2021 年第 2期(总第 2期)
近年来,个人信息泄露被用于电信诈骗、非法集资等违法犯罪的占比较高。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(2021年11月1日起施行),实现个人信息保护的法律化、统一化和精细化,将个人信息保护真正纳入法治轨道。《中华人民共和国反洗钱法》及其配套法规规章对于个人信息保护也有相关规定,如“对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密”、“违反保密规定,泄露有关信息按规定进行处罚”。本文选取两起客户信息泄漏处罚案例从反洗钱角度进行剖析,并提出相关风险防范建议。
一、案例及处罚情况
(一)相关案例
案例一:2020年10月,某行支行员工违反反洗钱管理规定,泄露客户信息,导致该支行被中国人民银行警告并处罚款1223万元,同时负有直接责任的员工被处以3万元罚款,时任支行行长、副行长、业务主管分别被处罚1.75万元罚款。
本案处罚理由为违反《中华人民共和国反洗钱法》第三十二条第(五)项“违反保密规定,泄露有关信息”,且存在侵害消费者个人信息的行为;另外,本案处罚金额超千万,远远高于往年违反反洗钱保密规定的处罚金额。
案例二:黄某是浙江某银行员工,犯罪嫌疑人徐某利用黄某在银行工作、可以接触到公民产调信息的便利,以50元/条的价格购买黄某从银行窃取的公民产调信息(涉案信息为206条);徐某将上述信息转手倒卖给邓某、赵某等人并从中赚取70元/条的差价。邓某将购买来的信息以200元/条出售获利;赵某将购买来的信息以200元卖给郭某,郭某再加价至380元/条出售获利。上述案例操作流程图如下:
非法获取、贩卖或者提供公民个人信息且情节严重的,将承担刑事责任。银行工作人员利用管理漏洞,盗窃客户信息并牟利,丧失基本道德;个人以购买方式非法获取公民个人信息并向他人出售,构成侵犯公民个人信息罪,上述行为均应受到相应惩罚。
(二)相关处罚
反洗钱法律法规规定反洗钱保密范围包括但不限于客户身份信息及资料、账户交易流水、大额和可疑交易报告及工作记录、客户风险等级、可疑案例监测模型、黑名单信息、洗钱风险评估、反洗钱分类评级结果、反洗钱协查信息等相关内容,保密规定贯穿客户业务关系建立、存续及结束的整个生命周期。泄露客户身份信息的行为违反反洗钱相关规定,因违反反洗钱保密规定被处罚的案例如下:
| 当事人 | 违法类型 | 处罚内容 | 处罚机关 | 处罚日期 |
| 某行支行营业室 | 违反反洗钱管理规定泄露客户信息 | 警告并处罚款1223万元(直接责任人员3万元,时任支行行长、副行长、营业室业务主管分别处1.75万元) | 中国人民银行吉林市中心支行 | 2020年10月20日 |
| 某省农村信用合作社联合社 | 违反保密规定等原因 | 处罚130.7万元 | 中国人民银行武汉分行 | 2018年12月25日 |
| 某银行杭州分行 | 违反保密规定泄露有关可疑交易、配合中国人民银行调查可疑交易活动等有关反洗钱工作信息 | 处罚44万(个人4万)元 | 中国人民银行杭州中心支行 | 2018年12月24日 |
二、风险提示与建议
上述案件及巨额罚款均涉及信息泄露,侵害消费者个人信息依法得到保护的权利,同时也违反反洗钱相关规定。2020年12月,中国人民银行下发《关于进一步加强反洗钱信息安全保护工作的通知》,中国人民银行一直高度重视消费者金融信息保护工作,坚持对侵害消费者金融信息安全行为“零容忍”,坚决依法严厉打击。结合上述案件情况和相关文件规定,对公司防范此类风险建议如下:
建议一:加强重视,将信息安全工作纳入统一管理
一是将反洗钱信息安全纳入信息安全整体统一管理,指定专门部门具体承担反洗钱信息安全工作职责。
二是明确内部涉及反洗钱信息处理不同岗位的安全职责,建立相应的内部制度,确保公司各层级、各业务条线高效履行反洗钱信息安全保护职责。
建议二:加强系统防范,提升权限管理,严格内外区别
一是将反洗钱信息安全要求纳入反洗钱相关系统开发、设计、测试、使用等各个阶段,在系统建设时对信息保护措施同步规划、同步建设和同步使用。依据反洗钱非现场检查规范开发反洗钱信息治理工具,实现反洗钱信息治理系统化,减少对电子表格的依赖,降低信息被泄露或贩卖的可能。
二是对接触客户信息的岗位人员合理设置权限,并采取内部逐级审批等有效措施进行权限控制。严格区分内外网的使用,做好数据存储工具管理,严格控制保密数据的外发。
建议三:加强培训,提高意识,严格问责
一是通过入职培训、集中宣传、警示教育及案例剖析等方式,不断强化员工的反洗钱合规意识、风险意识、信息安全保护意识,向员工灌输泄露反洗钱信息是侵害消费者权益的违法行为,提高员工的保密意识,规范员工客户服务话术,减少不规范沟通导致的信息泄露。
二是将反洗钱信息安全保护工作作为内部监督检查和审计的重要内容。监督检查和审计发现存在非法查询、下载、出售客户信息,或非法泄露客户洗钱风险等级、可疑交易、反洗钱调查等反洗钱信息的,要立即采取相关处置措施,严肃追究相关人员的责任。进一步完善内部奖惩机制,将反洗钱信息安全的履职情况有机嵌入内部奖惩考核。