接入机构征信信息安全及防范分析

文| 牛 钦 刘 雷

随着互联网金融的崛起，信用报告的应用也越来越广泛，同时接入机构（接入征信系统的机构）的数量也井喷式增长。近年来，接入机构在人员或者技术方面的不正规和不完善造成了征信信息泄露的问题层出不穷。征信信息泄露既损害了信息主体的合法权利，也给所在机构带来了合规风险。目前征信信息安全工作还有很大的进步空间，信息安全技术方面也需要提高。

接入机构征信信息安全现状分析

随着互联网的普及，大数据等新技术的出现，信息犯罪的技术手段越来越高，征信机构因为涉及到个人信用信息，是信息犯罪的高发领域。接入机构征信合规工作重视不够，缺乏必要的合规教育和培训。

2016年初，在经济利益的驱使下某地方性商业银行个人信用报告查询数量激增。经调查，涉事的异常查询用户为该行员工，把查询到的个人客户信用报告兜售给网贷公司赚取好处费。目前征信查询系统的技术水平和业务覆盖能力较弱，不能精准定位查询人员的IP和MAC地址，导致发生异常查询不能精确追溯，不能及时止损。

接入机构征信信息问题分析以及防范措施

根据目前征信信息泄露的事件分析，主要原因有征信合规性低，缺乏必要的合规教育和培训工作、缺乏完善的征信合规管理机制、征信查询系统技术存在缺陷。

征信合规性低，缺乏必要的合规教育和培训工作

面对日趋激烈的同业竞争，接入机构工作重心主要放在业务拓展和提升利润方面，对合规管理特别是征信合规管理工作重视程度不够。目前，部分接入机构征信管理制度内容不完备、修订不及时，存在诸多与人民银行征信管理相关规定相悖的地方，不利于征信岗位对人员贯彻执行。

接入机构未注重对征信岗位人员开展征信管理制度、法律法规知识的培训以及必要的廉政教育，导致员工不了解规章制度或对规章制度理解不准确，征信信息安全和风险防范意识不强，因主管故意或疏忽大意行为泄露了大量客户的征信信息，既损害了信息主体的合法权益，也给所在机构带来合规风险。针对征信合规性低，缺乏必要的合规教育和培训工作的问题目前有以下几种措施可参考。

（1）接入机构征信用户应由经过征信业务培训、熟悉征信法规、规章、规范及制度的正式员工担任。接入机构要组织人员参加所在地人民银行举办的征信业务考试。考试不合格的人员要参加补考或下一次考试；连续两次考试不合格的人员，建议接入机构不安排其从事征信相关工作岗位。（2）接入机构的管理员用户、数据上报用户和信息查询用户不得互相兼职。各类用户要做到人户统一、专人专用和实名制，不得设置公共用户或者类公共用户。征信查询管理系统绑定的金融信用信息基础数据库统一查询用户，也应指定专人负责管理，并定期对该用户的查询情况进行复核。（3）征信用户调离或长期不在征信岗位的，应先行启动相关内部审批流程予以停用。严禁后续人员或临时代岗人员继续使用原岗位人员的用户。

缺乏完善的征信合规管理机制

部分接入机构在征信合规管理制度建设上存在盲区，缺乏有效的激励约束机制，对执行制度到位的员工没有奖励，对违规操作的员工也没有问责措施，违法违规行为从而得以滋生和蔓延。另一方面，征信合规文化体系建设相对滞后，征信合规管理和合规操作并未成为员工自觉遵循的价值标准，良好的职业操守和行为习惯没有形成。针对这个问题提出的防范措施有应将征信合规管理作为一项重要内容纳入日常考核评价体系。在具体考核内容上，可考虑引入征信管理制度和操作规程的建立情况、客户投诉情况、征信违规操作行为发生情况、征信信息泄露或其他侵害信息主体合法权益事件或案件的发生、处置情况以及案件防控工作落实情况等多项内容作为参考指标。

另一方面，应建立自查自纠的工作机制，推动征信系统安全、稳定、有序运行。商业银行征信系统安全、稳定、有序运行。商业银行征信牵头部门应联合信贷业务、合规管理、纪检监察等部门定期对员工征信操作行为开展合规性内部检查和审计工作，并公布征信违规行为的监督举报方式。

征信查询系统技术存在缺陷

目前，征信系统尚不能精准定位用户的IP地址，因此，一旦发生征信查询用户被盗用或征信信息泄露事件时，难以判断和识别出盗用人员实施违规查询的具体位置，更难以锁定具体盗用人员。在以后征信系统的完善中，可以着重做到以下几个方面：

（1）用户及查询行为隔离。通过将征信查询管理系统用户与金融信用信息基础数据库用户进行映射，间接访问金融信用信息基础数据库，对外屏蔽数据库实际用户和密码，实现查询用户、查询行为与金融信用信息基础数据库的隔离，避免金融信用信息基础数据库用户和密码的外泄或者盗用，并彻底防堵外单位征信用户的借道查询问题；（2）记录查询日志。征信查询管理系统后台自动记录用户名称、被查询对象、查询用途、查询时间及计算机网络地址，使得各项操作有记录、可定位、可追溯；（3）锁定查询行为。应采取绑定IP地址或MAC地址等方式，确保征信用户的操作行为受限制、责任可落实；（4）实时监测、及时预警、出现应急事件时要有足够的应急预案来阻断查询风险。

结语

征信系统接入机构种类逐年增多，出现安全问题的情况也随之增加，这对接入机构征信信息安全和征信系统都是严峻的考验。接入机构应全面的分析目前的问题并且根据提出的措施予以防范，使得征信信息更好的为公众服务。