基層央行征信信息安全管理的風(fēng)險(xiǎn)及防范

洪傳堯　倫祖煒　趙宇航

【摘? 要】當(dāng)前，征信信息泄露案件在一些地方和領(lǐng)域呈現(xiàn)多發(fā)態(tài)勢，對征信業(yè)的健康發(fā)展造成不利影響。論文結(jié)合近年來基層央行征信審計(jì)工作實(shí)踐，指出基層央行征信信息安全管理工作中存在的問題和風(fēng)險(xiǎn)，并就如何防患于未然提出了對策和建議，以此推動(dòng)我國基層央行征信信息安全管理工作的可持續(xù)發(fā)展，營造良好的金融環(huán)境。

【Abstract】At present， the cases of credit information leakage in some places and fields show a trend of frequent occurrence， which has a negative impact on the healthy development of the credit industry. Combined with the practice of credit and audit work of central bank at the grassroots level in recent years， this paper points out the problems and risks existing in the credit information security management work of central bank at the grassroots level， and puts forward countermeasures and suggestions on how to prevent them in the bud， so as to promote the sustainable development of credit information security management work of central bank at the grassroots level and create a good financial environment.

【關(guān)鍵詞】基層;征信信息安全;風(fēng)險(xiǎn);防范

【Keywords】grassroots level; credit information security; risks; prevention

【中圖分類號】F832.31? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）12-0005-02

1 引言

截至2018年11月30日，人民銀行個(gè)人征信系統(tǒng)收錄自然人9.8億人，本年累計(jì)查詢15.8億次;企業(yè)征信系統(tǒng)收錄企業(yè)及其他組織共計(jì)2576萬戶，本年累計(jì)查詢10071萬次。征信信息風(fēng)險(xiǎn)敞口加大，征信崗位的風(fēng)險(xiǎn)防控形勢嚴(yán)峻，征信信息安全管理責(zé)任重大。

2 存在的風(fēng)險(xiǎn)

2.1 風(fēng)險(xiǎn)防控意識(shí)不強(qiáng)，征信系統(tǒng)用戶管理不夠嚴(yán)格

部分征信人員對用戶設(shè)立和使用方面缺乏風(fēng)險(xiǎn)防范和管理意識(shí)，對用戶“最小授權(quán)”“人戶統(tǒng)一”和“專人專用”等基本原則未能給予足夠重視，容易出現(xiàn)如下問題：一是存在著未及時(shí)停用測試用戶、長期未使用賬戶、設(shè)置錯(cuò)誤的用戶的情況;二是存在著勞務(wù)外包人員擔(dān)任查詢?nèi)藛T的情況;三是系統(tǒng)查詢用戶的密碼設(shè)置過于簡單;四是存在著一戶多用或多人混用的情況。如某同志長期病假，同部門人員為完成其工作任務(wù)，用其用戶賬號進(jìn)行業(yè)務(wù)操作。

2.2 對征信自助查詢機(jī)的管理有待加強(qiáng)

基于服務(wù)理念的提升，征信自助查詢系統(tǒng)是服務(wù)群眾的重要方式，但是根據(jù)調(diào)查征信自助查詢機(jī)在安全管理方面還存在不少缺陷：一是自助查詢機(jī)用戶名沒有實(shí)行實(shí)名設(shè)置，導(dǎo)致用戶在查詢過程中存在較大的安全隱患。二是代理機(jī)構(gòu)自助查詢區(qū)域安裝的監(jiān)控設(shè)備存在監(jiān)控盲區(qū)。例如，在偏遠(yuǎn)基層地區(qū)并沒有對設(shè)置的自助查詢區(qū)域進(jìn)行監(jiān)控全覆蓋。三是自助查詢機(jī)未單獨(dú)劃分網(wǎng)段。支行征信部門的自助查詢機(jī)網(wǎng)段和貨幣信貸部門其他計(jì)算機(jī)處在一個(gè)網(wǎng)段。四是自助查詢設(shè)備自身存在較小的瑕疵，影響用戶信息安全。例如，在用戶查詢的過程中會(huì)出現(xiàn)拍照不成功的現(xiàn)象導(dǎo)致查詢失敗，其原因主要是自助查詢系統(tǒng)的人臉對比分辨率有待提高。

2.3 個(gè)人和企業(yè)征信信息查詢操作存在疏漏

相關(guān)業(yè)務(wù)人員在進(jìn)行申請人查詢信息錄入的操作時(shí)，由于自身粗心、缺乏謹(jǐn)慎性的原因，在系統(tǒng)錄入時(shí)未能仔細(xì)核對相關(guān)查詢信息是否準(zhǔn)確，導(dǎo)致出現(xiàn)查詢原因或申請人類型勾選錯(cuò)誤、身份證復(fù)印件缺失、錯(cuò)記申請人查詢證件號碼等情況。

2.4 征信異常查詢的核實(shí)工作情況未及時(shí)上報(bào)

相關(guān)人員對總行下達(dá)異常查詢核實(shí)任務(wù)不夠重視，責(zé)任意識(shí)不強(qiáng)：一是未督促轄內(nèi)法人機(jī)構(gòu)及時(shí)反饋異常查詢核查情況;二是未及時(shí)向總行征信中心上報(bào)異常查詢核實(shí)情況。

2.5 異議業(yè)務(wù)操作時(shí)限不符合規(guī)定

根據(jù)調(diào)查，目前基層央行對于征信異議業(yè)務(wù)的處理存在以下問題：一是存在征信異議處理時(shí)限均超過20日的情況;二是存在征信異議處理沒有在核查結(jié)束后4日內(nèi)通知回復(fù)客戶的情況。

2.6 對接入機(jī)構(gòu)的監(jiān)督管理不到位

根據(jù)調(diào)查分析，基層央行對接入機(jī)構(gòu)的監(jiān)督管理不到位主要表現(xiàn)為：一是未督促接入機(jī)構(gòu)按要求報(bào)送情況報(bào)告;二是未按要求督促轄內(nèi)相關(guān)機(jī)構(gòu)建立征信內(nèi)控制度及問責(zé)制度;三是未在兩年內(nèi)實(shí)現(xiàn)征信信息安全巡查全覆蓋。

3 對策建議

3.1 嚴(yán)格遵循相關(guān)規(guī)定，規(guī)范用戶的設(shè)置和使用

一是遵循“最小授權(quán)”原則分配各類、各級用戶的權(quán)限。嚴(yán)格明確管理員用戶和普通用戶的權(quán)限，管理員用戶可進(jìn)行用戶創(chuàng)建、啟用和停用等操作，但不能進(jìn)行個(gè)人、企業(yè)查詢和異議處理等業(yè)務(wù)操作，管理員用戶不得兼任普通用戶，將用戶權(quán)限控制在業(yè)務(wù)需要的最小范圍內(nèi)。二是嚴(yán)格按照相關(guān)規(guī)定辦理用戶的停用和啟用。當(dāng)發(fā)生人員離崗、換崗、用戶長期不使用或者用戶設(shè)置錯(cuò)誤等情況時(shí)，要及時(shí)進(jìn)行用戶狀態(tài)變更，及時(shí)將用戶停用。三是加強(qiáng)用戶密碼設(shè)置和管理。轄內(nèi)征信人員的用戶密碼設(shè)置不宜過于簡單，應(yīng)符合安全性的要求。四是貫徹執(zhí)行人戶統(tǒng)一、專人專用的原則，堅(jiān)決禁止轉(zhuǎn)借用戶賬號或多人混用賬戶情況的出現(xiàn)。

3.2 探索改進(jìn)征信勞務(wù)人員的管理方法

為防范勞務(wù)人員擔(dān)任查詢?nèi)藛T發(fā)生征信信息泄露的風(fēng)險(xiǎn)，維護(hù)人民銀行聲譽(yù)，建議：一是將勞務(wù)人員轉(zhuǎn)為合同制員工。在人民銀行有合同制員工指標(biāo)的情況下，把勞務(wù)人員轉(zhuǎn)為和人民銀行簽訂合同的合同制員工，以此降低信息泄露的風(fēng)險(xiǎn)。二是建立勞務(wù)人員查詢管理方面的管理制度，簽訂保密協(xié)議，明確約定相關(guān)責(zé)任，對泄露信息的情況采取一定的懲戒措施，對勞務(wù)人員在本機(jī)構(gòu)內(nèi)的活動(dòng)進(jìn)行規(guī)范化管理。

3.3 加強(qiáng)對征信自助查詢機(jī)的管理

一是規(guī)范自助查詢機(jī)用戶的創(chuàng)建。嚴(yán)格審核用戶申請情況并根據(jù)實(shí)際情況實(shí)名設(shè)置用戶。二是加大對代理查詢機(jī)構(gòu)查詢的安全核查力度，重點(diǎn)關(guān)注自助查詢機(jī)區(qū)域的監(jiān)控設(shè)備的運(yùn)行狀態(tài)和覆蓋范圍。三是嚴(yán)格按照規(guī)定為自助查詢機(jī)單獨(dú)劃分網(wǎng)段。四是要進(jìn)一步提高自助查詢機(jī)的性能，提高用戶的體驗(yàn)性。例如，基于用戶在查詢過程中經(jīng)過會(huì)因?yàn)檎障喾直媛什桓叨鴮?dǎo)致查詢失敗的現(xiàn)象，基層央行要加強(qiáng)技術(shù)創(chuàng)新，提高照相系統(tǒng)的分辨率。

3.4 進(jìn)一步規(guī)范查詢操作

一是加強(qiáng)查詢?nèi)藛T在進(jìn)行業(yè)務(wù)操作時(shí)的謹(jǐn)慎性。在進(jìn)行業(yè)務(wù)操作時(shí)，查詢?nèi)藛T要明確查詢主體是個(gè)人查詢還是國家機(jī)關(guān)查詢，并根據(jù)實(shí)際情況在查詢過程中認(rèn)真準(zhǔn)確進(jìn)行查詢操作，避免由于不嚴(yán)謹(jǐn)?shù)脑蚨霈F(xiàn)查詢操作不規(guī)范的情況。二是加強(qiáng)相關(guān)查詢?nèi)藛T的征信合規(guī)教育培訓(xùn)。對查詢?nèi)藛T開展常態(tài)化思想教育，采用上崗測試、業(yè)務(wù)培訓(xùn)、警示教育等措施強(qiáng)化合規(guī)意識(shí)、信息安全防范意識(shí)和業(yè)務(wù)能力，確保查詢?nèi)藛T熟悉征信基本知識(shí)，掌握履行崗位職責(zé)的所需的專業(yè)技能，遵循合規(guī)性操作要求，提升查詢隊(duì)伍思想政治及業(yè)務(wù)素質(zhì)。

3.5 務(wù)必做好異常查詢處置的跟蹤和上報(bào)工作

一是要嚴(yán)格按照《金融信用信息基礎(chǔ)數(shù)據(jù)庫異常查詢行為監(jiān)測工作暫行規(guī)程》（銀征信中心〔2018〕19）的時(shí)限要求，積極督促轄區(qū)金融機(jī)構(gòu)法人對征信中心下發(fā)的異常查詢情況進(jìn)行認(rèn)真的核查反饋，同時(shí)，及時(shí)上報(bào)征信中心;二是研究制定和完善對金融機(jī)構(gòu)遲報(bào)、漏報(bào)異常查詢反饋情況的制約措施，確保轄內(nèi)金融機(jī)構(gòu)法人對總行下發(fā)的異常查詢情況按時(shí)按質(zhì)地進(jìn)行核查和反饋。

3.6 提高異議處理的規(guī)范性和時(shí)效性

為了提高征信信息安全必須高度重視異議處理工作：一是要規(guī)范異議處理的程序，通過建立完善的制度保證異議處理的準(zhǔn)確性與規(guī)范性;二是要提高異議處理的時(shí)效性，基層央行工作人員要加強(qiáng)對異議處理業(yè)務(wù)相關(guān)制度的學(xué)習(xí)，嚴(yán)格按照征信異議處理的時(shí)限規(guī)定和要求，自收到異議之日起20日內(nèi)進(jìn)行核查和處理，并在核查結(jié)束后4日內(nèi)通知個(gè)人或代理人領(lǐng)取書面結(jié)果。

3.7 切實(shí)做好對接入機(jī)構(gòu)的監(jiān)督管理工作

一是督促接入機(jī)構(gòu)建立健全征信內(nèi)控制度和問責(zé)制度，并要求其按時(shí)報(bào)送相關(guān)報(bào)告。運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要健全征信信息查詢管理，嚴(yán)格授權(quán)查詢機(jī)制，未經(jīng)授權(quán)嚴(yán)禁查詢征信報(bào)告，規(guī)范內(nèi)部人員和國家機(jī)關(guān)查詢辦理流程，嚴(yán)禁未經(jīng)授權(quán)認(rèn)可的APP接入征信系統(tǒng)。二是加大征信信息安全巡查力度，提前謀劃好轄區(qū)巡查工作開展階段計(jì)劃和進(jìn)度安排，切實(shí)做到兩年內(nèi)全覆蓋的要求。三是將非現(xiàn)場監(jiān)管結(jié)果納入現(xiàn)場檢查工作中，嚴(yán)格執(zhí)行執(zhí)法檢查和處罰相關(guān)規(guī)定，進(jìn)一步提高對轄區(qū)接入機(jī)構(gòu)的監(jiān)管效率和成效。為了保證基層央行征信系統(tǒng)的安全，還需要建立嚴(yán)格的獎(jiǎng)罰機(jī)制，將考評結(jié)果作為確定金融機(jī)構(gòu)存款保險(xiǎn)評級結(jié)果的重要依據(jù)，同時(shí)，還要根據(jù)考評結(jié)果調(diào)整其用戶管理權(quán)限。

4 結(jié)語

總之，基于金融市場的進(jìn)一步發(fā)展，做好基層央行征信信息管理工作對遏制個(gè)人征信違法行為、保護(hù)公民個(gè)人信息安全具有重要的現(xiàn)實(shí)意義。面對當(dāng)前基層央行征信存在的安全問題，需要從多方面入手，構(gòu)建完善的征信信息安全管理體系，以此打造安全、高效、穩(wěn)定的金融市場環(huán)境。

【參考文獻(xiàn)】

【1】郭慶平，楊立杰.中國人民銀行內(nèi)審轉(zhuǎn)型案例匯編[M].北京：中國金融出版社，2015.

【2】赫明剛.當(dāng)前征信信息安全管理中存在的問題及對策探析[J].征信，2018，36（12）：58-61.

【3】王博.基層人民銀行征信信息安全與防范[J].青海金融，2019（07）：62-64.

【作者簡介】洪傳堯（1977-），男，海南海口人，經(jīng)濟(jì)師，從事貨幣政策工具、內(nèi)部審計(jì)研究。