数据泄露案例分析_上海信息数据泄露处罚案例

hacker|
127

中信银行遭遇疯狂声讨背后:不冤,“惯犯”!多次因泄露信息被罚

文 张洋 林夏淅

编辑 ✎ 邢昀

最近银行的幺蛾子真不少。

前脚有中行原油宝事件,让投资者不仅亏了本金,还得倒贴银行一大笔;后脚中信银行被曝泄露个人账户流水,在脱口秀演员池子与其经纪公司笑果文化的矛盾中成为焦点。

原油宝事件涉及到的投资者还只是6万余户,银行流水若未经严格管控,涉及到的可就是正在吃瓜的你我他了。

这一波操作,实实在在撕开了银行的内控问题,失信于客户。目前,上海市银保监局已经介入调查。

01

配角变主角

池子与笑果文化的解约大战,更先倒下的是中信银行。

池子和笑果文化“一拍两散”,原本只是众多艺人与经纪公司合约矛盾中的一例。但池子在笑果文化寄来的材料中发现自己在中信银行的账户流水后,事情就变了味道。

大家吃瓜的主角也变成了中信银行。

根据池子的说法,中信银行为了“配合大客户要求”,未经本人要求和允许,向笑果文化提供个人账户明细。

虽然笑果文化回击称,池子未经允许擅自参加商业活动,自己委托律师 *** 处置双方经济纠纷,采取的财产保全、提起仲裁、证据收集等法律行动,均在法律及合同的框架之下进行。

不过中信银行5月7日凌晨给出的回应承认了自己的违规行为,笑果文化确实联系过开户支行(虹口支行),要求查询其为池子支付劳务工资记录,该行员工未严格按规定办理,提供了池子的收款记录。

中信银行处分了相关员工,撤了支行行长的职,并向池子进行了郑重道歉。

不过这事并没有完,中信银行这波操作秀了下限。为了服务好大客户,违规泄露客户个人账户交易明细,普通人是不是基本等于“裸奔”。

在银行里,大客户基本上是“上帝”。某银行客户经理告诉市界, 各银行支行之间或多或少会因业绩压力存在抢客户的行为,大客户自然也就有了自己的优势。

2019年4月,笑果文化完成B轮融资后,新增两位股东,注册资本从183.54万元增至189.21万元,当时媒体报道笑果文化的新估值大概在30亿元,货真价实的“大客户”。

一位银行工作人员对市界分析,流水是柜台打的,所以大客户应该找行长级别的人去查某个人流水,然后行长再去找柜员进行操作。柜员可以选择同意或拒绝,这取决于个人选择,但拒绝后确实很可能被施压。

据市界了解,柜员其实只需要根据对方姓名和身份证号就能在系统里查询到客户流水,并且不留下痕迹(各家银行系统可能有所不同), 如果出于私下关系查询,这种行为虽然严格意义上来说也不合规,但不太会出问题,算是行业内“默认规则”。

上述银行工作人员分析,“一旦打印出来,性质就不一样了,更何况还盖上了公章”。

根据双方的矛盾点,笑果文化要求中信银行提取池子的银行流水,大概率是为了证明池子曾经参加过其他商演且获得了酬劳,或者是证明自己向池子足额支付了演出报酬。

但不管是出于哪种目的,一个关键的问题是,通过这种违规方式获得的银行流水,能够作为笑果文化在经济纠纷中的证据吗?

某执业律师告诉市界,因取证过程有问题直接导致证据作废在中国很少,这属于程序正义的做法,欧美国家的刑事案件比较重视,而国内目前更重视结果正义,只要这个证据有助于查清事实,一般不会作废。

某市中级人民法院执行庭的执行法官表示,法院也会根据材料进行调查证实,如果材料真实,就具有证明力,可以作为证据,只是出具人(银行)会受到处罚。

02

不是之一次

泄露客户信息,中信银行不是之一次,在国内也不算新鲜事。

李彦宏曾说“中国人多数情况下愿意用隐私换便利,获用户许可后可收集数据”。

他因为这句话触犯众怒,被骂得狗血淋头,但也只是骂骂而已,因为客户对公司来说,就像是放在案板上的肉。

这就是我们所处的商业环境。 客户隐私相比公司通过出卖客户信息获得的利益,就是九牛一毛,根本不值得一提。

池子有400万粉丝,可以在微博上曝光中信银行为讨好大客户泄露客户信息的行径,但大多数普通人,连信息被泄露都不知道,更别提 *** 。

实际上,银保监会和央行一直在严厉约束银行泄露客户信息行为,一旦银行违规就会受到处罚。

中信银行一份发行文件中显示,2014月1月1日至2017年8月31日,三年时间内中信银行子公司、分支机构受到银监会、央行行政处罚的案例,多达150多起,累计罚款金额为1.1亿元。

这其中有一些处罚正是因为泄露客户信息。

2014年,中信银行石家庄支行因为查询客户关联企业的信用报告,但未按规定取得信息主体书面授权,被罚款6万元。跟这次查询池子银行流水的操作如出一辙。

虽然受到处罚,但中信银行并未从中吸取教训,石家庄支行之后,太原支行、天津支行、厦门支行照样为其他人查询客户的征信或信贷信息,均遭到罚款,每笔罚金为5万元。

银行不可能不知道泄露客户信息是违规的,但依旧有动力顶风作案,恐怕区区5万罚金,跟争取大客户动辄上亿的存款相比,根本不值一提。

个人或企业信息泄露外,中信银行还有不少其他违规行为被罚。

2020年2月,北京银保监局对中信银行开出2020万元的罚单,原因包括流动信贷资金被挪用流入房地产开发公司、个人经营性贷款资金被挪用于购房、违规为房地产企业支付土地购置费用提供融资等。

在房住不炒的政策下,银行设法为房地产企业提供融资,不惜违规操作,背后仍然离不开一个利字。

Wind数据显示,中信银行近几年正处于一个相对稳定的增长状态,尤其是刚刚过去的2019年,中信银行的收入和归母净利润分别为1875.84亿元和480.15亿元,同比增速分别为13.79%和7.87%。

与五大行相比,中信银行2019年收入规模是排名之一的工商银行的1/5左右,但增长幅度已经超过了五大行。

这一波操作之后,中信银行的信任危机不知道是否会给业绩带来反噬。

03

个人 *** 之路艰难

广东圣马律师事务所丁倚健律师告诉市界,“中信银行的行为已经构成侵犯个人信息罪,池子还可以追究中信银行隐私权民事侵权,以及违反存款储蓄合同的责任,并寻求赔偿”。

丁倚健觉得更好的 *** 方式,就是直接将中信银行告上法院,维护自己的权益。

如果池子追究中信银行的刑事责任,根据刑法第253条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

在美国,类似的案件,一般是通过集体诉讼的形式完成。2018年万豪集团5亿客户信息遭到泄露,几个小时后就有客户对万豪酒店提起了集体诉讼,索赔125亿美元,受影响的客户每人分得25美元。

集体诉讼让泄露信息的公司针对所有受害者进行赔偿,因此赔偿金额通常较大,会吸引律师积极参与。目前,我国并没有与美国一样的集体诉讼制度,但设立了与之类似的共同诉讼与代表人诉讼制度。

目前,更好的方式是通过消费者权益保护组织、行政机关、检察院作为代表,向泄露信息的公司提起公益诉讼。

我国之一起个人信息公益诉讼,是江苏省消费者权益保护委员会对北京百度网讯 科技 有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。

2018年1月,南京市中级人民法院正式立案,不过两个月后,鉴于百度公司对App整改到位,江苏省消费者权益保护委员会申请撤诉了。

信息泄露的问题上,个人 *** 获得的赔偿跟投入的诉讼精力不成正比,导致多数人只能选择忍耐。

而银行业务依靠信任维系,客户基于信任,把储蓄、交易信息、身份信息全部交付给银行保管,中信银行的骚操作正在让这种信任化为泡影。

数据安全有哪些案例?

“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。

员工监守自盗数亿条用户信息

今年初,公安部破获了一起特大窃取贩卖公民个人信息案。

被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在 *** 黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。

业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。

国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、 *** 号码、出生日期和部分登陆密码。

企业数据信息泄露后,很容易被不法分子用于 *** 黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。

去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。

上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。

当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。

企业、组织机构等如何提升自身数据安全能力?

企业机构亟待提升数据安全管理能力

“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。

5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础, *** 数据安全意识、能力和保护手段正面临新挑战。

今年6月1日即将施行的《 *** 安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。

石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。

“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。

“大数据安全能力成熟度模型”已提国标申请

数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, D *** M)进行制订。

阿里巴巴集团安全部总监郑斌介绍D *** M。

作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果D *** M拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。

“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。

因违规采集人脸数据小鹏汽车被罚10万

因违规采集人脸数据小鹏汽车被罚10万

因违规采集人脸数据小鹏汽车被罚10万,人脸信息属于高度敏感的个人信息,一旦泄露将会对个人的人身和财产安全造成极大危害。因违规采集人脸数据小鹏汽车被罚10万。

因违规采集人脸数据小鹏汽车被罚10万1

一波未平一波又起。陷入“骗补”漩涡的小鹏汽车,近日又因违规采集人脸数据被罚款。

天眼查App信息显示,近日,上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元。根据市场监管局开具的处罚书,涉事公司购买具有人脸识别功能的摄像设备22台,在旗下7家门店(涉及5个直营店及2个加盟店)安装人脸识别摄像设备,以此统计进店人数并分析男女比例、年龄等。该行为并未经得消费者同意,也无明示、告知消费者收集、使用目的。今年1月至6月,小鹏汽车共采集上传人脸照片431623张。

对于该事件,小鹏汽车官方回应称服从处罚,并向外界深表歉意。“此次事件,事出上海区域的门店希望通过对于门店客流等数据的收集与分析,改善接待流程,更好的服务于到店客户,但由于对相关法律条款的不熟悉,误采购并使用了违反了相关法律条款的第三方供应商(悠洛客)的产品。小鹏汽车对本次行政处罚表示完全服从,并对此事做出深刻反省”。

至于早前采集的数据,小鹏称已全部删除,设备也早已拆除,“小鹏汽车不存在泄露或违法使用个人信息的情况,仅通过客流到访量等非个人关联的数字数据作为经营状况的参考”。

值得一提的是,小鹏汽车在回应中所提及的第三方供应商悠洛客,曾被曝出摄像头滥用人脸数据。2021年,央视“3·15”晚会曝光部分商家安装人脸识别摄像头抓取包括性别、年龄在内的个人信息问题,其中就涉及悠络客等第三方技术服务商。

据了解,悠洛客全称为“上海悠络客电子科技有限公司”,成立于2009年,是联网监控运营商,为连锁企业、物流行业、教育、 *** 等提供联网监控运营服务。其官网宣传页显示,悠洛客目前签约门店数量超过165.6万家。

因违规采集人脸数据小鹏汽车被罚10万2

据天眼查APP显示,近日,上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元。处罚事由为,当事人购买具有人脸识别功能的摄像设备22台安装在旗下门店,以此统计进店人数并分析男女比例、年龄等。今年1月至6月,小鹏汽车共采集上传人脸照片431623张,该行为未经得消费者同意,也无明示、告知消费者收集、使用目的,违反消费者权益保护法。

据新浪科技报道,就在刚刚,针对上述情况,小鹏汽车回应称,对本次行政处罚表示完全服从。

小鹏汽车表示,上海区域门店由于对相关法律条款的不熟悉,误采购并使用了违反了相关法律条款的第三方供应商的产品。人脸数据由第三方软件提供商收集和分析,数据已经全部删除。小鹏汽车不存在泄露或违法使用个人信息的情况,仅通过客流到访量等非个人关联的数字数据作为经营状况的参考。

最后,小鹏汽车强调,将严格遵守国家关于消费者个人信息保护的各项规定,确保维护客户的合法权益不受侵害。

小鹏汽车成立于2014年,总部位于广州,是广州橙行智动汽车科技有限公司旗下的互联网电动汽车品牌,由何小鹏、夏珩、何涛等人发起,团队主要成员来自广汽、福特、宝马、特斯拉、德尔福、法雷奥等知名整车与大型零部件公司,以及阿里巴巴、腾讯、小米、三星、华为等知名互联网科技企业。

2018年1月,小鹏汽车交付了39辆新车,并成为首家进入乘联会新能源车销量榜的互联网造车企业 ;1月29日,小鹏汽车正式宣布启动22亿元人民币的B轮融资 。2020年8月27日晚间,小鹏汽车正式登陆纽交所,以“XPEV”为股票代码 。2021年4月14日,小鹏汽车正式推出小鹏P5 。7月7日,小鹏汽车正式于香港联合交易所主板挂牌交易,股票交易代码为“9868” 。

因违规采集人脸数据小鹏汽车被罚10万3

12月14日,小鹏汽车因为线下4S门店擅自采集43万张消费者的`人脸照片被罚款10万元,冲上微博热搜!对此,网友们的反应竟然是——才罚10万?!面对网友们的质疑与不满,奥一新闻之一时间从小鹏汽车获悉,小鹏汽车表示对用户们深表歉意,并作出深刻反省。

据天眼查APP显示,12月3日,上海小鹏汽车销售服务有限公司被上海市徐汇区市场监督管理局罚款10万元。

截图来源于天眼查

记者从决定书文号“沪市监徐处〔2021〕042021000759号”了解到,上海小鹏汽车销售服务有限公司于2019年花费17万元购买了具有人脸识别功能的摄像设备22台,安装在旗下7家门店,以此进行门店的客流统计和客流分析,包括进店人数统计、男女比例、年龄分析等。2021年1月至6月期间,共计采集上传人脸照片431623张。该行为未经得消费者同意,也无明示、告知消费者收集、使用目的,违反了消费者权益保护法。截至案发,当事人已拆除上述门店内的人脸识别摄像设备,上传的人脸照片已经进行删除,当事人无违法所得。

对此,不少网友们评论认为,43万人脸照片,才罚10万元,平均一张照片的成本才2毛多,违法成本太低了,处罚力度不足以震慑。

截图来源于微博网友评论

面对网友们的不满,小鹏汽车向奥一新闻表示,关于#小鹏汽车6个月采集43万张人脸照片#一事,引起了用户的担心,对此深表歉意。

小鹏汽车解释道,此次事件,事出上海区域的门店希望通过对于门店客流等数据的收集与分析,改善接待流程,更好地服务于到店客户,但由于对相关法律条款的不熟悉,误采购并使用了违反了相关法律条款的第三方供应商(悠洛客)的产品。小鹏汽车表示,对本次行政处罚表示完全服从,并对此事做出深刻反省。目前人脸数据已经全部删除,并不存在泄露或违法使用个人信息的情况。

小鹏汽车还对奥一新闻表示,该事件仅出现在上海市的部分门店,其它城市没有存在相同问题。

小鹏汽车并非我国首家因为非法收集客户人脸信息而被处罚的企业。今年央视3.15晚会就曾报道,记者在全国多地调查了科勒卫浴、宝马4S店等20多家装有人脸识别系统的商户,发现“所到之处人脸识别信息均被偷偷获取”。消费者只要进了其中一家店,在不知情的情况下,就会被摄像头抓取并自动生成编号,以后顾客再去哪家店,去了几次,门店都会知道。此事曝光后,业内人士呼吁加强对人脸识别的监管。

人脸信息属于高度敏感的个人信息,一旦泄露将会对个人的人身和财产安全造成极大危害。

今年7月,更高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》之一条明确,处理“人脸信息”和“基于人脸识别技术生成的人脸信息”均是需规制的对象。该《规定》第二条中明确指出,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的情形属于侵害自然人人格权益的行为。

因此,商家不仅不应违法使用采集到的人脸识别数据与存储的人脸识别数据进行验证、辨识,而且更不应违法使用人脸识别数据分析个人的年龄、健康、情绪、心理等具有个人特征的信息。

上海有3人因窃取直播平台数据牟利被抓,他们需得承担什么法律责任?

非法窃取他人的信息和数据显然是违法行为,没有想到上海居然有三个人去窃取平台的数据来进行模拟,结果好看了要承担相应的法律后果的。这件事情其实是发生在上海,一家互联网公司的负责人,他跟员工们一起窃取直播平台的一些数据,然后将这些数据出售给了其他的需要人员从中得到了22万元的资金收入,后来因为他们用非法手段去获取钱财,获取这些信息是违法的结果就被抓了。不过让人感到吃惊的是,他们居然不知道这么做是违法的,这也在这里告诫我们,一定要了解相关法律,要不然犯法的都不懂,那就麻烦大了去了。

他们所触犯的罪名其实就是非法获取计算机信息系统数据罪,首先来解读一下这个法律的规定,根据我国刑法第285条有明确的规定,非法获取人家的计算机的数据,在没有得到授权的情况下,会被判处有期徒刑三年以下或者拘役,同时还有可能面临被处罚金,因为如果是相当严重的,还有可能被判处7年以下有期徒刑。其实他们在没有获得直播平台的授权,然后通过非法手段去截取数据,已经触犯了该条刑法,自然要承担法律的严重后果。

君子爱财,取之有道,我们赚钱一定要通过合法合规在阳光下进行赚钱,而不是通过灰色地带去赚钱。对于这几个人,他们通过这个非法截取信息,了解到了自身还有竞争对手的一些详细的数据,知道竞争对手的强势数据,就可以做出有利进行竞争的商品,或者说做出更有利的一个决策来赢取消费者的青睐,但是这样的行为明显就是不合法的。

检察机关已经开庭审理,对于案件会择日作出判决,但是从相关信息当中可以看到,对于这三个人已经严重违法了我国的法律规定,情形也是比较严重的,毕竟他从中还获利了22万元,对于接下来他们所面临的将是法律的制裁和牢狱之灾。22万元他们几年的青春对比一下,确实是不值得,这也在告诉我们不要去做违法犯罪的事情,因为违反法律的后果的代价是相当严重的,不仅我们要在监狱当中度过,同时我们也失去了很多的机会,现在的世界发展如此快,等刑满出来,世界早就变了。

0条大神的评论

发表评论