金融机构泄露个人信息，属于严重违规行为。根据《商业银行法》规定，“对个人储蓄存款，商业银行有权拒绝任 何单位或个人查询、冻结、扣划，但法律另有规定的除外”，“非法查询个人储蓄存款的，对存款人或其他客户造成财产损害的，依法承担民事责任。”《信托公司管理办法》规定, “信托公司对委托人、受益人以及所处理信托事务的情况和资料负有依法保密的义务，但法律法规另有规定或者信托文件另有约定的除外。” 

    早在 2016 年，银监会针对个人客户信息泄露风险隐患 便曾专门下发《关于银行业金融机构客户个人信息泄露案件风险提示的通知》。通知指出，部分银行业金融机构客户个人信息管理使用制度不健全，岗位制约和机制监督缺失，未能严格按照相关法律法规、监管要求完善内控制度建设。甚至有银行“内鬼”出售客户信息非法牟利。通知称，部分银行未能建立良好合规文化，客户信息保护意识淡薄，对员工日常行为疏于管理。个别员工在社会不法分子的利益诱惑下，利用职务之便窃取、出售或非法提供客户个人信息，形 成案件风险。 

    安全隐患还包括信息系统建设应用管理不完善。银监会提示，信息在存储、传输、处理过程中，未严格建立风险防范机制，存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严，存在泄露敏感数据安全隐患。 

    业务外包的风险也值得警惕。通知称，部分银行业金融 机构业务外包管控不严，责任约束机制缺失，委托代理开展 业务过程中，未能有效管控外包机构、人员非法获取、处理客户信息的行为，存在第三方泄露客户个人信息的风险隐患。此外，银监会要求各银行业金融机构进一步加强员工教育和外包行为管理，强化信息安全建设，强化内部监督，建立完善客户个人信息保护长效机制。 

    2018 年以来，各级银保监机关共处罚有关信息泄密 问题 25 次，合计罚款 1009 万元。

一、警示案例 

    案例一：彭某系＊＊银行职员。2015 年 8 月 15 日至 2015 年 9 月 1 日，彭某在银行办公内网电脑安装无线路由器，由外部人员通过该无线路由器连接银行内网，然后再进入中国人民银行征信中心，利用非正常渠道获取的软件与某柜员账号、密码，非法查询、出售他人征信报告，期间彭某累计非法所得 1.7 万元。2015 年 9 月 1 日，该银行开展安全检查发现异常，彭某如实交待了作案事实。法院最终判决彭某犯非法获取计算机信息系统数据罪，判处有期徒刑三年，缓刑三年，并处罚金人民币 2 万元，依法追缴非法所得。 

    案例二：2008 年至 2009 年，林某被劳务派遣至＊＊ 银行广东省分行担任信息技术管理部员工期间，利用工作便利非法提取、复制 850 万余条银行存款信息和 85 万余条电子银行客户信息，并通过 QQ 聊天平台向吴乙出售公 民个人信息，非法获利 8000 元。2009 年 3 月林某离职至 2010 年 4 月期间，通过 QQ 网络聊天平台多次出售其非法提取、复制的银行存款信息和电子银行客户信息，非法获利 15600 元。最终法院审理判决，林某犯出售公民个人信息罪，考虑到林某到案后如实供述犯罪事实并退缴了违法 所得，对林某酌情从轻处罚，判决有期徒刑一年，缓刑一年，并处罚金 1.5 万元。 

    案例三：2017 年 4 月，从事信用贷款、抵押贷款业务的的黄某通过朋友介绍，认识了曾在建行湛江分行工作过的王某。为获取客源，2017 年下半年，黄某要求王某 为其提供建设银行的客户资料，并答应付给王某获利的 15％作为回扣，被利益诱惑的王某擅自登陆建行内部的电 脑系统，对多个客户资料进行截图，同时将资料多次通过 电子邮箱发送至黄某，黄某再让员工利用上述信息打电话 联系客户办理贷款。      经查明，邮件中含公民姓名及电话号码等有效信息累计共计 3.15 万条，黄某因此按照获利的15％给予回扣 6500 元给王某，另支付其 3.02 万元作为介绍客户的“辛苦费”。2019 年 5 月 5 日，王某主动到公安机关投案，并于第二日向公安机关退出违法所得款 3.6 万元。检察院于 2019 年 11 月向法院对王某提起公诉。 

    公诉机关认为，王某违反国家有关规定，向他人出售 公民个人信息，情节严重，应当以侵犯公民个人信息罪追 究其刑事责任，王某对公安机关所指控事实、罪名及量刑 建议均没有异议。 

    法院审理认为，王某行为已构成侵害公民个人信息 罪，但基于王某案发后主动向公安机关投案，如实供述自 己的罪行，属自首，且已向公安机关退还违法所得款，依 法可从轻处罚。最终一审法院判处王某犯侵犯公民个人信息罪，判处有期徒刑八个月，缓刑一年，并处罚金 1 万元。 

    2020 年 12 月 31 日，湛江银保监分局以涉案银行对客户信息安全管理不到位的案由作出罚款 20 万元的行政处罚决定，而涉事人王某因泄露客户信息，则被禁止从事银行业工作 1 年。

二、启示 

    金融机构在提供金融服务时，必然会涉及客户信息的收集、传输、加工、保存和使用等环节，包括客户身份信息、财产信息、账户信息、信用信息、金融交易信息及其 他个人信息等。近年来，部分金融机构不当使用客户信息 或不法分子非法获取客户信息并盗用客户资金的案例引起了社会公众的广泛关注，不仅侵犯了客户的隐私权，也极有可能触犯刑法，构成非法提供、获取公民个人信息罪，其供职的单位将面临较大的合规风险与声誉风险。 

    《刑法》第 253 条规定，“【侵犯公民个人信息罪】 违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程 中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。” 

    对于“出售、非法提供公民个人信息罪”、“非法获 取公民个人信息罪”，目前司法解释尚未明确其追诉标准，但在实践中，一般认为出售、非法提供或获取公民个人信息数量较多，或者多次出售、非法提供或获取公民个人信息，或者因出售、非法提供或获取公民个人信息获利较多、或者因信息出售、非法提供或获取导致影响公民个人正常生活等情形，都可以认定为“情节严重”，构成犯罪。 

    可见，构成上述犯罪的门槛实际上是很低的。作为专门提供金融服务的机构，金融机构在与客户业务往来过程 中必然涉及客户信息的收集、传输、加工、保存和使用等环节。这些环节中，如果信息使用和管理不当，不仅相关当事人，而且金融机构自身以及直接负责的主管人员和其 他责任人员也可能受到刑事处罚。例如，金融机构员工不当使用或出售客户身份、各类金融资产状况和交易情况在内的信息和资料；未获得客户授权，擅自通过个人征信系统查询客户的征信状况；未得到客户允许，擅自与其他可能持有公民个人信息的单位合作，获得个人信息办理业务；在业务办理过程中，擅自留存获取客户办理该业务以 外的个人信息等。