中信银行员工涉嫌泄露倒卖个人征信信息 被央行通报
在大数据时代,个人信息安全隐患如同悬在每个人头上的“一把刀”。除快递、电商、电信等行业之外,安全等级相对较高的银行也成为泄露个人信息的高发领域。
来源:新浪财经
在大数据时代,个人信息安全隐患如同悬在每个人头上的“一把刀”。除快递、电商、电信等行业之外,安全等级相对较高的银行也成为泄露个人信息的高发领域。
据新浪财经独家获悉,近期,中信银行及农业银行因下属分行工作人员涉嫌泄露倒卖个人征信信息被央行通报。
还原案件经过可见:2015年3月至9月间,中信银行大连分行东港支行、沙河口支行的两位保安戴某和韩某,利用东港支行内部管理、网络系统、监控设置上的漏洞,通过设法获知的东港支行办公电脑开机口令、网址,安装和使用征信数据批量下载工具,使用犯罪团伙上线提供的她行征信查询账户和密码,泄露倒卖个人征信信息。
而另一边,中国农业银行淄博分行电子银行部员工擅自将本人的授权用户账户、密码批量出借给开发区支行从事信用卡业务的劳务派遣员工丁某使用。2015年5月至12月期间,丁某使用上述授权用户账户和本人授权账户,利用农行贷记卡风险管理信息系统可以查询、下载征信报告至本地保存的漏洞,泄露倒卖个人征信信息。
涉事的中信银行两位保安以及农业银行丁某因涉嫌违法已被公安机关刑事拘留。上海市华荣律师事务所许峰律师告诉新浪财经,上述案件涉事人员可以对应到“向他人出售或者提供公民个人信息”情况。
根据最高人民法院、最高人民检察院联合发布《关于侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》),明确非法获取、出售或者提供公民个人信息,违法所得5000元以上即可入罪,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成被害人死亡、重伤、精神失常或者被绑架等严重后果的,依照刑法规定,处3年以上7年以下有期徒刑,并处罚金。该司法解释将于今年6月1日起正式施行。
至于上述农行案件中,电子银行部员工成为“内鬼”参与其中,《解释》明确,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,认定“情节严重”的数量、数额标准减半计算。
在大数据日益发展的时代,除了法律的护航,银监会作为银行的相关监管单位也于去年11月出台了《关于银行业金融机构客户个人信息泄露案件风险提示的通知》(下称《通知》)。
《通知》显示,彼时银行业金融机构发生多起员工违规查询、出售或非法提供个人信息的案件或风险事件,反映出银行对客户个人信息保护工作管理不严,内控制度建设执行不力等问题。
其中提出,部分银行业金融机构客户个人信息管理使用制度不健全,岗位制约和机制监督缺失,未能严格按照相关法律法规、监管要求完善内控制度建设;甚至有银行“内鬼”出售客户信息非法谋利,部分银行对员工日常行为疏于管理,个别员工在社会不法分子的利益诱惑下,利用职务之便窃取、出售或非法提供客户个人信息,形成案件风险。
另外,《通知》提到的安全隐患还包括业务外包的风险、信息系统建设应用管理不完善。银监会提示,信息在存储、传输、处理过程中,未严格建立风险防范机制,存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严,存在泄露敏感数据安全隐患。《通知》的这些提示与上述案件情况比较吻合。
为此,广东银监局曾于2016年10月至2017年4月在所辖范围内组织开展联合整治非法买卖银行卡信息专项行动,将金融消费者信息安全权保护情况作为重点考评指标。