用户信息被当废品卖,岂止是“员工违规”
个人信息保护法明确“谁处理谁负责”的原则,意味着“员工违规”不是单位推卸责任的借口——任何环节出现纰漏,首先都意味着采集个人信息的单位存在失职。
近日,山东沂南县的王先生向媒体反映,沂南县农商银行湖头支行把含有用户信息的账单等材料,未经处理后当作废品卖掉。沂南县农商银行相关负责人回应称,正在调查核实这一情况,如果核实后确实存在违规行为,银行会根据内部制度对员工的违规行为进行处置并追究责任。
王先生提供的证据显示,这些银行单均为“山东农村商业银行”开具,包含个人信用报告、贷款授信卡、抵押合同、贷转存凭证和贷款还款通知单等,时间跨度从2017年到2020年。这些材料上,有完整的用户姓名、身份证号码、借贷款金额及用户家庭住址等信息。令人意想不到的是,这些银行单都是在要回收的废品中发现的。换句话说,那些敏感的个人信息,不仅没有得到妥善的保管和保护,反而被人弃如敝屣。
巨量且关键的个人信息,以一种如此简单粗暴的方式泄出,实在令人感到匪夷所思。个人信息保护法的一项原则是“谁处理谁负责”:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全;根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的保护措施。商业银行法明确规定,商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。
近年来,非法收集乃至倒卖个人信息的事情时有发生,不仅严重侵犯个人权益,而且给公共生活带来巨大的安全隐患。发生在银行内部的这一幕,显然不只是“员工存在违规行为”这么简单。个人信息保护法明确“谁处理谁负责”的原则,意味着“员工违规”不是单位推卸责任的借口——任何环节出现纰漏,首先都意味着采集个人信息的单位存在失职。从严格意义上说,这不是什么“内部违规”,而是一种违法行为,由此需要的不只是自纠自查,始作俑者理应承担相应的法律责任。
据报道,王先生去年就曾向银行方面致电反映过这一情况,但最后却不了了之。王先生的遭遇令人费解:无论是基于对个人信息的保护,还是出于履行法定义务,抑或为了维护单位的形象和声誉,涉事银行都应该积极查漏补缺,及时消除安全隐患,为什么却对此置若罔闻?有了上一次的前车之鉴,涉事银行这一次能否痛下决心积极整改?
保护个人的信息安全与财产安全,银行是一个极为重要的站点。在尽快堵上管理漏洞的同时,银行更应当综合提升隐私保护意识,通过健全管理、规范操作、强化监管,为公众营造一个更加安全且友好的金融环境。这是不容推卸的法律责任,也是良性发展的基本前提。(赵志疆)
更多锐评敬请关注