新华社新闻新华社调查：这些银行里的个人金融信息“漏洞”该咋堵？( 二 )

采访人员还了解到，目前部分银行对记录客户信息的纸质资料保护不足，未能及时销毁或失控流出的现象时有发生。部分已“上云”的资料，也存在因操作规范执行、监督不严而导致信息泄露风险大增情况。
浦发银行某原电销中心业务主管任职期间违规获取、储存大量客户个人信息致其全部外流入电信诈骗团伙手中。
——部分银行App涉嫌过度索权致泄露信息风险上升。采访人员随机测试了多款银行App ，发现其中多家存在不同程度“诱导”用户授权获取手机信息权限，如不同意其隐私条款则不能继续使用。其中中信银行、中国工商银行等建议用户同意读取拨打电话及通话管理，照片、媒体内容及文件，获取位置信息等信息，否则相关功能将无法使用。且该类授权属于“一次授权、长期有效” ，后期再使用时，系统不再提示授权。
北京师范大学网络法治国际中心高级研究员臧雷表示，根据相关国家标准，金融借贷类App可以获取的最小权限范围为存储权限。机构应尽量遵循最小索权原则，尽量不因存储权限之外的权限影响用户使用App的关键功能。
某银行风控部门工作人员向采访人员透露，目前大多数银行App都涉及技术外包合作方，尽管在遴选时对合作企业背景、安全性有一定考量，但合作企业部分员工泄露信息的风险仍然不小。
“目前不少银行员工保护用户信息安全全凭自身职业操守。 ”周女士说。
强化保护急需提升“法律+技术”防护力
如何才能堵上银行等金融机构中的个人信息安全漏洞？中国人民银行某省级分行工作人员建议，对于问题较为严重的银行应追究其法律责任，不能仅“内部处理”了事。
专家表示，当前我国已有部分法律法规规范性文件涉及个人金融信息的刑事保护、内控制度保护和技术规范，且相关立法仍在推进中。
2月，央行和全国金融标准化技术委员会发布了个人金融信息保护技术规范，对金融业机构的个人金融信息保护提出了规范性要求。《个人金融信息（数据）保护试行办法》也将在征求意见结束后正式对外发布。
2019年12月发布的《中国人民银行金融消费者权益保护实施办法（征求意见稿）》要求金融机构应当建立健全消费者金融信息保护机制。
2017年5月，两高发布了关于办理侵犯公民个人信息刑事案件的相关司法解释，非法获取、出售或者提供财产信息50条以上的属“侵犯公民个人信息罪”“情节严重” ， “处三年以下有期徒刑或者拘役，并处或者单处罚金” 。
北京师范大学法学院数字经济与法律研究中心主任汪庆华表示，目前的个人信息侵权民事救济机制仍然着眼于弥补实际损失，难以对故意侵权者在法律上形成有力约束。建议对非法披露他人信息、故意侵害他人信息权利的行为设定最低赔偿金额，加大惩罚力度。