摘 要 当今涉及侵害公民个人信息的案件越来越多,公民对于个人信息的保护意识越来越强。近年来银行与客户之间就客户信息保护问题产生诸多分歧,本文以银行角度,从涉及银行客户信息保护的案例入手,分析对银行客户信息操作使用不当所引发的法律风险并理清相关的法律问题,并对进一步加强银行客户信息保护提出了建议。
关键词 银行 客户信息 法定义务 合同义务 法律责任
作者简介:杨静文,天津大学。
中图分类号:D922.28 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2016.12.046
银行作为公众服务的媒介和平台之一,为客户提供存款、贷款、理财、电子银行、银行卡等金融服务。银行在办理这些业务的过程中掌握了大量的客户重要信息,比如:姓名、账户、身份证号码、资产状况、联系方式等。法律规定,银行及其相关工作人员对客户信息承担保护义务,且未经许可不得私自向第三方提供,否则将承担相应的法律责任。
一、案例回放
(一)案例一:银行未经客户同意擅自查询客户个人信息
市民张先生在其当地人行营业部查询个人信用时,获得信用报告之后,发现有一栏查询记录异常:两家当地银行都查询了他的信用记录,然而都在他不知情的情况下。张先生说自己也只在这两家中一家银行办理过信用卡,但是使用不久后就注销了,之后也从未申请过贷款或申领新卡。但是对于另家商业银行查询他的信息,是在他的授权之外的。因为他从来没有在该商业行办过一次业务。所以,张先生觉得,两家银行已经侵犯到他的隐私。但他与两家银行协商未果。所以分别将他们告上法庭,提出两家的行为应该登报道歉。
之后,其中一家银行承认,为了对张先生信用卡进行第二次开发才会如此。曾在未经张先生准许的情况下,查询了张先生的住址、身份证号、办卡信息、所有银行贷款以及是否有欠款等信息。但该商业行认为,虽然这些信息也都具有一定社会的属性,但是,没有任何证据说明此信息查询后而被宣扬。所以,该行不觉得侵犯了张先生的隐私权。但是,一审法院还是以银行没有获得张先生的授权,并且违规操作,而判决银行败诉。而张先生起诉另家商业银行的案件中,法院对此案一审判决,判定结果是该行侵权行为成立,被告方要在书面上对张先生进行赔礼道歉。
(二)案例二:银行员工利用工作便利,非法查询出售客户信息
胡某原是一家银行的客户经理,工资待遇丰厚。陈某为一名贷款中介公司的员工。陈某提出让胡某利用职务之便,通过其所在银行的个贷查询系统,查询客户的银行征信信息,并以每条信息30元作为报酬。陈某将自己所要查询的客户名单及征信查询授权书复印件等一并发到胡某邮箱,胡某再将查询结果以电子邮件的形式发送给陈某。随着所需查询的征信信息数量不断增加,胡某还以高额利润为诱饵拉同事李某和王某某“入伙”。据统计,犯罪嫌疑人胡某、李某、王某某非法查询他人银行征信信息共计6924条,非法获利超25万元。犯罪嫌疑人陈某将从胡某处购买的银行征信信息出售给他人,共计非法获利36万余元。事情败露后,胡某等人因涉嫌侵犯公民个人信息罪被人民检察院审查起诉。犯罪嫌疑人胡某、李某、王某某利用职务之便,通过银行个贷查询系统非法查询他人银行征信信息并出售,陈某等人通过非法渠道获取他人银行征信信息,其行为已触犯《中华人民共和国刑法》规定,涉嫌侵犯公民个人信息罪。
(三)案例三:银行对客户信息保管及处理不当导致客户信息外露
银行员工李某在银行外面露天焚烧银行陈年账单和单据。同时,部分陈年账单和单据还被其卖给街边收废品的。单据中有银行每日结算单据、储蓄检查记录簿等大部分都是2004、2005年的陈年单据。在废品收购站,还发现了某银行也将客户资料被作为废品变卖。其中有些资料上还盖有原始的印章,客户的家庭住址、联系方式、个人财产等信息。其中一份抵押合同书的签订日期尚在银行的保存期之内。此类事件引发严重的法律风险及声誉风险。
二、银行为客户信息承担保护义务的法律分析
(一)法律义务
1.保护客户信息是银行的法定义务:
我国的《刑法》、《合同法》、《商业银行法》、《反洗钱法》、《储蓄管理条例》等法律、法规都对银行在客户身份资料、交易信息等方面的保密义务作出了规定。如《商业银行法》第29条规定:“商业银行受理个人储蓄存款业务,应该遵循取款自由、存款有息、存款自愿,为存款人保密的原则”,该法第84条还规定“商业银行工作人员泄露在任职期间知悉的国家秘密、商业秘密的,应当给予纪律处分;构成犯罪的,依法追究刑事责任”,中国银监会关于印发银行业金融机构从业人员职业操守指引的通知(银监发[2011]6号) 第四条“从业人员应当学法、懂法、守法,保守国家秘密和商业秘密,尊重和保护知识产权,自觉维护国家利益和金融安全”,又如《刑法修正案(七)》中亦有类似规定,上述这些法律、法规和监管规定中对银行及其工作人员的保密责任均作出相应规定,这些均是银行必须担负客户信息保密的有效法律依据。
2.保护客户信息是银行的合同义务:
客户在银行办理业务时,相关的业务合同中,通常都有信息保密方面的约定,以工商银行制定的格式合同为例,如《电子银行个人客户服务协议》,该协议中约定了工行对个人电子银行客户提供的申请资料和其他信息有保密的义务;又如《房地产借款合同》中约定了工行对借款人提供的非公开资料及信息具有保密的义务;再如《全面业务合作协议》约定了工行与合作对方保险公司均有义务为对方严守商业秘密(包括客户信息),未经对方许可,不得对外提供任何有关对方业务经营的资料和信息等等,可见在银行为客户办理业务或签约过程中,均有承诺性合同条款内容是为客户信息保密。
3.保护客户信息是银行应承担的合同附随义务:
客户在银行办理业务,与银行形成相关合同关系,包括各种储蓄合同、理财协议、存贷款合同、结算服务合同等,这些合同除了对双方间服务事宜进行约定外,还对相关保密责任进行了约定,即使没有保密方面的单独约定,但根据《合同法》第60条规定:“当事人应当遵循诚实信用原则,根据合同的目的、性质和交易习惯履行协助、通知、保密等义务”。这就是法律上对合同相对方应承担彼此保密义务的后合同义务法律规定,因此,银行在为客户办理业务过程中,即使合同文本未提及保密义务,银行方仍应为客户信息进行保密。
(二)法律责任
1.民事责任:
包括侵权责任与违约责任。在《合同法》第107条规定:“当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任”。如果银行因违反个人客户信息保密义务侵害了客户隐私权等民事权益,还可能担负赔偿损失、停止侵害、消除影响、恢复名誉、赔礼道歉等等侵权责任。
2.行政责任:
包括两方面:一是对银行的责任,包括没收违法所得、罚款、停业整顿、吊销经营许可证等;二是对直接责任人员的责任,包括罚款、取消任职资格、禁止从事有关金融行业工作等。
3.刑事责任:
《刑法修正案(七)》规定,金融单位人员,违反国家规定,将本单位在提供服务过程中获得的公民个人信息,非法提供或出售给他人,情节严重者,处或单处罚金,并处三年以下有期徒刑或拘役。
三、银行加强客户信息保护的相关建议
(一)建立严格的客户信息保护制度,对客户信息的查询、使用、保存、销毁及相关责任等方面做出严格的制度规定
1.完善对客户信息保密的责任制度:
老员要在离职时必须签订离职保密协议;每当有新员工加入公司时必须先签保密协议,并且保密协议要说明保密义务不能对客户信息泄露。
2.建立内控制度,规定不能将客户信息泄露:
梳理客户的信息登记、流转和分发,最后业务流程所使用的数据流向,建立必要的控制措施。要明确每环节数据保护责任人,如果确定了信息从哪个环节泄露出去,就可以对该责任人追责。
(二)对客户信息保护的薄弱环节加强管理预防
在依法协助有权机关查询之外,没有经过客户的书面同意,不可以用任何方式给他人透露用户的个人信息。于贷款业务的时候,另一方面欠款的催收方式也要注意。不能在过程中将用户有的个人信息泄露出去。在银保业务或者是理财业务等银行的中间业务时,要在有关协议有约定的情况下或应先告知客户并要取得客户的书面同意后。
(三)对员工加强培训教育,提高客户信息保护的意识
利用培训让员工知道客户个人信息的具体内容和保密的重要性,以及泄露客户个人信息要付法律责任。银行工作人员必须要注意保管好工作电脑之类存储用户信息的工具,预防疏忽而导致客户个人信息被他人盗取。并且建立离职员工的审查的机制,离职前要签订保密协议,确保用户的信息安全。保密协议中要明确标出,离职之后若泄露客户个人信息要负法律责任。
(四)在技术层次方面,应对业务人员利用技术的手段约束他们批量查询客户信息的,必须约束客户信息导出,也要做到禁止备份
利用终端安全系统,禁用移动硬盘、U盘等移动设备,约束工作电脑上所安装的软件类型。通过技术手段,将业务网与办公网进行物理隔离,以确保业务数据仅保存于业务工作用的电脑上,这样确保被员不能带走这些数据。对于IT人员,尤其是负责维护数据库和后台系统的IT人员。因为数据库中有客户信息,应对这些IT人员的权限进行严格控制,还要对他们操作进行严格实时的审计和监控,预防IT人员利用技术手段对客户信息将客户信息窃取或进行未授权操作。
参考文献:
[1]摆晔.金融消费者保护工作浅析——银行客户信息保护的现状与思考.时代金融.2013(8).
[2]张炜.商业银行个人客户信息保护法律问题研究.金融论坛.2013(4).
[3]吴建、邵丰.中小银行客户信息保护四难题.金融电子化.2013(2).
[4]冯剑蕾、蔡立晶、周期律.商业银行客户信息保护策略研究.金融科技时代.2014(6).
[5]董纪昌、焦丹晓、张欣、宋子健、李秀婷.大数据金融背景下商业银行客户信息保护研究.工程研究-跨学科视野中的工程.2014(3).
[6]章倩.对商业银行客户信息保护体系建设的思考.中国金融电脑.2014(8).
[7]林贝金.银行客户金融信息的法律保护研究.西南财经大学.2006.
[8]张璇.银行客户金融隐私权的法律保护制度研究.广东商学院.2012.
[9]吴舟.论银行客户信息的民法保护.广西大学.2012.
[10]霍清楠.论银行个人客户信息的法律保护.西南政法大学.2014.