在涉案微博中,除照片外�����,博主準(zhǔn)確披露李某在銀行貸款的具體細節(jié)。貸款的詳細信息只有貸款的相對方知曉相關(guān)細節(jié)�����。對于貸款信息泄露的源頭���,銀行不能出示證據(jù)證明貸款信息系由第三人或原告本人披露的����,根據(jù)民事案件中高度蓋然性的證明標(biāo)準(zhǔn)�,可以推定相關(guān)貸款信息及照片系自銀行處泄露。
而貸款信息應(yīng)屬隱私權(quán)保護范疇��。銀行因管理不善��,導(dǎo)致原告的貸款信息擴散�����,對原告造成一定的負面影響����,該行為侵犯了原告的隱私權(quán)����,銀行應(yīng)承擔(dān)相應(yīng)的法律責(zé)任�����。
2 刑事犯罪:利用職權(quán)����、違規(guī)查詢公民征信或非法提供客戶信息
吳某在銀行工作期間���,在明知諸某����、陳某利用銀行系統(tǒng)����,違規(guī)為閆某查詢公民個人征信信息,提供給閆某收取費用的情況下�����,仍幫助諸某����、陳某違規(guī)為閆某查詢公民個人征信信息���,并將查詢的相關(guān)征信信息通過郵箱發(fā)送給閆某。截至案發(fā)����,公安機關(guān)查證吳某共計向閆某提供公民個人征信信息830余條。
沈某在擔(dān)任某銀行支行行長期間�,將該行受理的貸款客戶財產(chǎn)信息共計127條提供給周某用于招攬業(yè)務(wù)。
評價
我國刑法第二百五十三條之一規(guī)定:
“違反國家有關(guān)規(guī)定�,向他人出售或者提供公民個人信息,情節(jié)嚴(yán)重的��,處三年以下有期徒刑或者拘役��,并處或者單處罰金����;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑����,并處罰金”。
也就是說���,銀行在未有合法授權(quán)或合法依據(jù)對外提供公民個人信息時����,情節(jié)嚴(yán)重的�����,或?qū)⑸嫦有淌路缸铩?/p>
進而��,《最高人民法院�����、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將“情節(jié)嚴(yán)重”與“情節(jié)特別嚴(yán)重”予以明確規(guī)定����。其中,第五條指出:
“非法獲取�����、出售或者提供公民個人信息����,具有下列情形之一的����,應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的‘情節(jié)嚴(yán)重’:
(一)……�;
(三)非法獲取、出售或者提供行蹤軌跡信息����、通信內(nèi)容、征信信息�、財產(chǎn)信息五十條以上的;
(四)非法獲取���、出售或者提供住宿信息��、通信記錄�、健康生理信息����、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的����;
(五)……;
(八)將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人�����,數(shù)量或者數(shù)額達到第三項至第七項規(guī)定標(biāo)準(zhǔn)一半以上的;
(九)……����;
(十)其他情節(jié)嚴(yán)重的情形”�����。
以上案例�����,行為人違反《商業(yè)銀行法》等有關(guān)規(guī)定���,向他人提供客戶信息�,因數(shù)量較多����,已然構(gòu)成侵犯公民個人信息罪。而公民個人信息系行為人在履職過程中獲得并提供給他人����,依法應(yīng)從重處罰�。
二���、必要的安全����、保密的環(huán)境缺失致使客戶信息泄露
1 自動取款機置中安全防范措施缺失
未能保證儲戶安全交易
周某在某銀行分理處開戶后����,申領(lǐng)了借記卡。某日�����,周某到某銀行下屬的火車站分理處(非開戶分理處)�����,持卡在柜臺要求取款��。營業(yè)員告知周某前往自動取款機處取款���,周某稱“我不會”�����,營業(yè)員告知其“屏幕上有提示�,你跟著做就可以了”,周某來到自動取款機前�����。
該自動取款機位于分理處營業(yè)大廳內(nèi)�����,距離柜臺不過兩米��;取款機上方貼有“您的密碼如同錢包�����,注意保密����,以防被竊”的警示紙條����,但周圍無任何安全防范措施。
周某在自動取款機上操作失敗�����,尋求他人幫助期間,借記卡被掉包�。待其再次持卡到柜臺要求取款時,營業(yè)員告知其該卡為外地卡����,周某才發(fā)現(xiàn)自己的卡被調(diào)包,于是�,要求營業(yè)員予以掛失。因其不記得存折號碼和卡號�,在提供姓名、身份證與密碼后��,營業(yè)員稱����,只能到開戶分理處辦理。周某離開火車站分理處����,于27分鐘后,趕到開戶分理處進行口頭掛失時�,發(fā)現(xiàn)其賬戶資金已被盜取。
評價
某銀行火車站分理處,將自動取款機置于人員眾多且流動性大的營業(yè)大廳內(nèi)���,僅取款機上方張貼一警示紙條���,周圍無任何安全防范措施,不能保證旁人無法接近正在使用自動取款機的儲戶����,且不能保障他人無法偷窺儲戶在自動取款機上的密碼,客觀上使儲戶無法在保密狀態(tài)下安全使用自動取款機����。因此�����,本案的卡片遺失與密碼失密�����,并非完全是持卡人自己的過失造成�。銀行需就自動取款機周邊防護不足,承擔(dān)責(zé)任�����。
2 自助柜員機管理、維護疏漏引發(fā)的儲戶信息泄露
銀行需承擔(dān)責(zé)任
王某在銀行辦理無存折借記卡�,并在業(yè)務(wù)登記表中進行了簽名,業(yè)務(wù)登記表背面附有管理協(xié)議書及借記卡章程��,載有“持卡人應(yīng)妥善保管密碼����,因密碼泄露而造成的風(fēng)險及損失由持卡人本人承擔(dān)”的內(nèi)容。
案外人湯某等五人在該銀行自助銀行網(wǎng)點����,于門口刷卡處安裝讀卡器,在柜員機(ATM)上部安裝了具備攝像功能的MP4���。
王某持借記卡在該自助銀行柜員機取款時��。湯某等竊取到了王某借記卡的卡號�����、信息及密碼����,后,實施刷卡消費及取款等行為�。
評價
商業(yè)銀行設(shè)置自助銀行柜員機,是一項既能方便儲戶取款�,又能提高自身工作效率并增加市場競爭力的重要舉措,銀行亦能從中獲取經(jīng)營收益���。
對自助銀行柜員機進行日常維護�、管理���,為在自助銀行柜員機辦理交易的儲戶提供必要的安全�����、保密環(huán)境����,也是銀行安全�����、保密義務(wù)的一項重要內(nèi)容����,這項義務(wù)應(yīng)當(dāng)由設(shè)置自助銀行柜員機的銀行承擔(dān)。
案外人通過在自助銀行網(wǎng)點門口刷卡處安裝讀卡器����、在柜員機上部安裝具有攝像功能的MP4的方式,竊取了王某借記卡的卡號��、信息及密碼��,復(fù)制了假的銀行卡����,并從原告借記卡賬戶內(nèi)支取相應(yīng)資金并消費。上述事實說明�����,涉案銀行柜員機存在重大安全漏洞�。
由于具備專業(yè)知識的銀行工作人員對自助銀行柜員機疏于管理、維護�����,未能及時檢查��、清理�����,沒有及時發(fā)現(xiàn)、拆除犯罪分子安裝的讀卡器及攝像裝置����,致使自助銀行柜員機反而成了隱藏犯罪分子作案工具的處所,給儲戶造成安全隱患�����,為犯罪留下可乘之機�����。
也即�����,犯罪分子利用商業(yè)銀行對其自助柜員機管理�����、維護上的疏漏�����,通過在自助銀行網(wǎng)點門口刷卡處安裝讀卡器�、在柜員機上部安裝攝像裝置的方式,竊取儲戶借記卡的卡號����、信息及密碼,復(fù)制假的借記卡�����,將儲戶借記卡賬戶內(nèi)的錢款支取、消費的��,應(yīng)當(dāng)認(rèn)定商業(yè)銀行沒有為在其自助柜員機辦理交易的儲戶提供必要的安全����、保密的環(huán)境��,構(gòu)成違約�。
三、信息技術(shù)條件下����,銀行信息安全新挑戰(zhàn)
銀行系統(tǒng)被黑客攻擊,資金盜領(lǐng)與信息泄露事件也多有發(fā)生���,如臺灣第一銀行遭跨境黑客盜領(lǐng)案以及美國最大的信用局之一���,Equifax客戶信息泄露等等事件�����。數(shù)據(jù)信息系統(tǒng)的安全如何做���?詳情參見之前發(fā)文《“防刪庫”硬核操作指南》。具體包括但不限于:
1 先行:
制作安全保障制度與操作規(guī)程
(1)日常操作遵循最小權(quán)限原則
(2)內(nèi)部職能部門部署科學(xué)化
(3)內(nèi)部審計對安全事件的處置����、應(yīng)急響應(yīng)和事后調(diào)查等提供相應(yīng)支撐等。
2 硬核:
結(jié)合等級保護對象受到破壞時所侵害的客體以及對客體造成侵害的程度等����,確定網(wǎng)絡(luò)安全技術(shù)等級并予加強。
3 Plan B
制定安全事件的緊急預(yù)案����,并定期(至少每年一次)組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練等。
小結(jié)
銀行因個人金融服務(wù)�,掌握著客戶的賬戶信息、鑒別信息、金融交易信息�、個人身份信息�����、財產(chǎn)信息�����、借貸信息等內(nèi)容�����。個人信息是金融業(yè)機構(gòu)在提供金融產(chǎn)品和服務(wù)的過程中積累的重要基礎(chǔ)數(shù)據(jù)���,也是個人隱私的重要內(nèi)容���。
銀行賬戶、存款信息(包括資金數(shù)量�����、支付收款記錄等)����、信貸記錄�、征信信息�、交易和消費記錄、流水記錄等屬于個人敏感信息�����。
之所以被定義為個人敏感信息�,是因為這些信息一旦泄露、非法提供或濫用等可能危害人身和財產(chǎn)安全��,極易導(dǎo)致個人名譽�����、身心����、健康受到損害或歧視性待遇等。
通過前述案例也可以看到�����,目前各類規(guī)范對銀行的客戶信息安全保障等賦予較為嚴(yán)格的義務(wù)��。不僅客戶存儲在銀行內(nèi)部的賬戶及交易信息受到嚴(yán)格保護,銀行的外部延伸設(shè)備設(shè)置及相應(yīng)的安全保障等也應(yīng)謹(jǐn)慎為之��。信息技術(shù)條件下���,銀行信息安全更是面臨更多挑戰(zhàn)���。據(jù)此����,用訴訟的角度發(fā)現(xiàn)管理缺漏,亡羊補牢�����,為時未晚�����。
