一纸致歉信没有平息公众的疑虑。
5月7日凌晨,中信银行官方微博公告,向脱口秀艺人王越池(艺名“池子”)致歉,宣布对相关员工予以处分,支行行长予以撤职。
中信银行管理着6.75万亿资产,之所以夜半致歉,因池子发现,其与经纪公司笑果文化的纠纷中,笑果文化未经授权,从中信银行获得个人账户的流水。
从池子微博发文,到公开致歉、宣布处理决定,总共不到10个小时,中信银行的危机处理可谓迅捷,但是,这并没有将事件平息下来。
丢失的细节
“你也没有我的身份证,你也没有我的银行卡,你也没有司法机关的调查令,笑果文化竟然能从中信银行拿到我近两年的流水还打印出来,你为什么不干脆把余额全取出来拿走呢?”
来源:视频截图
5月6日下午15:39分,池子在微博发出诘问,其粉丝数超过480万,信息迅速发酵,一家公司如此轻易获取个人银行流水信息,触动了普通人敏感的神经。
中国人均持有银行卡6张左右,单是中信银行一家,就拥有超过1亿的个人账户。根据其2019年报,个人客户总量迈入“亿级”时代,其中贵宾客户(日均管理资产在50万-600万)近85万户,私行客户突破4万户,个人存款8781.7亿元。
个人的银行流水为敏感信息,池子在公开信中称,其致电中信银行问询,对方回应称“这是配合大客户的要求。”
蹊跷的是,中信银行在致歉信中,将事由解释为“我行未严格按规定办理,提供了王先生的收款记录”,笑果查询的是“支付劳务工资记录”,并强调“建立了一整套制度及流程”,只是“个别机构执行不到位”。
中信银行所称的“收款记录”,究竟为何?与池子所谓的“个人账户交易明细”,有何差别?这些均解释得非常含糊。其实,若仅限于笑果文化向池子支付的劳务工资明细,笑果是有权查询的,为什么中间又出现了差池?
此外,具体经办人员违背哪些制度,执行方面如何绕过正常流程,中信银行语焉不详,只是以一段表态性的言论做结,“我行将举一反三,全面检查,加大培训,强抓制度执行,坚决避免此类问题再次发生”。
由于规避大量细节,且缺乏有力的检讨措施,中信银行给出的解释和回应,很多人并不信服。
三重责任
事实上,中信银行泄露支付信息之外的明细,并不是内部处理就能了结。
“中信银行开除支行行长,属于公司层面的处罚,池子可以告他们。”张栩律师告诉《21CBR》记者,中信银行若违规,将牵涉三方面法律责任:违约责任、侵权责任、刑事责任。
“违约责任是指基于合同产生的保密义务。一般银行的保密协议里,都会有关于隐私权的条款;银行流水属于公民个人信息,未经本人允许或者公安机关办案需要,任何人不得擅自获取或者提供给他人。”张栩说。
情节严重的话,可能在刑事方面构成“侵犯公民个人信息罪”。
刑法第二百五十三条规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役。
“构成犯罪的要求会严格一些,比如通过出售或者非法提供个人信息获利达到一定金额,就这宗案件来说,构成刑事犯罪的可能性不大。”张栩分析说,除非有足够的证据证明,中信银行或者其员工向笑果文化收取5000元以上的费用。
北京盈科事务所律师顾亚告诉《21CBR》记者,商业银行法和储蓄管理条例,就银行泄露储户储蓄信息均有相关罚则,包括罚款、停业整顿、吊销“经营金融业务许可证”等,至于“侵犯公民个人信息罪”,需要就构成要件一个个比对,池子这种情况很难认定。
“中信银行内部处罚不能代替银行对外应该承担的责任,个人感觉,判定刑事责任有一定难度,双方会达成和解,具体和解内容就不得而知了。”顾亚认为,这件事凸显了个人信息安全领域立法的迫切性,“个人信息安全保护还有很长一段路要走。”
冰山一角
池子个人的遭遇,只是商业银行信息泄露情况的冰山一角。
已有多宗涉及相似案件的判例,裁判文书网今年4月公开了两宗:其一,北京银行上海分行张江支行吴姓员工,售卖公民个人征信信息830余条,判处有期徒刑一年二个月,缓刑一年二个月;其二,建设银行余姚城建支行沈姓行长,将该行受理的贷款客户财产信息共计127条提供给他人,判处有期徒刑三年,缓刑三年,两者罪名均为“侵犯公民个人信息罪”。
商业银行大量基层员工,客户信息保密的意识相当淡薄。
河南工业大学知识产权研究中心主任李文江,曾经对在郑州的商业银行300位客户经理进行问卷调查,2018年在《我国商业银行客户信息的秘密性及其保护》一文中公布了结果:
60%以上的客户经理所在银行没有建立客户信息保密制度,不了解客户信息的范围;70%的客户经理认为所在银行的客户信息保密制度过于原则,没有覆盖客户信息收集、整理、提升和使用的各个环节;90%的客户经理认为客户信息主要掌握在客户经理手里,所在银行没有规定统一保护措施,工作调动可以随意带走客户信息,不存在任何制约措施。
此外,80%的客户经理“不清楚泄露客户信息需要承担法律责任”。
“一是商业银行商业秘密保护制度不够完备,没有进行保密制度教育;二是缺少对保密制度的专项检查,加之问责制度缺失,形成了违章难纠的现状。”李文江在文中呼吁,“对以客户信息为主的经营秘密的保护必须提上议事日程”。
即便在建有完备制度的银行,也有内部人员撰文认为,在客户信息保护方面存在瑕疵。
以交通银行为例,2013年交通银行生产数据借用平台在全行上线,出台了《交通银行生产数据借用管理 平台境内单位使用与管理暂行办法》,其各分行部门及辖行/支行的生产数据借用申请、审批、下载等流程,均通过生产数据借用平台实现。
交通银行重庆市分行陶蔚、李刚2018年发表了一项研究,他们对交通银行系统内7家分行(北京、上海、广东、湖北、江苏、深圳、重庆)进行调研,发现平均每家分行各业务部门共计62名数据借用申请员,各分行的辖行/支行数据借用申请员共计91名;每月每家分行平均数据借用量约112笔,且所有数据均被下载使用,主要满足对外服务、监管报备、内部检查管理和业务营销需求。
两人调研后认为,尽管严格控制各单位数据借用申请员数量,但是,95%以上的数据均下载到本地使用,对数据的存放带来极大风险和挑战,对于数据下载到本地后直至删除销毁未进行监管;而且,数据借用申请员与数据使用人通常为不同人员,分发过程和分发后的使用无法进行有效监管,存在数据非授权使用和信息泄露的风险。
所幸,中信银行此事并未就此了结,上海银保监会已正式介入调查。
中信银行在2019年报中自称,在涉及消费者投诉方面,将持续完善“投诉处理—痛点聚焦—问题解决—改善评估”的闭环管理体系,希望此事能真正聚焦到“客户信息保护”的痛点,消减1亿账户持有人的疑虑。
参考文献:
陶蔚、李刚:《商业银行个人信息保护现状分析与对策》,《金融科技时代》2018年第2期
李文江:《我国商业银行客户信息的秘密性及其保护》,《金融理论实践》2018年第10期
(顾亚为化名)