行业动态

 信息技术的快速发展，为远程银行的推广应用提供了支撑，但在为客户提供便捷服务的同时，远程银行作为客户信息数据的汇聚地，客户信息保护工作面临着严峻考验。如何能在为客户提供优质服务的同时，最大限度地保护客户信息、降低银行的声誉风险，本文就此针对易引发客户信息泄露的薄弱环节进行了分析，并提出有效保护客户信息、防范信息泄露的几点思考。

一、客户信息的生命周期管理

根据信息安全机密性、完整性和可用性等基本属性，远程银行管理的客户信息面临的主要威胁为泄露和篡改。客户信息在数据流转过程中，根据所处的环节不同，主要可分为存储、传输以及销毁环节，而根据客户信息所处的生命周期不同，所面临的威胁也有所差异。

（一）存储，客户信息在存储环节，存在黑客入侵数据库或者内部人员违规使用数据导致信息泄露、被篡改的风险。

（二）传输，客户信息在传输环节，存在遭受第三方攻击导致的信息泄露、被篡改的风险。

（三）销毁，客户信息在销毁环节，存在销毁不彻底、信息泄露的风险。

二、易引发客户信息泄露的薄弱环节

（一）员工风险意识薄弱，重要性认知不够

信息安全问题，最重要的是观念和意识的问题。对于银行从业人员，能否充分认识信息安全的重要性，知晓信息安全的基本内涵以及了解为什么要保护客户信息极其重要。当前，认为银行的安全仅仅取决于技术安全的观念还普遍存在，部分银行从业人员并未充分重视客户信息保护工作，没有认识到保护客户信息是银行从业人员的法定义务，对违法收集、使用和对外提供客户信息可能导致的恶劣影响和严重后果认识不足。由于认知不够，存在随意记录、保存甚至携带客户信息到工作以外场所等风险。

（二）管理制度不健全，监督整改不到位

1、管理制度不完备，或是建立的制度操作性不强，无法落地。

2、制度落实不到位，制定的制度未严格执行，在实际实施过程中存在较大偏差。

3、督促整改不力，对涉及客户信息保护工作的问题，未及时采取有效措施整改，一些问题多次发生，长期得不到纠正。

4、责任追究不力，未建立客户信息保护工作责任追究制度，对涉及客户信息保护工作的重大违规责任人，没有及时进行责任追究，未起到警示教育作用。

（三）技术未有效利用，机控能力亟待加强

在当前的客户信息保护工作中，大多是通过制度管控、对人员进行教育培训等人为管理的方式，缺乏系统自动识别信息泄露风险的手段和能力，无法在客户信息泄露事件发生前或是发生过程中提前预警，智能化风险防控水平较低，风险防范机控能力亟待加强。

三、完善管控手段，有效保护客户信息

基于以上易引发客户信息泄露的几个薄弱环节，可考虑从以下几个方面重点入手，提高科学管理水平，有效保护客户信息：

（一）加强警示教育，强化员工风险防范意识

1、持续加强员工警示教育培训，特别是向员工重点宣讲国家颁布的《中华人民共和国网络安全法》等法律法规，提高员工信息安全风险防范意识，让员工深刻认识对客户信息保密的法律义务及责任。

2、丰富警示教育方式，通过多种方式组织宣讲和组织各级人员学习银行业违规警示教育典型案例。

3、建立监督考核机制，将违规使用客户信息的行为和绩效紧密挂钩，让员工时刻谨记客户信息保护工作的重要性，以构建人人重视客户信息保护、个个落实客户信息保护工作制度的良好氛围。

（二）完善制度建设，提高制度的可操作性

1、依据国家出台的相关法律法规，健全客户信息保护制度，明确客户信息保护的范围、职责及要求，解决覆盖客户信息存储、传输、销毁各个环节的问题，做到客户信息保护零死角、流程全覆盖。

2、建立内部监督及问责机制，针对客户信息生命周期各个环节的客户信息保护，制定专项检查机制，并定期对与客户信息相关的业务、系统开展风险评估，梳理客户信息从存储、传输到销毁对应的业务流程，识别系统存在的信息泄露风险，明确每个环节数据保护的相关责任人等。

3、严格管控客户信息访问权限，对不同等级的客户信息，按照“知必所需”和“最小授权”原则进行分级授权，将能够访问客户信息的人员范围缩至最小，并确保访问客户信息的用户岗位权限与职责相匹配。

（三）提高机控水平，增强事中防控能力

1、实现客户信息显示非精确化，即各业务系统需要显示客户信息时，可在不同的业务场景根据客户信息的不同级别进行不同程度的屏蔽处理。比如，对于身份证号码，可屏蔽后六位，对于姓名，可模糊化处理姓氏，防止银行从业人员接触完整的客户信息。

2、提高系统的智能化水平，可通过系统实现对设定的计算机中含“身份证”、“手机号”等关键字的文件进行自动删除。比如，对于某些接触客户信息较多的特殊岗位，可通过系统实现自动删除相关岗位使用的计算机中含客户信息的文件。

3、加强客户信息使用情况的实时监控，通过系统实现发生客户信息使用异常事件的及时报警。比如，系统监控发现有用户频繁拷贝客户信息等异常操作时，可发出警报通知系统管理员。

在信息技术广泛应用、金融服务不断推陈出新的时代背景下，客户信息保护已成为银行面临的新挑战，只有加大科技手段的应用，有机结合人控和机控，从组织管理、信息技术上全面改进，才能全方位的有效保护客户信息。

本文刊载于《客户世界》2019年4月刊；作者秦巧单位为中国建设银行客户服务中心