作者:柒财智库高级研究员毕研广

5月6日,脱口秀演员王越池(@池子池子大池子)发布微博称,中信银行上海虹口支行未获本人授权,便将其个人账户流水提供给上海笑果文化传媒有限公司,属于侵犯公民个人信息的违法行为,并通过律师发函要求中信银行、笑果文化赔偿损失、并公开道歉。

微博发出不久就引来众多的“吃瓜群众”,议论纷纷的焦点主要集中在:未经授权,本人不到场,没有密码的情况下就能随便查询个人流水。让人啼笑皆非的是,给出的理由是“配合大客户要求”。

这里的大客户,是指上海笑果文化公司。要是按照逻辑来讲,就变成了大客户的权益至上,就算是侵犯个人隐私也在权益之内了?

7日凌晨,中信银行发出致歉信,银行已经按照相关规定对员工进行处分,并且撤职该支行行长。

致歉信全文如下:

关于王越池先生(艺名“池子”)通过微博反映其个人账户交易信息被调取一事,经我行核实,近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池先生支付劳务工资记录时,我行员工未严格按规定办理,提供了王先生的收款记录。对此,我们向王先生郑重道歉!

我行已按制度规定对相关员工予以处分,并对支行行长予以撤职。

保护客户信息安全是我行秉持的服务宗旨,也是银行的生命线。在客户信息保护方面,我行建立了一整套制度及流程,但个别员工未严格按照制度操作,反映出我行个别机构在制度执行上不到位。我行将举一反三,全面检查,加大培训,强抓制度执行,坚决避免此类问题再次发生,切实保护金融消费者合法权益。

真诚欢迎社会各界继续对我行进行监督,感谢大家的关心与支持!

银行的认错态度良好。

但是,背后引出的问题,不得不让人们深思。此事涉及到的员工工资流水,单位到底有无权限查询,个人流水信息如果被泄露会引发什么后果,到底是谁在泄露“池子的流水”?

1、 单位能否未经允许查询个人流水?

第一个焦点在于,池子这张卡是上海笑果文化传媒公司给办的“工资卡”,用来支付劳务报酬。

说的通俗一点,这就好比你老板,未经过你的许可,直接让卡户银行查你工资卡上的流水。

有观点认为,用人单位或者支付劳动报酬的单位可以这样查询。在历史上有一个“潜规则”,谁给你饭吃,谁就有权使用你,甚至有权知道你的一切。看似很合理,我是老板,我查查你工资卡怎么了?

其实,这确实触犯了个人隐私。

首先,这张银行卡是池子所持有的,并且是池子的名字。说的直白点,人家从中信银行开立的银行卡,所有权在池子名下。也就是说,这属于池子的个人账户,私人财产。

其次,既然是属于私人财产,根据《物权法》等相关法律规定,私人财产是需要保护的,未经允许,未经授权,不能随意查询或者更改。

最后,就算上海笑果文化传媒有限公司是中信银行的大客户,银行也不能为了满足大客户的需求,就未经授权私自查询个人流水。笑果文化传媒有限公司和银行都没有权限进行查询,发生这种事,确实侵犯了当事人的隐私。

那么,这样就引出了第二个问题,个人流水泄露会产生多大的影响。

2. “池子”的“流水”外泄,会引发什么?

银行流水,是一种通俗的说法。实际上,就是银行交易记录,也可以看成你的资金进出记录。

流水这个东西比较重要,重要程度不亚于你的个人征信信息。

个人征信所表现的是你的负债,你有多少信用卡,有多少贷款,甚至还有对外担保。个人征信不仅仅是显示你对金融机构的履约状况,更是能够反映你的总体负债有多少。如果你去贷款、买房,看你的个人征信,一来是用征信判断你的信用,二来是看你有多少负债。

如果,你的个人信用记录良好,没有违约。但是,负债一大堆,这也未必能够贷款成功。取决你贷款成功的另外一个必要条件就是银行流水。

通过银行流水,能够判断出每个月的进项收入,销项支出。说到底,银行流水能够判定你的资金流状态,还能够判定你有多少存款。有的银行流水表面上看光鲜亮丽,每个月流水能够十几万甚至几百万,最有一查余额显示个位数,这一看就是“假流水”。

所以,银行流水是非常重要且隐私的个人金融信息,并且,银行流水直接显示个人资金的流动,资产状况。一旦泄露,尤其是落入了不法之徒的手中,很容易形成“电信诈骗”、“金融诈骗”等违法犯罪的现象。

3、 个人金融信息频发泄露,为何银行内控总流于形式?

早在2016年,银监会(现银保监会)就曾提示过银行信息泄露风险,并指出银行业金融机构发生多起员工违规查询、出售或非法提供个人信息的案件或风险事件,反映出银行对客户个人信息保护工作管理不严,内控制度建设执行不力等问题。

在此之前,很多金融机构违规查询个人征信,尤其是在2013年左右,贷款市场需求旺盛,有部分金融机构未取得他人授权,随便查询个人征信,导致个人隐私泄露。直到最近几年,个人征信查询才得到了有效的规范,金融机构在没有发生实际业务的情况下,未经授权不得随意查询个人征信信息。

《商业银行法》第三章第二十九条规定:商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。

《储蓄管理条例》第三十二条规定:储蓄机构及其工作人员对储户的储蓄情况负有保密责任。储蓄机构不代任何单位和个人查询、冻结或者划拨储蓄存款,国家法律、行政法规另有规定的除外。

4、个人银行流水能随便查吗?

按照金融机构的相关流程,如果你去银行打流水,必须本人持身份证去银行网点从柜台或者自助查询机上进行查询。

拿身份证、带银行卡,输入密码,银行柜台人员核准个人信息,并且经过银行“授权人”核验授权之后才能查询、打印银行流水。如果是对公业务,需要携带营业执照、法人证件、公司章、财务章等等。

不管是柜台查询还是查询机查询,身份证、银行卡、密码这是必备的三个条件。而此次事件中,池子的流水外泄,中信银行竟然没有验证信息,在没有身份证、银行卡、密码的情况下“绕开”系统,直接查询,这不得不让人细思极恐。

现在,虽然中信银行已经对相关“责任人”撤职、处分,但是仔细想来,这未必是人的问题,也未必是“授权”的问题。难道银行的后台程序中,真的可以做到不用本人前来,不用提供银行账号就直接能够查流水吗?

希望监管能够对此事引起重视,到底是人操作不规范的问题,还是银行后台系统普遍存在这种“漏洞”的问题。如果,由此引发的个人金融信息隐私泄露,那么将会带来更大的影响。

今年,央行发布相关的“工作计划”。其中《个人金融信息(数据)保护试行办法》将在今年制定。希望这一即将出台的政策,能够从源头上遏制个人金融隐私的泄露,约束金融机构加强对个人隐私的保护。

声明:本文来自腾讯理财,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。