脱口秀演員池子近日投訴其個人銀行流水信息遭某銀行泄露一事引發關注。隨後,中國銀保監會消費者權益保護局迅速啓動立案調查,要求對該銀行未經授權泄露銀行客户賬户交易明細,違背保密原則的事實嚴格依法依規進行查處。由此,銀行消費者權益保護,特別是與該事件直接相關的消費者隱私信息保護問題再一次進入公眾視野。
銀行消費者的合法權益不受侵犯
銀行消費者保密制度,是銀行與消費者關係的重要內容之一,可謂是銀行安身立命之本。這在銀行業漫長的發展歷程中漸成慣例,且多被各國立法確認。我國商業銀行法第二十九條規定:“商業銀行辦理個人儲蓄存款業務,應當遵循存款自願、取款自由、存款有息、為存款人保密的原則。對個人儲蓄存款,商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃,但法律另有規定的除外。”
按照該規定,通常情況下,銀行均須遵循保密原則。對該但書條款,實踐中主體包括消費者授權委託人、消費者身故或喪失民事行為的繼承人和監護人,以及法律規定特定公權力機關。有權機關具體包括人民法院、税務機關、海關、人民檢察院、公安機關、國家安全機關、軍隊保衞部門、監獄、走私犯罪偵查機關、監察機關、審計機關、工商行政管理機關、證券監督管理機關等。除此以外,如未嚴格遵循該規定,非法查詢儲户信息,對儲户或他人造成損害的,銀行應依法承擔相應法律責任。
2019年12月27日,中國人民銀行發佈的《金融消費者權益保護實施辦法(徵求意見稿)》(以下簡稱“意見稿”)以專門章節的形式強調了消費者金融信息保護的重要性。在該意見稿中,首先明確界定了消費者金融信息範圍,主要是指金融機構通過開展業務或者其他合法渠道獲取、加工和存儲的消費者信息,包括個人身份信息、財產信息、賬户信息、信用信息、金融交易信息及其他與特定消費者購買、使用金融產品或服務相關的信息;其次,明確要求金融機構收集、使用消費者金融信息,應當遵循合法、正當、必要的原則,且須經金融消費者明示同意。
非法侵犯用户信息構成民事侵權
如果銀行非法查詢他人信息,可構成民事侵權。《中華人民共和國侵權責任法》第二條規定:“侵害民事權益,應當依照本法承擔侵權責任。”該民事權益中包含了隱私權。而被銀行非法查詢個人信息,亦屬隱私權組成部分,同時,依據侵權責任法第三條規定:“被侵權人有權請求侵權人承擔侵權責任。”
2018年1月,李先生將銀行以侵犯自己銀行信息隱私權為由起訴至法院。李先生訴稱:2017年6月,自己到中國人民銀行營業管理部查詢個人信息時,發現某銀行未經授權,擅自查詢並泄露自己的個人信用信息。由於個人信息被泄露,導致其經常被不明身份人員騷擾,給自己的工作和生活帶來嚴重的影響,請求法院判令銀行賠禮道歉。該銀行到庭辯稱:李先生所稱的從屬於他的個人信息,如工作單位、聯繫電話、家庭住址等信息具有一定的社會屬性,並非屬於隱私。銀行未經授權查詢,該行為雖不符合中國人民銀行的管理規定,但銀行主觀上沒有侵犯李先生權利的故意,同時銀行在獲知這些信息後沒有進行宣揚和披露,因此查詢行為也不具有任何侵害後果。法院認為,銀行泄露信息行為與李先生遭受的信息泄露侵害之間存在因果關係,可以認定銀行侵犯了李先生的隱私權,最終判決該銀行向李先生賠禮道歉。
此外,銀行不當泄露儲户信息還會構成合同違約。當銀行與客户之間存在合同關係,依據《中華人民共和國合同法》第六十條規定:“當事人應當按照約定全面履行自己的義務。當事人應當遵循誠實信用原則,根據合同的性質、目的和交易習慣履行通知、協助、保密等義務。”同時,如違反相關合同約定,第一百零七條規定:“當事人一方不履行合同義務或者履行合同義務不符合約定的,應當承擔繼續履行、採取補救措施或者賠償損失等違約責任。”
2018年5月,王女士以銀行卡糾紛將某銀行起訴至法院,王女士訴稱:2017年3月,自己離職期間與公司產生勞動爭議糾紛,公司向涉案銀行申請調取了王女士在該行三年內的銀行交易流水,銀行按其要求將相關流水提供給了該公司。王女士認為銀行未按照儲蓄存款合同約定履行保密義務,構成違約,要求其承擔相應違約責任。法院經審理認為:王女士與銀行簽訂的《儲蓄存款合同》是雙方當事人的真實意思表示,不違反法律、行政法規的強制性規定,屬合法有效。各方均應全面履行自身的義務。合同約定:“銀行依法對客户提供的信息和資料保密,未經客户事先同意,銀行不得向本協議以外的任何第三方提供或披露客户信息,但法律法規另外規定或監管規定另有要求的除外。”依據該約定,銀行負有為王女士賬户信息保密的義務,在無法律規定情形且未經王女士授權的情況下,銀行不得任意向他人提供信息。本案中,交易流水屬於客户的重要個人賬户信息,而銀行未經授權將王女士的銀行交易流水提供給第三方,且第三方不屬合同約定的除外情形,因此銀行屬不當泄露王女士個人賬户信息,構成違約。法院最終判決支持了王女士的相關訴訟請求。
銀行職員非法出賣客户信息擔刑責
如果銀行工作人員擅自查詢並出賣客户信息,除應當承擔相應民事責任外,情節嚴重的,還將涉嫌構成侵犯公民個人信息罪。
《中華人民共和國刑法》第二百五十三條規定:“侵犯公民個人信息罪是指違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重者,處3年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處3年以上7年以下有期徒刑,並處罰金。”《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中明確了《刑法》第二百五十三條中規定的公民個人信息是指電子或者其他記錄的能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證號、通訊聯繫地址、住址、財產情況等。這其中,就包含金融機構中客户登記的相關個人信息。
2016年8月,陳某在擔任某銀行支行銷售經理期間,利用自己的工號登錄銀行個貸查詢系統,非法查詢並下載他人徵信信息上萬條。隨後,他將這些信息以每條20元至50元不等的價格出售給他人,非法獲利。案發後,陳某主動向公安機關投案,並如實供述了犯罪事實,後來還退賠了全部犯罪所得。法院經審理認為,陳某身為金融機構的工作人員,違反國家有關規定,將本單位提供服務過程中獲得的公民個人信息出售給他人,情節嚴重,其行為已構成侵犯公民個人信息罪。由於其自首和退賠行為,酌情從輕處罰,依法判處拘役六個月,並處罰金一萬元。
如何防範並妥善處理相關糾紛
筆者建議,對銀行業金融機構,首先應完善銀行信息保護的內控體系。銀行應完善客户個人信息管理的規章制度,健全個人信息數據庫的分級授權管理制度,合理確定機構內人員調取信息的範圍、權限和程序;同時,嚴格執行《銀行業金融機構數據治理指引》的規定,對信息調取的過程加強後台監控,務必實現全留痕,確保消費者個人信息在內部使用及對外提供等流轉環節的安全性。
其次應加強銀行職員保密及合規教育。銀行應進一步加強職員的保密教育,增強員工的法律素養。一方面,教育員工日常工作嚴格遵守“為客户保密”原則,知悉隨意泄露消費者信息的各項法律責任;另一方面,教育員工對有權機關依照法律規定和程序進行的銀行消費者信息的查詢、凍結、劃扣工作,須依法依規配合執法機關開展工作,切勿干擾公務。
如果金融消費者發現個人信息遭受銀行等金融機構侵害時,可按如下步驟進行,維護好自身合法權益:
一是固定證據,先行投訴。消費者遭遇銀行侵犯其金融信息權利時,法官建議可先行保全、固定相關證據後向金融機構投訴。依據法律規定,金融機構均有相應消費者投訴處理信息機制,在依照法律規定處理相關投訴後應告知處理情況。消費者如不同意該結果,還可向金融機構所在地或經營地的中國人民銀行分支機構及其他銀行監管部門進行投訴。
二是積極調解,化解矛盾。鼓勵消費者與金融機構充分運用調解的方式解決糾紛。既可自行和解,也可向相關金融調解組織提出調解申請,充分運用專業金融調解機構的“緩衝作用”,促進矛盾糾紛的有效化解。
三是理性維權,合理訴訟。如果通過投訴、調解等方式均未有效處理糾紛,消費者還可以向法院起訴,並結合案件事實、證據及相關法律規定提出相應訴訟主張,對於銀行可能涉及行政責任及刑事責任的事宜,可向相關部門反映並提供相關材料。
(作者單位:北京市朝陽區人民法院)