浅析金融从业人员履职中的泄密风险

梁绥

根据《中华人民共和国反洗钱法》《金融机构反洗钱规定》等法律法规，中国人民银行是国务院反洗钱行政主管部门，依法对金融机构的反洗钱工作进行监督管理，金融机构的反洗钱工作包含客户身份识别、身份资料及交易记录保存、上报大额及可疑交易报告等。因此，金融机构的反洗钱从业人员可在其日常履职中，获取大量公民基本身份信息及关联账户的交易信息。同时，国内外信息安全事件频发，不仅影响金融机构的形象，还可能造成巨大的经济损失。为此，监管部门不断细化相关政策法规，提升监管要求。

一、泄密处罚事件

近几年，因金融机构违反《中华人民共和国反洗钱法》第三十二条第五款规定“违反保密规定，泄露有关信息”的处罚事件时有发生。

2018年，某省农村信用社联合社，因违反保密规定等行为被处以130.7万元罚款。温州银行某分行因违反保密规定、泄露有关信息等反洗钱相关规定，被处以40万罚款。中国银行某分行因违反《中华人民共和国反洗钱法》第三十二条第五款规定，被处以20万元罚款。2020年，中国农业银行某支行因侵害消费者个人信息依法得到保护的权利和违反反洗钱管理规定，泄露客户信息被合并处以1223万元罚款。

二、导致泄密事件发生的原因分析

从国内外众多客户信息泄露事件来看，导致其发生的主要原因有：

（一）金融系统存在易被黑客攻击的安全漏洞

黑客利用服务器蹲守扫描金融机构的安全系统，一旦发现系统出现漏洞，就植入木马病毒，盗取客户信息。2014年，美国摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露，网络黑客就是通过远程获取摩根大通数十个服务器的登录权限，偷走客户姓名、住址、电话、邮箱等个人信息。

（二）金融从业人员难以抵挡利益诱惑

从业人员受利益驱使在工作之余，通过复制、手抄、拍照等方式记录客户信息，进而贩卖公民信息，或自行盗用客户信息。一直以来，国内外均存在大量买卖客户信息的“黑市”，根据个人信息“品质”的不同，每条从低至几分到高至几百不等。

（三）保密意识淡薄导致的潜在信息泄露风险

一是金融机构风险防范意识不强。如，机构给予工作人员查询客户信息的权限设置不合理或工作审批流程存在缺陷。此外，金融机构与合作方“共享客户信息”加大客户信息泄露的风险。2013年，中国人寿爆发的泄密门事件，正是因合作方众宜风险管理网的疏忽导致80万份保单被公开。

二是工作人员保密意识不够。如，金融机构履职人员随手丢弃废弃的客户信息、为方便工作使用互联网传输客户信息等。2017年的"资管新规"泄密事件，借调人员偷拍银监会内部文件，被银行同事私自转发至网络，导致该文件在多个金融行业微信群及有关人员微博、博客、公众号中不断转发，最终造成涉密信息在互联网上被大范围公开传播。

三是公民警惕性不高。不法分子通过模仿金融机构给客户拨打电话、发送短信等方式，诱骗客户登录或回复个人信息到指定的钓鱼网站，以获取公民信息。根据公安部信息显示，2019年，全国共破获电信网络诈骗案件20万起，抓获犯罪嫌疑人16.3万人。

三、建议

当前，在金融行业数据已经成为各机构的核心资产，也是监管部门高效开展监管活动的主要依据。作为核心资产应受到重点保护，机构和监管部门应建立健全信息防护体系，加大对从业人员的培训，促进全员提高保密意识。

（一）健全信息泄露法律法规

做好立法全面规划，确保立法质量，是开展信息安全的基础性工作。一是国家要从信息主体、客体、内容三方面构建立法框架。对信息主体获取、传递信息等行为进行严格规范，对客体信息保护、公民义务与权力等方面完善法律支撑。二是监管机构要根据国家法律法规进一步明确反洗钱信息范围，建立内部监督管理办法，规范相关人员履职行为及泄密纪律处分或行政处罚。三是金融机构要细化反洗钱岗、相应业务人员履职要求，建立防止信息泄露的监管部门或领导小组，严肃违规问责机制。

（二）优化信息系统防护建设

建立健全安全防护体系必不可少，可避免出现系统漏洞、外部入侵、内部人为违规操作等问题。一是加强信息网络安全系统建设工作。金融机构在进行信息化建设的过程中要着重组建健全、完善的信息网络安全系统，信息科技部门和信息完全部门要紧密配合，确保硬件设备对系统的支撑力，做好信息网络安全与系统研发的融合工作。二是加强身份认证及访问控制管理。合理分配反洗钱相关系统的登录角色及访问权限，针对不同类别信息设置不同的查询权限和认证方式。三是做好系统日志跟踪管理工作。系统日志要能够准确记录登录人员的操作指令及相关要素，跟踪工作任务的流转痕迹，确保工作日志的可稽核性。

（三）加大全员保密意识教育

加强防信息泄露人才培养，持续强化保密观念。一是坚持惩处与教育相结合，引导从业人员端正职业道德。金融机构和监管机构均需要制定一系列职业道德规范，包括但不限于思想引导性的正面内容、信息和泄露等界定性的严格标准以及更改或泄露信息的强制性惩罚措施。二是提升从业人员应变能力，形成良好的保密氛围。当前信息安全技术的飞速发展，已有的管理机制可能会出现无法满足其发展的窘迫情况。这就要求从业人员提升工作并变能力与危机处理能力，能够根据现有的规章制度举一反三，灵活应对危机情况。三是加大开展信息安全風险排查工作。机构和监管部门均需要定期及不定期开展专项自查、风险排查、外部检查等工作，提高从业人员履职警惕性，及时发现履职存在的潜在泄密风险。