人民銀行征信信息安全管理中的風(fēng)險(xiǎn)分析與防范

康陽(yáng)

一、研究背景

近年來(lái)，隨著國(guó)家信用體系建設(shè)的不斷完善，信用報(bào)告成為人們經(jīng)濟(jì)生活中的“身份證”。加強(qiáng)征信信息安全管理既是推進(jìn)征信信息體系建設(shè)的重要環(huán)節(jié)，也是基層央行履職必然要求。目前，人民銀行各級(jí)分支機(jī)構(gòu)肩負(fù)征信管理和征信服務(wù)雙重職責(zé)，個(gè)人征信信息查詢、異議、投訴和對(duì)轄內(nèi)機(jī)構(gòu)執(zhí)法檢查是征信管理部門(mén)的主要工作職責(zé)，一方面具有法律層面的信息安全風(fēng)控要求，另一方面具有社會(huì)層面的聲譽(yù)影響的效應(yīng)。本文以人民銀行X市中心支行征信信息安全審計(jì)為例，從現(xiàn)場(chǎng)審計(jì)的視角，闡述目前基層行征信業(yè)務(wù)存在的風(fēng)險(xiǎn)，提出合理的改進(jìn)建議，以促進(jìn)征信部門(mén)有效履職，規(guī)范征信市場(chǎng)管理，實(shí)現(xiàn)管理工作規(guī)范化，為征信業(yè)務(wù)取向和內(nèi)審工作轉(zhuǎn)型提供參考。

二、征信信息安全管理中的風(fēng)險(xiǎn)分析

(一)問(wèn)題闡述

征信信息安全管理主要涉及系統(tǒng)用戶管理、信息查詢、異議和投訴管理、系統(tǒng)接入和注銷(xiāo)管理、對(duì)接入機(jī)構(gòu)的監(jiān)督管理等五項(xiàng)業(yè)務(wù)，審計(jì)過(guò)程中發(fā)現(xiàn)這幾項(xiàng)業(yè)務(wù)均存在著不同程度的安全隱患，對(duì)其中一些審計(jì)重點(diǎn)和普遍問(wèn)題，下面一一闡述之。

1、用戶管理不規(guī)范。一是用戶停用不及時(shí)。以X中支為例，某員工于2016年10月調(diào)離，至2017年2月才止用其用戶權(quán)限，離崗到停用間隔時(shí)間最長(zhǎng)超過(guò)5個(gè)月。二是用戶密碼管理不到位。用戶密碼為生日、略縮語(yǔ)、電話號(hào)碼等易知常用的數(shù)字，并將用戶名及密碼記錄在紙上，保存在未鎖閉的辦公桌內(nèi)，用戶超期未修改密碼等現(xiàn)象比較普遍。三是存在用戶混用情況。借用他人賬號(hào)辦理個(gè)人征信查詢業(yè)務(wù)的情況時(shí)有發(fā)生。

2、資料審核不嚴(yán)。一是使用無(wú)效身份證件。部分個(gè)人臨柜查詢使用的身份證為一代身份證或已過(guò)有效期，操作人員未認(rèn)真查驗(yàn)、比對(duì)身份信息；二是協(xié)查函、介紹信或保密承諾書(shū)不規(guī)范。國(guó)家機(jī)關(guān)查詢和單位統(tǒng)一查詢提供的協(xié)查函、介紹信或保密承諾書(shū)均未記明查詢?nèi)藬?shù)，提供的查詢名單也未加蓋單位公章。

3、征信數(shù)據(jù)安全管理不到位。一是用于征信檢查的歷史抽取數(shù)據(jù)清除不及時(shí)；二是用于接收分中心下發(fā)的質(zhì)量核查、異常核查等數(shù)據(jù)的業(yè)務(wù)網(wǎng)郵箱管理不嚴(yán)，由多人共用；三是征信檔案中留存紙質(zhì)信用報(bào)告。

4、設(shè)備維修管理不到位。一是簽訂設(shè)備采購(gòu)合同中，未明確維修保密條款；二是未使用指定維修商；三是維修人員現(xiàn)場(chǎng)維修時(shí)，征信管理部門(mén)未每次都到場(chǎng)監(jiān)督。

5、行政處罰任意性較大。對(duì)行政執(zhí)法檢查中發(fā)現(xiàn)的問(wèn)題未進(jìn)行妥善處置，對(duì)法律明文規(guī)定的特定事項(xiàng)的行政罰款數(shù)額隨意增減。

(二)風(fēng)險(xiǎn)分析

1、用戶管理漏洞，能輕易被別有用心的鋌而走險(xiǎn)者利用，此種情境下操作員容易違背職業(yè)道德進(jìn)行違規(guī)查詢，一旦實(shí)施，就會(huì)觸發(fā)利益驅(qū)動(dòng)下的道德風(fēng)險(xiǎn)。

2、資料審核不嚴(yán)，無(wú)法排除個(gè)人撿拾他人丟失證件進(jìn)行查詢的情況，同時(shí)批量查詢資料不完善也存在變更、增加或減少查詢主體的可能，這些均有可能因冒名查詢而招致客戶投訴或起訴，引起法律糾紛。

3、數(shù)據(jù)使用和設(shè)備維護(hù)不當(dāng)，一方面不利于明確數(shù)據(jù)安全管理責(zé)任和風(fēng)險(xiǎn)控制，另一方面由于自助查詢機(jī)能夠緩存當(dāng)日的信用報(bào)告，維修人員可以輕易對(duì)留存數(shù)據(jù)進(jìn)行復(fù)制、轉(zhuǎn)移，稍加利用，便會(huì)暴露出極大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

4、行政處罰恣意，意味著在沒(méi)有任何適當(dāng)理由和法律依據(jù)的情況下濫用自由裁量權(quán)，不僅反映了從業(yè)人員個(gè)人的執(zhí)業(yè)能力和依法行政水平不高，而且會(huì)從社會(huì)層面貶損人民銀行的聲譽(yù)，引發(fā)輿論風(fēng)險(xiǎn)。

三、征信信息安全管理中的風(fēng)險(xiǎn)防范

(一)加強(qiáng)用戶管理，提高安全管理水平。

進(jìn)一步明確管理員用戶、數(shù)據(jù)上報(bào)用戶和信息查詢用戶的職責(zé)及操作規(guī)程，將責(zé)任落實(shí)到人，堅(jiān)決杜絕公共用戶和用戶兼任的現(xiàn)象，人員流動(dòng)之后及時(shí)辦理用戶停用和變更。加強(qiáng)管理員用戶和查詢用戶的密碼管理，密碼設(shè)置為字母加數(shù)字并進(jìn)行封存，并按規(guī)定定期修改密碼。同時(shí)，加強(qiáng)用戶管理和考核，努力提高征信安全管理水平。

(二)實(shí)行人機(jī)聯(lián)控，堵住人工操作漏洞。

因人工操作疏漏無(wú)法從根本上杜絕，可減少人工操作，充分利用二代身份證閱讀器等電子設(shè)備，實(shí)現(xiàn)二代身份證信息自動(dòng)讀取，增強(qiáng)對(duì)身份信息資料的防偽辨識(shí)能力，提高查詢工作效率。將自助設(shè)備和電子設(shè)備認(rèn)證作為主要信息比對(duì)和業(yè)務(wù)辦理方式，僅對(duì)一些機(jī)器無(wú)法識(shí)別或辦理的特殊情況開(kāi)放人工臨柜查詢?！叭藱C(jī)聯(lián)控”措施遏制了客戶不到場(chǎng)查詢風(fēng)險(xiǎn)，對(duì)非本人查詢產(chǎn)生震懾力，同時(shí)對(duì)事后監(jiān)督檢查留下頭像核對(duì)和身份信息核查憑據(jù)。在“人機(jī)聯(lián)控”制度模式下，既強(qiáng)化了監(jiān)管，又可緩解基層央行征信人手緊張的局面。

(三)加強(qiáng)信息安全管理，確保敏感數(shù)據(jù)保密。

嚴(yán)格執(zhí)行保密制度，對(duì)涉密的敏感數(shù)據(jù)，首先，應(yīng)當(dāng)限定 專機(jī)IP和訪問(wèn)時(shí)間，上班開(kāi)機(jī)，下班關(guān)機(jī)，工作時(shí)段臨時(shí)離柜需退出用戶登錄；其次，確保查詢專機(jī)與互聯(lián)網(wǎng)物理隔離，并封閉主機(jī)優(yōu)盤(pán)接口，業(yè)務(wù)用機(jī)嚴(yán)禁配置刻錄光驅(qū)；同時(shí)，可配置屏幕干擾器，防止用手機(jī)拍照的方式竊取屏幕顯示的涉密信息，盡可能阻斷向外交換傳遞泄露信息的渠道。

(四)嚴(yán)格規(guī)范執(zhí)法程序，維護(hù)央行社會(huì)聲譽(yù)。

首先，在日常工作中要加強(qiáng)人員培訓(xùn)和依法行政制度學(xué)習(xí)，嚴(yán)格執(zhí)行制度規(guī)定，增強(qiáng)權(quán)責(zé)法定的意識(shí)，提高依法行政的執(zhí)業(yè)能力，杜絕越位甚至亂作為，既要勇于負(fù)責(zé)和擔(dān)當(dāng)，又能合理充分行使自由裁量權(quán)。其次，要加強(qiáng)征信宣傳教育，增強(qiáng)金融機(jī)構(gòu)和社會(huì)公眾對(duì)征信工作的認(rèn)知度和認(rèn)同感，培養(yǎng)信用意識(shí)、培植信用需求、培育信用環(huán)境，引導(dǎo)全社會(huì)支持征信體系建設(shè)，提高央行履職效能。

(中國(guó)人民銀行張家界市中心支行，湖南 張家界 427000)