热点:
首页      广告   目录   资讯   征稿    财会  视频   图片   评论      财经       旅游   时尚   
当前位置:首页 > 杂志频道 > 管理 > 管理纵横 > 正文
接入机构征信信息安全及防范措施研究
时间:2019-08-28 18:44:58    来源:www.xiandaishangye.cn    浏览次数:    杂志首页    我来说两句()

 

陈宬旭
 中国人民银行太原中心支行  山西太原  030001 
摘 要:随着科学技术突飞猛进的发展,征信系统接入机构面临的征信信息安全形势越发严峻。本文分析了当前征信安全面临的难题与挑战,指出接入机构征信合规及信息安全工作存在的问题,并针对性地提出了征信信息安全体系构建措施,旨在权衡发展与风险之间的关系,切实保障征信信息安全。
关键词:征信;信息安全;措施
中图分类号:F832.4    文献标识码:A    文章编号:1673-5889(2019)22-0148-02
 
    征信系统接入机构是指向金融信用信息基础数据库提供或者查询信息的机构。征信信息安全是征信领域人民群众最关心最直接最现实的利益问题,也是当前世界各国共同面临的难题与挑战。面对快速演变、无孔不入的黑色灰色利益链条和信息犯罪手段,面对新技术新市场对征信业的新需求,征信风险防控面临新的考验。
 
一、当前征信信息安全工作面临严峻形势
从国际上看,面对互联网、大数据时代信息犯罪链条的冲击,即使国际领先的互联网企业和征信机构也难以幸免。2017年下半年,美国最大的跨国个人征信机构艾可飞(Equifax)遭遇网络黑客攻击,该公司数据库中约1.46亿美国人、40万英国人和8千名加拿大人的身份信息及部分信用卡信息被泄露。该事件引发消费者团体数千亿美元的天价索赔,目前,美国有关征信监管当局、联邦调查局(FBI)和近40个州都介入调查。2018年,“脸书”(Facebook)公司又爆发了8700万用户信息泄露事件,造成重大损失和严重影响,公司市值已经下跌20%之多,还面对欧盟的质询和国际社会的质疑,公司声誉严重受损;前不久,“脸书”又一次遭遇了大规模数据泄漏,近5000万用户的账户可能遭遇入侵、甚至盗用,这已是这家公司2018年第二次遭遇用户数据泄露。2018年10月3日,位于爱尔兰的“脸书”欧洲总部也开始对本次事件展开调查,爱尔兰数据保护委员会正在考虑对“脸书”进行处罚,理论上讲,这一漏洞可能违反欧盟新的通用数据保护规定,如果“脸书”被发现没有采取适当措施保护用户数据,它将面临16.3亿美元的罚款。
在此背景下,世界主要经济体都进一步加强了个人信息保护,2018年5月25日,欧盟《通用数据保护条例》(GDPR)正式生效,使得欧盟对个人信息的保护达到了前所未有的高度。该《条例》具有域外适用性,适用于所有处理居住在欧盟范围内的信息主体个人数据的公司,而不考虑这些公司的位置在哪里。换句话说,即便处理个人信息的公司设立在中国,但只要处理的信息与欧盟公民有关,就可以适用。而且,按照就高原则,违反《条例》导致的罚款可高达公司全球营业额的4%或2000万欧元。在我国,2018年5月1日,《个人信息安全规范》正式实施,规范的发布及时地填补了我国个人信息保护诸多技术细节和实操领域的规范空白。
从国内看,一方面,面对P2P网贷、小贷快速膨胀的征信数据需求,国内征信市场恶意竞争、乱办征信、倒买倒卖数据等种种乱象滋生,扰乱征信市场秩序,处处潜伏着征信信息泄露的炸弹。另一方面,网络信息黑灰产业加速蔓延,利用互联网技术进行偷盗、诈骗、敲诈等的各类违法犯罪案件每年以30%的速度增长。2017年我国因个人信息泄露造成的经济损失已超过千亿元。2018年,浙江绍兴警方成功侦破一起大规模公民数据窃取案,一家上市黑产公司在运营商服务器中布置恶意采集程序,非法获取高达30亿条的公民信息,通过操控相关用户的微博、微信等社交平台账号进行非法获利。2018年年底,江苏警方侦破一起网络攻击案件,黑客侵入快递公司信息系统,窃取公民信息1亿条左右。同时,企业征信信息泄露风险也绝对不能忽视,网上黑市交易,一份企业信用报告收入不菲,对犯罪分子极具诱惑,在当前企业信息保护相对薄弱的情况下形成巨大风险隐患。
 
二、接入机构征信合规及信息安全工作存在的问题
(一)内控制度建设及报备方面
    1.内容有待更新。(1)个别机构对不适用条款未做更新,异议处理日期仍为15天;(2)个别机构征信管理制度中仍有贷款卡管理相关内容。
    2.分行级别征信管理制度缺失。个别机构未建立个人和企业征信分行级别配套制度。
3.征信管理制度有待健全。个别机构未制定贷后风险管理查询个人信用报告的内部授权制度,未建立系统管理员口令封存制度,存在一定风险隐患。
    4.制度未报备。个别机构未按规定将制度报当地人民银行备案和变更备案。
   (二)岗位设置及用户管理方面
1.用户管理有待加强。(1)部分机构查询员岗位发生变更后未及时进行用户变更;(2)极个别用户存在非正式员工担任个人查询用户现象;(3)个别机构查询用户未能实名使用;(4)用户变动后未能按照要求及时向人民银行征信管理部门备案。
2.用户管理的操作流程不够规范。个别机构企业、个人征信系统用户的创建、停用、用户信息的修改和密码的重置等操作行为没有履行有效的内部审批手续,无书面记录。
   (三)信息报送方面。
1.个别机构数据报送不准确、不及时。
2.征信信息存在安全隐患。个别机构未安排专人负责数据报送工作,接触征信信息的人员范围过于广泛;有的未设置A、B岗导致工作衔接不到位。
   (四)信息查询和使用方面。
1.存在违规查询问题。(1)在进行个人信用报告查询操作时,选取了与实际用途不符的查询原因;如:实际为审批客户贷款,选取的查询原因却为“信用卡审批”、“特约商户实名审查”等;(2)存在先查询后授权现象。信用报告查询日期在授权书签订之日前;(3)违规补写日期。个别机构违规补填授权日期,致使授权书上的授权日期早于授权书本身打印日期;(4)违规涂改授权日期。个别机构存在随意涂改授权日期的现象;(5)无授权查询。极个别机构信用报告查询无法提供授权书;(6)授权书无身份证号或身份证号填写有误。
    2.业务文本要素不完整。(1)授权用途不明确,存在查询授权书中的查询用途不勾选或全勾选的情况;(2)查询授权书未填写授权日期;(3)企业信用报告查询授权书未加盖企业公章和无法人代表签章;(4)被授权单位不明确,个别机构的被授权单位过于宽泛,容易引起法律风险。
3. 授权书使用不规范。个别机构同时使用多种版本授权书,存在授权书文本使用不合规的现象。
4.授权书格式条款未尽提示义务。个别机构企业信用报告查询授权书格式合同中“采集信息主体信用信息并向金融信用信息基础数据库报送(包括不良信息)”条款相关内容未以醒目字体标注,不足以引起信息主体注意。
    5.线上业务征信查询提示不明确。个别合作渠道的产品(如“360借条”)在线获取信息主体征信查询授权时,对于查询主体的提示不够明确和显著,导致个别被查询人对查询记录提出异议。
   (五)异议处理方面。
1.异议处理不及时。个别机构不能及时查看异议处理子系统,异议处理出现超期现象。
2.未按规定进行异议标注。个别机构对异议处理流程掌握不到位,异议处理期间未做相应异议标注。
3.异议结果没有书面答复异议人。个别机构以电话告知的方式答复异议人,未留存书面回复函。
   (六)不良信息告知方面。
1.部分机构对未开通短信提示功能的客户进行不良信息告知时,相关告知手段无充足证据证明;
2.不良信息报送告知用词不规范。如,短信内容为“您申请的**(产品)未按时还款,逾期信息将会上报中国人民银行征信中心,届时将会影响您的其他贷款申请”。未明确告知客户逾期的详细情况,也未明确告知客户不良信息是报送至金融信用信息基础数据库。
   (七)信息安全方面。
    1.信息安全管理存在漏洞。个别机构征信查询前置系统未能实现对查询操作的实际控制。
    2.未对个人信用报告本地存储进行安全管理。个别机构未建立信用报告本地存储安全管理制度,系统中保存的客户信用报告可以随时查看。
    3.个别机构自查工作本身不够深入,流于形式,未发现风险泄露点。
   (八)档案管理方面。
    1.存档资料不完备。(1)企业更名后,未将相关更名证明资料留存,使得授权书企业印章与后台数据不一致;(2)未将首次授权书归档保存,使得早期查询行为无“据”可依;(3)查询登记簿存在漏登、错登现象。
2.未建立征信档案管理制度。个别机构拒贷客户档案未统一保管或归档管理,授权书由客户经理自行留存,且客户经理离职后未移交相关拒贷客户档案资料。
3.未建立电子档案管理规定。大多数机构未对电子授权、影像等电子档案进行规范管理。
 
三、征信信息安全体系构建措施
现阶段征信工作的当务之急、重中之重是确保征信信息安全。结合征信安全管理实际,各类接入机构需要从以下几方面重点突破:
一是,建立完善征信内控制度,强化责任追究。各类接入机构要按照有利于规范业务流程、有利于保障信息主体权益、有利于防范信息风险的原则,依据征信相关法律、法规和规范性文件,全面梳理内控制度,排查制度漏洞,建立健全征信合规管理制度和操作规程,逐步形成职责明晰、监督有效、风险可控、惩戒严格的征信业务内控制度体系;要按照征信合规管理要求建立征信信息安全责任追究制度,切实做到“定责、明责、问责、追责”。
二是,严防死守,密切防范信息安全新的风险点。各接入机构要不断优化升级征信业务相关信息系统,发挥征信查询前置系统在防范征信信息安全方面的技术优势,推进业务触发式查询,实现信用报告脱敏展示、结构化展示和自动解读,从严控制信用报告打印,从查询和使用环节降低征信信息泄露风险。涉农金融机构在参与建设中小微和农村信用体系时,集中采集和掌握了大量的个人信息和企业信息,这些数据虽然没有与征信中心互联互通,但也是征信信息风险防控的重点,是新的风险点,要加强安全管理。近期市场上出现了非法征信查询App,这些App开发商利用向客户提供信用报告的同时,自动留存大量个人信用信息,给征信信息安全带来了很大的安全隐患,各类接入机构要密切关注并严格禁止市场机构开发的征信查询App接入金融信用信息基础数据库,严禁向社会征信机构提供移动端查询App接入征信系统服务。
三是,高度重视征信异议工作,切实维护信息主体权益。信息主体提出异议和投诉是《征信业管理条例》赋予的权利,是维护信息主体合法权益的体现。各类接入机构要将异议处理流程化系统化,配合人民银行做好征信投诉工作,严格按照规范流程做好异议和投诉的受理、核查和答复各项工作,提高异议和投诉处理效率。
四是,加大征信合规教育力度,增强征信信息安全防范意识。征信信息安全工作靠制度、靠技术,但关键在人,如果人的思想认识不到位,就会导致执行不到位,安全事件就会不断发生。各类接入机构要建立征信从业人员的合规教育制度,通过内部培训、上岗前考试、集中宣传教育等方式,定期对征信工作负责人和从业人员进行合规教育,强化合规意识、信息安全防范意识和业务能力,确保负责人和从业人员熟悉征信相关法律法规和相关知识,掌握履行岗位职责所需的专业技能,遵循合规性操作要求。
 
 
参考文献:
[1]王锦云.试谈新形势下征信信息的安全管理[J].征信,2017,(1).
[2]赫明刚.当前征信信息安全管理中存在的问题及对策探析[J].征信,2018(12).
分享到:
责任编辑:
>> 相关文章
    无相关信息
   发表评论 共有条评论
用户名: 密码: 验证码:
匿名发表
杂志目录