新闻资讯

警惕!「池子喊话中信银行」背后,或掀起新一轮金融整顿风波

5月6日,知名脱口秀演员池子(本名王越池)发文声讨中信银行称,该行将他的近两年的个人账户交易明细交给了与他有合约纠纷的第三方——笑果文化,而且致电讯问该行后,得到的回应是“配合大客户的要求”。

5月7日凌晨1点左右,中信银行通过官方微博发出一封电子版致歉信,承认员工未严格按规定办理业务,对笑果文化提供了池子的“收款纪录”,对相关员工予以处分,对该支行行长予以撤职。

今年2月份,央行才刚刚正式下发了《个人金融信息保护技术规范》,对个人金融信息在收集、传输、存储、使用、删除、销毁等各环节,对个人金融信息保护提出了规范性要求。

值得注意的是,此次事件涉及公众人物和传统股份制大行,影响范围甚广,很可能会成为一个标志性事件。

甚至从引发社会和监管关注,到掀起一股行业整顿之风,严查金融机构在个人金融信息保护方面的问题。

根据《刑法》253条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

在贷款行业爆通讯录催收、大数据行业整顿风波还没过去的今天,个人信息保护作为金融行业多种不规范行为的根源问题,再次被推上了风口浪尖。

另外,一位来自律师事务所的知乎网友,对这次池子的个人金融信息事件进行了进一步的政策分析和深度剖析,供大家参考。

消失许久的脱口秀演员池子,以一篇《大家好我是池子。我很久没说这句开场白了…》博文重回公众视野,甚至快惊动了数据合规圈的半壁江山。

这一切,也让数据合规圈给这个行业的数据合规努力打上一个问号?连银行都可能犯令人大跌眼镜的个人信息“共享”BUG,那么更多的不可想象可能会超越你想象了。这起事件带来的思考有很多。

根据35274规范,存款信息(包括资金数量、支付收款记录等)属于个人敏感类财产信息,以及根据《个人金融信息保护技术规范》(JR/T 0171—2020),基于遭到未经授权的查看或未经授权的变更后所产生的影响和危害,交易流水信息属于C2类别。

实际上,对这类敏感的个人金融信息的保护,央行等各部门已经呼吁了十数年之久,自2014年开始每年度还会进行金融消费权益保护专项检查工作,但目前来看,情况依旧堪忧。

人民银行关于印发《中国人民银行金融消费者权益保护实施办法》的通知第三十条规定,金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。而且,金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。

第三十一条还规定,金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。

笔者还真去银行官网查询了其与甲方客户之间的《个人客户服务协议》作为参考,在其协议第四条的授权条款中,其和客户约定了例如“基于为甲方提供更优质服务和产品的目的,甲方同意乙方可以向乙方因服务必要开展合作的伙伴提供甲方的信息、同意上述合作伙伴可以通过乙方查询、收集甲方的信息,法律另有规定除外”在内的授权协议条款。

这类条款属于典型的格式条款,一方面其较为含糊何为甲方个人金融信息,二是这类授权实际上让用户陷入无法选择的怪圈,概括式进行了授权,三是其授权的业务场景是“提供更优质服务和产品”这一非基本业务功能,这样的授权实际上也是一种强制性授权模式。

而在该银行于2018年11月1日生效(相比其它银行而言,这样滞后的更新速度也算是令人无语了)的《隐私政策》中,其认为可以在“为维护社会公共利益,或保护我们的客户、我们或我们的关联公司、其他用户或雇员的人身和财产安全或合法权益所合理必需的用途”的情况下共享个人信息且无需征得用户的同意。

而恰恰就在不久前,央行还向部分银行下发了《个人金融信息(数据)保护试行办法(初稿)》征求意见, 意见稿第十八条规定:“金融机构不得以概括授权的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”

2019年5月,央行办公厅下发了《中国人民银行办公厅关于2018年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔2019〕72号)》。在通报中指出“金融消费者信息安全管理不规范。部分机构存在收集信息范围过大、未经消费者授权收集其个人金融信息的情形、业务系统存储不规范等情形”属于重点问题。

2020年03月20日,人民银行在完成的2019年金融消费权益保护监督检查工作中指出:“被检查机构基本能够贯彻执行金融消费权益保护相关规定,按要求开展自查和整改落实工作。但检查中也发现被检查机构在金融消费权益保护机制和制度建设、告知义务履行、个人金融信息保护、金融营销宣传、投诉管理、格式条款、宣传教育培训等方面还存在一些问题,有待进一步改进。”

同时,央行和全国金融标准化技术委员会还于2020年2月13日发布了《个人金融信息保护技术规范》(JR/T 0171—2020)。标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。

在涉及个人信息共享时,应根据“业务需要和“最小权限原则,对个人金融信息的导出操作进行细粒度的访问控制与全过程审计,应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。

但是,据国家计算机信息安全测评中心数据显示,实际上,重要资料被黑客窃取和被内部员工不当泄露提供的比例为1:99,看起来面对内部数据泄露问题,即数据泄密防护Data leakage prevention确实有必要引起更多的重视了。

地址:深圳市福田区益田路3008号皇都广场 电话:0755-83461563 传真:0755-83466379

Copyright © 2015-2020 深圳库德酒业有限公司 版权所有  粤ICP备13010638号