2016年1月28号，厦门农业商业银行查询客户征信报告被罚款50万元。

2017年4月21号，华夏银行重庆分行查询客户信用信息被处罚金63万元。

2018年1月2号，浦发银行临沂分行查询客户征信报告，被吹罚金5万元。

……

近年来，因为查询客户个人征信而被罚款的银行越来越多，已经有多家银行却因查询用户及企业信用信息遭受过处罚。有数据显示，仅2017年上半年，银行因查询个人征信报告而被处罚的罚金总额近500万元。

看到这些被处罚的的案例，可能有人会问，到底银行能不能查询用户征信呢？答案是可以。2013年1月份xxx颁布的《征信业管理条例》规定：国家机关可以依法查询金融信用信息基础数据库的信息。既然金融机构有权查询，为何又遭受处罚呢？

那些依法查询用户征信的银行，自然没有问题。但是那些不与用户沟通未签订协议就直接进行的征信查询，其实已经构成了违规。最直接的后果就是，进一步造成了用户隐私泄露。

查询事小，泄露事大

在经济发展、金融新模式改革的背景下，国家出台一系列政策法规，用来保护个人正当权益及推动社会信用体系的建设。《征信业管理条例》《个人信用信息基础数据库管理暂行办法》等法律法规由此而生。按照规定“在未明确告知不良后果并取得书面同意前，不得采集个人的收入、存款、有价证券、不动产等信息”。也就是说，银行及第三方金融机构在查询客户个人征信时，没有经过客户同意的查询都是违法违规的行为。

这项规定意在保护公民的个人隐私，而态度之所以明确，跟个人征信报告涵盖的内容之广有很大关系。个人的征信信息包含了个人的身份类、住宅类敏感信息，个人的电话、医疗、汽车贷款、房产贷款及信用贷等信息。

去年，美国的征信龙头之一Equifax的用户隐私泄露，曾导致20.9万信用卡号被盗取，使得1.43亿美国人的犹如裸露在阳光之下。黑市中专职网络诈骗的从业人员有160万余人，信用一旦被泄露，很有可能出现信用卡被刷爆、社保卡被刷空，甚至被不法分子盗用生活账户从事不法行为等恶劣事件的发生。

内鬼监守自盗，是为诈骗后盾

作为特殊机构的银行系统，有着先天的获取个人征信信息的先决条件。也因此，在采集个人信息时会更有便利条件。

2015年，中信银行大连分行东港支行的保安，利用内部网上漏洞，批量下载用户信息被依法判刑。

中国农业银行淄博分行电子银行部员工将自己账号交由他人使用，间接参与公民征信信息倒卖获利，被依法判刑。

2016年，湖南一行长伙同同事利用职务之便，将257万条个人信息贩卖并非法盈利230万元，曾引起行业巨震。

新华社曾曝光一起信息被泄露事件调查，结果发现，之所以诈骗份子在诈骗时精准度能达90%，主要是源于监守自盗的“内鬼”和黑客的“功劳”。

依照《征信业管理条例》，采集禁止采集的个人信息或者未经同意采集个人信息，由国务院征信业监督管理部门或者其派出机构责令限期改正，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款。

而如果参与倒卖个人信息，则《关于侵犯公民个人信息刑事案件适用法律若干问题的解释》也有明确规定。明确非法获取、出售或者提供公民个人信息，违法所得5000元以上即可入罪，处三年以下有期徒刑或者拘役，并处或者单处罚金；造成被害人死亡、重伤、精神失常或者被绑架等严重后果的，依照刑法规定，处3年以上7年以下有期徒刑，并处罚金。

严打随意查询他人征信，央行放大招

银行内部人员截留个人征信信息可谓“近水楼台先得月”。在公安机关追溯信息泄露源头时，也常常发现，银行员工利用贷款审批系统的漏洞，可以绕过安防查询并下载个人征信报告。为此，人行在2017年12月份下发特急内部《关于开展金融信用信息基础数据库接入机构征信信息泄露风险自查的通知》。通知要求银行系统自查征信和金融信用信息泄露风险，并在规定日上报总行。与此同时，各地人行支行也纷纷下发了进一步加强保护个人征信的通知。

通知的目的，一方面是为自查是否有“内鬼”操作，内部安防是否严密，是否存在漏洞等问题；另一方面，意在警示拥有海量“大数据”的第三方征信机构，在滥用、买卖和泄露客户信息时要慎之又慎。随着监管力度的进一步加强和公民对个人信息保护意识的增强，包括“内鬼”和第三方征信中心在内的，违规、越权查询个人征信信息的行为，将会受到进一步监管，只有这样，公民的隐私才能得到真正的保护。

银行的内部自查，势必也会影响到下游信息买卖的“黑市”市场。有人猜测，市场上的不法“大数据”公司将迎来倒闭潮，那就让我们拭目以待吧。

【两个记事本，专注互联网金融，信用红利，信用卡及个人征信研究，微信号：两个记事本】