个人金融信息保护管理的现状与改善对策

作者简介：陈晓阳（1991-），男，河南新乡，工作单位：广东金融学院，职务：学生。

傅聪（1992-），男，广东梅州，工作单位：广东金融学院，职务：学生。

徐文敬（1992-），男，广东梅州，工作单位：广东金融学院，职务：学生。

摘要：近年来，商业银行储蓄金钱的同时贮存了大量的个人信息，我国的法律，法规对商业银行在保护个人财务信息管理制度上是很不完善的，储户对信息保护较低的商业银行的很不满意，常常一起纠纷。本文章简述了个人金融信息保护管理和商业银行对个人信息问题的现状，并提出相关的改进措施或意见。

关键词：商业银行；个人金融信息；保护管理

由于金融领域应用的信息透明和网络虚拟化水平不断上升，造成现代社会个人的信息安全无法有效保护，产生个人财产危害相关问题的不断上升。银行作为一个从公民到政府之间的信息收集专业权利机构，以及为公民财产提供重要的存储和托管的组织，银行必须有责任和义务，为公民的信息安全提供保障。近年来经常发生的银行个人信息泄漏，致使很多公众感到惊讶和恐惧，所以，我国银行应在民众的要求下加强保护个人金融信息。

1.个人金融信息泄漏渠道

1.1银行泄漏

一是银行在有利可图的时候可能会将一些关于个人财务的信息透露给购买方。据调查在2010年，金融管理局披露有6家银行将60多万客户个人金融信息泄露给相关的购买者，这种现象这几年在大陆是很常见的，我们有时是很不容易判别是接到的电话是来自银行还是保险销售公司，还是从事非法活动的的保险公司；二是，银行机构的的内部人员为了个人的利益，倒卖客户的个人财务信息。在上海最近追查到市面上有出售的银行客户信息的情况，后来这两名嫌疑人被依法定罪，罪名包括涉嫌盗窃，出售贿赂，非法提供信用卡信息罪；三是，由于银行外包服务管理出现问题，导致外包商非法的、未经授权访问的个人金融信息及银行账户信息。

1.2商户及支付服务机构泄漏

近年来，许多现场购物和网上购物，可以通过POS机安装商户终端或支付服务平台，并在交易过程中，通过系统内的商家终端或是支付服务平台可记忆个人金融信息，之后商家和支付服务平台人员可随时访问用户的财务信息，最终导致泄漏。 在2010年，警方就已破获一起商场员工在其工作期间，利用便利条件，收银员通过POS机记忆功能，盗用POS机程序致使客户的银行卡信息被盗，银行卡被复制数张，破译一个相对简单的银行卡密码，从而窃取了数张银行卡内的金额，超过20万美元的现金。

1.3黑客及不法分子入侵导致泄漏

黑客自身可以制作脚本，通过无线网络或者植入恶意程序的方式入侵金融系统的电脑程序，进入后端数据库进行盗取，包括复制信息个人行为，账户信息。 在2011年，美国花旗银行就受到黑客的非法攻击，影响到了大约360，000左右的信用卡用户，黑客盗取了客户的姓名，帐号，联系信息。可见多么危险。

2.个人金融信息泄漏的主要原因

2.1银行个人金融信息管理意识淡薄、制度不健全

目前，银行相关机构对个人金融信息的保护不够重视，没有意识到给个人影响巨大，保护个人财务信息，就是保护一项重要的资产银行，就是保护银行的信誉，保护客户隐私的一个综合能力，相反如果个人的金融信息泄露，会带来一个时代的风险来对待，不保护个人财务信息，银行的整体风险管理框架会受到严重的影响。这些往往是由于银行对个人金融信息保护管理机制不健全造成的。所以，要想形成一个完善的个人金融信息保护管理系统，现有分散的相关制度在各业务管理系统需要统一，成立组织的系统性保护，覆盖工作包括信息收集，存储和销毁的所有方面。

2.2银行个人金融信息管理内控机制不健全

现在，银行一般不进行有效的保护个人财务信息，提高信息系统的安全性，各个部门在保护个人财务信息方面凌乱，信息系统没有信息进行整体收集，缺乏统一的管控。内部管控方面，主要是没有形成专门的个人信息的管理机构，缺少专业的人员进行保护个人信息，从而难以实现个人信息保护，无法充分发挥保护功能。其次，内部监管和检查比较薄弱，缺少个人信息保护制度执行的专项检查，检查内容未进行常规检查，定期进行机构检查的覆盖率较低。再一个就是，信息查询跟踪审计工作落实不到位，银行和其他账户的信息当进行过信息查询时缺乏记录过程，难以跟踪谁在这个过程中使用过个人信息。最后一点是，外包管理缺乏，外包人管理的控制的行为是需严格保密的，保密外包整个过程接受审计，评审。

2.3对商户及支付服务机构的管理不规范，缺乏有效制约

与银行合作的商户或是第三方支付服务平台需要提供商为个人金融信息的保护的责任，个人金融信息保护对银行和第三方支付平台也是一种义务。但是，目前银行签约商户没有规范的管理，第三方机构更是缺乏有效的监督，从而造成银行和支付服务平台或提签约商家松散的管理。没有签署合作协议，落实责任。没有明确使用个人金融信息的权力，没有足够的安全的保护技术，银行更是缺乏定期检查监督，常规检查经常流于形式上的。其次，我国未出善的机制进行监督支付服务的企业和组织。付款服务给为商家和用带来了方便，但对个人财务信息往往造成泄漏，这样的监管机制目前缺乏有效的实施。

3.个人金融信息保护的建议与对策

3.1银行层面要提升意识、构建机制

首先是要加大银行内部的管理。银行业金融机构应有约束自身提高客户的个人信息安全管理的制度和法规，主要对客户的个人信息的采集，存贮，信息有效周期等整个过程实施有效地保护，确保客户的个人信息安全，建立完善的信息安全和内部管理规范，将各岗位人员的任务和职责包含信息安全管理与控制，并且对过程中各岗位人员和管理职责和权限实施监督考核，做到切实保密，将带有个人信息的纸张和电子文件集中统一安全监管，个人信息的浏览，复制等必须经过严格的审核，登记和监督管理，加强考核责任制，定期检查信息安全的情况，通过审计工作及时进行用户信息的风险和脆弱性评估。其次提高信息系统的组建和管控。一方面在大量的银行信息系统的基础上，进行信息整合，真正实现以客户为中心的理念，全面整合个人财务信息，方便统一保护和管理；另一个方面要不断的完善信息安全管理机制。银行业金融机构应对信息系统可能遇到问题应用先进的科学技术来评估风险，运用防火墙等工具，数字证书认证等第三方认证技术。

3.2加强银行业个人金融信息保护工作监管

首先，我们必须考虑将保护个人财务信息纳入银行的整体风险监管体系。监管部门按照有关的法律法规保护公民信息，客户的个人信息保护需要有关部门制定不同机构部门的规范进行执行，明确银行对客户的个人信息的收集，使用整个过程受保护的详细的规章制度，明确违反的银行业机构的责任和个人赔偿力度，造成客户较大的经济损失的或者造成不良社会后果，视情节给予处罚，或采取强制措施。其次，银行可以启用标准化技术委员会，制定客户的个人金融信息的保护规范和标准，推动建立完善的监督体制，促进银行业良性发展，从而更好地保护个人信息，使人民利益不受侵害。最后通过加强对银行的师弟监督和非现场监测，加强客户的个人金融信息数据库的维护和管理，银行机构需建立安全管理体系，规范个人金融信息数据库，以防止信息被泄漏、盗用。

3.3国家层面要加快立法进程

首先，国家相关部门建立统一的系统，多角度的法律和法规，创建一整套以保护个人信息法律标准，法律规定要求银行具有完善的信息管理系统，约束金融监管机构的规则及法规，建立合法合理的个人信息的查询方法，奖励行业监管机制。其次成立专业的信息资源管理部门，对使用个人信息的组织或个人严格监督。最后，提高我国民众的自我保护意识。经常开展宣传活动，培训公众注意保护个人信息能力，减少因自身意识不强带来的损失。（作者单位：广东金融学院）

参考文献：

[1]盛雅琴. 论个人金融信息的保护[J]. 法律事务，2011（3）：11～14.

[2]唐友伟. 个人金融信息保护工作亟待完善[J]. 基层论坛，2012（5）：4.

[3]张磊.个人金融信息保护管理现状与改进[J].信息安全，2011（9）：34～36.