梁綏
根據(jù)《中華人民共和國(guó)反洗錢法》《金融機(jī)構(gòu)反洗錢規(guī)定》等法律法規(guī),中國(guó)人民銀行是國(guó)務(wù)院反洗錢行政主管部門,依法對(duì)金融機(jī)構(gòu)的反洗錢工作進(jìn)行監(jiān)督管理,金融機(jī)構(gòu)的反洗錢工作包含客戶身份識(shí)別、身份資料及交易記錄保存、上報(bào)大額及可疑交易報(bào)告等。因此,金融機(jī)構(gòu)的反洗錢從業(yè)人員可在其日常履職中,獲取大量公民基本身份信息及關(guān)聯(lián)賬戶的交易信息。同時(shí),國(guó)內(nèi)外信息安全事件頻發(fā),不僅影響金融機(jī)構(gòu)的形象,還可能造成巨大的經(jīng)濟(jì)損失。為此,監(jiān)管部門不斷細(xì)化相關(guān)政策法規(guī),提升監(jiān)管要求。
一、泄密處罰事件
近幾年,因金融機(jī)構(gòu)違反《中華人民共和國(guó)反洗錢法》第三十二條第五款規(guī)定“違反保密規(guī)定,泄露有關(guān)信息”的處罰事件時(shí)有發(fā)生。
2018年,某省農(nóng)村信用社聯(lián)合社,因違反保密規(guī)定等行為被處以130.7萬(wàn)元罰款。溫州銀行某分行因違反保密規(guī)定、泄露有關(guān)信息等反洗錢相關(guān)規(guī)定,被處以40萬(wàn)罰款。中國(guó)銀行某分行因違反《中華人民共和國(guó)反洗錢法》第三十二條第五款規(guī)定,被處以20萬(wàn)元罰款。2020年,中國(guó)農(nóng)業(yè)銀行某支行因侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利和違反反洗錢管理規(guī)定,泄露客戶信息被合并處以1223萬(wàn)元罰款。
二、導(dǎo)致泄密事件發(fā)生的原因分析
從國(guó)內(nèi)外眾多客戶信息泄露事件來(lái)看,導(dǎo)致其發(fā)生的主要原因有:
(一)金融系統(tǒng)存在易被黑客攻擊的安全漏洞
黑客利用服務(wù)器蹲守掃描金融機(jī)構(gòu)的安全系統(tǒng),一旦發(fā)現(xiàn)系統(tǒng)出現(xiàn)漏洞,就植入木馬病毒,盜取客戶信息。2014年,美國(guó)摩根大通銀行承認(rèn)7600萬(wàn)家庭和700萬(wàn)小企業(yè)的相關(guān)信息被泄露,網(wǎng)絡(luò)黑客就是通過(guò)遠(yuǎn)程獲取摩根大通數(shù)十個(gè)服務(wù)器的登錄權(quán)限,偷走客戶姓名、住址、電話、郵箱等個(gè)人信息。
(二)金融從業(yè)人員難以抵擋利益誘惑
從業(yè)人員受利益驅(qū)使在工作之余,通過(guò)復(fù)制、手抄、拍照等方式記錄客戶信息,進(jìn)而販賣公民信息,或自行盜用客戶信息。一直以來(lái),國(guó)內(nèi)外均存在大量買賣客戶信息的“黑市”,根據(jù)個(gè)人信息“品質(zhì)”的不同,每條從低至幾分到高至幾百不等。
(三)保密意識(shí)淡薄導(dǎo)致的潛在信息泄露風(fēng)險(xiǎn)
一是金融機(jī)構(gòu)風(fēng)險(xiǎn)防范意識(shí)不強(qiáng)。如,機(jī)構(gòu)給予工作人員查詢客戶信息的權(quán)限設(shè)置不合理或工作審批流程存在缺陷。此外,金融機(jī)構(gòu)與合作方“共享客戶信息”加大客戶信息泄露的風(fēng)險(xiǎn)。2013年,中國(guó)人壽爆發(fā)的泄密門事件,正是因合作方眾宜風(fēng)險(xiǎn)管理網(wǎng)的疏忽導(dǎo)致80萬(wàn)份保單被公開。
二是工作人員保密意識(shí)不夠。如,金融機(jī)構(gòu)履職人員隨手丟棄廢棄的客戶信息、為方便工作使用互聯(lián)網(wǎng)傳輸客戶信息等。2017年的"資管新規(guī)"泄密事件,借調(diào)人員偷拍銀監(jiān)會(huì)內(nèi)部文件,被銀行同事私自轉(zhuǎn)發(fā)至網(wǎng)絡(luò),導(dǎo)致該文件在多個(gè)金融行業(yè)微信群及有關(guān)人員微博、博客、公眾號(hào)中不斷轉(zhuǎn)發(fā),最終造成涉密信息在互聯(lián)網(wǎng)上被大范圍公開傳播。
三是公民警惕性不高。不法分子通過(guò)模仿金融機(jī)構(gòu)給客戶撥打電話、發(fā)送短信等方式,誘騙客戶登錄或回復(fù)個(gè)人信息到指定的釣魚網(wǎng)站,以獲取公民信息。根據(jù)公安部信息顯示,2019年,全國(guó)共破獲電信網(wǎng)絡(luò)詐騙案件20萬(wàn)起,抓獲犯罪嫌疑人16.3萬(wàn)人。
三、建議
當(dāng)前,在金融行業(yè)數(shù)據(jù)已經(jīng)成為各機(jī)構(gòu)的核心資產(chǎn),也是監(jiān)管部門高效開展監(jiān)管活動(dòng)的主要依據(jù)。作為核心資產(chǎn)應(yīng)受到重點(diǎn)保護(hù),機(jī)構(gòu)和監(jiān)管部門應(yīng)建立健全信息防護(hù)體系,加大對(duì)從業(yè)人員的培訓(xùn),促進(jìn)全員提高保密意識(shí)。
(一)健全信息泄露法律法規(guī)
做好立法全面規(guī)劃,確保立法質(zhì)量,是開展信息安全的基礎(chǔ)性工作。一是國(guó)家要從信息主體、客體、內(nèi)容三方面構(gòu)建立法框架。對(duì)信息主體獲取、傳遞信息等行為進(jìn)行嚴(yán)格規(guī)范,對(duì)客體信息保護(hù)、公民義務(wù)與權(quán)力等方面完善法律支撐。二是監(jiān)管機(jī)構(gòu)要根據(jù)國(guó)家法律法規(guī)進(jìn)一步明確反洗錢信息范圍,建立內(nèi)部監(jiān)督管理辦法,規(guī)范相關(guān)人員履職行為及泄密紀(jì)律處分或行政處罰。三是金融機(jī)構(gòu)要細(xì)化反洗錢崗、相應(yīng)業(yè)務(wù)人員履職要求,建立防止信息泄露的監(jiān)管部門或領(lǐng)導(dǎo)小組,嚴(yán)肅違規(guī)問(wèn)責(zé)機(jī)制。
(二)優(yōu)化信息系統(tǒng)防護(hù)建設(shè)
建立健全安全防護(hù)體系必不可少,可避免出現(xiàn)系統(tǒng)漏洞、外部入侵、內(nèi)部人為違規(guī)操作等問(wèn)題。一是加強(qiáng)信息網(wǎng)絡(luò)安全系統(tǒng)建設(shè)工作。金融機(jī)構(gòu)在進(jìn)行信息化建設(shè)的過(guò)程中要著重組建健全、完善的信息網(wǎng)絡(luò)安全系統(tǒng),信息科技部門和信息完全部門要緊密配合,確保硬件設(shè)備對(duì)系統(tǒng)的支撐力,做好信息網(wǎng)絡(luò)安全與系統(tǒng)研發(fā)的融合工作。二是加強(qiáng)身份認(rèn)證及訪問(wèn)控制管理。合理分配反洗錢相關(guān)系統(tǒng)的登錄角色及訪問(wèn)權(quán)限,針對(duì)不同類別信息設(shè)置不同的查詢權(quán)限和認(rèn)證方式。三是做好系統(tǒng)日志跟蹤管理工作。系統(tǒng)日志要能夠準(zhǔn)確記錄登錄人員的操作指令及相關(guān)要素,跟蹤工作任務(wù)的流轉(zhuǎn)痕跡,確保工作日志的可稽核性。
(三)加大全員保密意識(shí)教育
加強(qiáng)防信息泄露人才培養(yǎng),持續(xù)強(qiáng)化保密觀念。一是堅(jiān)持懲處與教育相結(jié)合,引導(dǎo)從業(yè)人員端正職業(yè)道德。金融機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)均需要制定一系列職業(yè)道德規(guī)范,包括但不限于思想引導(dǎo)性的正面內(nèi)容、信息和泄露等界定性的嚴(yán)格標(biāo)準(zhǔn)以及更改或泄露信息的強(qiáng)制性懲罰措施。二是提升從業(yè)人員應(yīng)變能力,形成良好的保密氛圍。當(dāng)前信息安全技術(shù)的飛速發(fā)展,已有的管理機(jī)制可能會(huì)出現(xiàn)無(wú)法滿足其發(fā)展的窘迫情況。這就要求從業(yè)人員提升工作并變能力與危機(jī)處理能力,能夠根據(jù)現(xiàn)有的規(guī)章制度舉一反三,靈活應(yīng)對(duì)危機(jī)情況。三是加大開展信息安全風(fēng)險(xiǎn)排查工作。機(jī)構(gòu)和監(jiān)管部門均需要定期及不定期開展專項(xiàng)自查、風(fēng)險(xiǎn)排查、外部檢查等工作,提高從業(yè)人員履職警惕性,及時(shí)發(fā)現(xiàn)履職存在的潛在泄密風(fēng)險(xiǎn)。
(中國(guó)人民銀行長(zhǎng)春中心支行? 吉林? 長(zhǎng)春? 130051)