中信銀行股份有限公司上海虹口支行(以下簡稱“中信銀行”)泄露池子個人賬户交易明細一事在網上持續發酵,個人金融信息安全問題再次成為熱點。事實上,近年來,金融機構涉嫌違法違規使用個人信息的問題頻被爆出,金融消費者不免擔心可能遭遇“池子”風險。今天我們就帶“池子”們來了解一下法律對公民個人金融信息保護是如何規定的,不幸遭遇類似中信銀行泄密事件後,如何進行維權。 法律支持 允公(北京)律師事務所
銀行對個人金融信息
負有法定保密義務
個人金融信息是金融機構日常業務積累的一項重要基礎數據,也是金融機構客户個人隱私的重要內容。如何收集、使用、對外提供個人金融信息,既涉及金融機構業務的正常開展,也涉及客户信息、個人隱私的保護。對此,無論是法律法規,還是金融行業監管,都明確規定銀行對個人金融信息負有保密的法定義務。
《中華人民共和國商業銀行法》第6條規定:“商業銀行應當保障存款人的合法權益不受任何單位和個人的侵犯。”第29條規定:“商業銀行辦理個人儲蓄存款業務,應當遵循存款自願、取款自由、存款有息、為存款人保密的原則。對個人儲蓄存款,商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃,但法律另有規定的除外。”
《個人存款賬户實名制規定》第8條規定:“金融機構及其工作人員負有為個人存款賬户的情況保守秘密的責任。金融機構不得向任何單位或者個人提供有關個人存款賬户的情況,並有權拒絕任何單位或者個人查詢、凍結、扣劃個人在金融機構的款項,但是,法律另有規定的除外。”
《信用信息基礎數據庫管理暫行辦法》第5條規定:“中國人民銀行、商業銀行及其工作人員應當為在工作中知悉的個人信用信息保密。”《中國人民銀行關於金融機構進一步做好客户個人金融信息保護工作的通知》進一步明確:各銀行業金融機構必須嚴格遵守《中華人民共和國商業銀行法》《個人存款賬户實名制規定》《個人信用信息基礎數據庫管理暫行辦法》《中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》等法律、法規、規章和規範性文件的規定,依法合規收集、保存、使用和對外提供個人金融信息,不得向任何單位和個人出售客户個人金融信息,不得違規對外提供客户個人金融信息。
個人金融信息包括什麼?
個人金融信息指金融機構在開展業務時,或通過接入中國人民銀行徵信系統、支付系統以及其他系統獲取、加工和保存的以下個人信息:
個人身份信息,包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業、聯繫方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;個人財產信息,包括個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納税額、公積金繳存金額等;個人賬户信息,包括賬號、賬户開立時間、開户行、賬户餘額、賬户交易情況等;個人信用信息,包括信用卡還款情況、貸款償還情況以及個人在經濟活動中形成的,能夠反映其信用狀況的其他信息;個人金融交易信息,包括銀行業金融機構在支付結算、理財、保險箱等中間業務過程中獲取、保存、留存的個人信息和客户在通過銀行業金融機構與保險公司、證券公司、墓金公司、期貨公司等第三方機構發生業務關係時產生的個人信息等;衍生信息,包括個人消費習慣、投資意願等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息;在與個人建立業務關係過程中獲取、保存的其他個人信息。
可見,中信銀行泄露給笑果文化的池子個人在中信銀行賬户交易明細當然屬於其個人金融信息。
如何能夠獲取個人金融信息?
(一)本人申請獲取。既然個人金融信息屬於個人隱私,正常獲取的路徑,當然是要本人向銀行申請獲取。以個人賬户信息為例,通常要本人持有身份證、銀行卡到銀行櫃枱申請打印。銀行需要核實本人身份,要求本人簽署申請及同意的相關文件,才會給打印並在打印資料文件上加蓋銀行印章。有的銀行也支持網上自助打印。在自助打印過程中,也會有密碼驗證、密鑰驗證等多重驗證方式,以確保獲取信息是本人操作。也可以依法由監護人或委託授權人代理。此時,銀行負有核查監護人或代理人身份的義務。無論是本人辦理還是代理人辦理,本質上都是基於合法合規的前提。
(二)有權機關依法獲取。這裏的有權機關是指依照法律、行政法規的明確規定,有權查詢、凍結、扣劃單位或個人在金融機構存款的司法機關、行政機關、軍事機關及行使行政職能的事業單位。根據規定有權查詢個人存款信息的執法機關包括:人民法院、税務機關、海關、人民檢察院、公安機關、國家安全機關、軍隊保衞部門、監獄、走私犯罪偵察機關、監察機關。
金融機構協助上述有權機關進行查詢時應當遵循嚴格的程序要求。辦理協助查詢業務時,經辦人員應當核實執法人員的工作證件,以及有權機關縣團級以上(含,下同)機構簽發的協助查詢存款通知書。金融機構應當按照內控制度的規定建立和完善協助查詢、凍結和扣劃工作的登記。金融機構協助有權機關查詢的資料僅限於存款資料,包括被查詢單位或個人開户、存款情況以及與存款有關的會計憑證、賬簿、對賬單等。對上述資料,有權機關根據需要可以抄錄、複製、照相,但不得帶走原件。
銀行泄露個人金融信息應當承擔什麼責任?
行政性責任。《中國人民銀行金融消費者權益保護實施辦法》規定:金融機構有侵害金融消費者合法權益的違規行為的,中國人民銀行及其分支機構可以採取以下措施:約談其董(理)事會或者高級管理層;責令其限期整改;向其上級機構、行業監管部門、行業內部、社會通報相關信息;依照《消費者權益保護法》以及相關法律、行政法規、規章進行處罰;中國人民銀行職責範圍內依法可以採取的其他措施。
《中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》進一步明確:中國人民銀行及其地市中心支行以上分支機構受理投訴或發現銀行業金融機構可能未履行個人金融信息保護義務的,可依法進行核實,認定銀行業金融機構存在違反本通知規定,或存在其他未履行個人金融信息保護義務情形的,可採取約見高管人員談話,要求説明情況;責令限期整改;在系統內予以通報;建議對直接負責的高級管理人員和其他直接責任人員依法給予處分;涉嫌犯罪的,依法移交司法機關處理等措施。
民事責任。《侵權責任法》第6條規定:行為人因過錯侵害他人民事權益,應當承擔侵權責任。第2條明確了民事權益包括生命權、健康權、姓名權、名譽權、榮譽權、肖像權、隱私權、婚姻自主權、監護權、所有權、用益物權、擔保物權、著作權、專利權、商標專用權、發現權、股權、繼承權等人身和財產權益。個人金融信息是個人重要隱私,未經本人同意提供給第三方或有權機關依法取得的,違反了《商業銀行法》相關規定,侵犯了公民的隱私權,依法應當承擔侵權責任。
侵權責任的承擔方式包括:停止侵害;排除妨礙;消除危險;返還財產;恢復原狀;賠償損失;賠禮道歉;消除影響、恢復名譽。《最高人民法院關於確定民事侵權精神損害賠償責任若干問題的解釋》中規定,違反社會公共利益、社會公德侵害他人隱私或其他人格利益的,被侵權人還可向侵權人索要精神損害賠償。
刑事責任。《刑法》明確規定了侵犯公民個人信息罪。“違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款規定從重處罰。單位犯罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各款的規定處罰。”
要構成侵犯公民個人信息罪,還需要符合違反國家規定、情節嚴重的要求。根據兩高《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條規定,非法獲取、出售或者提供公民個人信息,具有下列情形之一的,應當認定為“情節嚴重”。出售或者提供行蹤軌跡信息,被他人用於犯罪的;知道或者應當知道他人利用公民個人信息實施犯罪,向其出售或者提供的;非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息五十條以上的;非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的;數量未達到第三項至第五項規定標準,但是按相應比例合計達到有關數量標準的;違法所得五千元以上的;將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到第三項至第七項規定標準一半以上的;曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法獲取、出售或者提供公民個人信息的;其他情節嚴重的情形。
作者系北京市社會科學院法學所副研究員,允公(北京)律師事務所高級合夥人
更多資訊或合作歡迎關注中國經濟網官方微信(名稱:中國經濟網,id:ourcecn)