大银行也在泄露用户隐私?
图片来源@unsplash
文|消金界
“大银行也不见得就靠谱。”丸子这样对消金界说。
和大多数年轻人一样,丸子现在已经很少带太多的现金,前段时间突然急需现金,就就近在交通银行ATM机上,用信用卡取了5000元。
过了几天,正在上班的丸子接到一个电话,对方介绍自己说是光大银行的客户经理,与交通银行有合作关系,问丸子是否有资金需求,可以提供5至50万额度的贷款,利息优惠。
丸子说了“不需要”就把电话挂掉了,但忙完工作打开微信后,发现对方竟然加了自己微信。
自己在交行信用卡上取了一次钱,然后接到自称与交行有合作关系的光大银行客户经理的电话。因为丸子从事的也是金融行业的工作,所以特别想搞清楚对方是怎么知道自己的联系方式的。
于是丸子通过了光大银行客户经理的微信好友申请。
丸子反复问了对方是不是贷款业务的代理,对方多次强调,不是代理就是光大银行员工。
丸子问对方“是不是因为我在交通银行信用卡上取钱了,你们才以为我最近需要钱,才联系我的?”
自称是客户经理的这位在微信上回复称:“我们是银行的信用贷款,因为你和我们的合作方交通银行有合作,而且我们了解到您资质比较好,所以我们银行有利率低信贷,优先给像您这些优质客户使用。”
果然是因为在交行取了钱才接到光大银行的贷款电话的。这才有了开头丸子对消金界吐槽的那句话:大银行也不见得就靠谱。
其实对于个人信息的泄露,像很多人一样,丸子已经见怪不怪了。但是这次经历仍然让她比较吃惊。个人信息,竟然通过交通银行这样的大银行泄露出去,让她感到不可思议。
所谓合作
银行之间,真的会有那位客户经理所称的“合作”吗?
上海的一位银行客户经理告诉消金界,这位客户经理多次强调自己是正规银行的,并且说和交通银行有合作,应该就是想强化“银行”的标签,显得正规,获取客户的信任。
但是就公司层面讲,银行之间不会有这种“合作”。银行之间,业务的同质性比较强,尤其是个人业务,竞争还是大于合作,不会出现共享客户这种事情。而且,银行与客户之间,银行内部,都有很多保密条款,银行风控很严谨,不会堂而皇之的“共享”客户信息。
虽然丸子对这种情况感到匪夷所思,但一位国有大行的银行客户经理却云淡风轻地表示,没有什么大惊小怪的,这种情况“很正常”,在银行间并不少见。
“先不说银行间挖人,挖来挖去就是在挖优质的客户。即使不是这种情况,客户信息在银行间倒来倒去也很正常。”
而一位银行审计部门的员工却说,现在他所在的银行,对泄露客户信息的行为是“零容忍”。他表示,在信息保护上,内部控制制度一直都有,以前确实可能把控不严,但是从去年开始,各个环节都进行过排查。尤其是查询的权限开始严格控制,很多岗位被取消了查询权限。银行这么做,就是为了防止客户信息的泄露。
内控问题
一边是一线业务员表示“很正常”,一边是中后台表示“零容忍”,这其中折射出的,恐怕还是银行内部控制问题。
监管规定,银行内部接触个人金融信息岗位的从业人员,在上岗之前要签订保密承诺,但是现实中,还是会出现丸子所经历的那样,个人信息被泄露出去。
可见,合规政策是一回事儿,银行内部执行层面能不能管好员工又是另外一回事儿。
前面那位客户经理对消金界分析到,自称光大银行客户经理的人,能非常精准掌握丸子最近的取钱的信息,并且多次说与交行有合作。这很有可能就是银行间的信息泄露。
另外,不排除个别不合规的客户经理将用户信息泄露给其他机构,其他机构再泄露给光大银行。
但无论是哪种渠道,应该都是个人层面的行为。消金界了解到,交通银行在个人信息保护方面也有严苛要求。据媒体报道,交行某分行建立了信息安全领导机制,成立信息科技管理与信息安全保障委员会,工作由一把手亲自抓。这足以说明大行在个人信息保护方面,足够重视。
然而发生如此事件,银行在用户信息保护内控工作上,还需要重新梳理。
难以主张的权利
站在用户角度来看,即使明知道自己的个人信息被泄露,但几乎没有什么措施可以采取。
丸子在吃惊之余,即使确认了基本事实,个人也没有时间和精力去“维权”,只能听之任之。
个人与大的机构是不“平等”的。这就更能理解,为何监管最近频频出台涉及“用户个人信息保护”的法规。
消金界此前曾报道《个人金融信息(数据)保护试行办法》初稿已经出炉(点击左侧蓝字可跳转查看),其中规定“银行不得以概括授权的方式,取得信息主体对收集、处理、使用和对外提供个人金融信息的同意”。其实此规定大有玄机。
消金界注意到,央行规定银行在使用用户个人金融信息的时候,除了不能出售个人金融信息以外,还不能向本金融机构以外的其他机构和个人提供用户个人金融信息。
但是以交通银行信用卡APP买单吧的用户隐私权政策为例,在对外提供个人信息方面,列举了诸多对外提供个人信息的情况,其中包括“为风险分析和管控目的,向其他金融机构提供姓名、身份证号、信用卡账户和交易信息。”
隐私权政策与其他服务协议一样,都是以“概括授权”的方式同意的。也就是说,在接受交行信用卡服务的同时,已经“一揽子”同意了交行所提出的服务协议和隐私权政策。
这种情况不仅仅存在于交通银行,几乎所有银行的服务协议和隐私权政策都是通过“概括授权”的方式实现的。
这样,因为客户已经事先“同意”了银行的隐私权政策,那么就更难主张自己的权利。这其实就是银行业的“霸王条款”。
这样看,只能靠法律法规与严监管来解决了。
除了针对银行业的《个人金融信息(数据)保护试行办法》即将出台,10月25日,“两高”还公布了《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,(以下简称《解释》)在用户信息泄露方面,该解释规定,泄露用户交易信息五万条以上的,将被认定为“造成严重后果”。
而在更高的立法层面,最近有媒体报道,《个人信息保护法》的专家意见稿已经出炉,个人信息保护的立法工作正在加速进行。
从《个人信息保护法》到《个人金融信息(数据)保护试行办法》,再到“两高”的《解释》,可以看到,在个人信息保护上,真正有威慑的法律法规将越来完善。
更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App