近日,中信银行违规泄露脱口秀演员王越池银行流水的事件引发舆论关注,银行未经本人允许打印流水是违法行为吗?可能造成哪些后果?网易研究局(ID:wyyjj163)专访了上海交通大学上海高级金融学院兼聘教授、复旦大学法学院教授许多奇。
以下为专访实录:
网易研究局:从法律和监管角度来看,银行违规打印流水是违法行为吗?
许多奇:银行违规打印流水是违法行为,违法的程度需要视情况而定。中信银行为笑果文化打印池子的流水,可能是因为池子与笑果文化之间是员工和雇主关系。
个人认为这起码是一种银行操作风险的违规行为。笑果文化和池子之间有资金的付账往来,再加上银行可能与笑果文化有长期合作,建立了信任关系,所以银行就把池子个人的账户流水打印出来。基于以上假设,银行未经过池子本人的许可打印了个人敏感信息的银行流水,肯定存在违规操作。根据《商业银行法》第二十九条规定“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则;对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”这是上位法的规定。
依据法律法规,合法合规的查询一般只有三种途径。第一是账户主体本人或者委托代理人持一个委托的文书,拿着身份证去银行去打印流水。其次,有权执法、司法单位工作人员,比如人民法院、税务机关、海关、人民检察院等的工作人员,持完备的调查手续,也可以查询个人存款账户的信息。此外,如果涉及到案件,对方律师持法院有效的调查令可以调取个人账户流水。中信银行在没有池子本人的同意下打印他的账户流水,肯定是违规行为。
网易研究局:银行可能受到那些惩罚?
许多奇:抛开中信银行事件本身,此类事件发生后,如果是银行员工职务行为,有可能单位和个人双罚制。
对于银行员工,可能的具体惩罚有以下五种:
二是监管机构——银保监会也会针对相关从业人员作出处罚,包括警告、罚款、没收违法所得、禁止一定期限直至终身从事银行业工作等。
三是自律组织——中国银行业协会也可能会根据《中国银行业从业人员道德行为公约》第七条:严守秘密,确保安全。树立保密观念,增强保密意识,严格遵守保密法规,自觉履行保密责任,做到不泄密、不失密,确保银行经营安全和客户的资金、信息安全;第十四条:银行业从业人员违反本公约、对行业声誉造成恶劣影响的,由中国银行业协会自律工作委员会采取书面批评、通报批评、公开谴责等自律惩戒措施。对违反公约、对行业声誉造成恶劣影响的从业人员采取书面批评、通报批评、公开谴责等自律惩戒措施。
四是民事责任。池子方可能提起侵权损害赔偿诉讼,针对其个人信息泄露所造成的损害向该员工索赔。
五是刑事责任。如果该员工向他人出售或提供池子的个人信息,构成了侵害公民个人信息罪,根据《刑法》第二百五十三条规定“情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”
银行则有可能承担民事责任和行政责任。根据《商业银行法》第七十三条,商业银行“非法查询、冻结、扣划个人储蓄存款或者单位存款”,“对存款人或者其他客户造成财产损害的,应当承担支付迟延履行的利息以及其他民事责任。有前款规定情形的,由国务院银行业监督管理机构责令改正,有违法所得的,没收违法所得,违法所得五万元以上的,并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五万元的,处五万元以上五十万元以下罚款”。
如果情节严重,银行还可能面临着刑事处罚。《刑法》第二百五十三条规定,单位犯侵害公民个人信息罪的,“对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”。
网易研究局:5月7日凌晨,中信银行向池子郑重道歉,并按制度规定对相关员工予以处分,同时对支行行长予以撤职。对这一处分怎么看?
许多奇:银行的处分属于内部处分,没有办法获知公司内部的规章制度,所以中信银行的处分从业内的角度来看是否合理不得而知。中信银行既予以机构处分,也给员工处分,遵循双罚制的原则。除了内部处分,涉事人员还可能承担民事责任、行政责任或刑事责任。银保监会对银行的处罚,一般来说既可以是处罚机构的单罚,也可以双罚,但是不能只单独处罚银行的员工,银保监会没有这个权利。处罚银行的员工,一定是要在处罚机构的基础上进行。
目前比较规范的大银行,即便是内部的员工,要去查客户个人的信息,也是会留痕的。另一方面也要关注对个人信息的保护,特别是个人银行流水,因为它属于比较的敏感信息。
许多奇:个人银行流水泄露比较严重的后果可能是受欺诈或被绑架,因为犯罪分子知道你的财务状况,会觊觎你的财产。比较轻的后果就是被广告骚扰,根据进账出账情况对客户精准画像之后,推销人员会打电话来推销车、房等产品。
针对个人信息泄露,可以参考欧盟的个人数据保护法,欧盟对于侵犯他人信息隐私的行为的处罚是非常重的,特别是对一些大型的互联网公司,比如Facebook、Google。中国的金融机构,只有银行对个人信息的保护做得相对规范,其他一些金融APP会直接把个人金融信息抓取过来,对个人信息隐私的保护更加不利。银行相对规范,但是为什么要对银行这么严格地规制?因为我们不仅希望银行做表率,更希望银行承担看门人的义务。在金融机构运用数据与第三方合作,包括数据分析和处理公司的时候,银行要做看门人,对第三方信誉进行担保。以前第三方侵犯了个人的隐私,银行不担责任,但是现在银行需要承担这样一个“看门人”的责任。因为数据最难管理,无论规则多么严格,只要一个环节出了纰漏,就会侵犯个人的隐私。
网易研究局:如果池子因流水泄露个人利益受到损害,向银行索赔,中信银行有责任承担赔偿吗?
许多奇:如果池子因为流水泄露,利益受到损害,他要拿出证据,证明后续受到的损害和之前的信息泄露是有密切联系和因果关系的。因为很可能出现多因一果,或者不具有因果关系的情况。具体案件要根据场景具体分析,因为数据法领域政出多门,规制相对薄弱,中国在个人金融信息保护立法和实施方面还有待完善。
单个的数据无法证明个人利益的损害,往往要跟其他的数据合并在一起,放到具体场景当中去,才可能导致某种后果,所以不能简单地去看待池子这个事情。不能仅因为池子是公众人物,事件的影响比较大,就将一方损害无限放大;其实此次事件的恶劣程度比一些APP大批量盗取个人信息,或者银行员工大量恶意买卖个人信息要轻得多。如果非要进一步追究责任,可根据《商业银行法》或者《民法》里隐私保护的相关规定,来追究相应的责任。现在银行内部已经处分了,个人认为从合规的角度来看,银行对这个问题的处理是比较合适的。金融行业里面操作风险是无可避免的,银行是要加强操作风险合规管理,监管机构也要履行相应的职责严加监管,保护个人的金融敏感信息,但是不能因此完全束缚住银行,让银行什么事都不能做了,这样对社会发展没有好处。
在金融领域,操作风险、信息风险、信用风险等无处不在,我们只能尽量地去预防和控制,但是风险永远不可能为零。所以,要达到某种平衡,既不伤害银行开展正当的信息共享创新,比如与有牌照的第三方金融科技平台共享信息贷款贷给中小企业的开放银行业务,对缺乏融资的中小企业就很有帮助,当然在信息共享过程中,也要最大程度地保护个人的金融信息不受侵害,达致两者平衡。
