以案说法金融机构应保护客户信息安全
发布时间:2021-03-16 08:58:44 作者: 来源:中国银行保险报网
□高沛
商业银行作为金融服务机构,在向广大客户提供服务的同时,不可避免地接触到客户的个人隐私,对客户信息的保护承担着重要责任。近年来,随着信息技术的发展,信息传递的便利性及隐蔽性不断提升,对客户信息的保护工作提出更高要求,必须对相关人员有效传导信息保护的理念,并通过对典型案件中违法人员的严厉处罚,达到问责一个、震慑一片、教育一批的目标。
案情:
赠予老友“锦囊”竟是“客户信息”
刘某曾在A银行从事客户经理工作多年,该银行业务系统能查询下载全省范围内的客户信息。刘某下载客户资料以备后用。后来,刘某跳槽去了B银行W分行从事客户经理工作。在新员工入职培训中,刘某结识了B银行T分行客户经理杨某。刘某与杨某在闲聊时谈到如何通过精准营销拓展业绩。刘某遂将自己私自下载、保存的部分客户资料作为精准营销“锦囊”赠送给杨某,帮助杨某利用这些客户信息寻找目标客户。
有一次,杨某在外出拓展一家房企客户的时候,对方营销人员提出想要杨某帮助提供客源资料。杨某本着“互助”的精神免费将刘某赠予自己的客户资料提供给了房企营销人员。后来,事情暴露,刘某与杨某被警方以侵犯公民个人信息罪采取强制措施。
我国《刑法》规定,任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的构成犯罪。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,应当认定为《刑法》规定的“情节严重”的情形。刘某、杨某的行为触犯了上述法律规定,也违反了监管部门和银行内部关于客户信息保护的制度和要求。
分析:
为何个人信息得不到应有的保护
结合本文案例分析,个人信息得不到应有的保护有以下原因:
一是,法律意识淡薄,信息安全藏隐患。刘某和杨某不注意学习相关法律法规,对公民个人信息保护方面的规定缺乏了解,在不知不觉中触犯了《刑法》。根据近期颁布的《中华人民共和国民法典》第一千零三十三条“除权利人明确同意外,任何组织和个人不得实施下列行为……(五)收集、处理他人私密信息”,作为银行工作人员,必须对相关的法律知识有更为深入的理解。
二是,漠视合规要求,信息共享闯祸根。刘某与杨某均是本着“分享”的精神向他人提供客户信息,虽然目的是为了工作,并非倒卖客户信息牟利,但其行为是对银行的内控合规要求的漠视,也直接导致了对客户隐私权的侵犯。而刘某未经许可擅自从原单位信息系统下载客户资料的行为,更是违背了基本的职业道德。
三是,内部控制薄弱,技术防控成虚设。该案例中,因A银行业务信息系统存在技术漏洞,使得工作人员可以随意登录系统,下载拷贝全省范围的客户资料,这说明该银行在内部控制方面存在重大缺陷,存在很大的声誉和法律风险。随着银行业务的不断增加,客户信息量越来越大,但因信息管理机制与新业务、新技术应用相比有滞后性,信息在银行内部流动时,可能会出现职责不明确、使用限制缺乏约束等情况。
借鉴启示:
落实闭环式管理,保护客户信息安全
金融机构为客户办理各类金融业务时,会掌握大量的个人和法人身份信息。银行各级机构和员工应该从本案例中汲取教训,自觉履行对客户信息保密义务,防止发生类似事件。
一是加强员工教育。人是信息安全环节中最薄弱的一环,金融机构应通过相关法律法规培训、案例培训提升员工的法律素养和职业修养,使员工认识到客户信息保密的重要性,以及泄露客户信息可能承担的法律责任,增强员工的守法意识和保密自觉性。
二是严格纪律约束。一方面,要求客户经理在拓展客户的过程中,一定要遵守法律法规以及银行个人金融信息保护规定,通过合法合规的途径获取客户信息,并且要合法合规地使用这些信息,不得违法向第三人提供上述信息。另一方面,应要求员工无论入职、在职、离职,都要严格遵守保密纪律和保密协议,履行保密义务。对违反者应依法依规进行责任追究。
三是健全管理机制。从登记、传递、分发、使用等环节对客户信息数据流转及其对应的业务流程进行梳理,明确各环节数据保护责任人,建立相应的控制措施和问责机制。同时,依据最小化原则建立分级授权制度,对于不同类型的客户信息实行分级管理,合理控制客户信息的知悉和使用范围,降低客户信息泄漏的机率。
四是实行分类管理。根据不同业务、不同岗位分别制定不同的客户信息保密规范。如在存款业务中,要保护客户的身份证件号码、账号、账户余额、交易情况等信息,除依法协助有权机关查询外,未经客户书面同意,不得以任何形式向第三方透露;在贷款业务中,要注意欠款催收方式,谨慎使用公告方式进行催收,并在催收中注意保护客户身份证号码等公民信息;在理财等中间业务中,应当事先告知客户并取得客户书面同意或在协议有约定的情况下,才能将客户信息告知约定的第三方,并要求第三方保护其所掌握的客户信息。
五是加强技术防范。利用技术手段控制客户信息的接触范围。对前台客户经理,应严格控制涉密客户资料的批量查询、复制、打印和导出。对后台运维人员,应对其操作进行实时监控,防止其违规操作泄漏客户信息。
六是建立企业信息安全文化。目前有效保护信息安全的最大障碍,是企业员工普遍缺乏信息安全意识。人的观念与意识支配着人的行为,在企业内部建立信息安全文化是深化员工信息安全保护意识、加强企业信息安全保护工作的长效机制。
(作者单位:浙商银行西安分行)
□高沛
商业银行作为金融服务机构,在向广大客户提供服务的同时,不可避免地接触到客户的个人隐私,对客户信息的保护承担着重要责任。近年来,随着信息技术的发展,信息传递的便利性及隐蔽性不断提升,对客户信息的保护工作提出更高要求,必须对相关人员有效传导信息保护的理念,并通过对典型案件中违法人员的严厉处罚,达到问责一个、震慑一片、教育一批的目标。
案情:
赠予老友“锦囊”竟是“客户信息”
刘某曾在A银行从事客户经理工作多年,该银行业务系统能查询下载全省范围内的客户信息。刘某下载客户资料以备后用。后来,刘某跳槽去了B银行W分行从事客户经理工作。在新员工入职培训中,刘某结识了B银行T分行客户经理杨某。刘某与杨某在闲聊时谈到如何通过精准营销拓展业绩。刘某遂将自己私自下载、保存的部分客户资料作为精准营销“锦囊”赠送给杨某,帮助杨某利用这些客户信息寻找目标客户。
有一次,杨某在外出拓展一家房企客户的时候,对方营销人员提出想要杨某帮助提供客源资料。杨某本着“互助”的精神免费将刘某赠予自己的客户资料提供给了房企营销人员。后来,事情暴露,刘某与杨某被警方以侵犯公民个人信息罪采取强制措施。
我国《刑法》规定,任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的构成犯罪。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,应当认定为《刑法》规定的“情节严重”的情形。刘某、杨某的行为触犯了上述法律规定,也违反了监管部门和银行内部关于客户信息保护的制度和要求。
分析:
为何个人信息得不到应有的保护
结合本文案例分析,个人信息得不到应有的保护有以下原因:
一是,法律意识淡薄,信息安全藏隐患。刘某和杨某不注意学习相关法律法规,对公民个人信息保护方面的规定缺乏了解,在不知不觉中触犯了《刑法》。根据近期颁布的《中华人民共和国民法典》第一千零三十三条“除权利人明确同意外,任何组织和个人不得实施下列行为……(五)收集、处理他人私密信息”,作为银行工作人员,必须对相关的法律知识有更为深入的理解。
二是,漠视合规要求,信息共享闯祸根。刘某与杨某均是本着“分享”的精神向他人提供客户信息,虽然目的是为了工作,并非倒卖客户信息牟利,但其行为是对银行的内控合规要求的漠视,也直接导致了对客户隐私权的侵犯。而刘某未经许可擅自从原单位信息系统下载客户资料的行为,更是违背了基本的职业道德。
三是,内部控制薄弱,技术防控成虚设。该案例中,因A银行业务信息系统存在技术漏洞,使得工作人员可以随意登录系统,下载拷贝全省范围的客户资料,这说明该银行在内部控制方面存在重大缺陷,存在很大的声誉和法律风险。随着银行业务的不断增加,客户信息量越来越大,但因信息管理机制与新业务、新技术应用相比有滞后性,信息在银行内部流动时,可能会出现职责不明确、使用限制缺乏约束等情况。
借鉴启示:
落实闭环式管理,保护客户信息安全
金融机构为客户办理各类金融业务时,会掌握大量的个人和法人身份信息。银行各级机构和员工应该从本案例中汲取教训,自觉履行对客户信息保密义务,防止发生类似事件。
一是加强员工教育。人是信息安全环节中最薄弱的一环,金融机构应通过相关法律法规培训、案例培训提升员工的法律素养和职业修养,使员工认识到客户信息保密的重要性,以及泄露客户信息可能承担的法律责任,增强员工的守法意识和保密自觉性。
二是严格纪律约束。一方面,要求客户经理在拓展客户的过程中,一定要遵守法律法规以及银行个人金融信息保护规定,通过合法合规的途径获取客户信息,并且要合法合规地使用这些信息,不得违法向第三人提供上述信息。另一方面,应要求员工无论入职、在职、离职,都要严格遵守保密纪律和保密协议,履行保密义务。对违反者应依法依规进行责任追究。
三是健全管理机制。从登记、传递、分发、使用等环节对客户信息数据流转及其对应的业务流程进行梳理,明确各环节数据保护责任人,建立相应的控制措施和问责机制。同时,依据最小化原则建立分级授权制度,对于不同类型的客户信息实行分级管理,合理控制客户信息的知悉和使用范围,降低客户信息泄漏的机率。
四是实行分类管理。根据不同业务、不同岗位分别制定不同的客户信息保密规范。如在存款业务中,要保护客户的身份证件号码、账号、账户余额、交易情况等信息,除依法协助有权机关查询外,未经客户书面同意,不得以任何形式向第三方透露;在贷款业务中,要注意欠款催收方式,谨慎使用公告方式进行催收,并在催收中注意保护客户身份证号码等公民信息;在理财等中间业务中,应当事先告知客户并取得客户书面同意或在协议有约定的情况下,才能将客户信息告知约定的第三方,并要求第三方保护其所掌握的客户信息。
五是加强技术防范。利用技术手段控制客户信息的接触范围。对前台客户经理,应严格控制涉密客户资料的批量查询、复制、打印和导出。对后台运维人员,应对其操作进行实时监控,防止其违规操作泄漏客户信息。
六是建立企业信息安全文化。目前有效保护信息安全的最大障碍,是企业员工普遍缺乏信息安全意识。人的观念与意识支配着人的行为,在企业内部建立信息安全文化是深化员工信息安全保护意识、加强企业信息安全保护工作的长效机制。
(作者单位:浙商银行西安分行)
