观点 | 堵住“池子事件”背后的信息安全池子漏洞
更新时间:2020-05-19
浏览量:603

近日,脱口秀演员王越池(艺名“池子”)发文吐槽中信银行泄露个人账户交易明细引发热议。中国银保监会消费者权益保护局5月9日发布通报称,将按照相关法律法规,对中信银行启动立案调查程序,严格依法依规进行查处。

被银保监会立案调查意味着什么?涉事银行可能会面临哪些处罚?如何避免发生下一个“池子事件”?

启动立案调查,后续程序有哪些?

5月6日,“池子”在微博上称,中信银行上海虹口支行未获其本人授权,将其个人账户流水提供给纠纷相对方笑果文化公司。中信银行随后发微博向池子致歉,表示按制度规定对相关员工予以处分,并对涉事支行行长予以撤职。

5月9日,中国银保监会消费者权益保护局通报称,2020年3月,中信银行相关做法,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定,严重侵害消费者信息安全权,损害了消费者合法权益。
 
中关村互联网金融研究院首席研究员董希淼认为,此次立案调查表明银行业监管部门对加强客户隐私保护工作的高度重视,旨在向社会公众传递一种积极信号。
 
银保监会启动立案调查,后续程序有哪些?
 
国浩律师(天津)事务所管理合伙人、天津市金融消费纠纷调解中心调解员曹会杰表示:“接下来,应按照行政处罚办案程序进行取证、审理、审议,直至作出行政处罚决定。”
根据《中国银监会行政处罚办法》,监督检查部门应当在立案之日起90日内完成调查工作。在规定时间内无法完成的,经行政处罚委员会主任委员批准,可以延长调查期限。
 
完成调查后,监督检查部门认为需要给予行政处罚的,应当将立案登记审批表、调查报告、相关证据等案件材料一并移送行政处罚委员会办公室。行政处罚委员会办公室应当自接收之日起60日内完成审理工作。在规定时间内无法完成的,经行政处罚委员会主任委员批准,可以延长审理期限。审理期间需要退回补充调查的,审理期限重新计算。
 
银监会及其派出机构拟作出相应重大行政处罚决定前,应当在行政处罚意见告知书中告知当事人有要求举行听证的权利。
 
中信银行可能面临哪些处罚?
 
上海大邦律师事务所高级合伙人游云庭分析指出,中信银行首先面临行政处罚。《商业银行法》第78条明确规定,商业银行不得非法查询个人储蓄存款,如有违反,对直接负责的董事、高级管理人员和其他直接责任人员,应当给予纪律处分;构成犯罪的,依法追究刑事责任。
 
据曹会杰对中国裁判文书网等相关案例的梳理,近三年来,银行类金融机构因未经同意查询个人信息、未按照约定使用信息的,被人民银行各地分支机构行政处罚的,共计28条;员工个人被刑事追责的,共计21条;因涉嫌泄露、未妥善保管个人信息,而被消费者起诉至法院的,共计24条。
 
“行政处罚层面,监管机构重点查处的是违规查询、提供个人征信报告。刑事追责方面,更多的是出售个人身份信息、开户信息。”曹会杰表示。
根据《中国银监会行政处罚办法》第67条,重大行政处罚包括从“对银行业金融机构和其他单位作出较大数额的罚款”到“禁止从事银行业工作”等七种。
 
除此之外,监督检查部门发现当事人违法、违规行为不属于银行业监督管理机构管辖的,应当及时依法向有关部门移送处理。当事人违法、违规行为涉嫌犯罪的,经银监会或省级派出机构主要负责人批准后,监督检查部门应当及时移送公安机关或人民检察院。
 
就侵犯公民个人信息罪,《刑法》第253条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节特别严重的,最高可处七年以下有期徒刑。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
 
怎样才算情节严重?按最高法和最高检的相关司法解释,非法获取、出售或者提供公民个人信息等,具有“违法所得五千元以上的”“其他可能影响人身、财产安全的公民个人信息五百条以上的”“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额前述条款规定标准一半以上的”,构成情节严重。
涉事银行及工作人员是否构成“侵犯公民个人信息罪”,要等银保监会此次立案调查的结果。

 

消费者如何维权?信息安全如何补漏?

在中国人民银行官网查询发现,2018年1月、9月,中信银行烟台分行、太原分行,先后因“未经同意查询个人信息或企业的信贷信息”被处罚。太原分行涉案的直接负责的主管人员因侵犯公民个人信息,涉嫌犯罪,被移送公安机关。
 
“部分银行基层机构和经办人员保护客户隐私意识淡薄,相关制度与流程仍然存在漏洞,进而在一定范围内出现有章不循、违规操作等行为。”董希淼指出。
 
除了行政处罚及刑事责任追究,用户如何民事索赔?
 
游云庭指出,根据《侵权责任法》和《消费者权益保护法》,中信银行及其工作人员涉嫌侵害池子的民事权益,建议其诉讼维权。金融机构最看重的就是公众的信任,对合规性的诉讼非常忌惮。“不过本案中的损失比较难举证,法院判赔金额未必会很高。”
 
曹会杰列举了法律救济途径:首先,按照现行《中国人民银行金融消费者权益保护实施办法》规定,先向金融机构投诉;其次,按照属地原则向中国人民银行分支机构进行投诉。
从银行的角度看,如何防止类似事件的发生?广发银行汕头分行法务经理陈来喜认为,首先要严格落实《银行业金融机构数据治理指引》、《个人信息安全规范》等标准。“更重要的是,全面对照机构的数据治理、数据安全管理策略,能否有效防范违规使用客户信息、泄漏客户信息的行为。”
 
2019年10月后,《个人金融信息(数据)保护试行办法》(初稿)、《中国人民银行金融消费者权益保护实施办法(征求意见稿)》相继发布。
 
董希淼呼吁,“要做好顶层设计,积极推动立法,大幅度提高信息泄露和侵犯的违法成本。”
“在加强信息保护的同时,加快建立统一的信用信息平台,鼓励金融机构合法合规获取信息数据,在此基础上推动金融科技发展,加快互联网贷款等金融产品创新,为企业和个人提供更多安全精准的金融服务。”董希淼指出。

近日,脱口秀演员王越池(艺名“池子”)发文吐槽中信银行泄露个人账户交易明细引发热议。中国银保监会消费者权益保护局5月9日发布通报称,将按照相关法律法规,对中信银行启动立案调查程序,严格依法依规进行查处。

被银保监会立案调查意味着什么?涉事银行可能会面临哪些处罚?如何避免发生下一个“池子事件”?

启动立案调查,后续程序有哪些?

5月6日,“池子”在微博上称,中信银行上海虹口支行未获其本人授权,将其个人账户流水提供给纠纷相对方笑果文化公司。中信银行随后发微博向池子致歉,表示按制度规定对相关员工予以处分,并对涉事支行行长予以撤职。

5月9日,中国银保监会消费者权益保护局通报称,2020年3月,中信银行相关做法,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定,严重侵害消费者信息安全权,损害了消费者合法权益。
 
中关村互联网金融研究院首席研究员董希淼认为,此次立案调查表明银行业监管部门对加强客户隐私保护工作的高度重视,旨在向社会公众传递一种积极信号。
 
银保监会启动立案调查,后续程序有哪些?
 
国浩律师(天津)事务所管理合伙人、天津市金融消费纠纷调解中心调解员曹会杰表示:“接下来,应按照行政处罚办案程序进行取证、审理、审议,直至作出行政处罚决定。”
根据《中国银监会行政处罚办法》,监督检查部门应当在立案之日起90日内完成调查工作。在规定时间内无法完成的,经行政处罚委员会主任委员批准,可以延长调查期限。
 
完成调查后,监督检查部门认为需要给予行政处罚的,应当将立案登记审批表、调查报告、相关证据等案件材料一并移送行政处罚委员会办公室。行政处罚委员会办公室应当自接收之日起60日内完成审理工作。在规定时间内无法完成的,经行政处罚委员会主任委员批准,可以延长审理期限。审理期间需要退回补充调查的,审理期限重新计算。
 
银监会及其派出机构拟作出相应重大行政处罚决定前,应当在行政处罚意见告知书中告知当事人有要求举行听证的权利。
 
中信银行可能面临哪些处罚?
 
上海大邦律师事务所高级合伙人游云庭分析指出,中信银行首先面临行政处罚。《商业银行法》第78条明确规定,商业银行不得非法查询个人储蓄存款,如有违反,对直接负责的董事、高级管理人员和其他直接责任人员,应当给予纪律处分;构成犯罪的,依法追究刑事责任。
 
据曹会杰对中国裁判文书网等相关案例的梳理,近三年来,银行类金融机构因未经同意查询个人信息、未按照约定使用信息的,被人民银行各地分支机构行政处罚的,共计28条;员工个人被刑事追责的,共计21条;因涉嫌泄露、未妥善保管个人信息,而被消费者起诉至法院的,共计24条。
 
“行政处罚层面,监管机构重点查处的是违规查询、提供个人征信报告。刑事追责方面,更多的是出售个人身份信息、开户信息。”曹会杰表示。
根据《中国银监会行政处罚办法》第67条,重大行政处罚包括从“对银行业金融机构和其他单位作出较大数额的罚款”到“禁止从事银行业工作”等七种。
 
除此之外,监督检查部门发现当事人违法、违规行为不属于银行业监督管理机构管辖的,应当及时依法向有关部门移送处理。当事人违法、违规行为涉嫌犯罪的,经银监会或省级派出机构主要负责人批准后,监督检查部门应当及时移送公安机关或人民检察院。
 
就侵犯公民个人信息罪,《刑法》第253条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节特别严重的,最高可处七年以下有期徒刑。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
 
怎样才算情节严重?按最高法和最高检的相关司法解释,非法获取、出售或者提供公民个人信息等,具有“违法所得五千元以上的”“其他可能影响人身、财产安全的公民个人信息五百条以上的”“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额前述条款规定标准一半以上的”,构成情节严重。
涉事银行及工作人员是否构成“侵犯公民个人信息罪”,要等银保监会此次立案调查的结果。

 

消费者如何维权?信息安全如何补漏?

在中国人民银行官网查询发现,2018年1月、9月,中信银行烟台分行、太原分行,先后因“未经同意查询个人信息或企业的信贷信息”被处罚。太原分行涉案的直接负责的主管人员因侵犯公民个人信息,涉嫌犯罪,被移送公安机关。
 
“部分银行基层机构和经办人员保护客户隐私意识淡薄,相关制度与流程仍然存在漏洞,进而在一定范围内出现有章不循、违规操作等行为。”董希淼指出。
 
除了行政处罚及刑事责任追究,用户如何民事索赔?
 
游云庭指出,根据《侵权责任法》和《消费者权益保护法》,中信银行及其工作人员涉嫌侵害池子的民事权益,建议其诉讼维权。金融机构最看重的就是公众的信任,对合规性的诉讼非常忌惮。“不过本案中的损失比较难举证,法院判赔金额未必会很高。”
 
曹会杰列举了法律救济途径:首先,按照现行《中国人民银行金融消费者权益保护实施办法》规定,先向金融机构投诉;其次,按照属地原则向中国人民银行分支机构进行投诉。
从银行的角度看,如何防止类似事件的发生?广发银行汕头分行法务经理陈来喜认为,首先要严格落实《银行业金融机构数据治理指引》、《个人信息安全规范》等标准。“更重要的是,全面对照机构的数据治理、数据安全管理策略,能否有效防范违规使用客户信息、泄漏客户信息的行为。”
 
2019年10月后,《个人金融信息(数据)保护试行办法》(初稿)、《中国人民银行金融消费者权益保护实施办法(征求意见稿)》相继发布。
 
董希淼呼吁,“要做好顶层设计,积极推动立法,大幅度提高信息泄露和侵犯的违法成本。”
“在加强信息保护的同时,加快建立统一的信用信息平台,鼓励金融机构合法合规获取信息数据,在此基础上推动金融科技发展,加快互联网贷款等金融产品创新,为企业和个人提供更多安全精准的金融服务。”董希淼指出。