标本兼治,切实保障征信信息安全
来源:《中国征信》2018年第3期。
征信信息安全对于保护个人合法权益、维护国家金融安全具有重要意义。近年来个人征信信息泄露案件高发、多发,征信信息安全面临的形势异常严峻。抓好征信信息安全工作,要科学处理好治标和治本的辩证关系,按照“标本兼治、重在预防”的思路,在严打征信泄露案件的基础上,注重源头治理和事前预防,建立健全稳固的征信信息安全体系。
提高认识,把信息安全作为征信工作的重中之重
金融信用信息基础数据库是我国重要的金融基础设施,信息安全是系统稳定运行的根本。2017年人民银行在银行系统内公开通报了两起银行工作人员涉嫌泄露、倒卖个人征信信息的典型案件,新闻媒体也接连报出银行内部人员非法查询、泄露个人信用报告事件,违规查询泄露个人信息不仅严重侵害信息主体合法权益,危及信息主体的生命和财产安全,也给国家金融信用信息基础数据库以及商业银行形象造成了极大负面影响。
此类事件的发生,虽然有社会各方面对征信信息需求活跃等客观因素,但主因是部分接入机构对征信信息安全工作重视程度不够、安全管理存在死角,机构管理人员和从业人员对信息泄露风险的危害性认识不到位。习近平总书记在十九大报告中强调“使人民获得感、幸福感、安全感更加充实、更有保障、更可持续”,第五次全国金融工作会议强调要“强化个人隐私、涉密信息数据保护”。因此,要切实转变观念,提高认识,深刻把握当前征信合规管理形势的严峻性、复杂性,切实增强责任感、紧迫感、使命感,重点围绕违规查询和信息泄露问题,扎扎实实地抓好征信信息安全管理工作。
强化监管,打造保障征信信息安全的尖刀利器
征信信息安全既要治标也要治本。严监管是治标,就是充分利用监管手段,对信息泄露等征信信息安全违法事件进行严管重罚,通过更加严格的监管执法,高悬惩戒“利剑”,对征信安全乱象形成强力震慑。
一是从严惩处违法案件。征信信息安全问题影响恶劣、社会反响强烈,惩治必须坚持猛药去疴、重典治乱。人民银行各级行要充分发挥执法工作的“尖刀”作用,敢于亮剑,敢于动真碰硬,从重追究责任,绝不手软。对于严重违规的接入机构,要按照法律高线从严掌握处罚力度,并通过调整查询权限、取消查询费优惠等经济手段,加大违法机构和人员的违规成本,进一步增强查办案件的震慑力,着力构建接入机构和征信从业人员“不敢违法”的惩戒机制。
二是有效提升监管效能。现场检查是监管的重要抓手,要充分发挥现场检查的“拳头”作用,要重点围绕违规查询和信息泄露问题,变“抽样检查”为“全部检查”,实现被检查对象和业务范围的“全覆盖、无禁区”,让征信违规查询没有藏身之地。要善于利用统一进场等检查组织方式,进一步提高现场检查的规范性和工作质量。同时,要充分发挥非现场监测在风险识别判断、监管行动制定和实施中的核心作用,为接入机构分类监管提供依据,为现场检查提供线索,实现对接入机构征信业务的经常、审慎、有效监管。
三是对创新业务要“先规范、后发展”。近年来,不少商业银行与第三方机构开展征信业务创新,合作对象既有传统金融机构,也有互联网金融公司和大数据公司,合作内容涉及征信数据报送、信用报告查询和提供使用等方面,其间数据交互范围扩大、制度约束不清、权利责任不明,蕴含了较大的数据安全风险和查询使用风险。征信信息行业不同于其他行业,绝不能走“先发展、后规范”的路子,而要“先规范、后发展”,要主动加强研究,对其中的风险进行调研论证并采用相应的风控措施,不能等到出了风险再整治。
有的放矢,构建行之有效的征信信息安全体系
严管重罚只是手段,治标是为促进治本,即倒逼金融机构落实主体责任,严格征信信息安全管理,在制度、机制、流程上筑牢安全防线。征信属于信息服务行业,征信数据从采集到使用链条长、环节多,稍有懈怠就容易出现纰漏和风险。因此要通过“人防”和“技防”等多种手段,切实保障征信信息安全。
一是着力依托科技手段变“事后处理”为“事前预防”。征信信息具有易复制、传播快的特性,征信信息一旦泄露,扩散的范围和最终的用途难以控制,可能引起的后果也不可预知。因此,征信信息安全管理最主要的是事前预防,而不是“事后灭火”。相对于传统的“人防”,信息安全工作需要更多地依赖现代信息技术等“技防”手段。相对于功能完善、管理健全的资金业务系统,当前接入机构征信业务技防系统建设滞后、功能较弱,安全防护措施差距较大,部分违法分子就是利用网络科技和业务系统上的漏洞,大肆非法查询、下载并向外转移个人征信信息。各接入机构要加强完善、创新技防手段和方法,积极采取对个人信用信息等敏感数据进行加密和脱敏等方式,从源头和根本上减少个人信用信息在存储、处理、传输、使用等环节外泄的风险。
二是开展征信信息安全专项治理行动。前期的案件充分暴露出接入机构制度不健全、业务系统功能存在漏洞、安全防护措施缺乏等问题。要通过征信信息安全专项治理行动,全面检验接入机构特别是针对中小接入机构制度建设、工作机制、业务系统和流程设计、网络科技防护等方面的问题及风险隐患。同时,制定出台接入机构征信业务规范操作指引、技术标准,引导接入机构完善征信业务相关制度、流程,促进征信业务活动规范开展。
三是筑牢征信信息安全的思想防线。征信管理人员和从业人员信息安全意识和法律意识不足,是案件频发的重要诱因。有的对征信风险的危害性认识不到位,还未将维护个人征信信息安全提升到防范法律风险的高度;有的安全意识欠缺,导致征信系统用户和密码信息被盗用或被不法分子骗取,继而引发征信信息泄露案件;有的责任意识不够,不能严格执行审查复核制度、安全管理制度,导致征信安全案件发生。《网络安全法》和《关于侵犯公民个人信息刑事犯罪司法解释》已于2017年6月正式实施,利用职务之便非法出售或对外提供25条个人征信信息,即触犯刑法。要树立法律底线思维,不断提高接入机构征信管理人员和从业人员的法律意识、信息安全意识和责任意识,着力构建“不想违法”的自律机制,切实防范人员的道德风险。
党建统领,全面推动征信信息安全各项工作
坚持党对一切工作的领导,坚持全面从严治党,是新时代中国特色社会主义的基本方略。一是要以习近平新时代中国特色社会主义思想为指导,切实增强“四个意识”,以党建为统领,进一步强化各级党委对征信信息安全工作的领导,始终坚持正确的政治方向。二是充分发挥党建引领业务发展的优势,提升征信信息安全工作的政治站位,统筹抓好党建工作和征信信息安全工作,增强“两手抓,两手都要硬”的能力,健全征信信息安全各项工作机制,切实防范征信信息泄露。三是坚持党管干部、党管人才原则,为信息安全工作提供坚实保障。党员领导干部要发挥表率作用,守土有责,带好队伍、管好人员。要进一步加强征信队伍建设,尤其是加强基层干部队伍建设,提升履职能力,建设一支政治过硬、作风优良、业务精通的高素质征信人才队伍。
