中信银行池子案450万元罚款过高,不能作为标杆
2021-03-31 09:31:48
文章来源
第一财经

  2020年5月6日,脱口秀演员王越池发微博质疑中信银行上海虹口支行在未获本人授权的情况下,将其个人账户交易明细提供给笑果文化,侵犯公民个人信息。经舆论发酵,2021年3月19日,银保监会公布行政处罚决定书,中信银行因客户信息保护不到位等问题,被处罚款450万元,认定的具体违法行为包括:


  一是客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施,乱象整治自查不力。二是客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方提供其个人银行账户交易信息。三是对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息。四是系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷。


  笔者认为,对于这个案件监管部门能举一反三针对银行存在个人信息合规进行调查并督促企业整改,这是值得肯定的,而且未看证据对于案件的定性笔者也暂无异议。但是对于这个罚款金额笔者认为过高,违反行政处罚法的比例原则,建议通过行政复议或者诉讼程序辩论,如果认为正确的话依法予以纠正,具体理由如下:


  其一,本案处罚的行为属于基层业务员工不熟悉法律引发的工作过错,主观恶性不大,没有产生严重后果,与故意盗卖个人信息等具有根本不同。


  池子案件缘起基本事实是笑果文化在仲裁过程中向支行调取证据,基层员工不懂个人信息的法律规定,没有要求履行法院调查令或者仲裁庭调查等必要手续,为照顾大客户感受就直接提供。其实如果有了仲裁庭调查或者以公司名义出具公司支付流水,这个行为就合规,并无不当。


  没有合法手续就擅自泄露储户秘密,这当然是错误的。但是这其实又是在仲裁过程中为取证而发生的手续瑕疵,事后银行立即公开道歉并对支行行长予以撤职,应该说这个态度还是可以的。银行为储户保密,并不意味着诉讼仲裁中不提供证据,只要手续齐全,银行还是要提供。这与银行员工盗卖个人信息谋取利益具有根本不同,其实坦率说就是不熟悉业务,银行对个人信息重视程度不够,所以罚款是逃不掉的。


  但是根据该文书引用《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则及《中华人民共和国商业银行法》第七十三条,在没有违法所得情况下,罚款50万元已经是顶格处罚了。450万元处罚如何得来,没看到相关具体证据,从公开报道来看,似乎依据不足,更重要的是要体现重罚而不是有查到法律规定的违法所得是多少。


  其二,行政处罚不能违反比例原则,同类情况在所有银行普遍存在,而且更为恶劣的情况也广泛存在,如果按照450万元作为处罚标杆,接下来所有银行都难逃此罚。而且对于更为恶劣的情况又该如何处罚?


  行政处罚要遵守比例原则,对于被处罚行为的危害与处罚罚款要相适应,并不是越高越好,也不是舆情狂欢就可以不顾实际情况迎合,否则一旦尘埃落定,处罚是否站得住,是否合理难言经得起质疑。而且如果事实查清楚没有违法所得,一般的人员犯个错造成如此严重的罚款,舆论也并非一成不变的。


  对于银行业来说,不重视个人信息并非中信银行一家,2014年笔者在上海浦东法院起诉工行发送垃圾短信违法,媒体也曾报道过,有些银行把这个案例写进了个人信息合规培训的课件,但是没看到工行隐私保护有什么进步,工行网站一共区区六个条文不到两百字的隐私保护政策至今好像也没改。


  全国范围内银行盗卖个人信息的判决书很多,就不一一列举了。举出这些例子和情况是想说个人信息得不到重视是普遍现象,作为最早关注研究个人信息的专业人员之一,笔者比谁都更希望企业重视自己的学术观点和合规建议,但也很清楚一口吃个胖子是不现实的。


  面对个人信息保护不足的局面时,我们需要研究专业,探求专业规律,如果我们今天以450万元这样的金额来处罚这个其实说白了就是手续瑕疵的错误,那么今后再遇到银行类似的业务错误,比如银行人员窃取储户个人信息谋利,甚至直接贩卖个人信息产生严重后果的犯罪行为,后者显然主观恶性大得多,后果也严重得多。而且现在已经有案例,部分银行人员或者支行行长这样的管理人员盗卖个人信息,因而基本可以肯定也是相关银行的个人信息合规工作严重不到位,若如此除了追究个人刑事责任外那又如何处罚银行?为此笔者特地查了一下有多少银行个人信息犯罪案件后启动了一案双查,似乎没查到监管部门对银行个人信息违法的行政责任予以追究的先例。


  其三,个案公平与否,一般当事人和公众有几个判断因素,一是法律规定是否明确,二是证明事实的证据是否充分,三是同类案件的比较处罚是否有大的偏差。前两点姑且不论,把这个案件的认定违法行为与已经处罚的其他同类行政处罚案件比较一下,好像没查到有这么高的个人信息违法处罚金额。


  另外,网络安全法的处罚也是基于违法所得,没有违法所得的,顶格罚款是100万元,在没有违法所得情况下,突破50万元或者100万元这样的罚款上限,行政机关有义务证明合法性。


  中信银行在池子案件中错在手续不对,而不是非法提供信息用于买卖或者犯罪,是程序而非实体错误,而且该信息用于解决双方争议,双方已经就此达成和解,解决了争议,案件没有造成不良后果,只不过行政处罚程序不能因为民事和解而终止,必须往下走,但也不应该不考虑案件和解,双方当初不排除互相施加压力争取有利于自己的争议解决结果的这一因素。


  综上,池子案件的仲裁部分双方已经和解,投诉引发的行政处罚已经不在当事人关心的焦点范围内,应当回归法律理性,本案处罚金额当然有利于律师们向当事人说明违法的风险,但考虑更多的类似情况如果都处以这个罚款是不是有点过高,还请行政复议和诉讼予以考虑。


  (作者刘春泉,系上海段和段律师事务所律师)


责任编辑:刘悦

中信银行

池子案

免责声明

发现网登载此文出于传递更多信息之目的,并不意味赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。违法、不良信息举报和纠错请联系本网。

  • 版权所有 发现杂志社