1、征信信息泄露征信信息泄露风险风险防范防范刑法相关规定2009年2月28日起施行的刑法修正案(七)增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。刑法修正案(七)施行后,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人背景2015年11月1日起施行的刑法修正案(九)对刑法第二百五十三条之一作出修改完善:扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;明确规定将在履行职责或者提供服务过程中获得的公民个人信
2、息,出售或者提供给他人的,从重处罚;加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。背景刑法修正案(九)施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。征信信息泄露涉刑2017年5月9日最高法发布最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释及相关典型案例法释20171
3、0号,自2017年6月1日起施行刑法相关规定 第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。最高法司法解释第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电
4、子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。第三条向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外
5、。最高法司法解释第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(十)其他情节严重的情形。第十二条对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。最高法司法解释总结:包括未签署征信
6、授权书即向征信系统报送最高法司法解释实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;造成重大经济损失或者恶劣社会影响的;数量或者数额达到前款第三项至第八项规定标准十倍以上的;其他情节特别严重的情形。最高法司法解释总结:包括未签署征信授权书即向征信系统报送案例一2015年9月3日至4日,被告人韩世杰、旷源鸿、韩文华利用连光辉(湖北省巴东县农村商业银行沿渡河支行征信查询员)的征信查询ID号、密码及被告人李冲、耿健美(洛阳银行郑州东风路支行客户经理)提供的洛阳银行郑州东风路支行的银行专用网络,
7、在该行附近使用电脑非法查询公民个人银行征信信息3万余条。2015年9月5日至6日,被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询ID号、密码及被告人李楠、卢惠生(德州银行滨州金廷支行行长)提供的德州银行滨州分行的银行专用网络,在该行南面的停车场内,使用电脑分两次非法查询公民个人银行征信信息2万余条。案例一2015年9月8日,被告人韩世杰、旷源鸿、韩文华利用李涛(江苏省淮安市农村商业银行徐溜支行职工)的银行征信查询ID号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络,在该行南面的停车场内,使用电脑非法查询公民个人银行征信信息近3万条。被告人韩亮、邓佳勇获得征信查询ID号、密码并非法提
8、供给被告人韩世杰等人使用,双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信信息出售给他人,向被告人韩亮、李冲、李楠支付了相关费用。裁判结果湖北省巴东县人民法院判决认为:被告人韩世杰等违反国家有关规定,非法获取公民个人信息出售牟利,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白、积极退赃等情节,以侵犯公民个人信息罪判处被告人韩世杰有期徒刑一年六个月,并处罚金人民币二万元;被告人旷源鸿有期徒刑一年三个月,并处罚金人民币二万元;被告人韩文华处有期徒刑一年二个月,并处罚金人民币一万元;被告人韩亮有期徒刑一年,并处罚金人民币一万元;
9、以及其他各被告人相应有期徒刑、拘役和罚金。案例二案例三案例四平安银行珠海分行拱北口岸支行倒卖信用报告案例徐某违规提供22份信用报告给林某,徐某并未牟利,林某以100-200微信出售给他人。该银行客户经理徐某被判处有期徒刑六个月,缓刑一年,并处以罚金人民币五千元。案例五银行未经同意查询个人信用报告引发纠纷案消费者张某向某人行投诉,某银行未经同意查询其个人信用报告一次。该银行查询未为某小贷公司私下提供征信查询,身份信息由中介公司人员提供,授权书非本人签字。投诉人一边投诉一边要求银行赔偿案例五最终处理结果,对某行罚款35万,该行分管行长、部门责任人、当事人分别罚款2万、2万、6万。查询员被辞退人行监
10、管趋严2017年5月以来,人民银行针对征信管理开展大规模执法检查,处罚多家银行和相关责任人员人行近期处罚情况人民银行红河州中心支行发布发布的一则行政处罚决定书显示,开远市农村信用合作联社因违反管理规定,被处以70000元罚款的处罚。处罚日期为10月16日。人行近期处罚情况中国人民银行西安分行网站发布行政处罚信息显示,长安银行商洛分行因违反征信管理、金融统计、支付结算、人民币管理、反洗钱等相关法律法规规章,给予其警告,并罚款155000元。作出行政处罚决定日期为2017年10月20日。人行近期处罚情况人民银行玉溪市中心支行对中国银行股份有限公司玉溪市分行作出罚款人民币6万元的处罚。据悉,该行违法
11、行为类型为违反征信管理规定的行为。处罚日期为10月23日。监管要求12月6日人民银行发布关于开展征信信息泄露风险全面自查自纠工作的通知,对若干可能造成征信信息泄露风险的问题罗列如下:查询方面:1.信用报告被查询人不是本机构客户或客户关系人。2.查询企业和个人信用报告未取得被查询人授权。3.存在先查询后授权情况。4.存在代理第三方机构查询情况(包括小贷公司、担保公司、财富公司、保险公司、村镇银行等)。5.存在查询授权书授权时间、查询用途、被查询人签名等要素填写不全情况。6.未上线并使用查询前置系统。查询方面7.未对个人信用报告进行脱敏展示、结构化展示和自动解读。8.查得的信用报告可以下载、拷贝、
12、转移及多次打印。9.未对查询行为设置风险阀值并实时监测。10.在与外部网络相连接的机器上设置查询功能。11.其他可能造成信息泄露的问题。用户管理方面12.管理员用户、数据上报用户和信息查询用户的职责及操作规程不符合个人信用信息基础数据库管理暂行办法及金融信用信息基础数据库用户管理规范要求,用户(含前置系统用户)未及时向所在地人民银行分支机构备案。13.管理员用户、数据上报用户和查询用户互相兼任。14.设置公共用户。15.为非正式员工、非本行工作人员(包括村镇银行)开设查询用户,或将本行用户提供给其他无关人员使用。16.员工变动岗位后未及时调整用户及权限。用户管理方面17.员工离职或长期不在相应
13、岗位未及时停用其用户。18.实际查询用户未与接口查询用户一一进行映射。19.管理员用户密码未封存。20.用户未定期更新密码。21.用户密码设置过于简单。22.对外出借或出售征信系统查询用户及密码。23.未建立用户和IP地址的关联。24.其他可能造成用户泄露的问题。异常查询处理方面25.本机构各用户的平均日(月)查询及日(月)最高查询量与实际业务量不匹配。26.对户口所在地、单位地址或联系地址不属本地的客户,未核实查询行为的真实性合规性。27.对非工作时段进行的查询未逐一核查确认。(重点是22:00-次日6:00期间进行的查询)28.以贷后管理为原因,但信息主体未在本机构办理信贷业务的查询,未逐
14、笔进行确认(确认为法人、高管、配偶及担保人等)。29.对人行反馈的其他异常查询未认真核实或未及时回复。档案管理方面30.与本机构发生信贷业务的被查询人相关查询资料(信用报告、授权委托书、身份证复印件等纸质和电子档案)未归档管理;未留存拒贷客户的查询授权资料。31.系统保存的网页版信用报告、扫描版信用报告、其他从个人征信系统中下载的批量征信数据的使用没有授权机制,这些信用报告可以下载、打印、截屏及转移。32.缓存的信用报告未定期删除。33.其他可能造成信息泄露的问题。其他方面34.未制定完善征信合规及信息安全内控制度。35.未制定完善信息安全责任追究制度。36.工作人员未对工作中知悉的信用信息保
15、密。37.存在工作人员向本机构外或本机构无关人员泄露、出售征信信息的情况。38.对已报送的报文(包括加密后的报文)管理不规范。39.自助查询机处于监控盲区。40.自助查询机开箱钥匙非本行正式工作人员保管。41.硬件设备和网络条件不符合技术要求。42.未定期进行征信合规自查自纠或未定期开展征信宣传教育和培训。43.发生过征信信息泄露案件。(2016年12月1日至今,简要说明案情及后续处置)44.有业务人员牵涉征信信息泄露案件。(2016年12月1日至今,简要说明案情及后续处置)企业综合系统和农信系统方面45.用户密码设置过于简单。46.存在公共用户。47.上传数据后未及时清除。48.用户离职或长期不在岗的未及时报备。49.将系统中企业或农户信息用户工作之外。