文/孫中（貴州銀行股份有限公司黔東南分行）

就我國對金融業(yè)發(fā)展的態(tài)勢來看，其在未來只會有增無減，市場客戶數(shù)量呈倍速增長，這也意味著會產(chǎn)生越來越多的客戶信息，如果不做好信息安全管理工作，很有可能影響到金融市場的健康發(fā)展。因此，為了提升商業(yè)銀行的市場口碑，規(guī)范金融市場環(huán)境，必須優(yōu)化銀行客戶信息安全管理工作。但目前針對該方面的文獻研究較少，尚未形成標(biāo)準(zhǔn)化的管理體系，對實際操作指導(dǎo)作用不大，由此，本文對商業(yè)銀行客戶信息安全管理進行研究，希望能夠進一步豐富相關(guān)理論，更好地指導(dǎo)商業(yè)銀行展開信息安全管理。

一、商業(yè)銀行客戶信息概述

商業(yè)銀行客戶信息是銀行在進行業(yè)務(wù)活動過程中，通過查詢中國人民銀行的征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、處理或儲存的個人信息。對于商業(yè)銀行來說，其在掌握客戶基本信息之后，必須做到兩點：一是客戶將信息提供給商業(yè)銀行，基于職業(yè)操守，商業(yè)銀行必須為客戶保密；二是于兩家銀行來說，同一個客戶的信息可以被同時接受和使用，客戶信息具有小范圍的共享性；三是客戶信息具有針對性、可識別性，只有客戶信息針對性、可識別性強，才有被保護的法律價值和意義[1]。

商業(yè)銀行客戶信息泄露產(chǎn)生的危害極大，不管是對銀行本身來說，還是對信息被泄露的客戶來說。一方面，如果一家銀行因為信息泄露而遭受處罰，會被公眾質(zhì)疑其工作能力，負面報道和網(wǎng)絡(luò)發(fā)酵會引起連鎖反應(yīng)，品牌形象需要長時間的維護，而口碑下跌，只需要一個負面案例，很有可能會為銀行帶來毀滅性的打擊；另一方面，如果客戶信息被泄露，會收到各種騷擾電話，如果信息落入不法分子手中，可能會被冒名消費，將違反法律的事情都歸納到客戶身上，致使名譽受損，征信受到影響，影響了客戶的生活和工作。

商業(yè)銀行的客戶信息安全管理，必須基于以下幾方面原則：

（1）規(guī)范定級原則。商業(yè)銀行需要根據(jù)客戶信息的重要程度和敏感程度，結(jié)合自身管理的能力，根據(jù)信息安全管理等級，嚴格按照等級規(guī)范進行管理，并制定相應(yīng)的管理策略，嚴格實施。

（2）依法行政原則。商業(yè)銀行信息安全管理必須保證信息系統(tǒng)的使用合法、行為合法、內(nèi)容合法等。

（3）以人為本原則。對于商業(yè)銀行來說，信息安全保護是信息安全管理工作的主體，意味著其很大程度上都是受制于人，所以對于主要擔(dān)任安全管理的工作人員來說，必須做好其法制、信息安全教育、培訓(xùn)和管理工作，使具備基本的職業(yè)道德。

（4）主要領(lǐng)導(dǎo)人負責(zé)原則。商業(yè)銀行的客戶信息安全管理不僅與客戶自身利益相關(guān)，還與商業(yè)銀行的信用等級有關(guān)，銀行領(lǐng)導(dǎo)人必須充分認識到自身的安全管理責(zé)任，并將其落實到相關(guān)部門和人員上。

二、商業(yè)銀行客戶信息安全問題產(chǎn)生原因

在現(xiàn)代市場環(huán)境下，隨著大數(shù)據(jù)技術(shù)和互聯(lián)網(wǎng)信息的深入發(fā)展，商業(yè)銀行客戶信息暴露面也在逐漸拓寬，在這種情況下，商業(yè)銀行已經(jīng)在積極采取措施進行防范，但客戶信息安全風(fēng)險點傳染性和隱蔽性都有所增強，其防范效果始終不如預(yù)期。以下結(jié)合商業(yè)銀行客戶信息安全防護實際情況，從三方面進行具體闡述：

（一）互聯(lián)網(wǎng)技術(shù)的發(fā)展

網(wǎng)絡(luò)經(jīng)濟時代的來臨，讓人們的生活和工作都發(fā)生了巨大變化，就資金流通方面來看，電子貨幣代替?zhèn)鹘y(tǒng)紙幣成了新的交易方式，為了順應(yīng)時代變化，更好融入現(xiàn)代市場，提升自有競爭力，商業(yè)銀行逐步開通了網(wǎng)上銀行。而智能化和風(fēng)險始終相伴相隨，為了保證網(wǎng)絡(luò)交易的安全性，客戶需要通過部分隱私進行驗證，與此同時，大量網(wǎng)絡(luò)信息也充斥在商業(yè)銀行中，且這種網(wǎng)絡(luò)信息具有較強的復(fù)制性，信息技術(shù)的發(fā)展也衍生出了各種網(wǎng)絡(luò)詐騙、盜取密碼等違法行為，且網(wǎng)絡(luò)虛擬追蹤十分不易，復(fù)雜化、多元化的網(wǎng)絡(luò)環(huán)境包含了無數(shù)的風(fēng)險攻擊，這些都對客戶信息產(chǎn)生了威脅[2]。

（二）違規(guī)成本代價低廉

從商業(yè)銀行角度出發(fā)，其內(nèi)部人員出售客戶信息，往往能夠獲得較大利益，目前金融業(yè)發(fā)展較快，商業(yè)銀行眾多，且如今信息泄露行為頻發(fā)，商業(yè)銀行在該方面的管理工作投入較少。一是出售客戶信息違法成本低廉，“低投資、高收益”，責(zé)令改正后處以1萬元以上5萬元以下的經(jīng)濟處罰，如果涉嫌犯罪，移交司法機關(guān)，相對來說這種方式代價較低，部分銀行內(nèi)部人員選擇鋌而走險，牟取暴利；二是外在的法律保障制度不完善，個人信息保護法不到位，早在2009年，《中華人民共和國刑法修正案（七）》中，首次增設(shè)了侵犯個人信息安全犯罪的條款，雖然刑法修正案推行至今，但是信息泄露行為仍然屢見不鮮，由于實際追查耗時耗力，真正被追究責(zé)任的屬于少數(shù)，多數(shù)小型信息泄露案件仍是漏網(wǎng)之魚。

（三）銀行內(nèi)部保護體系不健全

商業(yè)銀行客戶信息泄露，除了外界客觀因素和內(nèi)部人員非法兜售以外，其內(nèi)部保護體系的不健全也是引起信息泄露的重要原因，主要表現(xiàn)在以下幾方面：首先，商業(yè)銀行的自身網(wǎng)絡(luò)系統(tǒng)存在漏洞，網(wǎng)絡(luò)攻擊渠道眾多，如光盤、電子郵件等，這些信息在傳輸中都有可能攜帶病毒，再加上信息網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)風(fēng)險攻擊呈現(xiàn)多元化、隱蔽化，網(wǎng)絡(luò)攻擊也更具規(guī)模性，蓄意入侵，防不勝防。

一些小型商業(yè)銀行的網(wǎng)絡(luò)軟件直接從外界購買，其自身軟件開發(fā)能力較弱，缺少資金投入，這種三方外包行為更有可能攜帶網(wǎng)絡(luò)病毒，抑或是軟件開發(fā)水平較低，本身就處于脆弱環(huán)境中，更易吸引網(wǎng)絡(luò)病毒攻擊，致使客戶信息泄露；其次，商業(yè)銀行缺乏完善的內(nèi)部控制制度和監(jiān)督體系。在互聯(lián)網(wǎng)銀行飛速發(fā)展的過程中，商業(yè)銀行內(nèi)部的控制制度和與網(wǎng)絡(luò)連接的風(fēng)險監(jiān)管體系尚未同步更新，只是通過日常工作進行防范，一旦發(fā)生針對性的攻擊行為，根本無法減輕其損傷，再加上監(jiān)督工作的缺乏和內(nèi)部人員的主動泄露，極不利于客戶信息的安全保障。

三、商業(yè)銀行客戶信息安全保護研究

通過對已有的文獻、理論進行分析，結(jié)合商業(yè)銀行客戶信息安全保護現(xiàn)狀，參考優(yōu)秀案例，針對上述問題分別提出了針對性保護措施，希望以此進一步提升商業(yè)銀行的業(yè)務(wù)質(zhì)量，具體闡述如下：

（一）普及安全信息系統(tǒng)的應(yīng)用

現(xiàn)代化、先進化的系統(tǒng)軟件建設(shè)，是保護商業(yè)銀行客戶信息安全的根本手段，也是經(jīng)濟環(huán)境中的大勢所趨，更是雙方長期博弈的過程。第一，商業(yè)銀行必須明確自身的安全保護策略，利用現(xiàn)代信息技術(shù)，構(gòu)建科學(xué)的網(wǎng)絡(luò)保護制度，同時關(guān)注信息保護技術(shù)的更新，以備不時之需；第二，采用日常管理和備份結(jié)合的方式，將業(yè)務(wù)活動過程與信息安全保護過程進行區(qū)分，采用不同的方式和系統(tǒng)進行推進，設(shè)置針對性的安全策略，強化信息技術(shù)與日常管理的結(jié)合，其日常管理屬于信息安全保護的薄弱環(huán)節(jié)，結(jié)合木桶效應(yīng)，因此商業(yè)銀行必須同等重視日常信息管理工作，實現(xiàn)全面的信息安全保護措施[3]。

（二）完善外部法律法規(guī)建設(shè)

外部法律法規(guī)的建設(shè)是保證信息安全的基礎(chǔ)性工作，必須保證立法項目的協(xié)同性、合理性以及預(yù)見性，具體可從以下幾方面進行建設(shè)：一是明確信息的主體，從不同的角度構(gòu)建適用性較強的立法框架，如從商業(yè)銀行、政府部門以及群眾需求三角度出發(fā)，明確各主體的實際需求，進而規(guī)范信息安全保護內(nèi)容；二是必須保證商業(yè)銀行信息安全處于獨立狀態(tài)，就商業(yè)銀行的運作來看，雖然客戶信息保密，但是在其內(nèi)部各部門中由于業(yè)務(wù)需求仍在流轉(zhuǎn)，不同地區(qū)不同部門的信息安全協(xié)調(diào)工作需要到位；三是樹立滿足法律要求但不拘泥于法律要求的管理觀念，信息化時代下，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，而一項法律政策的推行，則需要較長時間，很有可能不滿足當(dāng)前商業(yè)銀行的實際需求，因此在遵守法律相關(guān)要求的時候，在法律無法解決信息安全的部分，商業(yè)銀行必須酌情考慮，以維系客戶信息安全為根本原則。

（三）強化內(nèi)部銀行安全機制建設(shè)

于商業(yè)銀行內(nèi)部來說，必須加強客戶信息安全保護的防范工作，強化部門建設(shè)和制度形成。首先，成立信息安全保護部門，秉持“統(tǒng)一領(lǐng)導(dǎo)，分級管理”原則，明確各管理層級的權(quán)限，分配具體的職責(zé)和義務(wù)，確保各環(huán)節(jié)相互配合，穩(wěn)定運行，主要負責(zé)信息安全系統(tǒng)的設(shè)計，明確信息體系管理的各項標(biāo)準(zhǔn)，實時根據(jù)外界變化配合信息科研部門研發(fā)新型網(wǎng)絡(luò)安全管理系統(tǒng)；其次，建立健全內(nèi)部控制制度，通過標(biāo)準(zhǔn)的制度手段規(guī)范信息安全管理，一定程度上可提升相關(guān)人員的綜合素質(zhì)和工作效率，先要明確客戶信息安全應(yīng)急管理各項標(biāo)準(zhǔn)，然后依次確定應(yīng)急制度、基本管理制度以及各項業(yè)務(wù)活動規(guī)范等[4]；再次，完善商業(yè)銀行客戶信息安全管理的監(jiān)督機制，從明確各監(jiān)管主體的職責(zé)開始，以制度為約束力，發(fā)揮審計作用，其監(jiān)督內(nèi)容主要包括：各部門是否按照銀行制度要求落實部門細則、各級工作人員是否如實按照規(guī)定完成自身工作內(nèi)容、各部門是否按照自身提出的審計意見修復(fù)漏洞進行調(diào)整、安全管理制度是否得到充分運行和信息安全管理的實時保護狀態(tài)如何等。盡可能通過審計實現(xiàn)自我保護與改進。最后，強化商業(yè)銀行內(nèi)部稽核力度，可借助第三方審計作用，保證內(nèi)部信息安全管理相關(guān)方面具有較強的真實性、公正性，能夠真正發(fā)揮保護作用。另外要做好信息系統(tǒng)的安全稽核工作，通過集中監(jiān)控、分級管理實現(xiàn)信息系統(tǒng)的逐層次更新；通過分批建設(shè)、逐步集成實現(xiàn)數(shù)據(jù)匯總管理，再對數(shù)據(jù)進行分析處理；通過實施監(jiān)控、及時報告實現(xiàn)安全隱患的全面檢測，便于及時發(fā)現(xiàn)，及時處理；通過自建和外包結(jié)合的方式，不斷提升安全信息系統(tǒng)的實用性，使其與商業(yè)銀行自身的運行模式充分結(jié)合。

四、結(jié)束語

綜上所述，在現(xiàn)代競爭激烈的金融環(huán)境下，商業(yè)銀行間的客戶信息安全管理工作不盡相同，同時也是各銀行的薄弱環(huán)節(jié)，要想提升其市場占有量，吸引更多的客戶，就要針對信息安全管理下手，以此提升自身的核心競爭力，達到推動銀行長遠發(fā)展的目的。

由于對相關(guān)文獻、理論等搜集工作不到位，且自身研究能力有限，視野不夠開闊，致使本文提出的優(yōu)化策略難免淺顯，未來會繼續(xù)學(xué)習(xí)、研究，力求提出更具操作價值的信息安全管理策略，希望能夠切實提升商業(yè)銀行客戶信息管理能力，助力其構(gòu)建科學(xué)、全面的防范信息泄露體系，保障資本市場的綠色運行，推進金融市場的良性運行，創(chuàng)造更多的社會價值。

相關(guān)鏈接

商業(yè)銀行（Commercial Bank），英文縮寫為CB，是銀行的一種類型，職責(zé)是通過存款、貸款、匯兌、儲蓄等業(yè)務(wù)，承擔(dān)信用中介的金融機構(gòu)。主要的業(yè)務(wù)范圍是吸收公眾存款、發(fā)放貸款以及辦理票據(jù)貼現(xiàn)等。一般的商業(yè)銀行沒有貨幣的發(fā)行權(quán)，商業(yè)銀行的傳統(tǒng)業(yè)務(wù)主要集中在經(jīng)營存款和貸款業(yè)務(wù)。