淺談個人金融信息泄漏的主要原因及保護(hù)對策

郭偉

摘要：隨著我國科學(xué)技術(shù)水平的飛速發(fā)展，我國金融業(yè)的網(wǎng)絡(luò)化程度和虛擬化程度也越來越高，個人財產(chǎn)安全和信息安全也聯(lián)系的更加密切了。對于廣大人民群眾的財產(chǎn)來說，銀行是其主要的管理者，負(fù)有重要的責(zé)任和義務(wù)。然而近些年來卻相繼出現(xiàn)了多起公民個人信息的泄漏事件，可見銀行在保護(hù)個人金融信息安全的工作中是存在著問題的，我們應(yīng)及時采取有效的改善措施，從而真正地提升個人金融信息的安全性。

關(guān)鍵詞：個人金融信息 泄漏原因保護(hù)對策

中圖分類號：F830

文獻(xiàn)標(biāo)識碼：A

文章編號：1004-4914（2016）07-057-02

一、個人金融信息泄漏的主要原因

（一）對于個人金融信息來說，銀行所建立的制度不完善，管理者風(fēng)險意識較差

首先，現(xiàn)階段銀行還沒有完全的認(rèn)識到個人金融信息是銀行自身的重要財產(chǎn)，其對于銀行的聲譽以及客戶的隱私保護(hù)都是有重要影響的，沒有認(rèn)識到個人金融信息的泄漏也是銀行的一種重要風(fēng)險，在銀行的整體風(fēng)險框架中并沒有納入個人金融信息的保護(hù)工作。其次，現(xiàn)階段，我國的很多銀行所實行的個人信息的保護(hù)制度都還是不健全的，其主要是分散在不同業(yè)務(wù)的管理制度中，體系不完善，不能有效的覆蓋到每一個工作環(huán)節(jié)中，如信息的管理、采集以及銷毀等。

（二）銀行內(nèi)部所建立的管理體制不健全，忽視了對信息系統(tǒng)的建設(shè)和管理工作

現(xiàn)階段，我國的很多銀行還沒有建立完善的對客戶個人金融信息的信息管理系統(tǒng)，針對這一工作，銀行內(nèi)部的各個業(yè)務(wù)部門各自為政，信息系統(tǒng)中的信息是相互獨立的，無法實現(xiàn)統(tǒng)一管理。在內(nèi)部控制的環(huán)節(jié)中，負(fù)責(zé)公民個人信息保護(hù)工作的人員專業(yè)素質(zhì)偏低，保護(hù)的職能無法得到充分發(fā)揮。同時內(nèi)部檢查監(jiān)督的力度也是很弱的，沒有形成專門的檢查體系，在常規(guī)性的檢查工作中也都沒有納入這項內(nèi)容。對信息查詢的跟蹤審計能力也是很弱的，銀行系統(tǒng)無法全程跟蹤客戶個人信息的使用過程。

對于銀行的各類信息系統(tǒng)，現(xiàn)階段還沒有有效的管理銀行存儲個人信息的系統(tǒng)，無法高效的整合并統(tǒng)一管理個人信息。實際的情況是銀行的個人金融信息幾乎都存在于不同的業(yè)務(wù)環(huán)節(jié)中，如存款、銀行卡、網(wǎng)上銀行以及支付結(jié)算等，這些業(yè)務(wù)是屬于不同的部門的。并且其信息系統(tǒng)也各不相同，那么就會出現(xiàn)很多信息孤島，大大的增加了個人金融信息的保護(hù)難度。其具體體現(xiàn)在兩個方面，首先是無法嚴(yán)格控制系統(tǒng)查詢信息的權(quán)限，很多時候都能獲得更多權(quán)限的信息；其次是沒有有效管理所應(yīng)用系統(tǒng)的數(shù)據(jù)變形工作，針對這一內(nèi)容也沒有相應(yīng)的規(guī)范和制度，那么這一工作就有很大的隨意性。

（三）監(jiān)管部門的監(jiān)督和管理力度不夠

我國的相關(guān)部門對于銀行業(yè)個人金融信息保護(hù)工作已經(jīng)下發(fā)了相關(guān)文件。但實際上卻并沒有取得良好的效果。我國監(jiān)管部門對銀行個人金融信息保護(hù)的監(jiān)管工作仍在起步階段，其具體表現(xiàn)為以下幾個方面：第一，監(jiān)管工作還沒有形成較為完善的制度體系，可操作性也是較差的，而銀行業(yè)的監(jiān)管方面的法律法規(guī)也還沒有覆蓋到各類業(yè)務(wù)中，對于存款儲蓄業(yè)務(wù)、網(wǎng)上銀行業(yè)務(wù)以及信用卡業(yè)務(wù)等，只是做出了一些簡單的規(guī)定。還無法保證客戶個人金融信息的收集、保管和銷毀等業(yè)務(wù)流程的規(guī)范化。并且大多數(shù)規(guī)定也都是一些原則性的內(nèi)容，沒有具體的條款，可操作性很差。第二，監(jiān)管工作的針對性很差。一些文件雖然對客戶個人信息的管理和保護(hù)工作做出了規(guī)定，但其監(jiān)督和管理的最主要內(nèi)容仍是反洗錢這一內(nèi)容，并不是針對客戶個人信息的保護(hù)工作。

（四）對支付服務(wù)機(jī)構(gòu)和商戶的管理工作缺乏有效制約

從銀行的角度來看，個人金融信息的落地主體就是商戶和第三方支付機(jī)構(gòu)，那么其就有義務(wù)來保護(hù)客戶的個人金融信息，然而實際的情況卻是，銀行還無法規(guī)范的監(jiān)督和管理第三方的支付服務(wù)機(jī)構(gòu)和所簽約的商戶。銀行與他們所簽訂的合作協(xié)議并不完善，在協(xié)議中也沒有明確地說明個人金融信息傳輸和使用時的權(quán)責(zé)關(guān)系，無法采取行之有效的保護(hù)手段，對他們的管理工作做的不到位?，F(xiàn)階段也還無法有效的監(jiān)管新型的支付服務(wù)機(jī)構(gòu)，在利益因素的驅(qū)使下，新型的支付服務(wù)機(jī)構(gòu)和商戶已經(jīng)成為了泄漏個人金融信息的最主要群體，而對于這類機(jī)構(gòu)，我國所實行的監(jiān)督和管理體制還不是非常健全。

二、個人金融信息保護(hù)的建議與對策

（一）銀行方面必須提升安全意識。完善制度，做好對個人金融信息生命周期的管理工作

第一，做好內(nèi)控的建設(shè)工作。從銀行的角度來看，針對其所有客戶的個人金融信息應(yīng)不斷完善其管理制度，對與個人金融信息相關(guān)的每一個工作環(huán)節(jié)都應(yīng)做出明確的規(guī)定，從而盡可能的提升客戶個人信息的安全程度。同時應(yīng)健全銀行內(nèi)部的控制制度，針對信息安全工作的相關(guān)流程進(jìn)一步細(xì)化，將管理的責(zé)任落實到每一個崗位上，統(tǒng)一的管理客戶個人的電子信息和紙質(zhì)信息，嚴(yán)格審批和管理信息的查閱、拷貝和下栽等各項操作。第二，應(yīng)做好對信息系統(tǒng)的建設(shè)和管理工作。首先，在數(shù)據(jù)大集中的基礎(chǔ)上，銀行應(yīng)不斷地完善電子信息系統(tǒng)。秉持以客戶為中心的理念，整合所有客戶的個人金融信息，實現(xiàn)統(tǒng)一的保護(hù)和管理工作。其次，銀行應(yīng)提高自身的工作能力。每一類銀行都是有各自的信息系統(tǒng)，那么就應(yīng)定期的評估這一系統(tǒng)可能會出現(xiàn)的技術(shù)風(fēng)險，應(yīng)用更加科學(xué)的防火墻、數(shù)字簽名、數(shù)據(jù)加密、網(wǎng)絡(luò)安全監(jiān)控等技術(shù)，避免系統(tǒng)受到外部的攻擊，保證信息系統(tǒng)的安全性。最后，重視對員工的管理工作。銀行應(yīng)定期地為員工安排相關(guān)的培訓(xùn)課程，提高他們的專業(yè)素質(zhì)，并讓他們認(rèn)識到做好保密工作的重要性，強化其法律意識，同時做好對內(nèi)部重要部門和涉密部門員工的管理工作。消除一切可能出現(xiàn)的風(fēng)險隱患。

（二）應(yīng)不斷完善監(jiān)管工作的相關(guān)規(guī)范制度，真正做好銀行行業(yè)對個人金融信息保護(hù)的監(jiān)督和管理工作

首先，應(yīng)將個人金融信息的保護(hù)工作納入到銀行的總體風(fēng)險監(jiān)督管理框架中，相關(guān)的負(fù)責(zé)部門應(yīng)充分考慮到各類法律文件對于這一工作的原則性規(guī)定。根據(jù)這些規(guī)定制定更加完善的保護(hù)規(guī)范和制度，對予客戶個人金融信息保護(hù)工作的相關(guān)內(nèi)容做出明確的規(guī)定，如信息的收集、使用和保密等內(nèi)容，當(dāng)出現(xiàn)了違規(guī)泄漏銀行客戶個人信息的情況時，經(jīng)調(diào)查如果確實對社會造成了不良影響或是給客戶帶來了巨大的損失，那么就應(yīng)視情節(jié)的嚴(yán)重程度給予相應(yīng)的處罰和監(jiān)管措施。其次，在我國的銀行行業(yè)中，應(yīng)充分的發(fā)揮出標(biāo)準(zhǔn)化委員會的管理職能，堅決實行所制定的保護(hù)標(biāo)準(zhǔn)和規(guī)范，不斷的健全銀行行業(yè)對金融客戶個人信息保護(hù)工作的機(jī)制和制度，從而提升這些監(jiān)管機(jī)構(gòu)管理客戶個人金融信息的效果。還應(yīng)做好對銀行個人金融信息保護(hù)工作的非現(xiàn)場監(jiān)測工作和現(xiàn)場檢查工作，確保銀行能夠做好信息系統(tǒng)的安全管理和對客戶個人金融信息數(shù)據(jù)庫的營銷管理工作，有效杜絕個人金融信息被濫用或是盜用情況的出現(xiàn)。

（三）國家層面應(yīng)加速立法的進(jìn)程，做好對相關(guān)法律法規(guī)文件的宣傳工作，提高全民的個人信息保護(hù)意識

我國的相關(guān)部門應(yīng)盡快的建立一套更加完善并且系統(tǒng)的個人信息保護(hù)的法律規(guī)范制度，確保個人金融信息的保護(hù)工作有章可循、有法可依，如可以建立行業(yè)監(jiān)督和管理體制，建立個人金融信息查詢的相關(guān)方法和規(guī)范，進(jìn)一步完善征信監(jiān)管主體的法規(guī)制度和信息主體權(quán)益保護(hù)的法規(guī)制度等；其次，應(yīng)設(shè)置專門的信息資源管理部門，從而更具針對性地監(jiān)督使用個人信息的個人和團(tuán)體；最后，應(yīng)提升全面的個人信息保護(hù)意識。重點做好對這一內(nèi)容的宣傳和教育工作，可以通過開展豐富多彩的宣傳活動來引導(dǎo)民眾認(rèn)識到個人信息保護(hù)工作的重要性，提升自身的防范意識。

公民個人金融信息的泄漏會使一些不法的分子獲取到大量的個人信息，同時也可能成為其他諸多類型犯罪的導(dǎo)火索。因此，我們應(yīng)深入地研究導(dǎo)致個人金融信息泄漏事件出現(xiàn)的各種原因，同時針對這些原因制定出更具針對性的個人金融信息的保護(hù)措施，消除各類風(fēng)險隱患，從而最大限度地保證我國公民個人金融信息的安全性，促進(jìn)金融行業(yè)的健康發(fā)展。