中信银行处罚员工体现什么原则

首先，从处罚决定书披露的信息看，涉事银行在个人信息保护方面存在的违法违规事实包括：客户信息保护体制机制不健全；柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施；客户信息收集环节管理不规范；客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则；对客户敏感信息管理不善，致其流出至互联网等。应该说，处罚决定书披露的这些问题相当严重。可以说，由于内部管理机制的不完善，类似池子事件的发生，是早晚的事情。

从另外一个角度看，法律要求银行等金融机构履行的个人信息保护责任，并不是像公众所理解的，只是“未经过本人允许，不能把客户信息告诉别人”这么简单。事实上，保护个人信息需要的是一套严密的隐私与个人信息保护制度体系，且这套制度体系必须融入机构日常业务运作的所有流程和环节中。比如，制定银行业务流程，在涉及客户信息查询时，不仅要有明确的授权层级与授权关系，还要有其他内控机制；如果相关数据处理、存储业务外包给第三方，则需要有严格的管理要求和监控制度等。这些措施是个人信息保护制度得以有效发挥作用的基础框架。

在这方面，个人信息保护法草案中也有明确规定：个人信息处理者需要建立诸多内控制度，甚至是安排专门的责任人来负责落实个人信息保护合规方面的法律要求。就此而言，任何市场主体都必须意识到，个人信息保护制度是一个制度体系，其中任何环节出现纰漏或者不到位，都属于违法违规，都应承担责任。这是本案折射出来的第一个重要意义。