近期,中信银行泄露用户个人账户交易信息的事件引起了社会广泛关注。中信银行致歉称“是配合大客户的要求”,并表示“已按制度规定对相关员工予以处分,并对支行行长予以撤职。”
这些年,用户个人信息遭银行泄露的案件已不罕见。早在2012年,就有媒体报道某股份制商业银行及某国有商业银行的员工向他人出售客户个人信息,最终导致客户3000余万元资金被盗。浦东法院也曾判决一起银行前员工利用任职期间工作便利,获取957万余条客户信息,有买家购买后据此盗窃账户内资金。因此,池子所说的“为什么不干脆把余额全取出来拿走呢?”还真不是危言耸听。
如今,我们每个人或多或少都会与银行打交道。虽说在办理各种业务中,银行根据规定可以获取、保存用户的个人信息。但不管是银行还是其员工,在没有法律依据的情况下泄露用户个人信息显而易见是一种侵权行为。
也许有的人觉得自己是一个“屌丝”,不觉得个人信息泄露是个大事。然而,当自己的个人信息被制作成信用卡进行盗刷,被用于电信网络诈骗,甚至对个人和家庭进行威胁和恐吓时,就能明白什么叫“蝴蝶效应”了。
当前,我国用户个人信息遭泄露往往面临“事前无知情权、事中无选择权、事后无救济权”的尴尬境地,违法泄露、出卖个人信息的成本较低。《商业银行法》对“非法查询、冻结、扣划个人储蓄存款或者单位存款的”仅规定应当承担支付迟延履行的利息以及其他民事责任。《征信业管理条例》对涉案银行和个人的处罚为对单位最高处罚金额50 万元,个人最高 10 万元。刑法规定的“侵犯公民个人信息罪”在情节特别严重时,才处三年以上七年以下有期徒刑,并处罚金。而欧美等国家个人信息保护法律规定,泄露信息的员工不仅会受理巨额罚款和刑事审判,且将无法在原行业继续工作,所在单位也将承担巨额经济处罚,面临严重的声誉危机。
诚如中信银行在声明中所称,虽然各家银行对员工合规操作制定了诸多考核及奖惩办法,但却缺乏切实有效的手段和监管措施。当一些意志相对薄弱、法律意识淡薄的员工面对利益诱惑时,难免存在侥幸心理,踩踏“红线”。
而中信银行在事发后的反应,也代表一些银行对此类事件的态度,认为仅是员工个人行为,只需进行处罚,最多不过移送警方查办,即可与本行撇清关系。这也暴露出,目前我国在法律层面对用户个人信息的保护还有很大的完善余地,光靠当前个别法律条款和司法解释已显捉襟见肘。因此,有必要加快《个人信息保护法》的立法进程,及时建立起一个完善的银行用户个人信息保护法律体系。
同时,应加强银行内部监督与教育。一方面要通过强化技术安全措施,提高对银行内部人员的实时监控和个人信息查询情况的监测,加强员工的考核和违法违规行为处罚,定期开展自查;另一方面要强化对全体银行员工的宣传教育,将个人信息保护相关的法律条款作为每个员工必须熟悉掌握的内容。还可要求每名员工签署客户信息保密承诺书,进一步增强守法意识。
此外,可探索建立与司法部门的合作机制。建立健全与公检法等司法部门的协调合作机制,对发现的可能涉及用户个人信息泄露方面的案件加强信息共享,充分利用双方的信息资源发现有价值的线索,及时追踪调查,防止个人信息进一步扩散泄露。
网友评论