組織行為視角下的征信信息安全監管機制研究

崔琳琳

摘要：征信信息因涉及身份信息、金融交易信息等諸多重要信息，既具有隱私屬性，又具有財產權屬性，已經成為信息犯罪的重要目標。當前的非現場監管機制在征信信息安全領域的運用仍處于起步階段，還存在較多缺陷。本文從組織行為的角度對征信信息安全風險進行分析，并提出以風險行為為核心構建征信信息安全監管機制的思路。

關鍵詞：組織行為 征信 監管

征信信息出現安全問題，不但會對信息主體的合法權益造成侵害，一旦被發現，也會為相關責任機構和責任人帶來經濟、聲譽上的影響，甚至觸發刑事案件。因此，加強征信信息安全監管，對信息主體和征信工作人員都有著現實意義。

一、現有征信信息安全監管機制的成效

一是收集信息。被監管機構按照一定的頻率以及統一規定的格式和口徑，向監管部門報送反映機構基本信息、業務開展狀況及重要變更事項等情況的基礎數據和統計報表。征信業監管部門從完整性、真實性、準確性等方面對被監管機構報來的資料進行審查，必要時還可到現場予以核實，并完成數據的核對整理工作。

二是風險評估預警。征信業監管部門通過定性和定量的分析方法，分析被監管機構內控制度是否完善，業務經營是否符合監管部門要求，對被監管機構存在的征信信息安全風險狀況進行綜合考量及分級評估，定期不定期的向被監管機構發送風險預警信息，及時反饋預警提示。

三是開展分類監管。根據風險評估情況情況，征信業監管部門對被監管機構實行分級分類管理，并按照違規嚴重程度，采取不同監管頻度和措施。對存在較為嚴重的征信信息安全風險的被監管機構實施針對性的現場檢查。

從以上實踐成效看，征信非現場監管普遍包括制度建設、信息收集、分析評估、技術支持、后續處置等幾項內容，且在一定程度上發揮了關口前置、差異管理、持續監督的作用，有效提高征信信息安全風險的監管力度，構筑起保障征信信息安全的堅實壁壘。

二、征信信息安全監管機制的缺陷

當前非現場監管在征信信息安全領域的運用仍處于起步階段，既沒有全國統一的模式，也沒有足夠的實踐經驗進行驗證。從現有成效看，存在以下缺陷。

（一）征信監管信息的質量難以保障

目前征信監管信息的來源主要有三種：第一類是被監管機構主動申報，第二類是征信中心反饋的查詢記錄、異常查詢監測結果等，第三類是異議投訴、媒體披露等外部渠道。其中第一類主動申報是主要的渠道，但是被監管機構往往傾向于掩蓋對自身不利的信息，導致被監管機構報送的信息真實性難以保證，使得真正對非現場監管工作有用的信息難以獲得。如，被監管機構因征信從業人員非法查詢信息主體的信用報告引發了征信涉訴案件，接入機構畏于行政處罰，一般不會主動向人民銀行提供此涉訴情況。第二類征信中心反饋的雖較為準確，但是通常一個月反饋一次異常查詢，依申請才一年反饋一次查詢記錄，存在滯后性。第三類外部渠道則缺乏穩定的來源，信息比較離散，無法完整、準確的反應被監管機構的真實狀況。而監管信息的質量直接影響后續的監管措施有效性。

（二）風險分析評估的有效性有待驗證

目前，采集的征信監管信息種類繁多，包括被監管內控制度、授信文本、征信報表、異議投訴、輿情監測、工作質量等多個種類，這些信息均是從征信合規的角度進行采集，能否反應征信信息安全風險，如何反應征信信息安全風險，尚沒有定論。相應的，基于這些信息基礎上的側重于對被監管對象制度落實和配合人民銀行工作方面的評價標準，能否真正反映實際風險狀況的指標項有待驗證。

（三）征信監管頻率較低影響風險防控效果

現有的“非現場監管+現場檢查”征信信息安全監管手段，一般以季度，甚至以年為單位開展征信非現場監管，針對存在重大風險的被監管機構，按年開展現場檢查。監管的頻率較低，不利于風險的及時發現和處置，更無法實現風險的事先發現、事先處置，影響了征信信息風險的防控效果。

三、組織行為視角下的征信安全監管機制構建

各種統計資料和事故分析和研究表明，人的風險行為是主要原因。美國著名安全工程師海因里希通過分析工傷事故的發生概率，在1件重大的事故背后必有29件輕度的事故，還有300件潛在的隱患;杜邦公司的安全統計結果表明，的事故是由于人的風險行為引起的;美國安全理事會得出結論的安全事故是由于人的風險行為造成;我國的研究表明，事故均由于人的風險行為引起。由此可見，人的風險行為是最主要的事故致因因素。既然風險行為是安全事故的最主要原因，為有效減少征信信息安全事故的發生，需要以風險行為為核心構建征信信息安全監管機制。

（一）圍繞征信行為重構征信監管信息庫

根據組織行為理論，組織的行為分為機構行為、群體行為和個體行為。具體到征信監管，分別對應機構內控內管行為、征信人員管理、征信業務管理與征信信息管理等業務。針對這些業務的征信行為，重新構建征信監管信息庫。

一是征信制度報備庫。包括接入機構的內控制度、征信信息安全管理制度、格式文書、其他征信資料，以及接入機構內部審計、風控情況。

二是征信工作人員報備庫。包括接入機構各項征信工作的聯系人、企業征信系統用戶、個人征信系統用戶，以及上述人員的征信技能培訓情況。

三是征信工作資料庫。包括接入機構報送的日常報表、報告，以及各類臨時性工作。

四是征信查詢資料庫。包括接入機構日常征信查詢產生的企業、個人征信系統查詢記錄。

五是檢查巡查資料庫。包括歷年的征信現場檢查資料和征信巡查資料。

六是考核評級資料庫。包括接入機構的日常行為記錄和對接入機構征信信息安全情況的分析評級情況。

通過以上監管信息的匯總、聚合，形成征信信息風險行為的監管信息集，為征信非現場監管工作的有效性打下堅實基礎。

（二）探索建立以行為識別為核心的風險揭示機制

根據重構的征信監管信息庫，圍繞具體征信行為進行數據挖掘，探索建立信信息安全風險揭示機制。

1.機構行為層面。一是揭示制度建設風險。通過觀察接入機構的內控制度是否符合征信監管制度要求，是否包含征信合規、信息安全、監督問責等內容，格式合同條款取得企業、個人信息主體同意的合同樣本或授權書樣本是否符合監管要求，征信用戶崗位分工、設置是否合理，是否按照要求向人民銀行報備等內容，判斷接入機構的制度建設水平。

二是揭示安全技防能力。通過了解接入機構是否不斷優化升級征信業務相關信息系統，是否具備前置自控能力，能否實現信用報告脫敏展示、結構化展示和自動解讀，是否從嚴控制信用報告打印，從查詢和使用環節降低征信信息泄露風險等內容，了解征信安全防控技術水平。

2.群體行為層面。一是揭示征信內控內管能力。通過對接入機構征信日常工作的完成質量、發生征信訴訟等征信信息安全風險事件的情況、征信臨時性工作的配合情況、征信用戶培訓考試、風險整改等信息，識別接入機構的征信內控內管能力。

二是挖掘征信用戶設置的合理性。通過比對接入機構征信用戶和征信查詢業務，可有效識別出“睡眠用戶”，而“睡眠用戶”的占比可有效反映接入機構的征信用戶設置的合理性。

3.個體行為層面。一是監督接入機構征信人員的查詢異常行為。通過征信查詢信息的分析、監測，挖掘“非工作時間查詢”、“查詢異地客戶”、“非正常狀態用戶查詢”和“日查詢量異常（超標）”等異常查詢行為。

二是征信人員的征信風險意識。通過匯總接入機構征信用戶的培訓考試情況，以及征信業務處理情況，挖掘、識別征信人員的征信知識水平和風險意識，以及對征信工作的勝任程度。

（三）構建雙向互動的“評價-反饋”機制

根據征信信息安全風險揭示情況，人民銀行要加強雙向互動，及時要求接入機構糾正風險行為，將事故扼殺在萌芽和發展狀態，并調動接入機構積極主動參與安全防范，達到事故預防的目的。

1.監管環節的雙向互動。人民銀行根據風險揭示情況，形成對接入機構的動態評價結果，并及時向接入機構反饋評價情況以及潛在風險;接入機構根據反饋情況進行及時整改和風險化解，也可對評價結果提出說明和異議。

2.處置環節的雙向互動。人民銀行根據評價結果，針對性的開展后續處置工作。在此過程中，接入機構要積極配合監管要求，認真整改，及時化解風險，并將相關情況及時向人民銀行反饋。

通過“評價-反饋”機制構建，人民銀行和接入機構能夠實現良好的雙向互動，使得征信風險能夠及時發現、及時糾正，有效提高征信信息安全風險的處置效率和征信監管效果。

作者供職于中國人民銀行徐州市中心支行