当前位置:>>消费者保护
分享到:
    发布时间:2018-06-08 15:24:29     文章来源:原创     点击量:1738

加强信息源头管理 保障客户资金安全

 

近年来,发生多起金融机构员工违规查询、网上出售或非法提供个人信息的案件或风险事件,给客户造成了损失,也给金融机构带来了声誉风险。这暴露了法律法规不完备和金融机构自身内部管理上的漏洞,警示金融机构要进一步加强征信系统、客户管理系统等重要系统使用情况的管理和监督,做好内控管理,从源头控制风险,切实保护消费者的合法权益。

 

案例概述

20152月,深圳客户陈某登录网银账户,发现原本存有5万多元的某银行账户竟只剩下1元。类似储户失窃案屡屡发生,涉及多家银行,最终,深圳公安分局将犯罪嫌疑人王某抓获。

王某首先在网上购买10万个深圳市机动车车主信息,包括身份证号、车主姓名、车型等,依照车辆档次高低,王某筛选出初选目标。为了进一步获取这些人的银行卡信息,王某再在网上以每份几十元的价格购买目标车主的个人银行卡信息和个人征信报告,获取车主的银行卡卡号、账户余额、客户收入、详细住址、手机号、家庭电话号码甚至配偶和子女的职业、生日等。借助这些信息,王某筛选编排出最有可能的六位数密码,之后逐个输入进行破译,共窃取受害人资金500多万元。

经调查,出售这些银行卡信息和个人征信报告的为金融机构员工。某银行信用卡中心风险管理部贷款审核员张某共向王某出售个人信息200多份。他通过中间人拿到王某要求查询的人员名单,通过单位内部系统查询这些客户的银行卡信息及个人征信报告,打印出来后扫描发给王某。某保险公司客户经理黄某则通过中介向王某出售了300多份个人投保信息,他利用单位内部征信查询系统获取信息,再将客户信息通过邮箱传给王某。

案例剖析

法律法规不完备。个人征信报告、银行卡信息、投保信息本该被严格保密,在金融机构一些内部员工手中却被以每份30~50元不等的价格出售给各级中间商。这一份份详尽的个人信息,无疑会给居心叵测的人留下可乘之机,而这些内部员工也触碰了法律红线。非法获取公民个人信息罪,是指窃取或以其他方法非法获取公民个人信息且情节严重的行为。《刑法修正案(七)》对侵犯公民个人信息罪进行了规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”这一规定明确了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三项罪名,为打击倒卖个人信息产业链提供了法律利器。但是,目前我国个人信息保护方面的法律还不完备,公民个人信息保护法还未出台,作为新罪名,出售、非法提供和非法获取公民个人信息案件在法律实践层面上仍存在诸多问题,这在一定程度上影响了对此类犯的打击力度。例如,如何界定“个人信息”“情节严重”的尺度如何把握,都需要法律进一步加以明确。法规单一、执行不到位、打击力度不够,都导致买卖个人信息的问题屡禁不止。

金融机构内部管理和风控存在问题。由于行业性质,客户资料在金融机构内部几乎透明,内部员工很容易掌握客户的财产状况和基本信息,而这正是多个机构需要的资源。比如信托公司的产品门槛多为100万元起,最需要的是那些高收入人群的信息,从金融机构获取这些高收入有效户信息是一个便利的途径。赤裸裸地倒卖客户信息的做法并不普遍,但相互介绍客户的做法并不少见。员工能够长期在无人监管的情况下轻松进入单位内部系统盗取客户资料,一方面说明一些员工的职业道德感缺失、法制意识淡薄,同时也说明某些机构长期以来疏于对员工的法律教育和职业道德培养;另一方面也反映出一些金融机构对于个人征信系统、客户管理系统等重要系统的监管存在漏洞。例如,重要系统的使用权限和负责人不明确,登录密码不是专人专管,保密性不强;基层客户经理常常要求柜员利用柜台系统查询信息;金融单位没有建立重要系统使用细则,导致基层人员对系统滥用;上级行没有定期对基层行进行征信系统使用的检查等。此外,金融机构客户信息管理系统存在漏洞,缺乏定期检查和必要的维护。

对策建议

加强金融机构重要系统使用的制度建设。内部员工盗取、出卖客户信息,给金融机构声誉造成不可估量的损失,金融机构要加强相关的制度建设,从内控源头上把好关。

加强内部员工的道德约束。加强对客户信息管理人员、信用报告查询人员等员工的法制教育和职业素养教育,组织相关人员学习法律及相关制度;加大对窃取、滥用客户信息的员工的内部惩处力度,给予其开除等严肃处理,加重员工违规的机会成本。

加强对客户管理系统、征信系统、柜员系统等重要系统的使用制度建设。例如,制定系统使用细则和规定,明确何种岗位人员何种业务下可以使用系统,明晰使用权限和责任人;涉及个人信用报告的相关档案须妥善保存,对可能接触到信用报告的相关人员,必须按相关制度严格管理,杜绝报告经工作人员向外泄露的可能;严禁通过邮件、QQ群、微信群发送任何版本的信用报告;金融单位信息管理部门要规范查询用户的申请、创建及停用,确保只有实际工作需要的人员才能查询个人信用报告;严禁相关人员将账号借给他人;对于离职人员,要立即停用其账号;未经主管批准,不允许客户经理擅自要求柜员为其提供客户账户信息等。

上级主管单位要定期对重要系统的使用情况进行检查。应定期检查基层服务网点的信用报告查询记录,包括信用报告查询的内外部授权材料是否齐全,是否备有被查征信的客户身份证复印件及授权书;查询信用系统时是否登记在查询登记簿上;涉及与第三方合作的查询记录,比如网贷公司、小额贷款公司、汽车金融公司等,需认真梳理检查客户签署的授权材料等。

不断提升技术手段,加强客户信息安全防护。一方面,金融机构应完善自身业务系统,依托业务系统对接触客户信息的操作人员按需求设置不同权限,尽可能防范非必要人员过多掌控客户信息;另一方面,强化业务系统的维护升级和第三方风险管控,不断增强业务系统的安全等级,围绕信息流、资金流、人员流,强化大数据、云计算等新一代信息技术的深度应用,开发设置必要的防范客户信息泄露的实时监控系统,以确保客户信息不因内外攻击而受到威胁。同时,金融机构要对外包人员行为严加管控,提升外包人员的守法意识与内控能力,减少在提供金融服务时可能发生客户信息泄密风险。(山西大同北都农商银行 田丰收

 

 

 

 

附件下载:




电话:010-68981196 通用网址:中国农村金融网 网络实名:中国农村金融网

中华人民共和国电信与信息服务经营许可证:京ICP备12018315号-1 中国农村金融网版权所有