罰款;情節(jié)嚴(yán)重的，責(zé)令停業(yè)整頓、吊銷營(yíng)業(yè)執(zhí)照。

1.2.3根據(jù)人民銀行《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（銀發(fā)〔2011〕17號(hào)）規(guī)定，中國(guó)人民銀行及其地市中心支行以上分支機(jī)構(gòu)受理投訴或發(fā)現(xiàn)銀行業(yè)金融機(jī)構(gòu)可能未履行個(gè)人金融信息保護(hù)義務(wù)的，可依法進(jìn)行核實(shí)，認(rèn)定銀行業(yè)金融機(jī)構(gòu)存在違反本通知規(guī)定，或存在其他未履行個(gè)人金融信息保護(hù)義務(wù)情形的，可采取以下處理措施：約見其高管人員談話，要求說明情況;責(zé)令銀行業(yè)金融機(jī)構(gòu)限期整改;在金融系統(tǒng)內(nèi)予以通報(bào);建議銀行業(yè)金融機(jī)構(gòu)對(duì)直接負(fù)責(zé)的高級(jí)管理人員和其他直接責(zé)任人員依法給予處分;涉嫌犯罪的，依法移交司法機(jī)關(guān)處理。

1.3民事法律責(zé)任

銀行違反個(gè)人信息保護(hù)的有關(guān)規(guī)定，泄露客戶信息將會(huì)承擔(dān)違約責(zé)任或侵權(quán)責(zé)任。

1.3.1違約責(zé)任

如果銀行和客戶之間具有相關(guān)合同約定，客戶可依相關(guān)約定要求銀行承擔(dān)違約責(zé)任;如客戶與銀行之間沒有相關(guān)約定的，客戶可以依據(jù)《合同法》第60條和第92條規(guī)定的保密義務(wù)，也即民法理論上的附隨義務(wù)，要求銀行承擔(dān)違約責(zé)任。

1.3.2侵權(quán)責(zé)任

我國(guó)《民法總則》第111條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。”同時(shí)，《民法總則》第120條規(guī)定：“民事權(quán)益受到侵害的，被侵權(quán)人有權(quán)請(qǐng)求侵權(quán)人承擔(dān)侵權(quán)責(zé)任。”

《中華人民共和國(guó)侵權(quán)責(zé)任法》第十五條規(guī)定：“承擔(dān)侵權(quán)責(zé)任的方式主要有：（一）停止侵害（二）排除妨礙（三）消除危險(xiǎn)（四）返還財(cái)產(chǎn)（五）恢復(fù)原狀（六）賠償損失（七）賠禮道歉（八）消除影響、恢復(fù)名譽(yù)。以上承擔(dān)侵權(quán)責(zé)任的方式，可以單獨(dú)適用，也可以合并適用。”

綜上，商業(yè)銀行泄露個(gè)人客戶信息的行為侵犯了客戶的民事權(quán)益，將承擔(dān)賠禮道歉、賠償損失等侵權(quán)責(zé)任。

1.4泄露客戶信息的其他后果

對(duì)銀行而言，泄露客戶信息直接損害銀行的聲譽(yù)，在面臨監(jiān)管處罰的同時(shí)，導(dǎo)致客戶流失，從而帶來難以估量的經(jīng)濟(jì)損失。對(duì)銀行員工而言，泄露客戶信息面臨著內(nèi)部處分甚至開除、追究刑事責(zé)任，給個(gè)人職業(yè)生涯和家庭生活帶來沉重的打擊。

2.商業(yè)銀行發(fā)生客戶信息泄露的原因分析

結(jié)合實(shí)踐中發(fā)生的一些案例，商業(yè)銀行發(fā)生客戶信息泄露事件主要有內(nèi)部原因和外部原因。

2.1內(nèi)部原因

2.1.1有的商業(yè)銀行內(nèi)部管理薄弱。比如：在加強(qiáng)客戶信息保護(hù)工作方面，往往制定有規(guī)章制度，但在執(zhí)行落實(shí)方面不充分，不到位，存在執(zhí)行盲區(qū)。在員工管理方面不到位，“認(rèn)識(shí)你的員工”是加強(qiáng)員工行為管理的重要原則，但在實(shí)踐中有的商業(yè)銀行營(yíng)業(yè)機(jī)構(gòu)對(duì)員工管理不到位，以信任代替制度，未能事先發(fā)現(xiàn)員工異常行為，防范泄露客戶信息行為發(fā)生。

2.1.2有的銀行員工合規(guī)意識(shí)、法律意識(shí)薄弱。有的銀行員工合規(guī)意識(shí)不強(qiáng)，為追求營(yíng)銷業(yè)績(jī)，有章不循，未能堅(jiān)持嚴(yán)格遵守銀行的規(guī)章制度。有的銀行員工在主觀意識(shí)上存在模糊認(rèn)識(shí)，未能認(rèn)識(shí)到自己的行為屬于泄露客戶信息，或者雖然認(rèn)識(shí)到自己的行為可能屬于泄露客戶信息行為，但心存僥幸，認(rèn)為不會(huì)有什么后果，不會(huì)產(chǎn)生什么影響，也不會(huì)有什么危害。還有極少數(shù)銀行員工，明知行為屬于泄露客戶信息行為，但為了非法獲利，不惜鋌而走險(xiǎn)。

2.2外部原因

公民個(gè)人信息具有重要商業(yè)價(jià)值，商業(yè)銀行所掌握的海量客戶信息，成為一些個(gè)人、企業(yè)覬覦的對(duì)象。一些不法分子，為達(dá)到獲取信息目的，采取各種手段，試圖打入商業(yè)銀行內(nèi)部，通過銀行員工實(shí)現(xiàn)非法利益的傳輸交換。外部誘因也是商業(yè)銀行發(fā)生客戶信息泄露風(fēng)險(xiǎn)的重要原因。

3.商業(yè)銀行防范客戶信息泄露的應(yīng)對(duì)措施

為防范客戶信息泄露給商業(yè)銀行帶來的巨大法律風(fēng)險(xiǎn)，結(jié)合上述原因分析，商業(yè)銀行應(yīng)多措并舉，從事前、事中、事后三個(gè)階段，實(shí)現(xiàn)從被動(dòng)防護(hù)到主動(dòng)防護(hù)轉(zhuǎn)變，嚴(yán)防客戶信息泄露風(fēng)險(xiǎn)。

3.1事前階段

3.1.1加強(qiáng)客戶信息安全保護(hù)體系建設(shè)，從機(jī)制上防范客戶信息泄露。對(duì)客戶信息安全保護(hù)工作相關(guān)制度進(jìn)行體系化梳理，查缺補(bǔ)漏，加強(qiáng)客戶信息保護(hù)的層級(jí)管理和業(yè)務(wù)條線管理，實(shí)現(xiàn)對(duì)客戶信息的縱橫交叉保護(hù)，編織成一張保護(hù)客戶信息安全的防護(hù)網(wǎng)。

3.1.2開展員工警示教育和業(yè)務(wù)培訓(xùn)，營(yíng)造合規(guī)文化，樹牢銀行員工的合規(guī)意識(shí)、保密意識(shí)、法律意識(shí)，做到警鐘長(zhǎng)鳴。通過教育培訓(xùn)，讓銀行員工充分認(rèn)識(shí)到保護(hù)客戶信息安全是銀行人的職責(zé)所在，在思想上繃緊合規(guī)這根弦，由“要我合規(guī)”轉(zhuǎn)變?yōu)椤拔乙弦?guī)”，積極履行保密義務(wù)，主動(dòng)承擔(dān)保密責(zé)任，嚴(yán)防泄露客戶信息。

3.2事中階段

3.2.1堅(jiān)持合規(guī)經(jīng)營(yíng)。在日常工作中，無論服務(wù)對(duì)象是否特別，商業(yè)銀行堅(jiān)決不能突破合規(guī)底線。對(duì)于客戶要求通過電話查詢敏感信息的，銀行員工應(yīng)有禮有節(jié)引導(dǎo)客戶按照銀行相關(guān)制度規(guī)定辦理查詢業(yè)務(wù)，必要時(shí)可建議客戶向司法機(jī)關(guān)申請(qǐng)調(diào)取相關(guān)信息，銀行將給予司法協(xié)助。

3.2.2加強(qiáng)對(duì)客戶信息管理。遵循相關(guān)監(jiān)管規(guī)定，按照規(guī)定做好客戶個(gè)人信息的收集、查詢和使用，包括但不限于客戶的身份證、戶口本、銀行賬戶、征信信息等個(gè)人信息。日常做好客戶重要信息的保管保密工作，避免客戶信息文檔遺失，防范無關(guān)人員獲取客戶文檔信息，對(duì)于涉及客戶信息的廢棄文件要及時(shí)銷毀。

3.2.3加強(qiáng)技術(shù)支持和保障。商業(yè)銀行網(wǎng)絡(luò)運(yùn)營(yíng)部門、技術(shù)部門等應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)產(chǎn)品、服務(wù)安全，確保收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。

3.2.4強(qiáng)化員工行為管理。加強(qiáng)對(duì)員工行為管控，加大對(duì)員工異常行為排查力度，關(guān)注重點(diǎn)崗位、重點(diǎn)人員、重點(diǎn)環(huán)節(jié)，建立員工行為的防火墻，隔離操作風(fēng)險(xiǎn)、道德風(fēng)險(xiǎn)等，將風(fēng)險(xiǎn)發(fā)生機(jī)率控制在最低。

3.3事后階段

商業(yè)銀行應(yīng)制定完善個(gè)人客戶信息泄露突發(fā)事件應(yīng)急預(yù)案，建立突發(fā)事件應(yīng)急機(jī)制，一旦發(fā)現(xiàn)泄漏客戶信息的苗頭或風(fēng)險(xiǎn)，第一時(shí)間進(jìn)行應(yīng)急處理。在風(fēng)險(xiǎn)化解之后，對(duì)相關(guān)責(zé)任人員嚴(yán)肅追究問責(zé)。同時(shí)，對(duì)事件進(jìn)行總結(jié)復(fù)盤，針對(duì)發(fā)現(xiàn)的不足，進(jìn)一步完善相關(guān)風(fēng)險(xiǎn)防控機(jī)制。