文| 牛 欽 劉 雷

隨著互聯(lián)網(wǎng)金融的崛起，信用報告的應(yīng)用也越來越廣泛，同時接入機(jī)構(gòu)（接入征信系統(tǒng)的機(jī)構(gòu)）的數(shù)量也井噴式增長。近年來，接入機(jī)構(gòu)在人員或者技術(shù)方面的不正規(guī)和不完善造成了征信信息泄露的問題層出不窮。征信信息泄露既損害了信息主體的合法權(quán)利，也給所在機(jī)構(gòu)帶來了合規(guī)風(fēng)險。目前征信信息安全工作還有很大的進(jìn)步空間，信息安全技術(shù)方面也需要提高。

接入機(jī)構(gòu)征信信息安全現(xiàn)狀分析

隨著互聯(lián)網(wǎng)的普及，大數(shù)據(jù)等新技術(shù)的出現(xiàn)，信息犯罪的技術(shù)手段越來越高，征信機(jī)構(gòu)因為涉及到個人信用信息，是信息犯罪的高發(fā)領(lǐng)域。接入機(jī)構(gòu)征信合規(guī)工作重視不夠，缺乏必要的合規(guī)教育和培訓(xùn)。

2016年初，在經(jīng)濟(jì)利益的驅(qū)使下某地方性商業(yè)銀行個人信用報告查詢數(shù)量激增。經(jīng)調(diào)查，涉事的異常查詢用戶為該行員工，把查詢到的個人客戶信用報告兜售給網(wǎng)貸公司賺取好處費。目前征信查詢系統(tǒng)的技術(shù)水平和業(yè)務(wù)覆蓋能力較弱，不能精準(zhǔn)定位查詢?nèi)藛T的IP和MAC地址，導(dǎo)致發(fā)生異常查詢不能精確追溯，不能及時止損。

接入機(jī)構(gòu)征信信息問題分析以及防范措施

根據(jù)目前征信信息泄露的事件分析，主要原因有征信合規(guī)性低，缺乏必要的合規(guī)教育和培訓(xùn)工作、缺乏完善的征信合規(guī)管理機(jī)制、征信查詢系統(tǒng)技術(shù)存在缺陷。

征信合規(guī)性低，缺乏必要的合規(guī)教育和培訓(xùn)工作

面對日趨激烈的同業(yè)競爭，接入機(jī)構(gòu)工作重心主要放在業(yè)務(wù)拓展和提升利潤方面，對合規(guī)管理特別是征信合規(guī)管理工作重視程度不夠。目前，部分接入機(jī)構(gòu)征信管理制度內(nèi)容不完備、修訂不及時，存在諸多與人民銀行征信管理相關(guān)規(guī)定相悖的地方，不利于征信崗位對人員貫徹執(zhí)行。

接入機(jī)構(gòu)未注重對征信崗位人員開展征信管理制度、法律法規(guī)知識的培訓(xùn)以及必要的廉政教育，導(dǎo)致員工不了解規(guī)章制度或?qū)σ?guī)章制度理解不準(zhǔn)確，征信信息安全和風(fēng)險防范意識不強(qiáng)，因主管故意或疏忽大意行為泄露了大量客戶的征信信息，既損害了信息主體的合法權(quán)益，也給所在機(jī)構(gòu)帶來合規(guī)風(fēng)險。針對征信合規(guī)性低，缺乏必要的合規(guī)教育和培訓(xùn)工作的問題目前有以下幾種措施可參考。

（1）接入機(jī)構(gòu)征信用戶應(yīng)由經(jīng)過征信業(yè)務(wù)培訓(xùn)、熟悉征信法規(guī)、規(guī)章、規(guī)范及制度的正式員工擔(dān)任。接入機(jī)構(gòu)要組織人員參加所在地人民銀行舉辦的征信業(yè)務(wù)考試?？荚嚥缓细竦娜藛T要參加補(bǔ)考或下一次考試；連續(xù)兩次考試不合格的人員，建議接入機(jī)構(gòu)不安排其從事征信相關(guān)工作崗位。（2）接入機(jī)構(gòu)的管理員用戶、數(shù)據(jù)上報用戶和信息查詢用戶不得互相兼職。各類用戶要做到人戶統(tǒng)一、專人專用和實名制，不得設(shè)置公共用戶或者類公共用戶。征信查詢管理系統(tǒng)綁定的金融信用信息基礎(chǔ)數(shù)據(jù)庫統(tǒng)一查詢用戶，也應(yīng)指定專人負(fù)責(zé)管理，并定期對該用戶的查詢情況進(jìn)行復(fù)核。（3）征信用戶調(diào)離或長期不在征信崗位的，應(yīng)先行啟動相關(guān)內(nèi)部審批流程予以停用。嚴(yán)禁后續(xù)人員或臨時代崗人員繼續(xù)使用原崗位人員的用戶。

缺乏完善的征信合規(guī)管理機(jī)制

部分接入機(jī)構(gòu)在征信合規(guī)管理制度建設(shè)上存在盲區(qū)，缺乏有效的激勵約束機(jī)制，對執(zhí)行制度到位的員工沒有獎勵，對違規(guī)操作的員工也沒有問責(zé)措施，違法違規(guī)行為從而得以滋生和蔓延。另一方面，征信合規(guī)文化體系建設(shè)相對滯后，征信合規(guī)管理和合規(guī)操作并未成為員工自覺遵循的價值標(biāo)準(zhǔn)，良好的職業(yè)操守和行為習(xí)慣沒有形成。針對這個問題提出的防范措施有應(yīng)將征信合規(guī)管理作為一項重要內(nèi)容納入日?？己嗽u價體系。在具體考核內(nèi)容上，可考慮引入征信管理制度和操作規(guī)程的建立情況、客戶投訴情況、征信違規(guī)操作行為發(fā)生情況、征信信息泄露或其他侵害信息主體合法權(quán)益事件或案件的發(fā)生、處置情況以及案件防控工作落實情況等多項內(nèi)容作為參考指標(biāo)。

另一方面，應(yīng)建立自查自糾的工作機(jī)制，推動征信系統(tǒng)安全、穩(wěn)定、有序運行。商業(yè)銀行征信系統(tǒng)安全、穩(wěn)定、有序運行。商業(yè)銀行征信牽頭部門應(yīng)聯(lián)合信貸業(yè)務(wù)、合規(guī)管理、紀(jì)檢監(jiān)察等部門定期對員工征信操作行為開展合規(guī)性內(nèi)部檢查和審計工作，并公布征信違規(guī)行為的監(jiān)督舉報方式。

征信查詢系統(tǒng)技術(shù)存在缺陷

目前，征信系統(tǒng)尚不能精準(zhǔn)定位用戶的IP地址，因此，一旦發(fā)生征信查詢用戶被盜用或征信信息泄露事件時，難以判斷和識別出盜用人員實施違規(guī)查詢的具體位置，更難以鎖定具體盜用人員。在以后征信系統(tǒng)的完善中，可以著重做到以下幾個方面：

（1）用戶及查詢行為隔離。通過將征信查詢管理系統(tǒng)用戶與金融信用信息基礎(chǔ)數(shù)據(jù)庫用戶進(jìn)行映射，間接訪問金融信用信息基礎(chǔ)數(shù)據(jù)庫，對外屏蔽數(shù)據(jù)庫實際用戶和密碼，實現(xiàn)查詢用戶、查詢行為與金融信用信息基礎(chǔ)數(shù)據(jù)庫的隔離，避免金融信用信息基礎(chǔ)數(shù)據(jù)庫用戶和密碼的外泄或者盜用，并徹底防堵外單位征信用戶的借道查詢問題；（2）記錄查詢?nèi)罩尽Ｕ餍挪樵児芾硐到y(tǒng)后臺自動記錄用戶名稱、被查詢對象、查詢用途、查詢時間及計算機(jī)網(wǎng)絡(luò)地址，使得各項操作有記錄、可定位、可追溯；（3）鎖定查詢行為。應(yīng)采取綁定IP地址或MAC地址等方式，確保征信用戶的操作行為受限制、責(zé)任可落實；（4）實時監(jiān)測、及時預(yù)警、出現(xiàn)應(yīng)急事件時要有足夠的應(yīng)急預(yù)案來阻斷查詢風(fēng)險。

結(jié)語

征信系統(tǒng)接入機(jī)構(gòu)種類逐年增多，出現(xiàn)安全問題的情況也隨之增加，這對接入機(jī)構(gòu)征信信息安全和征信系統(tǒng)都是嚴(yán)峻的考驗。接入機(jī)構(gòu)應(yīng)全面的分析目前的問題并且根據(jù)提出的措施予以防范，使得征信信息更好的為公眾服務(wù)。