人民银行征信信息安全管理中的风险分析与防范

人民银行征信信息安全管理中的风险分析与防范

康阳

一、研究背景

近年来，随着国家信用体系建设的不断完善，信用报告成为人们经济生活中的“身份证”。加强征信信息安全管理既是推进征信信息体系建设的重要环节，也是基层央行履职必然要求。目前，人民银行各级分支机构肩负征信管理和征信服务双重职责，个人征信信息查询、异议、投诉和对辖内机构执法检查是征信管理部门的主要工作职责，一方面具有法律层面的信息安全风控要求，另一方面具有社会层面的声誉影响的效应。本文以人民银行X市中心支行征信信息安全审计为例，从现场审计的视角，阐述目前基层行征信业务存在的风险，提出合理的改进建议，以促进征信部门有效履职，规范征信市场管理，实现管理工作规范化，为征信业务取向和内审工作转型提供参考。

二、征信信息安全管理中的风险分析

(一)问题阐述

征信信息安全管理主要涉及系统用户管理、信息查询、异议和投诉管理、系统接入和注销管理、对接入机构的监督管理等五项业务，审计过程中发现这几项业务均存在着不同程度的安全隐患，对其中一些审计重点和普遍问题，下面一一阐述之。

1、用户管理不规范。一是用户停用不及时。以X中支为例，某员工于2016年10月调离，至2017年2月才止用其用户权限，离岗到停用间隔时间最长超过5个月。二是用户密码管理不到位。用户密码为生日、略缩语、电话号码等易知常用的数字，并将用户名及密码记录在纸上，保存在未锁闭的办公桌内，用户超期未修改密码等现象比较普遍。三是存在用户混用情况。借用他人账号办理个人征信查询业务的情况时有发生。

2、资料审核不严。一是使用无效身份证件。部分个人临柜查询使用的身份证为一代身份证或已过有效期，操作人员未认真查验、比对身份信息；二是协查函、介绍信或保密承诺书不规范。国家机关查询和单位统一查询提供的协查函、介绍信或保密承诺书均未记明查询人数，提供的查询名单也未加盖单位公章。

3、征信数据安全管理不到位。一是用于征信检查的历史抽取数据清除不及时；二是用于接收分中心下发的质量核查、异常核查等数据的业务网邮箱管理不严，由多人共用；三是征信档案中留存纸质信用报告。

4、设备维修管理不到位。一是签订设备采购合同中，未明确维修保密条款；二是未使用指定维修商；三是维修人员现场维修时，征信管理部门未每次都到场监督。

5、行政处罚任意性较大。对行政执法检查中发现的问题未进行妥善处置，对法律明文规定的特定事项的行政罚款数额随意增减。

(二)风险分析

1、用户管理漏洞，能轻易被别有用心的铤而走险者利用，此种情境下操作员容易违背职业道德进行违规查询，一旦实施，就会触发利益驱动下的道德风险。

2、资料审核不严，无法排除个人捡拾他人丢失证件进行查询的情况，同时批量查询资料不完善也存在变更、增加或减少查询主体的可能，这些均有可能因冒名查询而招致客户投诉或起诉，引起法律纠纷。

3、数据使用和设备维护不当，一方面不利于明确数据安全管理责任和风险控制，另一方面由于自助查询机能够缓存当日的信用报告，维修人员可以轻易对留存数据进行复制、转移，稍加利用，便会暴露出极大的数据泄露风险。

4、行政处罚恣意，意味着在没有任何适当理由和法律依据的情况下滥用自由裁量权，不仅反映了从业人员个人的执业能力和依法行政水平不高，而且会从社会层面贬损人民银行的声誉，引发舆论风险。

三、征信信息安全管理中的风险防范

(一)加强用户管理，提高安全管理水平。

进一步明确管理员用户、数据上报用户和信息查询用户的职责及操作规程，将责任落实到人，坚决杜绝公共用户和用户兼任的现象，人员流动之后及时办理用户停用和变更。加强管理员用户和查询用户的密码管理，密码设置为字母加数字并进行封存，并按规定定期修改密码。同时，加强用户管理和考核，努力提高征信安全管理水平。

(二)实行人机联控，堵住人工操作漏洞。

因人工操作疏漏无法从根本上杜绝，可减少人工操作，充分利用二代身份证阅读器等电子设备，实现二代身份证信息自动读取，增强对身份信息资料的防伪辨识能力，提高查询工作效率。将自助设备和电子设备认证作为主要信息比对和业务办理方式，仅对一些机器无法识别或办理的特殊情况开放人工临柜查询。“人机联控”措施遏制了客户不到场查询风险，对非本人查询产生震慑力，同时对事后监督检查留下头像核对和身份信息核查凭据。在“人机联控”制度模式下，既强化了监管，又可缓解基层央行征信人手紧张的局面。

(三)加强信息安全管理，确保敏感数据保密。

严格执行保密制度，对涉密的敏感数据，首先，应当限定 专机IP和访问时间，上班开机，下班关机，工作时段临时离柜需退出用户登录；其次，确保查询专机与互联网物理隔离，并封闭主机优盘接口，业务用机严禁配置刻录光驱；同时，可配置屏幕干扰器，防止用手机拍照的方式窃取屏幕显示的涉密信息，尽可能阻断向外交换传递泄露信息的渠道。

(四)严格规范执法程序，维护央行社会声誉。

首先，在日常工作中要加强人员培训和依法行政制度学习，严格执行制度规定，增强权责法定的意识，提高依法行政的执业能力，杜绝越位甚至乱作为，既要勇于负责和担当，又能合理充分行使自由裁量权。其次，要加强征信宣传教育，增强金融机构和社会公众对征信工作的认知度和认同感，培养信用意识、培植信用需求、培育信用环境，引导全社会支持征信体系建设，提高央行履职效能。

(中国人民银行张家界市中心支行，湖南 张家界 427000)