【热点分析】“池子”个人银行账户交易明细遭泄露事件的法律评析
“池子”个人银行账户交易明细遭泄露事件的法律评析
互联网法治研究
近来,脱口秀演员王越池(艺名“池子”)与其老东家上海笑果文化传媒有限公司(以下简称“笑果文化”)的争议上了微博热搜。其中争议的一大焦点,也是将舆论推向高潮的一点,就是王越池在中信银行股份有限公司虹口支行(以下简称“中信银行”)近两年的个人银行账户交易明细被笑果文化查询、获取,之后笑果文化据此向上海市虹口区人民法院(以下简称“虹口法院”)申请了仲裁前的财产保全。本文拟梳理目前为止该案的相关公开信息并仅就目前公布的情况出发尝试分析中信银行与笑果文化的法律责任。
一
事件的来龙去脉梳理
2020年5月6日,王越池在其个人微博(微博名称:池子池子大池子)中发长文公示了其与老东家笑果文化之间的纠纷。在文中,王越池称“在笑果文化寄给我的案件材料里面,我竟然发现了我在中信银行的个人账户交易明细”。并且其后王越池称“你也没有我的身份证,你也没有我的银行卡, 你也没有司法机关的调查令,笑果文化竟然能从中信银行拿到我近两年的流水还打印出来,你为什么不干脆把余额全取出来拿走呢?之后我们打电话给中信银行,中信银行说这是配合大客户的要求。”并在微博消息后附上了一份律师函。
图片:王越池微博当中公布的律师函
同日,笑果文化在其微博(微博名称:笑果工厂)发布声明称其与旗下艺人王越池的相关纠纷正在进行相关仲裁程序,而且笑果文化依流程采取了财产保全等法律行动。至于王越池提及的个人信息问题,笑果文化并未予以回应。
图片:笑果文化在微博中发布的声明
5月7日凌晨0:56,中信银行在其官方微博(微博名称:中信银行)发布致歉信,称“经我行核实,近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池先生支付劳务工资记录时,我行员工未严格按规定办理,提供了王先生的收款记录。”并向王越池公开郑重道歉。中信银行表示,“已按制度规定对相关员工予以处分,并对支行行长予以撤职”。
图片:中信银行官方微博公布的致歉信
7日下午,上海市虹口区人民法院答复新闻记者称:该案系仲裁前财产保全案件,虹口法院未有实体案件,虹口法院根据申请人的申请依法作出仲裁前财产保全,财产保全符合法律规定。对笑果文化调取个人用户银行流水的行为,虹口法院表示,该院没有签发过调查令。
图片:虹口法院回复的微博新闻
9日,中国银保监会消费者权益保护局在银保监会官网发布了《中国银保监会消费者权益保护局关于中信银行侵害消费者合法权益的通报》(银保监消保发〔2020〕5号),《通报》中称,将按照相关法律法规,启动立案调查程序,严格依法依规进行查处。
图片:中国银保监会消费者权益保护局关于中信银行侵害消费者合法权益的通报
二
当事各方的法律责任
(一)中信银行的法律责任
1.行政责任
根据2015年修正的《中华人民共和国商业银行法》(以下简称“《商业银行法》”)第六条,“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”结合《民法总则》第一百一十一条的规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”因此,商业银行应当保障存款人的个人信息。这一点事实上已经被《商业银行法》第二十九条所明示,该条第一款规定,“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。”此处提到了“为存款人保密”。同条第二款规定,“对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”此处有一个“但法律另有规定的除外”这样一个但书规定。但是,检索相关法律规定,本案这种未经存款人同意,仅仅因为与存款人有仲裁纠纷而无任何手续地查询存款人的储蓄存款情况和交易记录,并无相应的法律规定。
因此,在本案当中,中信银行擅自将其存款人王越池的银行流水披露给笑果文化或者其代理律师,违反了《商业银行法》第二十九条。
事实上,我国在个人金融信息保护方面高度重视,也实施了很多规定。笔者在此仅就商业银行的个人金融信息保护问题将相关规则作简要梳理。
回过头来,既然中信银行违反了《商业银行法》第二十九条,那么其行政方面的责任为何。根据《商业银行法》第七十三条第二款,“有前款规定情形的,由国务院银行业监督管理机构责令改正,有违法所得的,没收违法所得,违法所得五万元以上的,并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五万元的,处五万元以上五十万元以下罚款。”这里的前款规定,主要是“(三)非法查询、冻结、扣划个人储蓄存款或者单位存款的;(四)违反本法规定对存款人或者其他客户造成损害的其他行为。”
结合到本案,首先银保监会会责令中信银行改正相关违法行为(实际上就目前来看,银保监会已经开始行动了)。其次,如果中信银行并未因该违法行为而有所得的情况下,中信银行可能会承担最低五万元最高五十万元的罚款。
值得注意的是前述一系列的责任,其责任主体是商业银行,也就是本案的中信银行,而非具体的自然人。而同法第八十九条则规定了该情形下相关自然人的责任。例如,第八十九条第一款规定,“商业银行违反本法规定的,国务院银行业监督管理机构可以区别不同情形,取消其直接负责的董事、高级管理人员一定期限直至终身的任职资格,禁止直接负责的董事、高级管理人员和其他直接责任人员一定期限直至终身从事银行业工作。”这就是关于职业禁止的规定。然后同条第二款又规定,“商业银行的行为尚不构成犯罪的,对直接负责的董事、高级管理人员和其他直接责任人员,给予警告,处五万元以上五十万元以下罚款。”
此类事件事实上之前发生过。通过天眼查检索发现早在2018年9月中信银行太原分行就曾因侵犯公民个人信息问题受到行政处罚(并银罚字[2018]10号)。
图片:中信银行股份有限公司太原分行天眼查检索结果
2.刑事责任
《中华人民共和国刑法》第二百五十三条之一规定了侵犯公民个人信息罪。该条共有四款。
《刑法》第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
本案的情形,是属于将在提供服务过程中获得的公民个人信息提供给他人。这种情况下,适用第二百五十三条之一第二款规定。分析该款可知,适用该款需要满足这样几个条件:第一,违反国家有关规定;第二,行为对象是公民个人信息,且此处公民个人信息的范围是“在履行职责或者提供服务过程中获得的公民个人信息”;第三,行为方式是出售或者提供给他人。另外值得注意的是,该第二款的规定,虽然并没有像第一款那样直接将“情节严重”作为构成犯罪的要件以及将“情节特别严重”作为法定刑升格的条件,但是通过“依照前款的规定”,以及通过自2017年6月1日起实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称“《解释》”)相关条文可以得知,事实上第二款仍然要强调“情节严重”与“情节特别严重”。同时还有一个犯罪主体的问题。以上各点将在下文详细展开。
(1)关于“违反国家有关规定”
自2017年6月1日起实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第二条指出,“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”这一规定事实上就把“国家有关规定”扩展为法律、行政法规、部门规章这三类规范。在本案中,中信银行作为商业银行,其所违反的是《商业银行法》第二十九条的规定,因此在“违反国家有关规定”这一要件上是没有什么争议的。
(2)关于“在履行职责或者提供服务过程中获得的公民个人信息”
《解释》第一条就指出,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”实践中虽然对于公民个人信息的范围颇具争议,但是像本案中所涉及的个人银行账户交易明细(或宽泛来说的个人金融信息)属于“公民个人信息”这一点并无争议。甚至说从一开始规制侵犯公民个人信息行为时,关注的便是个人金融信息等个人信息。早在2013年的《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)中就指出“部分国家机关和金融、电信、交通、教育、医疗以及物业公司、房产中介、保险、快递等企事业单位的一些工作人员,将在履行职责或者提供服务过程中获取的公民个人信息出售、非法提供给他人。”因此,关于本案所涉及的个人银行账户交易明细是否属于刑法第二百五十三条之一的个人信息的范围,事实上还是比较清楚的。
(3)关于“出售或者提供给他人”
《刑法》第二百五十三条之一第二款规定的行为方式是“出售或提供”。“出售”一词应该是没有什么疑问的,而且本案中中信银行将个人信息给到笑果文化的行为似乎并不属于“出售”。那么什么是“提供”呢?《解释》第三条规定,“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”
根据《刑法》第二百五十三条之一第二款结合该《解释》第三条,本案中,中信银行将王越池的个人银行交易信息提供给笑果文化,属于提供公民个人信息给他人。
(4)关于“情节严重”
需要指出的是,《刑法》第二百五十三条第二款,仍然以“情节严重”作为犯罪的构成要件,仍然以“情节特别严重”作为法定刑升格的要件。第三款也是一样。关于这一点,全国人大法工委编写的《中华人民共和国刑法释义》中已经作出了相应的说明。至于如何为“情节严重”,如何为“情节特别严重”,《解释》第五条给出了具体的标准。由于该条文至关重要,笔者在此展示该条文。
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
关于案涉个人银行账户交易明细的定性是“财产信息”还是“交易信息”是十分重要的。笔者认为,就本案目前所披露的情节来看,本案有可能不适用《解释》第五条第一款的第三项,因为案涉个人银行账户交易明细似乎并非财产信息而是交易信息。2018年11月9日公布的《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号,以下简称“《指引》”)就指出,“对于财产信息,既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产、车辆等财产状况信息。”而本案这种个人银行账户交易明细首先当然不属于金融服务账户的身份认证信息,亦难谓这是存款状况信息,这仅仅是展现交易往来的信息。似乎更可能属于《解释》第五条第一款的第四项中的交易信息。这种定性实际上是很重要的,因为它关系到达到定罪要求的数量大小的问题。目前公安部门似乎还没有开始介入,待公安部门介入后我们再看司法过程中对案涉信息的定性。
至于数量的要求,需要引起注意的是,根据《解释》第五条第一款的第八项规定,将在提供服务过程中获得的公民个人信息出售或者提供给他人数量达到第三项至第七项规定标准一半以上的,即可构成“情节严重”。如果最终认定案涉个人银行账户交易明细为财产信息,则仅需要涉及二十五条以上,如果最终认定案涉个人银行账户交易明细为交易信息,则仅需要涉及二百五十条以上。
(5)关于“情节特别严重”
值得注意的是,《解释》第五条第二款规定,实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”,该款共规定了四项情形,分别是:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;(四)其他情节特别严重的情形。
本案中尤其要注意的是第二项中的造成“恶劣社会影响”,王越池与笑果文化公司的纠纷,在微博上被公众得知,进而连日多次登上微博热搜,各大媒体也纷纷报道。在如今这个大众媒体、自媒体高度发达的时代,这个案件迅速升温,影响快速扩大,导致了社会公众对个人金融信息和个人财产安全的普遍恐慌和对商业银行等机构的不信任,此社会影响难谓不恶劣,因此本案有一定可能升级为“情节特别严重”。如果真是这样的话,那将面临非常严重的刑罚。
(6)关于“单位”
从目前中信银行方面发布的致歉信来看,中信银行似乎把泄露个人信息的事件推脱到职员身上。如果本案真的如中信银行的说法,那么该职员或许将面临刑事责任。但是如果中信银行才是这个事件的行为主体,那么除了中信银行对本案直接负责的主管人员和其他直接责任人员将被依照《刑法》第二百五十三条之一各款的规定处罚之外,中信银行也或将因《刑法》第二百五十三条之一第四款的规定而被判处罚金。
此处需要讨论的是,中信银行虹口支行的公司类型为“其他股份有限公司分公司(上市)”,那么分公司可以独立承担刑事责任吗?答案是可以的。根据最高人民法院2001年1月21日发布的《全国法院审理金融犯罪案件工作座谈会纪要》(法〔2001〕8号),“以单位的分支机构或者内设机构、部门的名义实施犯罪,违法所得亦归分支机构或者内设机构、部门所有的,应认定为单位犯罪。”相似的规定也出现在2002年4月1日发布的《上海市高级人民法院刑庭、上海市人民检察院公诉处刑事法律适用问题解答》。但是需要注意的是中信银行虹口支行作为分支机构来承担责任的话,需要满足几个要件:第一,以该分支机构的名义;第二,违法所得归该分支机构所有。
3.民事责任
根据《商业银行法》第七十三条第一款第三项及第四项,“商业银行有下列情形之一,对存款人或者其他客户造成财产损害的,应当承担支付迟延履行的利息以及其他民事责任:(三)非法查询、冻结、扣划个人储蓄存款或者单位存款的;(四)违反本法规定对存款人或者其他客户造成损害的其他行为。”结合到本案,中信银行违反《商业银行法》的规定,非法查询个人储蓄存款并非法提供个人银行账户交易明细,需要承担民事责任。
《民法总则》第一百一十一条规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”本条结合侵权责任法的相关规定,中信银行或许需要承担赔偿损失等民事责任。例如,根据现行《侵权责任法》第二十一条,“侵权行为危及他人人身、财产安全的,被侵权人可以请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。”如果王越池向中信银行主张赔偿损失的话,需要根据《侵权责任法》第二十条的规定确定,其规定,“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定,侵权人因此获得利益的,按照其获得的利益赔偿;侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”同时,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》似乎也可以为赔偿数额的计算提供依据,其第十八条第一款规定,“被侵权人为制止侵权行为所支付的合理开支,可以认定为侵权责任法第二十条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。”第二款规定,“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”
(二)笑果文化的法律责任
对于笑果文化的法律责任,此处重点谈其刑事责任,这主要涉及到《刑法》第二百五十三条之一第三款的规定,该款规定,“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”此处主要涉及笑果文化获取王越池个人信息的方法问题。若按照目前王越池在个人微博中披露的说法,是因为笑果文化是中信银行的大客户从而便将相关个人信息提供给笑果文化了,那么笑果文化这种获取方法是否能归入《刑法》第二百五十三条之一第三款中的“以其他方法非法获取”的范围中呢?
《解释》第四条似乎可以回答这一问题。其规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。” 该条明示三种“其他方法”--购买、收受、交换,当然,还有一个“等”字,是不完全列举。购买自不难理解,从目前公布出来的信息看,本案不存在购买个人信息的问题。至于收受,《指引》指出,“侵犯公民个人信息犯罪作为电信网络诈骗的上游犯罪,诈骗分子往往先通过网络向他人购买公民个人信息,然后自己直接用于诈骗或转发给其他同伙用于诈骗,诈骗分子购买公民个人信息的行为属于非法获取行为,其同伙接收公民个人信息的行为明显也属于非法获取行为。”本案似乎也不属于这种情况。还有交换,根据《指引》,主要指的是一些房产中介、物业管理公司、保险公司、担保公司的业务员往往与同行通过QQ、微信群互相交换各自掌握的客户信息,这种交换行为也属于非法获取行为。至于本案中笑果文化这种获取个人信息的方式,笔者认为现有列举的方式似乎并不能将之包含进去,但是如果要认为这种方式属于“其他方法”的话,那么或许可以对《解释》第四条的“等”字继续作一番解释。
在个人银行账户交易明细的定性方面究竟属于“财产信息”还是“交易信息”实际上是跟中信银行的部分是统一的,此不赘述。
事实上在个人信息条数等方面,跟中信银行刑事责任的判断上还是有所区别的。原因在于中信银行是属于“在提供服务的过程中”,落入到《解释》第五条第一款第八项之中了,因此有一个减半的规定,而对于笑果文化来讲,不存在适用该项的情况。因此从数量上来讲实际上笑果文化的刑事定罪门槛是要比中信银行更高的。
至于笑果文化的民事责任,与中信银行的分析方式相同,此不赘述。
三
结语
上述仅仅是对王越池与笑果文化、中信银行个人信息泄露事件中笑果文化与中信银行可能承担责任的分析。从目前事件的进展来看,上海银保监局已经针对中信银行的相关违法行为展开调查,行政方面的动作已经开始。但是目前从公安部门这边来看,公安部门目前还并没有什么动作,可以拭目以待。至于民事责任方面,目前王越池还并未主张中信银行、笑果文化就个人信息泄露事件提起民事诉讼主张救济。我们目前可以静观事态的发展。相信该事件最终必会被公允地解决。
编者按:
本文由互联网法治研究院(杭州)研究助理、华东政法大学硕士研究生李群涛撰写,由互联网法治研究院(杭州)专职研究员、华东政法大学助理研究员王镭审校 ,互联网法治研究院(杭州)秘书处徐静赛编辑。
互联网法治研究院 原创发布
往期精选
专注“互联网法治”研究👉