池子银行隐私泄露事件始末，个人数据怎么才能保证不被侵犯？

大数据文摘出品

熟悉脱口秀的朋友们，对池子肯定不陌生。

他惯以快节奏的语速和节奏撑起整篇脱口秀，段子密集，信息量大。在早期的《吐槽大会》中，他是最接近美式脱口秀黑人风格的，由此很快形成了自己鲜明的风格，同时也拥有了一批属于自己的粉丝。这个来自北京的95后很快在脱口秀市场占据了一席之地，也出了很多经典的段子。

虽然最后与老东家笑果文化闹得并不愉快，但是讲脱口秀时期积攒的粉丝还是为他获得了超高的关注。

 

自带流量体质的他，近期也没少上热搜，和他相关的事件总能引发大众的关注与讨论。

 

在其中，有一件事闹得沸沸扬扬，就是银行泄露了池子的个人数据。

 

“幸运”的受害者

事件起因于脱口秀演员池子与上海笑果文化传媒有限公司的解约。

 

池子在个人微博中写到指出其发现笑果文化存在违约行为，因为公司拖欠了很多原本应付的演艺相关报酬，并且公司没有按照合同给池子账单明细。在他提出异议后，公司试图停止其一切工作，池子多次提出了和平解约，但是公司不同意，因此他只能提出仲裁，希望公司可以付清其报酬。但是上海笑果文化传媒有限公司也提出了仲裁，让池子赔偿公司3000余万。”

 

上海笑果文化传媒有限公司取得了池子在银行近两年的流水，而这还是在未取得他银行卡、身份证以及司法机关调查令的情况下。池子称，在公司寄给他的案件材料里面，竟然发现了自己在银行中的个人账户交易明细。这着实让人措手不及。

 

对此，中信银行回复：“这是配合大客户要求。”

 

消息一经流出，得到广泛关注。

 

毋庸置疑，凭借脱口秀演员的身份以及通过节目《脱口秀大会》所取得的知名度，池子隐私数据遭银行泄露一事可迅速取得高关注度，但通过一次偶然事件揭露出的数据安全问题实则掩藏已久，这背后的是更多“沉默”的受害者，那些处于聚光灯之外的阴影中、立在倾斜天平翘起的一端深受数据泄露之害的群体，他们是不曾被关注的。

 

在舆论的影响下，银保监会随后介入。

 

银保监会消费者权益保护局：2020年3月，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则。我局将按照相关法律法规，启动立案调查程序，严格依法依规进行查处。

你接触的销售和服务人员遵守数据保护法吗？

个人银行账户交易明细是重要的个人隐私，法律规定银行不能把个人账户交易明细交给第三方。中信银行此次事件已经触及到法律问题，虽然银行表示这份银行流水是由工作人员泄露出去的，其依旧难逃责任。

 

由于与储户之间存在合同关系，银行依法应当履行义务，妥善保管客户的个人信息，如流水、存款余额等。

 

《商业银行法》、《消费者权益保护法》等法律规定，由于管理漏洞或技术漏洞导致储户的个人信息泄露的情况，银行需要承担相应的行政责任和民事责任。

 

如果由银行工作人员利用职务之便私下提供客户银行流水，这种情况虽然不属于银行主动作为，而是属于员工违规操作行为，但是银行应该尽到相关的管理责任，应当对其银行的员工违规行为进行负责。而如果银行流水由银行泄露，未尽到个人信息安全保障义务，则银行的行为不仅构成民事侵权，还可能涉嫌刑事犯罪。

 

刑法第253条规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

 

不管是银行故意泄露出去，或者员工个人利用职务之便故意泄露，都可能涉嫌构成侵犯公民个人信息罪。

 

我国银行和信用社开展储蓄业务的基本原则是存款自愿、取款自由、存款有息、为储户保密，银行吸收所有存款都必须坚持。因员工工作失职造成的数据泄露现象从侧面反映出企业培训不到位，对员工职业道德规范的督查不力，这导致中信银行受到了因被一时得失所蒙蔽而“丢了西瓜”的惨痛教训，丧失作为银行最基本的信誉以及客户的信任，而这是得不偿失的。

 

此外，个人也应注意因自身原因导致的数据泄露，在办理贷款、出国等相关事宜自行打印了银行流水时，应做到妥善保管，防止银行流水泄露等数据安全隐患发生。

错误的身份验证方式

数据泄露多种多样，《数据安全实操指南》这本书从政府、法律、实践多角度剖析了我们身边的数据泄露风险，作者在书中也指出了此类问题。

 

员工从银行的数据库中调出客户的详细资料进行核对：

员工：“先生，您的名字是 ××× 吗？”

客户：“是的！”

员工：“您的身份证号码是 ×××××××× 吗？”

客户：“是的！”

员工：“您的生日是 × 年 × 月 × 日吗？”

客户：“是的！”

这样的的验证方式让人惊慌，那么银行员工应该如何进行身份验证呢？

 

作者在《数据安全实操指南》认为，其实反过来问即可：

 

“先生，您的姓名是？”

“您的身份证号码是？”

“您的生日是？”

这样提问可以更好保护客户的隐私，保障其数据安全。按照店员最初的询问方式会给不法分子带来可乘之机。在银行卡被不法分子取得后，其到银行办理该卡的替换新银行卡时，可通过这种询问方式来了解卡主具体信息，而他根本不用知道这张卡到底是谁的，就可访问该银行账户，继而拿走其中的存款！

 

同时，因银行缺少人而未对员工进行太多培训就安排其上岗的情况也时有发生。组织应该知道，在整个安全系统中，人通常是最薄弱的那一环。

 

组织应该确保所有的员工受到培训，知道正确的身份验证流程，避免对客户个人数据进行未经授权地访问，或无意间向错误的人披露客户的数据。

正确的身份验证方式

在《数据安全实操指南》中作者发现，最近，银行和信用卡发行商加强了身份验证过程。他认为他们意识到，要获得一个人的信息实在是很容易。（比如，人们经常在抽奖或注册时主动提供这些信息。）

 

银行和信用卡发行商现在经常会多问一个问题来验证客户的身份。比如，“您在我们这里开了几个账户”“这个账户上挂了几张副卡”“您在我行有几张银行卡”等。

 

他在书中举了一个例子：

 

有一次，我拨打某银行的热线，准备激活该银行寄到我家中的一张新的银行卡时，真的被难住了。客服问我：“您是哪一年在我行开户的？”我试着和客服理论，我这个账户是很多年前开的，我实在记不清是哪一年了。客服很耐心地帮我回忆，她问道：“您是不是在什么地方有这方面的记录呢？”我说没有，客服接着说：“抱歉，先生，我没法通过电话激活您的新银行卡。您需要带着您的银行卡和身份证到我们银行进行身份验证，验证成功之后才能激活这张卡。”

 

他并没有因为要抽出时间跑去银行来完成这一简单的步骤而感到不满，相反，他相信这家银行会妥善地处理客户的个人数据。

 

因为它用严格的程序来验证客户的身份，甚至在电话中拒绝为客户提供相关服务。这家银行在个人数据保护方面赢得了作者的信任，它采取了必要的保护措施和验证程序来保护它掌控的个人数据。

 

此外，作何认为银行还对员工进行了良好的培训：员工知道在客户没能通过严格的身份验证程序时，如何拒绝为之继续提供服务。

 

根据数据保护法要求的保护原则，组织应采取合理的安全措施来保护他们拥有或者控制的个人数据。作者指出通常情况下，当他问一个组织其行为是否合乎数据保护法时，得到的回答多是他们的律师对组织的文件进行了审核，他们也已经对员工进行了培训。

 

但是，这样的措施只是让组织做到法律合规，而不一定是操作合规。只有实行了信息安全政策和措施，并将其嵌入运营流程，组织才能做到操作合规。

 

让员工知道什么是数据保护法，并不等于教会他们如何遵守数据安全法，后者还包括对信息安全政策的强制执行。组织应该进行数据保护操作现场检查，保证组织的信息安全政策得到了相应的修订，组织的信息安全漏洞得到了处理。

 

写在最后

目前全球已有约 90 个国家和地区制定了个人信息保护法，而中国的《中华人民共和国数据安全法（草案）》已于 2020 年 7月公开征求大众的意见。所有的公司和个人都将或早或晚地面对数据保护法，并把遵守数据保护法当作日常生活和工作的一部分。

 

在数据保护和隐私领域，组织和个人有许多容易忽视的地方。

 

有些问题在实践中很容易被我们忽视，特别是在我们很忙碌的时候。其他一些问题则不那么明显，比如很多人不知道多功能设备，如办公室中的打印机中有一个硬盘，在机器被弃置时要处理好硬盘里的数据。

 

有些解决方法可以很轻易地植入日常流程中，比如将前台的电脑屏幕和闭路电视监视器转个角度，不让路过的人看到。

 

还有一些解决方法需要训练，让所有员工有意识地扮演自己的角色，比如员工需要知道如何安全地传输机密文件，以及定期清理邮箱，删除自己不再需要的个人数据。

 

不论如何，只有认识到在数据保护中操作合规的重要性，具有数据安全意识以及掌握一定的数据保护方法才能更好融入这个大数据时代。

点「在看」的人都变好看了哦！