商業銀行客戶信息安全保護研究

文/孫中（貴州銀行股份有限公司黔東南分行）

就我國對金融業發展的態勢來看，其在未來只會有增無減，市場客戶數量呈倍速增長，這也意味著會產生越來越多的客戶信息，如果不做好信息安全管理工作，很有可能影響到金融市場的健康發展。因此，為了提升商業銀行的市場口碑，規范金融市場環境，必須優化銀行客戶信息安全管理工作。但目前針對該方面的文獻研究較少，尚未形成標準化的管理體系，對實際操作指導作用不大，由此，本文對商業銀行客戶信息安全管理進行研究，希望能夠進一步豐富相關理論，更好地指導商業銀行展開信息安全管理。

一、商業銀行客戶信息概述

商業銀行客戶信息是銀行在進行業務活動過程中，通過查詢中國人民銀行的征信系統、支付系統以及其他系統獲取、處理或儲存的個人信息。對于商業銀行來說，其在掌握客戶基本信息之后，必須做到兩點：一是客戶將信息提供給商業銀行，基于職業操守，商業銀行必須為客戶保密；二是于兩家銀行來說，同一個客戶的信息可以被同時接受和使用，客戶信息具有小范圍的共享性；三是客戶信息具有針對性、可識別性，只有客戶信息針對性、可識別性強，才有被保護的法律價值和意義[1]。

商業銀行客戶信息泄露產生的危害極大，不管是對銀行本身來說，還是對信息被泄露的客戶來說。一方面，如果一家銀行因為信息泄露而遭受處罰，會被公眾質疑其工作能力，負面報道和網絡發酵會引起連鎖反應，品牌形象需要長時間的維護，而口碑下跌，只需要一個負面案例，很有可能會為銀行帶來毀滅性的打擊；另一方面，如果客戶信息被泄露，會收到各種騷擾電話，如果信息落入不法分子手中，可能會被冒名消費，將違反法律的事情都歸納到客戶身上，致使名譽受損，征信受到影響，影響了客戶的生活和工作。

商業銀行的客戶信息安全管理，必須基于以下幾方面原則：

（1）規范定級原則。商業銀行需要根據客戶信息的重要程度和敏感程度，結合自身管理的能力，根據信息安全管理等級，嚴格按照等級規范進行管理，并制定相應的管理策略，嚴格實施。

（2）依法行政原則。商業銀行信息安全管理必須保證信息系統的使用合法、行為合法、內容合法等。

（3）以人為本原則。對于商業銀行來說，信息安全保護是信息安全管理工作的主體，意味著其很大程度上都是受制于人，所以對于主要擔任安全管理的工作人員來說，必須做好其法制、信息安全教育、培訓和管理工作，使具備基本的職業道德。

（4）主要領導人負責原則。商業銀行的客戶信息安全管理不僅與客戶自身利益相關，還與商業銀行的信用等級有關，銀行領導人必須充分認識到自身的安全管理責任，并將其落實到相關部門和人員上。

二、商業銀行客戶信息安全問題產生原因

在現代市場環境下，隨著大數據技術和互聯網信息的深入發展，商業銀行客戶信息暴露面也在逐漸拓寬，在這種情況下，商業銀行已經在積極采取措施進行防范，但客戶信息安全風險點傳染性和隱蔽性都有所增強，其防范效果始終不如預期。以下結合商業銀行客戶信息安全防護實際情況，從三方面進行具體闡述：

（一）互聯網技術的發展

網絡經濟時代的來臨，讓人們的生活和工作都發生了巨大變化，就資金流通方面來看，電子貨幣代替傳統紙幣成了新的交易方式，為了順應時代變化，更好融入現代市場，提升自有競爭力，商業銀行逐步開通了網上銀行。而智能化和風險始終相伴相隨，為了保證網絡交易的安全性，客戶需要通過部分隱私進行驗證，與此同時，大量網絡信息也充斥在商業銀行中，且這種網絡信息具有較強的復制性，信息技術的發展也衍生出了各種網絡詐騙、盜取密碼等違法行為，且網絡虛擬追蹤十分不易，復雜化、多元化的網絡環境包含了無數的風險攻擊，這些都對客戶信息產生了威脅[2]。

（二）違規成本代價低廉

從商業銀行角度出發，其內部人員出售客戶信息，往往能夠獲得較大利益，目前金融業發展較快，商業銀行眾多，且如今信息泄露行為頻發，商業銀行在該方面的管理工作投入較少。一是出售客戶信息違法成本低廉，“低投資、高收益”，責令改正后處以1萬元以上5萬元以下的經濟處罰，如果涉嫌犯罪，移交司法機關，相對來說這種方式代價較低，部分銀行內部人員選擇鋌而走險，牟取暴利；二是外在的法律保障制度不完善，個人信息保護法不到位，早在2009年，《中華人民共和國刑法修正案（七）》中，首次增設了侵犯個人信息安全犯罪的條款，雖然刑法修正案推行至今，但是信息泄露行為仍然屢見不鮮，由于實際追查耗時耗力，真正被追究責任的屬于少數，多數小型信息泄露案件仍是漏網之魚。

（三）銀行內部保護體系不健全

商業銀行客戶信息泄露，除了外界客觀因素和內部人員非法兜售以外，其內部保護體系的不健全也是引起信息泄露的重要原因，主要表現在以下幾方面：首先，商業銀行的自身網絡系統存在漏洞，網絡攻擊渠道眾多，如光盤、電子郵件等，這些信息在傳輸中都有可能攜帶病毒，再加上信息網絡的普及，網絡風險攻擊呈現多元化、隱蔽化，網絡攻擊也更具規模性，蓄意入侵，防不勝防。

一些小型商業銀行的網絡軟件直接從外界購買，其自身軟件開發能力較弱，缺少資金投入，這種三方外包行為更有可能攜帶網絡病毒，抑或是軟件開發水平較低，本身就處于脆弱環境中，更易吸引網絡病毒攻擊，致使客戶信息泄露；其次，商業銀行缺乏完善的內部控制制度和監督體系。在互聯網銀行飛速發展的過程中，商業銀行內部的控制制度和與網絡連接的風險監管體系尚未同步更新，只是通過日常工作進行防范，一旦發生針對性的攻擊行為，根本無法減輕其損傷，再加上監督工作的缺乏和內部人員的主動泄露，極不利于客戶信息的安全保障。

三、商業銀行客戶信息安全保護研究

通過對已有的文獻、理論進行分析，結合商業銀行客戶信息安全保護現狀，參考優秀案例，針對上述問題分別提出了針對性保護措施，希望以此進一步提升商業銀行的業務質量，具體闡述如下：

（一）普及安全信息系統的應用

現代化、先進化的系統軟件建設，是保護商業銀行客戶信息安全的根本手段，也是經濟環境中的大勢所趨，更是雙方長期博弈的過程。第一，商業銀行必須明確自身的安全保護策略，利用現代信息技術，構建科學的網絡保護制度，同時關注信息保護技術的更新，以備不時之需；第二，采用日常管理和備份結合的方式，將業務活動過程與信息安全保護過程進行區分，采用不同的方式和系統進行推進，設置針對性的安全策略，強化信息技術與日常管理的結合，其日常管理屬于信息安全保護的薄弱環節，結合木桶效應，因此商業銀行必須同等重視日常信息管理工作，實現全面的信息安全保護措施[3]。

（二）完善外部法律法規建設

外部法律法規的建設是保證信息安全的基礎性工作，必須保證立法項目的協同性、合理性以及預見性，具體可從以下幾方面進行建設：一是明確信息的主體，從不同的角度構建適用性較強的立法框架，如從商業銀行、政府部門以及群眾需求三角度出發，明確各主體的實際需求，進而規范信息安全保護內容；二是必須保證商業銀行信息安全處于獨立狀態，就商業銀行的運作來看，雖然客戶信息保密，但是在其內部各部門中由于業務需求仍在流轉，不同地區不同部門的信息安全協調工作需要到位；三是樹立滿足法律要求但不拘泥于法律要求的管理觀念，信息化時代下，互聯網技術飛速發展，而一項法律政策的推行，則需要較長時間，很有可能不滿足當前商業銀行的實際需求，因此在遵守法律相關要求的時候，在法律無法解決信息安全的部分，商業銀行必須酌情考慮，以維系客戶信息安全為根本原則。

（三）強化內部銀行安全機制建設

于商業銀行內部來說，必須加強客戶信息安全保護的防范工作，強化部門建設和制度形成。首先，成立信息安全保護部門，秉持“統一領導，分級管理”原則，明確各管理層級的權限，分配具體的職責和義務，確保各環節相互配合，穩定運行，主要負責信息安全系統的設計，明確信息體系管理的各項標準，實時根據外界變化配合信息科研部門研發新型網絡安全管理系統；其次，建立健全內部控制制度，通過標準的制度手段規范信息安全管理，一定程度上可提升相關人員的綜合素質和工作效率，先要明確客戶信息安全應急管理各項標準，然后依次確定應急制度、基本管理制度以及各項業務活動規范等[4]；再次，完善商業銀行客戶信息安全管理的監督機制，從明確各監管主體的職責開始，以制度為約束力，發揮審計作用，其監督內容主要包括：各部門是否按照銀行制度要求落實部門細則、各級工作人員是否如實按照規定完成自身工作內容、各部門是否按照自身提出的審計意見修復漏洞進行調整、安全管理制度是否得到充分運行和信息安全管理的實時保護狀態如何等。盡可能通過審計實現自我保護與改進。最后，強化商業銀行內部稽核力度，可借助第三方審計作用，保證內部信息安全管理相關方面具有較強的真實性、公正性，能夠真正發揮保護作用。另外要做好信息系統的安全稽核工作，通過集中監控、分級管理實現信息系統的逐層次更新；通過分批建設、逐步集成實現數據匯總管理，再對數據進行分析處理；通過實施監控、及時報告實現安全隱患的全面檢測，便于及時發現，及時處理；通過自建和外包結合的方式，不斷提升安全信息系統的實用性，使其與商業銀行自身的運行模式充分結合。

四、結束語

綜上所述，在現代競爭激烈的金融環境下，商業銀行間的客戶信息安全管理工作不盡相同，同時也是各銀行的薄弱環節，要想提升其市場占有量，吸引更多的客戶，就要針對信息安全管理下手，以此提升自身的核心競爭力，達到推動銀行長遠發展的目的。

由于對相關文獻、理論等搜集工作不到位，且自身研究能力有限，視野不夠開闊，致使本文提出的優化策略難免淺顯，未來會繼續學習、研究，力求提出更具操作價值的信息安全管理策略，希望能夠切實提升商業銀行客戶信息管理能力，助力其構建科學、全面的防范信息泄露體系，保障資本市場的綠色運行，推進金融市場的良性運行，創造更多的社會價值。

相關鏈接

商業銀行（Commercial Bank），英文縮寫為CB，是銀行的一種類型，職責是通過存款、貸款、匯兌、儲蓄等業務，承擔信用中介的金融機構。主要的業務范圍是吸收公眾存款、發放貸款以及辦理票據貼現等。一般的商業銀行沒有貨幣的發行權，商業銀行的傳統業務主要集中在經營存款和貸款業務。