作者李凤文系中国知名财经评论员

近日，中信银行泄露个人信息案不断发酵。5月6日，脱口秀演员王越池（艺名“池子”）发布声明，称中信银行股份有限公司泄露其个人账户信息。此事微博发酵后，中信银行公开致歉，称虹口支行员工未严格按规定办理，提供了池子收款记录，该行已按制度规定对相关员工予以处分，并对支行行长予以撤职。

http://5b0988e595225.cdn.sohucs.com/images/20200513/28256988980a4c069ea95fce36233491.jpeg

众所周知，个人账户信息属于个人隐私。《民法总则》第一百一十条规定：自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。《商业银行法》第二十九条规定：商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。由此可见，个人在银行的存款账户受到法律的严格保护，不容任何人侵犯，保护好个人账户信息是银行应尽的职责和义务。

不仅如此，早在2016年11月，原银监会办公厅就曾下发《关于银行业金融机构客户个人信息泄露案件风险提示的通知》，要求银行业金融机构加强内控合规管理，健全客户个人信息管理制度，严格约束员工行为。2018年，银保监会在发布的《银行业金融机构数据治理指引》中，对银行业数据保护提出一系列规范要求，银行业金融机构应当依法合规采集、应用数据，依法保护客户隐私。这些规定对于银行机构加强数据管理，规范数据使用，保护客户信息安全起到了重要作用。

不久前，银保监会副主席黄洪曾表示，银保监会高度重视银行保险机构网络安全工作，近年来，已要求银行保险机构认真贯彻落实个人信息保护方面的法律法规，加强客户隐私保护，对客户信息严格实行从采集到存储、销毁等全流程的制度化管理。此外，银保监会还建立了网络安全风险监测、风险预警、非现场监管、现场检查、监管评级等长效工作机制，把银行保险业客户信息保护工作纳入了日常信息科技风险监管中。

http://5b0988e595225.cdn.sohucs.com/images/20200513/ec147e611f78416e8dd3ed6d0dfb63fc.jpeg

然而，现实中却有个别银行机构及其工作人员，没有认真执行法律法规规定，将个人客户信息非法提供给第三方从事盈利、诈骗等活动，导致客户利益受损，合法权益受到侵害。虽然相关人员受到了法律的制裁，被判处刑罚，但仍旧给社会带来许多不稳定因素，同时也严重影响了银行良好的社会信誉，造成声誉风险。

当然，中信银行泄露个人账户信息一案，是否触犯法律问题，司法部门自有公断，对此暂且不论，但此案却给银行机构留下了深刻的教训和诸多启示。

启示之一：银行机构必须建立健全完善的内控制度。银行素有“三铁”之美誉，铁规章就是其中之一。铁规章就是对制度的刚性要求，是银行制度生命力的重要体现，是银行社会信用的重要保证。没有严格的制度规范就不是一个合格的银行，就会失去人们的信任，因而就会制约银行的业务经营和健康发展。大客户轻易的就能够拿到个人银行账户流水，一方面，说明银行岗位制衡和权力制约不到位，另一方面，授权管理制度存在欠缺，这些足以证明内控制度存在漏洞。因此，各银行机构有必要对现有规章制度进行全面的检查梳理，避免政出多门，导致业务制度相互之间规定不一致问题的出现，尤其要加强客户信息安全和客户隐私保护，明确查询程序和手续，堵塞制度上的漏洞。

启示之二：必须把规章制度执行挺在前面，强化监督实施。中信银行在致歉信中表示，“保护客户信息安全是我行秉持的服务宗旨，也是银行的生命线。在客户信息保护方面，我行建立了一整套制度及流程。但个别员工未严格按照制度操作，反映出我行个别机构在制度执行上不到位。”规章制度不是摆设，不能形同虚设，必须执行到位。此案充分证明银行制度监督执行不力，由此酿成客户信息泄露之祸，教训极其深刻。严格制度执行，严格操作程序，严格控制风险，不能只挂在嘴边上，必须落实到每一笔业务上，这不仅需要加强规章制度日常执行上的监督，更需要管理人员率先垂范，切莫以信任代替制度执行。

http://5b0988e595225.cdn.sohucs.com/images/20200513/6365bd6c48604dfa841cb50844924763.jpeg

启示之三：必须加强员工管理和法制教育。银行为了稳住大客户、为了自身利益，竟然视法律法规于不顾，铤而走险，擅自向第三方泄露客户账户信息，此种行为充分表明，银行员工教育没有跟上，法律意识淡薄，禁不住利益的诱惑，因此，有必要加强对银行员工尤其是管理人员的法制教育，提高法律意识，严格员工行为管理，从而有效杜绝业务操作上的违法违规行为。

此案中的当事人虽然受到了银行内部处理，但并不能代表监管部门的行政处罚。对此，监管部门要深入调查核实，对涉事机构及其相关责任人依法给予行政处罚，涉嫌犯罪的，应移交司法机关追究法律责任。与此同时，各银行机构也要举一反三，认真组织开展制度执行自查工作，及时堵塞漏洞，切实保护好金融消费者合法权益，有效防控各类风险，确保银行业稳健经营。