首页 > 信息安全 > 正文

中信银行泄露交易明细引热议,媒体聚焦信息安全漏洞怎么堵

2020-05-15 10:21:00  来源:企业网D1Net

摘要:中国银保监会消费者权益保护局发布通报称,将按照相关法律法规,启动立案调查程序,严格依法依规进行查处。
关键词: 中信银行 信息安全
  近日,脱口秀演员池子(本名王越池)发文吐槽中信银行泄露个人账户交易明细引发热议。
 
  5月9日,中国银保监会消费者权益保护局发布通报称,将按照相关法律法规,启动立案调查程序,严格依法依规进行查处。
 
  接受《法制日报》记者采访的业内人士认为,银行流水属于财产信息,是个人信息的重要组成方面,任何人都不得侵害。要根据信息泄露过程的不同特征进行具体分析,如果是银行的不当行为,应由银行承担责任;如果个人存在违法违规行为,则可能触犯刑法或商业银行法。此事件也暴露出我国在个人金融信息保护立法和实施方面还有待完善,需进一步推进个人信息保护法出台,同时加强合规管理,严厉打击银行员工利用职务之便侵犯公民权利的行为。
 
  银行泄露交易明细,违规同时涉嫌违法
 
  5月6日,池子发布长文称,他在处理与笑果文化的合约纠纷时收到来自对方的案件材料,里面包含他在中信银行的个人账户交易明细。
 
  5月6日晚,上海笑果文化在微博上回应称,相关仲裁正在进行中,其“根据相关流程采取了财产保全、提起仲裁、证据收集等法律活动”,且上述行动“均在法律及合同的框架之下进行”。
 
  5月7日凌晨,中信银行发布致歉信称:“经我行核实,近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池先生支付劳务工资记录时,我行员工未严格按规定办理,提供了王先生的收款记录。对此,我们向王先生郑重道歉!”并称该行已按制度规定对相关员工予以处分,并对支行行长予以撤职。
 
  中信银行表示,在客户信息保护方面,该行建立了一整套制度及流程,但个别员工未严格按照制度操作,反映出该行个别机构在制度执行上不到位。“我行将举一反三,全面检查,加大培训,强抓制度执行,坚决避免此类问题再次发生,切实保护金融消费者合法权益。”
 
  个人金融信息泄露产生的影响不容忽视。据中央财经大学法学院教授邓建鹏介绍,信息泄露后,实施电信诈骗者极可能对潜在的犯罪对象进行精准定位和选择;一些出售房产、保险类产品的商业机构很可能根据泄露的信息来精准挑选潜在用户,推销产品,构成商业性骚扰;此外,银行“流水”公布后,用户与他人、机构之间的交往记录就会被他人知晓,使得被交往对象的信息也被牵扯进来。
 
  根据人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》和民法中提到的诚信原则,银行有保守客户信息秘密的义务要求。
 
  因此,邓建鹏认为,泄露客户账户信息的行为违背了金融监管部门发布的规章制度,还涉嫌违法。另外,存钱相当于达成合同契约,银行泄露客户信息违背了合同法的相关规定。
 
  “个别员工固然涉及违规和违法问题,但管理层也有监督管理和培训职责。出现此类事件,说明他们没有履行好监督管理责任。因此,个人和单位都存在问题,不能将责任全部推给个人。”邓建鹏说。
 
  中国政法大学知识产权中心特约研究员赵占领也认为,无论是依据商业银行法还是消费者权益保护法,银行在收集储户的个人信息后,应当依法妥善保管,未经法定机关法定程序,不得任意向其他第三人提供。
 
  “从现行立法角度看,个人金融信息已经被各种法律所保护。民法总则和侵权责任法中规定了隐私权与个人信息权,银行‘流水’属于财产信息,是个人信息的重要组成方面,任何人都不得侵害。商业银行法更是进一步明确了银行对存款人的保密义务。”赵占领说。
 
  据赵占领介绍,我国刑法修正案(九)特别规定了侵犯公民个人信息犯罪的罪名,两高也出台了相关司法解释,详尽描述了侵害公民财产信息刑事立案标准所需要达到的数量,又特别规定,那些在履行职责过程中和提供服务过程中,将获得的个人信息出售或提供他人的,刑事立案标准只需要达到普通案件的一半即可。
 
  “即便泄露是由个人行为构成,银行也应该承担管理不当的责任。监管部门和行政部门应从外部督促银行承担责任,相关负责人也应被追责并受到处罚。”中国社会科学院金融风险与金融监管研究室副主任尹振涛说。
 
  尹振涛认为,应针对客户信息泄露过程的不同特征分情况看待,如果是银行的不当行为,则应由银行承担责任;如果个人存在违法违规行为,则可能触犯刑法或商业银行法,要受到惩处。
 
  信息安全把关不严,银行内鬼频钻漏洞
 
  多名银行从业人士在接受采访时称,发生在中信银行的这件事不具有普遍性,监管部门、银行对个人信息保护极为重视,也出台了相关的政策、规章制度,但问题在于缺少严格的法律监管,以及如何督促相关人员执行到位。
 
  据了解,即使是有权力机关如公检法纪委监委等要求银行配合调查,按照规定一般需要有权机关(公检法纪委监委等)两名工作人员,携带证件及公函前往办理。以法院查询为例,需要两名法院工作人员携带两证(工作证和执行公务证)、法院盖章的查询文书办理。银行的工作人员核对法院工作人员的证件和公函,核对无误后才予以办理。
 
  《法制日报》记者也通过采访获悉,按照规定,用户若想查询个人账户交易明细,需携带身份证、银行卡到所属银行营业网点非现金业务窗口通过银行工作人员打印,特殊情况除外,其他人均无权打印。
 
  一位银行人士告诉《法制日报》记者:“其他打印‘流水’的几种方法,也都需要用户银行卡或身份证及相关授权信息,除了用户本人及本人提供的授权外,在没有这些证明的情况下,即便用户的父母也无法打印其个人交易‘流水’。”
 
  然而,从近年公布的法律判决书来看,银行员工私自对外提供个人金融信息的情况时有发生,尤其是在银行支行一级,由于信息安全把关不严,“内鬼”钻漏洞泄露个人金融信息的乱象较多。
 
  某城商行高管透露,类似在暗网大规模的金融数据被交易确实存在,但主要发生在2018年以前,当时《银行业金融机构数据治理指引》尚未出台,很多银行分支行操作不规范,存在“内鬼”。
 
  此外,还有些银行可能会屈从于“大客户”,进而泄露个人金融信息。有银行从业者坦言,在银行内部,员工随意查阅用户“流水”信息的现象确实存在,“不过,银行即使屈从于‘大客户’,帮助其查阅‘流水’信息也只能是隐秘不公开的,更不会在未经授权的情况下提供用户‘流水’作为证据”。
 
  据池子透露,中信银行就回复其称“这是配合大客户的要求”。
 
  这一说法再次引爆舆论。有多名网友质疑:“大客户有要求,银行就能随意泄露其他客户信息?个人在银行的账户信息是否安全?”
 
  邓建鹏认为,根据池子所提供的信息,银行之所以泄露其信息,是为了讨好所谓的“大客户”,从这里可以看出,泄露个人金融信息行为的背后主要是一种利益推动。当犯罪嫌疑人将用户信息卖给他人就能够从中获利,而在本事件中,银行则能够讨好大客户从而刺激其储蓄,获取额外收益。
 
  有媒体直言,“池子事件”只是商业银行信息泄露情况的冰山一角,商业银行大量基层员工的客户信息保密的意识相当淡薄。
 
  河南工业大学知识产权研究中心主任李文江曾对郑州商业银行300位客户经理进行问卷调查,2018年在《我国商业银行客户信息的秘密性及其保护》一文中公布了结果:“60%以上的客户经理所在银行没有建立客户信息保密制度,不了解客户信息的范围;70%的客户经理认为所在银行的客户信息保密制度过于原则,没有覆盖客户信息收集、整理、提升和使用的各个环节;90%的客户经理认为客户信息主要掌握在客户经理手里,所在银行没有规定统一保护措施,工作调动可以随意带走客户信息,不存在任何制约措施。”
 
  完善信息保护立法,加强银行合规管理
 
  一系列涉及个人金融信息安全事件的出现,给从业机构敲响了警钟。
 
  近年来,监管部门严格监管银行客户信息安全管理,罚单不断。一些违规泄露客户信息的员工,不仅遭终身禁业,还会受到法律严惩。
 
  “正因为如此,不存在大规模数据泄露或导出售卖的可能性。但不可否认,依然存在个别通过‘走后门’的关系进行信息查询,或者由于员工操作不当导致系统信息出现泄露的情况。”前述某城商行高管说。
 
  在赵占领看来,违规泄露客户信息的员工要么是缺乏法律意识,要么就是在知晓行为违法性的基础上心存侥幸心理,受到利益的驱使而做出此类不良行为。
 
  “而从银行角度来看,虽然已经建立起内部规章制度,但缺乏有效的执行保障机制。如何将规章制度贯彻到位,同时落实到基层员工上,这些问题对于银行管理实践仍然是巨大的挑战,管理上仍然有短板。”赵占领说。
 
  值得注意的是,监管部门亦关注到相关风险,并出手规范市场。
 
  2019年,《个人金融信息(数据)保护试行办法》(初稿)、《中国人民银行金融消费者权益保护实施办法(征求意见稿)》相继发布。
 
  今年年初,人民银行发布的2020年规章制定工作计划也明确,将制定《中国人民银行金融消费者权益保护实施办法》。根据2019年年末的征求意见稿,消费者金融信息是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。
 
  复旦大学法学院教授许多奇在接受采访时称,如果池子因为“流水”被泄露,利益受到损害,他就要拿出证据,证明后续受到的损害和之前的信息泄露具有密切联系和因果关系。具体案件要根据场景具体分析,因为数据法领域政出多门,规制相对薄弱,我国在个人金融信息保护立法和实施方面还有待完善。
 
  邓建鹏也认为,目前,我国还没有形成一部专门的数据法,只有与数据相关的法律法规,确实存在一种政出多门的状态。而这种状态也与公民个人信息的复杂性有关,若干个有权力的部门会根据他们的职权来规定如何保护公民个人信息和个人数据。
 
  “信息性质的不同决定了主管部门的差异。整体来看,我国目前还没有一部完整的公民个人信息法,而是分散于各个部门进行管理。金融信息作为个人信息中的核心组成,其保护主要依赖央行和银监会发布的规范性文件或部门规章。”邓建鹏说。
 
  因此,邓建鹏建议,在立法方面,要进一步推进个人信息保护法出台。在即将发布的民法典中也应设置个人信息保护的章节,为整个社会设置标杆,厘清何种信息应受到法律保护,为开展商业行为或个人行为提供标准。此外,要加强合规管理,严厉打击银行员工利用职务之便侵犯公民权利的行为。

第三十届CIO班招生
法国布雷斯特商学院硕士班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:zhangwenwen