律师说:中信银行侵犯池子个人信息,构成犯罪吗?
题图来自IC photo,本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师
近日,脱口秀演员池子微博称,其与经纪公司打官司,对方提交的证据居然含有中信银行的他个人账户交易明细,涉嫌侵权个人信息,询问中信银行,则被告知是配合大客户的要求。
此事微博发酵后,中信银行公开致歉,称虹口支行员工未严格按规定办理,提供了池子收款记录,该行已按制度规定对相关员工予以处分,并对支行行长予以撤职。
我觉得这个致歉信就是罚酒三杯,银行的基层支行是没有存款数据查询权限的,要用户身份证授权,或者司法机关出具的司法文件到分行乃至总行级别才能查询,上级的银行在查询信息前还应当核对用户的身份证,以及柜面当场拍摄的照片与身份证相符才能提供。如果没有授权去进行查询的,肯定是中信银行的总行或者上海分行违反了合规。
《商业银行法》明确规定,商业银行不得非法查询个人储蓄存款,如有违反,对直接负责的董事、高级管理人员和其他直接责任人员,应当给予纪律处分。
所以此事涉及的不仅仅是虹口支行,中信银行应该对更高级的管理人员乃至银行董事进行纪律处分,而不仅仅是让基层支行行长和员工背锅。
下面谈一谈中信银行在此事中涉及的几重责任:
一、民事诉讼法院判赔不一定高,但官司打起来和解金可能会较高。
根据《侵权责任法》和《消费者权益保护法》的规定:中信银行及其工作人员违规泄露个人信息的行为侵害了池子的民事权益,应当承担停止侵害、赔偿损失的法律责任。但如果池子起诉中信银行侵权的,法院判赔金额未必会很高。因为本案中的损失比较难举证:
目前池子个人信息泄露仅限于仲裁中的对手,也就是其经纪公司,而仲裁是不公开审理的,个人信息泄漏的范围不大。池子的银行账户目前虽然被对方通过法院保全,造成生活困难。但这个账号应该是经纪公司之前给池子汇款时掌握的,并非通过中信银行获得的。
但如果我的当事人遭遇此类情况,我依然会建议其诉讼维权。虽然我国法院根据社会主义初级阶段的国情确定的判赔标准不高,但大公司,包括中信银行这样的金融机构会对合规性的诉讼非常的忌惮:金融机构最看重的就是公众的信任,诉讼可能会对公众对其的信任造成很大影响,所以池子如果起诉的,中信银行可能会出于舆论和监管压力,尽快支付一笔较高的赔偿金以和解方式了结此案。
二、中信银行的行政责任会比较严重。
池子微博说,他已经向银保监会等政府监管机关投诉。根据《商业银行法》规定,非法查询个人储蓄存款应被处以五万元以上五十万元以下罚款。对直接负责的董事、高级管理人员和其他直接责任人员,应当给予纪律处分。
笔者则建议池子也可以考虑向人行投诉,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》明确规定:如果人民银行认定银行业金融机构违规向本金融机构以外的其他机构和个人提供个人金融信息的,可采取以下处理措施:
(一)约见其高管人员谈话,要求说明情况;
(二)责令银行业金融机构限期整改;
(三)在金融系统内予以通报;
(四)建议银行业金融机构对直接负责的高级管理人员和其他直接责任人员依法给予处分;
(五)涉嫌犯罪的,依法移交司法机关处理。
这些行政措施的制裁力度很强,远比罚点款会让中信银行更长记性。
三、是否涉嫌犯罪要视后续调查结果。
池子微博称已经向警方报案。本案可能会有刑事调查,那中信银行的行为要严重到什么程度才会构成犯罪?查了下《刑法》和司法解释,要提供超过250条个人信息才构成犯罪。所以如果本案是个案,则不构成犯罪,如果中信银行虹口支行被查出经常违规的,就有可能构成犯罪了。
《刑法》的具体规定:违规向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。这个罪名还有法人犯罪,单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。所以如果构成犯罪的,中信银行作为单位也跑不了。
怎样才算情节严重?最高法和最高检的司法解释规定:非法获取、出售或者提供交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,应当认定为情节严重,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额前述条款规定标准一半以上的亦构成情节严重。也就是说,非法获取个人信息的,五百条构成犯罪。而银行作为个人信息提供者,对外非法提供银行卡流水的,如果数量在二百五十条以上的,就达到了情节严重标准。
最后,如果中信银行的后台审核部门是独立的,在用户信息提供审核前由系统随机将前台的数据查询要求派单给后台人员审核,没有身份证原件扫描件以及柜面摄像机的拍照,就不予提供用户信息,那前台人员想作弊都不行,此次的事件就不会发生。
所以,我不认同中信银行在致歉信的说法:“在客户信息保护方面,我行建立了一整套制度及流程,但个别员工未严格按照制度操作,反映出我行个别机构在制度执行上不到位。“
如果员工未按制度操作就可以违规,那这个制度就是不合格的。中信银行应该用制度加科技完善流程,建立起真正合格的用户信息保护机制。
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师