征信信息安全管理问题及对策

时间:2022-01-07 03:45:49

导语:征信信息安全管理问题及对策一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

征信信息安全管理问题及对策

摘要:目前,征信信息泄露案件在一些地方和领域呈现多发态势,对征信业的健康发展造成不利影响。从征信信息安全管理的概念及征信信息泄露的表现形式入手,深入剖析加强征信信息安全管理的必要性和紧迫性,发现当前征信信息安全管理中存在监管力量投入不足、接入机构重视不够和技术防范体系不完善等问题,应进一步创新执法检查手段、加大违规处罚力度、健全技术防范体系、提升安全事件预防能力。

关键词:征信信息;信息安全;安全管理

当前,由于多方面的原因,征信信息泄露所带来的侵权、网络诈骗等违法犯罪活动在一些地区和领域呈现多发态势,征信信息安全问题已成为世界各国征信业发展共同面临的难题与挑战。2017年9月7日至10月2日,美国著名征信机构艾克菲(Equifax)遭到黑客攻击,致使1.455亿美国人身份信息、20.9万消费者信用卡号信息泄露案。同年,我国也相继发生山东滕州跨地区倒卖公民信用信息案,中信银行大连分行,中国农业银行淄博分行工作人员泄露倒卖个人信用信息案。近期又曝出脸书(Facebook)8700万用户信息遭泄露事件。上述事件的发生,严重损害了信息主体的合法权益,破坏了征信市场发展秩序。可见,进一步加强征信信息安全管理,促进征信业的持续健康发展势在必行。

一、征信信息安全管理的概念及信息泄露表现形式

征信信息安全管理是通过维护征信信息的保密性、完整性和可用性,来管理和保护金融信用信息基础数据库接入机构(以下简称接入机构)和征信机构信息资产的一项制度安排,是对征信信息安全工作进行指导、规范和管理的一系列活动和过程的总和[1]。依据《征信机构信息安全规范》(JR/T0117-2014)行业标准,征信信息安全管理主要包括安全管理、安全技术、安全运作三个方面。安全管理主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面;安全技术包括客户端、通信网络、服务器端等方面;安全运作包括系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面。之所以有人置征信信息安全于不顾,通过非法途径获取或盗取征信信息,其根源在于社会上对征信信息的巨大需求,大量的P2P公司和未接入征信系统的小贷公司、融资性担保公司、贷款营销机构都对征信报告有直接的需求。而这些需求又催生了数据买卖市场的形成,巨大的市场需求和利益驱动,导致不法分子采取各种方式和手段盗取征信系统个人信息。目前市场上已然形成了信息倒买倒卖的黑色产业链,犯罪分子盗取的手段愈来愈隐秘,技术水准越来越高,组织越来越严密,对征信信息安全管理构成极大的威胁。在征信信息安全管理实践中,征信信息泄露主要有以下几种表现形式:一是未经信息主体书面授权查询征信信息;二是与信息主体信贷业务关系已结清,仍以相关授权查询信息主体征信信息;三是违法提供或出售用户名、密码,或因用户名、密码保管不善造成征信信息泄露;四是因征信信息保管不善造成信息泄露;五是因网络系统、服务器、自助查询机被攻击造成信息泄露;六是因人员合规意识、责任意识淡薄和职业道德低下所造成的主观故意和过失所造成的信息泄露;七是其他泄露征信信息的情形。

二、加强征信信息安全管理的必要性

(一)加强征信信息安全管理是防范金融风险、维护国家金融安全的需要。在第五次全国金融工作会议上指出:“防止发生系统性金融风险是金融工作的永恒主题。”由于信息不对称所引发的信贷风险是造成金融风险的诱因之一,防范金融风险全面采集信息主体的信用信息必不可少。征信系统的有效利用,可以实现风险隐患的早识别、早预警,也为我们守住不发生系统性金融风险的底线筑牢屏障。征信信息安全是征信业发展的立足之本,没有征信信息安全的有效保护,征信业发展将举步维艰,更谈不上发挥防范系统风险和维护国家金融安全的作用[2]。(二)加强征信信息安全管理是推动征信业健康发展的需要。不同于自然经济和计划经济,在市场经济条件下,各市场主体主要通过市场交易获取自己所需要的产品或服务。而人们之间的信任与合作是市场主体达成交易的前提和基础。市场主体之间缺乏信任或信任不足,市场交易就难以达成[3]。因此,在市场经济条件下,市场交易比历史上任何时期都更频繁,更需要征信业的快速发展。加强征信信息安全管理,有利于征信信息在合法、有限的范围内使用,避免信息泄露和滥用,为市场交易提供更为精准和高效的信用信息,从而为征信业的快速、健康发展奠定基础。(三)加强征信信息安全管理是维护信息主体合法权益的需要。随着大数据、云计算等数字技术的迅猛发展,个人信用信息被大规模电子化、数字化和产业化应用,个人信息采集的广度和深度也不断拓展,信息流动逐渐突破地域和行业限制,信息泄漏事件日益呈现隐蔽性和复杂性,更容易对信息主体的生命和财产安全造成威胁。要维护信息主体的合法权益,提高人民群众在征信领域的幸福感和安全感,就要进一步加强征信信息安全管理,为个人信息的保护提供技术支撑和安全保障。

三、当前征信信息安全管理中存在的主要问题

近年来,造成征信信息泄露案件多发,征信信息安全管理形势严峻的原因是多方面的,既有来自于中国人民银行作为监督管理部门在监督管理中存在的问题,也有接入机构在自身征信信息安全管理中存在的问题。(一)监管效率不高,难以适应新时代征信信息安全形势的需要。主要体现在两个方面:一是传统手工筛选比对检查效率不高,难以适应新时代征信信息安全形势。随着征信合规与信息安全管理力度的加大,执法检查次数的增加,接入机构对征信信息查询使用的规范化程度有所提高,加之检查人员缺少数据对比软件和自动化检查手段,使传统手工抽查方式发现问题的概率有所降低,无法实现对所有档案资料全面检查,一定程度上影响了监管效果。二是对查询授权书签名真伪性的鉴别缺乏权威性,易使违规查询取证陷于“两难”境地。正如李海晓在《基层央行征信执法检查中存在的问题及建议》一文所指出的,个别金融机构为了应付征信业务现场检查,甚至将反馈的查询收费明细直接发给客户经理进行比对,突击核对或补签查询授权书,而征信执法人员并不具备专业的笔迹鉴定能力,“肉眼比对”材料缺乏作为处罚证据的权威性[4]。(二)监管投入不足与人员素质参差不齐,制约信息安全管理效能。随着征信信息安全管理形势的严峻和征信监管工作任务的增加,原有的监管力量投入呈现紧张状态。一是人员少任务重,征信监管力量投入有限。以基层人民银行特别是县级行为例,征信管理职能隶属于综合部,承担货币信贷、调查统计、征信管理、金融稳定等多部门职能,人员少任务重,人员素质参差不齐,加之变动频繁,平常很少有时间学习征信执法检查方面的业务知识,造成对所辖地区监管力度不够。二是执法检查人员的依法行政水平有待进一步提高。从2017年中国人民银行总行对分支机构征信信息安全管理专项审计发现问题来看,个别基层单位仍然存在征信执法检查证据未加盖被检查机构公章或缺少相关人员签字、执法检查事实认定书未逐页进行签字和盖章等程序不规范的现象。三是征信宣传的针对性不强,效果不明显。由于人手和精力有限,虽然基层人民银行征信宣传工作不断深入,仍然存在部分信息主体在发现信用记录被违规查询或泄露的可疑情况后,或者因违规行为对自身利益没有明显影响,而最终放弃追究有关部门和人员的责任,或者因自身缺乏对征信知识和投诉维权渠道的了解,而盲目行事引发群体事件。(三)接入机构重视不够和全员合规教育培训制度落实不到位。面对日益激烈的同行业竞争,许多接入机构将工作重心放在业务拓展和利润提升方面,领导层“重业务、轻合规,重制度、轻执行”的情况较为突出,很少有征信信息安全工作专项部署出现在董事会、监事会及行长办公会上,自行开展的征信自查自纠或内部审计,也大多是在人民银行的要求下被动应对,缺少主动作为。例如,个别接入机构征信内控制度难以随着信贷业务的发展进行修订,查询用途难以覆盖实际业务范围;信用报告查询授权书仍然存在将“金融信用信息基础数据库”描述成“中国人民银行信用信息基础数据库”、授权书填写不规范等屡查屡犯的问题。另外,一些接入机构缺乏必要的全员合规教育培训,导致管理者及从业人员对规章制度不了解或理解不准确,甚至还有极个别人员认为只要取得信息主体的书面授权就可以查询信息主体的信用报告,而忽略对真实业务背景的考量,存在主观故意或疏忽大意过失泄露征信信息的风险隐患。(四)接入机构征信信息安全技术保障体系仍需进一步完善。现行征信系统因为上线较早,网络运行与当时的环境和条件相匹配,但随着征信系统接入机构范围的不断扩大,互联网金融业务的发展,接入机构的网络环境和业务都发生了巨大的改变,征信系统的安全管理也需要不断创新和完善。征信查询前置系统是提升信息安全技术水平的重要手段,它的建设需要投入大量的人力、物力、财力,而用于信息安全管理的投入又很难看到收益,导致许多接入机构在资金有限的情况下,不愿投入较多资金上线征信查询前置管理系统。从已发生案件来看,破案难度较大,其主要障碍是当前征信系统操作日志只能记录查询账号,而不能定位违规查询所使用的设备、IP地址,使得信息泄露的防范偏重于事中、事后的补救,对于风险难以早阻断、早隔离。

四、进一步加强征信信息安全管理的措施

在新的历史时期,征信信息安全管理工作呈现新的特点,需要我们不断面对新情况、解决新问题。为进一步加强征信信息安全管理工作,提出如下建议:(一)创新征信信息安全管理手段,提升征信执法检查效率。信息安全管理手段需要与金融机构业务发展和技术水平的进步相适应。一是研发接入机构与征信中心反馈数据比对辅助软件,改变目前手工核对的检查方式。在目前各金融机构电子化台账统一的基础上,尽快开发计算机辅助检查工具或小助手,通过自动化工具直接抓取商业银行台账数据,以两端数据的比对来核查数据的准确性,既可以减少多部门数据流转给检查资料调阅带来的麻烦,又可以扩大检查的覆盖面。二是留存信息主体电子查询授权材料。参照金融机构加强贷前审查的做法(即在签订信贷合同时要求信贷员与客户现场合影),要求接入机构签署查询授权书时,进行现场拍照,即被查询人拿着身份证原件、查询授权书原件与金融机构信用报告查询人进行合影,并将拍摄照片作为查询档案的存档要件,保证授权书确系本人签署的真实性,避免发生信贷员在无真实业务背景下伪造查询授权书掩盖违规查询或金融机构突击补签授权书的问题[5]。(二)创新征信执法检查培训方式,提升依法行政工作水平。一是创新征信执法检查培训方式。每年执法检查时轮流抽调基层人员组成检查组,由素质较高的执法检查人员担任主查、一般人员作为辅助,一对一,传、帮、带,提升业务素质,或者在上级行进行执法检查时,让当地人民银行征信管理人员参与学习,通过这些形式不断提高征信执法检查人员素质。二是提升依法行政工作水平。加强对征信执法检查和行政处罚依据法规和程序的实务操作培训。在执法检查上,参照《中国人民银行执法检查程序规定》(中国人民银行令〔2006〕第1号)要求,对现有执法程序重新梳理,确保合法合规;在行政处罚上,参照《中国人民银行行政处罚程序规定》(中国人民银行令〔2001〕第3号)要求,使一线执法人员达到熟练掌握和运用相关条款的能力,处理过程做到主体适当、证据确凿、适用法律准确、符合法定程序,不断提高依法行政水平和征信执法检查公信力。三是配备信息安全管理专业人才。目前,人民银行征信管理部门配备人员所学专业大多是金融、经济类专业,而且个别地方人员年龄偏大。随着大数据、互联网金融的发展和社会公众维权意识的提高,征信信息安全管理的难度越来越大,将需要更多具有创新思维、案件侦破和辩护应诉能力的人才。建议通过招考或遴选的方式配备具有计算机软硬件、侦查学、法律等专业的人员,提高新形势下征信信息安全综合管理能力。(三)强化信息安全管理主体责任,以零容忍态度严肃查处征信领域的违法违规行为。各接入机构要强化信息安全管理主体责任,充分发挥征信信息安全领导小组的统筹协调作用,主动根据自身信贷业务发展情况,对查询授权文本和内控制度进行调整,实现从授权、审核、报送、查询、使用、存储等环节的全流程覆盖。要求人民银行分支机构结合地区征信业发展的特点和巡查结果,开展现场执法检查工作,提升检查的针对性和效率性,对检查中发现的信息泄露、未授权查询等违法违规问题要从严从重顶格处罚,对单位和个人严格执行双罚制。同时,对检查中发现的违法违规行为,视情况采取监管约谈、责令限期整改、在金融系统内通报等措施,涉及犯罪的要及时移交到司法机关,对于问题特别严重的机构,将责成其调整用户管理权限,直至暂停为其提供征信查询服务等措施。(四)加快信息安全防范体系建设,督促接入机构安装升级查询前置系统。征信信息具有易复制、传播快的特性,一旦发生泄漏,扩散范围和使用目的是难以控制的,可能导致不可预知的结果。因此,信息安全管理工作重在预防,相对于传统的“人防”,要更多地依赖前置系统等“技防”手段。接入机构要对现有查询业务进行重新评估,按照《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准》的要求,本着安全且必要的原则,缩减用户数量,上收查询权限;尽快通过科技手段,研发或采购征信查询前置系统,发挥用户加密保护、查询行为监测、IP地址锁定、查询日志追查、报告展示脱敏等功能,建立“身份验证、查询规范、动态监测、风险可控”的征信信息安全防范体系,从源头上减少信用信息在存储、处理、传输、使用等环节的外泄风险。(五)围绕安全事件预防能力的提升,开展征信知识宣传和培训。信息安全事件预防能力的提升,在很大程度上依赖于社会公众、信贷主体、从业人员对征信知识的了解和征信文化的践行。一是加强对社会公众维权渠道的宣传。要利用微信公众号、公共媒体等途径,向社会公众开展征信宣传,尤其是征信异议、征信投诉的申请受理机构、受理程序;对于本级机构不予受理的,要明确提请上级人民银行或人民法院的诉讼解决途径,使由此引发的社会矛盾化解在基层,解决在当地,切实维护人民银行的信誉和形象。二是加强对信贷业务经办客户的征信宣传。金融机构要主动作为,在信贷业务办理中履行尽职告知义务,面对面地向客户开展征信宣传,使其明确还款金额、还款时间、逾期原因、逾期影响等关键性问题,将客户逾期所引起的征信异议和投诉发生概率降到最低。三是加大对征信从业人员的培训力度。针对接入机构征信岗位人员轮换频繁的情况,设计符合高管、业务管理人员及征信查询人员用户特点的内部培训、岗前考试、集中教育、案例警示等培训方式;通过分层、分类开展征信法规及业务培训,切实提高从业人员的操作能力、增加法制意识和风险意识,确保全员合规教育培训制度能够落到实处。

参考文献:

[1]张雅婷.征信机构信息安全管理研究:基于ISO/IEC27001的征信机构信息安全管理体系构建[J].金融经济,2014(12):88-91.

[2]李寅.江西征信合规监管的实践与探析[J].征信,2018(4):54-57.

[3]石新中.市场经济体制“基础设施”建设的重大举措[J].中国征信,2017(2):15-17.

[4]李海晓,高日升,赵明.基层央行征信执法检查中存在的问题及建议[J].北方金融,2016(9):111-112.

[5]吴涛,余海霞.从违规查询谈防范征信信息泄露风险:以山西省为例[J].征信,2017(3):48-50.

作者:赫明刚 单位:中国人民银行哈尔滨中心支行