浅谈个人金融信息泄漏的主要原因及保护对策

郭伟

摘要：随着我国科学技术水平的飞速发展，我国金融业的网络化程度和虚拟化程度也越来越高，个人财产安全和信息安全也联系的更加密切了。对于广大人民群众的财产来说，银行是其主要的管理者，负有重要的责任和义务。然而近些年来却相继出现了多起公民个人信息的泄漏事件，可见银行在保护个人金融信息安全的工作中是存在着问题的，我们应及时采取有效的改善措施，从而真正地提升个人金融信息的安全性。

关键词：个人金融信息 泄漏原因保护对策

中图分类号：F830

文献标识码：A

文章编号：1004-4914（2016）07-057-02

一、个人金融信息泄漏的主要原因

（一）对于个人金融信息来说，银行所建立的制度不完善，管理者风险意识较差

首先，现阶段银行还没有完全的认识到个人金融信息是银行自身的重要财产，其对于银行的声誉以及客户的隐私保护都是有重要影响的，没有认识到个人金融信息的泄漏也是银行的一种重要风险，在银行的整体风险框架中并没有纳入个人金融信息的保护工作。其次，现阶段，我国的很多银行所实行的个人信息的保护制度都还是不健全的，其主要是分散在不同业务的管理制度中，体系不完善，不能有效的覆盖到每一个工作环节中，如信息的管理、采集以及销毁等。

（二）银行内部所建立的管理体制不健全，忽视了对信息系统的建设和管理工作

现阶段，我国的很多银行还没有建立完善的对客户个人金融信息的信息管理系统，针对这一工作，银行内部的各个业务部门各自为政，信息系统中的信息是相互独立的，无法实现统一管理。在内部控制的环节中，负责公民个人信息保护工作的人员专业素质偏低，保护的职能无法得到充分发挥。同时内部检查监督的力度也是很弱的，没有形成专门的检查体系，在常规性的检查工作中也都没有纳入这项内容。对信息查询的跟踪审计能力也是很弱的，银行系统无法全程跟踪客户个人信息的使用过程。

对于银行的各类信息系统，现阶段还没有有效的管理银行存储个人信息的系统，无法高效的整合并统一管理个人信息。实际的情况是银行的个人金融信息几乎都存在于不同的业务环节中，如存款、银行卡、网上银行以及支付结算等，这些业务是属于不同的部门的。并且其信息系统也各不相同，那么就会出现很多信息孤岛，大大的增加了个人金融信息的保护难度。其具体体现在两个方面，首先是无法严格控制系统查询信息的权限，很多时候都能获得更多权限的信息；其次是没有有效管理所应用系统的数据变形工作，针对这一内容也没有相应的规范和制度，那么这一工作就有很大的随意性。

（三）监管部门的监督和管理力度不够

我国的相关部门对于银行业个人金融信息保护工作已经下发了相关文件。但实际上却并没有取得良好的效果。我国监管部门对银行个人金融信息保护的监管工作仍在起步阶段，其具体表现为以下几个方面：第一，监管工作还没有形成较为完善的制度体系，可操作性也是较差的，而银行业的监管方面的法律法规也还没有覆盖到各类业务中，对于存款储蓄业务、网上银行业务以及信用卡业务等，只是做出了一些简单的规定。还无法保证客户个人金融信息的收集、保管和销毁等业务流程的规范化。并且大多数规定也都是一些原则性的内容，没有具体的条款，可操作性很差。第二，监管工作的针对性很差。一些文件虽然对客户个人信息的管理和保护工作做出了规定，但其监督和管理的最主要内容仍是反洗钱这一内容，并不是针对客户个人信息的保护工作。

（四）对支付服务机构和商户的管理工作缺乏有效制约

从银行的角度来看，个人金融信息的落地主体就是商户和第三方支付机构，那么其就有义务来保护客户的个人金融信息，然而实际的情况却是，银行还无法规范的监督和管理第三方的支付服务机构和所签约的商户。银行与他们所签订的合作协议并不完善，在协议中也没有明确地说明个人金融信息传输和使用时的权责关系，无法采取行之有效的保护手段，对他们的管理工作做的不到位。现阶段也还无法有效的监管新型的支付服务机构，在利益因素的驱使下，新型的支付服务机构和商户已经成为了泄漏个人金融信息的最主要群体，而对于这类机构，我国所实行的监督和管理体制还不是非常健全。

二、个人金融信息保护的建议与对策

（一）银行方面必须提升安全意识。完善制度，做好对个人金融信息生命周期的管理工作

第一，做好内控的建设工作。从银行的角度来看，针对其所有客户的个人金融信息应不断完善其管理制度，对与个人金融信息相关的每一个工作环节都应做出明确的规定，从而尽可能的提升客户个人信息的安全程度。同时应健全银行内部的控制制度，针对信息安全工作的相关流程进一步细化，将管理的责任落实到每一个岗位上，统一的管理客户个人的电子信息和纸质信息，严格审批和管理信息的查阅、拷贝和下栽等各项操作。第二，应做好对信息系统的建设和管理工作。首先，在数据大集中的基础上，银行应不断地完善电子信息系统。秉持以客户为中心的理念，整合所有客户的个人金融信息，实现统一的保护和管理工作。其次，银行应提高自身的工作能力。每一类银行都是有各自的信息系统，那么就应定期的评估这一系统可能会出现的技术风险，应用更加科学的防火墙、数字签名、数据加密、网络安全监控等技术，避免系统受到外部的攻击，保证信息系统的安全性。最后，重视对员工的管理工作。银行应定期地为员工安排相关的培训课程，提高他们的专业素质，并让他们认识到做好保密工作的重要性，强化其法律意识，同时做好对内部重要部门和涉密部门员工的管理工作。消除一切可能出现的风险隐患。

（二）应不断完善监管工作的相关规范制度，真正做好银行行业对个人金融信息保护的监督和管理工作

首先，应将个人金融信息的保护工作纳入到银行的总体风险监督管理框架中，相关的负责部门应充分考虑到各类法律文件对于这一工作的原则性规定。根据这些规定制定更加完善的保护规范和制度，对予客户个人金融信息保护工作的相关内容做出明确的规定，如信息的收集、使用和保密等内容，当出现了违规泄漏银行客户个人信息的情况时，经调查如果确实对社会造成了不良影响或是给客户带来了巨大的损失，那么就应视情节的严重程度给予相应的处罚和监管措施。其次，在我国的银行行业中，应充分的发挥出标准化委员会的管理职能，坚决实行所制定的保护标准和规范，不断的健全银行行业对金融客户个人信息保护工作的机制和制度，从而提升这些监管机构管理客户个人金融信息的效果。还应做好对银行个人金融信息保护工作的非现场监测工作和现场检查工作，确保银行能够做好信息系统的安全管理和对客户个人金融信息数据库的营销管理工作，有效杜绝个人金融信息被滥用或是盗用情况的出现。

（三）国家层面应加速立法的进程，做好对相关法律法规文件的宣传工作，提高全民的个人信息保护意识

我国的相关部门应尽快的建立一套更加完善并且系统的个人信息保护的法律规范制度，确保个人金融信息的保护工作有章可循、有法可依，如可以建立行业监督和管理体制，建立个人金融信息查询的相关方法和规范，进一步完善征信监管主体的法规制度和信息主体权益保护的法规制度等；其次，应设置专门的信息资源管理部门，从而更具针对性地监督使用个人信息的个人和团体；最后，应提升全面的个人信息保护意识。重点做好对这一内容的宣传和教育工作，可以通过开展丰富多彩的宣传活动来引导民众认识到个人信息保护工作的重要性，提升自身的防范意识。

公民个人金融信息的泄漏会使一些不法的分子获取到大量的个人信息，同时也可能成为其他诸多类型犯罪的导火索。因此，我们应深入地研究导致个人金融信息泄漏事件出现的各种原因，同时针对这些原因制定出更具针对性的个人金融信息的保护措施，消除各类风险隐患，从而最大限度地保证我国公民个人金融信息的安全性，促进金融行业的健康发展。