一、事件回溯

（一）池子公开指责中信银行“侵犯公民个人信息”

5月6日15:39，脱口秀演员王越池（艺名“池子”）发布微博称，中信银行上海虹口支行未获其本人授权，将其个人账户流水提供给纠纷相对方上海笑果文化传媒有限公司（简称“笑果文化”），属于侵犯公民个人信息的违法行为，并通过律师发函要求中信银行、笑果文化赔偿损失、并公开道歉。

（二）笑果文化回应“委托专业律师……在法律框架之下进行”

笑果文化随后对此事进行了回应，通过微博发布《声明》，称“委托专业律师代理处置我司与池子之间的经纪纠纷，其根据相关流程采取了财产保全、提起仲裁、证据收集等法律行动。……上述行动，均在法律及合同的框架之下进行。”《声明》未对是否通过中信银行取得池子银行账户交易明细进行回应，也未予以否认。

（三）中信银行深夜“郑重道歉”并对支行行长予以撤职

5月7日凌晨00:56，中信银行官方微博发布《致歉信》称，经核实，近期上海笑果文化传媒有限公司联系开户支行，要求查询其为员工王越池支付劳务工资记录，该行员工未严格按规定办理，提供了王越池的收款记录。向池子公开道歉，并称已经按制度规定对相关员工予以处分，并对支行行长予以撤职。

（四）吃瓜群众全程被“生动普法”

此事件迅速成为了全民热议话题，池子本意是锤“笑果文化”，结果被广大网民发现“此事与人人有瓜”。“大客户”“特权”等字眼刺激着网民的神经，#中信银行行长被撤职##中信银行致歉#等标签挂在热搜迟迟未下线。从池子公开发布微博，到中信银行深夜致歉，只有不到10个小时，可以说中信银行的反馈和处理都是非常快的。此事还远没有结束，据池子微博介绍其已经向银保监会派出机构、公安机关投诉举报，中信银行“个别分支机构”的“个别员工”违规泄露存款人交易明细，涉嫌侵犯个人金融信息的行为，很可能受到监管机构的行政处罚。

尽管在事实方面，中信银行的表述与池子的表述仍然存在差别，但从“郑重道歉”并撤职处理这一结果上看，我们猜测中信银行提供的是池子的个人银行账户交易明细，而这一明细中包含的是池子两年来该账户内的所有结算交易。从法律角度上来看，这是一次商业银行违规事件，也是一次“个人金融信息保护”的全民普法。那么，这一事件应如何归责？后续还会有哪些发展？我国金融消费者金融信息保护的监管路径是怎样的？商业银行应如何面对各类主体查询“交易明细”的需求？从民诉法角度看，此事件中的“交易流水”还能否作为证据使用？以上种种疑问，我们试着为你做如下解答。

二、消费者金融信息保护的法律规制衍生与监管发展

（一）《民法总则》《网络安全法》等对个人信息保护的规定

《民法总则》第一百一十条自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。

《网络安全法》规定了对金融行业关键信息基础设施实行重点保护，同时在第四十三条规定“任何个人和组织不得窃取或者以其他非法方式获取公民个人信息，不得非法出售或者非法向他人提供公民个人信息”。

（二）个人金融信息保护的行业监管规制

国务院办公厅《关于加强金融消费者权益保护工作的指导意见》（国办发(2015)81号）明确提出，金融机构要保障金融消费者“信息安全权”，应当采取有效措施加强对第三方合作机构的管理，明确双方权利义务关系，严格防控金融消费者信息泄露风险，保障金融消费者信息安全。近年来，中国人民银行等监管部门也投入力量，持续加大对非法泄露买卖个人金融信息、银行卡盗刷、电信诈骗等违法行为的整治力度，同时加强对个人金融信息保护制度的研究与指导。

2016年，中国人民银行发布《金融消费者权益保护实施办法》（银发〔2016〕314号，以下简称“实施办法”），明确金融消费者的范围。《实施办法》专设“第三章 个人金融信息保护”，将金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息全部纳入“个人金融信息”范畴。该办法于2019年底发布新的《征求意见稿》，中国人民银行拟将《实施办法》的主体内容升格为部门规章，以人民银行令形式发布实施。其中第三章仍为消费者金融信息保护板块，从消费者金融信息的全生命周期保护角度，对信息收集、披露和告知、使用、管理、存储与保密、删除与更正、跨境传输、外包服务管理等进行了全链条优化，进一步强化了信息知情权和信息自主选择权。

2019年10月，多家媒体报道，中国人民银行向部分银行下发了《个人金融信息（数据）保护试行办法》（以下简称“《试行办法》”）初稿，待征求意见结束后将正式对外发布。报道称，《办法》首次提出“个人的基础信息和延伸信息”这一概念，重点涉及完善征信机制体制建设，将对金融机构与第三方之间征信业务活动等进一步作出明确规定，加大对违规采集、使用个人征信信息的惩处力度。

截至发稿日，新版《实施办法》和《试行办法》均尚未正式对外发布。

推荐性标准层面，今年2月13日，中国人民银行发布了《个人金融信息保护技术规范》（JR/T 0171—2020，以下简称“《规范》”），该《规范》于同日开始实施。《规范》由中国人民银行提出，并由全国金融标准化技术委员会归口管理，多家金融行业相关组织与单位参与了起草工作。对个人金融信息内容进行了列举，按照敏感程度由高到低分为 C3、 C2、C1三个类别，并提出了不同的保护要求。全生命周期保护层面，要求金融机构以“ 权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则，设计并实施覆盖个人金融信息全生命周期的安全保护策略。

（三）对个人储蓄信息的特别法律保护

为存款人保密，是商业银行办理存款业务的一项基本原则。《商业银行法》第二十九条规定“商业银行……应当遵循……为存款人保密的原则”“对个人储蓄存款……有权拒绝任何单位或者个人查询”。全国人大法工委在对商业银行法的这一规定进行释义时提出，这一规定“是对宪法关于保护公民储蓄及财产原则的具体贯彻落实，也有利于我国商业银行存款业务的开拓和发展”。

国务院《储蓄管理条例》第三十二条储蓄机构及其工作人员对储户的储蓄情况负有保密责任。储蓄机构不代任何单位和个人查询、冻结或者划拨储蓄存款，国家法律、行政法规另有规定的除外。中国人民银行关于执行《储蓄管理条例》的若干规定第三十九条也明确“为维护储户的利益，凡查询、冻结、扣划个人存款者必须按法律、行政法规规定办理，任何单位不得擅自查询、冻结和扣划储户的存款。”

（四）对个人信用信息数据的特别监管

中国人民银行《个人信用信息基础数据库管理暂行办法》（中国人民银行令〔2005〕第 3 号，以下简称“3号令”）规定，个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。前款所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息；个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录；反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。

“3号令”规定，银行仅可在审核个人贷款、贷记卡、准贷记卡申请，审核个人作为担保人，对对已发放的个人信贷进行贷后风险管理及受理法人或其他组织的贷款申请或其作为担保人，需要查询其法定代表人及出资人信用状况等五种情形下方可查询个人信用报告，而在查询时，除对已发放的个人信贷进行贷后风险管理外，其余情形均应当取得被查询人的书面授权。书面授权可在银行服务申请书中增加相应条款，如“征信查询授权”“信息披露条款”等。在授权文件签署时，需要注意落款签署日期不应空白，也不应晚于查询日期【参见（文银）罚字〔2019〕第3号行政处罚决定书】。

《征信业管理条例》规定了机构未经同意查询个人信息或者企业的信贷信息、违法提供或者出售信息、因过失泄露信息等的行政责任包括责令限期改正、罚款、没收违法所得等；给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任。

三、如何办理存款查询才是合规的？

（一）自然人本人/代办/已故人员亲属查询

在银行网点通过柜台查询存款余额及交易明细的，应该持本人身份证原件，代办的应提供本人有效身份证件、代办人有效身份证件及代办委托书（形式审查义务），同时柜面应注意核查本人身份证件是否与账户实名制一致。

查询已故存款人存款余额的，根据中国银保监会办公厅、司法部办公厅发布的《关于简化查询已故存款人存款相关事项的通知》（银保监办发[2019]107号）规定，查询人应为已故存款人的配偶、父母、子女，凭已故存款人死亡证明、可表明亲属关系的文件（如居民户口簿、结婚证、出生证明等）以及本人有效身份证件，公证遗嘱指定的继承人或受遗赠人凭已故存款人死亡证明、公证遗嘱及本人有效身份证件，可单独或共同向存款所在银行业金融机构提交书面申请，办理存款查询业务。查询的范围仅限于存款余额和自身发行与管理的非存款类金融资产的余额（此处不包括交易明细）。

（二）协助有权机关查询

按照中国人民银行关于发布《金融机构协助查询、冻结、扣划工作管理规定》的通知（银发(2002)1号），有权机关是指依照法律、行政法规的明确规定，有权查询、冻结、扣划单位或个人在金融机构存款的司法机关、行政机关、军事机关及行使行政职能的事业单位。依照该规定所列《附表》，有权查询个人存款的包括人民法院、税务机关、海关、人民检察院、公安机关、国家安全机关、军队保卫部门、监狱、走私犯罪侦查机关、监察机关（包括军队监察机关），审计机关、工商行政管理机关和证券监督管理机关是无权查询个人存款的。在接待上述机关查询时，注意核查执法人员证件是否齐全，协助查询存款通知书内容是否明确、完备，并注意保密及归档。

那么问题来了，仲裁委员会或者持人民法院调查令的律师，是否有权查询个人存款呢？按照上述规定，仲裁委员会是无权查询个人存款的，商业银行可直接拒绝。而持人民法院调查令的律师能否查询，实践中存在一定的争议。北京市高级人民法院关于印发修订后的《北京市法院执行工作规范》的通知第二百二十九条规定“依申请执行人的申请，执行法院可以向其代理律师发出调查令，就被执行人可供执行的财产进行调查。律师持调查令进行的调查，视同人民法院执行人员的调查。”在协助律师持调查令查询时，应注意（1）核实律师证，人证令三者是否一致，必要时可向调查令所载联系法官确认并登陆律师管理部门网站核实；（2）核实调查令，所记载的查询范围是否包括来人所提出的查询范围；（3）签发调查令回执。查询完毕后，注意归档保存。

（三）近年来商业银行违规操作事例

我们对近年来商业银行因员工违规损害个人金融信息被监管机构处罚、被刑事追索或被诉侵权的案例进行了检索与分析，结合实践经验，比较常见的商业银行侵犯个人信息行为一般都是违规向他人出售或泄露，主要是访问系统（有访问日志留痕）-下载（下载担心留痕或技术限制的，采用拍照形式）-发送邮件（微信）。对象包括1）个人身份信息，如姓名、联系电话、身份证号；2）开户信息，包括户名、账号、验证手机号等；3）个人征信报告；4）个人账户交易明细；5）产调信息。其中行政处罚层面，监管机构重点查处的是违规查询、提供个人征信报告，而刑事追责方面，则更多的是出售个人身份信息、开户信息。

四、事件法律评述

（一）池子与交易流水的定位

从池子的微博和中信银行的反馈来看，池子和笑果文化应该在中信银行上海虹口支行分别开户，笑果文化通过池子开立的该账户发放工资（劳务报酬）。按照“购买、使用金融机构提供的金融产品或服务的自然人”这一范围，池子无疑属于使用中信银行人民币储蓄、支付结算等金融服务的自然人，妥妥的“金融消费者”。商业银行提供的个人储蓄账户交易明细，一般包括：户名、开户行、账号、交易日、交易类型、对方账户、备注，属于“金融交易信息”。单纯用来做财产线索的户名、开户行、账号属于“账户信息”。

（二）银行/工作人员的法律责任

商业银行未经池子出示本人身份证或查看代办人身份证、池子本人身份证和委托书，即为笑果文化查询池子本人的个人储蓄账户交易明细并向笑果文化提供，违反了《商业银行法》及《储蓄管理条例》《中国人民银行金融消费者权益保护实施办法》等法律法规和政策规定，属于非法查询个人储蓄存款行为，中国人民银行应按照属地原则对该银行的违规操作依照《商业银行法》等规定“开罚单”。查实有违法所得的，还应当没收违法所得。

与此同时，商业银行损害了金融消费者信息安全权和个人隐私，池子作为被损害方，有权依照《民法总则》第一百二十条规定，请求侵权人承担侵权责任，包括停止侵害、排除妨碍、赔偿损失、赔礼道歉等。目前中信银行已经在其官方网站公开赔礼道歉，是否造成损失还需要结合池子方的证据、其主张的损失是否与中信银行泄露行为有直接因果关系来进行综合判断。

银行工作人员是否构成《刑法》第二百五十三条之一规定的“侵犯公民个人信息罪”，则需要依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条，结合笑果文化获取该信息的用途、违法所得是否超过五千元、出售或提供信息的条数（征信信息、财产信息五十条以上，交易信息五百条以上），在履行职责或提供服务过程中获得的公民个人信息出售或者提供给他人数量或数额减半等情节综合判断。该条还规定了造成重大经济损失或者恶劣社会影响，属于“情节特别严重”的情形，池子的投诉、公开无疑给中信银行造成了重大损失和极为恶劣的社会影响，损害了商业银行的信誉，后续如何发展，我们还将继续跟进。

（三）池子们的救济途径

根据池子的表述，就笑果文化查询本人银行账户信息事宜，已经向中信银行质询，得到中信银行答复“笑果文化是大客户”（是否真实未知）。一般来讲，消费者在质询时通常都会带有愤怒、质疑的情绪，可以理解为表示不满，“要个说法”。随后池子向监管机构进行了投诉并向公安机关报案，正在等待回复和处置。如果消费者没有池子这么大的影响力，可以利用自己的一亩三分地反映诉求，寻求关注，可以采取的法律救济途径包括：

1、向金融机构投诉。按照现行《中国人民银行金融消费者权益保护实施办法》规定，金融消费者与金融机构产生金融消费争议时，原则上应当先向金融机构投诉。但是根据《实施办法》第三十六条，这一投诉不是人行分支机构受理投诉的前置条件。

2、按照属地原则向中国人民银行分支机构进行投诉。金融机构对投诉不予受理或者在一定期限内不予处理，或者金融消费者认为金融机构处理结果不合理的，金融消费者可以向金融机构住所地、争议发生地或者合同签订地中国人民银行分支机构进行投诉。投诉中包括举报金融机构违反法律、行政法规、规章和其他规范性文件等行为的，金融消费者可以按照举报程序直接向金融机构住所地的中国人民银行分支机构举报。

3、按照国务院办公厅《关于加强金融消费者权益保护工作的指导意见》和最高人民法院、中国人民银行、中国银行保险监督管理委员会印发《关于全面推进金融纠纷多元化解机制建设的意见》的通知部署安排，金融管理部门和金融机构近年来着力建立和完善金融消费投诉处理机制，建立金融消费纠纷第三方调解、仲裁机制，形成包括自行和解、外部调解、仲裁和诉讼在内的金融消费纠纷多元化解决机制。部分地区如我们所在的天津市，先后成立了天津市银行业金融消费纠纷调解委员会和天津市金融消费纠纷调解中心。

五、本案衍生的程序性问题及思考

（一）账户交易明细在本案中有哪些预期作用

大多数情况下，查询的目的不在查询本身，要么是为了证据保全，要么是为了后续的冻结或扣划动作做必要的准备。因此，我们猜测笑果文化用意可能有三：

1、用作财产保全的财产线索。中信银行的反馈至少可以看出，笑果文化向池子付款是通过该行账户收付，而常识来看，笑果文化应该掌握池子在中信银行所开立的涉案账户信息。因此，尽管池子的代理律师使用了“骗取”保全等表述，我们仍然认为这一用意不太可能。

2、挖掘财产保全的其他线索。交易明细中通常载有对方交易账户，如池子向自己名下其他账户付款，或向与自己有关联的其他第三方付款，则该其他账户（内的存款）可能被笑果文化用作财产保全的对象（第三方通过追加被申请人等方式进入到保全程序中）。在这种情况下，如果确实因为中信银行提交该银行账户明细导致池子或其他第三方账户被冻结产生损失的，中信银行可能被池子或第三方索赔。已经办理的财产保全，池子或该第三方可通过财产保全损害赔偿纠纷，到有管辖权的法院起诉。

3、作为证据提交。结合池子、笑果文化双方的微博内容，可见双方发生纠纷后，笑果文化将交易明细（作为证据）提供给了池子一方用以质证，同时还进行了财产保全，对该账户进行了冻结（冻结金额高于账户内当时余额）。目前可以得出的结论是，中信银行违规操作提供了池子的个人银行账户交易明细，那么该明细还能够作为证据使用吗？

最高人民法院关于适用《中华人民共和国民事诉讼法》的解释第一百零四条规定了人民法院应当组织当事人围绕证据的合法性进行质证，同时明确认定案件事实的根据的证据应当来源和形式符合法律规定。实践中，用违规操作手段取得对方当事人的银行交易信息并且递交法院作为证据使用的案例并不多见，在新疆维吾尔自治区克拉玛依市中级人民法院审理的邬宝江与新疆克拉玛依市黑豹房地产开发有限公司委托合同纠纷二审民事判决书[案号(2020)新02民终100号]中，法院认为“根据上述商业银行法以及有权查询机关的规定，邬宝江并未出具任何证据证明其“线索”来源的合法性，故对此不予采信。”

（二）本案凸显仲裁程序取证尴尬

前文提到的“并不多见”的原因在于，如果确实因客观原因不能自行收集且与待证事实有关联、对证明待证事实有意义或有收集必要的证据，是可以通过申请人民法院调取证据的方式（符合条件时亦可申请人民法院签发调查令）实现的。

本案之所以笑果文化代理人“铤而走险”“弃卒保车”，可能与本案处于仲裁程序有关。《中华人民共和国仲裁法》第四十三条规定“仲裁庭认为有必要收集的证据，可以自行收集。”按照本案受理机构上海国际仲裁中心的《仲裁规则（2015）》，当事人应当对主张的事实提供证据证明，仲裁庭认为“必要时”，可以自行调查事实、收集证据。北京市第四中级人民法院【案号（2019）京04民特92号】认为，仲裁庭可以调取证据的前提是其认为被申请调取的证据“有必要”时，而认定是否有必要，属于仲裁庭的自由裁量权，不在司法审查的范围之内，因此不支持申请人以此为由提出的撤裁申请。此外，根据前文所述，仲裁机构不属于有权至金融机构查询个人存款的机构，才出现了本案中笑果文化无法取证的尴尬。

（三）举证是一步棋，落子之前务必三思

在我们十余年诉讼案件承办和担任仲裁员的经历中，不乏当事人提交证据与己方其他证据矛盾、证明对方待证事实等情况出现，但近年来举证中可能暴露其他队友违规操作、己方违规操作的案例也越来越多。比如，以商业银行发放的原材料贷款审批单证明己方有资金来源用于开发房地产项目暴露该商业银行存在银保监会三令五申禁止的“违规将资金流入房地产”的嫌疑；以己方律师个人移动支付收款记录（无发票、无支付至律所汇款单）作为聘请律师且支付费用的证据，暴露该律师事务所不统一收费、不开具发票等违规嫌疑等等。诉讼是一门艺术，举证质证更是其中的核心。单案不是一盘棋，而只是一盘棋中的一小部分。诉讼需要考虑的不仅是法律规定，应该结合形势、市场、商业、稳定甚至舆情、公关等各种因素走出每一步。

六、结语

本文对中信银行热搜事件可能涉及的法律问题做了简要梳理。受限于资料和信息获取的不完整，事实判断可能存在不准确甚至错误之处；受限于部分法律及监管问题或存争议和需进一步理清之处，法律判断也可能存在不准确甚至错误之处。金融机构掌握和处理的个人金融信息绝大多数属于个人敏感信息，该等信息一旦泄露，不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营，导致相关的民事、行政、刑事风险，甚至可能会带来系统性金融风险。从监管机构立法规划和多次表态来看，金融消费者权益保护在大数据、网络时代将可能提升到前所未有的高度，而自媒体世界的信息传递扩散之快、影响范围之广，也在提醒金融机构，一要高度重视合规，合规无小事，出事就可能是大事；二要高度重视舆情风险，敏感投诉及时上报，采取多种途径，消灭在萌芽中。