組織行為視角下的征信信息安全監(jiān)管機(jī)制研究

崔琳琳

摘要：征信信息因涉及身份信息、金融交易信息等諸多重要信息，既具有隱私屬性，又具有財(cái)產(chǎn)權(quán)屬性，已經(jīng)成為信息犯罪的重要目標(biāo)。當(dāng)前的非現(xiàn)場(chǎng)監(jiān)管機(jī)制在征信信息安全領(lǐng)域的運(yùn)用仍處于起步階段，還存在較多缺陷。本文從組織行為的角度對(duì)征信信息安全風(fēng)險(xiǎn)進(jìn)行分析，并提出以風(fēng)險(xiǎn)行為為核心構(gòu)建征信信息安全監(jiān)管機(jī)制的思路。

關(guān)鍵詞：組織行為 征信 監(jiān)管

征信信息出現(xiàn)安全問(wèn)題，不但會(huì)對(duì)信息主體的合法權(quán)益造成侵害，一旦被發(fā)現(xiàn)，也會(huì)為相關(guān)責(zé)任機(jī)構(gòu)和責(zé)任人帶來(lái)經(jīng)濟(jì)、聲譽(yù)上的影響，甚至觸發(fā)刑事案件。因此，加強(qiáng)征信信息安全監(jiān)管，對(duì)信息主體和征信工作人員都有著現(xiàn)實(shí)意義。

一、現(xiàn)有征信信息安全監(jiān)管機(jī)制的成效

一是收集信息。被監(jiān)管機(jī)構(gòu)按照一定的頻率以及統(tǒng)一規(guī)定的格式和口徑，向監(jiān)管部門(mén)報(bào)送反映機(jī)構(gòu)基本信息、業(yè)務(wù)開(kāi)展?fàn)顩r及重要變更事項(xiàng)等情況的基礎(chǔ)數(shù)據(jù)和統(tǒng)計(jì)報(bào)表。征信業(yè)監(jiān)管部門(mén)從完整性、真實(shí)性、準(zhǔn)確性等方面對(duì)被監(jiān)管機(jī)構(gòu)報(bào)來(lái)的資料進(jìn)行審查，必要時(shí)還可到現(xiàn)場(chǎng)予以核實(shí)，并完成數(shù)據(jù)的核對(duì)整理工作。

二是風(fēng)險(xiǎn)評(píng)估預(yù)警。征信業(yè)監(jiān)管部門(mén)通過(guò)定性和定量的分析方法，分析被監(jiān)管機(jī)構(gòu)內(nèi)控制度是否完善，業(yè)務(wù)經(jīng)營(yíng)是否符合監(jiān)管部門(mén)要求，對(duì)被監(jiān)管機(jī)構(gòu)存在的征信信息安全風(fēng)險(xiǎn)狀況進(jìn)行綜合考量及分級(jí)評(píng)估，定期不定期的向被監(jiān)管機(jī)構(gòu)發(fā)送風(fēng)險(xiǎn)預(yù)警信息，及時(shí)反饋預(yù)警提示。

三是開(kāi)展分類監(jiān)管。根據(jù)風(fēng)險(xiǎn)評(píng)估情況情況，征信業(yè)監(jiān)管部門(mén)對(duì)被監(jiān)管機(jī)構(gòu)實(shí)行分級(jí)分類管理，并按照違規(guī)嚴(yán)重程度，采取不同監(jiān)管頻度和措施。對(duì)存在較為嚴(yán)重的征信信息安全風(fēng)險(xiǎn)的被監(jiān)管機(jī)構(gòu)實(shí)施針對(duì)性的現(xiàn)場(chǎng)檢查。

從以上實(shí)踐成效看，征信非現(xiàn)場(chǎng)監(jiān)管普遍包括制度建設(shè)、信息收集、分析評(píng)估、技術(shù)支持、后續(xù)處置等幾項(xiàng)內(nèi)容，且在一定程度上發(fā)揮了關(guān)口前置、差異管理、持續(xù)監(jiān)督的作用，有效提高征信信息安全風(fēng)險(xiǎn)的監(jiān)管力度，構(gòu)筑起保障征信信息安全的堅(jiān)實(shí)壁壘。

二、征信信息安全監(jiān)管機(jī)制的缺陷

當(dāng)前非現(xiàn)場(chǎng)監(jiān)管在征信信息安全領(lǐng)域的運(yùn)用仍處于起步階段，既沒(méi)有全國(guó)統(tǒng)一的模式，也沒(méi)有足夠的實(shí)踐經(jīng)驗(yàn)進(jìn)行驗(yàn)證。從現(xiàn)有成效看，存在以下缺陷。

（一）征信監(jiān)管信息的質(zhì)量難以保障

目前征信監(jiān)管信息的來(lái)源主要有三種：第一類是被監(jiān)管機(jī)構(gòu)主動(dòng)申報(bào)，第二類是征信中心反饋的查詢記錄、異常查詢監(jiān)測(cè)結(jié)果等，第三類是異議投訴、媒體披露等外部渠道。其中第一類主動(dòng)申報(bào)是主要的渠道，但是被監(jiān)管機(jī)構(gòu)往往傾向于掩蓋對(duì)自身不利的信息，導(dǎo)致被監(jiān)管機(jī)構(gòu)報(bào)送的信息真實(shí)性難以保證，使得真正對(duì)非現(xiàn)場(chǎng)監(jiān)管工作有用的信息難以獲得。如，被監(jiān)管機(jī)構(gòu)因征信從業(yè)人員非法查詢信息主體的信用報(bào)告引發(fā)了征信涉訴案件，接入機(jī)構(gòu)畏于行政處罰，一般不會(huì)主動(dòng)向人民銀行提供此涉訴情況。第二類征信中心反饋的雖較為準(zhǔn)確，但是通常一個(gè)月反饋一次異常查詢，依申請(qǐng)才一年反饋一次查詢記錄，存在滯后性。第三類外部渠道則缺乏穩(wěn)定的來(lái)源，信息比較離散，無(wú)法完整、準(zhǔn)確的反應(yīng)被監(jiān)管機(jī)構(gòu)的真實(shí)狀況。而監(jiān)管信息的質(zhì)量直接影響后續(xù)的監(jiān)管措施有效性。

（二）風(fēng)險(xiǎn)分析評(píng)估的有效性有待驗(yàn)證

目前，采集的征信監(jiān)管信息種類繁多，包括被監(jiān)管內(nèi)控制度、授信文本、征信報(bào)表、異議投訴、輿情監(jiān)測(cè)、工作質(zhì)量等多個(gè)種類，這些信息均是從征信合規(guī)的角度進(jìn)行采集，能否反應(yīng)征信信息安全風(fēng)險(xiǎn)，如何反應(yīng)征信信息安全風(fēng)險(xiǎn)，尚沒(méi)有定論。相應(yīng)的，基于這些信息基礎(chǔ)上的側(cè)重于對(duì)被監(jiān)管對(duì)象制度落實(shí)和配合人民銀行工作方面的評(píng)價(jià)標(biāo)準(zhǔn)，能否真正反映實(shí)際風(fēng)險(xiǎn)狀況的指標(biāo)項(xiàng)有待驗(yàn)證。

（三）征信監(jiān)管頻率較低影響風(fēng)險(xiǎn)防控效果

現(xiàn)有的“非現(xiàn)場(chǎng)監(jiān)管+現(xiàn)場(chǎng)檢查”征信信息安全監(jiān)管手段，一般以季度，甚至以年為單位開(kāi)展征信非現(xiàn)場(chǎng)監(jiān)管，針對(duì)存在重大風(fēng)險(xiǎn)的被監(jiān)管機(jī)構(gòu)，按年開(kāi)展現(xiàn)場(chǎng)檢查。監(jiān)管的頻率較低，不利于風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)和處置，更無(wú)法實(shí)現(xiàn)風(fēng)險(xiǎn)的事先發(fā)現(xiàn)、事先處置，影響了征信信息風(fēng)險(xiǎn)的防控效果。

三、組織行為視角下的征信安全監(jiān)管機(jī)制構(gòu)建

各種統(tǒng)計(jì)資料和事故分析和研究表明，人的風(fēng)險(xiǎn)行為是主要原因。美國(guó)著名安全工程師海因里希通過(guò)分析工傷事故的發(fā)生概率，在1件重大的事故背后必有29件輕度的事故，還有300件潛在的隱患;杜邦公司的安全統(tǒng)計(jì)結(jié)果表明，的事故是由于人的風(fēng)險(xiǎn)行為引起的;美國(guó)安全理事會(huì)得出結(jié)論的安全事故是由于人的風(fēng)險(xiǎn)行為造成;我國(guó)的研究表明，事故均由于人的風(fēng)險(xiǎn)行為引起。由此可見(jiàn)，人的風(fēng)險(xiǎn)行為是最主要的事故致因因素。既然風(fēng)險(xiǎn)行為是安全事故的最主要原因，為有效減少征信信息安全事故的發(fā)生，需要以風(fēng)險(xiǎn)行為為核心構(gòu)建征信信息安全監(jiān)管機(jī)制。

（一）圍繞征信行為重構(gòu)征信監(jiān)管信息庫(kù)

根據(jù)組織行為理論，組織的行為分為機(jī)構(gòu)行為、群體行為和個(gè)體行為。具體到征信監(jiān)管，分別對(duì)應(yīng)機(jī)構(gòu)內(nèi)控內(nèi)管行為、征信人員管理、征信業(yè)務(wù)管理與征信信息管理等業(yè)務(wù)。針對(duì)這些業(yè)務(wù)的征信行為，重新構(gòu)建征信監(jiān)管信息庫(kù)。

一是征信制度報(bào)備庫(kù)。包括接入機(jī)構(gòu)的內(nèi)控制度、征信信息安全管理制度、格式文書(shū)、其他征信資料，以及接入機(jī)構(gòu)內(nèi)部審計(jì)、風(fēng)控情況。

二是征信工作人員報(bào)備庫(kù)。包括接入機(jī)構(gòu)各項(xiàng)征信工作的聯(lián)系人、企業(yè)征信系統(tǒng)用戶、個(gè)人征信系統(tǒng)用戶，以及上述人員的征信技能培訓(xùn)情況。

三是征信工作資料庫(kù)。包括接入機(jī)構(gòu)報(bào)送的日常報(bào)表、報(bào)告，以及各類臨時(shí)性工作。

四是征信查詢資料庫(kù)。包括接入機(jī)構(gòu)日常征信查詢產(chǎn)生的企業(yè)、個(gè)人征信系統(tǒng)查詢記錄。

五是檢查巡查資料庫(kù)。包括歷年的征信現(xiàn)場(chǎng)檢查資料和征信巡查資料。

六是考核評(píng)級(jí)資料庫(kù)。包括接入機(jī)構(gòu)的日常行為記錄和對(duì)接入機(jī)構(gòu)征信信息安全情況的分析評(píng)級(jí)情況。

通過(guò)以上監(jiān)管信息的匯總、聚合，形成征信信息風(fēng)險(xiǎn)行為的監(jiān)管信息集，為征信非現(xiàn)場(chǎng)監(jiān)管工作的有效性打下堅(jiān)實(shí)基礎(chǔ)。

（二）探索建立以行為識(shí)別為核心的風(fēng)險(xiǎn)揭示機(jī)制

根據(jù)重構(gòu)的征信監(jiān)管信息庫(kù)，圍繞具體征信行為進(jìn)行數(shù)據(jù)挖掘，探索建立信信息安全風(fēng)險(xiǎn)揭示機(jī)制。

1.機(jī)構(gòu)行為層面。一是揭示制度建設(shè)風(fēng)險(xiǎn)。通過(guò)觀察接入機(jī)構(gòu)的內(nèi)控制度是否符合征信監(jiān)管制度要求，是否包含征信合規(guī)、信息安全、監(jiān)督問(wèn)責(zé)等內(nèi)容，格式合同條款取得企業(yè)、個(gè)人信息主體同意的合同樣本或授權(quán)書(shū)樣本是否符合監(jiān)管要求，征信用戶崗位分工、設(shè)置是否合理，是否按照要求向人民銀行報(bào)備等內(nèi)容，判斷接入機(jī)構(gòu)的制度建設(shè)水平。

二是揭示安全技防能力。通過(guò)了解接入機(jī)構(gòu)是否不斷優(yōu)化升級(jí)征信業(yè)務(wù)相關(guān)信息系統(tǒng)，是否具備前置自控能力，能否實(shí)現(xiàn)信用報(bào)告脫敏展示、結(jié)構(gòu)化展示和自動(dòng)解讀，是否從嚴(yán)控制信用報(bào)告打印，從查詢和使用環(huán)節(jié)降低征信信息泄露風(fēng)險(xiǎn)等內(nèi)容，了解征信安全防控技術(shù)水平。

2.群體行為層面。一是揭示征信內(nèi)控內(nèi)管能力。通過(guò)對(duì)接入機(jī)構(gòu)征信日常工作的完成質(zhì)量、發(fā)生征信訴訟等征信信息安全風(fēng)險(xiǎn)事件的情況、征信臨時(shí)性工作的配合情況、征信用戶培訓(xùn)考試、風(fēng)險(xiǎn)整改等信息，識(shí)別接入機(jī)構(gòu)的征信內(nèi)控內(nèi)管能力。

二是挖掘征信用戶設(shè)置的合理性。通過(guò)比對(duì)接入機(jī)構(gòu)征信用戶和征信查詢業(yè)務(wù)，可有效識(shí)別出“睡眠用戶”，而“睡眠用戶”的占比可有效反映接入機(jī)構(gòu)的征信用戶設(shè)置的合理性。

3.個(gè)體行為層面。一是監(jiān)督接入機(jī)構(gòu)征信人員的查詢異常行為。通過(guò)征信查詢信息的分析、監(jiān)測(cè)，挖掘“非工作時(shí)間查詢”、“查詢異地客戶”、“非正常狀態(tài)用戶查詢”和“日查詢量異常（超標(biāo)）”等異常查詢行為。

二是征信人員的征信風(fēng)險(xiǎn)意識(shí)。通過(guò)匯總接入機(jī)構(gòu)征信用戶的培訓(xùn)考試情況，以及征信業(yè)務(wù)處理情況，挖掘、識(shí)別征信人員的征信知識(shí)水平和風(fēng)險(xiǎn)意識(shí)，以及對(duì)征信工作的勝任程度。

（三）構(gòu)建雙向互動(dòng)的“評(píng)價(jià)-反饋”機(jī)制

根據(jù)征信信息安全風(fēng)險(xiǎn)揭示情況，人民銀行要加強(qiáng)雙向互動(dòng)，及時(shí)要求接入機(jī)構(gòu)糾正風(fēng)險(xiǎn)行為，將事故扼殺在萌芽和發(fā)展?fàn)顟B(tài)，并調(diào)動(dòng)接入機(jī)構(gòu)積極主動(dòng)參與安全防范，達(dá)到事故預(yù)防的目的。

1.監(jiān)管環(huán)節(jié)的雙向互動(dòng)。人民銀行根據(jù)風(fēng)險(xiǎn)揭示情況，形成對(duì)接入機(jī)構(gòu)的動(dòng)態(tài)評(píng)價(jià)結(jié)果，并及時(shí)向接入機(jī)構(gòu)反饋評(píng)價(jià)情況以及潛在風(fēng)險(xiǎn);接入機(jī)構(gòu)根據(jù)反饋情況進(jìn)行及時(shí)整改和風(fēng)險(xiǎn)化解，也可對(duì)評(píng)價(jià)結(jié)果提出說(shuō)明和異議。

2.處置環(huán)節(jié)的雙向互動(dòng)。人民銀行根據(jù)評(píng)價(jià)結(jié)果，針對(duì)性的開(kāi)展后續(xù)處置工作。在此過(guò)程中，接入機(jī)構(gòu)要積極配合監(jiān)管要求，認(rèn)真整改，及時(shí)化解風(fēng)險(xiǎn)，并將相關(guān)情況及時(shí)向人民銀行反饋。

通過(guò)“評(píng)價(jià)-反饋”機(jī)制構(gòu)建，人民銀行和接入機(jī)構(gòu)能夠?qū)崿F(xiàn)良好的雙向互動(dòng)，使得征信風(fēng)險(xiǎn)能夠及時(shí)發(fā)現(xiàn)、及時(shí)糾正，有效提高征信信息安全風(fēng)險(xiǎn)的處置效率和征信監(jiān)管效果。

作者供職于中國(guó)人民銀行徐州市中心支行