中信銀行處罰員工體現什麽原則
首先,從處罰決定書披露的信息看,涉事銀行在個人信息保護方面存在的違法違規事實包括:客戶信息保護體制機制不健全;櫃面非密查詢客戶賬戶明細缺乏規範、統壹的業務操作流程與必要的內部控制措施;客戶信息收集環節管理不規範;客戶數據訪問控制管理不符合業務“必須知道”和“最小授權”原則;對客戶敏感信息管理不善,致其流出至互聯網等。應該說,處罰決定書披露的這些問題相當嚴重。可以說,由於內部管理機制的不完善,類似池子事件的發生,是早晚的事情。
從另外壹個角度看,法律要求銀行等金融機構履行的個人信息保護責任,並不是像公眾所理解的,只是“未經過本人允許,不能把客戶信息告訴別人”這麽簡單。事實上,保護個人信息需要的是壹套嚴密的隱私與個人信息保護制度體系,且這套制度體系必須融入機構日常業務運作的所有流程和環節中。比如,制定銀行業務流程,在涉及客戶信息查詢時,不僅要有明確的授權層級與授權關系,還要有其他內控機制;如果相關數據處理、存儲業務外包給第三方,則需要有嚴格的管理要求和監控制度等。這些措施是個人信息保護制度得以有效發揮作用的基礎框架。
在這方面,個人信息保護法草案中也有明確規定:個人信息處理者需要建立諸多內控制度,甚至是安排專門的責任人來負責落實個人信息保護合規方面的法律要求。就此而言,任何市場主體都必須意識到,個人信息保護制度是壹個制度體系,其中任何環節出現紕漏或者不到位,都屬於違法違規,都應承擔責任。這是本案折射出來的第壹個重要意義。