7月9日,有媒体报道称,沂南县农商银行湖头支行把含有客户信息的账单等材料,未经处理后当作废品卖掉,引发全网热议,冲上微博热搜。据报道,沂南县农商银行相关负责人彼时回应称,该行正在调查核实,如果确实存在违规行为,将处置并追责。而投诉者则称,他去年就向银行方面致电反映过这一情况,最后不了了之。
7月11日,《每日经济新闻》记者便通过电邮向沂南农商银行发送采访函,然而截至发稿,半个月过去了,记者仍未收到对方正式回复,该行也未发布调查进展和结果。此前该行相关人士通过电话告诉每经记者,该事件正在调查中,如果调查全部完成,才能给予相关回复。
报道所称的材料究竟是何种材料?银行应该如何处理含有客户信息的资料?记者就此采访了多名业内人士。
银行人士:含有客户信息的材料
或交予客户、或上交封存、或到期销毁
某国有大行资深业务主管对媒体报道中的银行单子图片辨认后表示,“这张图应该是回单。右侧写的是第二联,一般来说,第二联是客户回单。”他补充道,“按理说是业务办理完成后交给客户的。”
该主管表示,由于客户回单是交给客户的东西,所以其实没有明确的(保管和处理)规定。但是从风险防控的角度来看,交给客户的时候要提醒客户收好回单,要是客户不要那也应该当天就碎掉。“正规网点一般都会在大厅配碎纸机的,就是为了方便客户处理不需要的资料。”
“交给客户后的保管和处理责任就在客户了,但要是没交给客户,或者给客户了,但客户不要,那么就应该销毁。”该主管明确表示。
对于另一张报道中提及的含用户信息的银行单子,该主管表示,“至于这张单子,应该是凭证。凭证一般有保管期限,每家银行的保管期限也许不一样,但就算是保管到期,也应该是销毁。”
关于“凭证”的具体业务处理流程,该主管也作出了详细解释。
“我们一般把业务传票叫作凭证,当天的凭证,日终柜员检查完没有问题之后就会用压号机打码,打码完了之后填写自己的凭证封面,然后综合柜员把当日所有的凭证收到一起封包,封包之后按日上交市分行,市分行塑封,然后市分行在一定期限内把这些塑封的凭证上交至省分行。省分行有专门存放这些凭证的地方,(存放的地方)特别大,存放到规定的年限再集中销毁。”
该主管强调,从网点操作层面来看,“凭证”必须放在抽屉或者箱子里,如果柜员暂时离开自己的柜台,必须要把凭证锁起来。此外,“自己的凭证必须每天都要整理上交。”
总之,在银行操作层面,含有客户信息的资料无论是交予客户、按流程上交封存、还是保管到期按规定销毁,都不应该流出银行的大门,随意处置。
银行涉敏纸质资料一般统一保密销毁
“泄露客户信息是违法的”
银行的涉敏纸类材料一般如何处理?
某股份制银行对公客户经理告诉记者,“含有客户信息的相关资料,我们会根据业务类型归档管理。比如,贷款业务就归档至贷款资料里,批量开卡业务就整理好后统一归档至业务传票,要是部分无法判别的,就销毁了。”
“如果真的卖废品了,属于泄露信息。现在泄露客户信息是违法的。”他表示。
以《中国银行档案管理》为例,其中载明,银行定期对档案进行鉴定,对于保存价值不高的档案,可以按照相关规定进行销毁。
华东地区一家银行内部人员告诉每经记者,他们涉及客户信息的纸质资料一般都保存在专门的档案室,如有需要销毁的纸质资料,则由对接的保密销毁公司进行处理。“一般由专人负责销毁,要进行销毁申请,然后我们同事跟着一起去,要看到销毁的流程。”
对方进一步表示,由于该银行目前很多业务都在线上进行,每年需要存档或销毁的纸质材料并不多。
另有银行工作人员向每经记者透露,其所在银行的客户纸质资料一般统一保密销毁,最终由大型碎纸机粉碎处理。“每年装好多麻袋,拉走。”
上海一家专业销毁公司表示,他们服务的客户包括银行。“银行首先会找像我们这种专业的机构,然后我们会提供保密销毁,整个过程包括提货、运输和销毁。在纸质材料的销毁环节,我们有三种方式可供选择:焚烧、粉碎或化浆。”
广州的一家专业销毁公司也称,针对银行客户需要销毁的纸质资料,他们一般按照客户的要求进行焚烧、溶浆或粉碎处理。
监管部门:
对侵害消费者金融信息安全行为“零容忍”
数据要素是金融机构的核心资产,随着金融业迈入数字化时代,数据安全、数据管理也成为包括银行在内的各金融机构的重要议题。
《每日经济新闻》记者注意到,为加强个人金融信息保护,早在2019年,央行就将《个人金融信息(数据)保护试行办法》(下称《办法》)下发至部分银行征求意见。
针对个人信用数据会被某些不良机构进行商业化操作,做成数据模型,无限次出售或使用等乱象,《办法》首先对“个人金融信息”下了定义,包括个人原始信息以及延伸信息,比如实名认证四要素——身份证号、姓名、银行卡号、手机号等,也包括账号信息、资产信息等金融信息,以确立保护的对象范围。
中国人民银行有关部门负责人就部分金融机构侵害消费者金融信息安全权案件相关情况答记者问时表示,人民银行一直高度重视消费者金融信息保护工作,坚持对侵害消费者金融信息安全行为“零容忍”,对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。
对个别金融机构员工涉嫌泄露消费者金融信息的情形,人民银行依据属地原则调查立案,发现涉案金融机构存在侵害消费者金融信息安全权的行为,依法依规对涉案金融机构严肃查处。
“一般来说,客户身份资料自业务关系结束后或者一次性交易结束后至少保存5年。”某接近监管部门人士对记者表示,2022年,央行、原银保监会、证监会三大金融监管部门联合发布的1号令,就是《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》(下称《管理办法》)。
《管理办法》规定了金融机构在收集、使用、对外提供个人金融信息时,必须严格遵守法律规定,采取有效措施加强对个人金融信息的保护,确保信息安全,防止信息泄露和滥用。
《管理办法》规定,金融机构应当保存的客户身份资料包括记载客户身份信息以及反映金融机构开展客户尽职调查工作情况的各种记录和资料;金融机构应当保存的交易记录包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。
同时,金融机构应当采取必要的管理措施和技术措施,逐步实现以电子化方式完整、准确保存客户身份资料及交易信息,依法保护商业秘密和个人信息,防止客户身份资料及交易记录缺失、损毁,防止泄漏客户身份信息及交易信息。
金融机构客户身份资料及交易记录的保存方式和管理机制,应当确保足以重现和追溯每笔交易,便于金融机构反洗钱工作开展,以及反洗钱调查和监督管理。
2021年出台的《中华人民共和国个人信息保护法》也载明,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
记者|刘嘉魁 宋钦章
编辑|段炼 张益铭 杜波