對銀行客戶信息操作使用不當引發法律風險的分析及建議

摘 要 當今涉及侵害公民個人信息的案件越來越多，公民對于個人信息的保護意識越來越強。近年來銀行與客戶之間就客戶信息保護問題產生諸多分歧，本文以銀行角度，從涉及銀行客戶信息保護的案例入手，分析對銀行客戶信息操作使用不當所引發的法律風險并理清相關的法律問題，并對進一步加強銀行客戶信息保護提出了建議。

關鍵詞 銀行 客戶信息 法定義務 合同義務 法律責任

作者簡介：楊靜文，天津大學。

中圖分類號：D922.28 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2016.12.046

銀行作為公眾服務的媒介和平臺之一，為客戶提供存款、貸款、理財、電子銀行、銀行卡等金融服務。銀行在辦理這些業務的過程中掌握了大量的客戶重要信息，比如：姓名、賬戶、身份證號碼、資產狀況、聯系方式等。法律規定，銀行及其相關工作人員對客戶信息承擔保護義務，且未經許可不得私自向第三方提供，否則將承擔相應的法律責任。

一、案例回放

（一）案例一：銀行未經客戶同意擅自查詢客戶個人信息

市民張先生在其當地人行營業部查詢個人信用時，獲得信用報告之后，發現有一欄查詢記錄異常：兩家當地銀行都查詢了他的信用記錄，然而都在他不知情的情況下。張先生說自己也只在這兩家中一家銀行辦理過信用卡，但是使用不久后就注銷了，之后也從未申請過貸款或申領新卡。但是對于另家商業銀行查詢他的信息，是在他的授權之外的。因為他從來沒有在該商業行辦過一次業務。所以，張先生覺得，兩家銀行已經侵犯到他的隱私。但他與兩家銀行協商未果。所以分別將他們告上法庭，提出兩家的行為應該登報道歉。

之后，其中一家銀行承認，為了對張先生信用卡進行第二次開發才會如此。曾在未經張先生準許的情況下，查詢了張先生的住址、身份證號、辦卡信息、所有銀行貸款以及是否有欠款等信息。但該商業行認為，雖然這些信息也都具有一定社會的屬性，但是，沒有任何證據說明此信息查詢后而被宣揚。所以，該行不覺得侵犯了張先生的隱私權。但是，一審法院還是以銀行沒有獲得張先生的授權，并且違規操作，而判決銀行敗訴。而張先生起訴另家商業銀行的案件中，法院對此案一審判決，判定結果是該行侵權行為成立，被告方要在書面上對張先生進行賠禮道歉。

（二）案例二：銀行員工利用工作便利，非法查詢出售客戶信息

胡某原是一家銀行的客戶經理，工資待遇豐厚。陳某為一名貸款中介公司的員工。陳某提出讓胡某利用職務之便，通過其所在銀行的個貸查詢系統，查詢客戶的銀行征信信息，并以每條信息30元作為報酬。陳某將自己所要查詢的客戶名單及征信查詢授權書復印件等一并發到胡某郵箱，胡某再將查詢結果以電子郵件的形式發送給陳某。隨著所需查詢的征信信息數量不斷增加，胡某還以高額利潤為誘餌拉同事李某和王某某“入伙”。據統計，犯罪嫌疑人胡某、李某、王某某非法查詢他人銀行征信信息共計6924條，非法獲利超25萬元。犯罪嫌疑人陳某將從胡某處購買的銀行征信信息出售給他人，共計非法獲利36萬余元。事情敗露后，胡某等人因涉嫌侵犯公民個人信息罪被人民檢察院審查起訴。犯罪嫌疑人胡某、李某、王某某利用職務之便，通過銀行個貸查詢系統非法查詢他人銀行征信信息并出售，陳某等人通過非法渠道獲取他人銀行征信信息，其行為已觸犯《中華人民共和國刑法》規定，涉嫌侵犯公民個人信息罪。

（三）案例三：銀行對客戶信息保管及處理不當導致客戶信息外露

銀行員工李某在銀行外面露天焚燒銀行陳年賬單和單據。同時，部分陳年賬單和單據還被其賣給街邊收廢品的。單據中有銀行每日結算單據、儲蓄檢查記錄簿等大部分都是2004、2005年的陳年單據。在廢品收購站，還發現了某銀行也將客戶資料被作為廢品變賣。其中有些資料上還蓋有原始的印章，客戶的家庭住址、聯系方式、個人財產等信息。其中一份抵押合同書的簽訂日期尚在銀行的保存期之內。此類事件引發嚴重的法律風險及聲譽風險。

二、銀行為客戶信息承擔保護義務的法律分析

（一）法律義務

1.保護客戶信息是銀行的法定義務：

我國的《刑法》、《合同法》、《商業銀行法》、《反洗錢法》、《儲蓄管理條例》等法律、法規都對銀行在客戶身份資料、交易信息等方面的保密義務作出了規定。如《商業銀行法》第29條規定：“商業銀行受理個人儲蓄存款業務，應該遵循取款自由、存款有息、存款自愿，為存款人保密的原則”，該法第84條還規定“商業銀行工作人員泄露在任職期間知悉的國家秘密、商業秘密的，應當給予紀律處分；構成犯罪的，依法追究刑事責任”，中國銀監會關于印發銀行業金融機構從業人員職業操守指引的通知（銀監發[2011]6號） 第四條“從業人員應當學法、懂法、守法，保守國家秘密和商業秘密，尊重和保護知識產權，自覺維護國家利益和金融安全”，又如《刑法修正案（七）》中亦有類似規定，上述這些法律、法規和監管規定中對銀行及其工作人員的保密責任均作出相應規定，這些均是銀行必須擔負客戶信息保密的有效法律依據。

2.保護客戶信息是銀行的合同義務：

客戶在銀行辦理業務時，相關的業務合同中，通常都有信息保密方面的約定，以工商銀行制定的格式合同為例，如《電子銀行個人客戶服務協議》，該協議中約定了工行對個人電子銀行客戶提供的申請資料和其他信息有保密的義務；又如《房地產借款合同》中約定了工行對借款人提供的非公開資料及信息具有保密的義務；再如《全面業務合作協議》約定了工行與合作對方保險公司均有義務為對方嚴守商業秘密（包括客戶信息），未經對方許可，不得對外提供任何有關對方業務經營的資料和信息等等，可見在銀行為客戶辦理業務或簽約過程中，均有承諾性合同條款內容是為客戶信息保密。

3.保護客戶信息是銀行應承擔的合同附隨義務：

客戶在銀行辦理業務，與銀行形成相關合同關系，包括各種儲蓄合同、理財協議、存貸款合同、結算服務合同等，這些合同除了對雙方間服務事宜進行約定外，還對相關保密責任進行了約定，即使沒有保密方面的單獨約定，但根據《合同法》第60條規定：“當事人應當遵循誠實信用原則，根據合同的目的、性質和交易習慣履行協助、通知、保密等義務”。這就是法律上對合同相對方應承擔彼此保密義務的后合同義務法律規定，因此，銀行在為客戶辦理業務過程中，即使合同文本未提及保密義務，銀行方仍應為客戶信息進行保密。

（二）法律責任

1.民事責任：

包括侵權責任與違約責任。在《合同法》第107條規定：“當事人一方不履行合同義務或者履行合同義務不符合約定的，應當承擔繼續履行、采取補救措施或者賠償損失等違約責任”。如果銀行因違反個人客戶信息保密義務侵害了客戶隱私權等民事權益，還可能擔負賠償損失、停止侵害、消除影響、恢復名譽、賠禮道歉等等侵權責任。

2.行政責任：

包括兩方面：一是對銀行的責任，包括沒收違法所得、罰款、停業整頓、吊銷經營許可證等；二是對直接責任人員的責任，包括罰款、取消任職資格、禁止從事有關金融行業工作等。

3.刑事責任：

《刑法修正案（七）》規定，金融單位人員，違反國家規定，將本單位在提供服務過程中獲得的公民個人信息，非法提供或出售給他人，情節嚴重者，處或單處罰金，并處三年以下有期徒刑或拘役。

三、銀行加強客戶信息保護的相關建議

（一）建立嚴格的客戶信息保護制度，對客戶信息的查詢、使用、保存、銷毀及相關責任等方面做出嚴格的制度規定

1.完善對客戶信息保密的責任制度：

老員要在離職時必須簽訂離職保密協議；每當有新員工加入公司時必須先簽保密協議，并且保密協議要說明保密義務不能對客戶信息泄露。

2.建立內控制度，規定不能將客戶信息泄露：

梳理客戶的信息登記、流轉和分發，最后業務流程所使用的數據流向，建立必要的控制措施。要明確每環節數據保護責任人，如果確定了信息從哪個環節泄露出去，就可以對該責任人追責。

（二）對客戶信息保護的薄弱環節加強管理預防

在依法協助有權機關查詢之外，沒有經過客戶的書面同意，不可以用任何方式給他人透露用戶的個人信息。于貸款業務的時候，另一方面欠款的催收方式也要注意。不能在過程中將用戶有的個人信息泄露出去。在銀保業務或者是理財業務等銀行的中間業務時，要在有關協議有約定的情況下或應先告知客戶并要取得客戶的書面同意后。

（三）對員工加強培訓教育，提高客戶信息保護的意識

利用培訓讓員工知道客戶個人信息的具體內容和保密的重要性，以及泄露客戶個人信息要付法律責任。銀行工作人員必須要注意保管好工作電腦之類存儲用戶信息的工具，預防疏忽而導致客戶個人信息被他人盜取。并且建立離職員工的審查的機制，離職前要簽訂保密協議，確保用戶的信息安全。保密協議中要明確標出，離職之后若泄露客戶個人信息要負法律責任。

（四）在技術層次方面，應對業務人員利用技術的手段約束他們批量查詢客戶信息的，必須約束客戶信息導出，也要做到禁止備份

利用終端安全系統，禁用移動硬盤、U盤等移動設備，約束工作電腦上所安裝的軟件類型。通過技術手段，將業務網與辦公網進行物理隔離，以確保業務數據僅保存于業務工作用的電腦上，這樣確保被員不能帶走這些數據。對于IT人員，尤其是負責維護數據庫和后臺系統的IT人員。因為數據庫中有客戶信息，應對這些IT人員的權限進行嚴格控制，還要對他們操作進行嚴格實時的審計和監控，預防IT人員利用技術手段對客戶信息將客戶信息竊取或進行未授權操作。

參考文獻：

[1]擺曄.金融消費者保護工作淺析——銀行客戶信息保護的現狀與思考.時代金融.2013（8）.

[2]張煒.商業銀行個人客戶信息保護法律問題研究.金融論壇.2013（4）.

[3]吳建、邵豐.中小銀行客戶信息保護四難題.金融電子化.2013（2）.

[4]馮劍蕾、蔡立晶、周期律.商業銀行客戶信息保護策略研究.金融科技時代.2014（6）.

[5]董紀昌、焦丹曉、張欣、宋子健、李秀婷.大數據金融背景下商業銀行客戶信息保護研究.工程研究-跨學科視野中的工程.2014（3）.

[6]章倩.對商業銀行客戶信息保護體系建設的思考.中國金融電腦.2014（8）.

[7]林貝金.銀行客戶金融信息的法律保護研究.西南財經大學.2006.

[8]張璇.銀行客戶金融隱私權的法律保護制度研究.廣東商學院.2012.

[9]吳舟.論銀行客戶信息的民法保護.廣西大學.2012.

[10]霍清楠.論銀行個人客戶信息的法律保護.西南政法大學.2014.