金融機(jī)構(gòu)泄露個(gè)人信息，屬于嚴(yán)重違規(guī)行為。根據(jù)《商業(yè)銀行法》規(guī)定，“對(duì)個(gè)人儲(chǔ)蓄存款，商業(yè)銀行有權(quán)拒絕任 何單位或個(gè)人查詢、凍結(jié)、扣劃，但法律另有規(guī)定的除外”，“非法查詢個(gè)人儲(chǔ)蓄存款的，對(duì)存款人或其他客戶造成財(cái)產(chǎn)損害的，依法承擔(dān)民事責(zé)任?！薄缎磐泄竟芾磙k法》規(guī)定, “信托公司對(duì)委托人、受益人以及所處理信托事務(wù)的情況和資料負(fù)有依法保密的義務(wù)，但法律法規(guī)另有規(guī)定或者信托文件另有約定的除外?！?nbsp;

    早在 2016 年，銀監(jiān)會(huì)針對(duì)個(gè)人客戶信息泄露風(fēng)險(xiǎn)隱患 便曾專門下發(fā)《關(guān)于銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人信息泄露案件風(fēng)險(xiǎn)提示的通知》。通知指出，部分銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人信息管理使用制度不健全，崗位制約和機(jī)制監(jiān)督缺失，未能嚴(yán)格按照相關(guān)法律法規(guī)、監(jiān)管要求完善內(nèi)控制度建設(shè)。甚至有銀行“內(nèi)鬼”出售客戶信息非法牟利。通知稱，部分銀行未能建立良好合規(guī)文化，客戶信息保護(hù)意識(shí)淡薄，對(duì)員工日常行為疏于管理。個(gè)別員工在社會(huì)不法分子的利益誘惑下，利用職務(wù)之便竊取、出售或非法提供客戶個(gè)人信息，形 成案件風(fēng)險(xiǎn)。 

    安全隱患還包括信息系統(tǒng)建設(shè)應(yīng)用管理不完善。銀監(jiān)會(huì)提示，信息在存儲(chǔ)、傳輸、處理過程中，未嚴(yán)格建立風(fēng)險(xiǎn)防范機(jī)制，存在非授權(quán)員工查詢、下載、保存客戶個(gè)人信息的風(fēng)險(xiǎn)隱患。信息系統(tǒng)運(yùn)維管理、數(shù)據(jù)提取及使用、密碼管理、網(wǎng)絡(luò)訪問等環(huán)節(jié)管控不嚴(yán)，存在泄露敏感數(shù)據(jù)安全隱患。 

    業(yè)務(wù)外包的風(fēng)險(xiǎn)也值得警惕。通知稱，部分銀行業(yè)金融 機(jī)構(gòu)業(yè)務(wù)外包管控不嚴(yán)，責(zé)任約束機(jī)制缺失，委托代理開展 業(yè)務(wù)過程中，未能有效管控外包機(jī)構(gòu)、人員非法獲取、處理客戶信息的行為，存在第三方泄露客戶個(gè)人信息的風(fēng)險(xiǎn)隱患。此外，銀監(jiān)會(huì)要求各銀行業(yè)金融機(jī)構(gòu)進(jìn)一步加強(qiáng)員工教育和外包行為管理，強(qiáng)化信息安全建設(shè)，強(qiáng)化內(nèi)部監(jiān)督，建立完善客戶個(gè)人信息保護(hù)長(zhǎng)效機(jī)制。 

    2018 年以來，各級(jí)銀保監(jiān)機(jī)關(guān)共處罰有關(guān)信息泄密 問題 25 次，合計(jì)罰款 1009 萬元。

一、警示案例 

    案例一：彭某系＊＊銀行職員。2015 年 8 月 15 日至 2015 年 9 月 1 日，彭某在銀行辦公內(nèi)網(wǎng)電腦安裝無線路由器，由外部人員通過該無線路由器連接銀行內(nèi)網(wǎng)，然后再進(jìn)入中國(guó)人民銀行征信中心，利用非正常渠道獲取的軟件與某柜員賬號(hào)、密碼，非法查詢、出售他人征信報(bào)告，期間彭某累計(jì)非法所得 1.7 萬元。2015 年 9 月 1 日，該銀行開展安全檢查發(fā)現(xiàn)異常，彭某如實(shí)交待了作案事實(shí)。法院最終判決彭某犯非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，判處有期徒刑三年，緩刑三年，并處罰金人民幣 2 萬元，依法追繳非法所得。 

    案例二：2008 年至 2009 年，林某被勞務(wù)派遣至＊＊ 銀行廣東省分行擔(dān)任信息技術(shù)管理部員工期間，利用工作便利非法提取、復(fù)制 850 萬余條銀行存款信息和 85 萬余條電子銀行客戶信息，并通過 QQ 聊天平臺(tái)向吳乙出售公 民個(gè)人信息，非法獲利 8000 元。2009 年 3 月林某離職至 2010 年 4 月期間，通過 QQ 網(wǎng)絡(luò)聊天平臺(tái)多次出售其非法提取、復(fù)制的銀行存款信息和電子銀行客戶信息，非法獲利 15600 元。最終法院審理判決，林某犯出售公民個(gè)人信息罪，考慮到林某到案后如實(shí)供述犯罪事實(shí)并退繳了違法 所得，對(duì)林某酌情從輕處罰，判決有期徒刑一年，緩刑一年，并處罰金 1.5 萬元。 

    案例三：2017 年 4 月，從事信用貸款、抵押貸款業(yè)務(wù)的的黃某通過朋友介紹，認(rèn)識(shí)了曾在建行湛江分行工作過的王某。為獲取客源，2017 年下半年，黃某要求王某 為其提供建設(shè)銀行的客戶資料，并答應(yīng)付給王某獲利的 15％作為回扣，被利益誘惑的王某擅自登陸建行內(nèi)部的電 腦系統(tǒng)，對(duì)多個(gè)客戶資料進(jìn)行截圖，同時(shí)將資料多次通過 電子郵箱發(fā)送至黃某，黃某再讓員工利用上述信息打電話 聯(lián)系客戶辦理貸款。      經(jīng)查明，郵件中含公民姓名及電話號(hào)碼等有效信息累計(jì)共計(jì) 3.15 萬條，黃某因此按照獲利的15％給予回扣 6500 元給王某，另支付其 3.02 萬元作為介紹客戶的“辛苦費(fèi)”。2019 年 5 月 5 日，王某主動(dòng)到公安機(jī)關(guān)投案，并于第二日向公安機(jī)關(guān)退出違法所得款 3.6 萬元。檢察院于 2019 年 11 月向法院對(duì)王某提起公訴。 

    公訴機(jī)關(guān)認(rèn)為，王某違反國(guó)家有關(guān)規(guī)定，向他人出售 公民個(gè)人信息，情節(jié)嚴(yán)重，應(yīng)當(dāng)以侵犯公民個(gè)人信息罪追 究其刑事責(zé)任，王某對(duì)公安機(jī)關(guān)所指控事實(shí)、罪名及量刑 建議均沒有異議。 

    法院審理認(rèn)為，王某行為已構(gòu)成侵害公民個(gè)人信息 罪，但基于王某案發(fā)后主動(dòng)向公安機(jī)關(guān)投案，如實(shí)供述自 己的罪行，屬自首，且已向公安機(jī)關(guān)退還違法所得款，依 法可從輕處罰。最終一審法院判處王某犯侵犯公民個(gè)人信息罪，判處有期徒刑八個(gè)月，緩刑一年，并處罰金 1 萬元。 

    2020 年 12 月 31 日，湛江銀保監(jiān)分局以涉案銀行對(duì)客戶信息安全管理不到位的案由作出罰款 20 萬元的行政處罰決定，而涉事人王某因泄露客戶信息，則被禁止從事銀行業(yè)工作 1 年。

二、啟示 

    金融機(jī)構(gòu)在提供金融服務(wù)時(shí)，必然會(huì)涉及客戶信息的收集、傳輸、加工、保存和使用等環(huán)節(jié)，包括客戶身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其 他個(gè)人信息等。近年來，部分金融機(jī)構(gòu)不當(dāng)使用客戶信息 或不法分子非法獲取客戶信息并盜用客戶資金的案例引起了社會(huì)公眾的廣泛關(guān)注，不僅侵犯了客戶的隱私權(quán)，也極有可能觸犯刑法，構(gòu)成非法提供、獲取公民個(gè)人信息罪，其供職的單位將面臨較大的合規(guī)風(fēng)險(xiǎn)與聲譽(yù)風(fēng)險(xiǎn)。 

    《刑法》第 253 條規(guī)定，“【侵犯公民個(gè)人信息罪】 違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程 中獲得的公民個(gè)人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個(gè)人信息的，依照第一款的規(guī)定處罰。單位犯前三款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！?nbsp;

    對(duì)于“出售、非法提供公民個(gè)人信息罪”、“非法獲 取公民個(gè)人信息罪”，目前司法解釋尚未明確其追訴標(biāo)準(zhǔn)，但在實(shí)踐中，一般認(rèn)為出售、非法提供或獲取公民個(gè)人信息數(shù)量較多，或者多次出售、非法提供或獲取公民個(gè)人信息，或者因出售、非法提供或獲取公民個(gè)人信息獲利較多、或者因信息出售、非法提供或獲取導(dǎo)致影響公民個(gè)人正常生活等情形，都可以認(rèn)定為“情節(jié)嚴(yán)重”，構(gòu)成犯罪。 

    可見，構(gòu)成上述犯罪的門檻實(shí)際上是很低的。作為專門提供金融服務(wù)的機(jī)構(gòu)，金融機(jī)構(gòu)在與客戶業(yè)務(wù)往來過程 中必然涉及客戶信息的收集、傳輸、加工、保存和使用等環(huán)節(jié)。這些環(huán)節(jié)中，如果信息使用和管理不當(dāng)，不僅相關(guān)當(dāng)事人，而且金融機(jī)構(gòu)自身以及直接負(fù)責(zé)的主管人員和其 他責(zé)任人員也可能受到刑事處罰。例如，金融機(jī)構(gòu)員工不當(dāng)使用或出售客戶身份、各類金融資產(chǎn)狀況和交易情況在內(nèi)的信息和資料；未獲得客戶授權(quán)，擅自通過個(gè)人征信系統(tǒng)查詢客戶的征信狀況；未得到客戶允許，擅自與其他可能持有公民個(gè)人信息的單位合作，獲得個(gè)人信息辦理業(yè)務(wù)；在業(yè)務(wù)辦理過程中，擅自留存獲取客戶辦理該業(yè)務(wù)以 外的個(gè)人信息等。