商业银行客户信息安全保护研究

2022-11-23孙中贵州银行股份有限公司黔东南分行

品牌研究 2022年13期

文/孙中（贵州银行股份有限公司黔东南分行）

就我国对金融业发展的态势来看，其在未来只会有增无减，市场客户数量呈倍速增长，这也意味着会产生越来越多的客户信息，如果不做好信息安全管理工作，很有可能影响到金融市场的健康发展。因此，为了提升商业银行的市场口碑，规范金融市场环境，必须优化银行客户信息安全管理工作。但目前针对该方面的文献研究较少，尚未形成标准化的管理体系，对实际操作指导作用不大，由此，本文对商业银行客户信息安全管理进行研究，希望能够进一步丰富相关理论，更好地指导商业银行展开信息安全管理。

一、商业银行客户信息概述

商业银行客户信息是银行在进行业务活动过程中，通过查询中国人民银行的征信系统、支付系统以及其他系统获取、处理或储存的个人信息。对于商业银行来说，其在掌握客户基本信息之后，必须做到两点：一是客户将信息提供给商业银行，基于职业操守，商业银行必须为客户保密；二是于两家银行来说，同一个客户的信息可以被同时接受和使用，客户信息具有小范围的共享性；三是客户信息具有针对性、可识别性，只有客户信息针对性、可识别性强，才有被保护的法律价值和意义[1]。

商业银行客户信息泄露产生的危害极大，不管是对银行本身来说，还是对信息被泄露的客户来说。一方面，如果一家银行因为信息泄露而遭受处罚，会被公众质疑其工作能力，负面报道和网络发酵会引起连锁反应，品牌形象需要长时间的维护，而口碑下跌，只需要一个负面案例，很有可能会为银行带来毁灭性的打击；另一方面，如果客户信息被泄露，会收到各种骚扰电话，如果信息落入不法分子手中，可能会被冒名消费，将违反法律的事情都归纳到客户身上，致使名誉受损，征信受到影响，影响了客户的生活和工作。

商业银行的客户信息安全管理，必须基于以下几方面原则：

（1）规范定级原则。商业银行需要根据客户信息的重要程度和敏感程度，结合自身管理的能力，根据信息安全管理等级，严格按照等级规范进行管理，并制定相应的管理策略，严格实施。

（2）依法行政原则。商业银行信息安全管理必须保证信息系统的使用合法、行为合法、内容合法等。

（3）以人为本原则。对于商业银行来说，信息安全保护是信息安全管理工作的主体，意味着其很大程度上都是受制于人，所以对于主要担任安全管理的工作人员来说，必须做好其法制、信息安全教育、培训和管理工作，使具备基本的职业道德。

（4）主要领导人负责原则。商业银行的客户信息安全管理不仅与客户自身利益相关，还与商业银行的信用等级有关，银行领导人必须充分认识到自身的安全管理责任，并将其落实到相关部门和人员上。

二、商业银行客户信息安全问题产生原因

在现代市场环境下，随着大数据技术和互联网信息的深入发展，商业银行客户信息暴露面也在逐渐拓宽，在这种情况下，商业银行已经在积极采取措施进行防范，但客户信息安全风险点传染性和隐蔽性都有所增强，其防范效果始终不如预期。以下结合商业银行客户信息安全防护实际情况，从三方面进行具体阐述：

（一）互联网技术的发展

网络经济时代的来临，让人们的生活和工作都发生了巨大变化，就资金流通方面来看，电子货币代替传统纸币成了新的交易方式，为了顺应时代变化，更好融入现代市场，提升自有竞争力，商业银行逐步开通了网上银行。而智能化和风险始终相伴相随，为了保证网络交易的安全性，客户需要通过部分隐私进行验证，与此同时，大量网络信息也充斥在商业银行中，且这种网络信息具有较强的复制性，信息技术的发展也衍生出了各种网络诈骗、盗取密码等违法行为，且网络虚拟追踪十分不易，复杂化、多元化的网络环境包含了无数的风险攻击，这些都对客户信息产生了威胁[2]。

（二）违规成本代价低廉

从商业银行角度出发，其内部人员出售客户信息，往往能够获得较大利益，目前金融业发展较快，商业银行众多，且如今信息泄露行为频发，商业银行在该方面的管理工作投入较少。一是出售客户信息违法成本低廉，“低投资、高收益”，责令改正后处以1万元以上5万元以下的经济处罚，如果涉嫌犯罪，移交司法机关，相对来说这种方式代价较低，部分银行内部人员选择铤而走险，牟取暴利；二是外在的法律保障制度不完善，个人信息保护法不到位，早在2009年，《中华人民共和国刑法修正案（七）》中，首次增设了侵犯个人信息安全犯罪的条款，虽然刑法修正案推行至今，但是信息泄露行为仍然屡见不鲜，由于实际追查耗时耗力，真正被追究责任的属于少数，多数小型信息泄露案件仍是漏网之鱼。

（三）银行内部保护体系不健全

商业银行客户信息泄露，除了外界客观因素和内部人员非法兜售以外，其内部保护体系的不健全也是引起信息泄露的重要原因，主要表现在以下几方面：首先，商业银行的自身网络系统存在漏洞，网络攻击渠道众多，如光盘、电子邮件等，这些信息在传输中都有可能携带病毒，再加上信息网络的普及，网络风险攻击呈现多元化、隐蔽化，网络攻击也更具规模性，蓄意入侵，防不胜防。

一些小型商业银行的网络软件直接从外界购买，其自身软件开发能力较弱，缺少资金投入，这种三方外包行为更有可能携带网络病毒，抑或是软件开发水平较低，本身就处于脆弱环境中，更易吸引网络病毒攻击，致使客户信息泄露；其次，商业银行缺乏完善的内部控制制度和监督体系。在互联网银行飞速发展的过程中，商业银行内部的控制制度和与网络连接的风险监管体系尚未同步更新，只是通过日常工作进行防范，一旦发生针对性的攻击行为，根本无法减轻其损伤，再加上监督工作的缺乏和内部人员的主动泄露，极不利于客户信息的安全保障。

三、商业银行客户信息安全保护研究

通过对已有的文献、理论进行分析，结合商业银行客户信息安全保护现状，参考优秀案例，针对上述问题分别提出了针对性保护措施，希望以此进一步提升商业银行的业务质量，具体阐述如下：

（一）普及安全信息系统的应用

现代化、先进化的系统软件建设，是保护商业银行客户信息安全的根本手段，也是经济环境中的大势所趋，更是双方长期博弈的过程。第一，商业银行必须明确自身的安全保护策略，利用现代信息技术，构建科学的网络保护制度，同时关注信息保护技术的更新，以备不时之需；第二，采用日常管理和备份结合的方式，将业务活动过程与信息安全保护过程进行区分，采用不同的方式和系统进行推进，设置针对性的安全策略，强化信息技术与日常管理的结合，其日常管理属于信息安全保护的薄弱环节，结合木桶效应，因此商业银行必须同等重视日常信息管理工作，实现全面的信息安全保护措施[3]。

（二）完善外部法律法规建设

外部法律法规的建设是保证信息安全的基础性工作，必须保证立法项目的协同性、合理性以及预见性，具体可从以下几方面进行建设：一是明确信息的主体，从不同的角度构建适用性较强的立法框架，如从商业银行、政府部门以及群众需求三角度出发，明确各主体的实际需求，进而规范信息安全保护内容；二是必须保证商业银行信息安全处于独立状态，就商业银行的运作来看，虽然客户信息保密，但是在其内部各部门中由于业务需求仍在流转，不同地区不同部门的信息安全协调工作需要到位；三是树立满足法律要求但不拘泥于法律要求的管理观念，信息化时代下，互联网技术飞速发展，而一项法律政策的推行，则需要较长时间，很有可能不满足当前商业银行的实际需求，因此在遵守法律相关要求的时候，在法律无法解决信息安全的部分，商业银行必须酌情考虑，以维系客户信息安全为根本原则。

（三）强化内部银行安全机制建设

于商业银行内部来说，必须加强客户信息安全保护的防范工作，强化部门建设和制度形成。首先，成立信息安全保护部门，秉持“统一领导，分级管理”原则，明确各管理层级的权限，分配具体的职责和义务，确保各环节相互配合，稳定运行，主要负责信息安全系统的设计，明确信息体系管理的各项标准，实时根据外界变化配合信息科研部门研发新型网络安全管理系统；其次，建立健全内部控制制度，通过标准的制度手段规范信息安全管理，一定程度上可提升相关人员的综合素质和工作效率，先要明确客户信息安全应急管理各项标准，然后依次确定应急制度、基本管理制度以及各项业务活动规范等[4]；再次，完善商业银行客户信息安全管理的监督机制，从明确各监管主体的职责开始，以制度为约束力，发挥审计作用，其监督内容主要包括：各部门是否按照银行制度要求落实部门细则、各级工作人员是否如实按照规定完成自身工作内容、各部门是否按照自身提出的审计意见修复漏洞进行调整、安全管理制度是否得到充分运行和信息安全管理的实时保护状态如何等。尽可能通过审计实现自我保护与改进。最后，强化商业银行内部稽核力度，可借助第三方审计作用，保证内部信息安全管理相关方面具有较强的真实性、公正性，能够真正发挥保护作用。另外要做好信息系统的安全稽核工作，通过集中监控、分级管理实现信息系统的逐层次更新；通过分批建设、逐步集成实现数据汇总管理，再对数据进行分析处理；通过实施监控、及时报告实现安全隐患的全面检测，便于及时发现，及时处理；通过自建和外包结合的方式，不断提升安全信息系统的实用性，使其与商业银行自身的运行模式充分结合。

四、结束语

综上所述，在现代竞争激烈的金融环境下，商业银行间的客户信息安全管理工作不尽相同，同时也是各银行的薄弱环节，要想提升其市场占有量，吸引更多的客户，就要针对信息安全管理下手，以此提升自身的核心竞争力，达到推动银行长远发展的目的。

由于对相关文献、理论等搜集工作不到位，且自身研究能力有限，视野不够开阔，致使本文提出的优化策略难免浅显，未来会继续学习、研究，力求提出更具操作价值的信息安全管理策略，希望能够切实提升商业银行客户信息管理能力，助力其构建科学、全面的防范信息泄露体系，保障资本市场的绿色运行，推进金融市场的良性运行，创造更多的社会价值。