“我们向王先生郑重道歉!”5月7日,零点五十六分,全国性商业银行中信银行在官方微博上向个人客户公开道歉。这一罕见行为引发轩然大波,更一度登上热搜榜首。
据其致歉信称:近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池先生(艺名“池子”)支付劳务工资记录时,我行员工未严格按规定办理,提供了王先生的收款记录。”中信银行还表示,已按制度规定对相关员工予以处分,并对支行行长予以撤职。据最新消息显示,目前上海银保监局已正式介入调查。
一时间,原本的普通的娱乐圈“吃瓜”事件,将个人金融信息安全问题再度展现在世人眼前。人们自身的信息该如何保护?又该怎么保护?
中信银行失“信”,个人信息竟然可以“暗箱操作”
据悉,5月6日,脱口秀演员池子发布微博称笑果文化违约,拖欠演艺报酬。同时指出笑果文化寄给他的案件材料里面,包括中信银行的个人账户交易明细,涉嫌侵犯个人隐私。
据微博内容显示,去年池子发现笑果文化违约,拖欠应付的演艺报酬,而且没有按照合同提供账单明细。在双方和平解约不成后,池子提出仲裁,随后笑果文化也提出仲裁,要求池子赔偿3000余万元。
值得注意的是,在池子发布的微博中还同时控诉笑果文化“挑战法律”。
池子表示,在笑果文化寄给他的案件材料里面,包含其在中信银行的个人账户交易明细。而咨询律师得到的答复是,依照法律,个人银行账户交易明细是重要的个人隐私,银行不能把个人账户交易明细交给第三方。
池子表示,“你也没有我的身份证,你也没有我的银行卡,你也没有司法机关的调查令,笑果文化竟然能从中信银行拿到我近两年的流水还打印出来,你为什么不干脆把余额全取出来拿走呢?之后我们打电话给中信银行,中信银行说这是配合大客户的要求。”“难道笑果文化可以随时调取公司上百名员工的个人隐私吗。难道中信银行就可以这么随便地给出成千上万的用户的个人隐私吗。这一切,让我们打上一个问号。”
池子更明确表示,“我以后是不会用中信银行的任何服务了,希望给大家明鸣个警钟吧。”
对于池子的“实名举报”,中信银行显然“夜不能寐”。罕见的凌晨发微博,向池子道歉。
据其道歉信称,“关于王越池先生(艺名“池子”)通过微博反映其个人账户交易信息被调取一事,经我行核实,近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池先生支付劳务工资记录时,我行员工未严格按规定办理,提供了王先生的收款记录。对此,我们向王先生郑重道歉!”同时表示,“我行已按制度规定对相关员工予以处分,并对支行行长予以撤职。”
事情到此结束?显然,并不!
7日下午,有消息显示,上海银保监局已关注脱口秀演员池子指责中信银行股份有限公司泄露其个人账户交易信息一事,并正式介入调查。
金融业界信息泄露事件频发个人信息安全从何谈起?
令人遗憾的是,金融业界泄露客户个人隐私一事其实并不罕见。仅近一个月来看,就发生或判决了多起银行泄露客户个人信息事件。
据裁判文书网3月31日公布的判决书显示,原建设银行余姚城建支行行长沈某某2017年将非法获取的余姚市东城名苑业主财产信息共计1111条通过QQ邮箱非法提供给他人用于招揽业务。同年4月20日,在担任中国建设银行股份有限公司余姚城建支行行长期间,又将该行受理的贷款客户财产信息共计127条提供给他人用于招揽业务。最终因犯侵犯公民个人信息罪,被判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。
无独有偶,据4月17日,徐州法院公布的刑事判决书显示,1989年出生的上海人吴某某(女)曾在北京银行股份有限公司上海分行张江支行临时工作。
2017年8月至2017年12月,吴某某在任职期间,在明知诸某某、陈某某(另案处理)利用银行系统,违规为闫某(另案处理)查询公民个人征信信息,提供给闫某收取费用的情况下,仍然帮助诸、陈二人违规为闫某查询相关信息,并通过邮箱发送给闫某。截至案发,公安机关查证吴某某共计向闫某提供公民个人征信信息830余条。最终判处有期徒刑1年2个月,缓刑1年2个月,并处罚金人民币4000元。
而在4月14日上午,更有境外社交网站及黑客论坛上出现多份公开出售中国金融机构客户信息的帖子,涉及包括上海银行、浦发银行、兴业银行、平安保险、招商银行和农业银行等多家机构的数百万条客户数据。被泄露的数据包括姓名、地址、电话号码、身份证号、存款金额、所办业务等金融数据。
尽管4月22日,在国新办2020年一季度银行业保险业运行发展情况发布会上,中国银保监会副主席黄洪回应称,“绝大部分是伪造或拼凑的。”但仍让人对自身的信息安全性“捏了一把汗”。
4月23日,中国银保监会官网发布两则浙江舟山监管分局披露的罚单。罚单显示,浙江岱山农商银行因违规泄露客户信息,被罚款人民币30万元。另外,该银行员工王某亮对泄露客户信息负有主要责任,被禁止从事银行业工作3年。
然而有着“禁业”这等“究极处罚”也不能阻碍相关违法分子的“步伐”。
今日,有某媒体记者称联系到3名提供查询流水操作的黑产从业者,对方分别表示可以“2000元查一个月流水”、“4000元查一个月流水”以及“5000元查全部流水”,但问及流水来源时,对方不愿过多透露,仅表示“是银行后台出的,你可以打印出来。”
保护办法有望出台相关法律将进一步完善
实际上,自2015年11月1日起,《中华人民共和国刑法修正案(九)》就已经开始施行。该修正案针对网络行为,尤其是公民信息保护和个人隐私权保护,做出了明确规定。
根据《中华人民共和国刑法修正案(九)》显示,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
当时,中国政法大学传播法研究中心副主任朱巍解读称,这是《中华人民共和国刑法修正案(九)》有关网络安全的修改中意义最重大的一条,“个人信息权是否是一种人格权一直有争议,而如今刑法已经给出了肯定的答案。这个修改会影响到正在制定的个人信息保护法和民法典中关于人格权保护的内容。”他指出,我国没有关于个人数据和信息专门的保护法,个人数据遭侵害后,涉案人员往往承担的仅是民事责任和行政责任,违法成本较低,刑法更具法律约束力,相关行为入刑对保护公民信息至关重要。
同时,进一步具体到金融业内,如何增强银行内控,加强个人金融信息数据的保护,也是近几年监管层亟待落地的重点。
央行自2007年开始,先后通过了《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》、《关于金融机构进一步做好客户个人金融信息保护工作的通知》等文件,已经初步建立了个人金融信息保护的基本框架。
2019年6月,原央行副行长朱鹤新也在国务院新闻办公室举办的“覆盖全社会的征信系统建设情况”吹风会上强调,加强个人信息保护立法工作,先易后难,先研究推动个人金融信息保护立法,明确各方的权利义务,使个人金融信息保护取得实效。完善征信服务方式,优化征信维权机制,畅通征信维权渠道,提高征信维权效率,为用户使用和维权提供便利。继续加大对违规采集、查询和使用个人征信信息的惩处力度,提高征信信息侵权行为的成本。
在今年4月17日,央行官网发布的2020规章制定工作计划的18项法规中,包括了《个人金融信息保护试行办法》。该办法的初稿已于去年下半年出炉,目前仍在征求意见阶段。
有消息显示,《个人金融信息(数据)保护试行办法(初稿)》第十二条中规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。”第十八条规定:“金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”
不过“篱笆”修得再好也得要人遵守规则。曾强调个人信息保护立法工作的原央行副行长朱鹤新今年3月已“入主”中信集团,任中信集团党委书记,如今旗下中信银行这般失“信”之举,不知朱鹤新该做何感想。
