□记者 崔烨 杨晓东

近期，沪上某银行未获授权，便将其个人客户账户流水提供给所谓“大客户”的事件引发广泛关注。此后虽然银行公开道歉并对涉事支行行长予以撤职，却一石激起千层浪，迅速引发了广大市民对金融账户隐私外泄的担忧。9日，中国银保监会宣布对此事件启动立案调查。

账户隐私被泄引发群体担忧

针对客户投诉，银行方面首次给予的回复是：“这是配合大客户要求”。这直接令广大用户对银行信息安全的恐慌“霸屏”微博、豆瓣等各大社交平台，部分网友评论：“‘大客户’可以在未提供账号和银行卡且本人未前往现场的情况下调取个人客户信息，这令人感到非常不安和恐慌。”

5月7日凌晨，涉事银行在官方微博上发布致歉信，向客户郑重道歉。银行同时官宣：“在客户信息保护方面，我行建立了一整套制度及流程，但个别员工未严格按照制度操作，反映出我行个别机构在制度执行上不到位。”并称针对此事，该行已经作出处理：“我行已按制度规定对相关员工予以处分，并对支行行长予以撤职。”

“一般来讲，除非拿到司法相关文件。个人查询则需要银行卡密码。”记者从多家银行了解，银行普通柜员查询个人信息都需主管授权，如果私下查的确属于为违法违规行为。然而，在银行业激烈竞争的环境下，为了留住大客户的存款业务等，就冒出了配合其“特殊要求”的业务员。一旦事发，多以安抚客户了事。

银保监会启动立案调查

随着此次关乎民生的新闻事件迅速发酵，5月9日，中国银保监会发出通报称：按照相关法律法规，对银行启动立案调查程序，严格依法依规进行查处。

银保监会表示，2020年3月，涉事银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定，严重侵害消费者信息安全权，损害了消费者合法权益。

事实上，近来关于金融机构泄露客户隐私的风声一直不绝于耳，却苦于没有“实锤”，出现界定困难等问题。此前已有公开报道“大量中国金融业数据在暗网被兜售”，涉及大量客户众多的大型金融机构，包括农业银行、上海银行、兴业银行、浦发银行、平安集团、中国人寿等。对此，银保监会副主席黄洪公开回应称，经查，被贩卖的信息绝大部分是黑客伪造或拼凑的。银保监会始终对侵害金融消费者权益、损害客户信息安全的行为坚持零容忍的态度，一经发现，严肃依法查处，严厉打击。

不过，市民对于金融机构缺乏“安全感”，绝非毫无理由。早在2016年，银监会（现银保监会）就曾提示过银行信息泄露风险，并指出银行业金融机构发生多起员工违规查询、出售或非法提供个人信息的案件或风险事件，反映出银行对客户个人信息保护工作管理不严，内控制度建设执行不力等问题。

而监管近年来也加大对银行个人信息泄露的惩处力度，并实行机构和人员双罚制。今年4月，浙江岱山农商银行、浙江民泰商业银行有内部人员违规泄露客户信息，其中浙江岱山农商银行被银保监会罚款30万元，泄露信息的内部员工被禁业三年；2018年，中国人民银行郑州中心支行向社会公布的一项行政处罚信息显示，自2017年11月6日至12月底不到两个月的时间内，因涉及瞒报虚报数据、过失泄露信息等违规行为，河南辖内47家金融机构受到行政处罚，罚款金额达716万元。

信息安全保护有法可依

虽然涉事银行已经公开道歉并对相关责任人予以处罚，但不少市民认为，此事不应停滞于道歉，还应有赔偿，甚至还应追究部分责任人的刑事责任。

而对于公民个人信息安全的保护，也有法律准绳可依。《刑法》第253条规定，将在履行职责或者提供服务过程中获得的公民个人信息，提供给他人，属于刑事犯罪。窃取或者以其他方法非法获取公民个人信息，也属于刑事犯罪。

《商业银行法》第29条规定，商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。

《储蓄管理条例》第32条也规定了储蓄机构及其工作人员应负有对储户的储蓄情况保密的责任。储蓄机构不代任何单位和个人查询、冻结或者划拨储蓄存款，国家法律、行政法规另有规定的除外。如违反，将根据情节轻重处以罚款、停业整顿、吊销《经营金融业务许可证》；情节严重，构成犯罪的，依法追究刑事责任。

但是，上海某知名律所律师疏子蔚对记者表示：“此次银行职员客观上的确触犯了刑法，但真想要入刑，难度较大。就目前看，对于金融机构这一行为严重的后果多为来自银保监系统的行政处罚。”

“因为入刑必须符合‘情节严重’这一要件。”疏子蔚解释，情节严重这一要件，由《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定，其中的第五条将“用于犯罪”、“大量”、“获得一定违法收入”、“累犯”用刑罚加以约束。

“该案”从整个行业数据信息泄露问题看不过是冰山一角。”疏子蔚指出，金融机构泄露客户隐私的违法成本相较于因此牟取的巨大利益，几乎可以忽略不计，行政处罚很难起到警示作用。即便一张百万级的罚单，对于年利润动辄以百亿为单位的股份制银行而言无疑连“罚酒三杯”都谈不上。疏子蔚表示，个人隐私泄露最大的问题不是在立法上，而在于执行力度：“对于这一乱象，司法层面目前执行力度还是太小。相信如果有更多的典型公报案例出现，会对个人信息泄露正在泛滥的趋势起到威慑和预防的作用。”