杨宝英

（中国人民银行辽源市中心支行 人事科，吉林 辽源 136200）

个人征信系统操作风险防控机制研究

杨宝英

（中国人民银行辽源市中心支行 人事科，吉林 辽源 136200）

截至2016年底，个人信用信息基础数据库（以下简称个人征信系统）已为近8.8亿自然人建立了信用档案，该系统已成为世界上收录自然人数最多的征信系统。系统中的信用信息已经广泛应用于商业银行贷前审查及贷后风险管理工作中，系统的日查询量近260余万次，年累计查询量近9.4亿次。然而，由于征信操作系统某些环节较为薄弱，致使系统存在泄露个人信息的潜在风险。目前，个人信用信息保护方面的法律、法规尚未出台，因此，在系统操作上进行风险控制，保护个人信用信息安全尤为迫切。

个人征信系统；信用信息；系统操作；风险控制

一、个人征信系统操作风险及特点

个人征信系统操作风险主要是指因系统运行过程中不健全或失效的内部控制过程、人员和系统或外部事件而导致损失的风险，主要来源于四个方面。一是制度风险；二是人为风险；三是程序风险；四是系统风险。个人征信系统操作风险涉及面广、控制难、影响面大。首先，就业务领域来说，个人征信系统采集的信用信息不仅涉及到银行个人信贷业务信息，还涉及到与工商、质检、法院、税务等政府相关部门的非银行信用信息，涉及面非常广泛，基本涵盖了个人信用信息各个层面；就参与主体来说，个人征信系统涉及到发生个人信贷业务各金融机构、信贷人员以及上报个人公积金缴存信息、个人纳税信息、个人诉讼信息等政府相关部门人员。其次，操作风险难控制。［1］个人征信系统的查询用户成千上万，系统尚未设置用户查询监测模块，无法实时监测用户查询情况，基层人民银行组织对辖区金融机构个人信用报告查询合规检查工作只能通过向征信中心申请数据反馈，才能进行。最后，影响面大。由于我国个人征信系统建设起步较晚，系统还不够完善，个人异议处理业务时有发生，有的金融机构甚至出现泄露个人信用信息违法行为，发生一些诉讼案件，给社会造成了不良的影响，影响了系统的权威性。

二、个人征信系统操作风险及其管理现状

（一）个人征信系统操作风险现状

一是个人征信系统经过十几年的建设已日趋完善，在社会上的影响不断扩大，受到了社会的广泛关注。近几年，网上涌现了大量“修复个人不良记录”等各种形式的广告，其主要手段是不法中介公司利用公众急于清除逾期不良记录的心理，打着银行的幌子，采取欺骗的手段，谎称能够在个人征信系统中删除个人的逾期不良记录，骗取申请人高额的手续费用。这种现象在社会上引起了不良的反响，因此征信系统的安全面临着严峻挑战。二是查询人员操作不规范。个别金融机构网点查询人员在办理贷前审查、担保资格审查以及信用卡审批工作中，未经申请人授权，便查询客户的信用信息，甚至有个别银行的信贷人员发生了出卖系统个人信息的违法行为，侵犯了金融消费者的权益。三是系统用户安全认证不高。截至2016年末，个人征信系统共设置近8.9亿个查询用户。尽管《个人信用信息基础数据库管理暂行办法》对系统安全包括数据上报、用户的设置、用户权限的赋予等相关系统安全进行了明确规定，但从系统的安全认证实际情况来看，系统只按月对普通用户密码自动提示更新，密码设置过于简单时系统并无提示，同时系统未设置防止用户盗用自动识别编码。四是系统管理日志不完善。未建立系统的管理日志、操作日志功能，无法对系统建立用户、新建机构、权限赋予等重要操作进行监测，也无法对操作风险自动识别及预警。五是系统非现场功能模块设置不完善，无法对金融机构的风险点进行非现场监管。数据的业务报送、用户创建、信贷数据质量监测、信用报告查询监测等非现场监管模块的缺失，致使基层人民银行不能及时掌握商业银行信贷数据是否存在迟报、错报、漏报等情况，数据的报送质量、真实性无法保证。同时，对涉及到个人异议处理、数据更正处理等影响到个人信用信息安全的重大操作系统无法汇总显示，这在一定程度上制约了基层人民银行对商业银行个人征信系统制度执行情况的有效监管。六是系统风险尚存。个人征信系统正式运行于2006年1月1日。目前，该系统收集的自然人数以及信贷数据信息量巨大，已为近8.8亿多自然人建立了信用档案，查询量日均近257万次。各金融机构按月上报信贷数据信息，未实现T+1上报，数据相对滞后，基层查询用户在查询时遇到拥堵的现象时有发生，严重威胁到系统安全。

（二）个人征信系统操作风险管理现状

一是个人征信系统发展环境不断改善。人民银行自开展征信体系建设以来，非常重视征信立法建设，一直将征信法律、法规的建设放在首位，积极起草并于2013年推动《征信管理条例》出台。《条例》从总则、征信机构、征信业务规则、异议和投诉、金融信用信息基础数据库、监督管理、法律责任、附则等八个方面规范征信活动，保护当事人合法权益，引导、促进征信业健康发展。《条例》的出台为征信机构从事征信业务提供了法律保障，能够有效地提高个人征信系统风险管理。二是个人征信系统操作风险管理水平亟待提高。目前，个人征信系统的风险管理更多的是事后被动督导型管理，而不是事前主动引导型管理和事后被动督导型管理相结合。在具体实际工作中，主要采取现场检查的方式对金融机构执行个人征信制度相关情况进行检查，检查所需数据受总行征信中心反馈的时间限制，基层人行开展的现场检查次数有限，无法及时掌握金融机构执行系统的合规性；在风险管理机制上，主要以规范业务为主，尚未建立严密的惩戒机制；在风险管理重点上，主要强调系统用户安全、个人信用报告越权查询等单个过程的管理，而不是强调全面风险管理体系的构建。

（三）个人征信系统操作风险的成因分析

我国个人征信系统操作风险产生的原因是多方面的。一是相关的个人征信方面的法律法规相对滞后。个人征信系统已经正式运行近12年，虽然《征信管理条例》已经出台，但相关个人（企业）信用信息采集尚未出台实施细则，人民银行目前开展的非银行信息采集工作、农村信用体系试点建设工作、中小企业信用体系建设等创新工作均缺乏法律依据，从而使个人征信系统在防范法律风险上陷于困境之中。二是系统硬件资源、软件配置有待改进。目前，随着金融机构个人信贷业务的发展以及涉及到个人信用其他非银行信息的接入、个人征信系统的存量和增量数据都在不断加大，系统的存储能力已经无法适应业务发展的需要。同时，各金融机构绝大多数采用接口程序上报信贷数据信息，由于接口程序的不完善，导致系统数据迟报、错报、漏报情况时有发生，在一定程度上给个人的经济活动带来了不便，也使银行承担着客户信用损失的责任。三是内控制度不健全。个人征信业务在我国发展虽有12年之久，但其业务管理制度仍处于不断完善之中，风险管理制度还不成熟。大多数银行的个人征信系统操作风险管理基本上只是停留在合规查询个人信用报告、个人异议处理是否超期、系统用户是否及时备案等涉及系统风险的具体操作工作上，未形成行之有效的系统安全风险管理、异议处理风险以及个人信用信息权益风险管理体系。

三、我国个人征信系统操作风险控制研究

（一）完善个人征信体系建设工作制度

一是加快制定征信法规。通过法律对征信系统管理、政务和企业信息披露、个人隐私保护等内容进行规范。二是建设征信机构体系。汲取其它社会信息化工程的经验教训，采取信息集中处理模式，建立一个或两个采集保存全国信用信息资源的大型征信机构，以便于信息汇总、规范及跨地区查询，同时也便于信息披露的严肃和规范。三是推动行业标准化建设。在行业内，各个征信机构自发组织制定行业规定，实现自我管理、有序发展。四是提高全社会信用意识。我国个人信用体系发展缓慢的一个重要原因就是缺乏信用意识，以致造成了信用泛滥。［2］

（二）完善个人征信系统外部监督机制

制定商业银行操作风险的评价标准和体系，对包括个人征信系统在内的各业务及管理层面的操作风险控制的原则、方法、措施等做出明细化要求，同时加强对商业银行的外部审计、检查和评估的力度。

（三）加强个人征信系统操作风险的内部控制

首先，完善内控制度。建立个人征信系统操作风险管理组织体系。个人征信系统操作风险管理组织应独立于传统银行业务的风险管理体系。具体包括个人信用信息采集政策制定环节、采集环节、上报环节、用户管理环节、查询控制环节、异议处理环节、数据信息的管理环节和监督管理环节，这八个环节自成体系又相互配合。其次，健全内控体系和风险管理制度。建立三级（总行、省会分行、地市中支行）风险控制制度，明确规定各个级别的职责范围，加强个人征信业务的检查监督，将个人征信系统操作风险控制纳入到银行内部风险工作的整体计划之中。

四、建立个人征信系统非现场监督制度

通过明确基层人民银行非现场监管职责，制定非现场监督管理实施方案，增设非现场监管模块，编制商业银行非现场监管报表，执行非现场检查等手段，加强对金融机构系统合规性使用的监督、预防与控制系统风险等工作。一是增加对辖内商业银行用户监管功能。通过该功能，可以实时查询商业银行用户的创建、变更、权限设定等情况，及时掌握商业银行用户创建、变更是否及时在当地人民银行备案，加强系统用户安全管理。二是增加对辖内商业银行数据报送监管功能。该模块主要实现功能包括按时限和业务种类等内容查询、下载商业银行数据报送清单，通过与商业银行信贷系统比对查看是否存在迟报、错报、漏报现象，确保数据上报的及时、准确、完整。三是增加对辖内商业银行个人信用报告查询监管功能。该模块可适时掌握商业银行个人信用报告的查询使用情况，通过与商业银行个人信用报告查询登记簿登记情况比对，检查商业银行是否存在无授权查询行为，规范商业银行查询操作。四是增加对商业银行个人信贷业务汇总功能模块。通过该模块可以查询商业银行各网点的信贷发生额、余额，便于基层人民银行动态掌握区域个人信贷业务变化情况，为上级行信贷决策提供信息支持。五是增加对商业银行个人信贷业务逾期情况汇总模块。通过此模块可以查询全辖个人信贷业务逾期发生额、余额、逾期笔数，以便基层人民银行及商业银行结合本地实际情况，有针对性地开展征信知识宣传，提高个人的信用意识。

五、加强系统安全管理，防范系统风险

（一）完善用户安全认证设置，建立系统安全认证平台

一是对用户密码设置进行限定，要由数字与字母组成，对于密码设置过于简单、不符合要求的，系统能够自动进行识别并进行相应提示。二是系统密码进行更新时，系统设置的新密码要与原密码不一致，如存在一致的情况，系统要设置识别功能，防止用户始终使用同一密码。三是用户输入口令与密码后，系统要增设用户校验码，防止用户被盗。

（二）加强系统日志管理

在系统管理中，增设系统管理员用户、普通用户的管理日志功能模块，对系统用户数据上报与修改、机构增设、异议处理等重要操作进行实时记载，确保系统用户的重要操作有据可查。

（三）完善各金融数据上报接口程序，加强系统的软硬件环境建设

依据各金融机构日常数据上报质量的监测，组织相关技术人员、业务人员有针对性地研究解决因接口程序不完善导致的错报、漏报数据等问题。同时，要不断改善系统的运行环境，对系统的硬件设备进行升级，以适应个人征信业务不断发展的需要。

［1］冼利.试论信用卡风险管理的系统化对策［D］.广州：暨南大学，2005.

［2］陈勇，胡改琴，胡雪琴.我国商业银行信用卡操作风险控制研究［J］.现代经济，2008，（8）.

［责任编辑：于明霞］

Study on Operational Risk Prevention and Control Mechanism of Personal Credit System

YANG Bao-ying
（Personnel Section,Liaoyuan Branch of People`s Bank of China,Liaoyuan 136200,China）

As of the end of 2016,the personal credit information database(hereinafter referred to as the personal credit system of credit archives）has been established for nearly 900 million people,the system has become the world's largest collection of natural credit system.Credit information system has been widely used in the risk management of the commercial bank before the loan review and loan,the daily amount of more than 260 query system,query cumulative amount of 940 million times.However,due to some aspects of credit operating system is relatively weak;resulting there is a potential risk of leakage of personal information in the system At present,laws and regulations of the personal credit information protection have not yet introduced,therefore,the risk control system in the operation,safety protection personal credit information is particularly urgent.

personal credit system;credit information;system operation;risk control

F724.5

A

2017－07－21

1671-6671（2017）06-0032-04

杨宝英（1971－），女，吉林辽源人，中国人民银行辽源市中心支行人事科主任科员，中级经济师。