继池子5月6日下午发微博长文怒怼中信银行“为大客户服务”而侵犯自己个人隐私之后,该事件持续发酵,也引来监管部门的注意并发声。
5月7日,券商中国记者从上海银保监局获悉,6日该局已关注到脱口秀演员王越池(艺名“池子”)指责中信银行股份有限公司泄漏其个人账户交易信息一事,并正式介入调查。
一石激起千层浪。池子的微博长文,暴露出中信银行在保护个人账户信息安全方面的漏洞,也为整个银行业依法保护个人客户隐私安全敲响警钟。为存款人保密在《商业银行法》中有明文规定,对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,通常只有在配合司法调查程序的情况下,银行才会向公检法等部门提供储户个人账户交易明细。
中信银行对此事也做出较快回应,不过,仅向池子致歉并处分相关员工或许并非结束,银行或许也要承担相应的处罚和赔偿责任。
引发金融监管部门关注,上海银保监局已正式介入调查
5月6日下午,90后脱口秀演员池子在微博上对前东家笑果文化进行声讨,声称笑果文化拖欠其演艺报酬,提出仲裁后却被索赔3000万。此外,池子更怒斥中信银行“侵犯个人隐私”,将其个人账户交易明细交给笑果文化,且称“中信银行说这是配合大客户的要求”。池子在微博中表示,已向公安局报案并向银保监会等政府监管机关投诉。
该事件迅速引发网民的广泛关注和各方的及时回应。
5月7日凌晨1点左右,中信银行官方微博发布道歉信。中信银行表示,“我行员工未严格按规定办理,提供了王越池的收款记录。对此,向王越池郑重道歉!”中信银行已按制度规定对相关员工予以处分,并对支行行长予以撤职。
中信银行表示,保护客户信息安全是我行秉持的服务宗旨,也是银行的生命线。在客户信息保护方面,该行建立了一整套制度及流程,但个别员工未严格按照制度操作,反映出其个别机构在制度执行上不到位。“我行将举一反三,全面检查,加大培训,强抓制度执行,坚决避免此类问题再次发生,切实保护金融消费者合法权益。”
5月7日下午,上海银保监局透露,6日该局已关注到脱口秀演员王越池(艺名“池子”)指责中信银行股份有限公司泄漏其个人账户交易信息一事,并正式介入调查。
支行一级信息安全防火墙需筑牢,重点防范“内鬼”
池子一句“中信银行说是配合大客户的要求”,就将其个人账户交易明细交给笑果文化,引爆了舆论对银行保护个人账户信息安全性的担忧和热议。
前不久,类似的消息也曾出现,近期,境外“暗网”贩卖国内外个人金融信息的传闻得到广泛关注,尽管后来涉事银行纷纷澄清并非本行个人金融信息,经查,被贩卖的信息绝大部分是黑客伪造或拼凑的,但此事也对个人信息安全敲响了警钟。
另据每日经济新闻报道,黑市4000元就可查询一个月流水。记者联系3名提供查询流水操作的黑产从业者,对方分别表示可以“2000元查一个月流水”、“4000元查一个月流水”以及“5000元查全部流水”,但问及流水来源时,对方不愿过多透露,仅表示“是银行后台出的”。
根据现行《中华人民共和国商业银行法》中第29条,商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。
此外,银保监会2018年发布《银行业金融机构数据治理指引》,对银行业数据保护提出一系列规范要求。例如,银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求。
值得注意的是,银行业在信息技术方面投入较多,数据风控标准普遍较高,遭遇黑客攻击导致数据外泄的情况相对较少,但在数据保护方面应重点防范“内鬼”,特别是要加强对分支行的客户信息访问规范。
实际上,从近年公布的法律判决书的内容看,银行员工私自对外提供个人客户信息的情况时有发生,尤其是在银行支行一级,由于信息安全把关不严,“内鬼”钻漏洞泄漏个人客户信息的乱象则相较上级分行更多。(详见《国有大行支行行长竟私拿客户信息,帮别人招揽业务!这家银行临时工也成“内鬼”》)
银行是否会承担赔偿责任?
在类似的银行员工私自泄漏个人客户信息案件的判决中,法院通常以侵犯公民个人信息罪判处涉事银行员工有期徒刑,并处以罚款。除涉事银行员工外,对于银行本身是否应该承担赔偿责任,广东广强律师事务所高级合伙人曾杰律师对新浪法问表示,因银行内部管理不善、内部监控存在漏洞导致未能避免银行员工完成侵权行为,应当认定银行员工的侵权行为与其履行职务有内在关联,如果受害人要求银行承担赔偿责任,银行应承担。
池子晒出的中伦文德侓师事务所两名律师出具的律师函也显示,经委托人(指池子)发现并经律师证实,中信银行虹口支行在未经委托人授权、且未经任何司法机关合法调查程序的情况下,将委托人在中信银行虹口支行开立的个人名下银行账户的交易明细直接打印并提供于与委托人存在经济纠纷的笑果文化。
律师指出,中信银行虹口支行及其工作人员将50条以上银行交易明细提供给笑果文化的行为属于严重违法,甚至涉嫌触犯“侵犯公民个人信息罪”的行为。律师函最后要求,笑果文化、中信银行虹口支行应当立即停止违法行为,并对委托人产生的经济损失予以全额赔偿并在公开媒体上予以赔礼道歉。
银保监会副主席黄洪近日透强调,银保监会高度重视银行保险机构网络安全工作,近年来,已要求银行保险机构认真贯彻落实个人信息保护方面的法律法规,加强客户隐私保护,对客户信息严格实行从采集到存储、销毁等全流程的制度化管理。此外,银保监会还建立了网络安全风险监测、风险预警、非现场监管、现场检查、监管评级等长效工作机制,把银行保险业客户信息保护工作纳入了日常信息科技风险监管中。