5月6日,脫口秀演員池子在自己的WB上發佈了自己與笑果工廠的糾紛,並且附上了一封《律師函》。池子和笑果文化系因糾紛申請仲裁。笑果提交的證據,包括池子個人銀行賬戶的交易明細,焦點一下轉到銀行洩露公民個人信息。這個焦點讓脫口秀演員和金融機構一起登頂熱搜。
專業人士吃的瓜,往往與眾不同。我們更關注細節,更關注專業技術上的問題。
一、“收款記錄”or“銀行流水”?
首先,筆者發現,對於某信銀行錯誤提供給他人的銀行流水的具體內容上,各方陳述略有不同,銀行稱是“收款記錄”,池子及律師一方稱是“銀行流水”!顯然兩者重合的部分,是“收款記錄”,並且相信某信銀行的官方文件會更加嚴謹,不會人為縮小範圍,所以我們有理由相信,銀行提供的是“收款記錄”。(後附銀行《致歉信》)。
那這“收款記錄”和“銀行流水”區別到底在哪?字面理解簡單,真正解讀需要結合本事件的語境。本事件是笑果工廠到開戶行調取為“池子”的支付勞務工資記錄。從銀行合規管理的角度,銀行提供該記錄是應當的。而如果銀行錯誤提供的“池子”銀行流水,也是對應收取該勞務收入賬戶的流水,則兩者具有相關性。這可能讓人更好理解,本事件為何發生、怎麼發生的!
極端情況,如果“池子”該賬戶的收款流水=笑果工廠付款流水,則銀行操作對個人信息的洩露可以說不存在。但如果收款流水中,有非來自笑果工廠的勞務收入轉入流水,則每一條流水都是某信銀行錯誤提供的內容。
從這個角度看,某信銀行官宣挖掘的深度還不夠。
這不是繞口令,是希望大家更關注案件的實質,尤其在信息有限的情況下。當然,對銀行來說,客戶個人信息是要嚴格保護的。
二、問題的核心是 “數據合規”
更重要的是,如果銀行存在違規行為,那問題的核心是什麼呢?答:數據合規。什麼是數據合規?簡單而言,是指政府、企業等主體,對公民個人信息等數據獲取、存儲、處理、轉移、交換、刪除等方面的合規管理。個人信息合規是數據合規的核心內容。而個人信息(數據)的保護,已經在2017年6月1日實施的《中華人民共和國網絡安全法》等法律規定中進行確認,並要求嚴格保護。對於個人信息的內容,上述法律定義為“指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”
另外,我國刑法規定了“侵犯公民個人信息罪”。具體而言,依據《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,入罪條件如下:
(三) 非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息五十條以上的;(四) 非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;(五) 非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的;
這個需要對號入座了,本案中銀行流水信息,個人認為屬於(四)中的交易信息,應該不屬於(三)中所規定的最敏感信息的內容。
當然,筆者列出上述內容,是為了讓大家瞭解一下,個人信息的大致範圍和分量。
此外,2018年5月25日生效的歐盟《通用數據保護條例》,也細化了對個人信息(數據)的嚴格保護,所以保護個人信息是國際性的話題。
三、賬戶權限管理 -- 更進一步的問題
此事件中暴露的,可能就是銀行數據合規中的重要問題------賬戶權限管理。即,最基層員工不應該有查詢“未驗證客戶”信息的權限,或者權限管理失效。這是企業信息技術管理上一個很專業的問題。現在企業信息系統非常龐大,尤其是像銀行、證券、通信等行業的企業,承擔著超大規模的數據庫管理任務。數據庫操作需要通過賬戶對操作權限進行管理,對賬戶權限進行區分管理是基礎工作。就好比個人電腦也有管理員用戶和客人用戶一樣。從銀行信息系統管理來看,最基層的櫃檯職員,應該擁有最基礎的操作權限,即在驗證後,辦理賬戶查詢、存取款、轉賬等操作。而管理層級高一些的網點經理,則應該有更高的權限,如更廣泛的查詢,高額度業務辦理等。本事件中,不外乎兩種情況,一種是在某信銀行的信息技術管理中,最基層的櫃檯職員,擁有了“廣泛查詢權限”。廣泛查詢權限,是指未經客戶身份驗證,便可任意查詢客戶信息的權限。筆者之前曾在調查機關工作過,也與銀行有過接觸,發現在司法機關依法調取交易信息時,很多銀行的普通櫃檯職員,便可查詢任何賬戶的信息,提供結果。也就是說,這些銀行把查詢權限下放到了最基層。然後職員個人是否進行違規操作,完全靠制度約束員工。這是一個相當大的問題,可以說是銀行數據合規管理上的一個“BUG”。
對比的案例,就是現在銀行的自動櫃員機,可以辦理大多數銀行業務。而自動櫃員機可能做出本事件中錯誤行為嗎?不會,因為“池子”的收款流水是需要“池子”本人進行驗證的。所以,本案中的人為操作造就了這個錯誤。而問題不只在於該基層櫃員,而是在於銀行人工操作的信息系統操作權限的錯誤設定。即,基層的人工櫃員,不應該擁有操作未驗證客戶賬戶的權限,也就是不應該有“廣泛查詢權限”。這一問題是比較普遍的,很多銀行認為通過員工管理可以解決這一問題,但是BUG就在那裡,早就該通過系統提升彌補。也就說,人工操作系統已落後於自動櫃員操作系統。 當然,某信銀行系統可能已經不存在該漏洞。那問題出在哪呢?只能是前面說的經理一級權限管理問題。一個信息系統,總要有更高權限的賬戶,甚至要“超級賬戶”,重點就是管理。本案中的另一個可能,就是該經理級權限人員沒有控制好權限,或者錯誤的進行了授權。分析完畢,建議:一是建議相關銀行做好數據合規,儘快完善信息系統,限制低級賬戶權限;二是加強高級權限管理,不要讓權限管理形同虛設;三是對於司法機構調取的特殊情況,統一權限控制、統一窗口辦理;四是定期進行信息技術審計,及時發現問題。
附件:
• END •
作者:顧寧律師 中國執業律師 執業地深圳 13660189110
李東旭 實習律師
