法律理论分析与创新
                  Legal Theory Analysis and Innovation


                  1. 银行在多场景下具有承担刑事责任的法律风险
                  第一，直接收集客户信息类型不根据业务用途进行具体细分，违反“最小化”
             原则，符合《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法

             释〔2017〕10 号）（以下简称《个人信息刑事司法解释》）规定的定刑标准的，
             将被追究刑事责任。个人信息收集，包括向个人信息主体收集信息的直接收集，
             以及通过采购、技术手段获取等方式实现的间接收集。银行经营机构多，能够实
             现与客户的直接接触，且具有反洗钱、客户实名制管理等法律要求的个人信息收

             集职责，个人信息的直接收集在银行一般能够做好信息授权文本及文本签署管理，
             但其法律风险主要在于向个人过度索权，如在授信业务中要求访问个人手机通讯
             录等。过度索权收集信息属于违反《网络安全法》第 41 条规定，“收集、使用
             信息应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人数

             据”的非法行为，满足《个人信息刑事司法解释》规定的定刑标准，将被追究刑
             事责任。
                  第二，非法间接收集个人信息，符合《关于办理侵犯公民个人信息刑事案件
             适用法律若干问题的解释》（法释〔2017〕10 号）（以下简称《个人信息刑事

             司法解释》）规定的定刑标准的，将被追究刑事责任。以大数据作为客户授信或
             营销标准的业务中，如未经客户授权同意，自行以网络爬虫等科技手段自网络收
             集获取个人信息，符合《个人信息刑事司法解释》规定的定刑标准的，将被追究
             刑事责任。网络授信等以数据为审批模型要件的业务中，经常自第三方采购客户

             数据，如该等第三方属于未经被收集者同意或超过授权范围等的非法收集，银行
             接受该等个人信息，符合《个人信息刑事司法解释》规定的定刑标准的，将被追
             究刑事责任。明知数据合作公司的信息属于未经被收集者同意或超过授权范围等
             的非法收集仍采购或接受的，符合《个人信息刑事司法解释》定刑标准的，将被

             追究刑事责任。侵犯公民个人信息构成犯罪，除判处罚金外，直接负责的主管人
             员和其他直接责任人员都可能承担刑事责任。
                  第三，非法使用、对外提供、出售个人信息的，符合《个人信息刑事司法解
             释》规定的定刑标准的，将被追究刑事责任。非法获取、出售或对外提供银行掌

             握的个人信息。将客户在银行办理业务时获取的个人信息出售或非法对外提供易
             造成犯罪。《关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》
             （银发〔2012〕80 号）要求，禁止对外出售个人金融信息，除为个人办理相关



             18