脱口秀演员“池子”个人账户记录被银行员工违规泄露一事引发公众对个人信息安全的高度关注。北京青年报记者查阅近年各地的行政处罚信息发现,相比私查个人账户信息,银行未经本人同意就查询个人征信信息的案例更加常见。违规的不仅有地方性小银行,也有全国性的国有大行和股份行。在裁判文书网,北京青年报记者还查询到数起银行内部人员利用职务之便非法获取和售卖个人信息的刑事案件。这些案件给广大银行员工敲响警钟:不要以为私查客户信息是小事,轻会被行政处罚,重会被送进监狱。
调查
征信业务违规 全国多地多家银行收罚单
4月1日,邮储银行重庆分行因为未经同意查询个人信息和未准确、完整、及时报送个人信用信息,被央行重庆营业管理部罚款33万元,相关负责人被处以罚款2万元。
类似的处罚信息,在央行各地分支机构的公示中绝不鲜见。
在北京,去年12月19日,招商银行北京小关支行因为违反《征信业管理条例》第十八条的规定,被罚款5万元,一名相关责任人被罚1万元。
在山东,因违反《征信业管理条例》第十八条第一款之规定,去年12月25日平安银行济南分行被央行济南分行处以18万元罚款,并对相关责任人处以2万元罚款。
在西藏,去年11月12日,西藏银行那曲分行也因违反《征信业管理条例》第十八条被处以50万元罚款。
这么多银行“栽”在《征信业管理条例》第十八条上,它究竟是怎么规定的?
原文是这样的:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。征信机构不得违反前款规定提供个人信息。”
法规
非法获取出售个人征信最高可判7年
根据《征信业管理条例》第四十条规定,银行未经同意查询个人信息或者企业的信贷信息,单位会被处以5万元以上50万元以下的罚款;直接责任人员会被处1万元以上10万元以下的罚款。如果构成犯罪的,还要依法追究刑事责任。
根据《刑法》第二百五十三条之一,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
按照有关司法解释,非法获取、出售征信信息、财产信息五十条以上的,就应当认定为“情节严重”。
发现
多个银行“内鬼”因出售个人征信信息获罪
在裁判文书网,北京青年报记者查询到数起银行内部人员利用职务之便非法查询售卖公民个人信息的案例,涉及的多是个人征信信息。这些“内鬼”终因侵犯公民个人信息罪获刑被罚。
山东某信用社操作员董某(临时工),2015年7月在短短12天的时间里,违反银行规定,在履行职责过程中登陆央行征信系统,查询他人征信信息1629条,并将查询结果出售给他人,收取好处费4万元左右。法院判决董某拘役六个月,缓刑八个月,并处罚金二万元。
2015年4月份,不法分子杨某等三人联系到当时在山东某银行工作的被告人王某甲,合谋由王某甲提供其单位内网非法查询公民的个人银行征信信息并从中牟利。直至6月中旬案发,他们共非法查询公民个人信息20余万条,王某甲共从中收益199750元。王某甲因犯侵犯公民个人信息罪,被判处有期徒刑十个月,缓刑一年,并处罚金人民币二万元。
除了临时工和普通员工,也有支行领导铤而走险。2017年9月,某大行安徽一家支行的副行长胡某利用职务便利获取公民个人征信信息,通过微信出售给他人,获取违法所得人民币4400元。胡某后来自首,因认罪态度较好,犯罪情节较轻,被免予刑事处罚。
佛山一家村镇银行信贷部主任赵某利用工作之便查询他人征信信息,通过电子邮件发给卖家,每条售价最多75元,一共获利三四十万。赵某最后被判有期徒刑三年十个月,并处罚金人民币十一万元。
一般的犯案员工都是按“条数”偷查信息并售卖,也有人把自己单位的系统查询账号和密码都“和盘卖出”。
2015年6月,湖南省邵阳市一家信用社的员工夏某以2万元的价格就“卖”掉了单位个人征信系统查询账号及密码,买家后来以8万元价格又转卖出去。法院查明,涉案账号共查询个人征信报告5824份。夏某被判处有期徒刑一年三个月,并处罚金人民币1万元。
北青报记者还发现,有私查征信的银行员工没收钱只是帮朋友,也一样没能逃脱法律制裁。
2015年,珠海一家股份行的客户经理徐某违规向朋友林某提供了22人的个人征信报告。林某后来以每条人民币100-200元的价格出售。虽然徐某本人并没收钱,但法院依然认定徐某的行为已构成侵犯公民个人信息罪,判处其有期徒刑六个月,缓刑一年。
追访
个人账户和房产信息也可能被“偷”
除了征信报告,银行系统里保存的其他信息也可能被“内鬼”非法获取。
戴某、张某是一对在安徽某大行分行系统工作的夫妻。2016年7月,戴某得知查询银行客户信息可以卖钱,就让妻子利用职务便利赚“外快”。从2016年8月至10月,张某查询本行客户信息230条交给戴某,戴某以每条300元至350元的价格卖出去,共获利8万余元。案发后,夫妻二人双双获刑,戴某被判处有期徒刑六个月,张某犯被判有期徒刑九个月,缓刑一年三个月。
上海市嘉定区人民法院判决书显示,2019年5月初,银行客户经理袁某以每条人民币50元的价格,以微信传输的方式向他人出售其从银行系统内查询到的公民个人房屋产权信息共计60余条。袁某后来被判处有期徒刑九个月,罚金人民币五千元。
链条
银行流出的个人信息被层层加价转卖
根据多份法院判决书,银行员工非法获取的个人信息一般都是被“二道贩子”买走,这些人再层层加价转卖。作为“源头”的银行人员其实获利最少。
安徽省宿州市中级人民法院刑事裁定书显示,2017年5月,邓某出价每条300-500元,找到崔某查询个人财产信息;崔某后以每条150元的价格将“任务”转包给凌某;凌某又以75元的价格转给李某;李某以20元的价格交给银行职员陶某查询。陶某利用工作便利完成“任务”后,将查询结果再层层向上转交。各被告人之间通过微信或支付宝进行结算。陶某一共查了178条公民个人财产信息,获利仅3560元,而其他人的非法获利是她的几倍、十几倍。这条流水链上所有的人最终都因侵犯公民个人信息罪被判刑。
影响
从银行非法流出的个人信息为不法活动提供便利
这些银行员工非法获取的个人信息都会包含哪些个人隐私呢?
以个人征信报告为例,其中详细记载了公民的姓名、出生日期、工作单位、手机号码、住址、学历、婚姻状况、授信情况、还款情况等重要个人资料;而个人账户信息更有余额、资金往来明细等需要绝对保密的信息。由于很多贷款都是以个人房产为抵押物,所以银行系统还可以查询到房产建筑面积、房屋结构、地址、产权证编号等详细房产信息。
这些本应被妥善保管的“绝对隐私”被“内鬼”偷出来后最终都用在什么地方了呢?
根据判决书查明的事实,有些案件是银行员工受人之托查询特定人的信息。比如,有人开展各种非法“代查”业务,根据客户要求请银行员工查询信息;有一些民间贷款机构会主动提供客户资料要求查询对方资信情况。
更多打包下载的批量信息最终卖给了有业绩压力的销售人员,比如房产中介、保险经纪人、小贷公司、P2P平台等,成为他们打“骚扰”电话的工具。
还会有一部分信息卖给了犯罪分子,给诈骗、勒索等犯罪活动提供便利。
监管
多个政府部门加强个人金融信息保护
让人欣慰的是,政府部门对个人信息安全保护日益重视。
2018年5月,银保监会正式发布《银行业金融机构数据治理指引》。明文要求:“银行业金融机构采集、应用数据涉及个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。”
2020年2月份,人民银行发布《个人金融信息保护技术规范》,对金融机构的金融数据保护义务提出了全面系统的制度要求。而正在征求意见的《个人金融信息(数据)保护试行办法(初稿)》要求金融机构建立全生命周期的个人金融信息保护制度。此外,专门性立法《个人信息保护法》和《数据安全法》已被列入了全国人大常委会立法规划。
与此同时,公安机关也加大对侵犯公民个人信息违法犯罪的打击力度。2019年1月开始,全国公安机关开展了为期1年的“净网2019”专项行动,取得丰硕战果。2019年全国网安部门共侦破侵犯公民个人信息类案件5000余起,抓获各行业“内鬼”900余名,公民个人信息滥采、滥用现象得到有力整治。
文/北京青年报记者 程婕