3大银行辟谣被指过于笼统 专家称应明示保护措施

　　专家称应明示个人信息保护措施

　　法制网北京1月5日讯 记者 万静 发生在去年年底的众多互联网企业 “泄密门”事件，让交通银行、工商银行、民生银行等三大银行也未能幸免，被传上百万的银行用户姓名、卡号甚至密码等敏感个人信息大量泄露。虽然事后三大银行立即发声辟谣，称此纯属恶意造谣，将保留追究法律追诉权。但业内专家指出，三大银行的辟谣声明太过简单，并不能使众多银行用户安心，三大银行应该各自在保护个人信息保护措施及保护政策制度等方面，向公众进行合理明示，而不能简单告之以“安全”了事。

　　2011年12月29日，有爆料称交通银行7000万客户、民生银行3500万用户以及工行用户资料外泄，泄露数据包括用户的姓名、卡号、密码等敏感信息，并发布信息截图。对此，三家银行均发布声明否认有用户资料外泄。

　　据相关媒体报道，中国工商银行相关部门负责人表示，泄密传言不符合实际，银行的客户信息和密码是安全的。这位负责人表示，工商银行在系统中对于客户密码的存储与传输均采用加密方式，在与第三方公司的电子商务合作中，涉及的密码信息均要求在该行系统页面上进行操作。此外，工行相关部门负责人则回应称，网络传言中所谓泄露银行用户数据中所涉及的三张该行卡均为已注销的无效卡，且相关文本中包含了订单号(OrderID)等内容，可以判断信息不是来自银行数据库。

　　交通银行则在声明中表示，关于网络传闻称交通银行等多家银行巨量用户资料外泄，经核实，该传闻纯属谣言。声明称，交通银行对于信息安全工作历来高度重视，采用了先进的密码硬加密技术和周密的安全防范措施，确保为所有客户提供安全高效的金融服务。

　　民生银行则回应称，通过银行后台系统查询，截图中的用户姓名和卡号根本不存在。经过核查，微博(http://weibo.com)说民生银行客户信息遭泄露严重失实。相关负责人表示，将就该事件同其他几家银行一起上报银监会，不排除起诉散布消息者。

　　对此，长期关注并研究国内个人信息保护现状问题的专家、中国社会科学院法学研究所研究员吕艳滨，在今天接受记者采访时指出，虽然三大银行在第一事件进行辟谣，声称客户信息和密码是安全的，但是只一句简单交代还不够。

　　“为什么客户个人信息是安全的？银行都采取了什么样的保护措施：比如技术手段、内部管理保护制度或政策及相关的问责处罚、补救措施，来保障用户信息及密码的安全性？这些都需要银行作出一个较为详尽或合理的解释说明。或许出于商业秘密和安全保护的考虑，银行自身有不方便详尽披露的顾虑。但是此次‘泄密门’事件中牵扯如此众多的互联网企业，甚至连工业和信息化部也介入调查当中，三大银行关于用户个人信息的保护状况及相关制度都应向公众进行合理范围内的详尽披露。此次‘泄密门’事件暴露出长期以来为公众所关注的银行信息安全问题。”

　　吕艳滨研究员曾在《2009年中国法治蓝皮书》中发布了“个人信息保护现状调研报告”(以下简称“报告”)“报告”披露，公司、企业等商业机构在公民个人信息保护方面存在的滥用问题，主要表现为过度收集个人信息、擅自披露个人信息、擅自提供个人信息、非法买卖个人信息、超目的使用个人信息、保管不善、掌握的信息不准确及个人信息被冒用等八类问题。

　　吕艳滨表示，虽然此报告是针对三年前的情况而调查，但是根据近年持续追踪观察和调研，目前上述问题仍然没有得到根本改观，甚至还有恶化的趋势。

　　吕艳滨告诉记者，面对日趋严重的个人信息滥用现象，接受调查的公众均认为，各类企业在处理个人信息时应当约束自身行为，健全内部管理机制，更要加强对内部人员的管理，防止其利用工作之便滥用个人信息。而且近98%的被调查者希望企业在收集个人信息过程中，应向个人明示个人信息保护措施，尤其是要设置并明示企业接受相关投诉的渠道，赔偿因不当处理个人信息而给个人造成的损害。

　　个人信息的法律保护问题是近半个世纪以来随着信息社会的发展而日益凸显的问题。中国政法大学法治政府研究院副院长王敬波教授指出，直到目前为止，我国还没有制定专门的个人信息保护方面的法律。就个人信息的法律保护手段而言，重“刑事处罚”和“行政管理”，轻“民事确权”与“民事归责”，导致个人信息遭受侵害后，即使侵权行为人最终遭致刑事处罚或行政处罚，但信息主体的财产及非财产损失却得不到任何实质性的补偿；而且就法律的可操作性而言，大部分规定缺乏可操作性，许多条款仅仅规定了对个人信息的保密义务，而没有规定违背该义务的后果。