5月6日,脱口秀演员池子在自己的WB上发布了自己与笑果工厂的纠纷,并且附上了一封《律师函》。池子和笑果文化系因纠纷申请仲裁。笑果提交的证据,包括池子个人银行账户的交易明细,焦点一下转到银行泄露公民个人信息。这个焦点让脱口秀演员和金融机构一起登顶热搜。
专业人士吃的瓜,往往与众不同。我们更关注细节,更关注专业技术上的问题。
一、“收款记录”or“银行流水”?
首先,笔者发现,对于某信银行错误提供给他人的银行流水的具体内容上,各方陈述略有不同,银行称是“收款记录”,池子及律师一方称是“银行流水”!显然两者重合的部分,是“收款记录”,并且相信某信银行的官方文件会更加严谨,不会人为缩小范围,所以我们有理由相信,银行提供的是“收款记录”。(后附银行《致歉信》)。
那这“收款记录”和“银行流水”区别到底在哪?字面理解简单,真正解读需要结合本事件的语境。本事件是笑果工厂到开户行调取为“池子”的支付劳务工资记录。从银行合规管理的角度,银行提供该记录是应当的。而如果银行错误提供的“池子”银行流水,也是对应收取该劳务收入账户的流水,则两者具有相关性。这可能让人更好理解,本事件为何发生、怎么发生的!
极端情况,如果“池子”该账户的收款流水=笑果工厂付款流水,则银行操作对个人信息的泄露可以说不存在。但如果收款流水中,有非来自笑果工厂的劳务收入转入流水,则每一条流水都是某信银行错误提供的内容。
从这个角度看,某信银行官宣挖掘的深度还不够。
这不是绕口令,是希望大家更关注案件的实质,尤其在信息有限的情况下。当然,对银行来说,客户个人信息是要严格保护的。
二、问题的核心是 “数据合规”
更重要的是,如果银行存在违规行为,那问题的核心是什么呢?答:数据合规。什么是数据合规?简单而言,是指政府、企业等主体,对公民个人信息等数据获取、存储、处理、转移、交换、删除等方面的合规管理。个人信息合规是数据合规的核心内容。而个人信息(数据)的保护,已经在2017年6月1日实施的《中华人民共和国网络安全法》等法律规定中进行确认,并要求严格保护。对于个人信息的内容,上述法律定义为“指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
另外,我国刑法规定了“侵犯公民个人信息罪”。具体而言,依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,入罪条件如下:
(三) 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四) 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五) 非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
这个需要对号入座了,本案中银行流水信息,个人认为属于(四)中的交易信息,应该不属于(三)中所规定的最敏感信息的内容。
当然,笔者列出上述内容,是为了让大家了解一下,个人信息的大致范围和分量。
此外,2018年5月25日生效的欧盟《通用数据保护条例》,也细化了对个人信息(数据)的严格保护,所以保护个人信息是国际性的话题。
三、账户权限管理 -- 更进一步的问题
此事件中暴露的,可能就是银行数据合规中的重要问题------账户权限管理。即,最基层员工不应该有查询“未验证客户”信息的权限,或者权限管理失效。这是企业信息技术管理上一个很专业的问题。现在企业信息系统非常庞大,尤其是像银行、证券、通信等行业的企业,承担着超大规模的数据库管理任务。数据库操作需要通过账户对操作权限进行管理,对账户权限进行区分管理是基础工作。就好比个人电脑也有管理员用户和客人用户一样。从银行信息系统管理来看,最基层的柜台职员,应该拥有最基础的操作权限,即在验证后,办理账户查询、存取款、转账等操作。而管理层级高一些的网点经理,则应该有更高的权限,如更广泛的查询,高额度业务办理等。本事件中,不外乎两种情况,一种是在某信银行的信息技术管理中,最基层的柜台职员,拥有了“广泛查询权限”。广泛查询权限,是指未经客户身份验证,便可任意查询客户信息的权限。笔者之前曾在调查机关工作过,也与银行有过接触,发现在司法机关依法调取交易信息时,很多银行的普通柜台职员,便可查询任何账户的信息,提供结果。也就是说,这些银行把查询权限下放到了最基层。然后职员个人是否进行违规操作,完全靠制度约束员工。这是一个相当大的问题,可以说是银行数据合规管理上的一个“BUG”。
对比的案例,就是现在银行的自动柜员机,可以办理大多数银行业务。而自动柜员机可能做出本事件中错误行为吗?不会,因为“池子”的收款流水是需要“池子”本人进行验证的。所以,本案中的人为操作造就了这个错误。而问题不只在于该基层柜员,而是在于银行人工操作的信息系统操作权限的错误设定。即,基层的人工柜员,不应该拥有操作未验证客户账户的权限,也就是不应该有“广泛查询权限”。这一问题是比较普遍的,很多银行认为通过员工管理可以解决这一问题,但是BUG就在那里,早就该通过系统提升弥补。也就说,人工操作系统已落后于自动柜员操作系统。 当然,某信银行系统可能已经不存在该漏洞。那问题出在哪呢?只能是前面说的经理一级权限管理问题。一个信息系统,总要有更高权限的账户,甚至要“超级账户”,重点就是管理。本案中的另一个可能,就是该经理级权限人员没有控制好权限,或者错误的进行了授权。分析完毕,建议:一是建议相关银行做好数据合规,尽快完善信息系统,限制低级账户权限;二是加强高级权限管理,不要让权限管理形同虚设;三是对于司法机构调取的特殊情况,统一权限控制、统一窗口办理;四是定期进行信息技术审计,及时发现问题。
附件:
• END •
作者:顾宁律师 中国执业律师 执业地深圳 13660189110
李东旭 实习律师
