淺析金融從業(yè)人員履職中的泄密風險

梁綏

根據(jù)《中華人民共和國反洗錢法》《金融機構反洗錢規(guī)定》等法律法規(guī)，中國人民銀行是國務院反洗錢行政主管部門，依法對金融機構的反洗錢工作進行監(jiān)督管理，金融機構的反洗錢工作包含客戶身份識別、身份資料及交易記錄保存、上報大額及可疑交易報告等。因此，金融機構的反洗錢從業(yè)人員可在其日常履職中，獲取大量公民基本身份信息及關聯(lián)賬戶的交易信息。同時，國內(nèi)外信息安全事件頻發(fā)，不僅影響金融機構的形象，還可能造成巨大的經(jīng)濟損失。為此，監(jiān)管部門不斷細化相關政策法規(guī)，提升監(jiān)管要求。

一、泄密處罰事件

近幾年，因金融機構違反《中華人民共和國反洗錢法》第三十二條第五款規(guī)定“違反保密規(guī)定，泄露有關信息”的處罰事件時有發(fā)生。

2018年，某省農(nóng)村信用社聯(lián)合社，因違反保密規(guī)定等行為被處以130.7萬元罰款。溫州銀行某分行因違反保密規(guī)定、泄露有關信息等反洗錢相關規(guī)定，被處以40萬罰款。中國銀行某分行因違反《中華人民共和國反洗錢法》第三十二條第五款規(guī)定，被處以20萬元罰款。2020年，中國農(nóng)業(yè)銀行某支行因侵害消費者個人信息依法得到保護的權利和違反反洗錢管理規(guī)定，泄露客戶信息被合并處以1223萬元罰款。

二、導致泄密事件發(fā)生的原因分析

從國內(nèi)外眾多客戶信息泄露事件來看，導致其發(fā)生的主要原因有：

（一）金融系統(tǒng)存在易被黑客攻擊的安全漏洞

黑客利用服務器蹲守掃描金融機構的安全系統(tǒng)，一旦發(fā)現(xiàn)系統(tǒng)出現(xiàn)漏洞，就植入木馬病毒，盜取客戶信息。2014年，美國摩根大通銀行承認7600萬家庭和700萬小企業(yè)的相關信息被泄露，網(wǎng)絡黑客就是通過遠程獲取摩根大通數(shù)十個服務器的登錄權限，偷走客戶姓名、住址、電話、郵箱等個人信息。

（二）金融從業(yè)人員難以抵擋利益誘惑

從業(yè)人員受利益驅(qū)使在工作之余，通過復制、手抄、拍照等方式記錄客戶信息，進而販賣公民信息，或自行盜用客戶信息。一直以來，國內(nèi)外均存在大量買賣客戶信息的“黑市”，根據(jù)個人信息“品質(zhì)”的不同，每條從低至幾分到高至幾百不等。

（三）保密意識淡薄導致的潛在信息泄露風險

一是金融機構風險防范意識不強。如，機構給予工作人員查詢客戶信息的權限設置不合理或工作審批流程存在缺陷。此外，金融機構與合作方“共享客戶信息”加大客戶信息泄露的風險。2013年，中國人壽爆發(fā)的泄密門事件，正是因合作方眾宜風險管理網(wǎng)的疏忽導致80萬份保單被公開。

二是工作人員保密意識不夠。如，金融機構履職人員隨手丟棄廢棄的客戶信息、為方便工作使用互聯(lián)網(wǎng)傳輸客戶信息等。2017年的"資管新規(guī)"泄密事件，借調(diào)人員偷拍銀監(jiān)會內(nèi)部文件，被銀行同事私自轉(zhuǎn)發(fā)至網(wǎng)絡，導致該文件在多個金融行業(yè)微信群及有關人員微博、博客、公眾號中不斷轉(zhuǎn)發(fā)，最終造成涉密信息在互聯(lián)網(wǎng)上被大范圍公開傳播。

三是公民警惕性不高。不法分子通過模仿金融機構給客戶撥打電話、發(fā)送短信等方式，誘騙客戶登錄或回復個人信息到指定的釣魚網(wǎng)站，以獲取公民信息。根據(jù)公安部信息顯示，2019年，全國共破獲電信網(wǎng)絡詐騙案件20萬起，抓獲犯罪嫌疑人16.3萬人。

三、建議

當前，在金融行業(yè)數(shù)據(jù)已經(jīng)成為各機構的核心資產(chǎn)，也是監(jiān)管部門高效開展監(jiān)管活動的主要依據(jù)。作為核心資產(chǎn)應受到重點保護，機構和監(jiān)管部門應建立健全信息防護體系，加大對從業(yè)人員的培訓，促進全員提高保密意識。

（一）健全信息泄露法律法規(guī)

做好立法全面規(guī)劃，確保立法質(zhì)量，是開展信息安全的基礎性工作。一是國家要從信息主體、客體、內(nèi)容三方面構建立法框架。對信息主體獲取、傳遞信息等行為進行嚴格規(guī)范，對客體信息保護、公民義務與權力等方面完善法律支撐。二是監(jiān)管機構要根據(jù)國家法律法規(guī)進一步明確反洗錢信息范圍，建立內(nèi)部監(jiān)督管理辦法，規(guī)范相關人員履職行為及泄密紀律處分或行政處罰。三是金融機構要細化反洗錢崗、相應業(yè)務人員履職要求，建立防止信息泄露的監(jiān)管部門或領導小組，嚴肅違規(guī)問責機制。

（二）優(yōu)化信息系統(tǒng)防護建設

建立健全安全防護體系必不可少，可避免出現(xiàn)系統(tǒng)漏洞、外部入侵、內(nèi)部人為違規(guī)操作等問題。一是加強信息網(wǎng)絡安全系統(tǒng)建設工作。金融機構在進行信息化建設的過程中要著重組建健全、完善的信息網(wǎng)絡安全系統(tǒng)，信息科技部門和信息完全部門要緊密配合，確保硬件設備對系統(tǒng)的支撐力，做好信息網(wǎng)絡安全與系統(tǒng)研發(fā)的融合工作。二是加強身份認證及訪問控制管理。合理分配反洗錢相關系統(tǒng)的登錄角色及訪問權限，針對不同類別信息設置不同的查詢權限和認證方式。三是做好系統(tǒng)日志跟蹤管理工作。系統(tǒng)日志要能夠準確記錄登錄人員的操作指令及相關要素，跟蹤工作任務的流轉(zhuǎn)痕跡，確保工作日志的可稽核性。

（三）加大全員保密意識教育

加強防信息泄露人才培養(yǎng)，持續(xù)強化保密觀念。一是堅持懲處與教育相結合，引導從業(yè)人員端正職業(yè)道德。金融機構和監(jiān)管機構均需要制定一系列職業(yè)道德規(guī)范，包括但不限于思想引導性的正面內(nèi)容、信息和泄露等界定性的嚴格標準以及更改或泄露信息的強制性懲罰措施。二是提升從業(yè)人員應變能力，形成良好的保密氛圍。當前信息安全技術的飛速發(fā)展，已有的管理機制可能會出現(xiàn)無法滿足其發(fā)展的窘迫情況。這就要求從業(yè)人員提升工作并變能力與危機處理能力，能夠根據(jù)現(xiàn)有的規(guī)章制度舉一反三，靈活應對危機情況。三是加大開展信息安全風險排查工作。機構和監(jiān)管部門均需要定期及不定期開展專項自查、風險排查、外部檢查等工作，提高從業(yè)人員履職警惕性，及時發(fā)現(xiàn)履職存在的潛在泄密風險。

（中國人民銀行長春中心支行? 吉林? 長春? 130051）