5月9日，銀保監會消費者權益保護局發布通報：2020年3月，中信銀行在未經客戶本人授權的情況下，向第三方提供個人銀行賬戶交易明細，違背為存款人保密的原則，涉嫌違法違規，將按照相關法律法規，對中信銀行啟動立案調查程序，嚴格依法依規進行查處。

　　給錢就能“拉銀行流水”嗎?銀行等金融機構中仍存哪些個人信息保護漏洞?應如何堵住?新華社記者對此展開調查。

　　記者體驗：“付錢拉銀行流水”有真有假

　　記者調查發現，當前一些網絡平臺個人“銀行流水”信息的售價從600元至5000元不等，查詢時段為1個月至12個月，時段越長價格越高，買家只需要提供查詢對象身份證號碼就能查詢。

　　QQ名為“楊大”的賣家告訴記者，被販賣的各種個人信息中，“銀行流水”等金融信息最值錢。他表示，做這行的都得在銀行等金融機構里“有人”。

　　記者查詢中國裁判文書網發現，銀行“內鬼”參與倒賣個人金融信息的情況并不少見：中行無錫分行職工唐某某利用工作便利，將該單位在提供服務過程中獲得的5萬余條公民個人信息，通過電子郵件非法提供給他人;建行余姚城建支行原行長沈某某，將該行受理的貸款客戶財產信息共計127條提供給他人用于招攬業務。

　　記者還發現，由于賣家大多要求“先付款后查詢”，也有不少所謂“偵探公司”借此詐財。

　　名為“百勝私家偵探公司”的賣家向記者開價600元表示可查某股份制銀行客戶的信息。記者支付部分定金后，賣家表示40分鐘左右將會發來相關流水信息。約25分鐘后，記者發現自己被該賣家“拉黑”。

　　銀行中仍存個人金融信息保護漏洞

　　據了解，2016年以來，有關部門發現并通報一大批涉及金融等重點行業信息系統及安全監管漏洞，抓獲各行業內部涉嫌違規人員3000余名。但記者調查發現，當前銀行等金融機構中仍存一些隱患值得警惕。

　　——為“拉客戶”“沖業績”違規泄露用戶信息成部分銀行“潛規則”。浙江某農村信用社的一線柜員小張告訴記者，銀行內部只有一線柜員有權限查詢客戶流水及其他信息，且查詢時需其他員工共同授權，系統會自動留痕。

　　“但如果行長級別的領導以業務需要為名要求查詢導出某客戶流水，柜員往往難以拒絕。為‘籠絡大客戶’，而幫其私拉他人流水，這在一些銀行也不是秘密。”小張說。

　　——銀行內控漏洞致用戶信息流進“黑市”。曾在廣州某銀行任職一線柜員的周女士透露，其所在銀行的柜員可以隨意查看客戶半年內交易流水，無需授權。

　　記者還了解到，目前部分銀行對記錄客戶信息的紙質資料保護不足，未能及時銷毀或失控流出的現象時有發生。部分已“上云”的資料，也存在因操作規范執行、監督不嚴而導致信息泄露風險大增情況。

　　浦發銀行某原電銷中心業務主管任職期間違規獲取、儲存大量客戶個人信息致其全部外流入電信詐騙團伙手中。

　　——部分銀行App涉嫌過度索權致泄露信息風險上升。記者隨機測試了多款銀行App，發現其中多家存在不同程度“誘導”用戶授權獲取手機信息權限，如不同意其隱私條款則不能繼續使用。其中中信銀行、中國工商銀行等建議用戶同意讀取撥打電話及通話管理，照片、媒體內容及文件，獲取位置信息等信息，否則相關功能將無法使用。且該類授權屬于“一次授權、長期有效”，后期再使用時，系統不再提示授權。

　　北京師范大學網絡法治國際中心高級研究員臧雷表示，根據相關國家標準，金融借貸類App可以獲取的最小權限范圍為存儲權限。機構應盡量遵循最小索權原則，盡量不因存儲權限之外的權限影響用戶使用App的關鍵功能。

　　某銀行風控部門工作人員向記者透露，目前大多數銀行App都涉及技術外包合作方，盡管在遴選時對合作企業背景、安全性有一定考量，但合作企業部分員工泄露信息的風險仍然不小。

　　“目前不少銀行員工保護用戶信息安全全憑自身職業操守。”周女士說。

　　強化保護急需提升“法律+技術”防護力

　　如何才能堵上銀行等金融機構中的個人信息安全漏洞?中國人民銀行某省級分行工作人員建議，對于問題較為嚴重的銀行應追究其法律責任，不能僅“內部處理”了事。

　　專家表示，當前我國已有部分法律法規規范性文件涉及個人金融信息的刑事保護、內控制度保護和技術規范，且相關立法仍在推進中。

　　2月，央行和全國金融標準化技術委員會發布了個人金融信息保護技術規范，對金融業機構的個人金融信息保護提出了規范性要求。《個人金融信息(數據)保護試行辦法》也將在征求意見結束后正式對外發布。

　　2019年12月發布的《中國人民銀行金融消費者權益保護實施辦法(征求意見稿)》要求金融機構應當建立健全消費者金融信息保護機制。

　　2017年5月，兩高發布了關于辦理侵犯公民個人信息刑事案件的相關司法解釋，非法獲取、出售或者提供財產信息50條以上的屬“侵犯公民個人信息罪”“情節嚴重”，“處三年以下有期徒刑或者拘役，并處或者單處罰金”。

　　北京師范大學法學院數字經濟與法律研究中心主任汪慶華表示，目前的個人信息侵權民事救濟機制仍然著眼于彌補實際損失，難以對故意侵權者在法律上形成有力約束。建議對非法披露他人信息、故意侵害他人信息權利的行為設定最低賠償金額，加大懲罰力度。

　　上海段和段律師事務所律師劉春泉建議，應督促銀行篩查自身和第三方合作公司在個人金融信息采集、傳輸、維護、留痕的全流程管理中，可能出現的泄露風險點，及時更新防火墻、身份認證系統、數字簽名等安全監控技術，防止因不規范操作泄露或惡意竊取等內部人作案。