近日，一则“储户取款4万元被银行盘问报警并查流水”的新闻话题，引发热议，不少网友跟帖回复有过类似遭遇。其中，对于储户历史流水“被调取询问”，是否构成侵犯个人隐私，也是多方的关注点。

多位律师对此表示，银行此举涉嫌违反《个人信息保护法》中的“必要性原则”。

律师银行取4万元遭盘问报警话题登上微博热搜。

律师：涉嫌违反“必要性原则”

据央视新闻报道，当事人周先生11月3日在山东东营出差，前往银行取现4万元，被柜员要求报备资金用途，并追问“具体买什么”。周先生提到，柜员还特别问其“上个月的某月某日，有个叫某某某的人给你转了若干元，这笔钱是什么？”周先生接受央视采访时称银行的做法侵犯客户隐私权。

银行账户流水信息算不算个人信息呢？南方都市报、南都大数据研究院梳理发现，《个人信息安全规范》中关于个人敏感信息的定义为：一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康收到损害或歧视性待遇等的个人信息。“银行账户”是列明的10类个人敏感信息其中之一。“银行账户流水信息”在《个人信息安全规范》附录A《敏感个人信息类别》表述为“基于账户信息产生的支付标记信息和个人收入明细”，属于金融账户信息类别中的敏感个人信息。

上海锦天城（重庆）律师事务所资深律师刘鑫提到，《银行业金融机构个人金融信息保护管理办法》明确禁止超范围查询、使用或泄露客户金融信息。如果银行员工未经授权擅自调取客户账户流水，或以个人判断为由越权操作，涉嫌侵犯客户隐私权和个人信息权益，银行及相关责任人需承担相应民事或监管责任。

浙江垦丁（广州）律师事务所创始合伙人王捷律师对此表示，此次事件中银行查询行为很可能超出必要限度，构成对个人信息权益的侵害。当事人账户若无其他异常，很难构成法定的“可疑交易”，银行查询过去整月流水行为涉嫌过度收集个人信息，违反《个人信息保护法》中的“必要性原则”。

北京大成（广州）律师事务所合伙人原峰认为，依据我国《民法典》相关规定，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。北源律所执行主任、前海律工委数据合规中心主任梁艳芬律师则提到，银行需要加强员工培训，提升其对客户个人信息的保护意识。

三种情况下银行可查流水

而在广东华进律师事务所高级合伙人、数据合规中心主任程珂昵律师看来，基于《个人信息保护法》等相关法律规定，银行要查询个人账户流水信息，必须基于合法、正当、必要的原则。

其表示，一般而言，银行在三种情况下可以查询个人账户流水信息：经账户持有人本人同意或授权、履行法定职责或法定义务（例如依法配合有权机关查询）、银行内部风险管理和审计需要（通常不涉及查看具体的交易对手信息）。

她同时提到，即便银行在上述三种情形内查询公民账户流水，应秉持查询、调用范围与手段符合“最小、必要”的个人信息处理原则。假如超出以上三种情况之外的情形下，非法查询、调取个人账户流水信息，公民可以向该银行上级机构或监管机构投诉举报，或者依法向该银行所在地法院提起有关个人信息保护纠纷的诉讼进行维权。如果已给公民造成财产或名誉损失，还可以向公安机关报案，追究相关责任人刑事责任。

不过，也有律师认为，银行查询用户过往流水，未外泄相关信息。金融机构基于社会治理需要，应从制度目的与手段平衡入手，适度对相应标准进行反思、调整。

采写：南都N视频记者 袁炯贤 实习生 王笛