商业银行防范客户信息泄露法律风险问题研究

万育

伴随着我国经济的快速发展，商业银行在市场经济中发挥的作用日益突出，商业银行服务客户群体不断扩大，提供的金融服务内容日益丰富。与此同时，商业银行获取了海量客户信息，如何保护客户信息安全，防范客户信息泄露风险，成为商业银行面临的重大课题。特别是近日某银行泄露客户个人账户信息事件，再次引发社会对客户信息安全问题的关注。事情经过大概如下：2020年5月6日，脱口秀演员王先生发微博称，某银行未获本人授权，便将他的个人账户流水提供给一家文化传媒有限公司，这属于侵犯公民个人信息的违法行为。他通过律师发函，要求银行赔偿损失，并公开道歉。5月7日凌晨，涉事银行通过官方微博发布道歉信，承认员工未严格按规定办理，提供了王先生的收款记录，向王先生郑重道歉。该银行按制度规定对相关员工予以处分，并对支行行长予以撤职。对于此事，当地银行业监管部门也介入开展调查。

1.泄露客户信息的法律责任及后果

1.1刑事责任

我国《刑法》第二百五十三条之一规定了侵犯公民个人信息罪，“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”

根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;或者违法所得达到5000元以上的，将会被追究刑事责任。同时，按照该司法解释的规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，上述信息数量达到25条以上，或者违法所得达到2500元以上，将会被追究刑事责任。

综上，商业银行员工如果泄露客户财产信息数量在25条以上，或者违法所得达到2500元以上，涉嫌構成侵犯公民个人信息罪，最高可处七年有期徒刑并处罚金。

1.2行政法律责任

根据《商业银行法》、《消费者权益保护法》、《网络安全法》、《征信管理条例》、《电信和互联网用户个人信息保护规定》等有关规定，对个人信息安全拥有一定监管权力的行政机关包括人民银行、银保监会、工商行政管理部门、国家网信部门等，银行泄露个人信息将面临行政监管处罚。

1.2.1根据《中华人民共和国商业银行法》第29条规定，商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。换言之，对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，通常只有在配合司法调查程序的情况下，银行才会向公检法等部门提供储户个人账户交易明细。结合《商业银行法》第73条的规定，商业银行违反《商业银行法》规定的保密义务，对存款人或者其他客户造成损害的，监管机构有权对商业银行进行行政处罚。处罚内容包括：“由国务院银行业监督管理机构责令改正，有违法所得的，没收违法所得，违法所得五万元以上的，并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五万元的，处五万元以上五十万元以下罚款。”

1.2.2按照《消费者权益保护法》第56条规定，侵害消费者个人信息依法得到保护的权利的，经营者除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行;法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得1以上10倍以下的罚款，没有违法所得的，处以50万元以下的罚款;情节严重的，责令停业整顿、吊销营业执照。

1.2.3根据人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）规定，中国人民银行及其地市中心支行以上分支机构受理投诉或发现银行业金融机构可能未履行个人金融信息保护义务的，可依法进行核实，认定银行业金融机构存在违反本通知规定，或存在其他未履行个人金融信息保护义务情形的，可采取以下处理措施：约见其高管人员谈话，要求说明情况;责令银行业金融机构限期整改;在金融系统内予以通报;建议银行业金融机构对直接负责的高级管理人员和其他直接责任人员依法给予处分;涉嫌犯罪的，依法移交司法机关处理。

1.3民事法律责任

银行违反个人信息保护的有关规定，泄露客户信息将会承担违约责任或侵权责任。

1.3.1违约责任

如果银行和客户之间具有相关合同约定，客户可依相关约定要求银行承担违约责任;如客户与银行之间没有相关约定的，客户可以依据《合同法》第60条和第92条规定的保密义务，也即民法理论上的附随义务，要求银行承担违约责任。

1.3.2侵权责任

我国《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”同时，《民法总则》第120条规定：“民事权益受到侵害的，被侵权人有权请求侵权人承担侵权责任。”

《中华人民共和国侵权责任法》第十五条规定：“承担侵权责任的方式主要有：（一）停止侵害（二）排除妨碍（三）消除危险（四）返还财产（五）恢复原状（六）赔偿损失（七）赔礼道歉（八）消除影响、恢复名誉。以上承担侵权责任的方式，可以单独适用，也可以合并适用。”

综上，商业银行泄露个人客户信息的行为侵犯了客户的民事权益，将承担赔礼道歉、赔偿损失等侵权责任。

1.4泄露客户信息的其他后果

对银行而言，泄露客户信息直接损害银行的声誉，在面临监管处罚的同时，导致客户流失，从而带来难以估量的经济损失。对银行员工而言，泄露客户信息面临着内部处分甚至开除、追究刑事责任，给个人职业生涯和家庭生活带来沉重的打击。

2.商业银行发生客户信息泄露的原因分析

结合实践中发生的一些案例，商业银行发生客户信息泄露事件主要有内部原因和外部原因。

2.1内部原因

2.1.1有的商业银行内部管理薄弱。比如：在加强客户信息保护工作方面，往往制定有规章制度，但在执行落实方面不充分，不到位，存在执行盲区。在员工管理方面不到位，“认识你的员工”是加强员工行为管理的重要原则，但在实践中有的商业银行营业机构对员工管理不到位，以信任代替制度，未能事先发现员工异常行为，防范泄露客户信息行为发生。

2.1.2有的银行员工合规意识、法律意识薄弱。有的银行员工合规意识不强，为追求营销业绩，有章不循，未能坚持严格遵守银行的规章制度。有的银行员工在主观意识上存在模糊认识，未能认识到自己的行为属于泄露客户信息，或者虽然认识到自己的行为可能属于泄露客户信息行为，但心存侥幸，认为不会有什么后果，不会产生什么影响，也不会有什么危害。还有极少数银行员工，明知行为属于泄露客户信息行为，但为了非法获利，不惜铤而走险。

2.2外部原因

公民个人信息具有重要商业价值，商业银行所掌握的海量客戶信息，成为一些个人、企业觊觎的对象。一些不法分子，为达到获取信息目的，采取各种手段，试图打入商业银行内部，通过银行员工实现非法利益的传输交换。外部诱因也是商业银行发生客户信息泄露风险的重要原因。

3.商业银行防范客户信息泄露的应对措施

为防范客户信息泄露给商业银行带来的巨大法律风险，结合上述原因分析，商业银行应多措并举，从事前、事中、事后三个阶段，实现从被动防护到主动防护转变，严防客户信息泄露风险。

3.1事前阶段

3.1.1加强客户信息安全保护体系建设，从机制上防范客户信息泄露。对客户信息安全保护工作相关制度进行体系化梳理，查缺补漏，加强客户信息保护的层级管理和业务条线管理，实现对客户信息的纵横交叉保护，编织成一张保护客户信息安全的防护网。

3.1.2开展员工警示教育和业务培训，营造合规文化，树牢银行员工的合规意识、保密意识、法律意识，做到警钟长鸣。通过教育培训，让银行员工充分认识到保护客户信息安全是银行人的职责所在，在思想上绷紧合规这根弦，由“要我合规”转变为“我要合规”，积极履行保密义务，主动承担保密责任，严防泄露客户信息。

3.2事中阶段

3.2.1坚持合规经营。在日常工作中，无论服务对象是否特别，商业银行坚决不能突破合规底线。对于客户要求通过电话查询敏感信息的，银行员工应有礼有节引导客户按照银行相关制度规定办理查询业务，必要时可建议客户向司法机关申请调取相关信息，银行将给予司法协助。

3.2.2加强对客户信息管理。遵循相关监管规定，按照规定做好客户个人信息的收集、查询和使用，包括但不限于客户的身份证、户口本、银行账户、征信信息等个人信息。日常做好客户重要信息的保管保密工作，避免客户信息文档遗失，防范无关人员获取客户文档信息，对于涉及客户信息的废弃文件要及时销毁。

3.2.3加强技术支持和保障。商业银行网络运营部门、技术部门等应当采取技术措施和其他必要措施，保障网络产品、服务安全，确保收集的个人信息安全，防止信息泄露、毁损、丢失。

3.2.4强化员工行为管理。加强对员工行为管控，加大对员工异常行为排查力度，关注重点岗位、重点人员、重点环节，建立员工行为的防火墙，隔离操作风险、道德风险等，将风险发生机率控制在最低。

3.3事后阶段

商业银行应制定完善个人客户信息泄露突发事件应急预案，建立突发事件应急机制，一旦发现泄漏客户信息的苗头或风险，第一时间进行应急处理。在风险化解之后，对相关责任人员严肃追究问责。同时，对事件进行总结复盘，针对发现的不足，进一步完善相关风险防控机制。