国有大行支行行长竟私拿客户信息，帮别人招揽业务！这家银行临时工也成“内鬼”

近日，两份关于银行员工侵犯公民个人信息的法院判决书，让个人金融信息保护问题再受关注。

近日，中国判决文书网公布的两份关于银行员工侵犯公民个人信息的刑事判决书，有银行临时工和支行行长利用职务之便非法对外提供客户个人信息，法院以侵犯公民个人信息罪判处被告人有期徒刑并处罚金。

值得注意的是，两个案件虽然事发不同的银行，但都有两点共性：

一是被告人非法获取客户个人信息的行为均发生在2017年，事实上，近两年，银行进一步加强对客户的个人信息保护，前不久网传的境外暗网贩卖国内外个人金融信息一事，后被相关银行陆续予以澄清，并查明贩卖的信息绝大部分是黑客伪造或拼凑的。

二是两案均涉及银行支行，说明在银行支行这一层级的客户个人信息保护工作存在漏洞，更需重视加强。

近期，涉及国内多家银行数百万条客户数据资料、在暗网被标价兜售的消息广为流传。通过连日多方采访，券商中国记者试图还原一组金融数据是如何被盗取、流入暗网、被谁交易售出、由谁流出市场的暗网链条。

均为支行员工泄漏客户个人信息

江苏省徐州市云龙区人民法院近日公布的刑事判决书显示，2017年8月至2017年12月，被告人吴某某在北京银行上海分行张江支行临时工作期间，在明知诸某某、陈某某（另案处理）利用银行系统，违规为闫某（另案处理）查询公民个人征信信息，提供给闫某收取费用的情况下，仍帮助诸某某、陈某某违规为闫某查询公民个人征信信息，并将查询的相关征信信息通过邮箱发送给闫某。截至案发，公安机关查证被告人吴某某共计向闫某提供公民个人征信信息830余条。

法院认为，被告人吴某某违反国家有关规定，向他人出售公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪，且与他人系共同犯罪。被告人吴某某犯侵犯公民个人信息罪，判处有期徒刑一年二个月，缓刑一年二个月，并处罚金人民币4000元。

无独有偶，3月底，浙江省余姚市人民法院公布的一份刑事判决书显示，被告人同样系银行支行员工，利用职务之便非法对外提供客户个人信息。

2017年3月17日，被告人沈某某应周某（已判刑）要求，将从鲁某听（已判刑）处非法获取的余姚市东城名苑业主的财产信息共计1111条通过QQ邮箱非法提供给周某用于招揽业务。同年4月20日，被告人沈某某在担任建设银行余姚城建支行行长期间，将该行受理的贷款客户财产信息共计127条提供给周某用于招揽业务。

被告人沈某某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币六千元（缓刑考验期限，从判决确定之日起计算。罚金限本判决生效后三个月内缴纳）。

防范“内鬼”强化银行数据保护

近期，境外“暗网”贩卖国内外个人金融信息的传闻得到广泛关注，尽管后来涉事银行纷纷澄清并非本行个人金融信息，经查，被贩卖的信息绝大部分是黑客伪造或拼凑的，但此事也对个人信息安全敲响了警钟。

银保监会副主席黄洪近日透强调，银保监会高度重视银行保险机构网络安全工作，近年来，已要求银行保险机构认真贯彻落实个人信息保护方面的法律法规，加强客户隐私保护，对客户信息严格实行从采集到存储、销毁等全流程的制度化管理。此外，银保监会还建立了网络安全风险监测、风险预警、非现场监管、现场检查、监管评级等长效工作机制，把银行保险业客户信息保护工作纳入了日常信息科技风险监管中。

银行业在信息技术方面投入较多，数据风控标准普遍较高，遭遇黑客攻击导致数据外泄的情况相对较少，但在数据保护方面应重点防范“内鬼”，特别是要加强对分支行的客户信息访问规范。

银保监会2018年发布《银行业金融机构数据治理指引》，对银行业数据保护提出一系列规范要求。例如，银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问和拷贝等权限，监控访问和拷贝等行为，完善数据安全技术，定期审计数据安全。加强数据资料统一管理，建立全面严密的管理流程、归档制度，明确存档交接、口径梳理等要求。