中信银行股份有限公司上海虹口支行(以下简称“中信银行”)泄露池子个人账户交易明细一事在网上持续发酵,个人金融信息安全问题再次成为热点。事实上,近年来,金融机构涉嫌违法违规使用个人信息的问题频被爆出,金融消费者不免担心可能遭遇“池子”风险。今天我们就带“池子”们来了解一下法律对公民个人金融信息保护是如何规定的,不幸遭遇类似中信银行泄密事件后,如何进行维权。 法律支持 允公(北京)律师事务所
银行对个人金融信息
负有法定保密义务
个人金融信息是金融机构日常业务积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息,既涉及金融机构业务的正常开展,也涉及客户信息、个人隐私的保护。对此,无论是法律法规,还是金融行业监管,都明确规定银行对个人金融信息负有保密的法定义务。
《中华人民共和国商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”第29条规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”
《个人存款账户实名制规定》第8条规定:“金融机构及其工作人员负有为个人存款账户的情况保守秘密的责任。金融机构不得向任何单位或者个人提供有关个人存款账户的情况,并有权拒绝任何单位或者个人查询、冻结、扣划个人在金融机构的款项,但是,法律另有规定的除外。”
《信用信息基础数据库管理暂行办法》第5条规定:“中国人民银行、商业银行及其工作人员应当为在工作中知悉的个人信用信息保密。”《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》进一步明确:各银行业金融机构必须严格遵守《中华人民共和国商业银行法》《个人存款账户实名制规定》《个人信用信息基础数据库管理暂行办法》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等法律、法规、规章和规范性文件的规定,依法合规收集、保存、使用和对外提供个人金融信息,不得向任何单位和个人出售客户个人金融信息,不得违规对外提供客户个人金融信息。
个人金融信息包括什么?
个人金融信息指金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:
个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、墓金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;在与个人建立业务关系过程中获取、保存的其他个人信息。
可见,中信银行泄露给笑果文化的池子个人在中信银行账户交易明细当然属于其个人金融信息。
如何能够获取个人金融信息?
(一)本人申请获取。既然个人金融信息属于个人隐私,正常获取的路径,当然是要本人向银行申请获取。以个人账户信息为例,通常要本人持有身份证、银行卡到银行柜台申请打印。银行需要核实本人身份,要求本人签署申请及同意的相关文件,才会给打印并在打印资料文件上加盖银行印章。有的银行也支持网上自助打印。在自助打印过程中,也会有密码验证、密钥验证等多重验证方式,以确保获取信息是本人操作。也可以依法由监护人或委托授权人代理。此时,银行负有核查监护人或代理人身份的义务。无论是本人办理还是代理人办理,本质上都是基于合法合规的前提。
(二)有权机关依法获取。这里的有权机关是指依照法律、行政法规的明确规定,有权查询、冻结、扣划单位或个人在金融机构存款的司法机关、行政机关、军事机关及行使行政职能的事业单位。根据规定有权查询个人存款信息的执法机关包括:人民法院、税务机关、海关、人民检察院、公安机关、国家安全机关、军队保卫部门、监狱、走私犯罪侦察机关、监察机关。
金融机构协助上述有权机关进行查询时应当遵循严格的程序要求。办理协助查询业务时,经办人员应当核实执法人员的工作证件,以及有权机关县团级以上(含,下同)机构签发的协助查询存款通知书。金融机构应当按照内控制度的规定建立和完善协助查询、冻结和扣划工作的登记。金融机构协助有权机关查询的资料仅限于存款资料,包括被查询单位或个人开户、存款情况以及与存款有关的会计凭证、账簿、对账单等。对上述资料,有权机关根据需要可以抄录、复制、照相,但不得带走原件。
银行泄露个人金融信息应当承担什么责任?
行政性责任。《中国人民银行金融消费者权益保护实施办法》规定:金融机构有侵害金融消费者合法权益的违规行为的,中国人民银行及其分支机构可以采取以下措施:约谈其董(理)事会或者高级管理层;责令其限期整改;向其上级机构、行业监管部门、行业内部、社会通报相关信息;依照《消费者权益保护法》以及相关法律、行政法规、规章进行处罚;中国人民银行职责范围内依法可以采取的其他措施。
《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》进一步明确:中国人民银行及其地市中心支行以上分支机构受理投诉或发现银行业金融机构可能未履行个人金融信息保护义务的,可依法进行核实,认定银行业金融机构存在违反本通知规定,或存在其他未履行个人金融信息保护义务情形的,可采取约见高管人员谈话,要求说明情况;责令限期整改;在系统内予以通报;建议对直接负责的高级管理人员和其他直接责任人员依法给予处分;涉嫌犯罪的,依法移交司法机关处理等措施。
民事责任。《侵权责任法》第6条规定:行为人因过错侵害他人民事权益,应当承担侵权责任。第2条明确了民事权益包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身和财产权益。个人金融信息是个人重要隐私,未经本人同意提供给第三方或有权机关依法取得的,违反了《商业银行法》相关规定,侵犯了公民的隐私权,依法应当承担侵权责任。
侵权责任的承担方式包括:停止侵害;排除妨碍;消除危险;返还财产;恢复原状;赔偿损失;赔礼道歉;消除影响、恢复名誉。《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》中规定,违反社会公共利益、社会公德侵害他人隐私或其他人格利益的,被侵权人还可向侵权人索要精神损害赔偿。
刑事责任。《刑法》明确规定了侵犯公民个人信息罪。“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款规定从重处罚。单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各款的规定处罚。”
要构成侵犯公民个人信息罪,还需要符合违反国家规定、情节严重的要求。根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为“情节严重”。出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;违法所得五千元以上的;将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;其他情节严重的情形。
作者系北京市社会科学院法学所副研究员,允公(北京)律师事务所高级合伙人
更多资讯或合作欢迎关注中国经济网官方微信(名称:中国经济网,id:ourcecn)