征信信息安全管理問題及對策

導語：征信信息安全管理問題及對策一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：目前，征信信息泄露案件在一些地方和領域呈現多發態勢，對征信業的健康發展造成不利影響。從征信信息安全管理的概念及征信信息泄露的表現形式入手，深入剖析加強征信信息安全管理的必要性和緊迫性，發現當前征信信息安全管理中存在監管力量投入不足、接入機構重視不夠和技術防范體系不完善等問題，應進一步創新執法檢查手段、加大違規處罰力度、健全技術防范體系、提升安全事件預防能力。

關鍵詞：征信信息；信息安全；安全管理

當前，由于多方面的原因，征信信息泄露所帶來的侵權、網絡詐騙等違法犯罪活動在一些地區和領域呈現多發態勢，征信信息安全問題已成為世界各國征信業發展共同面臨的難題與挑戰。2017年9月7日至10月2日，美國著名征信機構艾克菲（Equifax）遭到黑客攻擊，致使1.455億美國人身份信息、20.9萬消費者信用卡號信息泄露案。同年，我國也相繼發生山東滕州跨地區倒賣公民信用信息案，中信銀行大連分行，中國農業銀行淄博分行工作人員泄露倒賣個人信用信息案。近期又曝出臉書（Facebook）8700萬用戶信息遭泄露事件。上述事件的發生，嚴重損害了信息主體的合法權益，破壞了征信市場發展秩序?？梢?，進一步加強征信信息安全管理，促進征信業的持續健康發展勢在必行。

一、征信信息安全管理的概念及信息泄露表現形式

征信信息安全管理是通過維護征信信息的保密性、完整性和可用性，來管理和保護金融信用信息基礎數據庫接入機構（以下簡稱接入機構）和征信機構信息資產的一項制度安排，是對征信信息安全工作進行指導、規范和管理的一系列活動和過程的總和［1］。依據《征信機構信息安全規范》（JR/T0117-2014）行業標準，征信信息安全管理主要包括安全管理、安全技術、安全運作三個方面。安全管理主要包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面；安全技術包括客戶端、通信網絡、服務器端等方面；安全運作包括系統接入、系統注銷、用戶管理、信息采集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流動、研究分析、安全檢查與評估等方面。之所以有人置征信信息安全于不顧，通過非法途徑獲取或盜取征信信息，其根源在于社會上對征信信息的巨大需求，大量的P2P公司和未接入征信系統的小貸公司、融資性擔保公司、貸款營銷機構都對征信報告有直接的需求。而這些需求又催生了數據買賣市場的形成，巨大的市場需求和利益驅動，導致不法分子采取各種方式和手段盜取征信系統個人信息。目前市場上已然形成了信息倒買倒賣的黑色產業鏈，犯罪分子盜取的手段愈來愈隱秘，技術水準越來越高，組織越來越嚴密，對征信信息安全管理構成極大的威脅。在征信信息安全管理實踐中，征信信息泄露主要有以下幾種表現形式：一是未經信息主體書面授權查詢征信信息；二是與信息主體信貸業務關系已結清，仍以相關授權查詢信息主體征信信息；三是違法提供或出售用戶名、密碼，或因用戶名、密碼保管不善造成征信信息泄露；四是因征信信息保管不善造成信息泄露；五是因網絡系統、服務器、自助查詢機被攻擊造成信息泄露；六是因人員合規意識、責任意識淡薄和職業道德低下所造成的主觀故意和過失所造成的信息泄露；七是其他泄露征信信息的情形。

二、加強征信信息安全管理的必要性

（一）加強征信信息安全管理是防范金融風險、維護國家金融安全的需要。在第五次全國金融工作會議上指出：“防止發生系統性金融風險是金融工作的永恒主題。”由于信息不對稱所引發的信貸風險是造成金融風險的誘因之一，防范金融風險全面采集信息主體的信用信息必不可少。征信系統的有效利用，可以實現風險隱患的早識別、早預警，也為我們守住不發生系統性金融風險的底線筑牢屏障。征信信息安全是征信業發展的立足之本，沒有征信信息安全的有效保護，征信業發展將舉步維艱，更談不上發揮防范系統風險和維護國家金融安全的作用［2］。（二）加強征信信息安全管理是推動征信業健康發展的需要。不同于自然經濟和計劃經濟，在市場經濟條件下，各市場主體主要通過市場交易獲取自己所需要的產品或服務。而人們之間的信任與合作是市場主體達成交易的前提和基礎。市場主體之間缺乏信任或信任不足，市場交易就難以達成［3］。因此，在市場經濟條件下，市場交易比歷史上任何時期都更頻繁，更需要征信業的快速發展。加強征信信息安全管理，有利于征信信息在合法、有限的范圍內使用，避免信息泄露和濫用，為市場交易提供更為精準和高效的信用信息，從而為征信業的快速、健康發展奠定基礎。（三）加強征信信息安全管理是維護信息主體合法權益的需要。隨著大數據、云計算等數字技術的迅猛發展，個人信用信息被大規模電子化、數字化和產業化應用，個人信息采集的廣度和深度也不斷拓展，信息流動逐漸突破地域和行業限制，信息泄漏事件日益呈現隱蔽性和復雜性，更容易對信息主體的生命和財產安全造成威脅。要維護信息主體的合法權益，提高人民群眾在征信領域的幸福感和安全感，就要進一步加強征信信息安全管理，為個人信息的保護提供技術支撐和安全保障。

三、當前征信信息安全管理中存在的主要問題

近年來，造成征信信息泄露案件多發，征信信息安全管理形勢嚴峻的原因是多方面的，既有來自于中國人民銀行作為監督管理部門在監督管理中存在的問題,也有接入機構在自身征信信息安全管理中存在的問題。（一）監管效率不高，難以適應新時代征信信息安全形勢的需要。主要體現在兩個方面：一是傳統手工篩選比對檢查效率不高，難以適應新時代征信信息安全形勢。隨著征信合規與信息安全管理力度的加大，執法檢查次數的增加，接入機構對征信信息查詢使用的規范化程度有所提高，加之檢查人員缺少數據對比軟件和自動化檢查手段，使傳統手工抽查方式發現問題的概率有所降低，無法實現對所有檔案資料全面檢查，一定程度上影響了監管效果。二是對查詢授權書簽名真偽性的鑒別缺乏權威性，易使違規查詢取證陷于“兩難”境地。正如李海曉在《基層央行征信執法檢查中存在的問題及建議》一文所指出的，個別金融機構為了應付征信業務現場檢查，甚至將反饋的查詢收費明細直接發給客戶經理進行比對，突擊核對或補簽查詢授權書，而征信執法人員并不具備專業的筆跡鑒定能力，“肉眼比對”材料缺乏作為處罰證據的權威性［4］。（二）監管投入不足與人員素質參差不齊，制約信息安全管理效能。隨著征信信息安全管理形勢的嚴峻和征信監管工作任務的增加，原有的監管力量投入呈現緊張狀態。一是人員少任務重，征信監管力量投入有限。以基層人民銀行特別是縣級行為例，征信管理職能隸屬于綜合部，承擔貨幣信貸、調查統計、征信管理、金融穩定等多部門職能，人員少任務重，人員素質參差不齊，加之變動頻繁，平常很少有時間學習征信執法檢查方面的業務知識，造成對所轄地區監管力度不夠。二是執法檢查人員的依法行政水平有待進一步提高。從2017年中國人民銀行總行對分支機構征信信息安全管理專項審計發現問題來看，個別基層單位仍然存在征信執法檢查證據未加蓋被檢查機構公章或缺少相關人員簽字、執法檢查事實認定書未逐頁進行簽字和蓋章等程序不規范的現象。三是征信宣傳的針對性不強，效果不明顯。由于人手和精力有限，雖然基層人民銀行征信宣傳工作不斷深入，仍然存在部分信息主體在發現信用記錄被違規查詢或泄露的可疑情況后，或者因違規行為對自身利益沒有明顯影響，而最終放棄追究有關部門和人員的責任，或者因自身缺乏對征信知識和投訴維權渠道的了解，而盲目行事引發群體事件。（三）接入機構重視不夠和全員合規教育培訓制度落實不到位。面對日益激烈的同行業競爭，許多接入機構將工作重心放在業務拓展和利潤提升方面，領導層“重業務、輕合規，重制度、輕執行”的情況較為突出，很少有征信信息安全工作專項部署出現在董事會、監事會及行長辦公會上，自行開展的征信自查自糾或內部審計，也大多是在人民銀行的要求下被動應對，缺少主動作為。例如，個別接入機構征信內控制度難以隨著信貸業務的發展進行修訂，查詢用途難以覆蓋實際業務范圍；信用報告查詢授權書仍然存在將“金融信用信息基礎數據庫”描述成“中國人民銀行信用信息基礎數據庫”、授權書填寫不規范等屢查屢犯的問題。另外，一些接入機構缺乏必要的全員合規教育培訓，導致管理者及從業人員對規章制度不了解或理解不準確，甚至還有極個別人員認為只要取得信息主體的書面授權就可以查詢信息主體的信用報告，而忽略對真實業務背景的考量，存在主觀故意或疏忽大意過失泄露征信信息的風險隱患。（四）接入機構征信信息安全技術保障體系仍需進一步完善。現行征信系統因為上線較早，網絡運行與當時的環境和條件相匹配，但隨著征信系統接入機構范圍的不斷擴大，互聯網金融業務的發展，接入機構的網絡環境和業務都發生了巨大的改變，征信系統的安全管理也需要不斷創新和完善。征信查詢前置系統是提升信息安全技術水平的重要手段，它的建設需要投入大量的人力、物力、財力，而用于信息安全管理的投入又很難看到收益，導致許多接入機構在資金有限的情況下，不愿投入較多資金上線征信查詢前置管理系統。從已發生案件來看，破案難度較大，其主要障礙是當前征信系統操作日志只能記錄查詢賬號，而不能定位違規查詢所使用的設備、IP地址，使得信息泄露的防范偏重于事中、事后的補救，對于風險難以早阻斷、早隔離。

四、進一步加強征信信息安全管理的措施

在新的歷史時期，征信信息安全管理工作呈現新的特點，需要我們不斷面對新情況、解決新問題。為進一步加強征信信息安全管理工作，提出如下建議：（一）創新征信信息安全管理手段，提升征信執法檢查效率。信息安全管理手段需要與金融機構業務發展和技術水平的進步相適應。一是研發接入機構與征信中心反饋數據比對輔助軟件，改變目前手工核對的檢查方式。在目前各金融機構電子化臺賬統一的基礎上，盡快開發計算機輔助檢查工具或小助手，通過自動化工具直接抓取商業銀行臺賬數據，以兩端數據的比對來核查數據的準確性，既可以減少多部門數據流轉給檢查資料調閱帶來的麻煩，又可以擴大檢查的覆蓋面。二是留存信息主體電子查詢授權材料。參照金融機構加強貸前審查的做法（即在簽訂信貸合同時要求信貸員與客戶現場合影），要求接入機構簽署查詢授權書時，進行現場拍照，即被查詢人拿著身份證原件、查詢授權書原件與金融機構信用報告查詢人進行合影，并將拍攝照片作為查詢檔案的存檔要件，保證授權書確系本人簽署的真實性，避免發生信貸員在無真實業務背景下偽造查詢授權書掩蓋違規查詢或金融機構突擊補簽授權書的問題［5］。（二）創新征信執法檢查培訓方式，提升依法行政工作水平。一是創新征信執法檢查培訓方式。每年執法檢查時輪流抽調基層人員組成檢查組，由素質較高的執法檢查人員擔任主查、一般人員作為輔助，一對一，傳、幫、帶，提升業務素質，或者在上級行進行執法檢查時，讓當地人民銀行征信管理人員參與學習，通過這些形式不斷提高征信執法檢查人員素質。二是提升依法行政工作水平。加強對征信執法檢查和行政處罰依據法規和程序的實務操作培訓。在執法檢查上，參照《中國人民銀行執法檢查程序規定》（中國人民銀行令〔2006〕第1號）要求，對現有執法程序重新梳理，確保合法合規；在行政處罰上，參照《中國人民銀行行政處罰程序規定》（中國人民銀行令〔2001〕第3號）要求，使一線執法人員達到熟練掌握和運用相關條款的能力，處理過程做到主體適當、證據確鑿、適用法律準確、符合法定程序，不斷提高依法行政水平和征信執法檢查公信力。三是配備信息安全管理專業人才。目前，人民銀行征信管理部門配備人員所學專業大多是金融、經濟類專業，而且個別地方人員年齡偏大。隨著大數據、互聯網金融的發展和社會公眾維權意識的提高，征信信息安全管理的難度越來越大，將需要更多具有創新思維、案件偵破和辯護應訴能力的人才。建議通過招考或遴選的方式配備具有計算機軟硬件、偵查學、法律等專業的人員，提高新形勢下征信信息安全綜合管理能力。（三）強化信息安全管理主體責任，以零容忍態度嚴肅查處征信領域的違法違規行為。各接入機構要強化信息安全管理主體責任，充分發揮征信信息安全領導小組的統籌協調作用，主動根據自身信貸業務發展情況，對查詢授權文本和內控制度進行調整，實現從授權、審核、報送、查詢、使用、存儲等環節的全流程覆蓋。要求人民銀行分支機構結合地區征信業發展的特點和巡查結果，開展現場執法檢查工作，提升檢查的針對性和效率性，對檢查中發現的信息泄露、未授權查詢等違法違規問題要從嚴從重頂格處罰，對單位和個人嚴格執行雙罰制。同時，對檢查中發現的違法違規行為，視情況采取監管約談、責令限期整改、在金融系統內通報等措施，涉及犯罪的要及時移交到司法機關，對于問題特別嚴重的機構，將責成其調整用戶管理權限，直至暫停為其提供征信查詢服務等措施。（四）加快信息安全防范體系建設，督促接入機構安裝升級查詢前置系統。征信信息具有易復制、傳播快的特性，一旦發生泄漏，擴散范圍和使用目的是難以控制的，可能導致不可預知的結果。因此，信息安全管理工作重在預防，相對于傳統的“人防”，要更多地依賴前置系統等“技防”手段。接入機構要對現有查詢業務進行重新評估，按照《金融信用信息基礎數據庫接入機構征信合規與信息安全年度考核評級指標及標準》的要求，本著安全且必要的原則，縮減用戶數量，上收查詢權限；盡快通過科技手段，研發或采購征信查詢前置系統，發揮用戶加密保護、查詢行為監測、IP地址鎖定、查詢日志追查、報告展示脫敏等功能，建立“身份驗證、查詢規范、動態監測、風險可控”的征信信息安全防范體系，從源頭上減少信用信息在存儲、處理、傳輸、使用等環節的外泄風險。（五）圍繞安全事件預防能力的提升，開展征信知識宣傳和培訓。信息安全事件預防能力的提升，在很大程度上依賴于社會公眾、信貸主體、從業人員對征信知識的了解和征信文化的踐行。一是加強對社會公眾維權渠道的宣傳。要利用微信公眾號、公共媒體等途徑，向社會公眾開展征信宣傳，尤其是征信異議、征信投訴的申請受理機構、受理程序；對于本級機構不予受理的，要明確提請上級人民銀行或人民法院的訴訟解決途徑，使由此引發的社會矛盾化解在基層，解決在當地，切實維護人民銀行的信譽和形象。二是加強對信貸業務經辦客戶的征信宣傳。金融機構要主動作為，在信貸業務辦理中履行盡職告知義務，面對面地向客戶開展征信宣傳，使其明確還款金額、還款時間、逾期原因、逾期影響等關鍵性問題，將客戶逾期所引起的征信異議和投訴發生概率降到最低。三是加大對征信從業人員的培訓力度。針對接入機構征信崗位人員輪換頻繁的情況，設計符合高管、業務管理人員及征信查詢人員用戶特點的內部培訓、崗前考試、集中教育、案例警示等培訓方式；通過分層、分類開展征信法規及業務培訓，切實提高從業人員的操作能力、增加法制意識和風險意識，確保全員合規教育培訓制度能夠落到實處。

參考文獻：

［1］張雅婷.征信機構信息安全管理研究：基于ISO/IEC27001的征信機構信息安全管理體系構建［J］.金融經濟，2014（12）：88-91.

［2］李寅.江西征信合規監管的實踐與探析［J］.征信，2018（4）：54-57.

［3］石新中.市場經濟體制“基礎設施”建設的重大舉措［J］.中國征信，2017（2）：15-17.

［4］李海曉，高日升，趙明.基層央行征信執法檢查中存在的問題及建議［J］.北方金融，2016（9）：111-112.

［5］吳濤，余海霞.從違規查詢談防范征信信息泄露風險：以山西省為例［J］.征信，2017（3）：48-50.

作者:赫明剛 單位:中國人民銀行哈爾濱中心支行