近日，江蘇銀行上海金橋支行將3.2萬客戶的個人信息違規提供給了商業機構。今天，中國人民銀行上海分行工作人員向中國青年報記者證實，金橋支行確實存在違規行為，已被通報批評，責令整改，並由中國人民銀行上海分行金融服務二部對其進行行政處罰，“但具體的措施有待進一步公佈”。

　　2012年2月至4月，江蘇銀行上海金橋支行憑藉宜信普惠信息諮詢(北京)有限公司提供的查詢授權書，在未與客戶發生業務關係的情況下，查詢了3.2萬餘人的個人信用報告，並將部分查詢結果提供給宜信公司。

　　這種行為違反了中國人民銀行《個人信用信息基礎數據庫管理暫行辦法》(以下簡稱《辦法》)的相關規定。

　　根據《辦法》，商業銀行只有辦理5類業務時，才可以向個人信用數據庫查詢個人信用報告。同時，商業銀行應當建立保證個人信用信息安全的管理制度，確保只有得到內部授權的人員才能接觸個人信用報告，不得將個人信用報告用於《辦法》規定以外的其他用途。

　　“目前我國關於個人信息保護，沒有專門的法律。只是在刑法修正案(七)中，增加了兩個罪名。”中國社科院法學研究所憲法與行政法研究室副主任呂艷濱在接受中國青年報記者採訪時説，刑法中的相關規定針對的是竊取和買賣個人信息，而江蘇銀行上海金橋支行的行為是利用個人信用信息基礎數據庫，應該按照央行相關的管理辦法來進行處罰。

　　“但是，具體怎麼處罰沒有明確的上位法依據。”呂艷濱説，中國人民銀行的《辦法》作為一個部門規章，包括處罰的金額、處罰的權限，都應受到法律限制。

　　《辦法》第39條規定，如果商業銀行越權查詢個人信用數據庫的，或者將查詢結果用於《辦法》規定之外的其他目的，中國人民銀行可以責令其改正，並處1萬元以上3萬元以下罰款；涉嫌犯罪的，依法移交司法機關處理。

　　8月14日，江蘇銀行上海金橋支行辦公室一位工作人員告訴中國青年報記者：“我們現在在排查，看哪有了問題，但是還沒有得出結論。”