客户信息泄露案例宣讲_客户信息泄露案例2019

公司职员把客户资料私下泄漏给其他公司以获取私利？

把客户资料私下泄露给其他公司，以获取私利，这种行为是属于一种泄露公司机密，属于一种违法行为

中信银行遭遇疯狂声讨背后：不冤，“惯犯”！多次因泄露信息被罚

文 张洋 林夏淅

编辑 ✎ 邢昀

最近银行的幺蛾子真不少。

前脚有中行原油宝事件，让投资者不仅亏了本金，还得倒贴银行一大笔；后脚中信银行被曝泄露个人账户流水，在脱口秀演员池子与其经纪公司笑果文化的矛盾中成为焦点。

原油宝事件涉及到的投资者还只是6万余户，银行流水若未经严格管控，涉及到的可就是正在吃瓜的你我他了。

这一波操作，实实在在撕开了银行的内控问题，失信于客户。目前，上海市银保监局已经介入调查。

01

配角变主角

池子与笑果文化的解约大战，更先倒下的是中信银行。

池子和笑果文化“一拍两散”，原本只是众多艺人与经纪公司合约矛盾中的一例。但池子在笑果文化寄来的材料中发现自己在中信银行的账户流水后，事情就变了味道。

大家吃瓜的主角也变成了中信银行。

根据池子的说法，中信银行为了“配合大客户要求”，未经本人要求和允许，向笑果文化提供个人账户明细。

虽然笑果文化回击称，池子未经允许擅自参加商业活动，自己委托律师 *** 处置双方经济纠纷，采取的财产保全、提起仲裁、证据收集等法律行动，均在法律及合同的框架之下进行。

不过中信银行5月7日凌晨给出的回应承认了自己的违规行为，笑果文化确实联系过开户支行（虹口支行），要求查询其为池子支付劳务工资记录，该行员工未严格按规定办理，提供了池子的收款记录。

中信银行处分了相关员工，撤了支行行长的职，并向池子进行了郑重道歉。

不过这事并没有完，中信银行这波操作秀了下限。为了服务好大客户，违规泄露客户个人账户交易明细，普通人是不是基本等于“裸奔”。

在银行里，大客户基本上是“上帝”。某银行客户经理告诉市界， 各银行支行之间或多或少会因业绩压力存在抢客户的行为，大客户自然也就有了自己的优势。

2019年4月，笑果文化完成B轮融资后，新增两位股东，注册资本从183.54万元增至189.21万元，当时媒体报道笑果文化的新估值大概在30亿元，货真价实的“大客户”。

一位银行工作人员对市界分析，流水是柜台打的，所以大客户应该找行长级别的人去查某个人流水，然后行长再去找柜员进行操作。柜员可以选择同意或拒绝，这取决于个人选择，但拒绝后确实很可能被施压。

据市界了解，柜员其实只需要根据对方姓名和身份证号就能在系统里查询到客户流水，并且不留下痕迹（各家银行系统可能有所不同）， 如果出于私下关系查询，这种行为虽然严格意义上来说也不合规，但不太会出问题，算是行业内“默认规则”。

上述银行工作人员分析，“一旦打印出来，性质就不一样了，更何况还盖上了公章”。

根据双方的矛盾点，笑果文化要求中信银行提取池子的银行流水，大概率是为了证明池子曾经参加过其他商演且获得了酬劳，或者是证明自己向池子足额支付了演出报酬。

但不管是出于哪种目的，一个关键的问题是，通过这种违规方式获得的银行流水，能够作为笑果文化在经济纠纷中的证据吗？

某执业律师告诉市界，因取证过程有问题直接导致证据作废在中国很少，这属于程序正义的做法，欧美国家的刑事案件比较重视，而国内目前更重视结果正义，只要这个证据有助于查清事实，一般不会作废。

某市中级人民法院执行庭的执行法官表示，法院也会根据材料进行调查证实，如果材料真实，就具有证明力，可以作为证据，只是出具人（银行）会受到处罚。

02

不是之一次

泄露客户信息，中信银行不是之一次，在国内也不算新鲜事。

李彦宏曾说“中国人多数情况下愿意用隐私换便利，获用户许可后可收集数据”。

他因为这句话触犯众怒，被骂得狗血淋头，但也只是骂骂而已，因为客户对公司来说，就像是放在案板上的肉。

这就是我们所处的商业环境。 客户隐私相比公司通过出卖客户信息获得的利益，就是九牛一毛，根本不值得一提。

池子有400万粉丝，可以在微博上曝光中信银行为讨好大客户泄露客户信息的行径，但大多数普通人，连信息被泄露都不知道，更别提 *** 。

实际上，银保监会和央行一直在严厉约束银行泄露客户信息行为，一旦银行违规就会受到处罚。

中信银行一份发行文件中显示，2014月1月1日至2017年8月31日，三年时间内中信银行子公司、分支机构受到银监会、央行行政处罚的案例，多达150多起，累计罚款金额为1.1亿元。

这其中有一些处罚正是因为泄露客户信息。

2014年，中信银行石家庄支行因为查询客户关联企业的信用报告，但未按规定取得信息主体书面授权，被罚款6万元。跟这次查询池子银行流水的操作如出一辙。

虽然受到处罚，但中信银行并未从中吸取教训，石家庄支行之后，太原支行、天津支行、厦门支行照样为其他人查询客户的征信或信贷信息，均遭到罚款，每笔罚金为5万元。

银行不可能不知道泄露客户信息是违规的，但依旧有动力顶风作案，恐怕区区5万罚金，跟争取大客户动辄上亿的存款相比，根本不值一提。

个人或企业信息泄露外，中信银行还有不少其他违规行为被罚。

2020年2月，北京银保监局对中信银行开出2020万元的罚单，原因包括流动信贷资金被挪用流入房地产开发公司、个人经营性贷款资金被挪用于购房、违规为房地产企业支付土地购置费用提供融资等。

在房住不炒的政策下，银行设法为房地产企业提供融资，不惜违规操作，背后仍然离不开一个利字。

Wind数据显示，中信银行近几年正处于一个相对稳定的增长状态，尤其是刚刚过去的2019年，中信银行的收入和归母净利润分别为1875.84亿元和480.15亿元，同比增速分别为13.79%和7.87%。

与五大行相比，中信银行2019年收入规模是排名之一的工商银行的1/5左右，但增长幅度已经超过了五大行。

这一波操作之后，中信银行的信任危机不知道是否会给业绩带来反噬。

03

个人 *** 之路艰难

广东圣马律师事务所丁倚健律师告诉市界，“中信银行的行为已经构成侵犯个人信息罪，池子还可以追究中信银行隐私权民事侵权，以及违反存款储蓄合同的责任，并寻求赔偿”。

丁倚健觉得更好的 *** 方式，就是直接将中信银行告上法院，维护自己的权益。

如果池子追究中信银行的刑事责任，根据刑法第253条规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

在美国，类似的案件，一般是通过集体诉讼的形式完成。2018年万豪集团5亿客户信息遭到泄露，几个小时后就有客户对万豪酒店提起了集体诉讼，索赔125亿美元，受影响的客户每人分得25美元。

集体诉讼让泄露信息的公司针对所有受害者进行赔偿，因此赔偿金额通常较大，会吸引律师积极参与。目前，我国并没有与美国一样的集体诉讼制度，但设立了与之类似的共同诉讼与代表人诉讼制度。

目前，更好的方式是通过消费者权益保护组织、行政机关、检察院作为代表，向泄露信息的公司提起公益诉讼。

我国之一起个人信息公益诉讼，是江苏省消费者权益保护委员会对北京百度网讯 科技 有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。

2018年1月，南京市中级人民法院正式立案，不过两个月后，鉴于百度公司对App整改到位，江苏省消费者权益保护委员会申请撤诉了。

信息泄露的问题上，个人 *** 获得的赔偿跟投入的诉讼精力不成正比，导致多数人只能选择忍耐。

而银行业务依靠信任维系，客户基于信任，把储蓄、交易信息、身份信息全部交付给银行保管，中信银行的骚操作正在让这种信任化为泡影。

阿里云用户信息泄露，再揭用户隐私保障痛点

在万物互联、全面上云的时代，用户隐私和数据安全谁来保障？

在2019阿里云峰会上海站，阿里云智能总裁张建锋提出，全面上云的拐点到了，2019年是从传统IT向云计算全面转移的分水岭。近期，阿里云被爆，就在这一年双11，该公司员工将用户信息泄露给了第三方合作伙伴。

对此，阿里云8月23日回应称，根据自查，该事件应为2019年双11前后，阿里云一名电销员工违反公司纪律，利用工作便利私下获取客户联系方式，并透露给分销商员工，从而引发一名客户投诉。

一云服务厂商人员告诉之一 财经 ，此类事件在行业中挺常见，但在大公司并不常见。

上海大邦律师事务所高级合伙人游云庭接受之一 财经 采访时表示，本案暴露出阿里云内部的数据流程管控可能存在重大问题。首先是权限设置问题，“阿里云是不是对公司的用户注册数据获取有权限设置？涉案的员工级别上是不是可以接触到这些数据？如果其权限本来就能够接触到这些数据，公司是不是对数据的访问有内部的操作记录；如果其无权接触这些数据，那么其利用了公司数据访问怎样的漏洞才能获取这些数据？”

据悉，上述电销员工是阿里众多外包员工的一员，该事件已于去年内部处理。

除了此次爆出的阿里云，互联网行业究竟发生过多少类似的案件？在互联网时代，用户基本处于“裸奔”状态，大数据知道用户喜好，掌握衣食住行各类数据，各类软件频繁监测用户行为。

在互联网信息服务投诉平台公布的2021年5月投诉情况显示，2021年5月，投诉平台共收到投诉21585件，其中，互联网企业17392件、基础电信企业4193件。在互联网企业投诉中 ， 个人信息保护类投诉2560件，占比14.7%。

除了个人，如今大部分企业都已开展云业务、进行云转型，但许多企业依旧担心数据丢失或泄露，尤其是当涉及到员工和客户的数据迁移上云时，企业会变得更加敏感。此前就有业内人士表示，一些政企客户对于互联网企业提供的云服务始终存有疑虑，担心数据问题。

而此次阿里云用户信息泄露事件也引发其他云计算用户担忧，如果注册信息都能泄漏，那在云平台存放的业务数据还能安全吗？

游云庭表示，一般而言，银行、电信企业，以及大的互联网公司都对用户注册信息的权限有非常高的级别设置，普通员工根本无法获取。“如果阿里云本身有这些权限设置，这个员工是利用编造的理由取得这些数据的，那就是其对员工的合规培训没有做好；如果阿里云内部管理比较混乱，本身员工就都可以获取用户注册信息的，那就违反了 *** 安全法相关等级保护的规定。”

《中华人民共和国 *** 安全法》第四十条规定， *** 运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

一份浙江省通信管理局7月5日对阿里云事件投诉人的答复函显示，经调查核实，2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司，阿里云计算有限公司的行为违反了《中华人民共和国 *** 安全法》第四十二条规定，根据《中华人民共和国 *** 安全法》第六十四条规定，我局已责令阿里云计算有限公司改正。

《中华人民共和国 *** 安全法》第四十二条规定， *** 运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

*** 运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

8月23日阿里云回应称：公司严禁员工向第三方泄露用户注册信息，已根据公司制度对该事件进行严肃处理，并遵照浙江省通信管理局要求积极整改，对人员管理层面上的不足进行强化改进。有阿里员工告诉之一 财经 ，公司已经做了制度和管理上的改进，包括系统权限方面。

如何减少此类事件？游云庭认为，要制定健全的信息保护制度，并且要对员工加强培训，让员工合规处理用户信息。

用户隐私近年也越来越受到重视。8月20日，《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。第十条规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。