人民銀行征信信息安全管理中的風(fēng)險分析與防范

康陽

一、研究背景

近年來，隨著國家信用體系建設(shè)的不斷完善，信用報告成為人們經(jīng)濟生活中的“身份證”。加強征信信息安全管理既是推進征信信息體系建設(shè)的重要環(huán)節(jié)，也是基層央行履職必然要求。目前，人民銀行各級分支機構(gòu)肩負征信管理和征信服務(wù)雙重職責(zé)，個人征信信息查詢、異議、投訴和對轄內(nèi)機構(gòu)執(zhí)法檢查是征信管理部門的主要工作職責(zé)，一方面具有法律層面的信息安全風(fēng)控要求，另一方面具有社會層面的聲譽影響的效應(yīng)。本文以人民銀行X市中心支行征信信息安全審計為例，從現(xiàn)場審計的視角，闡述目前基層行征信業(yè)務(wù)存在的風(fēng)險，提出合理的改進建議，以促進征信部門有效履職，規(guī)范征信市場管理，實現(xiàn)管理工作規(guī)范化，為征信業(yè)務(wù)取向和內(nèi)審工作轉(zhuǎn)型提供參考。

二、征信信息安全管理中的風(fēng)險分析

(一)問題闡述

征信信息安全管理主要涉及系統(tǒng)用戶管理、信息查詢、異議和投訴管理、系統(tǒng)接入和注銷管理、對接入機構(gòu)的監(jiān)督管理等五項業(yè)務(wù)，審計過程中發(fā)現(xiàn)這幾項業(yè)務(wù)均存在著不同程度的安全隱患，對其中一些審計重點和普遍問題，下面一一闡述之。

1、用戶管理不規(guī)范。一是用戶停用不及時。以X中支為例，某員工于2016年10月調(diào)離，至2017年2月才止用其用戶權(quán)限，離崗到停用間隔時間最長超過5個月。二是用戶密碼管理不到位。用戶密碼為生日、略縮語、電話號碼等易知常用的數(shù)字，并將用戶名及密碼記錄在紙上，保存在未鎖閉的辦公桌內(nèi)，用戶超期未修改密碼等現(xiàn)象比較普遍。三是存在用戶混用情況。借用他人賬號辦理個人征信查詢業(yè)務(wù)的情況時有發(fā)生。

2、資料審核不嚴。一是使用無效身份證件。部分個人臨柜查詢使用的身份證為一代身份證或已過有效期，操作人員未認真查驗、比對身份信息；二是協(xié)查函、介紹信或保密承諾書不規(guī)范。國家機關(guān)查詢和單位統(tǒng)一查詢提供的協(xié)查函、介紹信或保密承諾書均未記明查詢?nèi)藬?shù)，提供的查詢名單也未加蓋單位公章。

3、征信數(shù)據(jù)安全管理不到位。一是用于征信檢查的歷史抽取數(shù)據(jù)清除不及時；二是用于接收分中心下發(fā)的質(zhì)量核查、異常核查等數(shù)據(jù)的業(yè)務(wù)網(wǎng)郵箱管理不嚴，由多人共用；三是征信檔案中留存紙質(zhì)信用報告。

4、設(shè)備維修管理不到位。一是簽訂設(shè)備采購合同中，未明確維修保密條款；二是未使用指定維修商；三是維修人員現(xiàn)場維修時，征信管理部門未每次都到場監(jiān)督。

5、行政處罰任意性較大。對行政執(zhí)法檢查中發(fā)現(xiàn)的問題未進行妥善處置，對法律明文規(guī)定的特定事項的行政罰款數(shù)額隨意增減。

(二)風(fēng)險分析

1、用戶管理漏洞，能輕易被別有用心的鋌而走險者利用，此種情境下操作員容易違背職業(yè)道德進行違規(guī)查詢，一旦實施，就會觸發(fā)利益驅(qū)動下的道德風(fēng)險。

2、資料審核不嚴，無法排除個人撿拾他人丟失證件進行查詢的情況，同時批量查詢資料不完善也存在變更、增加或減少查詢主體的可能，這些均有可能因冒名查詢而招致客戶投訴或起訴，引起法律糾紛。

3、數(shù)據(jù)使用和設(shè)備維護不當，一方面不利于明確數(shù)據(jù)安全管理責(zé)任和風(fēng)險控制，另一方面由于自助查詢機能夠緩存當日的信用報告，維修人員可以輕易對留存數(shù)據(jù)進行復(fù)制、轉(zhuǎn)移，稍加利用，便會暴露出極大的數(shù)據(jù)泄露風(fēng)險。

4、行政處罰恣意，意味著在沒有任何適當理由和法律依據(jù)的情況下濫用自由裁量權(quán)，不僅反映了從業(yè)人員個人的執(zhí)業(yè)能力和依法行政水平不高，而且會從社會層面貶損人民銀行的聲譽，引發(fā)輿論風(fēng)險。

三、征信信息安全管理中的風(fēng)險防范

(一)加強用戶管理，提高安全管理水平。

進一步明確管理員用戶、數(shù)據(jù)上報用戶和信息查詢用戶的職責(zé)及操作規(guī)程，將責(zé)任落實到人，堅決杜絕公共用戶和用戶兼任的現(xiàn)象，人員流動之后及時辦理用戶停用和變更。加強管理員用戶和查詢用戶的密碼管理，密碼設(shè)置為字母加數(shù)字并進行封存，并按規(guī)定定期修改密碼。同時，加強用戶管理和考核，努力提高征信安全管理水平。

(二)實行人機聯(lián)控，堵住人工操作漏洞。

因人工操作疏漏無法從根本上杜絕，可減少人工操作，充分利用二代身份證閱讀器等電子設(shè)備，實現(xiàn)二代身份證信息自動讀取，增強對身份信息資料的防偽辨識能力，提高查詢工作效率。將自助設(shè)備和電子設(shè)備認證作為主要信息比對和業(yè)務(wù)辦理方式，僅對一些機器無法識別或辦理的特殊情況開放人工臨柜查詢?！叭藱C聯(lián)控”措施遏制了客戶不到場查詢風(fēng)險，對非本人查詢產(chǎn)生震懾力，同時對事后監(jiān)督檢查留下頭像核對和身份信息核查憑據(jù)。在“人機聯(lián)控”制度模式下，既強化了監(jiān)管，又可緩解基層央行征信人手緊張的局面。

(三)加強信息安全管理，確保敏感數(shù)據(jù)保密。

嚴格執(zhí)行保密制度，對涉密的敏感數(shù)據(jù)，首先，應(yīng)當限定 專機IP和訪問時間，上班開機，下班關(guān)機，工作時段臨時離柜需退出用戶登錄；其次，確保查詢專機與互聯(lián)網(wǎng)物理隔離，并封閉主機優(yōu)盤接口，業(yè)務(wù)用機嚴禁配置刻錄光驅(qū)；同時，可配置屏幕干擾器，防止用手機拍照的方式竊取屏幕顯示的涉密信息，盡可能阻斷向外交換傳遞泄露信息的渠道。

(四)嚴格規(guī)范執(zhí)法程序，維護央行社會聲譽。

首先，在日常工作中要加強人員培訓(xùn)和依法行政制度學(xué)習(xí)，嚴格執(zhí)行制度規(guī)定，增強權(quán)責(zé)法定的意識，提高依法行政的執(zhí)業(yè)能力，杜絕越位甚至亂作為，既要勇于負責(zé)和擔當，又能合理充分行使自由裁量權(quán)。其次，要加強征信宣傳教育，增強金融機構(gòu)和社會公眾對征信工作的認知度和認同感，培養(yǎng)信用意識、培植信用需求、培育信用環(huán)境，引導(dǎo)全社會支持征信體系建設(shè)，提高央行履職效能。

(中國人民銀行張家界市中心支行，湖南 張家界 427000)