2021年03月24日 上一期 下一期
3上一篇  4下一篇  
返回本版列表    点击率:  字体: 放大  默认  缩小  
声音
13 5/13 4 5 6 > >|
PDF版
本版面文章
· 让刑附民生态环境公益诉讼“破茧成蝶”
· “点七道菜六道假”警示跑腿代购别跑偏
· 中信银行被重罚折射的三重意义
· 红白喜事一“贷”解决?
· 图说世象
· 唤醒公众守护文物的意识
· 声音反馈
· 谨防深度伪造技术侵害公众利益

中信银行被重罚折射的三重意义

( 2021-03-24 ) 稿件来源: 法治日报声音
  □ 薛 军

  3月19日,银保监会官网发布的一则行政处罚信息显示,因对客户信息管理不善等原因,中信银行被处以450万元罚款。银行因未履行个人信息保护义务而遭受处罚,这并不是第一起,但此案较高的处罚数额以及处罚决定书披露出来的诸多细节,仍然引发各界关注。
  去年5月,中信银行未经客户池子本人授权,擅自向第三方提供了池子的个人银行账户交易明细。池子在微博上披露此事后,中信银行遭到公众强烈谴责。随后银保监会消费者权益保护局发布通报,对此事进行立案调查。此次披露的处罚决定书,就是这一调查的最终结论和处理决定。此案的处理在三个方面折射出重大意义,值得关注。
  首先,从处罚决定书披露的信息看,涉事银行在个人信息保护方面存在的违法违规事实包括:客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施;客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;对客户敏感信息管理不善,致其流出至互联网等。应该说,处罚决定书披露的这些问题相当严重。可以说,由于内部管理机制的不完善,类似池子事件的发生,是早晚的事情。
  从另外一个角度看,法律要求银行等金融机构履行的个人信息保护责任,并不是像公众所理解的,只是“未经过本人允许,不能把客户信息告诉别人”这么简单。事实上,保护个人信息需要的是一套严密的隐私与个人信息保护制度体系,且这套制度体系必须融入机构日常业务运作的所有流程和环节中。比如,制定银行业务流程,在涉及客户信息查询时,不仅要有明确的授权层级与授权关系,还要有其他内控机制;如果相关数据处理、存储业务外包给第三方,则需要有严格的管理要求和监控制度等。这些措施是个人信息保护制度得以有效发挥作用的基础框架。
  在这方面,个人信息保护法草案中也有明确规定:个人信息处理者需要建立诸多内控制度,甚至是安排专门的责任人来负责落实个人信息保护合规方面的法律要求。就此而言,任何市场主体都必须意识到,个人信息保护制度是一个制度体系,其中任何环节出现纰漏或者不到位,都属于违法违规,都应承担责任。这是本案折射出来的第一个重要意义。
  其次,中信银行泄露的客户个人银行账号信息,在性质上属于个人隐私性质的私密信息,对此应该不存在疑问。但根据个人信息保护理论和制度上的另外一种分类方法,银行账号往来流水,也属于敏感个人信息。我国民法典第1034条第3款规定,个人信息中的私密信息,适用有关隐私权的规定。民法典这一规定的主要内涵在于,对属于私密信息的个人信息的侵害,在民法保护及民事责任承担上,可以适用隐私权的规定,至于在其他法律层面上,即使是私密信息,也仍然是个人信息,如果存在违法违规行为,仍然需要承担相应的行政责任乃至刑事责任。
  本案的处理也体现了这种理解。银行的相关行为,在民法层面上,构成对客户隐私权的侵犯,后者可以基于隐私权的法律规定,要求银行承担相应民事法律责任。但银行承担相应民事责任,并不影响相关法律(本案中主要是依据商业银行法以及银行业监督管理法)要求其承担行政责任。民事责任与行政责任,各司其职,并行不悖,不相互替代,这是本案折射的另外一层意义。
  最后还要注意到,本案的处理机构是银保监会消费者权益保护局。一般认为,金融系统中的消费者权益保护问题主要涉及金融机构制定的格式条款、对金融消费者的风险提示等。这当然没有错,但金融消费者保护同样包含消费者的个人信息保护这一内涵。此案的处理也表明,我国金融监管部门高度关注金融消费者的个人信息保护问题。对涉案银行的深入调查和处罚,表明了执法的力度。相信此案也会在金融系统产生深远影响,并推进金融机构在个人信息保护问题上进一步合规管理。
  (作者系北京大学法学院教授、北京大学电子商务法研究中心主任)

   
相关文章: