導(dǎo)語：防治銀行客戶信息泄露思索一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

近年來，隨著電子銀行與電子商務(wù)的日益普及，銀行客戶信息泄露現(xiàn)象急劇攀升，銀行客戶資料驚現(xiàn)鬧市垃圾堆、銀行把客戶資料當(dāng)成廢紙賣給廢品收購站、銀行向第三方出售客戶信息用作商業(yè)推廣等令人瞠目結(jié)舌的新聞報道不絕于耳，不僅給客戶造成了資金損失，而且嚴重影響了銀行業(yè)在社會公眾中的形象。如何有效防止銀行客戶信息泄露，已經(jīng)成為擺在我們面前的重要課題。

1信息泄露渠道五花八門

（1）不法分子直接盜取客戶信息存儲介質(zhì)一些不法分子利用工作之便，內(nèi)外勾結(jié)，尋找銀行或中介公司安全防范工作中的薄弱環(huán)節(jié)，伺機竊取存有大量客戶信息的電腦存儲介質(zhì)，如硬盤、光盤、U盤等，或用移動存儲介質(zhì)從服務(wù)器中直接拷貝客戶信息。例如，劉某在一家計算機公司工作，其利用為某銀行ATM機監(jiān)控系統(tǒng)進行維護的便利條件，從該監(jiān)控系統(tǒng)中備份出數(shù)十萬個客戶的銀行卡號、姓名等信息，并存入個人攜帶的U盤中。爾后劉某以“123456”為密碼，成功測試出10個客戶的銀行卡密碼，通過偽造信用卡取現(xiàn)近10萬元。

（2）黑客非法入侵系統(tǒng)服務(wù)器竊取客戶信息以金融欺詐為目的的惡意黑客長期耐心地“盯”住銀行機構(gòu)、中介服務(wù)機構(gòu)的系統(tǒng)服務(wù)器，一旦發(fā)現(xiàn)系統(tǒng)安全漏洞，就伺機植入木馬程序，以竊取海量客戶信息。按不同的系統(tǒng)，可分為：入侵網(wǎng)絡(luò)銀行服務(wù)器，入侵為銀行提供數(shù)據(jù)處理、存儲業(yè)務(wù)的中介公司系統(tǒng)服務(wù)器；入侵自動取款機系統(tǒng)服務(wù)器。例如，網(wǎng)名為“絕對計劃”的梁某在網(wǎng)上下載了一個掃描工具，用來掃描各個網(wǎng)上銀行的服務(wù)器，尋找漏洞。之后又利用找到的漏洞上傳了掃描工具，下載到一個數(shù)據(jù)庫，從中獲取了網(wǎng)上銀行客戶信息，并成功將網(wǎng)銀客戶的20萬元資金盜走。

（3）中介機構(gòu)等販賣客戶信息受利益驅(qū)使，物管、中介公司以及掌握客戶資料的航空、醫(yī)療、電信等機構(gòu)的內(nèi)部工作人員，違反法律法規(guī)，無視職業(yè)道德和商業(yè)倫理，向不法分子販賣客戶信息，以獲取非法收益。例如，犯罪嫌疑人易某等向某市物業(yè)中介公司非法購買業(yè)主信息，包括業(yè)主的姓名、電話、購房時間、地址、金額等情況，然后以房管局工作人員的名義給業(yè)主打電話，謊稱根據(jù)國家新政策，業(yè)主所買的房子可享受房價總額1％的退稅，要求業(yè)主用銀行卡進行轉(zhuǎn)賬，致使12人受騙，金額達30萬元。

（4）銀行對外出售客戶信息引發(fā)信息泄露2010年7月《法制日報》披露，光大銀行福州分行在未取得客戶同意的情況下，擅自與福州都購傳媒有限公司簽訂合同，向其出售信用卡客戶資料。另據(jù)2010年8月香港金管局對外披露，在港的工銀亞洲、花旗等6家銀行將超過60萬名客戶資料轉(zhuǎn)移至非關(guān)聯(lián)第三方做推廣用途，并有銀行從中收取報酬。

（5）銀行員工及關(guān)聯(lián)人員利用工作之便截留客戶信息2008年9月《青年報》披露，設(shè)在上海的渣打銀行分支機構(gòu)的一名員工王某，利用職務(wù)之便盜用一秦姓客戶辦理個人貸款時向銀行提供的身份證、收入證明等復(fù)印件，冒用秦某名義到浦東發(fā)展銀行辦理一張信用卡，并利用該信用卡先后透支2.3萬元。

（6）銀行未妥善管理客戶信息導(dǎo)致信息泄露今年2月，《每日經(jīng)濟新聞》發(fā)表題為《農(nóng)行儲戶資料驚現(xiàn)鬧市垃圾堆，隱私信息遭丟棄》的文章，指出在農(nóng)行某支行附近的垃圾堆旁發(fā)現(xiàn)裝有至少200位儲戶家庭住址、電話號碼、收入狀況等隱私資料的垃圾袋。另據(jù)2009年3月《南方都市報》報道，在廣東省佛山市某廢品收購站內(nèi)，中國銀行佛山某支行印有客戶資料的抵押合同和房產(chǎn)證復(fù)印件被當(dāng)成廢紙出賣。而早在2006年10月《京華時報》就曾報道，某客戶發(fā)現(xiàn)招商銀行某支行營業(yè)廳內(nèi)的電話查詢系統(tǒng)保留了客戶身份證號和密碼，使得查詢者能輕易地看到以往客戶的相關(guān)數(shù)據(jù)。

（7）釣魚式欺詐采用的主要手段是，不法分子首先克隆銀行、電子商務(wù)、傳媒等知名網(wǎng)站，再大量發(fā)送聲稱來自這些機構(gòu)的欺騙性短信或電子郵件，意圖誘使收件人登錄克隆網(wǎng)站，騙取用戶的敏感信息，如網(wǎng)銀或信用卡賬號及口令等。例如，今年以來丹東地區(qū)有人收到此類短信：您的號碼已被央視非?！?＋1”選為幸運網(wǎng)友。登錄此網(wǎng)站后，用戶被要求填入姓名、網(wǎng)銀賬號及密碼，以確認身份。有人由于缺乏風(fēng)險防范意識，信以為真，因此泄露了重要信息，導(dǎo)致網(wǎng)銀賬戶資金被盜。

2信息泄露凸顯銀行管理漏洞

（1）銀行客戶信息保護機制不完善，違規(guī)成本低廉一是客戶信息保護制度不健全。銀行業(yè)金融機構(gòu)在客戶信息保護方面的制度大多為原則性規(guī)定，未形成覆蓋個人信息采集、保管和銷毀等各個工作環(huán)節(jié)的實施細則，許多銀行缺乏信息調(diào)閱、查詢等信息交接過程的記錄，為泄露客戶信息埋下了風(fēng)險隱患。二是內(nèi)部問責(zé)制度缺失。部分銀行在構(gòu)建信息保護制度時，側(cè)重規(guī)定員工的保密義務(wù)，但對于客戶信息保護不力導(dǎo)致?lián)p失的責(zé)任等并未做出明確規(guī)定，也未建立客戶信息保護的專項檢查制度，低廉的違規(guī)成本使得風(fēng)險隱患不斷累積。三是信息不對稱使得外部監(jiān)督機制失靈。由于客戶無法及時掌握個人資料被銀行不合理使用的情況，這種信息不對稱容易引發(fā)道德風(fēng)險，客戶無法及時維護自身利益也導(dǎo)致了外部監(jiān)督的失靈。

（2）信息技術(shù)管理的關(guān)鍵環(huán)節(jié)存在短板，外包第三方疏于管理相比高速發(fā)展的電子銀行業(yè)務(wù)，電子銀行的風(fēng)險管理卻顯得異常薄弱，信息技術(shù)管理的關(guān)鍵環(huán)節(jié)存在諸多短板，諸如信息科技人員配備不足、網(wǎng)銀系統(tǒng)驗證碼過于簡單等問題使得信息科技的操作風(fēng)險壓力不斷增大。二是銀行對外包業(yè)務(wù)人員行為控制不嚴，部分外包服務(wù)商不具有足夠的守法意識與內(nèi)控能力，在為銀行提供服務(wù)時可能發(fā)生客戶信息泄密，使銀行面臨嚴重的信譽風(fēng)險和法律風(fēng)險。

（3）客戶自身金融安全意識淡薄，資料保管不謹慎一是客戶在進行網(wǎng)上銀行業(yè)務(wù)操作時，風(fēng)險防范意識不強。如密碼設(shè)置簡單、缺乏網(wǎng)絡(luò)病毒防范知識、輕信不明號碼發(fā)送的短信等都有可能泄露個人信息。二是對印有個人重要信息的資料管理不謹慎。如部分客戶在辦理業(yè)務(wù)后，隨意丟棄憑條，為不法分子獲取私人信息提供了可乘之機。

3信息泄露問題監(jiān)管困難重重

盡管頻繁發(fā)生的客戶信息泄露問題已經(jīng)引起銀行監(jiān)管部門的關(guān)注，但由于相關(guān)法律法規(guī)缺乏，加之廣泛實施的信息共享機制的先天性缺陷，致使信息泄露監(jiān)管蒼白無力，成效不佳。

（1）信息共享機制難以查證信息泄露源頭在我國，電信、交通、教育、醫(yī)療、金融等多家單位掌握著個人信息，同時隨著網(wǎng)上銀行、自助設(shè)備交易的普及，消費者進行跨行、跨地區(qū)交易時，賬戶交易信息已存在于其開戶銀行之外的金融機構(gòu)。這種多家單位共享信息的格局使得信息泄露查證工作十分困難。

（2）信息披露與信息泄露的邊界難以準確判斷隨著銀行間業(yè)務(wù)合作的深入和個人征信系統(tǒng)的運用，金融機構(gòu)間共享消費者信息的情況日益普及。另外，政府、司法、稅務(wù)等部門也要有適當(dāng)?shù)墓褙敭a(chǎn)知悉權(quán)，如何合理把握信息披露的尺度，將是銀行業(yè)監(jiān)管面臨的新課題。

（3）相關(guān)法律法規(guī)不健全難以依法監(jiān)管一是我國尚未出臺保護個人信息的專門法律，僅在《民法通則》、《合同法》和《刑法》等法規(guī)中簡單提及。發(fā)達國家銀行監(jiān)管部門對個人信息保護的監(jiān)管一般是在國家已經(jīng)成形的法律基礎(chǔ)上進行，主要是監(jiān)管各商業(yè)銀行對國家法律的執(zhí)行情況，而目前我國關(guān)于個人信息保護的法律建設(shè)相對滯后，使得央行、銀監(jiān)會的監(jiān)管缺乏依據(jù)。二是銀監(jiān)會關(guān)于個人信息保護的監(jiān)管規(guī)定過于籠統(tǒng)。我國《商業(yè)銀行法》和《電子銀行業(yè)務(wù)管理辦法》中均有關(guān)于銀行要為客戶保密的規(guī)定，但這種原則性的規(guī)定缺乏可操作性，個人客戶在發(fā)生信息泄露時經(jīng)常面臨“事前無知情權(quán)、事中無選擇權(quán)、事后無救濟權(quán)”的狀況，處于典型的弱勢地位。

4防泄露需多管齊下、標本兼治

（1）健全信息保護法律法規(guī)，加大信息泄露問責(zé)力度銀行客戶信息保護是一個系統(tǒng)工程，需要從憲法以及民事、經(jīng)濟、行政和刑事法律等多角度、多層次和多手段進行立法保護。作為銀行監(jiān)督管理部門，一是要借鑒國際經(jīng)驗，制定金融消費者信息保護制度。我國的金融消費者信息保護制度可以借鑒美聯(lián)儲《消費者財務(wù)隱私保密最終規(guī)則》等相關(guān)規(guī)定，明確金融機構(gòu)可以采集的消費者敏感信息、對消費者的隱私保護義務(wù)、信息披露程序、使用消費者私人信息的告知義務(wù)等。二是加大信息泄露事件的監(jiān)管力度，提高信息泄露的違規(guī)成本。對信息保護方面違規(guī)投訴較多的機構(gòu)，監(jiān)管部門要加大現(xiàn)場檢查、信訪核查、實地走訪等工作的力度，督促其及時整改問題，防止個人信息非法轉(zhuǎn)讓、傳播等行為侵害消費者權(quán)益，對于問題較為嚴重的銀行要給予嚴厲的經(jīng)濟處罰和行政問責(zé)。三是加強與公安部門的聯(lián)動，遏制外部犯罪行為。一旦發(fā)現(xiàn)侵犯存款人個人信息和資金安全的案件信息，及時移交公安部門，嚴厲打擊不法分子通過非正常渠道獲取客戶信息進行欺詐或盜取資金的犯罪行為。

（2）引導(dǎo)銀行業(yè)加強自律，優(yōu)化信息保護管理流程一是引導(dǎo)銀行業(yè)機構(gòu)通過自律公約等形式加強信息保護。如四川省銀行業(yè)協(xié)會47家會員單位在今年3月共同簽訂《自律公約》，公開承諾嚴格遵守保護客戶隱私權(quán)的相關(guān)規(guī)定，不以任何形式擅自對外泄露或披露客戶個人信息資料，引起了良好的社會反響，值得各地學(xué)習(xí)借鑒。二是督促商業(yè)銀行完善信息保護的內(nèi)部管理制度并向客戶聲明。督促各銀行將覆蓋信息采集、處理、傳輸、維護的全流程管理納入商業(yè)銀行風(fēng)險管理過程，明確信息泄露風(fēng)險控制點，及時更新防火墻、身份識別認證、數(shù)字簽名等網(wǎng)絡(luò)安全監(jiān)控技術(shù)，防止惡意竊取客戶信息的行為。三是強化外包管理和第三方控制。督促商業(yè)銀行對外包公司的規(guī)模、技術(shù)水平、業(yè)務(wù)保障能力、保密等情況進行全面評估，建立明確的外包業(yè)務(wù)信息保密措施和監(jiān)督要求，避免第三方信息泄露給銀行造成連帶責(zé)任。

（3）建立定期的系統(tǒng)測試與維護制度，及時發(fā)現(xiàn)并消除IT系統(tǒng)安全漏洞目前，銀行IT系統(tǒng)多采用外包形式，有效提高了系統(tǒng)的穩(wěn)定性與安全性。但信息技術(shù)不斷升級進步，沒有一個系統(tǒng)是絕對安全而沒有漏洞的。因此，各商業(yè)銀行要加大對信息前沿技術(shù)的關(guān)注度，對網(wǎng)上黑客論壇進行監(jiān)測，定期用一些惡意軟件對系統(tǒng)進行測試，及時發(fā)現(xiàn)問題，及時進行維護。

（4）培育專業(yè)的IT審計隊伍，提升IT系統(tǒng)審計的精準度IT系統(tǒng)任何一點管理上的疏漏或控制上的缺陷，都可能引發(fā)巨大的系統(tǒng)災(zāi)難，給商業(yè)銀行帶來無法估量的經(jīng)濟損失和聲譽損失。因此，要將IT風(fēng)險防范和控制提升到銀行風(fēng)險控制的戰(zhàn)略高度，盡快建立獨立的IT審計機構(gòu)，培育專業(yè)的IT審計隊伍，對銀行的信息系統(tǒng)建設(shè)的重大決策進行評估，對IT風(fēng)險進行嚴格有效的控制。

（5）加強關(guān)鍵崗位人員任職管理，從源頭上遏制信息泄露管理客戶信息的崗位應(yīng)視為重要工作崗位。任職前，銀行應(yīng)對擬任職人員進行必要的考核和排查，并簽定保密協(xié)議書；任職期間應(yīng)對任職人員家庭、社會、交友情況及子女出國、購房等重大事項進行必要的了解和備案，一旦出現(xiàn)不適宜情況，應(yīng)盡快將其調(diào)離工作崗位。工作期間，接觸或處理客戶信息，要保證雙人在崗、雙人認證、雙人簽字。

（6）拓展信息保護教育覆蓋面，減少銀行聲譽風(fēng)險各商業(yè)銀行要充分發(fā)揮直接面對公眾、傳播渠道廣、隊伍專業(yè)的優(yōu)勢，廣泛開展形式多樣的金融消費安全教育，提醒客戶在日常生活中注意保護個人信息，并在發(fā)現(xiàn)風(fēng)險隱患時第一時間開展風(fēng)險提示。同時通過強化信息披露等手段提高市場約束力，讓客戶了解銀行加強信息管理方面的具體措施，保障公眾知情權(quán)，減少逆向選擇的機會。

（7）加強網(wǎng)站規(guī)范化管理，凈化電子商務(wù)運營空間應(yīng)當(dāng)盡快制定法律法規(guī)對電子商務(wù)活動進行規(guī)范，健全電子商務(wù)的游戲規(guī)則，明確互聯(lián)網(wǎng)的打假主管部門，建立互聯(lián)網(wǎng)打假舉報系統(tǒng)和受理部門，明確參與電子商務(wù)各方的法律責(zé)任。同時，要進一步提高建設(shè)網(wǎng)站的技術(shù)壁壘，加強網(wǎng)站的準入管理，提升安全和加密技術(shù)的級別和應(yīng)用水平。