文/意见领袖专栏机构北京和昶律师事务所 本文作者:朱一博 近日,中信银行因擅自向某公司提供个人信息被卷入风波,致歉、处理责任人等快速反应均未能挽回信用损失,即将面临民事责任、行政处罚等。自然人的个人信息受法律保护,储户是个人信息主体,银行是信息控制者,银行对信息的控制源于储户的授权,其余均属于第三方。因此,除法定情形以外,未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大,教训惨痛,为我们敲响警钟。 一、信息共享风险预警 大数据时代,移动应用程序(App)显现蓬勃生机,成为个人信息汇集的中心,App运营商(以下简称App)与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商,如智能设备、服务平台、系统服务、软件服务提供商,具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件(如软件开发工具包sdk,sdk详情建议参考《Zoom危机:警惕潜伏在APP后面的SDK大盗》)皆为第三方的缩影。它们通过客户端直接收集信息,或者先将数据传输至App后台服务器,再向第三方提供,主要通过这两种方式实现信息共享。 互联网非法外之地,与第三方共享个人信息,同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来,因信息“私自共享第三方”受到监管部门惩处的App不在少数,耳熟能详的,如闪送(版本5.2.20)、36氦(版本8.6.7)、QQ阅读(版本7.1.1.888)、人人视频(版本4.2.9)、一点资讯(版本5.2.1.0)等。 同时,App需警惕与第三方合作的安全性。第三方由App引入,对于终端用户而言,App在明,第三方在暗,App需为第三方行为担责。近年来,第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作(如恶意推送信息的“寄生推”)、隐蔽收集用户个人信息,或因安全漏洞引发信息泄露,App事前未进行责任切割,未尽到告知、监督义务,就难辞其咎,为第三方所累。 二、安身法则——“告知”与“监督” 用户信息安全不容忽视,法律规范接踵而至,与第三方合作已成定局,App怎样才能守住合规底线?《网络安全法》明确,网络运营者收集、使用个人信息,应当遵循知情同意、必要性原则,App与第三方共享信息属于“使用”,因此受上述原则约束。关于App与第三方,目前尚未有法律法规作出具体规定,散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等文件。 通过梳理上述规范性文件,App共享第三方合规准则有二,第一:对用户充分告知;第二,对第三方尽到必要的监督责任。不难理解,终端用户为个人信息主体,App对信息的使用受制于权利人的授权,故信息共享需告知并取得权利主体同意,“明明是三个人的电影,请告知他姓名”;在App、终端用户与第三方关系图中(如图1所示),App为连结三方的关键所在,处于对第三方风险披露的最佳位置。同时,收益永远与风险并存,为提高效率、享受便利引入第三方,则监督第三方为应有之责,失责的风险如影相随。 (图1终端用户、App与第三方关系) 鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定,“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。 首先,App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等,App与第三方共享用户个人信息,应当告知用户以下内容,征得用户同意:(1)逐一列出第三方收集使用个人信息的目的、方式、范围等;(2)数据接收方的类型以及可能产生的后果;(3)共享个人敏感信息,还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(4)人生物识别信息原则上不应共享。因业务需要,确需共享,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 (图2:个人敏感信息与个人生物识别信息,源于《个人信息安全规范》(GB/T 35273—2020)) 其次,App与第三方除了具有共享关系外,还可能成立委托处理、共同控制、第三方管理三种关系(如图3所示)。通俗的说,委托处理即App将收集的个人信息委托第三方处理;共同控制是指App通过合同等形式与第三方达成合意,共同对用户个人信息进行控制。值得注意的是,App如果部署了收集个人信息的第三方插件,例如软件开发工具包sdk,且该第三方未单独向用户告知并征得同意,则默认App与第三方sdk属于共同控制关系;如果App未委托第三方也未与第三方约定共同控制,只是接入了客观上具备收集个人信息功能的第三方,就属于第三方接入管理。 (图3,源于《个人信息安全规范》(GB/T 35273—2020)) 合规要求总体包括厘清权责、告知用户、监督第三方(如审计、技术检测、记录留痕等),因法律关系不同,各有侧重。例如,委托处理侧重于对第三方进行监督;共同控制侧重于向用户告知第三方身份以及各自责任,否则将承担因第三方引起的个人信息安全责任;对接入的第三方如若管理不慎,极可能引发信息泄露,因此既要求App向用户明确说明产品或服务由第三方提供,又要求对第三方加强监督。需要关注的是,《数据安全管理办法(征求意见稿)》第30条规定,如果第三方应用发生数据安全事件对用户造成损失,除非网络运营者能证明自己无过错,否则应当承担部分或全部责任。 三、落地困境与探寻 为保障用户个人信息安全,实现终端用户、App与第三方之间良性互动,合规的信息共享流程应当是:App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰,至少存在以下几方面的问题: 第一,专业人员配备。筛选合作伙伴是否需要配备专业人员?当前筛选第三方合作伙伴,例如软件开发工具包sdk通常由技术人员进行,因涉及法律问题,是否需要法务人员提前介入,或安排专人与第三方对接? 第二,App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠,在安全性、个人信息保护程度方面有哪些指标?如何获知第三方可能存在的违法违规行为或安全隐患? 第三,App与第三方权责不对等。筛选、告知、监督的行使,都以App知悉第三方收集、使用个人信息的情况为前提。然而,现行法律规范仅聚焦于App,尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围,App该如何向用户告知? 第四,告知方式。第三方合作伙伴数量庞大,如何有效告知? 第五,App与第三方地位不对等。App与第三方sdk的合作,通常是第三方sdk提供服务开放平台,在线签署开发者服务协议。面对此类第三方,App何尝不是用户。在监管缺位的情况下,App难以与第三方博弈,对第三方监督。 毋庸置疑,在信息共享流程中,任一环节监管的缺失必将导致个人信息保护流于形式。可以预见,监管的触角必将延伸至第三方,在此之前,App该如何作为?建议如下。 1.筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施,包括背景调查、了解隐私政策(关注是否明确收集信息的目的、方式、范围;共享信息;是否转委托;是否收集敏感信息以及采取的安全措施等),有条件的可对第三方收集信息进行技术验证、安全评估。另外,尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商,建议对第三方数据请求的必要性进行评估,拒绝不必要的个人信息收集请求。 值得一提的是,部分第三方sdk具有较强的合规意识,例如极光sdk,制定了一系列合规文件,包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》,将其收集、使用App最终用户个人信息的相关情况绘制成表,涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式(替换、匿名化处理),并要求APP在隐私政策中列明。 2.告知用户。如前所述,告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围,可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式,已有部分App做出了大胆尝试,例如,曾因“私自共享第三方”被要求整改的绿城生活与人人视频,在最新的隐私政策中采用直接列明的方式(如图4所示);度小满(有钱花)在隐私政策“如何共享个人信息”第三方合作机构处附上超链接,超链接内列明第三方sdk嵌入情况(如图5所示);抖音采用在隐私政策中附上超链接,超链接内附上接入第三方sdk名称、使用目的以及官网链接(如图6所示)。 (图4,绿城生活和人人视频隐私政策) (图6,抖音隐私政策) 3.监督第三方。监督方式包括但不限于:通过合同明确对第三方的数据安全、信息保护的要求和责任、对第三方进行审计、合作过程中技术检测、记录和存储第三方收集、使用个人信息的情况,通过留存证据证明已对第三方尽到必要的注意义务。 中信银行事件揭示公众个人信息保护意识觉醒,以及对信息安全的焦虑。在这场个人信息保卫战中,App是中坚力量,守住用户个人信息的安全线,是对当下“守信”最好的诠释。
文/意见领袖专栏机构北京和昶律师事务所 本文作者:朱一博 近日,中信银行因擅自向某公司提供个人信息被卷入风波,致歉、处理责任人等快速反应均未能挽回信用损失,即将面临民事责任、行政处罚等。自然人的个人信息受法律保护,储户是个人信息主体,银行是信息控制者,银行对信息的控制源于储户的授权,其余均属于第三方。因此,除法定情形以外,未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大,教训惨痛,为我们敲响警钟。 一、信息共享风险预警 大数据时代,移动应用程序(App)显现蓬勃生机,成为个人信息汇集的中心,App运营商(以下简称App)与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商,如智能设备、服务平台、系统服务、软件服务提供商,具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件(如软件开发工具包sdk,sdk详情建议参考《Zoom危机:警惕潜伏在APP后面的SDK大盗》)皆为第三方的缩影。它们通过客户端直接收集信息,或者先将数据传输至App后台服务器,再向第三方提供,主要通过这两种方式实现信息共享。 互联网非法外之地,与第三方共享个人信息,同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来,因信息“私自共享第三方”受到监管部门惩处的App不在少数,耳熟能详的,如闪送(版本5.2.20)、36氦(版本8.6.7)、QQ阅读(版本7.1.1.888)、人人视频(版本4.2.9)、一点资讯(版本5.2.1.0)等。 同时,App需警惕与第三方合作的安全性。第三方由App引入,对于终端用户而言,App在明,第三方在暗,App需为第三方行为担责。近年来,第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作(如恶意推送信息的“寄生推”)、隐蔽收集用户个人信息,或因安全漏洞引发信息泄露,App事前未进行责任切割,未尽到告知、监督义务,就难辞其咎,为第三方所累。 二、安身法则——“告知”与“监督” 用户信息安全不容忽视,法律规范接踵而至,与第三方合作已成定局,App怎样才能守住合规底线?《网络安全法》明确,网络运营者收集、使用个人信息,应当遵循知情同意、必要性原则,App与第三方共享信息属于“使用”,因此受上述原则约束。关于App与第三方,目前尚未有法律法规作出具体规定,散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等文件。 通过梳理上述规范性文件,App共享第三方合规准则有二,第一:对用户充分告知;第二,对第三方尽到必要的监督责任。不难理解,终端用户为个人信息主体,App对信息的使用受制于权利人的授权,故信息共享需告知并取得权利主体同意,“明明是三个人的电影,请告知他姓名”;在App、终端用户与第三方关系图中(如图1所示),App为连结三方的关键所在,处于对第三方风险披露的最佳位置。同时,收益永远与风险并存,为提高效率、享受便利引入第三方,则监督第三方为应有之责,失责的风险如影相随。 (图1终端用户、App与第三方关系) 鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定,“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。 首先,App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等,App与第三方共享用户个人信息,应当告知用户以下内容,征得用户同意:(1)逐一列出第三方收集使用个人信息的目的、方式、范围等;(2)数据接收方的类型以及可能产生的后果;(3)共享个人敏感信息,还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(4)人生物识别信息原则上不应共享。因业务需要,确需共享,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 (图2:个人敏感信息与个人生物识别信息,源于《个人信息安全规范》(GB/T 35273—2020)) 其次,App与第三方除了具有共享关系外,还可能成立委托处理、共同控制、第三方管理三种关系(如图3所示)。通俗的说,委托处理即App将收集的个人信息委托第三方处理;共同控制是指App通过合同等形式与第三方达成合意,共同对用户个人信息进行控制。值得注意的是,App如果部署了收集个人信息的第三方插件,例如软件开发工具包sdk,且该第三方未单独向用户告知并征得同意,则默认App与第三方sdk属于共同控制关系;如果App未委托第三方也未与第三方约定共同控制,只是接入了客观上具备收集个人信息功能的第三方,就属于第三方接入管理。 (图3,源于《个人信息安全规范》(GB/T 35273—2020)) 合规要求总体包括厘清权责、告知用户、监督第三方(如审计、技术检测、记录留痕等),因法律关系不同,各有侧重。例如,委托处理侧重于对第三方进行监督;共同控制侧重于向用户告知第三方身份以及各自责任,否则将承担因第三方引起的个人信息安全责任;对接入的第三方如若管理不慎,极可能引发信息泄露,因此既要求App向用户明确说明产品或服务由第三方提供,又要求对第三方加强监督。需要关注的是,《数据安全管理办法(征求意见稿)》第30条规定,如果第三方应用发生数据安全事件对用户造成损失,除非网络运营者能证明自己无过错,否则应当承担部分或全部责任。 三、落地困境与探寻 为保障用户个人信息安全,实现终端用户、App与第三方之间良性互动,合规的信息共享流程应当是:App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰,至少存在以下几方面的问题: 第一,专业人员配备。筛选合作伙伴是否需要配备专业人员?当前筛选第三方合作伙伴,例如软件开发工具包sdk通常由技术人员进行,因涉及法律问题,是否需要法务人员提前介入,或安排专人与第三方对接? 第二,App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠,在安全性、个人信息保护程度方面有哪些指标?如何获知第三方可能存在的违法违规行为或安全隐患? 第三,App与第三方权责不对等。筛选、告知、监督的行使,都以App知悉第三方收集、使用个人信息的情况为前提。然而,现行法律规范仅聚焦于App,尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围,App该如何向用户告知? 第四,告知方式。第三方合作伙伴数量庞大,如何有效告知? 第五,App与第三方地位不对等。App与第三方sdk的合作,通常是第三方sdk提供服务开放平台,在线签署开发者服务协议。面对此类第三方,App何尝不是用户。在监管缺位的情况下,App难以与第三方博弈,对第三方监督。 毋庸置疑,在信息共享流程中,任一环节监管的缺失必将导致个人信息保护流于形式。可以预见,监管的触角必将延伸至第三方,在此之前,App该如何作为?建议如下。 1.筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施,包括背景调查、了解隐私政策(关注是否明确收集信息的目的、方式、范围;共享信息;是否转委托;是否收集敏感信息以及采取的安全措施等),有条件的可对第三方收集信息进行技术验证、安全评估。另外,尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商,建议对第三方数据请求的必要性进行评估,拒绝不必要的个人信息收集请求。 值得一提的是,部分第三方sdk具有较强的合规意识,例如极光sdk,制定了一系列合规文件,包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》,将其收集、使用App最终用户个人信息的相关情况绘制成表,涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式(替换、匿名化处理),并要求APP在隐私政策中列明。 2.告知用户。如前所述,告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围,可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式,已有部分App做出了大胆尝试,例如,曾因“私自共享第三方”被要求整改的绿城生活与人人视频,在最新的隐私政策中采用直接列明的方式(如图4所示);度小满(有钱花)在隐私政策“如何共享个人信息”第三方合作机构处附上超链接,超链接内列明第三方sdk嵌入情况(如图5所示);抖音采用在隐私政策中附上超链接,超链接内附上接入第三方sdk名称、使用目的以及官网链接(如图6所示)。 (图4,绿城生活和人人视频隐私政策) (图6,抖音隐私政策) 3.监督第三方。监督方式包括但不限于:通过合同明确对第三方的数据安全、信息保护的要求和责任、对第三方进行审计、合作过程中技术检测、记录和存储第三方收集、使用个人信息的情况,通过留存证据证明已对第三方尽到必要的注意义务。 中信银行事件揭示公众个人信息保护意识觉醒,以及对信息安全的焦虑。在这场个人信息保卫战中,App是中坚力量,守住用户个人信息的安全线,是对当下“守信”最好的诠释。 (本文作者介绍:北京和昶律师事务所是一家以刑事辩护和刑事风险防控为主的专业型、研究型律师事务所)
民法典草案即将提请十三届全国人大三次会议审议,这意味着我国的民法制度将迎来民法典时代。 民法典,既是市场经济的基本法,也被喻为“社会生活的百科全书”。民法典每一条都与你我息息相关,大到合同签订、公司设立,小到缴纳物业费、处理离婚纠纷……几乎所有的民事活动都能够在民法典中找到依据。 “我国民法典是新中国第一部以典命名的法律,也是改革开放40年民事立法的集大成者。”中国人民大学常务副校长、中国法学会民法典编纂项目领导小组副组长王利明对上证报记者表示。 即将提请审议的民法典草案采取了七编制体例,即由总则编、物权编、合同编、人格权编、婚姻家庭编、继承编、侵权责任编七编构成,共1260条。就市场关注的热点问题,上证报记者采访了多位法学专家。 物权编:增加居住权规定 物权是民事主体依法享有的重要财产权。在民法典草案分编中,物权编草案排在了第一编。在法律界人士看来,从现行物权法修改而来的物权编草案,有助于强化保护公民财产权利,让有恒产者更有恒心。 针对经济社会生活以及司法实践中出现的新情况新问题,草案在强化业主权利保护、增加居住权规定、完善动产抵押和权利质押的规则等多方面作出进一步完善。 作为物权编草案的一大亮点,草案在用益物权部分专章规定居住权,明确居住权人有权按照合同约定,对他人的住宅享有占有、使用的用益物权,以满足生活居住的需要。 王利明认为,居住权可以为“以房养老”提供制度支持。既有的以房养老模式,由于老年人只能售房后获得债权,因而对老年人而言有较大风险。不少老年人在同意设置该模式后,又反悔并要求终止合同,这说明这种模式不能形成长期稳定的机制。居住权制度的设立则能在一定程度上解决这个问题,为以房养老提供法律支撑。 “居住权人依法能够对特定的房屋占有使用,这种使用必须是自己用来居住,不能出租、不能转让,这是专属于特定民事主体的权利。通过多层次的产权机构来解决居住问题,有利于分散居住需求,一定程度上有利于缓解房价上涨的压力。” 中央财经大学法学院院长尹飞表示。 合同编:完善电子合同订立、禁止高利放贷 网购在线约定、双方预约购房……随着新技术、新业态等的发展,社会关系、经济行为愈加复杂。如何让法律更好地保护人们在日常生产生活中的合法权益,成为亟待解决的重要问题。 民法典草案中,合同编占了近一半。其中,为了适应电子商务和数字经济快速发展的需要,合同编草案对电子合同订立、履行的特殊规则做了规定。 电子合同怎样才算订立?合同编草案中规定,当事人一方通过互联网等信息网络发布的商品或者服务信息符合要约条件的,对方选择该商品或者服务并提交订单成功时合同成立。此外,收货人签收电子合同标的物的时间为交付时间。 清华大学法学院院长申卫星表示,买受人签收的时间作为交付时间。没有签收之前,所有交付损失、交付风险,都是由出卖人来承担的,也是为了加强对于买受人的保护。这加强了对于消费者的保护,特别在互联网交易上迎合了电子商务和数字经济发展的趋势,反映了一些最新需求。 民法典草案合同编还明确规定,禁止高利放贷,借款的利率不得违反国家有关规定。 中国人民大学法学院院长王轶表示,对高利贷行为保持一贯的否定态度,这是社会基本共识。此外,禁止高利贷也是为了鼓励人们将更多资金投入到实体经济,这在当前推动经济高质量发展的背景下,有重要现实意义。 人格权编:加强对隐私权和个人信息的保护 人格权是民事主体对其特定的人格利益享有的权利,关系到每个人的人格尊严,是民事主体最基本、最重要的权利。 “民法典草案最大的亮点就是人格权的独立成编。”王利明认为,人格权独立成编不仅弥补了传统大陆法系“重物轻人”的体系缺陷,还从根本上满足了新时代人民群众日益增长的美好幸福生活的需要,回应了人格权保护在网络信息时代所面临的各种挑战,解决了实践中的诸多新情况、新问题。 人格权编突出保护个人的名誉权、隐私权等重要权利,首次明确了隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。同时,针对互联网和大数据等技术发展带来的侵害个人信息现象,草案不仅明确自然人的个人信息受法律保护,还将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围。 中国社会科学院法学研究所研究员孙宪忠指出,将“电子邮箱地址”和“行踪信息”纳入个人信息范围,让个人信息保护的定义更加清晰全面,但要从源头有效治理个人信息泄露,还必须加强对互联网公司、银行、物流企业等信息收集者的引导与规制。 王利明介绍,在实践中,行为人在网上发布一条毁损某公司名誉的不实信息,如果不及时加以制止,可能导致整个公司破产。民法典草案规定禁令制度,由法院对相关的行为进行司法审查,并及时决定是否发布禁令,既有利于规范此类行为,也有利于及时救济受害人。可以说,人格权编规定禁令制度也是民法典草案的一大亮点。
作者 | 佟亚云 近期,江苏淮安警方破获了一起特大贩卖公民个人信息案,其中一名嫌疑人系建设银行员工,仅靠帮忙查询银行卡信息,一年黑色收入超30万元,每查询1条银行卡相关信息,可获80至100元不等的报酬。 除建设银行以外,中信银行也于近期陷入隐私泄露风波。脱口秀演员池子举报称,中信银行违规泄露其个人流水。最终该事件以中信银行道歉、支行行长撤职收场。 今年以来,银行泄露客户隐私的类似事件频发,引发公众对于银行隐私保护的关注与担忧。从信息泄露的方式看,银行内部员工成为信息贩卖黑色产业链的源头,而末端多为网贷机构或诈骗团伙。此外,不法分子利用系统漏洞进行网络攻击也成为银行信息泄露的一大原因。 专家与律师认为,此类客户信息遭泄露事件反映出银行在内部管控仍存在不足,除当事员工外,银行也应在法律方面承担责任。 建行支行行长非法泄露127条贷款客户财产信息 公开报道显示,江苏淮安警方破获的特大贩卖公民个人信息案中,在建设银行丁某背后,有着一条涉及9省12市的产业链,涉及公民个人信息数据5万多条,涉案金额2000多万,被抓获的犯罪嫌疑人共26名。 据悉,建行员工丁某系信息贩卖黑产链条的第一环,一般出于安全起见仅与一至两名中间商联系,下面还有各层分销商,从银行内部员工到销售末端,一条信息的价格可能会翻数倍。 裁判文书网披露的判决书也揭露了类似的信息贩卖黑产运作模式:以银行内部员工为源头,信息经多层流转倒卖。 (2020)皖1822刑初38号判决书显示,有7名被告人参与工商银行储户个人信息贩卖,信息至少经过两次转手,参与者“有很多上线和下线,联系面广” 7名被告人中,其中一人郝某系中国工商银行西夏支行职工,其利用工作便利查询该行储户个人信息,具体包括姓名、身份证号码、预留手机号码和银行卡号四要素,以70元至100元不等的价格通过QQ出售给他人,查询银行储户信息共200条,收取费用20.7万元。 法院判决郝某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金21万元。 图片源自中国裁判文书网 在个人信息买卖黑产的下游,或是网络贷款及诈骗团伙。 (2020)赣0825刑初1号判决书显示,两名被告人合伙开办从事小额贷款、收取高额利息的小贷公司。二人先是以4万余元购买、再是以违规拷贝的方式,最终得到近2万条客户个人信息,并将信息分割成多份发给小贷公司业务员,业务员通过电话联系客户、推荐放贷业务。 (2020)晋0726刑初56号判决书显示,去年6月至9月,邱某非法获取了包括姓名、身份证号码、电话、银行卡号、住址等公民个人信息10.28万条,并将上述公民信息贩卖给网络贷款诈骗团伙用以牟利,获利4万余元。 一则判决书显示,建设银行一支行行长也参与信息泄露案件,目的在于为他人招揽业务。 图片源自中国裁判文书网 (2020)浙0281刑初62号判决书显示,建设银行余姚城建支行时任行长沈某将受理的贷款客户财产信息共计127条提供给周某,用于招揽业务。此前,沈某还应周某要求,将从他人处非法获取的余姚市东城名苑业主的1111条财产信息通过邮箱提供给周某用于招揽业务。 因沈某犯侵犯公民个人信息罪,被判处有期徒刑三年,缓刑三年,并处以罚金6000元。 攻击网站漏洞导致6万条银行信息泄露 除了内部员工违规操作,银行大规模客户信息泄露还与网络攻击有关。 今年4月,有消息称,上海银行80万行客户数据、兴业银行46万信用卡资料、20 万上海理财 VIP 客户数据和10万上海浦发银行客户资料遭遇泄露,并在网络出售。 对此,上述银行回应称不属实,网曝数据并非由其泄露,且存在数据不匹配的情形。 图片源自网络 然而网络攻击造成的信息泄露确实时有发生,网站漏洞或为非法窃取信息提供可乘之机。 去年6月,北京市公安局网安部门工作发现,网民“yuhong”在“暗网”贩卖国内某银行6.02万条用户个人信息。经审查,犯罪嫌疑人交代了其利用网站漏洞非法窃取了某银行等单位网站上存储的公民个人信息,截至被抓获,非法牟利3万余元。 目前,公安机关已着手对此类犯罪进行严厉打击。在“净网2019”专项行动中,全国公安机关全年破获侵犯公民个人信息类案件5000余起,抓获各行业“内鬼”900余名,破获黑客攻击破坏类案件2200余起。 对于银行客户个人信息遭泄露事件频发,有业内人士认为,这反映出银行内部管控的诸多不足。“比如客户信息可能交由理财部门进行理财产品销售,但如何交接的信息,是否会产生泄露的风险,都应当考虑,信息监管也还需要完善”。 首创证券研究所所长、首席经济学家王剑辉表示,银行客户信息遭泄露与业务发展和风控合规二者的平衡有关。现阶段,金融系统的考核权重多向盈利能力倾斜,合规、风控方面的重视程度可能有所不足。 王剑辉建议银行在人才培养、制度完善、科技手段方面进行完善,以减少此类事件发生。在人才培养方面,银行应加大对风控环节的教育,在制度方面强调刚性约束,在科技手段方面进行权限分级、操作留痕、预警系统等部署,实时应用最新科技。 多家银行因违规泄露客户信息受处罚 不论是由银行“内鬼”还是网络攻击导致客户隐私泄露,上海汉联律师事务所宋一欣律师认为,在此类事件中,银行都应承担防护责任。 “银行在此类信息泄露事件中负有行政责任乃至刑事责任,在查证客户无责任的情况下,银行应对客户的损失承担全部责任。” 今年以来,监管多次对银行信息泄露作出表态。 随着“池子”流水泄露事件发酵,5月9日,银保监会发布通报称,中信银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定。银保监会消费者权益保护局将按照相关法律法规,启动立案调查程序。 图片源自中国银保监会官网 此前,3月11日,中国人民银行重庆营业管理部公示行政处罚决定书,对重庆富民银行“侵害消费者个人信息依法得到保护的权利”等7项违规行为予以处罚,没收其违法所得30.35万元,并处罚款184.5万元。 4月23日,岱山农商银行因违规泄露客户信息被舟山监管局处罚30万元,相关责任人处以禁止从事银行业工作3年的处罚。 4月22日,在国新办2020年一季度银行业保险业运行发展情况发布会上,中国银保监会副主席黄洪表示,近年来银保监会印发一系列政策文件,查处不少案件,要求各银行保险机构认真贯彻落实个人信息保护方面的法律法规,加强客户隐私保护,对客户信息严格实行从采集到储存等全流程的制度化管理。
“这家公司连续给我发了一年多工资?我怎么不知道?” 近日,2019年度个税综合所得汇算清缴在各地陆续启动,不少网友反映自己个税APP上有非供职公司的工资记录:单笔工资薪金和劳务报酬分别多在5000元和800元以下;申诉后再次“被收入”;涉事公司连自己的电话号都有…… 谁在盗用我们的个人信息? “不要联系税务局找事” “这家公司我之前都没听过,更不用说领工资了。” 4月中旬,杨光收到单位关于2019年度个税综合所得汇算清缴的通知。登录个税APP后,杨光发现,除供职单位外,自己账户上还有一家陌生公司的工资记录。 APP上显示,2019年1月到2020年3月,杨光所得项目中有十余笔工资薪金的义务扣缴人为天津某公司,每笔3000元到4500元不等。 杨光立即在APP办理了申诉,并联系到纳税明细上显示的主管税务机关,咨询详细情况。接线人员称,已记录,将进行调查。 3天后,杨光接到自称上述公司负责人的电话。对方称,经查询,会计在录入信息时出错,误输入了杨光的身份证号码。 “怎么错得那么巧?姓名和身份证号码都对上了?”这一说法无法令杨光信服。 对方又解释称:公司底下有很多包工队和农民工,流动性很大,不小心录错了;现已将相关就职信息删除,希望杨光“小事化了,不要再联系税务局找事”。 主管税务机关当天下午告知杨光,有关部门已与公司方取得联系,希望杨光协助处理。杨光表示,该公司联系过自己。税务机关工作人员称,与公司沟通时只提供了杨光的姓名,并未提供联系方式。 “如果只是输错了身份证号码,怎么连我的电话都有?企业为新员工申报个税,都有哪些流程?”杨光愈发不解。 工作人员回复,企业在客户端增员,税务局后台审核;税务局会定期对企业进行实地考察,核实签到表等信息。 约两周后,杨光发现,APP上显示申诉成功,相关工资记录已被删除。但她仍无法安心:“我的身份证号、姓名和手机号对方都有,被用来干其他非法的事怎么办?细思恐极!” 为此担忧的不止杨光。近日,2019年度个税综合所得汇算清缴在各地陆续启动,不少网友反映遇到类似“被收入”的情况。据媒体报道,河南、陕西、重庆等地高校均有学生发现,自己的个税APP上有非供职公司的工资记录。 中介收钱提供个人信息名单? “申诉成功后真的不会有影响吗?” 4月中旬,经同学提醒,在西安上学的刘林发现自己也“被收入”了。提出申诉后,刘林拨打12366纳税服务热线,询问相关记录是否对自己有影响。 接线人员回复:“已反馈处理完成的,没有什么影响。如果不清楚信息泄漏原因,建议报警查清源头,避免个人利益在其他方面受损。” 她进一步询问,涉事公司是否会被查处,对方称,如果存在盗用信息,偷税漏税,虚增成本,减少收入等情况,有关部门会依法依规处理。 刘林发现,除自己外,身边不少同学账户上都有“陕西胜于蓝科技有限公司”的劳务报酬记录。 申诉详情。受访者供图 5月13日,记者就调查进展等问题致电该公司主管税务机关西安曲江新区税务局,接线人员提供了处理该申诉的专员座机。随后记者拨通该座机,接线人员称,给陕西胜于蓝科技有限公司打了很多电话,目前得到的答复是该公司把钱给了一个中介机构,中介提供的名单。 被问到中介的详细情况时,接线人员表示还不知道,会再联系该公司了解情况。 对于个税APP上发现被未任职公司冒用信息的情况,国家税务总局2019年1月曾回应称,可在APP上进行申诉,把情况反馈给该公司的主管税务机关,税务机关核查后结果会通过APP反馈。 不少网友表示已提出申诉。有网友发现,申诉后信息再次被同一家公司使用。 5月4日,在北京读书的张起在个税APP上进行了申诉。5月13日,处理结果显示为:税务机关无法与该单位取得联系,为保护您的权益,我们将暂时删除该记录。她发现,就在申诉后的5月7号,该公司又给自己申报了一笔“工资”。 第一次申诉详情。受访者供图 申诉后被同一家公司报税。受访者供图 申诉了也不管用?以后还是会出现类似情况?5月18日,记者根据张起提供的申诉信息,致电处理申诉的深圳市龙岗区税务局布吉税务所。 “新的工资收入,重新提交申诉。”接线人员称,电话和上门均未联系到该公司,现有手段是对申诉内容进行处理,该公司之后日常的申报会被阻断,所有税都申报不了,五月应该是最后一笔。 姓名、身份证号甚至电话是怎么被泄漏出去的?如果真有中介公司,这些信息是否被售卖给了其他不法分子?不少网友担心“被收入”背后还藏有其他风险。 逃税、工程款套现隐忧 “个税APP上发现被未任职公司冒用信息,很可能意味着个人信息遭到泄露。”上海旭灿律师事务所主任律师菅峰指出,“姓名和身份证号码一般是系统自动对应识别的,误录的可能性较小。” 菅峰介绍,个人信息被有计划冒用的,主要有两种可能:一是有企业需要使用大量临时工,劳务人员流动性大,劳务信息统计不完全或分包公司想套取工程款项时,通过虚报人头,冒领工资;二是一些企业为了规避纳税义务,通过冒领工资,虚增生产经营成本达到逃税目的。 “例如,如果一家企业通过虚报人头,多列了100万元的工资和劳务费,那么成本就增加了100万元,应纳税所得额也随之减少100万元。按25%的企业所得税税率计算,该企业就能少缴25万元税款。把虚报的工资和劳务分别控制在5000元和800元的起征点以下,企业也无需给这些‘隐形员工’缴纳个人所得税。” 菅峰进一步指出,企业采取上述方式进行逃税的,不但涉嫌违法,还可能涉嫌犯罪。“这种行为侵犯了公民的个人隐私,在民事上构成侵权;触犯了税收征收管理法、企业所得税法和个人所得税法;涉事企业和售卖个人信息的中介机构还可能构成刑法规定的侵犯公民个人信息罪。” “税收征管信息化使一些不法企业露出了马脚,个税APP上线后,公民的工资和纳税记录一目了然。”北京慕公律师事务所主任律师刘昌松指出,“学生和家庭主妇等没有受雇单位的群体一般不会主动查询纳税记录,信息相对更易被冒用。” 刘昌松介绍,信息被冒用,收入被增加后,直接影响到公民年度应税所得额的计算和专项费用的扣除。此外,如果个人信息被买卖,还面临其他风险,如被冒用来从事非法活动,影响出行、孩子上学、银行借款、应征入伍等。 “被虚报的公民除在APP上申诉外,还可到税务等相关部门去举报、投诉;如出现多人被同一公司冒用或申诉后仍被冒用的情况,可向公安机关报案,查清信息泄漏源头;如已明确是谁侵权,可直接向法院提起民事侵权诉讼。”刘昌松建议。 菅峰进一步指出,收到相关申诉、举报线索后,税务部门处理流程一般有:电话通知企业让其说明情况;上门稽查纳税资料;查证属实后下发补税、交滞纳金和罚款通知;涉嫌犯罪的将犯罪线索移交公安机关等。 “个税APP之外的个人信息安全也应受到重视。”菅峰提醒, “近年来个人信息泄露事件频发,公民应提高这方面的保护意识:如不要随便在不熟悉的网页、手机APP上填写自己的个人信息等。”(应采访对象要求,杨光、刘林、张起为化名)
北京商报讯(记者 王晓然 赵驰)5月12日,中国消费者协会(以下简称“中消协”)发布“五一”小长假消费维权舆情分析报告。报告显示,在4月30日-5月5日共计6天监测期内,共收集“五一”相关“消费维权”类信息3307913条,日均信息量55万余条。大多数消费投诉吐槽类舆情与线上消费纠纷直接或间接相关。 具体来看,以直播带货为首的网络购物类负面、有关“预约游”“限流”“分时游览”等信息引起的负面以及未成年人大额充值网络游戏类负面等几大类为主。 在网络购物方面,虚假发货、商品质量问题、售后服务问题反映较为集中,而随着网红带货、直播带货成为网络购物新方式,有关网络购物在品控、售后、发货等方面的问题只增不减。 监测期内,共收集网络购物类负面信息66798条。负面信息在4月30日出现小高峰;5月1日-5日假日期间,网络购物各日负面信息平稳。 其次,旅游类负面信息30213条。小长假前期,有关“预约游”“限流”“分时游览”等信息引起4月30日小高峰;假日期间旅游相关负面信息较为平稳。在出游冲动得到进一步释放的同时,众多景区达到限流最大承载量,致使部分热门景点存在游客拥挤等问题。同时,近郊游带来的交通拥堵、出租车宰客等问题也困扰着游客。 此外,网络游戏类负面信息14604条,主要涉及游戏退费、诈骗等问题。负面信息在5月2日达到高峰,高峰产生与“江苏消保委对7家网游公司开展集中约谈”和“手游代退款被骗”两个事件有关。网络游戏充值退款难、平台对未成年人充值不加限制等问题突出。 值得注意的是,今年“五一”迎来12年来最长劳动节假期,也是国内新冠肺炎疫情得到有力控制、企业逐步复工复市后迎来的首个消费小高峰。 中消协表示,疫情加速了消费者日常生活类消费的“线上化”。从本次舆情监测获取的数据和典型案例来看,大多数消费投诉吐槽类舆情与线上消费纠纷直接或间接相关。一是购买产品、接受服务主要或全部在线上进行;二是“在线化”成为线下消费主入口,如OTA平台、景区旅游在线预约等。 与此同时,突破“网购”这一单一消费模式、数字化向消费生活全方位渗透的趋势,“云生活”“宅经济”的多业态领域、多扩散模式、多渗透手段、多逻辑行为,给“线上消费市场生态”的治理和规范提出了新的课题。 中消协建议,常态化疫情防控形势下,“云端”消费形成新的增长点。对于新的业态模式融合与结构调整,应鼓励扶持新业态充分发展释放消费潜能与分类施策、系统治理“云端”消费生态环境相结合。其次,网络交易平台自觉自律履责与主动同消费维权机构建立协同工作机制相结合。此外,对于逐步放开的旅游行业,景区、交通出行的非常态应急预案设计与不断创新的数据挖掘应用科研成果相结合。 北商研究院特约专家、北京商业经济学会常务副会长赖阳认为,在技术的推动下,直播作为一种全新的信息传播模式得到了极速发展。但直播带货的风险并不是现在才出现,应该说是自有直播起就一直存在。只是在疫情期间,大家直播带货的购买比例大幅度提高,导致出现问题的激增。 赖阳认为,对于直播带货中出现损害消费者权益的行为,应当按照相应的消费者权益保护法律法规来严格执法。“对于消费者而言,购买到侵犯知识产权的产品,或是夸大虚假宣传的产品,也应当按照与现场购买或网络平台购买一样的态度去维护自己的权益。”
赵驰)5月12日,中国消费者协会(以下简称“中消协”)发布“五一”小长假消费维权舆情分析报告。报告显示,在4月30日-5月5日共计6天监测期内,共收集“五一”相关“消费维权”类信息3307913条,日均信息量55万余条。大多数消费投诉吐槽类舆情与线上消费纠纷直接或间接相关。 具体来看,以直播带货为首的网络购物类负面、有关“预约游”“限流”“分时游览”等信息引起的负面以及未成年人大额充值网络游戏类负面等几大类为主。 在网络购物方面,虚假发货、商品质量问题、售后服务问题反映较为集中,而随着网红带货、直播带货成为网络购物新方式,有关网络购物在品控、售后、发货等方面的问题只增不减。 监测期内,共收集网络购物类负面信息66798条。负面信息在4月30日出现小高峰;5月1日-5日假日期间,网络购物各日负面信息平稳。 其次,旅游类负面信息30213条。小长假前期,有关“预约游”“限流”“分时游览”等信息引起4月30日小高峰;假日期间旅游相关负面信息较为平稳。在出游冲动得到进一步释放的同时,众多景区达到限流最大承载量,致使部分热门景点存在游客拥挤等问题。同时,近郊游带来的交通拥堵、出租车宰客等问题也困扰着游客。 此外,网络游戏类负面信息14604条,主要涉及游戏退费、诈骗等问题。负面信息在5月2日达到高峰,高峰产生与“江苏消保委对7家网游公司开展集中约谈”和“手游代退款被骗”两个事件有关。网络游戏充值退款难、平台对未成年人充值不加限制等问题突出。 值得注意的是,今年“五一”迎来12年来最长劳动节假期,也是国内新冠肺炎疫情得到有力控制、企业逐步复工复市后迎来的首个消费小高峰。 中消协表示,疫情加速了消费者日常生活类消费的“线上化”。从本次舆情监测获取的数据和典型案例来看,大多数消费投诉吐槽类舆情与线上消费纠纷直接或间接相关。一是购买产品、接受服务主要或全部在线上进行;二是“在线化”成为线下消费主入口,如OTA平台、景区旅游在线预约等。 与此同时,突破“网购”这一单一消费模式、数字化向消费生活全方位渗透的趋势,“云生活”“宅经济”的多业态领域、多扩散模式、多渗透手段、多逻辑行为,给“线上消费市场生态”的治理和规范提出了新的课题。 中消协建议,常态化疫情防控形势下,“云端”消费形成新的增长点。对于新的业态模式融合与结构调整,应鼓励扶持新业态充分发展释放消费潜能与分类施策、系统治理“云端”消费生态环境相结合。其次,网络交易平台自觉自律履责与主动同消费维权机构建立协同工作机制相结合。此外,对于逐步放开的旅游行业,景区、交通出行的非常态应急预案设计与不断创新的数据挖掘应用科研成果相结合。 北商研究院特约专家、北京商业经济学会常务副会长赖阳认为,在技术的推动下,直播作为一种全新的信息传播模式得到了极速发展。但直播带货的风险并不是现在才出现,应该说是自有直播起就一直存在。只是在疫情期间,大家直播带货的购买比例大幅度提高,导致出现问题的激增。 赖阳认为,对于直播带货中出现损害消费者权益的行为,应当按照相应的消费者权益保护法律法规来严格执法。“对于消费者而言,购买到侵犯知识产权的产品,或是夸大虚假宣传的产品,也应当按照与现场购买或网络平台购买一样的态度去维护自己的权益。”
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估