對銀行洩露個人資訊說“不”
脫口秀演員池子近日投訴其個人銀行流水資訊遭某銀行洩露一事引發關注。隨後,中國銀保監會消費者權益保護局迅速啟動立案調查,要求對該銀行未經授權洩露銀行客戶賬戶交易明細,違背保密原則的事實嚴格依法依規進行查處。由此,銀行消費者權益保護,特別是與該事件直接相關的消費者隱私資訊保護問題再一次進入公眾視野。
銀行消費者的合法權益不受侵犯
銀行消費者保密制度,是銀行與消費者關係的重要內容之一,可謂是銀行安身立命之本。這在銀行業漫長的發展歷程中漸成慣例,且多被各國立法確認。我國商業銀行法第二十九條規定:“商業銀行辦理個人儲蓄存款業務,應當遵循存款自願、取款自由、存款有息、為存款人保密的原則。對個人儲蓄存款,商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃,但法律另有規定的除外。”
按照該規定,通常情況下,銀行均須遵循保密原則。對該但書條款,實踐中主體包括消費者授權委託人、消費者身故或喪失民事行為的繼承人和監護人,以及法律規定特定公權力機關。有權機關具體包括人民法院、稅務機關、海關、人民檢察院、公安機關、國家安全機關、軍隊保衛部門、監獄、走私犯罪偵查機關、監察機關、審計機關、工商行政管理機關、證券監督管理機關等。除此以外,如未嚴格遵循該規定,非法查詢儲戶資訊,對儲戶或他人造成損害的,銀行應依法承擔相應法律責任。
2019年12月27日,中國人民銀行釋出的《金融消費者權益保護實施辦法(徵求意見稿)》(以下簡稱“意見稿”)以專門章節的形式強調了消費者金融資訊保護的重要性。在該意見稿中,首先明確界定了消費者金融資訊範圍,主要是指金融機構透過開展業務或者其他合法渠道獲取、加工和儲存的消費者資訊,包括個人身份資訊、財產資訊、賬戶資訊、信用資訊、金融交易資訊及其他與特定消費者購買、使用金融產品或服務相關的資訊;其次,明確要求金融機構收集、使用消費者金融資訊,應當遵循合法、正當、必要的原則,且須經金融消費者明示同意。
非法侵犯使用者資訊構成民事侵權
如果銀行非法查詢他人資訊,可構成民事侵權。《中華人民共和國侵權責任法》第二條規定:“侵害民事權益,應當依照本法承擔侵權責任。”該民事權益中包含了隱私權。而被銀行非法查詢個人資訊,亦屬隱私權組成部分,同時,依據侵權責任法第三條規定:“被侵權人有權請求侵權人承擔侵權責任。”
2018年1月,李先生將銀行以侵犯自己銀行資訊隱私權為由起訴至法院。李先生訴稱:2017年6月,自己到中國人民銀行營業管理部查詢個人資訊時,發現某銀行未經授權,擅自查詢並洩露自己的個人信用資訊。由於個人資訊被洩露,導致其經常被不明身份人員騷擾,給自己的工作和生活帶來嚴重的影響,請求法院判令銀行賠禮道歉。該銀行到庭辯稱:李先生所稱的從屬於他的個人資訊,如工作單位、聯絡電話、家庭住址等資訊具有一定的社會屬性,並非屬於隱私。銀行未經授權查詢,該行為雖不符合中國人民銀行的管理規定,但銀行主觀上沒有侵犯李先生權利的故意,同時銀行在獲知這些資訊後沒有進行宣揚和披露,因此查詢行為也不具有任何侵害後果。法院認為,銀行洩露資訊行為與李先生遭受的資訊洩露侵害之間存在因果關係,可以認定銀行侵犯了李先生的隱私權,最終判決該銀行向李先生賠禮道歉。
此外,銀行不當洩露儲戶資訊還會構成合同違約。當銀行與客戶之間存在合同關係,依據《中華人民共和國合同法》第六十條規定:“當事人應當按照約定全面履行自己的義務。當事人應當遵循誠實信用原則,根據合同的性質、目的和交易習慣履行通知、協助、保密等義務。”同時,如違反相關合同約定,第一百零七條規定:“當事人一方不履行合同義務或者履行合同義務不符合約定的,應當承擔繼續履行、採取補救措施或者賠償損失等違約責任。”
2018年5月,王女士以銀行卡糾紛將某銀行起訴至法院,王女士訴稱:2017年3月,自己離職期間與公司產生勞動爭議糾紛,公司向涉案銀行申請調取了王女士在該行三年內的銀行交易流水,銀行按其要求將相關流水提供給了該公司。王女士認為銀行未按照儲蓄存款合同約定履行保密義務,構成違約,要求其承擔相應違約責任。法院經審理認為:王女士與銀行簽訂的《儲蓄存款合同》是雙方當事人的真實意思表示,不違反法律、行政法規的強制性規定,屬合法有效。各方均應全面履行自身的義務。合同約定:“銀行依法對客戶提供的資訊和資料保密,未經客戶事先同意,銀行不得向本協議以外的任何第三方提供或披露客戶資訊,但法律法規另外規定或監管規定另有要求的除外。”依據該約定,銀行負有為王女士賬戶資訊保密的義務,在無法律規定情形且未經王女士授權的情況下,銀行不得任意向他人提供資訊。本案中,交易流水屬於客戶的重要個人賬戶資訊,而銀行未經授權將王女士的銀行交易流水提供給第三方,且第三方不屬合同約定的除外情形,因此銀行屬不當洩露王女士個人賬戶資訊,構成違約。法院最終判決支援了王女士的相關訴訟請求。
銀行職員非法出賣客戶資訊擔刑責
如果銀行工作人員擅自查詢並出賣客戶資訊,除應當承擔相應民事責任外,情節嚴重的,還將涉嫌構成侵犯公民個人資訊罪。
《中華人民共和國刑法》第二百五十三條規定:“侵犯公民個人資訊罪是指違反國家有關規定,向他人出售或者提供公民個人資訊,情節嚴重者,處3年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處3年以上7年以下有期徒刑,並處罰金。”《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》中明確了《刑法》第二百五十三條中規定的公民個人資訊是指電子或者其他記錄的能夠單獨或與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的各種資訊,包括姓名、身份證號、通訊聯絡地址、住址、財產情況等。這其中,就包含金融機構中客戶登記的相關個人資訊。
2016年8月,陳某在擔任某銀行支行銷售經理期間,利用自己的工號登入銀行個貸查詢系統,非法查詢並下載他人徵信資訊上萬條。隨後,他將這些資訊以每條20元至50元不等的價格出售給他人,非法獲利。案發後,陳某主動向公安機關投案,並如實供述了犯罪事實,後來還退賠了全部犯罪所得。法院經審理認為,陳某身為金融機構的工作人員,違反國家有關規定,將本單位提供服務過程中獲得的公民個人資訊出售給他人,情節嚴重,其行為已構成侵犯公民個人資訊罪。由於其自首和退賠行為,酌情從輕處罰,依法判處拘役六個月,並處罰金一萬元。
如何防範並妥善處理相關糾紛
筆者建議,對銀行業金融機構,首先應完善銀行資訊保護的內控體系。銀行應完善客戶個人資訊管理的規章制度,健全個人資訊資料庫的分級授權管理制度,合理確定機構內人員調取資訊的範圍、許可權和程式;同時,嚴格執行《銀行業金融機構資料治理指引》的規定,對資訊調取的過程加強後臺監控,務必實現全留痕,確保消費者個人資訊在內部使用及對外提供等流轉環節的安全性。
其次應加強銀行職員保密及合規教育。銀行應進一步加強職員的保密教育,增強員工的法律素養。一方面,教育員工日常工作嚴格遵守“為客戶保密”原則,知悉隨意洩露消費者資訊的各項法律責任;另一方面,教育員工對有權機關依照法律規定和程式進行的銀行消費者資訊的查詢、凍結、劃扣工作,須依法依規配合執法機關開展工作,切勿干擾公務。
如果金融消費者發現個人資訊遭受銀行等金融機構侵害時,可按如下步驟進行,維護好自身合法權益:
一是固定證據,先行投訴。消費者遭遇銀行侵犯其金融資訊權利時,法官建議可先行保全、固定相關證據後向金融機構投訴。依據法律規定,金融機構均有相應消費者投訴處理資訊機制,在依照法律規定處理相關投訴後應告知處理情況。消費者如不同意該結果,還可向金融機構所在地或經營地的中國人民銀行分支機構及其他銀行監管部門進行投訴。
二是積極調解,化解矛盾。鼓勵消費者與金融機構充分運用調解的方式解決糾紛。既可自行和解,也可向相關金融調解組織提出調解申請,充分運用專業金融調解機構的“緩衝作用”,促進矛盾糾紛的有效化解。
三是理性維權,合理訴訟。如果透過投訴、調解等方式均未有效處理糾紛,消費者還可以向法院起訴,並結合案件事實、證據及相關法律規定提出相應訴訟主張,對於銀行可能涉及行政責任及刑事責任的事宜,可向相關部門反映並提供相關材料。
(作者單位:北京市朝陽區人民法院)