摘 要 當今涉及侵害公民個人信息的案件越來越多，公民對于個人信息的保護意識越來越強。近年來銀行與客戶之間就客戶信息保護問題產(chǎn)生諸多分歧，本文以銀行角度，從涉及銀行客戶信息保護的案例入手，分析對銀行客戶信息操作使用不當所引發(fā)的法律風險并理清相關(guān)的法律問題，并對進一步加強銀行客戶信息保護提出了建議。

關(guān)鍵詞 銀行 客戶信息 法定義務 合同義務 法律責任

作者簡介：楊靜文，天津大學。

中圖分類號：D922.28 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2016.12.046

銀行作為公眾服務的媒介和平臺之一，為客戶提供存款、貸款、理財、電子銀行、銀行卡等金融服務。銀行在辦理這些業(yè)務的過程中掌握了大量的客戶重要信息，比如：姓名、賬戶、身份證號碼、資產(chǎn)狀況、聯(lián)系方式等。法律規(guī)定，銀行及其相關(guān)工作人員對客戶信息承擔保護義務，且未經(jīng)許可不得私自向第三方提供，否則將承擔相應的法律責任。

一、案例回放

（一）案例一：銀行未經(jīng)客戶同意擅自查詢客戶個人信息

市民張先生在其當?shù)厝诵袪I業(yè)部查詢個人信用時，獲得信用報告之后，發(fā)現(xiàn)有一欄查詢記錄異常：兩家當?shù)劂y行都查詢了他的信用記錄，然而都在他不知情的情況下。張先生說自己也只在這兩家中一家銀行辦理過信用卡，但是使用不久后就注銷了，之后也從未申請過貸款或申領新卡。但是對于另家商業(yè)銀行查詢他的信息，是在他的授權(quán)之外的。因為他從來沒有在該商業(yè)行辦過一次業(yè)務。所以，張先生覺得，兩家銀行已經(jīng)侵犯到他的隱私。但他與兩家銀行協(xié)商未果。所以分別將他們告上法庭，提出兩家的行為應該登報道歉。

之后，其中一家銀行承認，為了對張先生信用卡進行第二次開發(fā)才會如此。曾在未經(jīng)張先生準許的情況下，查詢了張先生的住址、身份證號、辦卡信息、所有銀行貸款以及是否有欠款等信息。但該商業(yè)行認為，雖然這些信息也都具有一定社會的屬性，但是，沒有任何證據(jù)說明此信息查詢后而被宣揚。所以，該行不覺得侵犯了張先生的隱私權(quán)。但是，一審法院還是以銀行沒有獲得張先生的授權(quán)，并且違規(guī)操作，而判決銀行敗訴。而張先生起訴另家商業(yè)銀行的案件中，法院對此案一審判決，判定結(jié)果是該行侵權(quán)行為成立，被告方要在書面上對張先生進行賠禮道歉。

（二）案例二：銀行員工利用工作便利，非法查詢出售客戶信息

胡某原是一家銀行的客戶經(jīng)理，工資待遇豐厚。陳某為一名貸款中介公司的員工。陳某提出讓胡某利用職務之便，通過其所在銀行的個貸查詢系統(tǒng)，查詢客戶的銀行征信信息，并以每條信息30元作為報酬。陳某將自己所要查詢的客戶名單及征信查詢授權(quán)書復印件等一并發(fā)到胡某郵箱，胡某再將查詢結(jié)果以電子郵件的形式發(fā)送給陳某。隨著所需查詢的征信信息數(shù)量不斷增加，胡某還以高額利潤為誘餌拉同事李某和王某某“入伙”。據(jù)統(tǒng)計，犯罪嫌疑人胡某、李某、王某某非法查詢他人銀行征信信息共計6924條，非法獲利超25萬元。犯罪嫌疑人陳某將從胡某處購買的銀行征信信息出售給他人，共計非法獲利36萬余元。事情敗露后，胡某等人因涉嫌侵犯公民個人信息罪被人民檢察院審查起訴。犯罪嫌疑人胡某、李某、王某某利用職務之便，通過銀行個貸查詢系統(tǒng)非法查詢他人銀行征信信息并出售，陳某等人通過非法渠道獲取他人銀行征信信息，其行為已觸犯《中華人民共和國刑法》規(guī)定，涉嫌侵犯公民個人信息罪。

（三）案例三：銀行對客戶信息保管及處理不當導致客戶信息外露

銀行員工李某在銀行外面露天焚燒銀行陳年賬單和單據(jù)。同時，部分陳年賬單和單據(jù)還被其賣給街邊收廢品的。單據(jù)中有銀行每日結(jié)算單據(jù)、儲蓄檢查記錄簿等大部分都是2004、2005年的陳年單據(jù)。在廢品收購站，還發(fā)現(xiàn)了某銀行也將客戶資料被作為廢品變賣。其中有些資料上還蓋有原始的印章，客戶的家庭住址、聯(lián)系方式、個人財產(chǎn)等信息。其中一份抵押合同書的簽訂日期尚在銀行的保存期之內(nèi)。此類事件引發(fā)嚴重的法律風險及聲譽風險。

二、銀行為客戶信息承擔保護義務的法律分析

（一）法律義務

1.保護客戶信息是銀行的法定義務：

我國的《刑法》、《合同法》、《商業(yè)銀行法》、《反洗錢法》、《儲蓄管理條例》等法律、法規(guī)都對銀行在客戶身份資料、交易信息等方面的保密義務作出了規(guī)定。如《商業(yè)銀行法》第29條規(guī)定：“商業(yè)銀行受理個人儲蓄存款業(yè)務，應該遵循取款自由、存款有息、存款自愿，為存款人保密的原則”，該法第84條還規(guī)定“商業(yè)銀行工作人員泄露在任職期間知悉的國家秘密、商業(yè)秘密的，應當給予紀律處分；構(gòu)成犯罪的，依法追究刑事責任”，中國銀監(jiān)會關(guān)于印發(fā)銀行業(yè)金融機構(gòu)從業(yè)人員職業(yè)操守指引的通知（銀監(jiān)發(fā)[2011]6號） 第四條“從業(yè)人員應當學法、懂法、守法，保守國家秘密和商業(yè)秘密，尊重和保護知識產(chǎn)權(quán)，自覺維護國家利益和金融安全”，又如《刑法修正案（七）》中亦有類似規(guī)定，上述這些法律、法規(guī)和監(jiān)管規(guī)定中對銀行及其工作人員的保密責任均作出相應規(guī)定，這些均是銀行必須擔負客戶信息保密的有效法律依據(jù)。

2.保護客戶信息是銀行的合同義務：

客戶在銀行辦理業(yè)務時，相關(guān)的業(yè)務合同中，通常都有信息保密方面的約定，以工商銀行制定的格式合同為例，如《電子銀行個人客戶服務協(xié)議》，該協(xié)議中約定了工行對個人電子銀行客戶提供的申請資料和其他信息有保密的義務；又如《房地產(chǎn)借款合同》中約定了工行對借款人提供的非公開資料及信息具有保密的義務；再如《全面業(yè)務合作協(xié)議》約定了工行與合作對方保險公司均有義務為對方嚴守商業(yè)秘密（包括客戶信息），未經(jīng)對方許可，不得對外提供任何有關(guān)對方業(yè)務經(jīng)營的資料和信息等等，可見在銀行為客戶辦理業(yè)務或簽約過程中，均有承諾性合同條款內(nèi)容是為客戶信息保密。

3.保護客戶信息是銀行應承擔的合同附隨義務：

客戶在銀行辦理業(yè)務，與銀行形成相關(guān)合同關(guān)系，包括各種儲蓄合同、理財協(xié)議、存貸款合同、結(jié)算服務合同等，這些合同除了對雙方間服務事宜進行約定外，還對相關(guān)保密責任進行了約定，即使沒有保密方面的單獨約定，但根據(jù)《合同法》第60條規(guī)定：“當事人應當遵循誠實信用原則，根據(jù)合同的目的、性質(zhì)和交易習慣履行協(xié)助、通知、保密等義務”。這就是法律上對合同相對方應承擔彼此保密義務的后合同義務法律規(guī)定，因此，銀行在為客戶辦理業(yè)務過程中，即使合同文本未提及保密義務，銀行方仍應為客戶信息進行保密。

（二）法律責任

1.民事責任：

包括侵權(quán)責任與違約責任。在《合同法》第107條規(guī)定：“當事人一方不履行合同義務或者履行合同義務不符合約定的，應當承擔繼續(xù)履行、采取補救措施或者賠償損失等違約責任”。如果銀行因違反個人客戶信息保密義務侵害了客戶隱私權(quán)等民事權(quán)益，還可能擔負賠償損失、停止侵害、消除影響、恢復名譽、賠禮道歉等等侵權(quán)責任。

2.行政責任：

包括兩方面：一是對銀行的責任，包括沒收違法所得、罰款、停業(yè)整頓、吊銷經(jīng)營許可證等；二是對直接責任人員的責任，包括罰款、取消任職資格、禁止從事有關(guān)金融行業(yè)工作等。

3.刑事責任：

《刑法修正案（七）》規(guī)定，金融單位人員，違反國家規(guī)定，將本單位在提供服務過程中獲得的公民個人信息，非法提供或出售給他人，情節(jié)嚴重者，處或單處罰金，并處三年以下有期徒刑或拘役。

三、銀行加強客戶信息保護的相關(guān)建議

（一）建立嚴格的客戶信息保護制度，對客戶信息的查詢、使用、保存、銷毀及相關(guān)責任等方面做出嚴格的制度規(guī)定

1.完善對客戶信息保密的責任制度：

老員要在離職時必須簽訂離職保密協(xié)議；每當有新員工加入公司時必須先簽保密協(xié)議，并且保密協(xié)議要說明保密義務不能對客戶信息泄露。

2.建立內(nèi)控制度，規(guī)定不能將客戶信息泄露：

梳理客戶的信息登記、流轉(zhuǎn)和分發(fā)，最后業(yè)務流程所使用的數(shù)據(jù)流向，建立必要的控制措施。要明確每環(huán)節(jié)數(shù)據(jù)保護責任人，如果確定了信息從哪個環(huán)節(jié)泄露出去，就可以對該責任人追責。

（二）對客戶信息保護的薄弱環(huán)節(jié)加強管理預防

在依法協(xié)助有權(quán)機關(guān)查詢之外，沒有經(jīng)過客戶的書面同意，不可以用任何方式給他人透露用戶的個人信息。于貸款業(yè)務的時候，另一方面欠款的催收方式也要注意。不能在過程中將用戶有的個人信息泄露出去。在銀保業(yè)務或者是理財業(yè)務等銀行的中間業(yè)務時，要在有關(guān)協(xié)議有約定的情況下或應先告知客戶并要取得客戶的書面同意后。

（三）對員工加強培訓教育，提高客戶信息保護的意識

利用培訓讓員工知道客戶個人信息的具體內(nèi)容和保密的重要性，以及泄露客戶個人信息要付法律責任。銀行工作人員必須要注意保管好工作電腦之類存儲用戶信息的工具，預防疏忽而導致客戶個人信息被他人盜取。并且建立離職員工的審查的機制，離職前要簽訂保密協(xié)議，確保用戶的信息安全。保密協(xié)議中要明確標出，離職之后若泄露客戶個人信息要負法律責任。

（四）在技術(shù)層次方面，應對業(yè)務人員利用技術(shù)的手段約束他們批量查詢客戶信息的，必須約束客戶信息導出，也要做到禁止備份

利用終端安全系統(tǒng)，禁用移動硬盤、U盤等移動設備，約束工作電腦上所安裝的軟件類型。通過技術(shù)手段，將業(yè)務網(wǎng)與辦公網(wǎng)進行物理隔離，以確保業(yè)務數(shù)據(jù)僅保存于業(yè)務工作用的電腦上，這樣確保被員不能帶走這些數(shù)據(jù)。對于IT人員，尤其是負責維護數(shù)據(jù)庫和后臺系統(tǒng)的IT人員。因為數(shù)據(jù)庫中有客戶信息，應對這些IT人員的權(quán)限進行嚴格控制，還要對他們操作進行嚴格實時的審計和監(jiān)控，預防IT人員利用技術(shù)手段對客戶信息將客戶信息竊取或進行未授權(quán)操作。

參考文獻：

[1]擺曄.金融消費者保護工作淺析——銀行客戶信息保護的現(xiàn)狀與思考.時代金融.2013（8）.

[2]張煒.商業(yè)銀行個人客戶信息保護法律問題研究.金融論壇.2013（4）.

[3]吳建、邵豐.中小銀行客戶信息保護四難題.金融電子化.2013（2）.

[4]馮劍蕾、蔡立晶、周期律.商業(yè)銀行客戶信息保護策略研究.金融科技時代.2014（6）.

[5]董紀昌、焦丹曉、張欣、宋子健、李秀婷.大數(shù)據(jù)金融背景下商業(yè)銀行客戶信息保護研究.工程研究-跨學科視野中的工程.2014（3）.

[6]章倩.對商業(yè)銀行客戶信息保護體系建設的思考.中國金融電腦.2014（8）.

[7]林貝金.銀行客戶金融信息的法律保護研究.西南財經(jīng)大學.2006.

[8]張璇.銀行客戶金融隱私權(quán)的法律保護制度研究.廣東商學院.2012.

[9]吳舟.論銀行客戶信息的民法保護.廣西大學.2012.

[10]霍清楠.論銀行個人客戶信息的法律保護.西南政法大學.2014.