监管严查银行“内鬼”违规泄露客户信息，年内台州银行等7家银行已被罚

来源：大江网-《赣商》杂志

记者谢奀国实习记者胡雅文报道

据银保监会12月2日消息，台州银行因违规泄露客户信息，违反《中华人民共和国商业银行法》第七十三条，被台州监管分局罚款20万元。

安全可靠的金融环境是切实保护好金融消费者权益的重要防线，自去年“池子流水泄漏”事件引发热议，行业因此掀起一股整顿之风，金融机构在个人金融信息保护方面的问题成为监管关注的重点。记者梳理发现，包括台州银行在内，今年来已有多家银行因客户信息泄露等内部管理方面的问题被罚。

年内7家银行因客户信息泄露受罚

据悉，罚单中提及的所谓客户信息，是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。

银行业金融机构的客户信息通常因被倒卖或者盗取遭致泄露。包括不法分子利用技术手段或者盗窃设备窃取用户信息，黑客攻击系统获得用户信息或者相关工作人员倒卖用户信息。据记者梳理，今年来有多家银行因客户信息管理问题被处罚，同时有多名涉案员工因此禁业。

银保监会官网信息显示，在台州银行“吃”罚单的同一天，12月2日，银保监会台州监管分局的罚单显示，中国工商银行台州分行因“违规操作并泄露个人存款账户交易信息”被罚款27万元。

此前，今年10月22日，中国农业银行吉林市江北支行员工丁某因对中国农业银行吉林市江北支行违法违规查询、泄漏客户信息负直接责任，被罚禁止从事银行业工作5年。

7月，中国工商银行银川西夏支行收到的罚单显示，该行存在内控制度执行不到位，员工违规查询泄露倒卖客户信息，严重违反审慎经营规则等违规情况，宁夏银保监局对工行银川西夏支行予以罚款四十万元的行政处罚；对该支行的法定代表人于某某予以警告的行政处罚；对相关责任人郝某某予以禁止终身从事银行业工作的行政处罚。

6月，中国农业银行太和旧县分理处因员工非法查询、泄露客户账户交易信息，被罚款20万元。当事人刘杰时任中国农业银行太和旧县分理处内勤主管，对上述非法查询、泄露客户账户交易信息的违规行为负有直接责任，被给予警告。

5月，中国建设银行建德支行存在“员工违规查询、泄露客户信息”和“未按规定报送涉刑案件(风险)信息”两项违规行为，被处罚款30万元。员工徐某某作为“员工违规查询、泄露客户信息”的直接责任人，被罚5年内禁止从事银行业工作。

今年1月，中国建设银行湛江市分行因客户信息安全管理不到位被罚20万元，涉事员工王某因泄露客户信息被罚禁止从事银行业工作1年。

消费者金融信息保护力度持续加强

为规范金融机构提供金融产品和服务的行为，保护金融消费者合法权益，央行与国务院等部门已出台过一系列办法督促银行加强消费者信息保护。据悉，自2014年起，监管每年度会进行金融消费权益保护专项检查工作，但就目前暴露出的情况来看，个人金融信息的保护工作落实情况依旧堪忧。行业人士认为，这说明金融从业人员对于客户信息保护方面的意识仍待增强，违规成本仍待提高。

根据《刑法》第二百五十三条第一款规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

至于多少才是“情节严重”？根据两高2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，第五条：非法获取、出售、提供征信、财产信息50条以上或者违法所得5000元以上即可入罪。

《解释》明确，银行员工作为“内鬼”，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，认定“情节严重”的数量、数额标准减半计算。

以上文提到的中国建设银行湛江市分行王某泄露客户信息事件为例，资料显示，该案例已被广东省人民检察院列为个人信息保护检察公益诉讼典型案例。据披露，2017年下半年，黄某要求王某为其提供建设银行的客户资料，并答应付给王某获利的15%作为回扣。被利益诱惑的王某擅自登陆建行内部的电脑系统，对多个客户资料进行截图，同时多次通过电子邮箱将资料发送至黄某，黄某再让员工利用上述信息打电话联系客户办理贷款。

经查明，邮件中含公民姓名及电话号码等有效信息累计共计3.15万条，黄某因此按照获利的15%给予回扣6500元给王某，另支付其3.02万元作为介绍客户的“辛苦费”。最终，一审法院判处王某犯侵犯公民个人信息罪，判处有期徒刑八个月，缓刑一年，并处罚金1万元。

除《刑法》外，今年来有关个人信息保护的法律条例也在逐渐完善。就在11月1日，我国《个人信息保护法》正式施行。该法规明确，任何组织和个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。其中金融账户信息属于个人信息保护法中明文规定的敏感个人信息。

未来，在信息安全管理上银行业金融机构或将面临更大压力。在防范用户信息泄露等个人信息保护方面，银行仍任重道远。

本文由《赣商》杂志旗下新媒体·洞见财经原创出品，未经许可，请勿转载。线索征集热线：13257094128。