金融信息保護思考

前言：尋找寫作靈感？中文期刊網用心挑選的金融信息保護思考，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

在金融業虛擬化和網絡化程度不斷提升的現代社會，信息安全與個人財產安全的關聯度日益提升。作為政府以外公民信息最主要的收集和使用者以及公民財產重要的貯藏和代管者，銀行有完全的責任和義務成為捍衛公民信息安全的“排頭兵”。而近年來卻頻頻發生銀行個人金融信息泄漏事件，讓公眾震驚和憂慮，也說明銀行個人金融信息保護工作亟待加強。   一、個人金融信息的界定、泄漏方式及威脅   銀行個人金融信息，又稱銀行客戶敏感信息，由銀行的各種業務產生，通過銀行信息系統進行輸入、輸出及處理，是銀行日常業務工作中積累的一項重要基礎數據，也是金融機構客戶個人隱私的重要內容。個人金融信息一般包含客戶、賬戶及交易類敏感信息，具體為：①個人身份信息，包括個人姓名、民族、身份證件種類和號碼等；②個人財產信息，包括個人收入狀況、擁有的不動產狀況等；③個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶余額等；④個人信用信息，包括信用卡還款情況、貸款償還情況等；⑤個人金融交易信息，包括銀行業金融機構在支付結算、理財、保險箱等中間業務過程中獲取、保存、留存的個人信息和客戶在通過銀行業金融機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發生業務關系時產生的個人信息等；⑥衍生信息，包括個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息；⑦個人其他信息。   由于個人金融信息的生命周期管理涉及客戶、銀行、商戶、支付服務商乃至外部不法分子等諸多主體，涉及人、系統、流程等要素，還涉及收集、使用、傳輸、銷毀等環節，因此，對個人金融信息的保護尤為復雜。如何收集、使用、對外提供個人金融信息，既涉及銀行業務的正常開展，也涉及客戶信息、個人隱私的保護；如果出現與個人金融信息有關的不當行為，不但會直接侵害客戶的合法權益，也會增加銀行的訴訟風險，加大運營成本。總結起來，銀行個人金融信息泄漏主要有以下三種渠道。   （1）銀行泄漏。首先，銀行出于某種利益關系考慮可能主動將個人金融信息透露給第三方。如2010年香港金管局對外披露，有6家銀行將超過60萬名客戶的資料泄漏給非關聯的第三方，內地這種情況也很普遍，客戶很難區分接到的保險銷售電話究竟來自銀行還是來自非關聯的保險公司。其次，銀行內部人員可能非法買賣個人金融信息。如上海司法機關日前查獲一起關于買賣銀行客戶信息案件，其中兩名嫌疑人已被檢察機關批捕，批捕罪名包括涉嫌竊取、收買、非法提供信用卡信息罪和涉嫌出售公民信息罪。最后，由于對為銀行服務的外包商管理不嚴，導致外包商非法越權接觸銀行個人金融信息并引發泄漏事件。   （2）商戶及支付服務機構泄漏。當前，很多現實交易及網上交易是通過商戶安裝的POS機具或支付服務機構的支付平臺進行的，在此過程中，銀行個人金融信息“落地”至商戶及支付服務平臺系統內，使商戶及支付服務機構接觸個人金融信息并引發泄漏。2010年，大慶警方破獲一起案件，某商場員工于2008～2010年利用維修收銀臺POS的便利條件，從POS的程序中竊取顧客的銀行卡信息，復制了120張銀行卡，并通過商場會員系統獲取會員身份信息和刷卡記錄，找出銀行卡和會員身份的對應關系，并破譯了較為簡單的銀行卡密碼，由此盜用20多張銀行卡，盜取現金20多萬元。   （3）黑客及不法分子入侵導致泄漏。黑客可以通過腳本程序、無線網絡或植入惡意程序等途徑侵入金融機構的電腦系統，竊取后臺數據庫違規留存的包括磁道信息在內的賬戶信息。2011年6月，花旗銀行證實受到黑客襲擊，約有1%的信用卡用戶（36萬左右）受到影響，受影響客戶的姓名、賬號、聯系信息(包括電子郵件地址)均被黑客瀏覽。個人金融信息泄漏使得不法分子獲取了大量個人信息，并成為其他諸多犯罪的源頭。一是被泄漏的個人金融信息成為電信詐騙的最佳“原材料”。個人金融信息含有豐富的內容，不法分子獲取后，利用其進行電信詐騙是最為常見的危害。在電信詐騙案件偵破中，警方發現，受害者個人金融信息的泄漏是根本原因。二是被泄露的個人金融信息為冒名辦理信用卡套現、復制銀行卡盜取資金提供了極大便利。近年來發生的大量案件表明，犯罪分子在獲取足夠的個人金融信息后，可通過冒名辦理信用卡及貸款、復制銀行卡等手段，盜取客戶資金，并嚴重影響客戶信用。三是被泄漏的個人金融信息造成眾多垃圾信息，嚴重影響社會生活秩序。相關單位獲取個人金融信息后，向這些個人進行宣傳或推銷，此類垃圾信息的頻發影響人們休息、侵害用戶健康、干擾人們正常生活，成為一種新型社會污染。   二、個人金融信息泄漏的主要原因   （1）銀行個人金融信息管理意識淡薄、制度不健全。   一是銀行當前對個人金融信息保護的意識較為薄弱，普遍未認識到個人金融信息是銀行的重要資產，是關乎銀行聲譽、客戶隱私保護的重要因素，未將個人金融信息泄漏作為一種重要風險來對待，未將個人金融信息保護納入銀行整體風險管理框架中。二是銀行個人金融信息保護機制不健全。未形成完善的個人金融信息保護管理制度，已有的相關制度主要分散于各類業務管理制度中，沒有形成體系，也無法覆蓋信息的采集、保管和銷毀等所有工作環節。   （2）銀行個人金融信息管理內控機制不健全、信息系統建設管理不完善。   當前，銀行普遍未形成個人金融信息保護的有效組織和完善的信息系統，各業務部門在個人金融信息保護方面各自為政，信息系統中的信息互為孤島，缺乏統一管理。內控方面，一是沒有形成專業化的個人信息管理組織，缺乏專職的個人信息保護人員，個人信息保護的職能難于充分發揮。二是內部監督檢查力度較弱，沒有對個人信息保護的專項檢查制度，將該類檢查納入常規性檢查定期進行的機構比例較低。三是信息查詢審計跟蹤能力不足，銀行缺乏信息調閱查詢等行為以及信息交接過程的記錄，難于跟蹤個人信息使用的過程。四是外包管理中，對外包人員行為的控制有所欠缺，對外包商的保密管理情況審計不足。信息系統方面，銀行存儲個人金融信息的系統建設管理也不完善，未對信息進行統一整合。當前多數銀行的個人金融信息分散在存款、支付結算、銀行卡、電子銀行等業務中，業務又分屬不同部門運營，且分別由不同的信息系統支持，形成了許多信息孤島，使得信息保護更加困難。一是對系統查詢信息的權限控制不足，工作人員查詢時，往往能夠獲取超過其權限的信息。二是信息系統開發和測試時，數據變形管理不嚴格，缺乏關于數據變形管理的制度和規定，數據變形工作的隨意性較大。#p#分頁標題#e# （3）對商戶及支付服務機構的管理不規范，缺乏有效制約。銀行簽約商戶及第三方支付服務機構作為個人金融信息的“落地”主體，對個人金融信息保護也負有義務，但當前銀行對簽約商戶的管理不規范，對第三方支付服務機構也缺乏有效監管。一是銀行對簽約商戶及支付服務機構管理不到位。簽訂的合作協議不完善，未明確個人金融信息傳輸使用過程的權責關系，缺乏必要的安全保護技術手段；缺乏對合作方的定期檢查核查機制，例行檢查往往流于形式。二是對商戶及新型支付服務機構缺乏有效監管。商戶及支付服務機構出于利益考量，往往成為個人金融信息泄漏的積極群體，當前，國內尚未有效構建對此類機構的監管機制。   （4）監管部門對個人金融信息保護的監管不到位。   2011年以來，人民銀行、銀監會分別針對銀行個人金融信息保護下發了通知（銀發〔2011〕17號、銀監發〔2011〕86號），但總體來說，監管部門對銀行個人金融信息保護的監管還處于起步階段。一是現有的監管制度較為零散且可操作性不強?，F行銀行業監管法規僅針對儲蓄存款業務、電子銀行業務、信用卡業務等領域的客戶個人信息保護作出個別規定，無法覆蓋銀行業提供的各類業務，不能全面規范客戶個人信息采集、保管和銷毀的全流程；同時，原則性規定較多，多數只規定保護的基本原則，缺乏具體條款，可操作性不強。二是針對性不強。如《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》雖然對客戶信息安全管理做了一些規定，但立法目的是加強反洗錢的監督管理，不是針對客戶個人信息保護。   （5）法律不完善、行政法律責任缺失。一是我國尚未制定專門的個人信息保護法，對個人信息的保護主要依據只有《民法通則》中對個人姓名權、肖像權和名譽權的規定，《刑法修正案（七）》中規定的出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名，個人信息主體的權利難以得到全面明確和保護。   二是行政法責任缺失。從我國現有法規來看，對侵犯公民個人信息的行為，《民法通則》規定了損害賠償的民事責任，《刑法》規定了出售、非法提供及非法獲取公民個人信息應承擔的刑事責任，而在行政法層面，對于侵犯銀行客戶個人信息但尚未構成犯罪的行為，銀行業監管法規沒有規定直接適用的罰則，監管部門也缺乏對銀行違規泄漏客戶信息進行行政處罰的直接依據。   （6）公眾教育缺乏、客戶風險防范意識淡薄。一方面，社會針對個人金融信息保護開展的公眾教育相對不足，例如，銀行在營銷業務產品過程中對客戶培訓不足，未履行對客戶必要的告知義務；另一方面，銀行客戶層次有差異，素質參差不齊，部分客戶風險防范意識較弱，缺乏對個人金融信息保護的意識。   三、個人金融信息保護的建議與對策個人金融信息保護是一項系統工程，需要個人、銀行、監管部門及有關部門的有效協同。   （1）銀行層面要提升意識、構建機制，強化個人金融信息生命周期的保護管理。一是要強化內控建設。銀行機構應盡快完善客戶個人信息管理的規章制度，對客戶個人信息的采集、使用、存儲的生命周期管理做出明確規定，有效保護客戶個人信息安全；建立健全信息安全內控機制，制定信息安全控制流程，明確各崗位人員的保密和管理職責權限；對紙質和電子信息實行集中統一管理，對信息查閱、下載、拷貝實行嚴格的審批、登記和權限管理；強化監督問責，定期對信息安全狀況進行評估、審計和檢查監督，及時發現和糾正客戶信息管理工作中的隱患和漏洞。二是要完善信息系統建設與管理。一方面，銀行要在數據大集中基礎上進一步整合信息系統，真正實現由“以賬戶為中心”到“以客戶為中心”的轉變，全面整合個人金融信息，以便于進行統一保護管理；另一方面，要進一步提升信息安全管理能力。銀行機構應對信息系統可能遇到的各種技術風險進行評估，綜合運用先進的防火墻、身份識別與認證、數據加密、數字簽名、第三方認證以及網絡安全監控等技術并及時更新，有效防范來自于外部的攻擊，確保信息及信息系統安全。三是要加強員工管理。銀行機構應加強員工保密教育，提高員工素養，增強員工法律意識，嚴格遵守“為客戶保密”的原則；加強對保密要害部門、要害部位和涉密工作人員的管理，加強對業務外包單位及合作單位工作人員管理，及時消除風險隱患。   （2）監管層面要完善規章，加強銀行業個人金融信息保護工作監管。一是要考慮將個人金融信息保護納入對銀行的總體風險監管框架中。監管部門可根據《民法通則》、《商業銀行法》等法律中有關公民信息保護的原則性規定，制定銀行客戶個人信息保護的部門規章，對銀行客戶個人信息的采集、使用、保密等環節作出詳細規定，明確對銀行業機構違規泄漏客戶個人信息，造成客戶較大損失或引發社會不良影響的，可以視情形予以處罰或采取監管措施。二是可依托銀行業標準化委員會，建立金融客戶個人信息保護的規范和標準，促進銀行業構建個人信息保護工作的體制和機制，以利于監管銀行業機構，更好地保護個人信息。三是加強對銀行個人金融信息保護工作的現場檢查和非現場監測，切實督促銀行加強客戶個人金融信息數據庫營銷管理，督促銀行業加強信息系統安全管理，規范其個人信息數據庫的管理，防止信息被濫用。   （3）國家層面要加快立法進程，加強宣傳教育，提升公眾的個人信息保護意識。一是建議國家相關部門建立一整套系統化、多層次的個人信息保護法規制度，將個人信息保護工作法制化，如完善信息主體權益保護法規制度，完善征信監管主體法規制度，建立依法合規的個人信息查詢辦法和規定，建立行業監管機制等。二是設立專門的信息資源管理機構，對使用私人信息的社會團體或個人進行嚴格的監督。三是提高公民自我保護意識。通過開展形式多樣的宣傳活動，加大宣傳力度，引導民眾注意保護個人信息，提高防范意識。