近年来，随着我国经济快速发展和信息网络的广泛普及，银行泄露客户个人信息的现象时有发生。笔者对银行泄露客户个人信息存在的法律风险进行了一些思考，对泄露客户个人信息而应承担的民事、刑事及行政责任进行探析，并提出防范措施和建议。

　　目前，我国尚未制订专门保护公民个人信息安全的法律，对公民个人信息的界定散见于不同的法律法规中。如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。《关于依法惩处侵害公民个人信息犯罪活动的通知》（公通字〔2013〕12号）：“二、正确适用法律，实现法律效果与社会效果的有机统一……公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。《中国人民银行金融消费者权益保护实施办法》第二十七条：“本办法所称个人金融信息，是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息”。

　　综上，公民个人信息的内涵是指公民在个人生活领域内不为他人知悉，与公共利益、群体利益无关，禁止他人干涉的个人身份信息、财产信息、金融信息或者涉及公民个人隐私的信息、数据资料等。如姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码、账号密码、财产状况、个人信用记录、行踪轨迹等。

　　笔者认为，公民个人信息具有排他性，不被他人非法侵扰、知悉、收集、利用和公开，具有隐私权的特征，因此，在法理上应当属于隐私权的范畴，受法律保护。

　　（一）民事责任。一是违约责任。合同法第一百零七条规定：“当事人一方不履行合同义务或者履行合同义务不符合约定的，应当承担继续履行、采取补救措施或者赔偿损失等违约责任”。银行与客户在业务上存在合同法律关系，银行应当遵循诚实信用原则和交易习惯对客户的个人信息尽到保密义务。另外，银行大部分业务合同条款中均明确约定对客户的信息负有保密义务。因此，银行泄露客户个人信息的行为属于违约行为，应当承担违约责任。二是侵权责任。《侵权责任法》第二条规定：“侵害民事权益，应当依照本法承担侵权责任”。《消费者权益保护法》第五十条规定：“经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失”。银行泄露客户个人信息的行为属于侵害民事权益的行为，应承担相应的侵权责任，承担侵权责任的方式主要包括停止侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等，承担侵权责任的方式，可以单独适用，也可以合并适用。

　　（二）刑事责任。我国刑法第二百五十三条规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，……单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚”。从刑法该条规定看，银行可以作为侵犯公民个人信息罪的主体。银行侵犯公民个人信息犯罪除判处银行罚金外，对其直接负责的主管人员和其他直接责任人员，将依照各该款的规定作出处罚。

　　笔者认为，法律判定银行存有侵犯公民个人信息罪，至少应当符合三个要件：一是主观方面是故意。如何判定侵犯公民个人信息的行为属于银行自身的行为，笔者认为可结合公司法、银行章程、银行内部职责分工等进行认定，主要表现形式有：A经银行决策层研究决定，由有关人员实施；B经银行主管人员批准，由有关人员实施；C银行主管人员以法定代表人身份实施。如某银行为增加营业收入，召开董事会（理事会）研究决定将获取的客户信息出售给了某公司。二是客观上违反了国家有关规定，实施了出售或非法提供的行为，且情节严重。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，违反“国家有关规定”是指违反法律、行政法规、部门规章有关公民个人信息保护的规定；“情节严重”包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上等十种认定标准。三是侵犯公民个人信息行为的目的是为了银行自身的利益，而不是个人利益。

　　（三）行政责任。根据《消费者权益保护法》第五十六条的规定，经营者侵害消费者个人信息依法得到保护的权利的，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、罚款、责令停业整顿、吊销营业执照。银行在经营中侵害消费者个人信息依法得到保护的权利的，银行业监督管理机构、中国人民银行可依据有关法律法规的规定，责令改正，对其作出警告、罚款、没收违法所得、责令停业整顿和吊销金融许可证的行政处罚，或采取行政强制措施。如根据《中国人民银行金融消费者权益保护实施办法》第四十七条的规定，金融机构有侵害金融消费者合法权益的违规行为的，中国人民银行及其分支机构可以釆取以下措施：约谈其董(理)事会或者高级管理层；责令其限期整改；向其上级机构、行业监管部门、行业内部、社会通报相关信息；依照《中华人民共和国消费者权益保护法》以及相关法律、行政法规、规章进行处罚；中国人民银行职责范围内依法可以釆取的其他措施。

提高信息安全管理意识，加强客户信息保护工作。银行业金融机构应提高对信息安全管理的认识，加强客户信息保护工作，从维护区域金融稳定的高度出发，将客户信息保护纳入全面风险管理体系。一是建立健全客户信息保护制度，及时调整改进各项业务制度、流程及风险防控措施。二是加强信息防护技术，提升网络攻击防护能力，加强客户信息查看、使用等环节的权限管理。三是责任到人，组织签订保密承诺书，明确客户个人信息保护责任。四是加强外包业务管理，定期监测、评估外包风险，防范第三方泄露客户个人信息的风险隐患。

加强业务培训，提升合规意识。银行业金融机构应积极组织员工加强对相关业务操作及规章制度的学习与培训，确保各项业务依法合规开展，养成依法办事、合规操作的良好习惯，确保各个业务环节客户信息安全。加强违规行为责任追究，对泄露客户个人信息的员工，银行业金融机构应严肃内部问责，涉嫌违法犯罪的，应及时移送司法机关处理。

普及客户信息保护宣传教育，畅通投诉处理机制流程。银行业金融机构可以“金融知识进万家”为契机，充分利用银行网点、网站、手机短信、微信公众号、媒体等渠道，开展有关保护公民个人信息的宣传教育活动，提高客户对个人信息保护的意识。建立完善客户个人信息投诉处理机制，从投诉渠道、投诉处理范围、投诉处理程序、投诉申诉部门、投诉档案管理及报告机制、奖惩等方面规范投诉处理机制建设。

加强客户信息安全自查及监督管理。银行业金融机构应将客户个人信息合规风险管理排查工作常态化，指定部门牵头负责，定期开展风险排查，包括业务流程管理、风险管控、信息防护技术、客户服务等。监管部门应持续加强对信息安全的监督管理，将其作为现场检查和非现场监测的重点内容，对信息安全管理存在重大漏洞，发生客户敏感信息泄露，侵害客户信息安全权事件等情况的，责令改正，并视情节轻重，采取行政处罚、行政强制措施等监管措施。