脱口秀演员池子近日投诉其个人银行流水信息遭某银行泄露一事引发关注。随后,中国银保监会消费者权益保护局迅速启动立案调查,要求对该银行未经授权泄露银行客户账户交易明细,违背保密原则的事实严格依法依规进行查处。由此,银行消费者权益保护,特别是与该事件直接相关的消费者隐私信息保护问题再一次进入公众视野。
银行消费者的合法权益不受侵犯
银行消费者保密制度,是银行与消费者关系的重要内容之一,可谓是银行安身立命之本。这在银行业漫长的发展历程中渐成惯例,且多被各国立法确认。我国商业银行法第二十九条规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”
按照该规定,通常情况下,银行均须遵循保密原则。对该但书条款,实践中主体包括消费者授权委托人、消费者身故或丧失民事行为的继承人和监护人,以及法律规定特定公权力机关。有权机关具体包括人民法院、税务机关、海关、人民检察院、公安机关、国家安全机关、军队保卫部门、监狱、走私犯罪侦查机关、监察机关、审计机关、工商行政管理机关、证券监督管理机关等。除此以外,如未严格遵循该规定,非法查询储户信息,对储户或他人造成损害的,银行应依法承担相应法律责任。
2019年12月27日,中国人民银行发布的《金融消费者权益保护实施办法(征求意见稿)》(以下简称“意见稿”)以专门章节的形式强调了消费者金融信息保护的重要性。在该意见稿中,首先明确界定了消费者金融信息范围,主要是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息;其次,明确要求金融机构收集、使用消费者金融信息,应当遵循合法、正当、必要的原则,且须经金融消费者明示同意。
非法侵犯用户信息构成民事侵权
如果银行非法查询他人信息,可构成民事侵权。《中华人民共和国侵权责任法》第二条规定:“侵害民事权益,应当依照本法承担侵权责任。”该民事权益中包含了隐私权。而被银行非法查询个人信息,亦属隐私权组成部分,同时,依据侵权责任法第三条规定:“被侵权人有权请求侵权人承担侵权责任。”
2018年1月,李先生将银行以侵犯自己银行信息隐私权为由起诉至法院。李先生诉称:2017年6月,自己到中国人民银行营业管理部查询个人信息时,发现某银行未经授权,擅自查询并泄露自己的个人信用信息。由于个人信息被泄露,导致其经常被不明身份人员骚扰,给自己的工作和生活带来严重的影响,请求法院判令银行赔礼道歉。该银行到庭辩称:李先生所称的从属于他的个人信息,如工作单位、联系电话、家庭住址等信息具有一定的社会属性,并非属于隐私。银行未经授权查询,该行为虽不符合中国人民银行的管理规定,但银行主观上没有侵犯李先生权利的故意,同时银行在获知这些信息后没有进行宣扬和披露,因此查询行为也不具有任何侵害后果。法院认为,银行泄露信息行为与李先生遭受的信息泄露侵害之间存在因果关系,可以认定银行侵犯了李先生的隐私权,最终判决该银行向李先生赔礼道歉。
此外,银行不当泄露储户信息还会构成合同违约。当银行与客户之间存在合同关系,依据《中华人民共和国合同法》第六十条规定:“当事人应当按照约定全面履行自己的义务。当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”同时,如违反相关合同约定,第一百零七条规定:“当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任。”
2018年5月,王女士以银行卡纠纷将某银行起诉至法院,王女士诉称:2017年3月,自己离职期间与公司产生劳动争议纠纷,公司向涉案银行申请调取了王女士在该行三年内的银行交易流水,银行按其要求将相关流水提供给了该公司。王女士认为银行未按照储蓄存款合同约定履行保密义务,构成违约,要求其承担相应违约责任。法院经审理认为:王女士与银行签订的《储蓄存款合同》是双方当事人的真实意思表示,不违反法律、行政法规的强制性规定,属合法有效。各方均应全面履行自身的义务。合同约定:“银行依法对客户提供的信息和资料保密,未经客户事先同意,银行不得向本协议以外的任何第三方提供或披露客户信息,但法律法规另外规定或监管规定另有要求的除外。”依据该约定,银行负有为王女士账户信息保密的义务,在无法律规定情形且未经王女士授权的情况下,银行不得任意向他人提供信息。本案中,交易流水属于客户的重要个人账户信息,而银行未经授权将王女士的银行交易流水提供给第三方,且第三方不属合同约定的除外情形,因此银行属不当泄露王女士个人账户信息,构成违约。法院最终判决支持了王女士的相关诉讼请求。
银行职员非法出卖客户信息担刑责
如果银行工作人员擅自查询并出卖客户信息,除应当承担相应民事责任外,情节严重的,还将涉嫌构成侵犯公民个人信息罪。
《中华人民共和国刑法》第二百五十三条规定:“侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重者,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。”《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确了《刑法》第二百五十三条中规定的公民个人信息是指电子或者其他记录的能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号、通讯联系地址、住址、财产情况等。这其中,就包含金融机构中客户登记的相关个人信息。
2016年8月,陈某在担任某银行支行销售经理期间,利用自己的工号登录银行个贷查询系统,非法查询并下载他人征信信息上万条。随后,他将这些信息以每条20元至50元不等的价格出售给他人,非法获利。案发后,陈某主动向公安机关投案,并如实供述了犯罪事实,后来还退赔了全部犯罪所得。法院经审理认为,陈某身为金融机构的工作人员,违反国家有关规定,将本单位提供服务过程中获得的公民个人信息出售给他人,情节严重,其行为已构成侵犯公民个人信息罪。由于其自首和退赔行为,酌情从轻处罚,依法判处拘役六个月,并处罚金一万元。
如何防范并妥善处理相关纠纷
笔者建议,对银行业金融机构,首先应完善银行信息保护的内控体系。银行应完善客户个人信息管理的规章制度,健全个人信息数据库的分级授权管理制度,合理确定机构内人员调取信息的范围、权限和程序;同时,严格执行《银行业金融机构数据治理指引》的规定,对信息调取的过程加强后台监控,务必实现全留痕,确保消费者个人信息在内部使用及对外提供等流转环节的安全性。
其次应加强银行职员保密及合规教育。银行应进一步加强职员的保密教育,增强员工的法律素养。一方面,教育员工日常工作严格遵守“为客户保密”原则,知悉随意泄露消费者信息的各项法律责任;另一方面,教育员工对有权机关依照法律规定和程序进行的银行消费者信息的查询、冻结、划扣工作,须依法依规配合执法机关开展工作,切勿干扰公务。
如果金融消费者发现个人信息遭受银行等金融机构侵害时,可按如下步骤进行,维护好自身合法权益:
一是固定证据,先行投诉。消费者遭遇银行侵犯其金融信息权利时,法官建议可先行保全、固定相关证据后向金融机构投诉。依据法律规定,金融机构均有相应消费者投诉处理信息机制,在依照法律规定处理相关投诉后应告知处理情况。消费者如不同意该结果,还可向金融机构所在地或经营地的中国人民银行分支机构及其他银行监管部门进行投诉。
二是积极调解,化解矛盾。鼓励消费者与金融机构充分运用调解的方式解决纠纷。既可自行和解,也可向相关金融调解组织提出调解申请,充分运用专业金融调解机构的“缓冲作用”,促进矛盾纠纷的有效化解。
三是理性维权,合理诉讼。如果通过投诉、调解等方式均未有效处理纠纷,消费者还可以向法院起诉,并结合案件事实、证据及相关法律规定提出相应诉讼主张,对于银行可能涉及行政责任及刑事责任的事宜,可向相关部门反映并提供相关材料。
(作者单位:北京市朝阳区人民法院)