江南时报讯 日前，银保监会消费者权益保护局发布通报：2020年3月，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违法违规，将按照相关法律法规，对中信银行启动立案调查程序，严格依法依规进行查处。

给钱就能“拉银行流水”吗？银行等金融机构中仍存哪些个人信息保护漏洞？应如何堵住？记者对此展开调查。

“付钱拉银行流水”有真有假

记者调查发现，当前一些网络平台个人“银行流水”信息的售价从600元至5000元不等，查询时段为1个月至12个月，时段越长价格越高，买家只需要提供查询对象身份证号码就能查询。

记者查询中国裁判文书网发现，银行“内鬼”参与倒卖个人金融信息的情况并不少见：中行无锡分行职工唐某某利用工作便利，将该单位在提供服务过程中获得的5万余条公民个人信息，通过电子邮件非法提供给他人；建行余姚城建支行原行长沈某某，将该行受理的贷款客户财产信息共计127条提供给他人用于招揽业务。

记者还发现，由于卖家大多要求“先付款后查询”，也有不少所谓“侦探公司”借此诈财。

名为“百胜私家侦探公司”的卖家向记者开价600元，表示可查某股份制银行客户的信息。记者支付部分定金后，卖家表示40分钟左右会发来相关流水信息。约25分钟后，记者发现自己被该卖家“拉黑”。

银行仍存个人信息保护漏洞

据了解，2016年以来，有关部门发现并通报一大批涉及金融等重点行业信息系统及安全监管漏洞，抓获各行业内部涉嫌违规人员3000余名。但当前银行等金融机构中仍存一些隐患值得警惕。

记者了解到，目前部分银行对记录客户信息的纸质资料保护不足，未能及时销毁或失控流出的现象时有发生。部分已“上云”的资料，也存在因操作规范执行、监督不严而导致信息泄露风险大增情况。

部分银行APP涉嫌过度索权致泄露信息风险上升。记者随机测试了多款银行APP，发现其中多家存在不同程度“诱导”用户授权获取手机信息权限，如不同意其隐私条款则不能继续使用。其中，中信银行、中国工商银行等建议用户同意读取拨打电话及通话管理，照片、媒体内容及文件，获取位置信息等信息，否则相关功能将无法使用。且该类授权属于“一次授权、长期有效”，后期再使用时，系统不再提示授权。

北京师范大学网络法治国际中心高级研究员臧雷表示，根据相关国家标准，金融借贷类APP可以获取的最小权限范围为存储权限。机构应尽量遵循最小索权原则，尽量不因存储权限之外的权限影响用户使用APP的关键功能。

某银行风控部门工作人员向记者透露，目前大多数银行APP都涉及技术外包合作方，尽管在遴选时对合作企业背景、安全性有一定考量，但合作企业部分员工泄露信息的风险仍然不小。

强化保护急需提升

“法律+技术”防护力

如何才能堵上银行等金融机构中的个人信息安全漏洞？中国人民银行某省级分行工作人员建议，对于问题较为严重的银行应追究其法律责任，不能仅“内部处理”了事。

专家表示，当前我国已有部分法律法规规范性文件涉及个人金融信息的刑事保护、内控制度保护和技术规范，且相关立法仍在推进中。

北京师范大学法学院数字经济与法律研究中心主任汪庆华表示，目前的个人信息侵权民事救济机制仍然着眼于弥补实际损失，难以对故意侵权者在法律上形成有力约束。建议对非法披露他人信息、故意侵害他人信息权利的行为设定最低赔偿金额，加大惩罚力度。

新华社