作者 | 佟亚云

近期，江苏淮安警方破获了一起特大贩卖公民个人信息案，其中一名嫌疑人系建设银行员工，仅靠帮忙查询银行卡信息，一年黑色收入超30万元，每查询1条银行卡相关信息，可获80至100元不等的报酬。

除建设银行以外，中信银行也于近期陷入隐私泄露风波。脱口秀演员池子举报称，中信银行违规泄露其个人流水。最终该事件以中信银行道歉、支行行长撤职收场。

今年以来，银行泄露客户隐私的类似事件频发，引发公众对于银行隐私保护的关注与担忧。从信息泄露的方式看，银行内部员工成为信息贩卖黑色产业链的源头，而末端多为网贷机构或诈骗团伙。此外，不法分子利用系统漏洞进行网络攻击也成为银行信息泄露的一大原因。

专家与律师认为，此类客户信息遭泄露事件反映出银行在内部管控仍存在不足，除当事员工外，银行也应在法律方面承担责任。

建行支行行长非法泄露127条贷款客户财产信息

公开报道显示，江苏淮安警方破获的特大贩卖公民个人信息案中，在建设银行丁某背后，有着一条涉及9省12市的产业链，涉及公民个人信息数据5万多条，涉案金额2000多万，被抓获的犯罪嫌疑人共26名。

据悉，建行员工丁某系信息贩卖黑产链条的第一环，一般出于安全起见仅与一至两名中间商联系，下面还有各层分销商，从银行内部员工到销售末端，一条信息的价格可能会翻数倍。

裁判文书网披露的判决书也揭露了类似的信息贩卖黑产运作模式：以银行内部员工为源头，信息经多层流转倒卖。

（2020）皖1822刑初38号判决书显示，有7名被告人参与工商银行储户个人信息贩卖，信息至少经过两次转手，参与者“有很多上线和下线，联系面广”

7名被告人中，其中一人郝某系中国工商银行西夏支行职工，其利用工作便利查询该行储户个人信息，具体包括姓名、身份证号码、预留手机号码和银行卡号四要素，以70元至100元不等的价格通过QQ出售给他人，查询银行储户信息共200条，收取费用20.7万元。

法院判决郝某犯侵犯公民个人信息罪，判处有期徒刑三年，并处罚金21万元。

图片源自中国裁判文书网

在个人信息买卖黑产的下游，或是网络贷款及诈骗团伙。

（2020）赣0825刑初1号判决书显示，两名被告人合伙开办从事小额贷款、收取高额利息的小贷公司。二人先是以4万余元购买、再是以违规拷贝的方式，最终得到近2万条客户个人信息，并将信息分割成多份发给小贷公司业务员，业务员通过电话联系客户、推荐放贷业务。

（2020）晋0726刑初56号判决书显示，去年6月至9月，邱某非法获取了包括姓名、身份证号码、电话、银行卡号、住址等公民个人信息10.28万条，并将上述公民信息贩卖给网络贷款诈骗团伙用以牟利，获利4万余元。

一则判决书显示，建设银行一支行行长也参与信息泄露案件，目的在于为他人招揽业务。

图片源自中国裁判文书网

（2020）浙0281刑初62号判决书显示，建设银行余姚城建支行时任行长沈某将受理的贷款客户财产信息共计127条提供给周某，用于招揽业务。此前，沈某还应周某要求，将从他人处非法获取的余姚市东城名苑业主的1111条财产信息通过邮箱提供给周某用于招揽业务。

因沈某犯侵犯公民个人信息罪，被判处有期徒刑三年，缓刑三年，并处以罚金6000元。

攻击网站漏洞导致6万条银行信息泄露

除了内部员工违规操作，银行大规模客户信息泄露还与网络攻击有关。

今年4月，有消息称，上海银行80万行客户数据、兴业银行46万信用卡资料、20 万上海理财 VIP 客户数据和10万上海浦发银行客户资料遭遇泄露，并在网络出售。

对此，上述银行回应称不属实，网曝数据并非由其泄露，且存在数据不匹配的情形。

图片源自网络

然而网络攻击造成的信息泄露确实时有发生，网站漏洞或为非法窃取信息提供可乘之机。

去年6月，北京市公安局网安部门工作发现，网民“yuhong”在“暗网”贩卖国内某银行6.02万条用户个人信息。经审查，犯罪嫌疑人交代了其利用网站漏洞非法窃取了某银行等单位网站上存储的公民个人信息，截至被抓获，非法牟利3万余元。

目前，公安机关已着手对此类犯罪进行严厉打击。在“净网2019”专项行动中，全国公安机关全年破获侵犯公民个人信息类案件5000余起，抓获各行业“内鬼”900余名，破获黑客攻击破坏类案件2200余起。

对于银行客户个人信息遭泄露事件频发，有业内人士认为，这反映出银行内部管控的诸多不足。“比如客户信息可能交由理财部门进行理财产品销售，但如何交接的信息，是否会产生泄露的风险，都应当考虑，信息监管也还需要完善”。

首创证券研究所所长、首席经济学家王剑辉表示，银行客户信息遭泄露与业务发展和风控合规二者的平衡有关。现阶段，金融系统的考核权重多向盈利能力倾斜，合规、风控方面的重视程度可能有所不足。

王剑辉建议银行在人才培养、制度完善、科技手段方面进行完善，以减少此类事件发生。在人才培养方面，银行应加大对风控环节的教育，在制度方面强调刚性约束，在科技手段方面进行权限分级、操作留痕、预警系统等部署，实时应用最新科技。

多家银行因违规泄露客户信息受处罚

不论是由银行“内鬼”还是网络攻击导致客户隐私泄露，上海汉联律师事务所宋一欣律师认为，在此类事件中，银行都应承担防护责任。

“银行在此类信息泄露事件中负有行政责任乃至刑事责任，在查证客户无责任的情况下，银行应对客户的损失承担全部责任。”

今年以来，监管多次对银行信息泄露作出表态。

随着“池子”流水泄露事件发酵，5月9日，银保监会发布通报称，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定。银保监会消费者权益保护局将按照相关法律法规，启动立案调查程序。

图片源自中国银保监会官网

此前，3月11日，中国人民银行重庆营业管理部公示行政处罚决定书，对重庆富民银行“侵害消费者个人信息依法得到保护的权利”等7项违规行为予以处罚，没收其违法所得30.35万元，并处罚款184.5万元。

4月23日，岱山农商银行因违规泄露客户信息被舟山监管局处罚30万元，相关责任人处以禁止从事银行业工作3年的处罚。

4月22日，在国新办2020年一季度银行业保险业运行发展情况发布会上，中国银保监会副主席黄洪表示，近年来银保监会印发一系列政策文件，查处不少案件，要求各银行保险机构认真贯彻落实个人信息保护方面的法律法规，加强客户隐私保护，对客户信息严格实行从采集到储存等全流程的制度化管理。