35　公司为什么不能查员工的银行账户信息？

去年5月6日，脱口秀演员“池先生”发布微博称，中信银行上海虹口支行未获本人授权，便将其个人账户流水提供给上海某文化传媒有限公司，侵犯其个人信息的合法权益，要求中信银行、某文化传媒有限公司赔偿损失并公开道歉。中信银行经过确认证实了该支行存在未经“池先生”同意就将其个人账户流水提供给某文化传媒有限公司的行为，并已经按照制度规定对相关员工予以处分，对支行行长予以撤职。同时，银保监会消保局将按照相关法律法规，启动立案调查程序，严格依法依规进行查处。具体来看，中信银行的违法违规行为主要包括：（1）客户信息保护体制机制不健全。柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施，乱象整治自查不力。（2）客户信息收集环节管理不规范。客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则，查询客户账户明细事由不真实，未经客户本人授权查询并向第三方提供其个人银行账户交易信息；（3）对客户敏感信息管理不善，致其流出至互联网，并违规存储客户敏感信息；（4）系统权限管理存在漏洞，重要岗位及外包机构管理存在缺陷。

可以看到，银保监会出具的行政处罚中，提到了银行对客户敏感信息管理不善的问题，那么什么类型的信息是客户敏感信息呢？我国法律对用户个人敏感信息又采取了什么特殊的保护措施呢？(https://www.daowen.com)

《个人信息保护法》第28条界定了用户敏感个人信息的范围，法条指出：“敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息。”除此之外，《个人信息保护法》还单独强调了金融账户信息属于个保法中所提到的敏感个人信息。而敏感个人信息的处理应当在取得用户的单独同意后才能够进行。中国人民银行发布的《金融数据安全数据生命周期安全规范》第3.7条规定：“个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。”可以看到，本案例中提到的银行账户流水信息属于这里的金融交易信息，即个人金融信息。

那么如何以合法方式收集或使用用户的个人金融信息呢？根据上述安全规范第3.12条规定，明示同意是指个人金融信息主体通过书面声明或主动作出肯定性动作，对其个人金融信息进行特定处理作出明确授权的行为。肯定性动作包括个人金融信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。本案中，银行在向第三人提供用户个人信息前，至少应当通过用户本人的明示同意，才属于以合法方式使用其个人信息。