在金融業虛擬化和網絡化程度不斷提升的現代社會���,信息安全與個人財產安全的關聯度日益提升���。作為政府以外公民信息最主要的收集和使用者以及公民財產重要的貯藏和代管者���,銀行有完全的責任和義務成為捍衛公民信息安全的“排頭兵”�����。而近年來卻頻頻發生銀行個人金融信息泄漏事件�����,讓公眾震驚和憂慮,也說明銀行個人金融信息保護工作亟待加強���。
一、個人金融信息的界定�����、泄漏方式及威脅
銀行個人金融信息�����,又稱銀行客戶敏感信息��,由銀行的各種業務產生���,通過銀行信息系統進行輸入���、輸出及處理��,是銀行日常業務工作中積累的一項重要基礎數據�����,也是金融機構客戶個人隱私的重要內容��。個人金融信息一般包含客戶、賬戶及交易類敏感信息,具體為:①個人身份信息�����,包括個人姓名���、民族���、身份證件種類和號碼等���;②個人財產信息��,包括個人收入狀況��、擁有的不動產狀況等;③個人賬戶信息,包括賬號��、賬戶開立時間���、開戶行���、賬戶余額等��;④個人信用信息���,包括信用卡還款情況��、貸款償還情況等;⑤個人金融交易信息��,包括銀行業金融機構在支付結算�����、理財�����、保險箱等中間業務過程中獲取�����、保存、留存的個人信息和客戶在通過銀行業金融機構與保險公司、證券公司���、基金公司��、期貨公司等第三方機構發生業務關系時產生的個人信息等�����;⑥衍生信息��,包括個人消費習慣��、投資意愿等對原始信息進行處理�����、分析所形成的反映特定個人某些情況的信息��;⑦個人其他信息。
由于個人金融信息的生命周期管理涉及客戶��、銀行、商戶���、支付服務商乃至外部不法分子等諸多主體,涉及人���、系統��、流程等要素,還涉及收集�����、使用、傳輸�����、銷毀等環節���,因此���,對個人金融信息的保護尤為復雜�����。如何收集、使用、對外提供個人金融信息���,既涉及銀行業務的正常開展,也涉及客戶信息、個人隱私的保護��;如果出現與個人金融信息有關的不當行為��,不但會直接侵害客戶的合法權益���,也會增加銀行的訴訟風險���,加大運營成本��。總結起來,銀行個人金融信息泄漏主要有以下三種渠道。
(1)銀行泄漏。首先,銀行出于某種利益關系考慮可能主動將個人金融信息透露給第三方。如2010年香港金管局對外披露��,有6家銀行將超過60萬名客戶的資料泄漏給非關聯的第三方��,內地這種情況也很普遍,客戶很難區分接到的保險銷售電話究竟來自銀行還是來自非關聯的保險公司��。其次���,銀行內部人員可能非法買賣個人金融信息��。如上海司法機關日前查獲一起關于買賣銀行客戶信息案件�����,其中兩名嫌疑人已被檢察機關批捕��,批捕罪名包括涉嫌竊取���、收買���、非法提供信用卡信息罪和涉嫌出售公民信息罪���。最后��,由于對為銀行服務的外包商管理不嚴,導致外包商非法越權接觸銀行個人金融信息并引發泄漏事件。
(2)商戶及支付服務機構泄漏�����。當前���,很多現實交易及網上交易是通過商戶安裝的POS機具或支付服務機構的支付平臺進行的��,在此過程中�����,銀行個人金融信息“落地”至商戶及支付服務平臺系統內,使商戶及支付服務機構接觸個人金融信息并引發泄漏。2010年,大慶警方破獲一起案件�����,某商場員工于2008~2010年利用維修收銀臺POS的便利條件�����,從POS的程序中竊取顧客的銀行卡信息,復制了120張銀行卡���,并通過商場會員系統獲取會員身份信息和刷卡記錄,找出銀行卡和會員身份的對應關系�����,并破譯了較為簡單的銀行卡密碼�����,由此盜用20多張銀行卡���,盜取現金20多萬元���。
(3)黑客及不法分子入侵導致泄漏��。黑客可以通過腳本程序、無線網絡或植入惡意程序等途徑侵入金融機構的電腦系統�����,竊取后臺數據庫違規留存的包括磁道信息在內的賬戶信息���。2011年6月���,花旗銀行證實受到黑客襲擊���,約有1%的信用卡用戶(36萬左右)受到影響,受影響客戶的姓名���、賬號���、聯系信息(包括電子郵件地址)均被黑客瀏覽��。個人金融信息泄漏使得不法分子獲取了大量個人信息��,并成為其他諸多犯罪的源頭。一是被泄漏的個人金融信息成為電信詐騙的最佳“原材料”��。個人金融信息含有豐富的內容���,不法分子獲取后���,利用其進行電信詐騙是最為常見的危害��。在電信詐騙案件偵破中���,警方發現���,受害者個人金融信息的泄漏是根本原因���。二是被泄露的個人金融信息為冒名辦理信用卡套現�����、復制銀行卡盜取資金提供了極大便利。近年來發生的大量案件表明���,犯罪分子在獲取足夠的個人金融信息后,可通過冒名辦理信用卡及貸款�����、復制銀行卡等手段�����,盜取客戶資金,并嚴重影響客戶信用�����。三是被泄漏的個人金融信息造成眾多垃圾信息���,嚴重影響社會生活秩序��。相關單位獲取個人金融信息后�����,向這些個人進行宣傳或推銷,此類垃圾信息的頻發影響人們休息、侵害用戶健康���、干擾人們正常生活,成為一種新型社會污染。
二、個人金融信息泄漏的主要原因
(1)銀行個人金融信息管理意識淡薄��、制度不健全��。
一是銀行當前對個人金融信息保護的意識較為薄弱�����,普遍未認識到個人金融信息是銀行的重要資產,是關乎銀行聲譽、客戶隱私保護的重要因素��,未將個人金融信息泄漏作為一種重要風險來對待���,未將個人金融信息保護納入銀行整體風險管理框架中���。二是銀行個人金融信息保護機制不健全�����。未形成完善的個人金融信息保護管理制度�����,已有的相關制度主要分散于各類業務管理制度中,沒有形成體系,也無法覆蓋信息的采集、保管和銷毀等所有工作環節���。
(2)銀行個人金融信息管理內控機制不健全、信息系統建設管理不完善。
當前�����,銀行普遍未形成個人金融信息保護的有效組織和完善的信息系統���,各業務部門在個人金融信息保護方面各自為政���,信息系統中的信息互為孤島�����,缺乏統一管理���。內控方面�����,一是沒有形成專業化的個人信息管理組織,缺乏專職的個人信息保護人員,個人信息保護的職能難于充分發揮��。二是內部監督檢查力度較弱�����,沒有對個人信息保護的專項檢查制度,將該類檢查納入常規性檢查定期進行的機構比例較低�����。三是信息查詢審計跟蹤能力不足��,銀行缺乏信息調閱查詢等行為以及信息交接過程的記錄���,難于跟蹤個人信息使用的過程���。四是外包管理中���,對外包人員行為的控制有所欠缺���,對外包商的保密管理情況審計不足���。信息系統方面��,銀行存儲個人金融信息的系統建設管理也不完善,未對信息進行統一整合���。當前多數銀行的個人金融信息分散在存款、支付結算���、銀行卡、電子銀行等業務中���,業務又分屬不同部門運營,且分別由不同的信息系統支持�����,形成了許多信息孤島���,使得信息保護更加困難���。一是對系統查詢信息的權限控制不足��,工作人員查詢時�����,往往能夠獲取超過其權限的信息。二是信息系統開發和測試時�����,數據變形管理不嚴格���,缺乏關于數據變形管理的制度和規定���,數據變形工作的隨意性較大��。