从个人账户交易信息被违规获取看金融信息保护

                                                                     2020-5-12   青野鸿蒙

近日，脱口秀演员池子(真名“王越池”)举报中信银行“泄露客户个人信息”，在没有经过池子本人允许的情况下，笑果文化拿到了池子在该银行的个人账户交易明细。5月9日，银保监会消费者权益保护局发布通报，2020年3月，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违法违规，将启动立案调查程序，严格依法依规进行查处。

关于此次事件，必须要明确其中的几个关键点。

关键点一：一般情况下，个人账户交易信息要如何打印

一般说来，个人账户交易信息中涉及大量的重要信息，银行都要求必须本人办理打印业务，无法进行代办。所以，想要打印个人账户交易信息，有以下几种方法：

第一种是线上方式，用户可以通过手机银行/网上银行，自助选择账户交易信息进行打印。这种打印文件印有电子公章，具有法律效力。然而，在实践中，仅有部分银行而非所有银行支持这种线上的服务方式。同时，鉴于这种信息的重要性，打印文件发送到电子邮箱中是进行加密传输，用户需要在手机银行/网上银行上获取解锁方式后，才可打开文件。

第二种是线下自助方式，也就是通过银行网点的自助服务终端打印机，用户只需要有银行卡和密码，即可自行打印。但在实践中，各银行有不同规定，有的银行需要网点中的相关主管人员进行授权操作；有的银行无需授权，但可选择的账单期限有限，如只能打印3个月内的交易明细。

第三种就是到银行柜台打印。在这种情况下，必须是本人持银行卡、身份证，部分银行甚至需要进行人脸识别等多重验证方式，才可以打印。

当然，在特殊情况下，如银行账户的本人是老人、小孩或不具备行动能力、民事行为能力等情况下，监护人可以在提供相关证明后，代为办理。但这种过于特殊的情况，我们暂且不做讨论。

以上这些方式都是基于合法合规的前提下，用户本人进行个人银行账户交易信息打印的方法。

但是根据银行给池子的反馈“这是配合大客户的要求”，可以说明打印的交易信息并非是基于池子本人的意愿，这也就有了接下来的关键点二。

关键点二：非常规手段，个人账户交易信息的打印和获取

非常规手段进行交易信息的获取和打印，既有合法合规的方式，也有违规的方式。

第一种是合法合规情况下，公安机关、法院等权力机构进行“财产保全”(俗称冻结财产)。财产保全的关键问题在于提供被保全人的财产线索及申请人提供相应的担保。在池子与笑果文化的合同纠纷中，若笑果文化作为申请人，向人民法院提请对被保全人(池子)做财产保全申请，除了需要提交担保、保全申请书等材料外，最重要的便是“被保全人的财产线索”，而与之相关的除了房、车相关信息外，便属银行账户交易信息最为重要。当无法提供相关线索，便可申请法院等相关机构对被保全人的财产线索进行查询。

但是需要注意的是，即便如此，这种个人的账户交易信息也不应被笑果文化掌握。也就是说，即便笑果文化的保全申请执行了，其所提请的“财产线索”不可能、也不应该出现在笑果文化公司的掌控中。

第二种，违法违规的方式，银行员工应笑果文化请求，私自为其打印池子的个人交易信息。其中的原因也很简单，正如“这是配合大客户的要求”的回复一样，笑果文化作为该支行的重要企业客户，且知晓池子的姓名、身份证、银行账户等信息，银行员工出于维护大客户的心理，应其所求也不足为怪。而这种方式显然是违背了人民银行及银保监会的有关规定，甚至涉嫌触犯《刑法》235条之一的规定“侵犯公民个人信息罪”。

鉴于金融活动和金融信息的特殊性，我们仍然有必要做一些进一步的说明。需要探讨的，自然是池子及大众所关注的“侵犯个人隐私”的问题，特别是金融消费者个人金融信息保护的问题。

任重道远的个人金融信息保护

如果将“银行个人账户交易信息”进一步细分，其实质上是个人金融信息。在央行2020年2月最新发布的《个人金融信息保护技术规范》中指出：

个人金融信息是指金融机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人某些情况的信息。

与其他个人信息相比，个人金融信息与个人资产、信用状况等高度相关，一旦泄露，对消费者的财产安全造成的威胁更大。因此，监管十分重视对于个人金融信息的保护。

事实上，早在2007年，央行就开始陆续通过《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等文件，开始了对个人金融信息的保护。据不完全统计，至今已有十部相关的部门规范、规章制度等监管办法，对个人金融信息的保护做出了相关规定。

除了正式的监管文件之外，央行的各级领导也在各种论坛、工作会议中强调要加强个人金融信息的保护，这些无一不显示了监管对这项工作的重视，并且也透露着“个人金融信息安全监管趋严”的信号。

但从实践来看，目前在个人金融信息保护方面仍存在很大不足。例如，缺乏统一的上位法，对于违法机构和个人的法律追究机制也尚不健全。金融机构、外包机构员工利用客户个人金融信息非法牟利的现象，间接导致了数据的大面积泄露，危害金融体系的安全运行。

今年4月份就流传着涉及国内多家银行的数百万条客户数据资料，在暗网被标价兜售的事。尽管经过涉事银行的核查比对，与真实数据信息不符，但银行用户个人金融信息的安全如何保障，仍在持续引发全民关注。

此次“池子诉银行侵犯个人信息”事件引起广泛关注，绝不仅仅是一个娱乐圈+金融圈的八卦，而是大众对于自身信息，特别是个人金融信息保护意识的进一步提高。

值得期待的是， 2019年下发征求意见稿后，正式的《个人金融信息(数据)保护试行办法》或许将在2020年出台，这意味着金融机构将有“法”可依，个人金融信息也将得到更好的保护。

或许，类似此次“池子诉银行”的事件也将不再发生。（中新经纬）

中国经济网：保护客户信息是银行基本义务

近日，中信银行上海一支行泄露客户个人账户交易信息一事引发关注。银保监会发布通报称，对中信银行侵害消费者合法权益事件启动立案调查程序，严格依法依规进行查处。中信银行此举虽是个别事件，但也暴露部分金融机构在客户信息安全、隐私保护方面仍存漏洞，应及时采取措施加以改进。

我国法律法规为保护个人金融信息提供保障。《商业银行法》及《储蓄管理条例》都要求，商业银行应当“为存款人保密”、“为储户保密”，并进一步规定：除法律另有规定之外，商业银行有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款。2019年10月，央行向部分银行发出《个人金融信息（数据）保护试行办法》初稿，该办法将明确和细化个人金融信息采集、使用、保护等要求。

中信银行作为一家全国性股份制商业银行，在个人金融信息保护方面建立了规章制度。此次事件，是分支机构在具体的执行过程中出现了违规操作。虽然性质恶劣，但属于个例，不应过度放大。总体而言，我国银行业金融机构对客户信息保护工作是到位的。

同时我们也要看到，部分银行基层机构和经办人员保护客户隐私意识淡薄，相关制度与流程仍然存在漏洞，在一定范围内出现有章不循、违规操作等行为。除违法提供账户信息外，违规查询客户征信、泄露银行卡信息等现象也时有发生。还有少数机构和银行员工，未能摆正客户服务与依法合规的关系，对大客户不合理的要求竟然一路绿灯，也应该进行深刻反思。

在大数据时代，个人信息获取更加容易，个人信息保护面临新的挑战。保护客户隐私、确保信息安全，可谓关系重大，不能有丝毫的马虎。从国家层面看，应加快个人信息保护立法。2012年全国人大常委会作出了关于加强网络信息保护的决定，2017年《网络安全法》开始施行，但法律缺失仍然是我们目前存在的问题。因此，要做好顶层设计，积极推动立法，建立个人信息保护的法律法规和基本规则。尤其是，要通过立法大幅度提高信息泄露和侵犯个人隐私的违法成本。同时，《个人金融信息（数据）保护试行办法》应加快公布实施。

对银行业金融机构而言，下一步应从三个方面努力：第一，高度重视客户信息保护。这既是维护金融消费者合法权益的重要内容，也是银行取信于社会和客户的基本义务和基础工作。第二，继续完善客户信息保护相关制度办法，客户信息什么情况下可以查询必须要进一步明确。第三，细化客户信息查询流程。如果需要查询个人信息，查询权限如何设置、谁来审批等要严格规定。此外，应在技术上对客户信息查询有硬约束，比如建立分级审批、双人控制等要求。总之，要将保护客户隐私的理念融入到银行企业文化之中，内化于心、外化于行，以最严格的标准确保客户信息安全。

此外，还要处理好信息获取与信息保护的关系。在加强信息保护的同时，应加快建立统一的信用信息平台，鼓励金融机构合法合规获取信息数据，在此基础上推动金融科技发展，加快金融产品创新，为企业和个人提供更多方便安全精准的金融服务。