银行私查用户征信信息被罚 | 泄露隐私信息高管将20年监禁

近日，在中国人民银行行政处罚公示信息中，中国农业银行某支行被中国人民银行处罚，原因是其未经客户本人签名授权进行信用报告查询，共计罚款17万元。

近4个月，全国至少26家银行因违反《征信业管理条例》被处罚，其中，8家银行因未经客户本人同意或书面授权查询征信信息被罚，最严重者被罚款50万元，直接责任人被移交公安机关。

在中国人民银行网站，今年7-10月的全国各地银行发生的因征信管理不当处罚事件，比如违反《征信业管理条例》、未经信息主体书面授权同意查询个人信息等。据不完全统计，近4个月，全国至少26家银行被罚。其中，8家银行因未经客户本人同意或书面授权被罚。在这26起行政处罚中，银行最低被罚款1万元，最高被罚款50万元。

据了解，征信业管理条例第四十条规定，向金融信用信息基础数据库提供或者查询信息的机构违反以下内容：未经同意查询个人信息或者企业的信贷信息等，可对单位处5万元以上50万元以下的罚款，对直接负责的主管人员或其他直接责任人处以1万元以上10万元以下罚款，构成犯罪的，依法追究刑事责任等处罚。

由此可见，银行被罚款50万元，是上述规定的处罚上限，即所谓的“顶格处罚”。

在统计数据中，尽管大多数直接负责主管人员或其他直接责任人被处以1万元、2万元不等的罚款，但也有严重者。

例如，中信银行某分行因未经同意查询个人或者企业的信贷信息，直接责任人侵犯公民个人信息，涉嫌犯罪，已移送同级公安机关。

个人征信包含个人的身份类、住宅类等敏感信息，以及个人电话、医疗、汽车贷款、房产贷款及信用贷等信息，最主要的是个人名下贷款、信用卡等信息。查询征信比较关注的是个人贷款情况，比如信用卡额度、是否有逾期记录、社保缴存单位及是否正常缴存等信息。

关于查征信，每个银行都有规章制度，虽然要求可能不尽相同，但所有的要求都是围绕以下几个方面：首先，查征信要有授权查询书，必须征信查询人本人签字授权，银行的客户经理必须双人面签。

其次，征信查询人需要出具身份证，然后银行留存身份证复印件，并且需复印正反面。

再有是银行各级领导签字，签字完成之后才能查询。并且，该工作人员指出，征信系统会记录查询次数及查询机构、原因等内容。

“人民银行下来检查的时候，会检查银行提供查询征信的授权书和身份证等证件是否齐全，不健全的话会现场作出处罚。”该工作人员表示，这是他了解到的情况之一。

美国东部时间11月1日，美国参议员Ron Wyden公开的一份立法草案给呼声颇高的隐私保护立法又添了一剂“猛药”。草案提出，一定规模以上的企业需每年提交由CEO签名的数据保护报告，若企业被发现违规，CEO可面临20年监禁和500万美元的罚款。

今年以来，各国的隐私立法进入了快车道，坐拥诸多互联网巨头的美国也不例外。继6月通过《2018美国加州消费者隐私法案》之后，就不时有特朗普秘密约见硅谷科技巨头高管、全美隐私法案可能正在酝酿之中的消息传出。

9月底，苹果、谷歌、推特、亚马逊、AT&T、美国有线电视运营商Charter在由美国参议院商业、科技和交通委员会召开的听证会上，一致表态将“支持出台联邦隐私法案”，似乎进一步坐实了上述猜测。据该委员会会长John Thune透露，他正在参与推进联邦隐私保护立法的工作，但今年内暂时无望通过。

在企业和政府的博弈中，数据泄露事件依然层出不穷。听证会刚结束2天，Facebook就曝出可致5000万用户信息泄露的漏洞，谷歌也一度因为在关闭位置授权的情形下依然继续收集用户位置信息陷入隐私争议。

“是时候给这片灰色的信息共享网络洒点阳光了”，Wyden在给路透社的一份声明中表示——他显然已经等不下去了。这位长期活跃在网络安全和隐私领域前线的俄勒冈州民主党议员周四公开了一份隐私立法草案，并命名为《消费者数据保护法案》。该草案仅适用于收集了100万人以上个人信息且年收入超过5000万美元的企业。

草案提出，美国联邦贸易委员会（Federal Trade Commission, 简称FTC）应该拓展自己的权限范围，把隐私违规问题也纳入监管。企业应向FTC提交有CEO签名的年度数据保护报告。如果企业被发现违规，CEO最高可面临20年监禁和500万美元（或近三年最高年度工资的25%）的罚款。

与此同时，草案规定，FTC还应被赋予惩罚隐私违规操作的权力，比如可以开出高达企业全球年收入4%的巨额罚单，这个规定暗合了欧盟《一般数据保护条例》的最高罚款标准。考虑到FTC因此增加的工作量，Wyden建议招聘一个首席科技官和50名工作人员，专门负责监测用户隐私被滥用的情况。

此外，草案还提到要创立一个国家级别的“Do Not Track（不要追踪）”网站，让人们可以自主选择是否退出互联网上的任何数据共享功能。这与《2018美国加州消费者隐私法案》中关于在网站主页提供“不得出售我的个人信息”链接的设定有共通之处。

“当下的经济环境就像一个吸取你的个人信息的巨型吸尘器，你读了什么、去了哪、买了什么、和谁说过话都被吸进了企业的数据库里。但是人们对于他们的数据是怎么被收集的、怎么被使用和共享的却知之甚少”，Wyden说，“我的草案为消费者创造了一个合理的透明度，给了他们工具以掌控自己的信息，也给了他们严格的保护条款以捍卫自己的权利。”