用户信息被当废品卖，岂止是“员工违规”

　　近日，山东沂南县的王先生向媒体反映，沂南县农商银行湖头支行把含有用户信息的账单等材料，未经处理后当作废品卖掉。沂南县农商银行相关负责人回应称，正在调查核实这一情况，如果核实后确实存在违规行为，银行会根据内部制度对员工的违规行为进行处置并追究责任。

　　王先生提供的证据显示，这些银行单均为“山东农村商业银行”开具，包含个人信用报告、贷款授信卡、抵押合同、贷转存凭证和贷款还款通知单等，时间跨度从2017年到2020年。这些材料上，有完整的用户姓名、身份证号码、借贷款金额及用户家庭住址等信息。令人意想不到的是，这些银行单都是在要回收的废品中发现的。换句话说，那些敏感的个人信息，不仅没有得到妥善的保管和保护，反而被人弃如敝屣。

　　巨量且关键的个人信息，以一种如此简单粗暴的方式泄出，实在令人感到匪夷所思。个人信息保护法的一项原则是“谁处理谁负责”：个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应的保护措施。商业银行法明确规定，商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。

　　近年来，非法收集乃至倒卖个人信息的事情时有发生，不仅严重侵犯个人权益，而且给公共生活带来巨大的安全隐患。发生在银行内部的这一幕，显然不只是“员工存在违规行为”这么简单。个人信息保护法明确“谁处理谁负责”的原则，意味着“员工违规”不是单位推卸责任的借口——任何环节出现纰漏，首先都意味着采集个人信息的单位存在失职。从严格意义上说，这不是什么“内部违规”，而是一种违法行为，由此需要的不只是自纠自查，始作俑者理应承担相应的法律责任。

　　据报道，王先生去年就曾向银行方面致电反映过这一情况，但最后却不了了之。王先生的遭遇令人费解：无论是基于对个人信息的保护，还是出于履行法定义务，抑或为了维护单位的形象和声誉，涉事银行都应该积极查漏补缺，及时消除安全隐患，为什么却对此置若罔闻？有了上一次的前车之鉴，涉事银行这一次能否痛下决心积极整改？

　　保护个人的信息安全与财产安全，银行是一个极为重要的站点。在尽快堵上管理漏洞的同时，银行更应当综合提升隐私保护意识，通过健全管理、规范操作、强化监管，为公众营造一个更加安全且友好的金融环境。这是不容推卸的法律责任，也是良性发展的基本前提。（赵志疆）