【摘要】当前,征信信息泄露案件在一些地方和领域呈现多发态势,对征信业的健康发展造成不利影响。论文结合近年来基层央行征信审计工作实践,指出基层央行征信信息安全管理工作中存在的问题和风险,并就如何防患于未然提出了对策和建议,以此推动我国基层央行征信信息安全管理工作的可持续发展,营造良好的金融环境。
【关键词】基层;征信信息安全;风险;防范
1引言
截至2018年11月30日,人民银行个人征信系统收录自然人9.8亿人,本年累计查询15.8亿次;企业征信系统收录企业及其他组织共计2576万户,本年累计查询10071万次。征信信息风险敞口加大,征信岗位的风险防控形势严峻,征信信息安全管理责任重大。
2存在的风险
2.1风险防控意识不强,征信系统用户管理不够严格。部分征信人员对用户设立和使用方面缺乏风险防范和管理意识,对用户“最小授权”“人户统一”和“专人专用”等基本原则未能给予足够重视,容易出现如下问题:一是存在着未及时停用测试用户、长期未使用账户、设置错误的用户的情况;二是存在着劳务外包人员担任查询人员的情况;三是系统查询用户的密码设置过于简单;四是存在着一户多用或多人混用的情况。如某同志长期病假,同部门人员为完成其工作任务,用其用户账号进行业务操作。
2.2对征信自助查询机的管理有待加强。基于服务理念的提升,征信自助查询系统是服务群众的重要方式,但是根据调查征信自助查询机在安全管理方面还存在不少缺陷:一是自助查询机用户名没有实行实名设置,导致用户在查询过程中存在较大的安全隐患。二是机构自助查询区域安装的监控设备存在监控盲区。例如,在偏远基层地区并没有对设置的自助查询区域进行监控全覆盖。三是自助查询机未单独划分网段。支行征信部门的自助查询机网段和货币信贷部门其他计算机处在一个网段。四是自助查询设备自身存在较小的瑕疵,影响用户信息安全。例如,在用户查询的过程中会出现拍照不成功的现象导致查询失败,其原因主要是自助查询系统的人脸对比分辨率有待提高。
2.3个人和企业征信信息查询操作存在疏漏。相关业务人员在进行申请人查询信息录入的操作时,由于自身粗心、缺乏谨慎性的原因,在系统录入时未能仔细核对相关查询信息是否准确,导致出现查询原因或申请人类型勾选错误、身份证复印件缺失、错记申请人查询证件号码等情况。
2.4征信异常查询的核实工作情况未及时上报。相关人员对总行下达异常查询核实任务不够重视,责任意识不强:一是未督促辖内法人机构及时反馈异常查询核查情况;二是未及时向总行征信中心上报异常查询核实情况。
2.5异议业务操作时限不符合规定。根据调查,目前基层央行对于征信异议业务的处理存在以下问题:一是存在征信异议处理时限均超过20日的情况;二是存在征信异议处理没有在核查结束后4日内通知回复客户的情况。
2.6对接入机构的监督管理不到位。根据调查分析,基层央行对接入机构的监督管理不到位主要表现为:一是未督促接入机构按要求报送情况报告;二是未按要求督促辖内相关机构建立征信内控制度及问责制度;三是未在两年内实现征信信息安全巡查全覆盖。
3对策建议
3.1严格遵循相关规定,规范用户的设置和使用。一是遵循“最小授权”原则分配各类、各级用户的权限。严格明确管理员用户和普通用户的权限,管理员用户可进行用户创建、启用和停用等操作,但不能进行个人、企业查询和异议处理等业务操作,管理员用户不得兼任普通用户,将用户权限控制在业务需要的最小范围内。二是严格按照相关规定办理用户的停用和启用。当发生人员离岗、换岗、用户长期不使用或者用户设置错误等情况时,要及时进行用户状态变更,及时将用户停用。三是加强用户密码设置和管理。辖内征信人员的用户密码设置不宜过于简单,应符合安全性的要求。四是贯彻执行人户统一、专人专用的原则,坚决禁止转借用户账号或多人混用账户情况的出现。
3.2探索改进征信劳务人员的管理方法。为防范劳务人员担任查询人员发生征信信息泄露的风险,维护人民银行声誉,建议:一是将劳务人员转为合同制员工。在人民银行有合同制员工指标的情况下,把劳务人员转为和人民银行签订合同的合同制员工,以此降低信息泄露的风险。二是建立劳务人员查询管理方面的管理制度,签订保密协议,明确约定相关责任,对泄露信息的情况采取一定的惩戒措施,对劳务人员在本机构内的活动进行规范化管理。
3.3加强对征信自助查询机的管理。一是规范自助查询机用户的创建。严格审核用户申请情况并根据实际情况实名设置用户。二是加大对查询机构查询的安全核查力度,重点关注自助查询机区域的监控设备的运行状态和覆盖范围。三是严格按照规定为自助查询机单独划分网段。四是要进一步提高自助查询机的性能,提高用户的体验性。例如,基于用户在查询过程中经过会因为照相分辨率不高而导致查询失败的现象,基层央行要加强技术创新,提高照相系统的分辨率。
3.4进一步规范查询操作。一是加强查询人员在进行业务操作时的谨慎性。在进行业务操作时,查询人员要明确查询主体是个人查询还是国家机关查询,并根据实际情况在查询过程中认真准确进行查询操作,避免由于不严谨的原因而出现查询操作不规范的情况。二是加强相关查询人员的征信合规教育培训。对查询人员开展常态化思想教育,采用上岗测试、业务培训、警示教育等措施强化合规意识、信息安全防范意识和业务能力,确保查询人员熟悉征信基本知识,掌握履行岗位职责的所需的专业技能,遵循合规性操作要求,提升查询队伍思想政治及业务素质。
3.5务必做好异常查询处置的跟踪和上报工作。一是要严格按照《金融信用信息基础数据库异常查询行为监测工作暂行规程》(银征信中心〔2018〕19)的时限要求,积极督促辖区金融机构法人对征信中心下发的异常查询情况进行认真的核查反馈,同时,及时上报征信中心;二是研究制定和完善对金融机构迟报、漏报异常查询反馈情况的制约措施,确保辖内金融机构法人对总行下发的异常查询情况按时按质地进行核查和反馈。
3.6提高异议处理的规范性和时效性。为了提高征信信息安全必须高度重视异议处理工作:一是要规范异议处理的程序,通过建立完善的制度保证异议处理的准确性与规范性;二是要提高异议处理的时效性,基层央行工作人员要加强对异议处理业务相关制度的学习,严格按照征信异议处理的时限规定和要求,自收到异议之日起20日内进行核查和处理,并在核查结束后4日内通知个人或人领取书面结果。
3.7切实做好对接入机构的监督管理工作。一是督促接入机构建立健全征信内控制度和问责制度,并要求其按时报送相关报告。运行机构和接入机构要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。二是加大征信信息安全巡查力度,提前谋划好辖区巡查工作开展阶段计划和进度安排,切实做到两年内全覆盖的要求。三是将非现场监管结果纳入现场检查工作中,严格执行执法检查和处罚相关规定,进一步提高对辖区接入机构的监管效率和成效。为了保证基层央行征信系统的安全,还需要建立严格的奖罚机制,将考评结果作为确定金融机构存款保险评级结果的重要依据,同时,还要根据考评结果调整其用户管理权限。
4结语
总之,基于金融市场的进一步发展,做好基层央行征信信息管理工作对遏制个人征信违法行为、保护公民个人信息安全具有重要的现实意义。面对当前基层央行征信存在的安全问题,需要从多方面入手,构建完善的征信信息安全管理体系,以此打造安全、高效、稳定的金融市场环境。
【参考文献】
【1】郭庆平,杨立杰.中国人民银行内审转型案例汇编[M].北京:中国金融出版社,2015.
【2】赫明刚.当前征信信息安全管理中存在的问题及对策探析[J].征信,2018,36(12):58-61.
【3】王博.基层人民银行征信信息安全与防范[J].青海金融,2019(07):62-64.
作者:洪传尧 伦祖炜 赵宇航 单位:中国人民银行海口中心支行