淺析金融從業人員履職中的泄密風險

梁綏

根據《中華人民共和國反洗錢法》《金融機構反洗錢規定》等法律法規，中國人民銀行是國務院反洗錢行政主管部門，依法對金融機構的反洗錢工作進行監督管理，金融機構的反洗錢工作包含客戶身份識別、身份資料及交易記錄保存、上報大額及可疑交易報告等。因此，金融機構的反洗錢從業人員可在其日常履職中，獲取大量公民基本身份信息及關聯賬戶的交易信息。同時，國內外信息安全事件頻發，不僅影響金融機構的形象，還可能造成巨大的經濟損失。為此，監管部門不斷細化相關政策法規，提升監管要求。

一、泄密處罰事件

近幾年，因金融機構違反《中華人民共和國反洗錢法》第三十二條第五款規定“違反保密規定，泄露有關信息”的處罰事件時有發生。

2018年，某省農村信用社聯合社，因違反保密規定等行為被處以130.7萬元罰款。溫州銀行某分行因違反保密規定、泄露有關信息等反洗錢相關規定，被處以40萬罰款。中國銀行某分行因違反《中華人民共和國反洗錢法》第三十二條第五款規定，被處以20萬元罰款。2020年，中國農業銀行某支行因侵害消費者個人信息依法得到保護的權利和違反反洗錢管理規定，泄露客戶信息被合并處以1223萬元罰款。

二、導致泄密事件發生的原因分析

從國內外眾多客戶信息泄露事件來看，導致其發生的主要原因有：

（一）金融系統存在易被黑客攻擊的安全漏洞

黑客利用服務器蹲守掃描金融機構的安全系統，一旦發現系統出現漏洞，就植入木馬病毒，盜取客戶信息。2014年，美國摩根大通銀行承認7600萬家庭和700萬小企業的相關信息被泄露，網絡黑客就是通過遠程獲取摩根大通數十個服務器的登錄權限，偷走客戶姓名、住址、電話、郵箱等個人信息。

（二）金融從業人員難以抵擋利益誘惑

從業人員受利益驅使在工作之余，通過復制、手抄、拍照等方式記錄客戶信息，進而販賣公民信息，或自行盜用客戶信息。一直以來，國內外均存在大量買賣客戶信息的“黑市”，根據個人信息“品質”的不同，每條從低至幾分到高至幾百不等。

（三）保密意識淡薄導致的潛在信息泄露風險

一是金融機構風險防范意識不強。如，機構給予工作人員查詢客戶信息的權限設置不合理或工作審批流程存在缺陷。此外，金融機構與合作方“共享客戶信息”加大客戶信息泄露的風險。2013年，中國人壽爆發的泄密門事件，正是因合作方眾宜風險管理網的疏忽導致80萬份保單被公開。

二是工作人員保密意識不夠。如，金融機構履職人員隨手丟棄廢棄的客戶信息、為方便工作使用互聯網傳輸客戶信息等。2017年的"資管新規"泄密事件，借調人員偷拍銀監會內部文件，被銀行同事私自轉發至網絡，導致該文件在多個金融行業微信群及有關人員微博、博客、公眾號中不斷轉發，最終造成涉密信息在互聯網上被大范圍公開傳播。

三是公民警惕性不高。不法分子通過模仿金融機構給客戶撥打電話、發送短信等方式，誘騙客戶登錄或回復個人信息到指定的釣魚網站，以獲取公民信息。根據公安部信息顯示，2019年，全國共破獲電信網絡詐騙案件20萬起，抓獲犯罪嫌疑人16.3萬人。

三、建議

當前，在金融行業數據已經成為各機構的核心資產，也是監管部門高效開展監管活動的主要依據。作為核心資產應受到重點保護，機構和監管部門應建立健全信息防護體系，加大對從業人員的培訓，促進全員提高保密意識。

（一）健全信息泄露法律法規

做好立法全面規劃，確保立法質量，是開展信息安全的基礎性工作。一是國家要從信息主體、客體、內容三方面構建立法框架。對信息主體獲取、傳遞信息等行為進行嚴格規范，對客體信息保護、公民義務與權力等方面完善法律支撐。二是監管機構要根據國家法律法規進一步明確反洗錢信息范圍，建立內部監督管理辦法，規范相關人員履職行為及泄密紀律處分或行政處罰。三是金融機構要細化反洗錢崗、相應業務人員履職要求，建立防止信息泄露的監管部門或領導小組，嚴肅違規問責機制。

（二）優化信息系統防護建設

建立健全安全防護體系必不可少，可避免出現系統漏洞、外部入侵、內部人為違規操作等問題。一是加強信息網絡安全系統建設工作。金融機構在進行信息化建設的過程中要著重組建健全、完善的信息網絡安全系統，信息科技部門和信息完全部門要緊密配合，確保硬件設備對系統的支撐力，做好信息網絡安全與系統研發的融合工作。二是加強身份認證及訪問控制管理。合理分配反洗錢相關系統的登錄角色及訪問權限，針對不同類別信息設置不同的查詢權限和認證方式。三是做好系統日志跟蹤管理工作。系統日志要能夠準確記錄登錄人員的操作指令及相關要素，跟蹤工作任務的流轉痕跡，確保工作日志的可稽核性。

（三）加大全員保密意識教育

加強防信息泄露人才培養，持續強化保密觀念。一是堅持懲處與教育相結合，引導從業人員端正職業道德。金融機構和監管機構均需要制定一系列職業道德規范，包括但不限于思想引導性的正面內容、信息和泄露等界定性的嚴格標準以及更改或泄露信息的強制性懲罰措施。二是提升從業人員應變能力，形成良好的保密氛圍。當前信息安全技術的飛速發展，已有的管理機制可能會出現無法滿足其發展的窘迫情況。這就要求從業人員提升工作并變能力與危機處理能力，能夠根據現有的規章制度舉一反三，靈活應對危機情況。三是加大開展信息安全風險排查工作。機構和監管部門均需要定期及不定期開展專項自查、風險排查、外部檢查等工作，提高從業人員履職警惕性，及時發現履職存在的潛在泄密風險。