3月19日晚间，银保监会消保局发布一则罚单，中信银行(港股00998)（601998，股吧）因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范等四项违法违规行为，被处罚款450万元。此番该行被罚，疑似为之前脱口秀演员池子信息被泄露一事。

　　梳理近年来银行的罚单可发现，客户信息保护体制机制不健全、客户信息收集环节管理不规范，已成为商业银行被罚的最常见原因之一。尤其在金融加快数字化转型的当下，用户信息安全成为业内和监管普遍关注的重点。

　　据悉，出于风控需求，银行类金融机构往往会拥有大量客户个人信息。从数据涵盖范围来看，包括以工资、公积金、消费贷款等为代表的结构化数据和以文档、图片、音像和地理位置信息等种类繁多的非结构化和半结构化数据，类型丰富而全面。

　　不过，作为拥有用户信息的主体，商业银行也极易成为侵害用户信息安全的“主角”。一方面，部分银行在获取用户信息的过程中，易出现违规获取现象。一些银行的客户信息保护机制失灵，出现窃取用户信息的“内鬼”，造成用户信息泄露。另一方面，有部分机构在与第三方平台的合作中，未能尽到信息保护责任，使得用户信息在第三方平台泄露。

　　2016年10月，四川绵阳警方曾破获公安部挂牌督办的“5·26侵犯公民个人信息案”，抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元，成功打掉了一个侵犯公民个人隐私的黑色产业链。该案中，正是因为某农商银行支行行长以售卖征信系统查询账号牟利，造成了严重的公民信息泄露。

　　在商业银行“助贷”和“联合贷”业务中，金融机构的授信审查、风险控制严重依赖合作机构提供的金融数据。但由于市场上金融科技公司鱼龙混杂，不排除个别公司借助“大数据”为名窃取、滥用、非法买卖或泄露客户信息。

　　《商业银行法》《储蓄管理条例》有明确要求，商业银行应当为存款人保密、为储户保密，并规定，除法律另有规定之外，商业银行有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款。2020年11月，《中国人民银行金融消费者权益保护实施办法》正式实施，该办法也进一步明确和细化个人金融信息采集、使用、保护等要求。

　　对于银行与第三方的合作业务，去年发布的《商业银行互联网贷款管理办法》也提到，如果银行需要从合作机构获取借款人数据，应通过适当方式确认合作机构的数据来源合法合规、真实有效，对外提供数据不违反法律法规要求，并已获得信息主体本人的明确授权。对违规收集和使用个人信息的第三方应该列入银行开展数据合作的“黑名单”。

　　普华永道中国金融业管理咨询合伙人周瑾指出，无论是传统金融机构还是互联网平台，只要从事金融属性的业务活动，都应遵循金融合规要求和风控原则，始终要将消费者的权益置于第一位。