清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

前车之鉴,后车之师。梳理银行信息泄露案件引发的各类争议后,我们发现案件虽有民刑之分,但大多数事件不是“祸起于萧墙”,就是外贼的“趁虚而入”。以已有争议为抓手,发现银行管理的疏漏之处,才可防患于未然、治祸于未乱。

祸起萧墙:银行内部工作人员泄露客户信息

1、民事纠纷:

员工的爆料猎奇,侵犯客户隐私

李某与银行签订《个人信用贷款合同》。在办理个人征信授权材料过程中,客户经理为李某拍摄了照片(照片中李某一手持填写完整的个人征信授权书、另一手持身份证原件)。随后,网络博文出现关于该笔贷款信息的重要爆料,并配有相应图片。银行随即就贷款信息泄露行为,向李某赔礼道歉,最终,案件讼至法院。

评价

银行确认在办理贷款的过程中,工作人员为客户拍摄照片(照片中李某一手持填写完整的个人征信授权书、另一手持身份证原件),而涉案的相关微博中,亦附有李某手持身份证原件及一份文件的照片,虽该照片中原告手持的文件无法清楚辨认名称,也没有清晰的标志等表明原告所处的场所,但综观该照片中原告所持材料、表情及照片的整体构图等,结合日常经验法则,可以推断该照片系原告在办理金融业务等经济活动时由相关人员拍摄。

在涉案微博中,除照片外,博主准确披露李某在银行贷款的具体细节。贷款的详细信息只有贷款的相对方知晓相关细节。对于贷款信息泄露的源头,银行不能出示证据证明贷款信息系由第三人或原告本人披露的,根据民事案件中高度盖然性的证明标准,可以推定相关贷款信息及照片系自银行处泄露。

而贷款信息应属隐私权保护范畴。银行因管理不善,导致原告的贷款信息扩散,对原告造成一定的负面影响,该行为侵犯了原告的隐私权,银行应承担相应的法律责任。

2、刑事犯罪:

利用职权、违规查询公民征信或非法提供客户信息

吴某在银行工作期间,在明知诸某、陈某利用银行系统,违规为闫某查询公民个人征信信息,提供给闫某收取费用的情况下,仍帮助诸某、陈某违规为闫某查询公民个人征信信息,并将查询的相关征信信息通过邮箱发送给闫某。截至案发,公安机关查证吴某共计向闫某提供公民个人征信信息830余条。

沈某在担任某银行支行行长期间,将该行受理的贷款客户财产信息共计127条提供给周某用于招揽业务。

评价

我国刑法第二百五十三条之一规定:

“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。

也就是说,银行在未有合法授权或合法依据对外提供公民个人信息时,情节严重的,或将涉嫌刑事犯罪。

进而,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将“情节严重”与“情节特别严重”予以明确规定。其中,第五条指出:

“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:

(一)……;

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(五)……;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

(九)……;

(十)其他情节严重的情形”。

以上案例,行为人违反《商业银行法》等有关规定,向他人提供客户信息,因数量较多,已然构成侵犯公民个人信息罪。而公民个人信息系行为人在履职过程中获得并提供给他人,依法应从重处罚。

必要的安全、保密的环境缺失 致使客户信息泄露

1、自动取款机置中安全防范措施缺失

未能保证储户安全交易

周某在某银行分理处开户后,申领了借记卡。某日,周某到某银行下属的火车站分理处(非开户分理处),持卡在柜台要求取款。营业员告知周某前往自动取款机处取款,周某称“我不会”,营业员告知其“屏幕上有提示,你跟着做就可以了”,周某来到自动取款机前。

该自动取款机位于分理处营业大厅内,距离柜台不过两米;取款机上方贴有“您的密码如同钱包,注意保密,以防被窃”的警示纸条,但周围无任何安全防范措施。

周某在自动取款机上操作失败,寻求他人帮助期间,借记卡被掉包。待其再次持卡到柜台要求取款时,营业员告知其该卡为外地卡,周某才发现自己的卡被调包,于是,要求营业员予以挂失。因其不记得存折号码和卡号,在提供姓名、身份证与密码后,营业员称,只能到开户分理处办理。周某离开火车站分理处,于27分钟后,赶到开户分理处进行口头挂失时,发现其账户资金已被盗取。

评价

某银行火车站分理处,将自动取款机置于人员众多且流动性大的营业大厅内,仅取款机上方张贴一警示纸条,周围无任何安全防范措施,不能保证旁人无法接近正在使用自动取款机的储户,且不能保障他人无法偷窥储户在自动取款机上的密码,客观上使储户无法在保密状态下安全使用自动取款机。因此,本案的卡片遗失与密码失密,并非完全是持卡人自己的过失造成。银行需就自动取款机周边防护不足,承担责任。

2、自助柜员机管理、维护疏漏引发的储户信息泄露

银行需承担责任

王某在银行办理无存折借记卡,并在业务登记表中进行了签名,业务登记表背面附有管理协议书及借记卡章程,载有“持卡人应妥善保管密码,因密码泄露而造成的风险及损失由持卡人本人承担”的内容。

案外人汤某等五人在该银行自助银行网点,于门口刷卡处安装读卡器,在柜员机(ATM)上部安装了具备摄像功能的MP4。

王某持借记卡在该自助银行柜员机取款时。汤某等窃取到了王某借记卡的卡号、信息及密码,后,实施刷卡消费及取款等行为。

评价

商业银行设置自助银行柜员机,是一项既能方便储户取款,又能提高自身工作效率并增加市场竞争力的重要举措,银行亦能从中获取经营收益。

对自助银行柜员机进行日常维护、管理,为在自助银行柜员机办理交易的储户提供必要的安全、保密环境,也是银行安全、保密义务的一项重要内容,这项义务应当由设置自助银行柜员机的银行承担。

案外人通过在自助银行网点门口刷卡处安装读卡器、在柜员机上部安装具有摄像功能的MP4的方式,窃取了王某借记卡的卡号、信息及密码,复制了假的银行卡,并从原告借记卡账户内支取相应资金并消费。上述事实说明,涉案银行柜员机存在重大安全漏洞。

由于具备专业知识的银行工作人员对自助银行柜员机疏于管理、维护,未能及时检查、清理,没有及时发现、拆除犯罪分子安装的读卡器及摄像装置,致使自助银行柜员机反而成了隐藏犯罪分子作案工具的处所,给储户造成安全隐患,为犯罪留下可乘之机。

也即,犯罪分子利用商业银行对其自助柜员机管理、维护上的疏漏,通过在自助银行网点门口刷卡处安装读卡器、在柜员机上部安装摄像装置的方式,窃取储户借记卡的卡号、信息及密码,复制假的借记卡,将储户借记卡账户内的钱款支取、消费的,应当认定商业银行没有为在其自助柜员机办理交易的储户提供必要的安全、保密的环境,构成违约。

信息技术条件下,银行信息安全新挑战

银行系统被黑客攻击,资金盗领与信息泄露事件也多有发生,如台湾第一银行遭跨境黑客盗领案以及美国最大的信用局之一,Equifax客户信息泄露等等事件。数据信息系统的安全如何做?详情参见之前发文《“防删库”硬核操作指南》。具体包括但不限于:

1、先行

安全保障制度与操作规程

(1)日常操作遵循最小权限原则

(2)内部职能部门部署科学化

(3)内部审计对安全事件的处置、应急响应和事后调查等提供相应支撑等。

2、硬核

结合等级保护对象受到破坏时所侵害的客体以及对客体造成侵害的程度等,确定网络安全技术等级并予加强。

3、Plan B

制定安全事件的紧急预案,并定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练等。

小结

银行因个人金融服务,掌握着客户的账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等内容。个人信息是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。

《信息安全技术 个人信息安全规范》(GB/T 35273-2020)附录明确指出:

银行账户、存款信息(包括资金数量、支付收款记录等)、信贷记录、征信信息、交易和消费记录、流水记录等属于个人敏感信息。

之所以被定义为个人敏感信息,是因为这些信息一旦泄露、非法提供或滥用等可能危害人身和财产安全,极易导致个人名誉、身心、健康受到损害或歧视性待遇等。

通过前述案例也可以看到,目前各类规范对银行的客户信息安全保障等赋予较为严格的义务。不仅客户存储在银行内部的账户及交易信息受到严格保护,银行的外部延伸设备设置及相应的安全保障等也应谨慎为之。信息技术条件下,银行信息安全更是面临更多挑战。据此,用诉讼的角度发现管理缺漏,亡羊补牢,为时未晚。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

评论


发表评论
您的评论提交后会进行审核,审核通过的留言会展示在上方留言区域,请耐心等待。
猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。