人民直擊：堵住“池子事件”背后的信息安全池子漏洞

近日，脫口秀演員王越池（藝名“池子”）發(fā)文吐槽中信銀行泄露個人賬戶交易明細引發(fā)熱議。中國銀保監(jiān)會消費者權(quán)益保護局5月9日發(fā)布通報稱，將按照相關(guān)法律法規(guī)，對中信銀行啟動立案調(diào)查程序，嚴格依法依規(guī)進行查處。

被銀保監(jiān)會立案調(diào)查意味著什么？涉事銀行可能會面臨哪些處罰？如何避免發(fā)生下一個“池子事件”？

啟動立案調(diào)查，后續(xù)程序有哪些？

5月6日，“池子”在微博上稱，中信銀行上海虹口支行未獲其本人授權(quán)，將其個人賬戶流水提供給糾紛相對方笑果文化公司。中信銀行隨后發(fā)微博向池子致歉，表示按制度規(guī)定對相關(guān)員工予以處分，并對涉事支行行長予以撤職。

5月9日，中國銀保監(jiān)會消費者權(quán)益保護局通報稱，2020年3月，中信銀行相關(guān)做法，違背為存款人保密的原則，涉嫌違反《中華人民共和國商業(yè)銀行法》和銀保監(jiān)會關(guān)于個人信息保護的監(jiān)管規(guī)定，嚴重侵害消費者信息安全權(quán)，損害了消費者合法權(quán)益。

中關(guān)村互聯(lián)網(wǎng)金融研究院首席研究員董希淼認為，此次立案調(diào)查表明銀行業(yè)監(jiān)管部門對加強客戶隱私保護工作的高度重視，旨在向社會公眾傳遞一種積極信號。

銀保監(jiān)會啟動立案調(diào)查，后續(xù)程序有哪些？

國浩律師（天津）事務(wù)所管理合伙人、天津市金融消費糾紛調(diào)解中心調(diào)解員曹會杰表示：“接下來，應(yīng)按照行政處罰辦案程序進行取證、審理、審議，直至作出行政處罰決定?！?

根據(jù)《中國銀監(jiān)會行政處罰辦法》，監(jiān)督檢查部門應(yīng)當在立案之日起90日內(nèi)完成調(diào)查工作。在規(guī)定時間內(nèi)無法完成的，經(jīng)行政處罰委員會主任委員批準，可以延長調(diào)查期限。

完成調(diào)查后，監(jiān)督檢查部門認為需要給予行政處罰的，應(yīng)當將立案登記審批表、調(diào)查報告、相關(guān)證據(jù)等案件材料一并移送行政處罰委員會辦公室。行政處罰委員會辦公室應(yīng)當自接收之日起60日內(nèi)完成審理工作。在規(guī)定時間內(nèi)無法完成的，經(jīng)行政處罰委員會主任委員批準，可以延長審理期限。審理期間需要退回補充調(diào)查的，審理期限重新計算。

銀監(jiān)會及其派出機構(gòu)擬作出相應(yīng)重大行政處罰決定前，應(yīng)當在行政處罰意見告知書中告知當事人有要求舉行聽證的權(quán)利。

中信銀行可能面臨哪些處罰？

上海大邦律師事務(wù)所高級合伙人游云庭分析指出，中信銀行首先面臨行政處罰?！渡虡I(yè)銀行法》第78條明確規(guī)定，商業(yè)銀行不得非法查詢個人儲蓄存款，如有違反，對直接負責的董事、高級管理人員和其他直接責任人員，應(yīng)當給予紀律處分；構(gòu)成犯罪的，依法追究刑事責任。

據(jù)曹會杰對中國裁判文書網(wǎng)等相關(guān)案例的梳理，近三年來，銀行類金融機構(gòu)因未經(jīng)同意查詢個人信息、未按照約定使用信息的，被人民銀行各地分支機構(gòu)行政處罰的，共計28條；員工個人被刑事追責的，共計21條；因涉嫌泄露、未妥善保管個人信息，而被消費者起訴至法院的，共計24條。

“行政處罰層面，監(jiān)管機構(gòu)重點查處的是違規(guī)查詢、提供個人征信報告。刑事追責方面，更多的是出售個人身份信息、開戶信息?！辈軙鼙硎?。

根據(jù)《中國銀監(jiān)會行政處罰辦法》第67條，重大行政處罰包括從“對銀行業(yè)金融機構(gòu)和其他單位作出較大數(shù)額的罰款”到“禁止從事銀行業(yè)工作”等七種。

除此之外，監(jiān)督檢查部門發(fā)現(xiàn)當事人違法、違規(guī)行為不屬于銀行業(yè)監(jiān)督管理機構(gòu)管轄的，應(yīng)當及時依法向有關(guān)部門移送處理。當事人違法、違規(guī)行為涉嫌犯罪的，經(jīng)銀監(jiān)會或省級派出機構(gòu)主要負責人批準后，監(jiān)督檢查部門應(yīng)當及時移送公安機關(guān)或人民檢察院。

就侵犯公民個人信息罪，《刑法》第253條規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)特別嚴重的，最高可處七年以下有期徒刑。違反國家有關(guān)規(guī)定，將在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。

怎樣才算情節(jié)嚴重？按最高法和最高檢的相關(guān)司法解釋，非法獲取、出售或者提供公民個人信息等，具有“違法所得五千元以上的”“其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的”“將在履行職責或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人，數(shù)量或者數(shù)額前述條款規(guī)定標準一半以上的”，構(gòu)成情節(jié)嚴重。

涉事銀行及工作人員是否構(gòu)成“侵犯公民個人信息罪”，要等銀保監(jiān)會此次立案調(diào)查的結(jié)果。

消費者如何維權(quán)？信息安全如何補漏？

在中國人民銀行官網(wǎng)查詢發(fā)現(xiàn)，2018年1月、9月，中信銀行煙臺分行、太原分行，先后因“未經(jīng)同意查詢個人信息或企業(yè)的信貸信息”被處罰。太原分行涉案的直接負責的主管人員因侵犯公民個人信息，涉嫌犯罪，被移送公安機關(guān)。

“部分銀行基層機構(gòu)和經(jīng)辦人員保護客戶隱私意識淡薄，相關(guān)制度與流程仍然存在漏洞，進而在一定范圍內(nèi)出現(xiàn)有章不循、違規(guī)操作等行為。”董希淼指出。

除了行政處罰及刑事責任追究，用戶如何民事索賠？

游云庭指出，根據(jù)《侵權(quán)責任法》和《消費者權(quán)益保護法》，中信銀行及其工作人員涉嫌侵害池子的民事權(quán)益，建議其訴訟維權(quán)。金融機構(gòu)最看重的就是公眾的信任，對合規(guī)性的訴訟非常忌憚?！安贿^本案中的損失比較難舉證，法院判賠金額未必會很高?！?

曹會杰列舉了法律救濟途徑：首先，按照現(xiàn)行《中國人民銀行金融消費者權(quán)益保護實施辦法》規(guī)定，先向金融機構(gòu)投訴；其次，按照屬地原則向中國人民銀行分支機構(gòu)進行投訴。

從銀行的角度看，如何防止類似事件的發(fā)生？廣發(fā)銀行汕頭分行法務(wù)經(jīng)理陳來喜認為，首先要嚴格落實《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》、《個人信息安全規(guī)范》等標準?！案匾氖?，全面對照機構(gòu)的數(shù)據(jù)治理、數(shù)據(jù)安全管理策略，能否有效防范違規(guī)使用客戶信息、泄漏客戶信息的行為?！?

2019年10月后，《個人金融信息（數(shù)據(jù)）保護試行辦法》（初稿）、《中國人民銀行金融消費者權(quán)益保護實施辦法（征求意見稿）》相繼發(fā)布。

董希淼呼吁，“要做好頂層設(shè)計，積極推動立法，大幅度提高信息泄露和侵犯的違法成本?！?

“在加強信息保護的同時，加快建立統(tǒng)一的信用信息平臺，鼓勵金融機構(gòu)合法合規(guī)獲取信息數(shù)據(jù)，在此基礎(chǔ)上推動金融科技發(fā)展，加快互聯(lián)網(wǎng)貸款等金融產(chǎn)品創(chuàng)新，為企業(yè)和個人提供更多安全精準的金融服務(wù)?！倍ｍ抵赋?。(陳遠丁)

（編輯：鑫果）