构建个人金融信息合规路径  —— “池子事件”引发的启示

吴月琴律师团队 陈嘉龙律师

引言：

2020年5月6日，脱口秀演员池子（本名王越池）发长文指责上海笑果文化传媒有限公司（“笑果文化”）侵权，引发了社会大众对于个人信息，尤其是个人金融信息安全问题的担忧。个人金融信息直接关系到个人的财产安全问题，信息敏感程度较高。金融机构及其他企业因内部个人信息保护合规机制不完善、执行不到位等情况，导致公民个人金融信息泄露，进而导致个人财产的损失时有发生。在个人信息保护立法日趋严密的今天，金融机构及相关企业、组织，应当更加重视公民个人金融信息保护，致力构建和完善数据合规路径。

一、事件概要

池子原先是笑果文化的员工，双方因拖欠演艺报酬问题发生纠纷，池子提出了仲裁申请。2020年5月6日，池子通过微博发布声明，称在此次仲裁中，笑果文化提交了自己在中信银行的个人账户交易明细作为证据。而池子本人并未授权中信银行上海虹口支行出具这份交易明细。也就是说，中信银行私自调取个人账户的交易明细，并且还将该明细交给笑果文化，是严重“侵犯个人隐私”的行为。据池子个人与中信银行的沟通了解到，中信银行对于这一行为的解释是“这是配合大客户的要求”。

在该消息发布以后，在微博上引起了巨大轰动。许多网友对于中信银行的行为表示震惊以及愤怒。并且对于中信银行对个人信息的保护产生了质疑。5月7日凌晨1时，中信银行发表了道歉信，宣布对于涉事的相应员工进行处分，支行行长予以撤职。针对客户信息保护方面，中信银行称，银行建立了一整套保护制度及流程，个人信息的保护制度是严格制定的，但是在执行的过程中，产生了个别员工未严格按照制度操作，反映出其个别机构在制度执行上不到位。

5月7日下午，上海银保监局透露已经关注中信银行泄露用户个人账户交易信息的事件，并且正式介入调查这一案件。

二、事件分析

（一）个人金融信息保护相关规定

1.对于“个人金融信息”的界定

首先是关于“个人金融信息”的界定。根据央行颁布的《关于银行业金融机构做好个人金融信息保护工作的通知》（银发[2011]17号）（以下简称“《个人金融信息保护通知》”），个人金融信息包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息等。其中，个人账户信息，包含账号、账户开立时间、开户行、账户余额、账户交易情况等。本次事件中，遭泄露的是池子个人账户的交易情况，根据前述规定，这部分信息毫无疑问属于个人金融信息，受到法律法规等的保护。

2020年发布的《个人金融信息保护技术规范》（JR/T0171-2020）旨在规范相关金融机构等主体的收集、使用个人金融信息等行为，其中对于“个人金融信息”的定义也明确包括账户信息。该规范根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。其中，C2 类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成一定危害[i]。其中就包括了用于金融产品与服务的关键信息，如交易信息（如交易指令、交易流水、证券委托、保险理赔）等。池子事件中涉及到的个人账户交易明细属于C2类别的个人金融信息。

2020年9月，央行发布了《金融消费者权益保护实施办法》（人民银行令[2020]第5号）。其中，将“消费者金融信息”定义为：银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息[ii]。据此，我们认为池子事件中泄露的个人账户交易明细应当也属于“消费者金融信息”范畴。

2.对于“个人金融信息”的保护要求

池子事件的本质是个人金融信息保护问题。针对个人金融信息保护，有关部门有着严格要求。按照《商业银行法》第29条规定，商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。《储蓄管理条例》第32条规定了储蓄机构及其工作人员对于储户的信息负有保密责任，除法律、行政法规另有规定外，不代任何单位和个人查询、冻结或划拨储蓄存款。

2011年央行发布的《个人金融信息保护通知》要求，银行业金融机构应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用。在使用个人信息的时候，必须经过相关当事人的书面授权或者同意。2012年，央行发布《关于金融机构进一步做好客户个人金融信息保护工作的通知》（银发[2012]80号），再次重申各银行业金融机构不得向任何单位和个人出售客户个人金融信息，不得违规对外提供客户个人金融信息。此外，前文提到的《金融消费者权益保护实施办法》也明确规定，银行、支付机构及其工作人员应当对消费者金融信息严格保密，不得泄露或者非法向他人提供。

在本次事件中，如果根据既有的事实情况来看，中信银行未经池子同意，将池子的个人账户交易明细提供给笑果文化。作为信息主体的池子全程处于不知情的状态，从未出示过任何书面的授权或者同意书，那么中信银行的操作方式很可能已触犯了上述的法律规范。

（二）中信银行承担的责任分析

根据前文讨论，如果中信银行本次行为构成对池子个人金融信息的侵犯，其需承担的责任可主要分为民事责任、行政责任和刑事责任来进行分析。

首先，中信银行可能构成民事违约责任。一般情况下，银行向用户提供开户及储蓄服务，双方会签订相关的协议，由银行来为用户设立账户并且进行管理。根据协议，作为账户管理/托管一方，银行有义务对用户的相关个人基本信息（包括金融信息）进行保护。通常这种保密的义务会写在双方签订的协议中，而在本次事件中，中信银行显然没有尽到自己的保密义务，需要就此承担民事违约责任。

其次是行政责任和刑事责任。《商业银行法》明确规定，商业银行非法查询个人存款、对个人造成财产损害的，需承担相应的行政责任[iii]。《储蓄管理条例》规定金融机构泄露储户情况或者未经法定程序代为查询、冻结、划拨储蓄存款的，需承担行政责任，情节严重的，将依法追究刑事责任[iv]。

《个人金融信息保护通知》规定，银行业金融机构存在违反该通知规定，或存在其他未履行个人金融信息保护义务情形的，需承担相应后果（包括限期完成整改等），如涉嫌犯罪的，应依法移交司法机关处理。

刑事责任方面，《刑法》第253条规定了“侵犯公民个人信息罪”，犯罪行为包括“违反国家有关规定，向他人出售或者提供公民个人信息”，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。第253条第2款着重指出，“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚”。

另据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释[2017]10号），《刑法》第253条所指的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，其中包括个人财产状况。据此，我们理解，公民个人的银行交易明细应属于此范畴。

根据该《解释》，向特定人提供公民个人信息的，或未经被收集者同意，将合法收集的公民个人信息向他人提供的，都属于《刑法》第253条规定的“提供公民个人信息”。结合本次事件，我们认为，中信银行本次行为应构成“在提供服务过程中获得的公民个人信息提供给他人”的情形。

但刑法对于侵犯个人信息罪的认定标准还有一点是需要达到“情节严重”的，这一标准的认定很大程度上依据侵犯的个人信息数量的多少。对于《刑法》253条的“情节严重”，前述的《解释》认为，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，如果是财产信息的，需达到一定的数量要求[v]。2018年最高检发布的《检查机关办理侵犯公民个人信息案件指引》也对“情节严重”的审查认定予以明确，指引认为在信息类型和数量方面，对于行踪轨迹信息、通信内容、征信信息、财产信息等与公民人身、财产安全直接相关，数量标准为五十条以上，且仅限于上述四类信息，不允许扩大范围。目前，在池子事件中只是涉及到了池子一人的账户交易信息，虽然池子方出具的律师函中提到中信银行已提供五十条以上信息，但仅凭这一点可能并不足以达到情节严重的认定标准。

中信银行此次行为是否构成《刑法》第253条的“情节严重”，需要结合其他因素，包括违法所得（如有）、信息用途、主体身份、主观恶意等方面进行认定。

（三）中信银行可能提出的抗辩理由

目前，有关部门正在对本案进行调查，对于中信银行的责任认定，仍需结合本案事情情况及相关证据作出判断。但中信银行是否有可用来抗辩的理由呢？

根据前述讨论，中信银行未经池子同意，将池子的个人账户交易明细提供给笑果文化，可能构成侵犯个人金融信息。但从另一个角度分析，中信银行是否可能以此为抗辩理由：即中信银行只是向笑果文化提供其（笑果文化）公司自己的流水，但其中显示了池子部分流水信息。

《商业银行法》、《储蓄管理条例》以及央行《个人金融信息保护通知》等都没有对账户权利人查询自己账户进行任何规定，其中也并未禁止哪些场合、内容、方式是权利人查询自己账户时不应当出现的。但从诉讼法角度而言，权利人查询自己的账户信息是民事诉讼法赋予的权利。因此，中信银行完全可以主张笑果文化是合法行使自身的权利，并以此作为抗辩理由。

但即便如此，司法实践中，我们认为应当考虑这种查询行为是否过当，即如何合理地展示带有他人个人信息的自身财产信息的同时，不至于侵害他人个人信息。

就本次事件而言，我们认为，如果笑果文化仅是自查账户，其中涉及到池子的个人金融信息，那么中信银行应将池子的这部分信息应最低限度（或者说是无法切割、屏蔽处理的部分）展现给笑果文化。如果超出必要的限度向笑果文化提供池子的个人交易信息，那么依然将构成侵权。

不管从何种角度，池子事件中引起了舆论轰动，致使社会公众对商业银行能否保障个人金融信息安全产生了极大质疑，并直接造成了社会公众对银行等金融机构的信任度下降。池子事件后，不管是金融机构还是普通非金融企业，做好个人金融信息合规工作，显得十分必要。

三、事件评析与启示

（一）金融机构数据合规启示

银行等金融机构应当完善数据合规制度，并且严格执行。对于商业银行这一类的金融机构，是直接接触公民个人金融信息最多的一方主体。这一类金融机构担任着最应当守住保护个人金融信息的角色。其本身就应当建立起至少三道内部的个人金融信息的保护防线。

首先，在收集个人金融信息的时候，应当与相关的当事人签订完备的收集、储存个人金融信息的需知协议，建议尽量采用对于当事人而言，简洁易懂的方式告知，对于个人金融信息的收集方、使用方都明确进行披露，得到当事人的书面授权或者书面同意，确保在信息收集的阶段各种必要的行为都合规。

其次，对于需要调取、使用金融信息的情形，应当建立完善的内部申请、审批审核机制，设置专门负责个人金融信息管理的信息专员。具体而言，在个人金融信息分级的基础上进行分类分级管理。对于C1、C2、C3不同等级的信息设立不同的访问限制。在信息所属本人的书面授权或者同意的情况下，C1等级敏感度的信息需要主管级别的员工书面审批以后，由信息专员调取相关信息，一对一传送到需要的地方。C2等级的信息则需要同时具备两名主管级别以上的员工书面审批，再由信息专员负责调取。以此类推，C3级别信息则需要更加严格的把控，可以选择由更高级别的管理人员进行把关和审批。在信息专员提供给第三方主体的过程中，首先需要对信息进行加密处理，避免有其他恶意的主体有机会获取到信息。并且，针对该金融信息，采取信息脱敏技术，抹去信息的可识别性，使通过其他渠道获取到该信息的人不能够从该信息中锁定任何具体的人员，也能达到对金融信息的保护。

除此以外，金融机构应当建立严格的责任追究机制。从具体的实施方式来看，应当对内部的工作系统进行把控，设计出能够记录所有金融信息访问的程序，所有收集、访问、调取以及使用的记录都能够保留，以保证在信息泄露的情况下可以追踪到泄露的源头。对于所有能够接触金融信息的员工，在上岗前进行个人金融信息保护相关的培训，避免相关员工存在对自身行为是否侵犯他人的个人信息不知情的情况。对于已经发生的个人金融信息泄露事件，要立刻启动追责机制，找出泄露的源头，内部进行严重的处分或者开除。对于触犯到刑法的相关规定的，应当及时报案。

最后，对于日常的个人金融信息的保护工作，要进行定期的检查和评估。对于相关的工作应当进行反馈，针对信息保护有工作上的不足以及优化建议都进行一定的调整，形成完备的内部合规机制。

（二）企业数据合规启示

除金融机构以外，其他企业也应当做好个人信息保护的措施，建立数据合规的一整套机制。具体可以划分为企业内部员工的个人信息机制以及企业的业务中所接触的个人信息保护机制。

针对企业内部员工的个人信息保护，企业保管员工的个人信息应当有完备的方式。对于纸制的个人档案，应当有专门设立的档案室，严格设置进入的权限，对于资料的获取以及复印等行为要进行严格的登记和审批。对于电子的档案，企业应当在内部的系统中设立访问权限，相应地一并设置准入的流程，对于所有涉及到个人信息的行为保留记录。同时，也要设立事后的追责机制，在企业出现员工个人信息的泄露之后，对涉事的相关人员处以处分等处罚，严重的应当予以解除劳动合同。相应的这一系列流程和要求，应当写入员工入职时所签订的劳动合同中，并且在员工的手册中也具体说明，经过内部的公开披露流程，确保每一位员工都应当知道企业的相关规定。

针对企业在业务中所接触以及收集的个人信息，企业也应当有相应的机制进行信息保护以及管理。尤其是针对一些互联网的企业，例如开发APP的企业会要求收集用户的个人信息，并且收集到的个人信息数量非常庞大。那么对于这一部分的个人信息管理，也是同样地建立起相应的审批制度、追责制度等。有关信息进行传输的时候，要经过严格的加密措施，只有信息的获取方才能进行解密和获取。在这一基础上，对于已经不需要保存的个人信息，企业应当做及时处理，进行不可恢复的销毁措施，防止其他主体有机会获得这些信息。

四、总结

“池子事件”的出现的确让社会大众对于个人信息，尤其是个人金融信息的安全问题产生了极大的信任危机。说明了这一方面的监管是有较大的漏洞的，并且有许多不合规的操作。但也正因为此次事件的出现，引起了社会各个方面的重视，无论是政府部门、金融机构、其他企业还是个人，都在为如何更好地保护个人金融信息进行思考，作出改变。希望能够借此契机，相关机构都能够建立严格的个人金融信息合规制度，并且加强执行力度，确保个人金融信息的安全，防止公民的个人财产安全、人身安全受到侵害。

[i] 《个人金融信息保护技术规范》第4.2 b

[ii] 《金融消费者权益保护实施办法》第28条

[iii] 《商业银行法》第73条规定，商业银行有下列情形之一，对存款人或者其他客户造成财产损害的，应当承担支付迟延履行的利息以及其他民事责任：（一）无故拖延、拒绝支付存款本金和利息的；（二）违反票据承兑等结算业务规定，不予兑现，不予收付入账，压单、压票或者违反规定退票的；（三）非法查询、冻结、扣划个人储蓄存款或者单位存款的；（四）违反本法规定对存款人或者其他客户造成损害的其他行为。有前款规定情形的，由国务院银行业监督管理机构责令改正，有违法所得的，没收违法所得，违法所得五万元以上的，并处违法所得一倍以上五倍以下罚款；没有违法所得或者违法所得不足五万元的，处五万元以上五十万元以下罚款。

[iv] 《储蓄管理条例》第34条规定，违反本条例规定，有下列行为之一的单位和个人，由中国人民银行或其分支机构责令其纠正，并可以根据情节轻重处以罚款、停业整顿、吊销《经营金融业务许可证》；情节严重，构成犯罪的，依法追究刑事责任:
　　（一）擅自开办储蓄业务的；
　　（二）擅自设置储蓄机构的；
　　（三）储蓄机构擅自开办新的储蓄种类的；
　　（四）储蓄机构擅自办理本条例规定以外的其他金融业务的；
　　（五）擅自停业或者缩短营业时间的；
　　（六）储蓄机构采取不正当手段吸收储蓄存款的；
　　（七）违反国家利率规定，擅自变动储蓄存款利率的；
　　（八）泄露储户储蓄情况或者未经法定程序代为查询、冻结、划拨储蓄存款的；
　　（九）其他违反国家储蓄法律、法规和政策的。

[v] 最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定：非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：
　　（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；
　　（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；
　　（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；
　　（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；
　　（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；
　　（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；
　　（七）违法所得五千元以上的；
　　（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；
　　（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；
　　（十）其他情节严重的情形。