文｜消金界

“大银行也不见得就靠谱。”丸子这样对消金界说。

和大多数年轻人一样，丸子现在已经很少带太多的现金，前段时间突然急需现金，就就近在交通银行ATM机上，用信用卡取了5000元。

过了几天，正在上班的丸子接到一个电话，对方介绍自己说是光大银行的客户经理，与交通银行有合作关系，问丸子是否有资金需求，可以提供5至50万额度的贷款，利息优惠。

丸子说了“不需要”就把电话挂掉了，但忙完工作打开微信后，发现对方竟然加了自己微信。

自己在交行信用卡上取了一次钱，然后接到自称与交行有合作关系的光大银行客户经理的电话。因为丸子从事的也是金融行业的工作，所以特别想搞清楚对方是怎么知道自己的联系方式的。

于是丸子通过了光大银行客户经理的微信好友申请。

丸子反复问了对方是不是贷款业务的代理，对方多次强调，不是代理就是光大银行员工。

丸子问对方“是不是因为我在交通银行信用卡上取钱了，你们才以为我最近需要钱，才联系我的？”

自称是客户经理的这位在微信上回复称：“我们是银行的信用贷款，因为你和我们的合作方交通银行有合作，而且我们了解到您资质比较好，所以我们银行有利率低信贷，优先给像您这些优质客户使用。”

果然是因为在交行取了钱才接到光大银行的贷款电话的。这才有了开头丸子对消金界吐槽的那句话：大银行也不见得就靠谱。

其实对于个人信息的泄露，像很多人一样，丸子已经见怪不怪了。但是这次经历仍然让她比较吃惊。个人信息，竟然通过交通银行这样的大银行泄露出去，让她感到不可思议。

所谓合作

银行之间，真的会有那位客户经理所称的“合作”吗？

上海的一位银行客户经理告诉消金界，这位客户经理多次强调自己是正规银行的，并且说和交通银行有合作，应该就是想强化“银行”的标签，显得正规，获取客户的信任。

但是就公司层面讲，银行之间不会有这种“合作”。银行之间，业务的同质性比较强，尤其是个人业务，竞争还是大于合作，不会出现共享客户这种事情。而且，银行与客户之间，银行内部，都有很多保密条款，银行风控很严谨，不会堂而皇之的“共享”客户信息。

虽然丸子对这种情况感到匪夷所思，但一位国有大行的银行客户经理却云淡风轻地表示，没有什么大惊小怪的，这种情况“很正常”，在银行间并不少见。

“先不说银行间挖人，挖来挖去就是在挖优质的客户。即使不是这种情况，客户信息在银行间倒来倒去也很正常。”

而一位银行审计部门的员工却说，现在他所在的银行，对泄露客户信息的行为是“零容忍”。他表示，在信息保护上，内部控制制度一直都有，以前确实可能把控不严，但是从去年开始，各个环节都进行过排查。尤其是查询的权限开始严格控制，很多岗位被取消了查询权限。银行这么做，就是为了防止客户信息的泄露。

内控问题

一边是一线业务员表示“很正常”，一边是中后台表示“零容忍”，这其中折射出的，恐怕还是银行内部控制问题。

监管规定，银行内部接触个人金融信息岗位的从业人员，在上岗之前要签订保密承诺，但是现实中，还是会出现丸子所经历的那样，个人信息被泄露出去。

可见，合规政策是一回事儿，银行内部执行层面能不能管好员工又是另外一回事儿。

前面那位客户经理对消金界分析到，自称光大银行客户经理的人，能非常精准掌握丸子最近的取钱的信息，并且多次说与交行有合作。这很有可能就是银行间的信息泄露。

另外，不排除个别不合规的客户经理将用户信息泄露给其他机构，其他机构再泄露给光大银行。

但无论是哪种渠道，应该都是个人层面的行为。消金界了解到，交通银行在个人信息保护方面也有严苛要求。据媒体报道，交行某分行建立了信息安全领导机制，成立信息科技管理与信息安全保障委员会，工作由一把手亲自抓。这足以说明大行在个人信息保护方面，足够重视。

然而发生如此事件，银行在用户信息保护内控工作上，还需要重新梳理。

难以主张的权利

站在用户角度来看，即使明知道自己的个人信息被泄露，但几乎没有什么措施可以采取。

丸子在吃惊之余，即使确认了基本事实，个人也没有时间和精力去“维权”，只能听之任之。

个人与大的机构是不“平等”的。这就更能理解，为何监管最近频频出台涉及“用户个人信息保护”的法规。

消金界此前曾报道《个人金融信息（数据）保护试行办法》初稿已经出炉（点击左侧蓝字可跳转查看），其中规定“银行不得以概括授权的方式，取得信息主体对收集、处理、使用和对外提供个人金融信息的同意”。其实此规定大有玄机。

消金界注意到，央行规定银行在使用用户个人金融信息的时候，除了不能出售个人金融信息以外，还不能向本金融机构以外的其他机构和个人提供用户个人金融信息。

但是以交通银行信用卡APP买单吧的用户隐私权政策为例，在对外提供个人信息方面，列举了诸多对外提供个人信息的情况，其中包括“为风险分析和管控目的，向其他金融机构提供姓名、身份证号、信用卡账户和交易信息。”

隐私权政策与其他服务协议一样，都是以“概括授权”的方式同意的。也就是说，在接受交行信用卡服务的同时，已经“一揽子”同意了交行所提出的服务协议和隐私权政策。

这种情况不仅仅存在于交通银行，几乎所有银行的服务协议和隐私权政策都是通过“概括授权”的方式实现的。

这样，因为客户已经事先“同意”了银行的隐私权政策，那么就更难主张自己的权利。这其实就是银行业的“霸王条款”。

这样看，只能靠法律法规与严监管来解决了。

除了针对银行业的《个人金融信息（数据）保护试行办法》即将出台，10月25日，“两高”还公布了《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》，（以下简称《解释》）在用户信息泄露方面，该解释规定，泄露用户交易信息五万条以上的，将被认定为“造成严重后果”。

而在更高的立法层面，最近有媒体报道，《个人信息保护法》的专家意见稿已经出炉，个人信息保护的立法工作正在加速进行。

从《个人信息保护法》到《个人金融信息（数据）保护试行办法》，再到“两高”的《解释》，可以看到，在个人信息保护上，真正有威慑的法律法规将越来完善。