對(duì)銀行客戶信息操作使用不當(dāng)引發(fā)法律風(fēng)險(xiǎn)的分析及建議

摘 要 當(dāng)今涉及侵害公民個(gè)人信息的案件越來越多，公民對(duì)于個(gè)人信息的保護(hù)意識(shí)越來越強(qiáng)。近年來銀行與客戶之間就客戶信息保護(hù)問題產(chǎn)生諸多分歧，本文以銀行角度，從涉及銀行客戶信息保護(hù)的案例入手，分析對(duì)銀行客戶信息操作使用不當(dāng)所引發(fā)的法律風(fēng)險(xiǎn)并理清相關(guān)的法律問題，并對(duì)進(jìn)一步加強(qiáng)銀行客戶信息保護(hù)提出了建議。

關(guān)鍵詞 銀行 客戶信息 法定義務(wù) 合同義務(wù) 法律責(zé)任

作者簡(jiǎn)介：楊靜文，天津大學(xué)。

中圖分類號(hào)：D922.28 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.19387/j.cnki.1009-0592.2016.12.046

銀行作為公眾服務(wù)的媒介和平臺(tái)之一，為客戶提供存款、貸款、理財(cái)、電子銀行、銀行卡等金融服務(wù)。銀行在辦理這些業(yè)務(wù)的過程中掌握了大量的客戶重要信息，比如：姓名、賬戶、身份證號(hào)碼、資產(chǎn)狀況、聯(lián)系方式等。法律規(guī)定，銀行及其相關(guān)工作人員對(duì)客戶信息承擔(dān)保護(hù)義務(wù)，且未經(jīng)許可不得私自向第三方提供，否則將承擔(dān)相應(yīng)的法律責(zé)任。

一、案例回放

（一）案例一：銀行未經(jīng)客戶同意擅自查詢客戶個(gè)人信息

市民張先生在其當(dāng)?shù)厝诵袪I(yíng)業(yè)部查詢個(gè)人信用時(shí)，獲得信用報(bào)告之后，發(fā)現(xiàn)有一欄查詢記錄異常：兩家當(dāng)?shù)劂y行都查詢了他的信用記錄，然而都在他不知情的情況下。張先生說自己也只在這兩家中一家銀行辦理過信用卡，但是使用不久后就注銷了，之后也從未申請(qǐng)過貸款或申領(lǐng)新卡。但是對(duì)于另家商業(yè)銀行查詢他的信息，是在他的授權(quán)之外的。因?yàn)樗麖膩頉]有在該商業(yè)行辦過一次業(yè)務(wù)。所以，張先生覺得，兩家銀行已經(jīng)侵犯到他的隱私。但他與兩家銀行協(xié)商未果。所以分別將他們告上法庭，提出兩家的行為應(yīng)該登報(bào)道歉。

之后，其中一家銀行承認(rèn)，為了對(duì)張先生信用卡進(jìn)行第二次開發(fā)才會(huì)如此。曾在未經(jīng)張先生準(zhǔn)許的情況下，查詢了張先生的住址、身份證號(hào)、辦卡信息、所有銀行貸款以及是否有欠款等信息。但該商業(yè)行認(rèn)為，雖然這些信息也都具有一定社會(huì)的屬性，但是，沒有任何證據(jù)說明此信息查詢后而被宣揚(yáng)。所以，該行不覺得侵犯了張先生的隱私權(quán)。但是，一審法院還是以銀行沒有獲得張先生的授權(quán)，并且違規(guī)操作，而判決銀行敗訴。而張先生起訴另家商業(yè)銀行的案件中，法院對(duì)此案一審判決，判定結(jié)果是該行侵權(quán)行為成立，被告方要在書面上對(duì)張先生進(jìn)行賠禮道歉。

（二）案例二：銀行員工利用工作便利，非法查詢出售客戶信息

胡某原是一家銀行的客戶經(jīng)理，工資待遇豐厚。陳某為一名貸款中介公司的員工。陳某提出讓胡某利用職務(wù)之便，通過其所在銀行的個(gè)貸查詢系統(tǒng)，查詢客戶的銀行征信信息，并以每條信息30元作為報(bào)酬。陳某將自己所要查詢的客戶名單及征信查詢授權(quán)書復(fù)印件等一并發(fā)到胡某郵箱，胡某再將查詢結(jié)果以電子郵件的形式發(fā)送給陳某。隨著所需查詢的征信信息數(shù)量不斷增加，胡某還以高額利潤(rùn)為誘餌拉同事李某和王某某“入伙”。據(jù)統(tǒng)計(jì)，犯罪嫌疑人胡某、李某、王某某非法查詢他人銀行征信信息共計(jì)6924條，非法獲利超25萬元。犯罪嫌疑人陳某將從胡某處購買的銀行征信信息出售給他人，共計(jì)非法獲利36萬余元。事情敗露后，胡某等人因涉嫌侵犯公民個(gè)人信息罪被人民檢察院審查起訴。犯罪嫌疑人胡某、李某、王某某利用職務(wù)之便，通過銀行個(gè)貸查詢系統(tǒng)非法查詢他人銀行征信信息并出售，陳某等人通過非法渠道獲取他人銀行征信信息，其行為已觸犯《中華人民共和國(guó)刑法》規(guī)定，涉嫌侵犯公民個(gè)人信息罪。

（三）案例三：銀行對(duì)客戶信息保管及處理不當(dāng)導(dǎo)致客戶信息外露

銀行員工李某在銀行外面露天焚燒銀行陳年賬單和單據(jù)。同時(shí)，部分陳年賬單和單據(jù)還被其賣給街邊收廢品的。單據(jù)中有銀行每日結(jié)算單據(jù)、儲(chǔ)蓄檢查記錄簿等大部分都是2004、2005年的陳年單據(jù)。在廢品收購站，還發(fā)現(xiàn)了某銀行也將客戶資料被作為廢品變賣。其中有些資料上還蓋有原始的印章，客戶的家庭住址、聯(lián)系方式、個(gè)人財(cái)產(chǎn)等信息。其中一份抵押合同書的簽訂日期尚在銀行的保存期之內(nèi)。此類事件引發(fā)嚴(yán)重的法律風(fēng)險(xiǎn)及聲譽(yù)風(fēng)險(xiǎn)。

二、銀行為客戶信息承擔(dān)保護(hù)義務(wù)的法律分析

（一）法律義務(wù)

1.保護(hù)客戶信息是銀行的法定義務(wù)：

我國(guó)的《刑法》、《合同法》、《商業(yè)銀行法》、《反洗錢法》、《儲(chǔ)蓄管理?xiàng)l例》等法律、法規(guī)都對(duì)銀行在客戶身份資料、交易信息等方面的保密義務(wù)作出了規(guī)定。如《商業(yè)銀行法》第29條規(guī)定：“商業(yè)銀行受理個(gè)人儲(chǔ)蓄存款業(yè)務(wù)，應(yīng)該遵循取款自由、存款有息、存款自愿，為存款人保密的原則”，該法第84條還規(guī)定“商業(yè)銀行工作人員泄露在任職期間知悉的國(guó)家秘密、商業(yè)秘密的，應(yīng)當(dāng)給予紀(jì)律處分；構(gòu)成犯罪的，依法追究刑事責(zé)任”，中國(guó)銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)從業(yè)人員職業(yè)操守指引的通知（銀監(jiān)發(fā)[2011]6號(hào)） 第四條“從業(yè)人員應(yīng)當(dāng)學(xué)法、懂法、守法，保守國(guó)家秘密和商業(yè)秘密，尊重和保護(hù)知識(shí)產(chǎn)權(quán)，自覺維護(hù)國(guó)家利益和金融安全”，又如《刑法修正案（七）》中亦有類似規(guī)定，上述這些法律、法規(guī)和監(jiān)管規(guī)定中對(duì)銀行及其工作人員的保密責(zé)任均作出相應(yīng)規(guī)定，這些均是銀行必須擔(dān)負(fù)客戶信息保密的有效法律依據(jù)。

2.保護(hù)客戶信息是銀行的合同義務(wù)：

客戶在銀行辦理業(yè)務(wù)時(shí)，相關(guān)的業(yè)務(wù)合同中，通常都有信息保密方面的約定，以工商銀行制定的格式合同為例，如《電子銀行個(gè)人客戶服務(wù)協(xié)議》，該協(xié)議中約定了工行對(duì)個(gè)人電子銀行客戶提供的申請(qǐng)資料和其他信息有保密的義務(wù)；又如《房地產(chǎn)借款合同》中約定了工行對(duì)借款人提供的非公開資料及信息具有保密的義務(wù)；再如《全面業(yè)務(wù)合作協(xié)議》約定了工行與合作對(duì)方保險(xiǎn)公司均有義務(wù)為對(duì)方嚴(yán)守商業(yè)秘密（包括客戶信息），未經(jīng)對(duì)方許可，不得對(duì)外提供任何有關(guān)對(duì)方業(yè)務(wù)經(jīng)營(yíng)的資料和信息等等，可見在銀行為客戶辦理業(yè)務(wù)或簽約過程中，均有承諾性合同條款內(nèi)容是為客戶信息保密。

3.保護(hù)客戶信息是銀行應(yīng)承擔(dān)的合同附隨義務(wù)：

客戶在銀行辦理業(yè)務(wù)，與銀行形成相關(guān)合同關(guān)系，包括各種儲(chǔ)蓄合同、理財(cái)協(xié)議、存貸款合同、結(jié)算服務(wù)合同等，這些合同除了對(duì)雙方間服務(wù)事宜進(jìn)行約定外，還對(duì)相關(guān)保密責(zé)任進(jìn)行了約定，即使沒有保密方面的單獨(dú)約定，但根據(jù)《合同法》第60條規(guī)定：“當(dāng)事人應(yīng)當(dāng)遵循誠(chéng)實(shí)信用原則，根據(jù)合同的目的、性質(zhì)和交易習(xí)慣履行協(xié)助、通知、保密等義務(wù)”。這就是法律上對(duì)合同相對(duì)方應(yīng)承擔(dān)彼此保密義務(wù)的后合同義務(wù)法律規(guī)定，因此，銀行在為客戶辦理業(yè)務(wù)過程中，即使合同文本未提及保密義務(wù)，銀行方仍應(yīng)為客戶信息進(jìn)行保密。

（二）法律責(zé)任

1.民事責(zé)任：

包括侵權(quán)責(zé)任與違約責(zé)任。在《合同法》第107條規(guī)定：“當(dāng)事人一方不履行合同義務(wù)或者履行合同義務(wù)不符合約定的，應(yīng)當(dāng)承擔(dān)繼續(xù)履行、采取補(bǔ)救措施或者賠償損失等違約責(zé)任”。如果銀行因違反個(gè)人客戶信息保密義務(wù)侵害了客戶隱私權(quán)等民事權(quán)益，還可能擔(dān)負(fù)賠償損失、停止侵害、消除影響、恢復(fù)名譽(yù)、賠禮道歉等等侵權(quán)責(zé)任。

2.行政責(zé)任：

包括兩方面：一是對(duì)銀行的責(zé)任，包括沒收違法所得、罰款、停業(yè)整頓、吊銷經(jīng)營(yíng)許可證等；二是對(duì)直接責(zé)任人員的責(zé)任，包括罰款、取消任職資格、禁止從事有關(guān)金融行業(yè)工作等。

3.刑事責(zé)任：

《刑法修正案（七）》規(guī)定，金融單位人員，違反國(guó)家規(guī)定，將本單位在提供服務(wù)過程中獲得的公民個(gè)人信息，非法提供或出售給他人，情節(jié)嚴(yán)重者，處或單處罰金，并處三年以下有期徒刑或拘役。

三、銀行加強(qiáng)客戶信息保護(hù)的相關(guān)建議

（一）建立嚴(yán)格的客戶信息保護(hù)制度，對(duì)客戶信息的查詢、使用、保存、銷毀及相關(guān)責(zé)任等方面做出嚴(yán)格的制度規(guī)定

1.完善對(duì)客戶信息保密的責(zé)任制度：

老員要在離職時(shí)必須簽訂離職保密協(xié)議；每當(dāng)有新員工加入公司時(shí)必須先簽保密協(xié)議，并且保密協(xié)議要說明保密義務(wù)不能對(duì)客戶信息泄露。

2.建立內(nèi)控制度，規(guī)定不能將客戶信息泄露：

梳理客戶的信息登記、流轉(zhuǎn)和分發(fā)，最后業(yè)務(wù)流程所使用的數(shù)據(jù)流向，建立必要的控制措施。要明確每環(huán)節(jié)數(shù)據(jù)保護(hù)責(zé)任人，如果確定了信息從哪個(gè)環(huán)節(jié)泄露出去，就可以對(duì)該責(zé)任人追責(zé)。

（二）對(duì)客戶信息保護(hù)的薄弱環(huán)節(jié)加強(qiáng)管理預(yù)防

在依法協(xié)助有權(quán)機(jī)關(guān)查詢之外，沒有經(jīng)過客戶的書面同意，不可以用任何方式給他人透露用戶的個(gè)人信息。于貸款業(yè)務(wù)的時(shí)候，另一方面欠款的催收方式也要注意。不能在過程中將用戶有的個(gè)人信息泄露出去。在銀保業(yè)務(wù)或者是理財(cái)業(yè)務(wù)等銀行的中間業(yè)務(wù)時(shí)，要在有關(guān)協(xié)議有約定的情況下或應(yīng)先告知客戶并要取得客戶的書面同意后。

（三）對(duì)員工加強(qiáng)培訓(xùn)教育，提高客戶信息保護(hù)的意識(shí)

利用培訓(xùn)讓員工知道客戶個(gè)人信息的具體內(nèi)容和保密的重要性，以及泄露客戶個(gè)人信息要付法律責(zé)任。銀行工作人員必須要注意保管好工作電腦之類存儲(chǔ)用戶信息的工具，預(yù)防疏忽而導(dǎo)致客戶個(gè)人信息被他人盜取。并且建立離職員工的審查的機(jī)制，離職前要簽訂保密協(xié)議，確保用戶的信息安全。保密協(xié)議中要明確標(biāo)出，離職之后若泄露客戶個(gè)人信息要負(fù)法律責(zé)任。

（四）在技術(shù)層次方面，應(yīng)對(duì)業(yè)務(wù)人員利用技術(shù)的手段約束他們批量查詢客戶信息的，必須約束客戶信息導(dǎo)出，也要做到禁止備份

利用終端安全系統(tǒng)，禁用移動(dòng)硬盤、U盤等移動(dòng)設(shè)備，約束工作電腦上所安裝的軟件類型。通過技術(shù)手段，將業(yè)務(wù)網(wǎng)與辦公網(wǎng)進(jìn)行物理隔離，以確保業(yè)務(wù)數(shù)據(jù)僅保存于業(yè)務(wù)工作用的電腦上，這樣確保被員不能帶走這些數(shù)據(jù)。對(duì)于IT人員，尤其是負(fù)責(zé)維護(hù)數(shù)據(jù)庫和后臺(tái)系統(tǒng)的IT人員。因?yàn)閿?shù)據(jù)庫中有客戶信息，應(yīng)對(duì)這些IT人員的權(quán)限進(jìn)行嚴(yán)格控制，還要對(duì)他們操作進(jìn)行嚴(yán)格實(shí)時(shí)的審計(jì)和監(jiān)控，預(yù)防IT人員利用技術(shù)手段對(duì)客戶信息將客戶信息竊取或進(jìn)行未授權(quán)操作。

參考文獻(xiàn)：

[1]擺曄.金融消費(fèi)者保護(hù)工作淺析——銀行客戶信息保護(hù)的現(xiàn)狀與思考.時(shí)代金融.2013（8）.

[2]張煒.商業(yè)銀行個(gè)人客戶信息保護(hù)法律問題研究.金融論壇.2013（4）.

[3]吳建、邵豐.中小銀行客戶信息保護(hù)四難題.金融電子化.2013（2）.

[4]馮劍蕾、蔡立晶、周期律.商業(yè)銀行客戶信息保護(hù)策略研究.金融科技時(shí)代.2014（6）.

[5]董紀(jì)昌、焦丹曉、張欣、宋子健、李秀婷.大數(shù)據(jù)金融背景下商業(yè)銀行客戶信息保護(hù)研究.工程研究-跨學(xué)科視野中的工程.2014（3）.

[6]章倩.對(duì)商業(yè)銀行客戶信息保護(hù)體系建設(shè)的思考.中國(guó)金融電腦.2014（8）.

[7]林貝金.銀行客戶金融信息的法律保護(hù)研究.西南財(cái)經(jīng)大學(xué).2006.

[8]張璇.銀行客戶金融隱私權(quán)的法律保護(hù)制度研究.廣東商學(xué)院.2012.

[9]吳舟.論銀行客戶信息的民法保護(hù).廣西大學(xué).2012.

[10]霍清楠.論銀行個(gè)人客戶信息的法律保護(hù).西南政法大學(xué).2014.