洪傳堯　倫祖煒　趙宇航

【摘? 要】當(dāng)前，征信信息泄露案件在一些地方和領(lǐng)域呈現(xiàn)多發(fā)態(tài)勢，對征信業(yè)的健康發(fā)展造成不利影響。論文結(jié)合近年來基層央行征信審計工作實踐，指出基層央行征信信息安全管理工作中存在的問題和風(fēng)險，并就如何防患于未然提出了對策和建議，以此推動我國基層央行征信信息安全管理工作的可持續(xù)發(fā)展，營造良好的金融環(huán)境。

【Abstract】At present， the cases of credit information leakage in some places and fields show a trend of frequent occurrence， which has a negative impact on the healthy development of the credit industry. Combined with the practice of credit and audit work of central bank at the grassroots level in recent years， this paper points out the problems and risks existing in the credit information security management work of central bank at the grassroots level， and puts forward countermeasures and suggestions on how to prevent them in the bud， so as to promote the sustainable development of credit information security management work of central bank at the grassroots level and create a good financial environment.

【關(guān)鍵詞】基層;征信信息安全;風(fēng)險;防范

【Keywords】grassroots level; credit information security; risks; prevention

【中圖分類號】F832.31? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）12-0005-02

1 引言

截至2018年11月30日，人民銀行個人征信系統(tǒng)收錄自然人9.8億人，本年累計查詢15.8億次;企業(yè)征信系統(tǒng)收錄企業(yè)及其他組織共計2576萬戶，本年累計查詢10071萬次。征信信息風(fēng)險敞口加大，征信崗位的風(fēng)險防控形勢嚴峻，征信信息安全管理責(zé)任重大。

2 存在的風(fēng)險

2.1 風(fēng)險防控意識不強，征信系統(tǒng)用戶管理不夠嚴格

部分征信人員對用戶設(shè)立和使用方面缺乏風(fēng)險防范和管理意識，對用戶“最小授權(quán)”“人戶統(tǒng)一”和“專人專用”等基本原則未能給予足夠重視，容易出現(xiàn)如下問題：一是存在著未及時停用測試用戶、長期未使用賬戶、設(shè)置錯誤的用戶的情況;二是存在著勞務(wù)外包人員擔(dān)任查詢?nèi)藛T的情況;三是系統(tǒng)查詢用戶的密碼設(shè)置過于簡單;四是存在著一戶多用或多人混用的情況。如某同志長期病假，同部門人員為完成其工作任務(wù)，用其用戶賬號進行業(yè)務(wù)操作。

2.2 對征信自助查詢機的管理有待加強

基于服務(wù)理念的提升，征信自助查詢系統(tǒng)是服務(wù)群眾的重要方式，但是根據(jù)調(diào)查征信自助查詢機在安全管理方面還存在不少缺陷：一是自助查詢機用戶名沒有實行實名設(shè)置，導(dǎo)致用戶在查詢過程中存在較大的安全隱患。二是代理機構(gòu)自助查詢區(qū)域安裝的監(jiān)控設(shè)備存在監(jiān)控盲區(qū)。例如，在偏遠基層地區(qū)并沒有對設(shè)置的自助查詢區(qū)域進行監(jiān)控全覆蓋。三是自助查詢機未單獨劃分網(wǎng)段。支行征信部門的自助查詢機網(wǎng)段和貨幣信貸部門其他計算機處在一個網(wǎng)段。四是自助查詢設(shè)備自身存在較小的瑕疵，影響用戶信息安全。例如，在用戶查詢的過程中會出現(xiàn)拍照不成功的現(xiàn)象導(dǎo)致查詢失敗，其原因主要是自助查詢系統(tǒng)的人臉對比分辨率有待提高。

2.3 個人和企業(yè)征信信息查詢操作存在疏漏

相關(guān)業(yè)務(wù)人員在進行申請人查詢信息錄入的操作時，由于自身粗心、缺乏謹慎性的原因，在系統(tǒng)錄入時未能仔細核對相關(guān)查詢信息是否準(zhǔn)確，導(dǎo)致出現(xiàn)查詢原因或申請人類型勾選錯誤、身份證復(fù)印件缺失、錯記申請人查詢證件號碼等情況。

2.4 征信異常查詢的核實工作情況未及時上報

相關(guān)人員對總行下達異常查詢核實任務(wù)不夠重視，責(zé)任意識不強：一是未督促轄內(nèi)法人機構(gòu)及時反饋異常查詢核查情況;二是未及時向總行征信中心上報異常查詢核實情況。

2.5 異議業(yè)務(wù)操作時限不符合規(guī)定

根據(jù)調(diào)查，目前基層央行對于征信異議業(yè)務(wù)的處理存在以下問題：一是存在征信異議處理時限均超過20日的情況;二是存在征信異議處理沒有在核查結(jié)束后4日內(nèi)通知回復(fù)客戶的情況。

2.6 對接入機構(gòu)的監(jiān)督管理不到位

根據(jù)調(diào)查分析，基層央行對接入機構(gòu)的監(jiān)督管理不到位主要表現(xiàn)為：一是未督促接入機構(gòu)按要求報送情況報告;二是未按要求督促轄內(nèi)相關(guān)機構(gòu)建立征信內(nèi)控制度及問責(zé)制度;三是未在兩年內(nèi)實現(xiàn)征信信息安全巡查全覆蓋。

3 對策建議

3.1 嚴格遵循相關(guān)規(guī)定，規(guī)范用戶的設(shè)置和使用

一是遵循“最小授權(quán)”原則分配各類、各級用戶的權(quán)限。嚴格明確管理員用戶和普通用戶的權(quán)限，管理員用戶可進行用戶創(chuàng)建、啟用和停用等操作，但不能進行個人、企業(yè)查詢和異議處理等業(yè)務(wù)操作，管理員用戶不得兼任普通用戶，將用戶權(quán)限控制在業(yè)務(wù)需要的最小范圍內(nèi)。二是嚴格按照相關(guān)規(guī)定辦理用戶的停用和啟用。當(dāng)發(fā)生人員離崗、換崗、用戶長期不使用或者用戶設(shè)置錯誤等情況時，要及時進行用戶狀態(tài)變更，及時將用戶停用。三是加強用戶密碼設(shè)置和管理。轄內(nèi)征信人員的用戶密碼設(shè)置不宜過于簡單，應(yīng)符合安全性的要求。四是貫徹執(zhí)行人戶統(tǒng)一、專人專用的原則，堅決禁止轉(zhuǎn)借用戶賬號或多人混用賬戶情況的出現(xiàn)。

3.2 探索改進征信勞務(wù)人員的管理方法

為防范勞務(wù)人員擔(dān)任查詢?nèi)藛T發(fā)生征信信息泄露的風(fēng)險，維護人民銀行聲譽，建議：一是將勞務(wù)人員轉(zhuǎn)為合同制員工。在人民銀行有合同制員工指標(biāo)的情況下，把勞務(wù)人員轉(zhuǎn)為和人民銀行簽訂合同的合同制員工，以此降低信息泄露的風(fēng)險。二是建立勞務(wù)人員查詢管理方面的管理制度，簽訂保密協(xié)議，明確約定相關(guān)責(zé)任，對泄露信息的情況采取一定的懲戒措施，對勞務(wù)人員在本機構(gòu)內(nèi)的活動進行規(guī)范化管理。

3.3 加強對征信自助查詢機的管理

一是規(guī)范自助查詢機用戶的創(chuàng)建。嚴格審核用戶申請情況并根據(jù)實際情況實名設(shè)置用戶。二是加大對代理查詢機構(gòu)查詢的安全核查力度，重點關(guān)注自助查詢機區(qū)域的監(jiān)控設(shè)備的運行狀態(tài)和覆蓋范圍。三是嚴格按照規(guī)定為自助查詢機單獨劃分網(wǎng)段。四是要進一步提高自助查詢機的性能，提高用戶的體驗性。例如，基于用戶在查詢過程中經(jīng)過會因為照相分辨率不高而導(dǎo)致查詢失敗的現(xiàn)象，基層央行要加強技術(shù)創(chuàng)新，提高照相系統(tǒng)的分辨率。

3.4 進一步規(guī)范查詢操作

一是加強查詢?nèi)藛T在進行業(yè)務(wù)操作時的謹慎性。在進行業(yè)務(wù)操作時，查詢?nèi)藛T要明確查詢主體是個人查詢還是國家機關(guān)查詢，并根據(jù)實際情況在查詢過程中認真準(zhǔn)確進行查詢操作，避免由于不嚴謹?shù)脑蚨霈F(xiàn)查詢操作不規(guī)范的情況。二是加強相關(guān)查詢?nèi)藛T的征信合規(guī)教育培訓(xùn)。對查詢?nèi)藛T開展常態(tài)化思想教育，采用上崗測試、業(yè)務(wù)培訓(xùn)、警示教育等措施強化合規(guī)意識、信息安全防范意識和業(yè)務(wù)能力，確保查詢?nèi)藛T熟悉征信基本知識，掌握履行崗位職責(zé)的所需的專業(yè)技能，遵循合規(guī)性操作要求，提升查詢隊伍思想政治及業(yè)務(wù)素質(zhì)。

3.5 務(wù)必做好異常查詢處置的跟蹤和上報工作

一是要嚴格按照《金融信用信息基礎(chǔ)數(shù)據(jù)庫異常查詢行為監(jiān)測工作暫行規(guī)程》（銀征信中心〔2018〕19）的時限要求，積極督促轄區(qū)金融機構(gòu)法人對征信中心下發(fā)的異常查詢情況進行認真的核查反饋，同時，及時上報征信中心;二是研究制定和完善對金融機構(gòu)遲報、漏報異常查詢反饋情況的制約措施，確保轄內(nèi)金融機構(gòu)法人對總行下發(fā)的異常查詢情況按時按質(zhì)地進行核查和反饋。

3.6 提高異議處理的規(guī)范性和時效性

為了提高征信信息安全必須高度重視異議處理工作：一是要規(guī)范異議處理的程序，通過建立完善的制度保證異議處理的準(zhǔn)確性與規(guī)范性;二是要提高異議處理的時效性，基層央行工作人員要加強對異議處理業(yè)務(wù)相關(guān)制度的學(xué)習(xí)，嚴格按照征信異議處理的時限規(guī)定和要求，自收到異議之日起20日內(nèi)進行核查和處理，并在核查結(jié)束后4日內(nèi)通知個人或代理人領(lǐng)取書面結(jié)果。

3.7 切實做好對接入機構(gòu)的監(jiān)督管理工作

一是督促接入機構(gòu)建立健全征信內(nèi)控制度和問責(zé)制度，并要求其按時報送相關(guān)報告。運行機構(gòu)和接入機構(gòu)要健全征信信息查詢管理，嚴格授權(quán)查詢機制，未經(jīng)授權(quán)嚴禁查詢征信報告，規(guī)范內(nèi)部人員和國家機關(guān)查詢辦理流程，嚴禁未經(jīng)授權(quán)認可的APP接入征信系統(tǒng)。二是加大征信信息安全巡查力度，提前謀劃好轄區(qū)巡查工作開展階段計劃和進度安排，切實做到兩年內(nèi)全覆蓋的要求。三是將非現(xiàn)場監(jiān)管結(jié)果納入現(xiàn)場檢查工作中，嚴格執(zhí)行執(zhí)法檢查和處罰相關(guān)規(guī)定，進一步提高對轄區(qū)接入機構(gòu)的監(jiān)管效率和成效。為了保證基層央行征信系統(tǒng)的安全，還需要建立嚴格的獎罰機制，將考評結(jié)果作為確定金融機構(gòu)存款保險評級結(jié)果的重要依據(jù)，同時，還要根據(jù)考評結(jié)果調(diào)整其用戶管理權(quán)限。

4 結(jié)語

總之，基于金融市場的進一步發(fā)展，做好基層央行征信信息管理工作對遏制個人征信違法行為、保護公民個人信息安全具有重要的現(xiàn)實意義。面對當(dāng)前基層央行征信存在的安全問題，需要從多方面入手，構(gòu)建完善的征信信息安全管理體系，以此打造安全、高效、穩(wěn)定的金融市場環(huán)境。

【參考文獻】

【1】郭慶平，楊立杰.中國人民銀行內(nèi)審轉(zhuǎn)型案例匯編[M].北京：中國金融出版社，2015.

【2】赫明剛.當(dāng)前征信信息安全管理中存在的問題及對策探析[J].征信，2018，36（12）：58-61.

【3】王博.基層人民銀行征信信息安全與防范[J].青海金融，2019（07）：62-64.

【作者簡介】洪傳堯（1977-），男，海南?？谌?，經(jīng)濟師，從事貨幣政策工具、內(nèi)部審計研究。