中信银行昨日深夜就脱口秀艺人池子先生投诉的虹口支行向其经纪公司提供银行流水导致其被采取财产保全而向当事人道歉,并作出了对支行行长撤职和处罚相关员工等处理决定。由于商业银行法明文规定银行要为储户保密,刑法亦有侵犯公民个人信息犯罪,大家十分关注在当事人声明已经报警的情况下这种处罚是不是罚酒三杯?是否足够有警戒作用?本文根据目前媒体披露的信息做一分析。
首先,根据目前媒体披露的信息,中信银行向大客户提供其自己支付的流水记录存在合规瑕疵,但尚不构成犯罪。
我国侵害个人信息入罪是为了打击愈加猖狂的侵害公民个人信息行为,于2009年出台的《刑法修正案(七)》中将出售、非法提供、非法获取公民个人信息的行为规定为犯罪,后来刑法修正案(九)进一步修改合并为侵犯公民个人信息罪,量刑也增加了一个档次,把法定刑提高到了七年,与交通肇事罪最高的量刑相同。从笔者多年的刑事辩护和对金融机构的网络安全法合规培训经验来看,金融、电信等机构对这个犯罪都是高度警惕但仍然防不胜防的。特别是随着网络安全法的实施,很多金融机构都从软硬件各方面全面加强了网络安全和个人信息保护,但是因为个人信息保护也是具有复杂细节的专业性问题,具体到落实到日常工作中,也难免出现各种问题。根据网上媒体披露的信息,我注意到这个案件的银行流水除了是虹口支行向其大客户提供这个确实贻人口实的细节外,还有一个重要的细节是提供的流水是该行该客户笑果文化公司向自己的签约艺人账户的付款的流水,换句话说,就是池子先生向笑果公司提供的自己的中信虹口支行的银行账户信息,并由笑果文化公司将费用通过这个账户支付,现在笑果文化公司因为要提起仲裁,所以提供了这个账户要求银行提供流水记录,如果中信虹口支行按照惯例要求对方提供法院调查令,那么就完全合法合规,问题是不知道为什么虹口支行居然同意了提供,现在池子先生律师函认为因为银行违法提供银行记录,导致自己遭遇查封和生活困难,投诉银行并向警方报案。
根据最高法院和最高检察院关于办理侵犯公民个人信息罪适用法律若干问题的司法解释,银行流水属于个人信息,而且是受保护等级程度最高的个人信息之一,50条即可构成犯罪,银行工作人员职务犯罪减半,25条即可构成犯罪。此外,如果是有知道或者应当知道他人是犯罪而故意提供的,有违法所得5000元以上的,或者造成重大经济损失或者恶劣社会影响的,或者其他特别严重的情况,也可以不受数量影响而构成犯罪,比如徐玉玉这种电信诈骗导致被害人猝死的,侵犯一条个人信息也可以构成犯罪。如果前述媒体披露信息准确,笔者分析认为这个案件的情况应该是基层银行管理层对个人信息的相关专业知识了解不够全面,需要进一步加强合规培训,虽然这个账户是笑果文化公司付款的,效果公司直接查询也应当本着保护客户隐私的原则向其要求出具法院调查令,或者虹口支行向笑果文化公司提供公司账号内的对池子先生账号的付款记录,也并无不可。当然,这个案件虹口支行虽有瑕疵,银行已经进行了撤职和处罚工作人员的严厉处分,诉讼仲裁不是违法活动,不属于知道或者应当知道有犯罪而提供,所以这个行为基本可以确定尚不构成犯罪。至于因为保全造成自己的生活困难,这是法院依照法律进行的财产保全,池子先生如果认为自己权益受到侵害,可以另行起诉保全错误。但这个错误不能算在中信银行头上,其实只要当事人向法院申请调查令,后面的银行账户查封保全结果就完全是一样的。
其次,金融机构隐私保护的教训:关键还是管好人。
笔者自2012年《全国人大常委会通过加强网络个人信息的保护决定》开始为金融机构和各类企业进行合规培训,应该实事求是地说,从开始的普遍不重视到今天个案中高度重视,由于刑事打击和媒体宣传的显著效果,我国金融机构和其他企业隐私和个人信息保护意识有很大的提高。但是,类似任何一个金融机构都可能出类似这次虹口支行这样的问题,这个案件既不是第一个,也不会是最后一个,比这个情况恶劣更多的其他银行的支行行长出借自己的电子印鉴导致信息被批量下载和违法贩卖的案件也发生过不止一次。现在银行内部负责网络安全的一般是科技部门,比较重视软件和硬件的采购,相对来说,法务部门和管理层对于个人信息和网络隐私的重视程度如果与对担保抵押之类的银行业务相关法律法规相比,可能还有待提高。很多金融机构对个人信息等相关专业性认知不足,因而银行在软硬件产品设计,采购,业务流程设计和完善等需要精通法律和业务的人员参与进去并体现通过设计保护隐私的原则(privacy by design),但现在很多银行还没有什么概念(也有可能是看不上)。我本人在各种会议场合呼吁多次,只能说出现今天这样的案例,希望别的金融机构不要看笑话,这样的案件随时会发生在任何金融机构,而且可能没准儿情况更恶劣。我们需要反思的是怎么做才能把银行从上到下几万员工都培训到具有隐私保护的意识,或者至少遇到问题知道该问谁,我们的对外提供材料的流程能控制住不让违规的信息溜出去。
银行的个人信息保护水平不仅仅关系到广大老百姓的隐私,也关系到千家万户的存款安全。一旦处理不当,后果是真金白银被骗被盗。池子先生此次诉讼仲裁的事情不会因为投诉银行而改变结果,所以我建议重点还是要放在案件本身,对于银行来说,吸取教训,完善流程,保证下次不再发生同样的错误,那就是亡羊补牢,犹未为晚。
