银保监会立案 中信银行将面临什么处罚？四年前类似事件仅赔百元

　　脱口秀演员池子诉笑果文化、中信银行泄露其银行交易明细事件又有了最新进展。

　　5月9日下午，中国银保监会消费者权益保护局发通报称，将对此事启动立案调查程序，并表示，中信银行的行为涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定，严重侵害消费者信息安全权。

　　事件发生以来，中信银行虽已致歉并将支行行长撤职，但舆论并没有因此得到平息，银行的个人信息安全问题引发了大众的持续关注。南都记者梳理发现，在银行泄露用户信息事件中，内部人员违规查询征信报告是重灾区。

　　193起央行处罚中，内部违规查询征信报告接近半数

　　5月7日凌晨，中信银行在致歉信表示，保护客户信息安全是该行秉持的服务宗旨，也是银行的生命线，在客户信息保护方面，该行建立了一整套制度及流程，“但个别员工未严格按照制度操作，反映出我行个别机构在制度执行上不到位”。

　　但南都记者查询发现，中信银行在客户信息安全方面的问题，并不是首次发生。

　　2018年9月21日，中国人民银行太原中心支行公布的行政处罚信息显示，中信银行太原分行因未经同意查询个人或者企业的信贷信息，中国人民银行太原中心支行对单位处以罚款人民币50万元；对直接负责的主管人员共计处以罚款人民币9万元，直接责任人侵犯公民个人信息，涉嫌犯罪，已移送同级公安机关。

　　公开信息显示，在2017年，中信银行总行营业部、青岛分行、厦门分行、石家庄分行皆因违规查询个人或企业信用报告被央行处罚。其中，中信银行厦门分行曾因未事先获得信息主体书面同意查询个人信用报告 3323 份，被中国人民银行厦门中心支行处罚10万元。

　　南都记者发现，在银行泄露用户信息事件中，内部员工未经用户同意查询个人或企业的征信报告是重灾区。

　　据不完全统计，2017年至2019年期间，在央行及其分行在官网公示的行政处罚信息中，针对征信违规的处罚有193起，其中因内部人员越权查询个人或企业征信报告被处罚的数量近半，有88起。而且，很多央行地方分行公示的处罚原因只写到违反了《征信业管理条例》的相关规定，违规查询征信报告的实际处罚数量可能更多。

　　河南工业大学知识产权研究中心主任李文江曾在《我国商业银行客户信息的秘密性及其保护》一文中表示，商业银行大量基层员工的客户信息保密的意识相当淡薄。

　　在调查了郑州商业银行300位客户经理后，他发现，80%的客户经理“不清楚泄露客户信息需要承担法律责任”；而且，90%的客户经理认为客户信息主要掌握在客户经理手里，所在银行没有规定统一保护措施，工作调动可以随意带走客户信息，不存在任何制约措施。

　　南都记者注意到，此前大量信息泄露事件的源头均为银行“内鬼”。 4月15日，公安部公布2019年以来十起侵犯公民个人信息违法犯罪典型案件，其中有6起案例与“内鬼”利用职务之便作案有关。

　　比如，江苏徐州公安机关侦破的“12.21”案件正是一起以银行内部员工、运营商员工为信息源头的“内鬼”案件。最终，警方查获公民征信报告、手机信息超42万余条，抓捕银行等内部人员20余名。

　　个人金融信息保护“强监管”时代或来临

　　南都记者检索裁判文书网发现，在2016年，已发生过一起与池子事件类似的案件。

　　广州某公司员工离职后与公司产生劳动争议纠纷，公司要求案涉银行打印该员工三年的工资入账明细，银行员工却失误将所有明细都提供了该公司。判决书显示，该银行员工此举侵害了广州某公司员工的隐私权，银行也承担相应的侵权责任。法院判决，案涉银行向原告道歉并赔偿100元。

　　之所以赔偿金额如此少，个人信息保护领域的专家表示，可能是因为2016年关于个人信息保护和隐私权的法律规制治理还没有很成熟。南都记者了解到，上述案件的法律依据主要是《刑法》《民法通则》以及《侵权责任法》中关于隐私权的相关规定。

　　在2017年5月，《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》出台，规定非法出售或者提供财产信息五十条以上的，属于“侵犯公民个人信息罪”中的严重情节，可处三年以下有期徒刑或者拘役。

　　2017年10月正式实施的《民法总则》对个人信息保护做出了原则性的规定，而且，近来即将出台的民法典将对人格权独立成编，将首次在民法层面明确个人信息保护规则，个人信息保护法也已列入十三届全国人大常委会五年立法规划。

　　此外，自去年以来，个人金融信息保护法规制定的相关动作不断。

　　2019年5月，央行办公厅下发了《中国人民银行办公厅关于2018年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔2019〕72号)》。在通报中指出，“金融消费者信息安全管理不规范。部分机构存在收集信息范围过大、未经消费者授权收集其个人金融信息的情形、业务系统存储不规范等情形”属于重点问题。

　　去年上半年，《个人金融信息(数据)保护试行办法》被列入央行2019年工作计划。不久后央行副行长朱鹤新公开表示，要研究推动个人金融信息保护立法。

　　南都记者了解到，去年10月，央行向部分银行下发《个人金融信息(数据)保护试行办法》初稿，其中，第十八条规定，“金融机构不得以概括授权的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”

　　今年以来，2月中旬，央行和全国金融标准化技术委员会发布了《个人金融信息保护技术规范》(下称《规范》)。此次发布的《规范》则规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对金融业机构的个人金融信息保护提出了规范性要求。

　　在对个人金融信息逐渐加强监管的趋势下，此次的中信银行事件对银行泄露信息问题的解决会形成怎样的蝴蝶效应，让我们拭目以待。

　　延伸阅读：

　　中信银行被立案调查：银保监会出手！网友：干得漂亮

　　脱口秀演员个人账户信息外泄 中信银行致歉！池子们的信息谁来保护？

　　“池子”指中信银行泄露其流水 上海银保监局：已介入调查

　　中信银行涉嫌为配合“大客户” 泄露艺人池子账号流水涉事支行行长被撤职

　　银保监会对中信银行启动立案调查！此前因违规泄露池子个人银行流水 涉事支行行长被撤职