信托講堂
trust lecture
金融機構泄露個人信息,屬于嚴重違規(guī)行為。根據(jù)《商業(yè)銀行法》規(guī)定,“對個人儲蓄存款,商業(yè)銀行有權拒絕任 何單位或個人查詢、凍結、扣劃,但法律另有規(guī)定的除外”,“非法查詢個人儲蓄存款的,對存款人或其他客戶造成財產(chǎn)損害的,依法承擔民事責任?!薄缎磐泄竟芾磙k法》規(guī)定, “信托公司對委托人、受益人以及所處理信托事務的情況和資料負有依法保密的義務,但法律法規(guī)另有規(guī)定或者信托文件另有約定的除外?!?nbsp;
早在 2016 年,銀監(jiān)會針對個人客戶信息泄露風險隱患 便曾專門下發(fā)《關于銀行業(yè)金融機構客戶個人信息泄露案件風險提示的通知》。通知指出,部分銀行業(yè)金融機構客戶個人信息管理使用制度不健全,崗位制約和機制監(jiān)督缺失,未能嚴格按照相關法律法規(guī)、監(jiān)管要求完善內(nèi)控制度建設。甚至有銀行“內(nèi)鬼”出售客戶信息非法牟利。通知稱,部分銀行未能建立良好合規(guī)文化,客戶信息保護意識淡薄,對員工日常行為疏于管理。個別員工在社會不法分子的利益誘惑下,利用職務之便竊取、出售或非法提供客戶個人信息,形 成案件風險。
安全隱患還包括信息系統(tǒng)建設應用管理不完善。銀監(jiān)會提示,信息在存儲、傳輸、處理過程中,未嚴格建立風險防范機制,存在非授權員工查詢、下載、保存客戶個人信息的風險隱患。信息系統(tǒng)運維管理、數(shù)據(jù)提取及使用、密碼管理、網(wǎng)絡訪問等環(huán)節(jié)管控不嚴,存在泄露敏感數(shù)據(jù)安全隱患。
業(yè)務外包的風險也值得警惕。通知稱,部分銀行業(yè)金融 機構業(yè)務外包管控不嚴,責任約束機制缺失,委托代理開展 業(yè)務過程中,未能有效管控外包機構、人員非法獲取、處理客戶信息的行為,存在第三方泄露客戶個人信息的風險隱患。此外,銀監(jiān)會要求各銀行業(yè)金融機構進一步加強員工教育和外包行為管理,強化信息安全建設,強化內(nèi)部監(jiān)督,建立完善客戶個人信息保護長效機制。
2018 年以來,各級銀保監(jiān)機關共處罰有關信息泄密 問題 25 次,合計罰款 1009 萬元。
一、警示案例
案例一:彭某系**銀行職員。2015 年 8 月 15 日至 2015 年 9 月 1 日,彭某在銀行辦公內(nèi)網(wǎng)電腦安裝無線路由器,由外部人員通過該無線路由器連接銀行內(nèi)網(wǎng),然后再進入中國人民銀行征信中心,利用非正常渠道獲取的軟件與某柜員賬號、密碼,非法查詢、出售他人征信報告,期間彭某累計非法所得 1.7 萬元。2015 年 9 月 1 日,該銀行開展安全檢查發(fā)現(xiàn)異常,彭某如實交待了作案事實。法院最終判決彭某犯非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪,判處有期徒刑三年,緩刑三年,并處罰金人民幣 2 萬元,依法追繳非法所得。
案例二:2008 年至 2009 年,林某被勞務派遣至** 銀行廣東省分行擔任信息技術管理部員工期間,利用工作便利非法提取、復制 850 萬余條銀行存款信息和 85 萬余條電子銀行客戶信息,并通過 QQ 聊天平臺向吳乙出售公 民個人信息,非法獲利 8000 元。2009 年 3 月林某離職至 2010 年 4 月期間,通過 QQ 網(wǎng)絡聊天平臺多次出售其非法提取、復制的銀行存款信息和電子銀行客戶信息,非法獲利 15600 元。最終法院審理判決,林某犯出售公民個人信息罪,考慮到林某到案后如實供述犯罪事實并退繳了違法 所得,對林某酌情從輕處罰,判決有期徒刑一年,緩刑一年,并處罰金 1.5 萬元。
案例三:2017 年 4 月,從事信用貸款、抵押貸款業(yè)務的的黃某通過朋友介紹,認識了曾在建行湛江分行工作過的王某。為獲取客源,2017 年下半年,黃某要求王某 為其提供建設銀行的客戶資料,并答應付給王某獲利的 15%作為回扣,被利益誘惑的王某擅自登陸建行內(nèi)部的電 腦系統(tǒng),對多個客戶資料進行截圖,同時將資料多次通過 電子郵箱發(fā)送至黃某,黃某再讓員工利用上述信息打電話 聯(lián)系客戶辦理貸款。 經(jīng)查明,郵件中含公民姓名及電話號碼等有效信息累計共計 3.15 萬條,黃某因此按照獲利的15%給予回扣 6500 元給王某,另支付其 3.02 萬元作為介紹客戶的“辛苦費”。2019 年 5 月 5 日,王某主動到公安機關投案,并于第二日向公安機關退出違法所得款 3.6 萬元。檢察院于 2019 年 11 月向法院對王某提起公訴。
公訴機關認為,王某違反國家有關規(guī)定,向他人出售 公民個人信息,情節(jié)嚴重,應當以侵犯公民個人信息罪追 究其刑事責任,王某對公安機關所指控事實、罪名及量刑 建議均沒有異議。
法院審理認為,王某行為已構成侵害公民個人信息 罪,但基于王某案發(fā)后主動向公安機關投案,如實供述自 己的罪行,屬自首,且已向公安機關退還違法所得款,依 法可從輕處罰。最終一審法院判處王某犯侵犯公民個人信息罪,判處有期徒刑八個月,緩刑一年,并處罰金 1 萬元。
2020 年 12 月 31 日,湛江銀保監(jiān)分局以涉案銀行對客戶信息安全管理不到位的案由作出罰款 20 萬元的行政處罰決定,而涉事人王某因泄露客戶信息,則被禁止從事銀行業(yè)工作 1 年。
二、啟示
金融機構在提供金融服務時,必然會涉及客戶信息的收集、傳輸、加工、保存和使用等環(huán)節(jié),包括客戶身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其 他個人信息等。近年來,部分金融機構不當使用客戶信息 或不法分子非法獲取客戶信息并盜用客戶資金的案例引起了社會公眾的廣泛關注,不僅侵犯了客戶的隱私權,也極有可能觸犯刑法,構成非法提供、獲取公民個人信息罪,其供職的單位將面臨較大的合規(guī)風險與聲譽風險。
《刑法》第 253 條規(guī)定,“【侵犯公民個人信息罪】 違反國家有關規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。違反國家有關規(guī)定,將在履行職責或者提供服務過程 中獲得的公民個人信息,出售或者提供給他人的,依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規(guī)定處罰。單位犯前三款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規(guī)定處罰?!?nbsp;
對于“出售、非法提供公民個人信息罪”、“非法獲 取公民個人信息罪”,目前司法解釋尚未明確其追訴標準,但在實踐中,一般認為出售、非法提供或獲取公民個人信息數(shù)量較多,或者多次出售、非法提供或獲取公民個人信息,或者因出售、非法提供或獲取公民個人信息獲利較多、或者因信息出售、非法提供或獲取導致影響公民個人正常生活等情形,都可以認定為“情節(jié)嚴重”,構成犯罪。
可見,構成上述犯罪的門檻實際上是很低的。作為專門提供金融服務的機構,金融機構在與客戶業(yè)務往來過程 中必然涉及客戶信息的收集、傳輸、加工、保存和使用等環(huán)節(jié)。這些環(huán)節(jié)中,如果信息使用和管理不當,不僅相關當事人,而且金融機構自身以及直接負責的主管人員和其 他責任人員也可能受到刑事處罰。例如,金融機構員工不當使用或出售客戶身份、各類金融資產(chǎn)狀況和交易情況在內(nèi)的信息和資料;未獲得客戶授權,擅自通過個人征信系統(tǒng)查詢客戶的征信狀況;未得到客戶允許,擅自與其他可能持有公民個人信息的單位合作,獲得個人信息辦理業(yè)務;在業(yè)務辦理過程中,擅自留存獲取客戶辦理該業(yè)務以 外的個人信息等。