近日,上海市静安区人民法院公布的一起刑事判决书,让个人信息泄露这个在消费市场上“普遍”却又“隐秘”的问题再度暴露在大众视野下。判决书显示,某保险公司多位员工利用客服人员的职务便利查询客户信息,并售卖给他人赚取利益。从中非法获利超26万元,最终被判处有期徒刑一至三年,并处以罚款。
“数据盗卖行为的背后,潜藏着金融机构的运营风险。此案暴露出部分机构在具体业务流程设计、风控合规与信息安全等消费者权益保护领域存在严重短板。同时,对我国数据安全和信息安全提出了严峻挑战。”中国人民大学货币所研究员陈佳在接受《金融时报》记者采访时表示,实际上,如果不是金融监管部门对非法买卖个人信息的行为持续高压,在近期ChatGPT这一风口上,会有不少机构不知不觉将大量个人和企业数据泄漏的风险。
因此,完善相关法律制度,建立行之有效的公司内控机制,加强消费者权益保护教育,对个人信息保护至关重要。
违法者“顶格”受罚
判决书显示,2020年2月至12月,某保险公司客服王某某和某公司业务主任姜某约定,由姜某提供保险公司客户的电销保单号,王某某负责查询保单号后补齐保险客户的姓名、联系方式、地址、购买险种、保费、购买时间、到期时间等信息,发送给姜某开展保险销售业务。姜某以每条8元至15元的价格向王某某购买。
在此过程中,王某某还联系了其他两位同事孔某、蒋某,三人以同样的手段共非法获利26.7万元。
事实上,倒卖消费者个人信息的现象在金融行业一直存在。去年11月,贵州银保监局连续下发多张罚单,惩处某保险公司员工利用职务便利泄露投保人、被保险人个人信息的行为。2022年,多名保险机构员工因为侵犯公民个人信息被禁业。
之所以给出禁业惩罚,主要原因在于泄露客户个人信息造成的后果十分严重。中国电子商务专家服务中心副主任郭涛表示,对于公民个人,这些被非法盗取的个人信息可以用于各类广告的精准投放和业务推广,还可以通过“暗网”交易平台出售,造成更广泛的泄漏,甚至引发诈骗、敲诈勒索等案件,造成财产损失与精神损害。
“保险公司员工售卖客户个人信息将给保险公司的声誉造成恶劣影响。”河南泽槿律师事务所主任付建告诉《金融时报》记者,客户的个人信息属于公司商业秘密的一部分,公司员工利用职权便利将公司的客户信息售卖,最终造成的损失都将由保险公司承担。另外,一旦客户得知员工售卖个人信息,将对保险公司失去信任。保险公司甚至会面临诉讼纠纷,给自身品牌形象造成负面影响。
因此,我国金融机构防控内部运营风险、保护消费者合法权益的任务繁重。陈佳认为,尽管我国在数据安全、个人信息保护等法治体系的顶层设计方面取得了长足进步,但是不少金融机构的信息安全与数据安全观念相对滞后,信息与数据安全风控合规系统的开发与运营水准距离新时代要求还有明显差距。与此同时,内控机制不完善也导致员工存在侥幸心理。
强化监管至关重要
不管是对公民个人还是对保险公司,完善个人信息保护制度至关重要。
近些年,我国越来越重视对个人信息的保护,为防范利用互联网对个人信息造成的侵犯,相继出台多个法律文件。《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国消费者权益保护法》都对经营者等主体泄露、出售或者非法向他人提供消费者个人信息的违法行为做出了规范。
《中华人民共和国刑法》第二百五十三条之一明确了侵犯公民个人信息罪:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
“对于涉及个人信息泄露的案件,相关部门已经出台了一系列法律法规,明确了相应的法律责任和处罚措施。然而,在具体的司法实践中,针对这类案件的处罚仍存在不足。”商务部研究院电商所副研究员洪勇在接受《金融时报》记者采访时表示,为了进一步完善针对个人信息保护的司法体制,应该加强相关法律法规的执行力度,加大对违法行为的惩罚力度,让违法者不敢违法。同时,也应该完善相关司法程序,提高司法效率,让被侵害的个人尽快得到赔偿和救济。
对此,付建也表示,由于个人信息基数大、互联网传播速度快,对个人信息的保护和监管仍有不到位的地方。他建议,提高侵犯个人信息违法行为的违法成本和监管力度,强化网络平台的监管责任。
陈佳认为,在以公民个人信息为代表的数据安全顶层设计中必须进一步加强数据要素市场培育工作,将前瞻性疏导融入数据安全治理的战略之中,让数据要素的资产化走上依法合规经营的正道,让掌握接触客户群体信息的主体真正利用数据分析和研究来造福群众,做到科技向善金融为民,真正实现数据交易的高质量发展。这是从根本上治理当前个人信息非法买卖的核心策略。
加强内控是当务之急
治理乱象,找准核心是关键。
“客户个人信息泄露的主要根源在于执行层面与机制创新。”陈佳认为,从公民个人信息泄露与贩卖流程来看,主要存在两方面问题。一方面,大数据思维定式条件下的数据挖掘分析工具滥用成灾。当前,市场竞争压力高企,不少金融机构运营和市场策略内卷严重,导致内部运营管理中大量攫取用户客户画像。尽管此举能够提高金融机构针对客户群体的需求分析和研发产品的能力,但同样也导致部分机构过度依赖用户数据挖掘,大量滥用数据采集工具和方法。在业绩压力下,容易跨越法律合规红线。另一方面,当前金融市场中有关个人信息非法买卖行为的背后,确实存在着“暗网”产业链和非法利益链条。从广义的数据安全角度分析,银行、保险和证券机构多为数据泄漏和违规交易的提供方,这一隐形灰色产业链还有大量的需求方和地下交易平台,通过监管套利和打擦边球等模式,激励着部分从业人员铤而走险。
因此,解决这一问题的关键是从源头上预防和打击。这就要求在乱象之外,必须完善保险公司内控机制。
今年3月1日起正式实施的《银行保险机构消费者权益保护管理办法》要求,银行保险机构应当建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控,有效保障消费者个人信息安全。
在《金融时报》记者采访过程中,多位专家表示,在公司内部完善关于客户个人信息的保护机制是当务之急。
付建认为,一方面,公司内部要严格限制员工调取和使用客户信息的权限,并且设定具体的相关负责人。如果出现员工非法获取、使用或者贩卖客户信息的情况,直接按照公司规章制度对负责人处理。另一方面,公司内部需要制定严格的规章制度。对于涉及敏感信息的业务,设置负责监督管理的职能部门,信息的使用和调取必须接受监督,并且履行必要的手续,将风险控制在最低水平。
洪勇建议,建立健全公司内部管理制度,加强对员工的保密意识和职业道德教育,提高员工的安全意识和保密意识,避免员工违规泄露客户信息。建立完善的数据安全管理机制,加强对数据泄露事件的应急处置能力。
“保护客户个人信息必须坚持从源头治理,切断交易发生的基础。”陈佳认为,要对泄漏消费者和企业信息的行为坚决打击和全面监管。通过事前管理,将违法违规行为成本不断推高,确保想偷窃数据信息者不敢偷。同时,强化事中、事后追溯,对因倒买倒卖非法数据和信息的行为和主体严厉打击,确保套利行为得不偿失,非法得利的负面效应足以警示同业。
除此之外,广大消费者的个人信息安全与隐私保护教育也需进一步加强。陈佳建议,金融机构加大对消费者隐私保护的宣传力度,全面强化投资者教育在数据安全与信息合规领域的力度广度。同时,消费者个人也应加强学习,全面了解自身权益尤其是个人隐私与数据安全的相关内容,对日常金融业务涉及的信息边界有一定的认识。在金融业务日益复杂的情况下,避免造成个人数据资产和隐私信息的泄漏。
(文章来源:金融时报)
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
