洪傳堯　倫祖煒　趙宇航

【摘? 要】當前，征信信息泄露案件在一些地方和領域呈現(xiàn)多發(fā)態(tài)勢，對征信業(yè)的健康發(fā)展造成不利影響。論文結合近年來基層央行征信審計工作實踐，指出基層央行征信信息安全管理工作中存在的問題和風險，并就如何防患于未然提出了對策和建議，以此推動我國基層央行征信信息安全管理工作的可持續(xù)發(fā)展，營造良好的金融環(huán)境。

【Abstract】At present， the cases of credit information leakage in some places and fields show a trend of frequent occurrence， which has a negative impact on the healthy development of the credit industry. Combined with the practice of credit and audit work of central bank at the grassroots level in recent years， this paper points out the problems and risks existing in the credit information security management work of central bank at the grassroots level， and puts forward countermeasures and suggestions on how to prevent them in the bud， so as to promote the sustainable development of credit information security management work of central bank at the grassroots level and create a good financial environment.

【關鍵詞】基層;征信信息安全;風險;防范

【Keywords】grassroots level; credit information security; risks; prevention

【中圖分類號】F832.31? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）12-0005-02

1 引言

截至2018年11月30日，人民銀行個人征信系統(tǒng)收錄自然人9.8億人，本年累計查詢15.8億次;企業(yè)征信系統(tǒng)收錄企業(yè)及其他組織共計2576萬戶，本年累計查詢10071萬次。征信信息風險敞口加大，征信崗位的風險防控形勢嚴峻，征信信息安全管理責任重大。

2 存在的風險

2.1 風險防控意識不強，征信系統(tǒng)用戶管理不夠嚴格

部分征信人員對用戶設立和使用方面缺乏風險防范和管理意識，對用戶“最小授權”“人戶統(tǒng)一”和“專人專用”等基本原則未能給予足夠重視，容易出現(xiàn)如下問題：一是存在著未及時停用測試用戶、長期未使用賬戶、設置錯誤的用戶的情況;二是存在著勞務外包人員擔任查詢人員的情況;三是系統(tǒng)查詢用戶的密碼設置過于簡單;四是存在著一戶多用或多人混用的情況。如某同志長期病假，同部門人員為完成其工作任務，用其用戶賬號進行業(yè)務操作。

2.2 對征信自助查詢機的管理有待加強

基于服務理念的提升，征信自助查詢系統(tǒng)是服務群眾的重要方式，但是根據(jù)調查征信自助查詢機在安全管理方面還存在不少缺陷：一是自助查詢機用戶名沒有實行實名設置，導致用戶在查詢過程中存在較大的安全隱患。二是代理機構自助查詢區(qū)域安裝的監(jiān)控設備存在監(jiān)控盲區(qū)。例如，在偏遠基層地區(qū)并沒有對設置的自助查詢區(qū)域進行監(jiān)控全覆蓋。三是自助查詢機未單獨劃分網(wǎng)段。支行征信部門的自助查詢機網(wǎng)段和貨幣信貸部門其他計算機處在一個網(wǎng)段。四是自助查詢設備自身存在較小的瑕疵，影響用戶信息安全。例如，在用戶查詢的過程中會出現(xiàn)拍照不成功的現(xiàn)象導致查詢失敗，其原因主要是自助查詢系統(tǒng)的人臉對比分辨率有待提高。

2.3 個人和企業(yè)征信信息查詢操作存在疏漏

相關業(yè)務人員在進行申請人查詢信息錄入的操作時，由于自身粗心、缺乏謹慎性的原因，在系統(tǒng)錄入時未能仔細核對相關查詢信息是否準確，導致出現(xiàn)查詢原因或申請人類型勾選錯誤、身份證復印件缺失、錯記申請人查詢證件號碼等情況。

2.4 征信異常查詢的核實工作情況未及時上報

相關人員對總行下達異常查詢核實任務不夠重視，責任意識不強：一是未督促轄內法人機構及時反饋異常查詢核查情況;二是未及時向總行征信中心上報異常查詢核實情況。

2.5 異議業(yè)務操作時限不符合規(guī)定

根據(jù)調查，目前基層央行對于征信異議業(yè)務的處理存在以下問題：一是存在征信異議處理時限均超過20日的情況;二是存在征信異議處理沒有在核查結束后4日內通知回復客戶的情況。

2.6 對接入機構的監(jiān)督管理不到位

根據(jù)調查分析，基層央行對接入機構的監(jiān)督管理不到位主要表現(xiàn)為：一是未督促接入機構按要求報送情況報告;二是未按要求督促轄內相關機構建立征信內控制度及問責制度;三是未在兩年內實現(xiàn)征信信息安全巡查全覆蓋。

3 對策建議

3.1 嚴格遵循相關規(guī)定，規(guī)范用戶的設置和使用

一是遵循“最小授權”原則分配各類、各級用戶的權限。嚴格明確管理員用戶和普通用戶的權限，管理員用戶可進行用戶創(chuàng)建、啟用和停用等操作，但不能進行個人、企業(yè)查詢和異議處理等業(yè)務操作，管理員用戶不得兼任普通用戶，將用戶權限控制在業(yè)務需要的最小范圍內。二是嚴格按照相關規(guī)定辦理用戶的停用和啟用。當發(fā)生人員離崗、換崗、用戶長期不使用或者用戶設置錯誤等情況時，要及時進行用戶狀態(tài)變更，及時將用戶停用。三是加強用戶密碼設置和管理。轄內征信人員的用戶密碼設置不宜過于簡單，應符合安全性的要求。四是貫徹執(zhí)行人戶統(tǒng)一、專人專用的原則，堅決禁止轉借用戶賬號或多人混用賬戶情況的出現(xiàn)。

3.2 探索改進征信勞務人員的管理方法

為防范勞務人員擔任查詢人員發(fā)生征信信息泄露的風險，維護人民銀行聲譽，建議：一是將勞務人員轉為合同制員工。在人民銀行有合同制員工指標的情況下，把勞務人員轉為和人民銀行簽訂合同的合同制員工，以此降低信息泄露的風險。二是建立勞務人員查詢管理方面的管理制度，簽訂保密協(xié)議，明確約定相關責任，對泄露信息的情況采取一定的懲戒措施，對勞務人員在本機構內的活動進行規(guī)范化管理。

3.3 加強對征信自助查詢機的管理

一是規(guī)范自助查詢機用戶的創(chuàng)建。嚴格審核用戶申請情況并根據(jù)實際情況實名設置用戶。二是加大對代理查詢機構查詢的安全核查力度，重點關注自助查詢機區(qū)域的監(jiān)控設備的運行狀態(tài)和覆蓋范圍。三是嚴格按照規(guī)定為自助查詢機單獨劃分網(wǎng)段。四是要進一步提高自助查詢機的性能，提高用戶的體驗性。例如，基于用戶在查詢過程中經過會因為照相分辨率不高而導致查詢失敗的現(xiàn)象，基層央行要加強技術創(chuàng)新，提高照相系統(tǒng)的分辨率。

3.4 進一步規(guī)范查詢操作

一是加強查詢人員在進行業(yè)務操作時的謹慎性。在進行業(yè)務操作時，查詢人員要明確查詢主體是個人查詢還是國家機關查詢，并根據(jù)實際情況在查詢過程中認真準確進行查詢操作，避免由于不嚴謹?shù)脑蚨霈F(xiàn)查詢操作不規(guī)范的情況。二是加強相關查詢人員的征信合規(guī)教育培訓。對查詢人員開展常態(tài)化思想教育，采用上崗測試、業(yè)務培訓、警示教育等措施強化合規(guī)意識、信息安全防范意識和業(yè)務能力，確保查詢人員熟悉征信基本知識，掌握履行崗位職責的所需的專業(yè)技能，遵循合規(guī)性操作要求，提升查詢隊伍思想政治及業(yè)務素質。

3.5 務必做好異常查詢處置的跟蹤和上報工作

一是要嚴格按照《金融信用信息基礎數(shù)據(jù)庫異常查詢行為監(jiān)測工作暫行規(guī)程》（銀征信中心〔2018〕19）的時限要求，積極督促轄區(qū)金融機構法人對征信中心下發(fā)的異常查詢情況進行認真的核查反饋，同時，及時上報征信中心;二是研究制定和完善對金融機構遲報、漏報異常查詢反饋情況的制約措施，確保轄內金融機構法人對總行下發(fā)的異常查詢情況按時按質地進行核查和反饋。

3.6 提高異議處理的規(guī)范性和時效性

為了提高征信信息安全必須高度重視異議處理工作：一是要規(guī)范異議處理的程序，通過建立完善的制度保證異議處理的準確性與規(guī)范性;二是要提高異議處理的時效性，基層央行工作人員要加強對異議處理業(yè)務相關制度的學習，嚴格按照征信異議處理的時限規(guī)定和要求，自收到異議之日起20日內進行核查和處理，并在核查結束后4日內通知個人或代理人領取書面結果。

3.7 切實做好對接入機構的監(jiān)督管理工作

一是督促接入機構建立健全征信內控制度和問責制度，并要求其按時報送相關報告。運行機構和接入機構要健全征信信息查詢管理，嚴格授權查詢機制，未經授權嚴禁查詢征信報告，規(guī)范內部人員和國家機關查詢辦理流程，嚴禁未經授權認可的APP接入征信系統(tǒng)。二是加大征信信息安全巡查力度，提前謀劃好轄區(qū)巡查工作開展階段計劃和進度安排，切實做到兩年內全覆蓋的要求。三是將非現(xiàn)場監(jiān)管結果納入現(xiàn)場檢查工作中，嚴格執(zhí)行執(zhí)法檢查和處罰相關規(guī)定，進一步提高對轄區(qū)接入機構的監(jiān)管效率和成效。為了保證基層央行征信系統(tǒng)的安全，還需要建立嚴格的獎罰機制，將考評結果作為確定金融機構存款保險評級結果的重要依據(jù)，同時，還要根據(jù)考評結果調整其用戶管理權限。

4 結語

總之，基于金融市場的進一步發(fā)展，做好基層央行征信信息管理工作對遏制個人征信違法行為、保護公民個人信息安全具有重要的現(xiàn)實意義。面對當前基層央行征信存在的安全問題，需要從多方面入手，構建完善的征信信息安全管理體系，以此打造安全、高效、穩(wěn)定的金融市場環(huán)境。

【參考文獻】

【1】郭慶平，楊立杰.中國人民銀行內審轉型案例匯編[M].北京：中國金融出版社，2015.

【2】赫明剛.當前征信信息安全管理中存在的問題及對策探析[J].征信，2018，36（12）：58-61.

【3】王博.基層人民銀行征信信息安全與防范[J].青海金融，2019（07）：62-64.

【作者簡介】洪傳堯（1977-），男，海南?？谌?，經濟師，從事貨幣政策工具、內部審計研究。