个信法草案征求意见与六银行遭罚四千万同天，why？

虽然告示并没有明说，这就是给草案征求意见的“大礼包”，但明眼人一下子便能看出，这就是一个树立典型、体现法律法规严厉性的操作。这也意味着，侵犯公民个人信息的行为，已经到了天怒人怨、不得不严肃处理的地步。

这也不只是我一个人这样认为，在咱们安在新媒体的诸子云会员群里，就有不少安全行业的专家大咖，持有同样的观点，总体上支持严厉打击侵害公民个人信息的行为。

银行作为国家重要的金融机构，在权威性上不言而喻。谁家孩子要是在银行工作，那可是街坊邻居眼中的香饽饽、有出息。在老百姓心目中，银行绝对称得上高大上，大多老百姓甚至会把银行当成政府组成部门的一部分。

然而呢，你要是知道某些银行也干着些偷鸡摸狗的勾当，比如侵害消费者个人隐私信息、变卖客户信息等，是不是其高大上的形象一下子就轰然坍塌了呢？

所以说，银行就该有银行的样子，你既然必须是高大上的形象，那就得有相应的规范约束，商业举止也要有个伟光正的样子。那些见不得光的事，小商小贩做做也就罢了，你银行掺合什么劲呢？你背后可是代表的国家形象，也享受着国家政策福利，吃相不能太难看。

说起这事，其实前段时日，人民银行相关分支机构就依法对部分金融机构侵害消费者金融信息安全行为立案调查，于是有了六家银行分行被处罚的公示，即依据《中华人民共和国消费者权益保护法》《中华人民共和国反洗钱法》有关规定，分别对农业银行吉林市江北支行、中国银行石嘴山市分行、建设银行德阳分行、建设银行娄底分行、建设银行东营分行、建设银行建德支行及相关责任人予以警告并处以罚款，处罚金额合计达4188万元。

其中，农行吉林市江北支行的处罚理由为，侵害消费者个人信息依法得到保护的权利和违反反洗钱管理规定、泄露客户信息，受警告及1223万元罚款处罚，相关责任人罚款从1.75万元到3万元不等。

其余分行或支行的处罚理由均为，侵害消费者个人信息依法取得保护的权利，其中建行德阳分行的处罚金额最高，为1406万元，也是此轮处罚公示中的最高处罚金额。

我们不妨列个图表，看看这六家银行究竟搞了啥玩意儿，又受到了怎样的处罚。

据悉，人民银行在依法作出行政处罚的同时，约谈相关金融机构，责令其立即整改。

相关金融机构高度重视检查中发现问题的整改工作，聚焦具体问题，进一步规范个人信息管理机制，并对有关责任人员进行了严肃问责。

今年5月7日，我们安在就发布了一篇文章《池子怒斥中信银行与“大客户”侵犯隐私，咱们“小虾米”敢吗？》，就提到了中信银行公然侵害著名脱口秀演员池子的案例。

你看，银行连知名人士的隐私信息都不放在眼里，更何况咱们普通人呢？

事实上，银行侵犯客户隐私并被罚款的案例早已有之，不妨看看近两年来的随手统计案例：

其中，2018年6月至10月近四个月间，全国至少26家银行被罚。其中，8家银行因未经客户本人同意或书面授权被罚。在这26起行政处罚中，银行最低被罚款1万元，最高被罚款50万元。直接责任人被移交公安机关。

对比如今的罚款情况，是不是发现一个问题，罚款金额明显上升了。

以往的罚款，往往是几万几十万地罚，比起银行的获利，可能更多地是挠痒痒。而如今，动辄数百万乃至上千万地罚款，效力顿时大不相同。

因为根据以往法律法规，银行泄露用户隐私信息，如根据刑法及相关司法解释，非法提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的，即可构成非法侵犯公民个人信息罪，如果将履行职责或者提供服务过程中获得的个人信息出售或者提供给他人的，达到25条即可构成犯罪。根据《消费者权益保护法》，经营者侵犯个人信息的，可处50万元罚款。根据《网络安全法》，非法向他人提供个人信息的，可处100万元罚款。

即100万元就属于顶格罚款。而如今呢？

草案规定，有前款规定的违法行为，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。

草案比起以往的法律法规，可谓是不设顶格，就算5000万也不是顶格。并且对责任人的罚款，以往都是几万元的小打小闹，而如今直接到了100万顶格。这就算对于银行高管来说，也是相当伤筋动骨的罚款。

在普罗大众的认知中，银行是安全和信用的象征。但近些年来，银行泄露个人信息的事情时有发生，不得不说是对银行形象的一次次暴击，如今已经到了不得不重惩的地步。

银行收集个人信息必须尽到保护义务，防止信息被泄露、被窃取，更不得主动泄露个人信息。如果不注重保护个人信息，甚至故意泄露信息，利用所掌握的信息从事违规活动的话。既严重侵害客户的合法权益，更会引发公众对银行管理水平、风控能力的怀疑，甚至引发公众对整个银行行业的质疑。

事实上，我国对个人信息，尤其是财产信息的保护一直都比较严格。根据有关规定，除存款人本人外，只有司法机关、税务机关等法律授权的机关方可依照程序查询储户个人信息。就算是用人单位，也无权擅自查询、披露员工储户的个人信息。

近年来，金融机构消费者金融信息保护意识不断增强，管理水平不断提升。但也有部分金融机构工作人员无视法律和规定，严重侵害了消费者金融信息安全权，甚至泄露履行反洗钱职责获得的相关信息，反映出部分金融机构的金融消费权益保护意识不足，内部控制仍需持续强化。

人民银行高度重视消费者金融信息保护和反洗钱信息保密工作，坚持对侵害消费者金融信息安全行为“零容忍”，对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。

下一步，人民银行将进一步强化消费者金融信息安全监管和反洗钱信息保密工作，督促金融机构履行主体责任，持续完善有利于保护消费者金融信息安全和落实《反洗钱法》信息保密要求在内的各项金融消费者权益机制，切实保护金融消费者长远和根本利益。

由此看来，两件事撞在同一天，用意显而易见，就是震慑其他银行以及所有接触到公民隐私信息的企业机构，谁要是觉得草案是闹着玩的，那下场并不比这六家银行好的哪里去。

当然，有可能还是会存在一些愣头青，非得挑战一下法律的权威，继续我行我素，那么，接下来5000万的罚款或许会挂在新闻头条上。不过，我们自是极不愿意看到这样的事情发生。

草案一出，重罚一到，公民个人信息得到更好保护的朗朗乾坤，指日可待，我们也拭目以待。

一、此次部分金融机构侵害消费者金融信息安全权的案件情况

人民银行一直高度重视消费者金融信息保护工作，坚持对侵害消费者金融信息安全行为“零容忍”，对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。

前期，部分媒体报道了个别金融机构员工涉嫌泄露消费者金融信息。人民银行依据属地原则调查立案，发现涉案金融机构存在侵害消费者金融信息安全权的行为，依法依规对涉案金融机构严肃查处。

人民银行在依法作出行政处罚的同时，责令涉案金融机构以此为戒，全面排查消费者金融信息保护安全隐患，及时进行整改。

一是在制度建设层面，明确要求其进一步健全完善消费者金融信息收集、保存、使用、对外提供等环节的内控制度，采取有效措施将各项制度落到实处。

二是在系统建设方面，金融机构要持续改进完善业务系统和反洗钱系统，建立用户异常行为监测模型，定期监测并堵塞系统存在的技术漏洞等安全隐患；完善系统功能模块，确保系统生成日志能及时、准确、全面地记录信息数据的查询和下载操作。特别是要畅通系统使用人员的意见反馈渠道，避免业务、技术“两层皮”的现象。

三是在人员管理方面，要不断强化相关措施。对接触消费者金融信息的岗位人员合理设置权限，并采取内部审批等有效措施进行权限控制，全面开展员工业务培训和警示教育工作，有效避免泄露消费者金融信息行为的再次发生。

截至目前，各涉案机构均已进行整改和问责，进一步健全消费者金融信息保护内部控制机制，完善信息安全技术防范措施，强化从业人员消费者金融信息安全意识。

二、金融机构在消费者金融信息安全管理上应承担哪些主体责任？

总体上看，近年来金融机构消费者金融信息保护工作取得了许多成效。但从这次事件看，暴露出部分金融机构金融消费权益保护意识不足，消费者金融信息保护工作机制落实不到位，内部控制仍需持续强化，技术安全防范能力有待进一步提升等问题。

保障消费者金融信息安全是金融机构的法定职责，金融机构要切实履行主体责任。

一要强化全流程管控，将法律法规和监管要求逐项分解落实到业务运行的各个环节，细化到业务岗位职责中。

二要加强员工教育，强化对中高级管理人员和基层业务人员的消费者金融信息安全教育，培养消费者金融信息安全红线“不能碰、不想碰”的底线思维。

三要规范员工行为，合理设置分级授权，完善授权审批流程，避免消费者金融信息使用环节“一手清”。

四要加强技防手段，及早发现风险隐患。

五要平衡发展与安全的关系，不能以牺牲消费者金融信息安全为代价换取业务发展。

六要发挥投诉预警纠偏作用，主动查找漏洞或薄弱环节，及时研究问题，填补管理漏洞，消除风险隐患。七要强化责任追究，对有关责任人员要予以严肃处理，强化震慑。

三、人民银行在消费者金融信息保护方面开展了哪些主要工作？

近年来，人民银行积极推动消费者金融信息保护制度建设，出台消费者金融信息保护规范性文件，要求金融机构严格防控金融消费者信息泄露风险，保障金融消费者信息安全。

为进一步加强消费者金融信息保护力度，提升消费者金融信息保护法律法规层级，《个人金融信息（数据）保护试行办法》《中国人民银行金融消费者权益保护实施办法》已列入人民银行规章制定工作计划。

其中《中国人民银行金融消费者权益保护实施办法》已于9月18日发布，自11月1日起施行，该实施办法在延续原有的金融信息保护专章的基础上，以实现保护金融消费者信息安全权为目的，从信息收集、披露和告知、使用、管理、存储和保密等方面进行了优化。

人民银行坚持对侵害消费者金融信息安全行为“零容忍”，对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。自2013年以来每年均开展以消费者金融信息保护为主要内容的监督检查工作，严肃查处相关机构在消费者金融信息保护方面的违法违规行为。

此外，还不断提高非现场监管水平，通过金融消费权益保护评估等方式，对金融机构进行持续、动态监测。对金融机构超范围收集、非法存储、超范围使用或者泄露消费者金融信息等违反消费者金融信息保护规定的行为依法进行严肃查处，强化对信息违法违规行为的震慑力。

在普及金融知识和消费者教育方面，人民银行开展了内容丰富、形式多样的活动，提升金融消费者对个人金融信息的自我保护和防范诈骗等风险意识。

四、金融机构在反洗钱信息保密方面应承担哪些法律义务？人民银行在这方面开展了哪些主要工作？

《反洗钱法》第五条明确规定对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息，应当予以保密；非依法律规定，不得向任何单位和个人提供。

目前金融机构反洗钱信息保密方面的要求主要包括：金融机构及其工作人员对依法履行反洗钱义务获得的客户身份资料和交易信息应当予以保密，非依法律规定，不得向任何单位和个人提供；

金融机构及其工作人员应当对依法履行大额交易和可疑交易报告义务获得的客户身份资料和交易信息，对依法监测、分析、报告可疑交易的有关情况予以保密，不得违反规定向任何单位和个人提供；

金融机构应采取必要管理措施和技术措施，防止客户身份资料和交易记录的缺失、损毁，防止泄露客户身份信息和交易信息；

金融机构应当对本机构的监测标准及监测措施严格保密，建立相应制度或要求规范监测标准的知悉和使用范围；

金融机构不得向客户或其他与反洗钱工作无关的第三方泄露客户风险等级信息。

人民银行不断加强反洗钱信息保密制度执行情况的监督管理，始终保持对反洗钱信息泄露的执法警惕，将金融机构履行反洗钱信息保密义务作为风险评估、分类评级、执法检查、行政处罚、监管走访等日常监督管理的重要内容，持续加大对金融机构履行反洗钱信息保密义务的监管力度，不断压实金融机构反洗钱信息保密的主体责任。

在反洗钱信息保密宣传培训方面，人民银行持续拓宽宣传思路，创新宣传形式，全面提高全社会的反洗钱保密意识；督促金融机构有效开展反洗钱信息保密教育培训，强化典型案例警示教育，切实提升金融从业人员反洗钱信息保密意识。

五、金融消费者应该如何保护自己的消费者金融信息安全？

消费者金融信息，一般包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。这些重要信息一旦泄露，可能导致金融消费者自身以及家人、亲友的精神、名誉、财产遭受损害。金融消费者保护自己的消费者金融信息安全，重点要把握好以下几个方面：

一是要保管好身份证件、银行卡、银行（支付）账户等，不要转借他人使用；

二是切勿向他人透露个人金融信息、财产状况等基本信息，不要随意在各类线上线下渠道留下个人金融信息；

三是尽量亲自办理金融业务，切勿委托不熟悉的人或中介代办，谨防个人金融信息被盗；

四是提供个人身份证件复印件办理各类业务时，要在复印件上注明使用用途；

五是不要随意丢弃刷卡签购单、取款凭条、信用卡对账单等，及时销毁作废的金融业务单据；

六是不要轻易点击来历不明的手机短信、邮件和不明链接，不要随意扫描来历不明的二维码，谨慎使用公共WIFI、免密WIFI；

七是发现个人金融信息泄露风险，要及时联系公安等部门维权。