近期,有关商业银行泄露客户个人信息的投诉举报事件多发,不仅使消费者合法权益受损,还会因处置不当引发负面舆情,导致银行业声誉风险。青岛银保监局结合相关投诉举报,对此开展专项调研,分析此类事件特征和背后的风险问题,并提出相关意见建议。
一、信息泄露事件特征
(一)业务发展同步性
客户隐私信息泄露频率上升,与商业银行迅速发展具有一定同步性。随着银行经营规模逐步扩大、业务创新性不断提高,加之互联网大数据技术的广泛应用,银行业务所涉及的用户信息量呈几何级数增长,操作风险因子也随之增加,更易出现内控漏洞和人员疏忽。
(二)泄露途径广泛性
结合近期投诉举报及舆情案例看,银行客户信息泄露涉及的环节多样、途径广泛。涉及环节包括但不限于信息查阅、使用、存储和传输等,几乎涵盖了业务全流程。泄露途径除了员工私自查询或出售客户信息等“主动式泄露”外,还包括“被动式泄露”,如黑客入侵系统、客户资料不当保管等。“被动式泄露”虽无主观故意,却同样揭示了银行机构的保密意识缺乏与内控管理缺失问题,需引起高度重视。
(三)负面影响放大性
对于商业银行而言,一旦泄露客户信息,除应承担相应法律责任外,还将造成声誉损失等次生风险。部分机构在事件发生后,仅采取单纯封闭消息的粗暴解决方式,一旦事件爆出,反而反弹式吸引公众“眼球”和媒体炒作,个别案例所涉银行败诉后还易通过网络媒体引起连锁效应,甚至引发群体性上访事件,导致银行经营的合法性及安全性受到广泛质疑。
二、存在的问题和困难
(一)制度体系建设不完善
一是个人隐私信息定义不统一。从消费者角度来说,个人隐私信息广义上指一旦泄露或滥用,可能危害人身财产安全、导致名誉受损或歧视性待遇等的各类个人信息。调研发现,部分银行在制度中对客户隐私信息的定义,仅局限为身份、账户、交易、财产等金融信息,却忽视了包括消费习惯、投资意愿、兴趣爱好、行踪轨迹等衍生信息。定义的不完整、不严谨,直接导致员工对客户隐私涵盖范围的认知不明确,从源头端即存在信息泄露隐患。二是制度建设与业务需求不匹配。有的银行对个人信息保护制度“泛泛而谈”,存在不少盲点或缺项,如对老年人、残疾人等特殊群体无法本人到柜台办理业务的情况,尚无客户资料打印流转的明确操作办法;有的银行对风险多发业务的配套制度建设严重滞后,如对合作机构的退出管理制度修订不及时,造成协议终止后合作机构仍利用银行名义进行宣传增信,或不当使用客户敏感数据,造成严重后果;有的银行相关问责制度笼统模糊,未能根据泄密环节和损害后果明确问责对象与处罚标准,低廉的违规成本使得风险不断累积。
(二)内控执行机制不健全
一是制度执行不规范。大多数信息泄露案例发生在基层单位,主要因为商业银行基层单位负责人“重业务考核,轻内控管理”倾向突出,主体责任意识薄弱,“以习惯代替制度”的导向造成员工道德素质和业务能力“双降”,“小错不断”却心存侥幸,疏于自省,最终酿下大错。如目前个贷客户的基础资料收集无法避免手工参与,各行对支行的飞行检查中发现,客户经理的营销台账和业务档案不妥善保管问题依旧较为普遍,存在信息泄露风险。二是行为监测不到位。目前,商业银行信息保密工作主要强调正式员工的管理,而忽视了对其他关键人员的异常行为监测。尤其是外包人员与第三方合作单位人员,虽业务权限有限,但仍能接触到一部分客户信息。部分银行以对其不承担主要管理职责为由放松管控,或缺乏有效的监测工具和手段,造成对此类人员的行为管理严重失效,风险敞口长期存在。
(三)系统更新修正不及时
近年来,国内外多起“海量用户信息泄露”事件,均因系统出现漏洞和故障引起。如系统权限清理不及时,易造成无权限人员登录泄密;系统无水印控制,易造成客户信息被截图、拍照泄露。调研发现,对于个人按揭贷款和其他房产抵押类贷款信息,辖区部分银行还未上线专门的不动产远程登记查询系统,有的银行仍通过个贷系统进行查询,但还未实现后台对查询留痕的定期监测;有的银行甚至没有统一的系统,仍由客户自主查询后提交基础材料,在客户不动产等敏感信息的查询处理上,存在一定系统管理缺失。
(四)泄露源头追溯不清晰
目前,商业银行致力于建立大数据共享机制,横向联通政府、电信、交通、医疗等多家单位,纵向贯穿数据的采集、处理和转移等多个环节。庞大共享机制的存在使得信息边界愈加模糊,泄露源头难以查证。如客户在各类APP的一键授权,使得个人信息被各类第三方平台掌握,泄露几率大幅上升;部分银行基于集团信息共享机制,向集团内其他公司提供数据用于营销,但因双方单位未签署严格保密条款,对消费者在“授权信息共享”方面前置说明不清晰,导致一旦出现信息泄露,客户均认为银行应承担全部责任。
(五)消费者自我保护意识不充分
如今电信诈骗犯罪套路迭出,青少年、老年人、农民工等弱势群体的金融知识相对匮乏,隐私保护意识较为薄弱,易受各类网购平台、第三方支付中的优惠条件诱导,随意点击不明链接、绑定个人银行卡等,成为金融诈骗的受害者或卷入非法集资活动。并且,一般情况下,客户对于个人信息泄露也均为被动式发现,无法第一时间维护自身利益。
三、相关监管建议
(一)严格授权体系,完善问责机制
一是健全信息授权管理机制。严格管控数据查询使用的系统权限,按照“知必所需、权责对应”设置岗位职责,依据“最小授权、最短期限、一事一用”进行数据授权,落实“专人专号、责任到人”的管理要求,严防泄露、损毁和篡改客户个人信息。二是完善信息保密问责制度。进一步厘清岗位人员责任,健全信息保护内部监督和责任追究机制,明确各类信息泄露和滥用的法律后果,对违规个人按情节和严重程度进行严肃问责,并追究上级领导管理责任,切实提高违规成本。
(二)关注薄弱环节,加强风险防范
一是强化第三方合作管控。应首先明确银行保护消费者信息安全的义务,不因与第三方合作而转移、减免。银行应充分评估合作机构的数据保护能力,签订相关保密条款并定期回检,确保业务合规开展,并加强业务退出后的信息安全管理,严防数据泄露。二是重视外包员工管理。在人员入职方面,要求外包供应商对外包人员进行背景调查并签署保密协议。在职期间对外包人员视同正式员工管理,要求其定期参加合规保密培训,注意业务权限的开通与审核,保证有正式员工陪同开展、复核业务,并针对性开展异常行为监测。
(三)借力科技赋能,扎牢系统“防火墙”
一是提升信息科技手段。依托总分行技术研发力量,分析客户信息流转路径,不断完善授权体系和办公系统。如持续加强网上银行、合作单位等外联接入的技术防范,采用数字证书等手段定期进行安全认证;增加敏感信息查询的系统提示,办公屏幕添加水印并标明员工姓名,有效提升警示性和事后可追溯性。二是加强日常监测预警。强化系统数据分析,利用审计模型和稽核监测模型等工具,实时筛查信息查询的系统日志,及时发现风险隐患和提取疑点数据,对于非工作时间高频查询等非常规行为及时预警,有效确保信息保密的内部媒介控制。
(四)教育监测并重,提高保密意识
一是提升员工信息保护意识。多渠道对员工进行信息保密培训,结合最新案例通报,解读相关政策法规,强化全员信息安全意识。对涉密岗位员工,更要做实行为操守培训考核;加强离岗离行人员资料交接管理,并明确其继续履行信息保密义务的要求。二是加强员工异常行为监督检查。对标监管规定,全面梳理客户信息泄露风险点,对柜员、客户经理和非正式员工等重点人员,进一步加强异常行为、营销行为和保密行为自检排查。如及时清理轮岗、借调、离行等岗位与权限不匹配的情况,建立相互约束的信息保护制衡机制;定期、不定期开展飞行检查,举一反三进行问题排查整改。三是强化消费者宣传教育。在业务开展过程中,向消费者明示信息收集、处理、使用的目的、方式和范围等,特别是对向第三方提供信息的相关内容,应明确征求客户授权同意。在日常宣传中,应统筹多方渠道资源,通过公众号、短视频、网点沙龙以及金融知识进万家等特色宣教活动,重点普及移动金融服务相关注意事项,持续加大风险提示和宣传引导力度。
(五)提升解纷能力,做好声誉管理
根据最新发布的声誉风险管理办法要求,逐步完善舆情监测处置机制。各行应成立个人金融信息保护应急小组,审慎处理相关投诉举报与被诉案件。一旦发生突发事件,根据个人信息安全分类及突发事件分级,及时组织调查事件原因并采取相应处置措施,控制不良影响蔓延。同时应向政府、公安以及监管部门报送事件情况,按规定程序向公众披露或通过媒体报道引导社会舆论,妥善处置负面舆情,维护银行机构声誉。深入分析事件成因,有效完善预警机制和监督检查措施,杜绝类似事件发生。