一、社会热点
2020年5月6日,脱口秀演员王越池(艺名“池子”)发布微博称,中信银行股份有限公司虹口支行在未经其授权及其他合法调查程序的情况下,便将其个人账户明细提供给上海笑果文化传媒有限公司,侵犯其个人隐私。
2020年5月7日,中信银行在官方微博就此事件发表道歉信,并表示已按照相关规定对该支行行长予以撤职。
2020年5月9日,中国银保监会发布《关于中信银行侵害消费者合法权益的通报》。通报称,2020年3月中信银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《商业银行法》和银保监会关于个人信息保护的监管规定。银保监会消费者权益保护局对中信银行启动立案调查,严格依法依规查处。
诸如此类违规查询、泄露信息中信银行不是个例,在中国银保监会平时的检查中已对多家银行就违规泄露客户信息进行了相应的处罚,然而仅仅对银行进行行政处罚并不是***终的结果,情节严重的银行及相关责任人还有可能面临民事责任,甚至刑事责任。
二、个人金融信息定义
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。个人信息的范围涵盖较广,姓名、住址、电话号码、社保账号、驾驶证号、金融账户号码、生物数据等都属于个人信息。
个人金融信息是金融机构日常业务工作中积累的重要基础数据,包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息,以及金融机构在与个人简历业务关系过程中获取、保存的其他个人信息。
三、法律规定中的民事责任
|
《民法典》《民法总则》 |
******百一十一条规定:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。 |
|
《商业银行法》 |
第六条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。 第二十九条规定:商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。
|
|
《网络安全法》 |
第二十二条规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 第四十一条规定: 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 |
|
《消费者权益保护法》
|
第二十九条规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
|
|
《反洗钱法》
|
第五条规定:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。 反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门、机构履行反洗钱职责获得的客户身份资料和交易信息,只能用于反洗钱行政调查。司法机关依照本法获得的客户身份资料和交易信息,只能用于反洗钱刑事诉讼。
|
|
《征信业管理条例》
|
第十三条规定:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。 第十四条规定:禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。 第二十六条规定:信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉。受理投诉的机构应当及时进行核查和处理,自受理之日起30日内书面答复投诉人。信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉。
|
|
《个人信用信息基础数据库管理暂行办法》
|
第十三条规定:商业银行查询个人信用报告时应当取得被查询人的书面授权。书面授权可以通过在贷款、贷记卡、准贷记卡以及担保申请书中增加相应条款取得。 第三十九条规定:商业银行有下列情形之一的,由中国人民银行责令改正,并处一万元以上三万元以下罚款;涉嫌犯罪的,依法移交司法机关处理: (一)违反本办法规定,未准确、完整、及时报送个人信用信息的;(二)违反本办法第七条规定的;(三)越权查询个人信用数据库的;(四)将查询结果用于本办法规定之外的其他目的的; (五)违反异议处理规定的;(六)违反本办法安全管理要求的。
|
|
《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》 |
第二条规定: 银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。 |
四、法律规定中的刑事责任
|
《刑法》
|
第二百五十三条规定:侵犯公民个人信息罪违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照******款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
|
|
《刑法修正案(七)》 |
第七条规定:在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
|
五、银行如何防止个人信息的泄露
(一)建立严格的规章制度
制定严格的银行关于客户信息保密的部门规章制度,对银行客户个人信息的采集、使用、保密等环节作出详细的规定,明确对泄露或不当使用客户信息的予以严厉的处罚;
建立银行个人信息采集、使用、保密等环节的操作规范和标准,在操作流程中严格规范标准,做到专人专管,责任到人。
加强银行对客户个人信息采集、使用、保密等环节的检查与监督工作,做到有错必究,处罚到人。
(二)提升银行基础防范能力
强化银行各类可能泄露客户个人信息的基础防范科技及技术,增强自助机具、电子银行等方面的防护技术,增设银行机具、网络的加密设备配备,避免被恶意攻击者破解防护系统,导致客户个人信息泄露。
(三)强化银行员工培训
强化对员工关于个人信息保密工作的培训,用案例警示银行员工,提高银行从业人员的法律意识。
(四)提高消费者信息保密意识
增加对消费者个人信息保密的宣传工作手段及方式,提高消费者个人信息的保密意识。
