内容摘要：近年来银⾏与客户之间就客户信息保护问题产⽣多⽅岐议，本⽂从银⾏⾓度考量如何加强客户信息保护，并就1、相关案例;2、为客户信息保密的法律分析;3、法律责任体现;4、相关民事、刑事、⾏政责任和声誉损失等⽅⾯展开论诉与分析，同时提出多项可供操作的建议，为银⾏进⼀步提升客户信息保护提供参考借鉴。

银⾏通过为客户办理存款、贷款、理财、电⼦银⾏、银⾏卡等⾦融服务，掌握了⼤量的个⼈、法⼈客户信息，如姓名、⾝份证号码、账户、联系⽅式、资产状况等。除法律另有规定外，银⾏及其相关⼯作⼈员须对客户信息承担保密义务，未经许可不得私⾃向第三⽅提供上述信息，否则将承担相应的法律责任。

⼀、案例回放

案例⼀：银⾏私⾃查询客户信息

频频接到不明商家的推销电话，不堪其扰的郭先⽣多次质问，对⽅均称信息系某银⾏提供。为此，郭先⽣在与某银⾏协商未果后，向中国⼈民银⾏某分⾏投诉并查询，没想到，⼈⾏出具的书⾯“报告”显⽰，某商业银⾏在未取得郭先⽣授权情况下，先后两次查询了其信⽤报告。⼈民银⾏对这家银⾏做出了罚款2万元的处罚。据此，郭先⽣怀疑他收到的骚扰电话都跟这家银⾏有关。2011年10⽉，郭先⽣决定以银⾏涉嫌侵犯其隐私权为名将其诉⾄某，并要求其在媒体上公开道歉。⽬前，此案还在进⼀步审理中。

案例⼆：银⾏员⼯利⽤⼯作便利，⾮法将客户信息提供中介机构

2006年2⽉，xx银⾏a⽀⾏b分理处保安张某在值班时，趁指导客户华某使⽤⾃动取款机的机会记住了华某的银⾏卡账号和密码。事后，张某将此事告诉了其在a⽀⾏c分理处当保安的朋友耿-某。耿-某找c分理处职⼯孙某帮助查询华某的⾝份证号码。孙某明知银⾏对客户信息具有保密义务，却碍于和耿-某的朋友情谊，仍向耿-某提供了客户华某的⾝份证号码，因此，张某很轻易的⼈耿-某处获得了华某的⾝份证号码，2006年5⽉2⽇⾄26⽇，张某以华某的信息资料在⽹上注册了“⽹上银⾏”和“电话银⾏”，将华某银⾏卡内现⾦6866元⽤于充交⼿机话费。案发后，上述⼈员均被机关抓获，张某等⼈还主动归还了华某相关款项。2007年7⽉9⽇，a区以⾮法提供他⼈信⽤卡信息资料罪，依法判处被告⼈孙某有期徒刑九个⽉，并处罚⾦1.2万元;以盗窃罪依法分别判处被告⼈张某、耿-某不同刑期的有期徒刑。

案例三：银⾏信息保管、处理不严谨导致客户信息泄密

据《南⽅都市报》报道，在⼴东省佛⼭市某废品收购站，有⼈发现了某银⾏、某通信公司等单位的客户资料被作为废品变卖。其中有些资料上还盖有原始的印章，客户的家庭住址、联系⽅式、个⼈财产等信息。另据⼀家社会调查中⼼对2422名公众展开的征对客户信息泄露根源分析调查发现,“电信机构、⾦融机构、招聘⽹站和猎头*司、各类中介机构”被公众列为泄露个⼈信息的“罪魁祸⾸”。

⼆、为客户信息保密的法律分析

(⼀)法律义务来源

1、为客户信息保密是银⾏的法定义务

我国《刑法》、《合同法》、《商业银⾏法》、《反洗钱法》、《储蓄管理条例》、《中国银监会关于进⼀步规范信⽤卡业务的通知》(银监发[2009]60号)、《银⾏业银⾏外包风险管理指引》(银监发[2010]44号)等法律、法规、规章对银⾏在客户⾝份资料、交易信息等⽅⾯的保密义务作出了规定。如《商业银⾏法》第29条规定：“商业银⾏办理个⼈储蓄存款业务，应当遵循存款⾃愿、取款⾃由、存款有息，为存款⼈保密的原则” ，该法第84条还规定“商业银⾏⼯作⼈员泄露在任职期间知悉的国家秘密、商业秘密的，应当给予纪律处分;构成犯罪的，依法追究刑事责任”，中国银监会关于印发银⾏业⾦融机构从业⼈员职业操守指引的通知(银监发[2011]6号) 第四条“从业⼈员应当学法、懂法、守法，保守国家秘密和商业秘密，尊重和保护知识产权，⾃觉维护国家利益和⾦融安全”，⼜如《刑法修正案(七)》中亦有类似规定，上述这些法律、法规和监管规定中对银⾏及其⼯作⼈员的保密责任均作出相应规定，这些均是银⾏承担客户信息保密义务的法律依据。

2、为客户信息保密是银⾏的合同义务

在银⾏与客户订⽴的相关业务合同中，通常都有信息保密⽅⾯的约定，以⼯商银⾏制定的格式合同为例，如《电⼦银⾏个⼈客户服务协议》，该协议中约定了⼯⾏对个⼈电⼦银⾏客户提供的申请资料和其他信息有保密的义务;⼜如《房地产借款合同》中约定了⼯⾏对借款⼈提供的⾮公开资料及信息具有保密的义务;再如《全⾯业务合作协议》约定了⼯⾏与合作对⽅保险公司均有义务为对⽅严守商业秘密(包括客户信息)，未经对⽅许可，不得对外提供任何有关对⽅业务经营的资料和信息等等，可见在银⾏为客户办理业务或签约过程中，均有为客户信息保密的约定性合同条款。

3、为客户信息保密是银⾏应承担的合同附随义务

客户在银⾏办理业务，与银⾏形成相关合同关系，包括各种储蓄合同、理财协议、存贷款合同、结算服务合同等，这些合同除了对双⽅间服务事宜进⾏约定外，还对相关保密责任进⾏了约定，即使没有保密⽅⾯的单独约定，但根据《合同法》第60条规定：“当事⼈应当遵循诚实信⽤原则，根据合同的性质、⽬的和交易习惯履⾏通知、协助、保密等义务”，这就是法律上对合同相对⽅应承担彼此保密义务的后合同义务法律规定，因此，银⾏在为客户办理业务过程中，即使合同⽂本未提及保密义务，银⾏⽅仍应为客户信息进⾏保密。

(⼆)法律责任体现

违反客户信息保密义务，将承担法律责任，主要有：

1、民事责任。包括违约责任和侵权责任。《合同法》第107条规定：“当事⼈⼀⽅不履⾏合同义务或者履⾏合同义务不符合约定的，应当承担继续履⾏、采取补救措施或者赔偿损失等违约责任”。若银⾏因违反个⼈客户信息保密义务侵害了客户隐私权等民事权益，还可能承担停⽌侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等侵权责任。

2、⾏政责任。包括两⽅⾯：⼀是对银⾏的责任，包括没收违法所得、罚款、停业整顿、吊销经营许可证等;⼆是对直接责任⼈员的责任，包括罚款、取消任职资格、禁⽌从事有关⾦融⾏业⼯作等。

3、刑事责任。《刑法修正案(七)》规定，⾦融单位的⼯作⼈员，违反国家规定，将本单位在提供服务过程中获得的公民个⼈信息，出售或者⾮法提供给他⼈，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚⾦。在上述案例中，孙某违反客户信息保密义务，⾮法向他⼈提供客户信息，致使客户银⾏卡内资⾦被盗取，以⾮法提供他⼈信⽤卡信息资料罪判处其承担刑事责任。

(三)声誉损失的体现

对于⾦融机构⽽⾔，泄露客户信息，除承担相应法律责任外，更可怕的，还将承担巨⼤的声誉损失。今年的央视3.15晚会上，公布了⼀个令⼯商银⾏声誉蒙受极⼤损失的事件， 2011年2⽉14⽇，家住上海浦东的陈⼩姐通过⽹银登陆账户，原本存有4万多元的招*银⾏账户⾥，余额竟只剩下85元钱。陈⼩姐说，她这张卡已经⽤了⼗⼏年了，从来没有离过⾝，密码只有她⼀⼈知道。那卡上的钱怎么会⼀夜之间不翼⽽飞呢?事后经经侦⽀队查明，在抓获犯罪嫌疑⼈朱*华时，他的⼀个⼩⼩的u盘让警⽅⼤为震惊，⾥⾯竟储存着50多万条上海市机动车主信息， 3000多条个⼈详细的银⾏卡信息和征信报告，包括姓名、银⾏卡号、⾝份证号、车辆情况，家庭住址，甚⾄家庭成员状况等等。曹*军，⽹名“四⼀⼈⽣”，真实⾝份中*⼯商银⾏武汉xx⽀⾏客户经理。仅他⼀⼈，通过中介向朱*华出售个⼈征信报告多达2318份。向朱*华出售个⼈征信报告、银⾏卡信息的，还有中*农业银⾏⽆锡xx⽀⾏员⼯董某、中*⼯商银⾏福州xx ⽀⾏员⼯陈某。这样的隐患让⼈担忧：这⼀份份详尽的个⼈信息，⼜会给多少⼼怀叵测的⼈留下可乘之机。上述银⾏员⼯因其⾏为承担了相应的法律责任，但作为⾦融机构，国家级新闻媒体对⼯商银⾏这种“指名道姓”的⼝诛笔伐，对⼯商银⾏的声誉产⽣的损失难以⽤⾦钱来衡量，⽽且，做为⼀个国际化商业银⾏，⼯商银⾏亦要应付和处理空前强⼤的公关危机。⼀是如果银⾏因违反监管规则受到处罚并被公开批评，导致其⾦融业务经营管理的合法性及安全性受到全民⼴泛质疑;⼆是由于银⾏客户量多层次复杂，加之近年外部欺诈案件频发、受害者众多，由此引发的客户投诉和银⾏被诉案件与⽇俱增，不仅吸引公众“眼球”，如此“噱头”也会引发媒体负⾯和集中“炒作”;三是个别极端案例败诉后容易通过⽹络等媒体讯速扩散引发“连锁反应”进⽽引发⼤量类似客户投诉或集体诉讼事件，造成⾮常被动的局⾯。

“树⼀个品牌难，毁⼀个品牌易”，⼯商银⾏这⼀⾦字招牌，如在客户信息保护⽅⾯做得不完善，也会导致其毁灭性的打击。

三、相关建议

客户信息保护归根到底还是要银⾏加强⾃⾝的“内部管理”真正扎紧⾃已的“篱笆”，建议从以下⽅⾯着⼿筑牢⾃已的“防⽕墙”：

1、进⼀步厘清责任关系，在⽇常⼯作中，银⾏⼯作⼈员有意与⽆意间会接触到各种客户信息，被恶意利⽤时，银⾏苦于⽆法证实“⾮法提供给他⼈”、“情节严重的”、“因果关系”等⽅⾯的证据要求，常常会被判赔承担相关责任，因此在⽇常⼯作中-建⽴严格的客户信息保密机制犹为重要，制度中应包括，哪些是客户保密信息，哪些⼈可以接触利⽤，如何-利⽤，如何保存、如何销毁、相关责任等⽅⾯的要求。

2、加强客户信息保密薄弱环节的风险防范。如在存款业务中要保护客户的⾝份证件号码、账号、账户余额、交易情况等信息，除依法协助有权机关查询外，未经客户书⾯同意，不得以任何形式向第三⽅透露。在贷款业务中，要注意⽋款催收⽅式，谨慎使⽤公告⽅式进⾏催收，并在催收中注意保护客户⾝份证号码等客户信息。在理财业务、银保业务、银证业务等银⾏中间业务中，应当事先告知客户并取得客户书⾯同意或在有关协议有约定的情况下，才能将客户信息告知约定的第三⽅，并要求第三⽅保护其所知悉的客户信息。

3、妥善保管客户信息资料。除了不轻易向第三⽅透露客户信息外，银⾏⼯作⼈员还要注意妥善保管记载客户个⼈信息的记录本或者是电脑记录等，防⽌因疏忽导致的客户个⼈信息被别⼈窃取。

4、加强培训教育，提⾼保密意识。通过培训，让员⼯了解银⾏客户信息具体内容、保密的重要性以及泄露个⼈客户信息可能承担的法律责任，提⾼保密意识，增强保密的⾃觉性。

5、对离职⼈员要严格按照相关规定控制其对涉密⽂件资料复制、打印、拷贝权限，同时要建⽴离职⼈员信息安全审查机制，确保相关信息资料的安全。

6、审慎处理已出现的投诉事件与被诉案件。出现的投诉事件与被诉案件后，银⾏应及时采取有效的措施避免损失发⽣或损失扩⼤，在与相关⼈等沟通协商时注意区分场合与答复⼝径。合理使⽤银⾏制订的“⼩额补偿”机制，化解⽭盾避免对⽴，尽量以“和谐”⽅式处理危机。

7、机制⽅⾯：(1)完善对客户信息保密的责任制度。在新员⼯⼊⾏时需签订保密协议，保密协议中应明确员⼯对客户信息的保密义务;⽼员⼯亦应明确离职后的相应保密协议⼿续。(2)建⽴对客户信息保护的内控考核制度。梳理从客户信息登记、流转、分发，到使⽤的数据流向及其对应的业务流程，建⽴相应的控制措施，明确每个环节数据保护的责任⼈;如果确定信息从某个环节泄露，应对该责任⼈进⾏问责。(3)根据客户资⾦量，将客户信息进⾏分类，对于不同类型的客户信息管理进⾏分级授权，授权原则依据“知必所需”的最⼩化原则予以授权，以保证我⾏业务上掌握⾼价值客户信息从业⼈员达到合理范围。

8、技术⽅⾯：(1)对业务⼈员通过技术⼿段其对客户信息的批量查询，客户信息的导出，同时禁⽌拷备;通过终端安全系统禁⽤u盘，移-动硬盘等移-动存储设备，⼯作电脑安装的⼯具软件类型。(2)利⽤技术⼿段，将办公⽹和业务⽹物理隔离，确保业务数据只保留在业务操作⽤的电脑上，⽽不会被员⼯带⾛。(3)对it⼈员，特别是对负责维护含有客户信息的数据库的it⼈员的后台系统和数据库的权限进⾏严格控制，对其操作进⾏严格实时监控和审计，防⽌it⼈员通过技术⼿段对客户信息进⾏未授权操作或者将客户信息窃取。

9、在与第三⽅的合作中，应特别注意保护银⾏客户信息的安全性。由于银⾏it⼈员技术⽔平和能⼒的，交易系统以及其他重要的信息系统可能采⽤外包的⽅式进⾏开发，在系统上线前，开发商由于要对系统进⾏测试，需要部分⽣产数据，it部门在把⽣产数据交给开发商之前，必须经过严格的数据脱敏过程，确保开发商拿到的数据⾥不包含客户的真实信息和交易记录。

10、是否借助保险机制分散风险损失值得进⼀步探讨。⽬前国内是否有保险机构开展类似防过失、防欺诈的保险品种，可以会同有关保险机构研究探讨，如已存在，我们可以尝试加⼊，如没有，我们可以研讨促进。

店铺温馨提⽰：

《民法典》⾃2021年1⽉1⽇起正式施⾏，《婚姻法》《继承法》《民法通则》《收养法》《担保法》《合同法》《物权

法》《侵权责任法》《民法总则》同时废⽌。如果您涉及《民法典》规定的债务问题# 点击这⼉#进⾏查看！若需帮助可#咨询店铺债权债务律师#

声明:该作品系作者结合法律法规、官⽹及互联⽹相关知识整合。如若侵权请通过投诉通道提交信息，我们将按照规定及时处理。【投诉通道】下载本文