SCI期刊 | 网站地图 周一至周日 8:00-22:30
你的位置:首页 >  货币金融 » 正文

金融信息保护思考

2021-4-10 | 货币金融

 

在金融业虚拟化和网络化程度不断提升的现代社会,信息安全与个人财产安全的关联度日益提升。作为政府以外公民信息最主要的收集和使用者以及公民财产重要的贮藏和代管者,银行有完全的责任和义务成为捍卫公民信息安全的“排头兵”。而近年来却频频发生银行个人金融信息泄漏事件,让公众震惊和忧虑,也说明银行个人金融信息保护工作亟待加强。

 

一、个人金融信息的界定、泄漏方式及威胁

 

银行个人金融信息,又称银行客户敏感信息,由银行的各种业务产生,通过银行信息系统进行输入、输出及处理,是银行日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。个人金融信息一般包含客户、账户及交易类敏感信息,具体为:①个人身份信息,包括个人姓名、民族、身份证件种类和号码等;②个人财产信息,包括个人收入状况、拥有的不动产状况等;③个人账户信息,包括账号、账户开立时间、开户行、账户余额等;④个人信用信息,包括信用卡还款情况、贷款偿还情况等;⑤个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;⑥衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;⑦个人其他信息。

 

由于个人金融信息的生命周期管理涉及客户、银行、商户、支付服务商乃至外部不法分子等诸多主体,涉及人、系统、流程等要素,还涉及收集、使用、传输、销毁等环节,因此,对个人金融信息的保护尤为复杂。如何收集、使用、对外提供个人金融信息,既涉及银行业务的正常开展,也涉及客户信息、个人隐私的保护;如果出现与个人金融信息有关的不当行为,不但会直接侵害客户的合法权益,也会增加银行的诉讼风险,加大运营成本。总结起来,银行个人金融信息泄漏主要有以下三种渠道。

 

(1)银行泄漏。首先,银行出于某种利益关系考虑可能主动将个人金融信息透露给第三方。如2010年香港金管局对外披露,有6家银行将超过60万名客户的资料泄漏给非关联的第三方,内地这种情况也很普遍,客户很难区分接到的保险销售电话究竟来自银行还是来自非关联的保险公司。其次,银行内部人员可能非法买卖个人金融信息。如上海司法机关日前查获一起关于买卖银行客户信息案件,其中两名嫌疑人已被检察机关批捕,批捕罪名包括涉嫌窃取、收买、非法提供信用卡信息罪和涉嫌出售公民信息罪。最后,由于对为银行服务的外包商管理不严,导致外包商非法越权接触银行个人金融信息并引发泄漏事件。

 

(2)商户及支付服务机构泄漏。当前,很多现实交易及网上交易是通过商户安装的POS机具或支付服务机构的支付平台进行的,在此过程中,银行个人金融信息“落地”至商户及支付服务平台系统内,使商户及支付服务机构接触个人金融信息并引发泄漏。2010年,大庆警方破获一起案件,某商场员工于2008~2010年利用维修收银台POS的便利条件,从POS的程序中窃取顾客的银行卡信息,复制了120张银行卡,并通过商场会员系统获取会员身份信息和刷卡记录,找出银行卡和会员身份的对应关系,并破译了较为简单的银行卡密码,由此盗用20多张银行卡,盗取现金20多万元。

 

(3)黑客及不法分子入侵导致泄漏。黑客可以通过脚本程序、无线网络或植入恶意程序等途径侵入金融机构的电脑系统,窃取后台数据库违规留存的包括磁道信息在内的账户信息。2011年6月,花旗银行证实受到黑客袭击,约有1%的信用卡用户(36万左右)受到影响,受影响客户的姓名、账号、联系信息(包括电子邮件地址)均被黑客浏览。个人金融信息泄漏使得不法分子获取了大量个人信息,并成为其他诸多犯罪的源头。一是被泄漏的个人金融信息成为电信诈骗的最佳“原材料”。个人金融信息含有丰富的内容,不法分子获取后,利用其进行电信诈骗是最为常见的危害。在电信诈骗案件侦破中,警方发现,受害者个人金融信息的泄漏是根本原因。二是被泄露的个人金融信息为冒名办理信用卡套现、复制银行卡盗取资金提供了极大便利。近年来发生的大量案件表明,犯罪分子在获取足够的个人金融信息后,可通过冒名办理信用卡及贷款、复制银行卡等手段,盗取客户资金,并严重影响客户信用。三是被泄漏的个人金融信息造成众多垃圾信息,严重影响社会生活秩序。相关单位获取个人金融信息后,向这些个人进行宣传或推销,此类垃圾信息的频发影响人们休息、侵害用户健康、干扰人们正常生活,成为一种新型社会污染。

 

二、个人金融信息泄漏的主要原因

 

(1)银行个人金融信息管理意识淡薄、制度不健全。

 

一是银行当前对个人金融信息保护的意识较为薄弱,普遍未认识到个人金融信息是银行的重要资产,是关乎银行声誉、客户隐私保护的重要因素,未将个人金融信息泄漏作为一种重要风险来对待,未将个人金融信息保护纳入银行整体风险管理框架中。二是银行个人金融信息保护机制不健全。未形成完善的个人金融信息保护管理制度,已有的相关制度主要分散于各类业务管理制度中,没有形成体系,也无法覆盖信息的采集、保管和销毁等所有工作环节。

 

(2)银行个人金融信息管理内控机制不健全、信息系统建设管理不完善。

 

当前,银行普遍未形成个人金融信息保护的有效组织和完善的信息系统,各业务部门在个人金融信息保护方面各自为政,信息系统中的信息互为孤岛,缺乏统一管理。内控方面,一是没有形成专业化的个人信息管理组织,缺乏专职的个人信息保护人员,个人信息保护的职能难于充分发挥。二是内部监督检查力度较弱,没有对个人信息保护的专项检查制度,将该类检查纳入常规性检查定期进行的机构比例较低。三是信息查询审计跟踪能力不足,银行缺乏信息调阅查询等行为以及信息交接过程的记录,难于跟踪个人信息使用的过程。四是外包管理中,对外包人员行为的控制有所欠缺,对外包商的保密管理情况审计不足。信息系统方面,银行存储个人金融信息的系统建设管理也不完善,未对信息进行统一整合。当前多数银行的个人金融信息分散在存款、支付结算、银行卡、电子银行等业务中,业务又分属不同部门运营,且分别由不同的信息系统支持,形成了许多信息孤岛,使得信息保护更加困难。一是对系统查询信息的权限控制不足,工作人员查询时,往往能够获取超过其权限的信息。二是信息系统开发和测试时,数据变形管理不严格,缺乏关于数据变形管理的制度和规定,数据变形工作的随意性较大。

Top