防治银行客户信息泄露思索

近年来，随着电子银行与电子商务的日益普及，银行客户信息泄露现象急剧攀升，银行客户资料惊现闹市垃圾堆、银行把客户资料当成废纸卖给废品收购站、银行向第三方出售客户信息用作商业推广等令人瞠目结舌的新闻报道不绝于耳，不仅给客户造成了资金损失，而且严重影响了银行业在社会公众中的形象。如何有效防止银行客户信息泄露，已经成为摆在我们面前的重要课题。

1信息泄露渠道五花八门

（1）不法分子直接盗取客户信息存储介质一些不法分子利用工作之便，内外勾结，寻找银行或中介公司安全防范工作中的薄弱环节，伺机窃取存有大量客户信息的电脑存储介质，如硬盘、光盘、U盘等，或用移动存储介质从服务器中直接拷贝客户信息。例如，刘某在一家计算机公司工作，其利用为某银行ATM机监控系统进行维护的便利条件，从该监控系统中备份出数十万个客户的银行卡号、姓名等信息，并存入个人携带的U盘中。尔后刘某以“123456”为密码，成功测试出10个客户的银行卡密码，通过伪造信用卡取现近10万元。

（2）黑客非法入侵系统服务器窃取客户信息以金融欺诈为目的的恶意黑客长期耐心地“盯”住银行机构、中介服务机构的系统服务器，一旦发现系统安全漏洞，就伺机植入木马程序，以窃取海量客户信息。按不同的系统，可分为：入侵网络银行服务器，入侵为银行提供数据处理、存储业务的中介公司系统服务器；入侵自动取款机系统服务器。例如，网名为“绝对计划”的梁某在网上下载了一个扫描工具，用来扫描各个网上银行的服务器，寻找漏洞。之后又利用找到的漏洞上传了扫描工具，下载到一个数据库，从中获取了网上银行客户信息，并成功将网银客户的20万元资金盗走。

（3）中介机构等贩卖客户信息受利益驱使，物管、中介公司以及掌握客户资料的航空、医疗、电信等机构的内部工作人员，违反法律法规，无视职业道德和商业伦理，向不法分子贩卖客户信息，以获取非法收益。例如，犯罪嫌疑人易某等向某市物业中介公司非法购买业主信息，包括业主的姓名、电话、购房时间、地址、金额等情况，然后以房管局工作人员的名义给业主打电话，谎称根据国家新政策，业主所买的房子可享受房价总额1％的退税，要求业主用银行卡进行转账，致使12人受骗，金额达30万元。

（4）银行对外出售客户信息引发信息泄露2010年7月《法制日报》披露，光大银行福州分行在未取得客户同意的情况下，擅自与福州都购传媒有限公司签订合同，向其出售信用卡客户资料。另据2010年8月香港金管局对外披露，在港的工银亚洲、花旗等6家银行将超过60万名客户资料转移至非关联第三方做推广用途，并有银行从中收取报酬。

（5）银行员工及关联人员利用工作之便截留客户信息2008年9月《青年报》披露，设在上海的渣打银行分支机构的一名员工王某，利用职务之便盗用一秦姓客户办理个人贷款时向银行提供的身份证、收入证明等复印件，冒用秦某名义到浦东发展银行办理一张信用卡，并利用该信用卡先后透支2.3万元。

（6）银行未妥善管理客户信息导致信息泄露今年2月，《每日经济新闻》发表题为《农行储户资料惊现闹市垃圾堆，隐私信息遭丢弃》的文章，指出在农行某支行附近的垃圾堆旁发现装有至少200位储户家庭住址、电话号码、收入状况等隐私资料的垃圾袋。另据2009年3月《南方都市报》报道，在广东省佛山市某废品收购站内，中国银行佛山某支行印有客户资料的抵押合同和房产证复印件被当成废纸出卖。而早在2006年10月《京华时报》就曾报道，某客户发现招商银行某支行营业厅内的电话查询系统保留了客户身份证号和密码，使得查询者能轻易地看到以往客户的相关数据。

（7）钓鱼式欺诈采用的主要手段是，不法分子首先克隆银行、电子商务、传媒等知名网站，再大量发送声称来自这些机构的欺骗性短信或电子邮件，意图诱使收件人登录克隆网站，骗取用户的敏感信息，如网银或信用卡账号及口令等。例如，今年以来丹东地区有人收到此类短信：您的号码已被央视非常“6＋1”选为幸运网友。登录此网站后，用户被要求填入姓名、网银账号及密码，以确认身份。有人由于缺乏风险防范意识，信以为真，因此泄露了重要信息，导致网银账户资金被盗。

2信息泄露凸显银行管理漏洞

（1）银行客户信息保护机制不完善，违规成本低廉一是客户信息保护制度不健全。银行业金融机构在客户信息保护方面的制度大多为原则性规定，未形成覆盖个人信息采集、保管和销毁等各个工作环节的实施细则，许多银行缺乏信息调阅、查询等信息交接过程的记录，为泄露客户信息埋下了风险隐患。二是内部问责制度缺失。部分银行在构建信息保护制度时，侧重规定员工的保密义务，但对于客户信息保护不力导致损失的责任等并未做出明确规定，也未建立客户信息保护的专项检查制度，低廉的违规成本使得风险隐患不断累积。三是信息不对称使得外部监督机制失灵。由于客户无法及时掌握个人资料被银行不合理使用的情况，这种信息不对称容易引发道德风险，客户无法及时维护自身利益也导致了外部监督的失灵。

（2）信息技术管理的关键环节存在短板，外包第三方疏于管理相比高速发展的电子银行业务，电子银行的风险管理却显得异常薄弱，信息技术管理的关键环节存在诸多短板，诸如信息科技人员配备不足、网银系统验证码过于简单等问题使得信息科技的操作风险压力不断增大。二是银行对外包业务人员行为控制不严，部分外包服务商不具有足够的守法意识与内控能力，在为银行提供服务时可能发生客户信息泄密，使银行面临严重的信誉风险和法律风险。

（3）客户自身金融安全意识淡薄，资料保管不谨慎一是客户在进行网上银行业务操作时，风险防范意识不强。如密码设置简单、缺乏网络病毒防范知识、轻信不明号码发送的短信等都有可能泄露个人信息。二是对印有个人重要信息的资料管理不谨慎。如部分客户在办理业务后，随意丢弃凭条，为不法分子获取私人信息提供了可乘之机。

3信息泄露问题监管困难重重

尽管频繁发生的客户信息泄露问题已经引起银行监管部门的关注，但由于相关法律法规缺乏，加之广泛实施的信息共享机制的先天性缺陷，致使信息泄露监管苍白无力，成效不佳。

（1）信息共享机制难以查证信息泄露源头在我国，电信、交通、教育、医疗、金融等多家单位掌握着个人信息，同时随着网上银行、自助设备交易的普及，消费者进行跨行、跨地区交易时，账户交易信息已存在于其开户银行之外的金融机构。这种多家单位共享信息的格局使得信息泄露查证工作十分困难。

（2）信息披露与信息泄露的边界难以准确判断随着银行间业务合作的深入和个人征信系统的运用，金融机构间共享消费者信息的情况日益普及。另外，政府、司法、税务等部门也要有适当的公民财产知悉权，如何合理把握信息披露的尺度，将是银行业监管面临的新课题。

（3）相关法律法规不健全难以依法监管一是我国尚未出台保护个人信息的专门法律，仅在《民法通则》、《合同法》和《刑法》等法规中简单提及。发达国家银行监管部门对个人信息保护的监管一般是在国家已经成形的法律基础上进行，主要是监管各商业银行对国家法律的执行情况，而目前我国关于个人信息保护的法律建设相对滞后，使得央行、银监会的监管缺乏依据。二是银监会关于个人信息保护的监管规定过于笼统。我国《商业银行法》和《电子银行业务管理办法》中均有关于银行要为客户保密的规定，但这种原则性的规定缺乏可操作性，个人客户在发生信息泄露时经常面临“事前无知情权、事中无选择权、事后无救济权”的状况，处于典型的弱势地位。

4防泄露需多管齐下、标本兼治

（1）健全信息保护法律法规，加大信息泄露问责力度银行客户信息保护是一个系统工程，需要从宪法以及民事、经济、行政和刑事法律等多角度、多层次和多手段进行立法保护。作为银行监督管理部门，一是要借鉴国际经验，制定金融消费者信息保护制度。我国的金融消费者信息保护制度可以借鉴美联储《消费者财务隐私保密最终规则》等相关规定，明确金融机构可以采集的消费者敏感信息、对消费者的隐私保护义务、信息披露程序、使用消费者私人信息的告知义务等。二是加大信息泄露事件的监管力度，提高信息泄露的违规成本。对信息保护方面违规投诉较多的机构，监管部门要加大现场检查、信访核查、实地走访等工作的力度，督促其及时整改问题，防止个人信息非法转让、传播等行为侵害消费者权益，对于问题较为严重的银行要给予严厉的经济处罚和行政问责。三是加强与公安部门的联动，遏制外部犯罪行为。一旦发现侵犯存款人个人信息和资金安全的案件信息，及时移交公安部门，严厉打击不法分子通过非正常渠道获取客户信息进行欺诈或盗取资金的犯罪行为。

（2）引导银行业加强自律，优化信息保护管理流程一是引导银行业机构通过自律公约等形式加强信息保护。如四川省银行业协会47家会员单位在今年3月共同签订《自律公约》，公开承诺严格遵守保护客户隐私权的相关规定，不以任何形式擅自对外泄露或披露客户个人信息资料，引起了良好的社会反响，值得各地学习借鉴。二是督促商业银行完善信息保护的内部管理制度并向客户声明。督促各银行将覆盖信息采集、处理、传输、维护的全流程管理纳入商业银行风险管理过程，明确信息泄露风险控制点，及时更新防火墙、身份识别认证、数字签名等网络安全监控技术，防止恶意窃取客户信息的行为。三是强化外包管理和第三方控制。督促商业银行对外包公司的规模、技术水平、业务保障能力、保密等情况进行全面评估，建立明确的外包业务信息保密措施和监督要求，避免第三方信息泄露给银行造成连带责任。

（3）建立定期的系统测试与维护制度，及时发现并消除IT系统安全漏洞目前，银行IT系统多采用外包形式，有效提高了系统的稳定性与安全性。但信息技术不断升级进步，没有一个系统是绝对安全而没有漏洞的。因此，各商业银行要加大对信息前沿技术的关注度，对网上黑客论坛进行监测，定期用一些恶意软件对系统进行测试，及时发现问题，及时进行维护。

（4）培育专业的IT审计队伍，提升IT系统审计的精准度IT系统任何一点管理上的疏漏或控制上的缺陷，都可能引发巨大的系统灾难，给商业银行带来无法估量的经济损失和声誉损失。因此，要将IT风险防范和控制提升到银行风险控制的战略高度，尽快建立独立的IT审计机构，培育专业的IT审计队伍，对银行的信息系统建设的重大决策进行评估，对IT风险进行严格有效的控制。

（5）加强关键岗位人员任职管理，从源头上遏制信息泄露管理客户信息的岗位应视为重要工作岗位。任职前，银行应对拟任职人员进行必要的考核和排查，并签定保密协议书；任职期间应对任职人员家庭、社会、交友情况及子女出国、购房等重大事项进行必要的了解和备案，一旦出现不适宜情况，应尽快将其调离工作岗位。工作期间，接触或处理客户信息，要保证双人在岗、双人认证、双人签字。

（6）拓展信息保护教育覆盖面，减少银行声誉风险各商业银行要充分发挥直接面对公众、传播渠道广、队伍专业的优势，广泛开展形式多样的金融消费安全教育，提醒客户在日常生活中注意保护个人信息，并在发现风险隐患时第一时间开展风险提示。同时通过强化信息披露等手段提高市场约束力，让客户了解银行加强信息管理方面的具体措施，保障公众知情权，减少逆向选择的机会。

（7）加强网站规范化管理，净化电子商务运营空间应当尽快制定法律法规对电子商务活动进行规范，健全电子商务的游戏规则，明确互联网的打假主管部门，建立互联网打假举报系统和受理部门，明确参与电子商务各方的法律责任。同时，要进一步提高建设网站的技术壁垒，加强网站的准入管理，提升安全和加密技术的级别和应用水平。