防治银行客户信息泄露思索

防治银行客户信息泄露思考

近年来，随着电子银行与电子商务的日益普及，银行客户信息泄露现

象急剧攀升，银行客户资料惊现闹市垃圾堆、银行把客户资料当成废

纸卖给废品收购站、银行向第三方出售客户信息用作商业推广等令人

瞠目结舌的新闻报道不绝于耳，不仅给客户造成了资金损失，而且严

峻影响了银行业在社会公众中的形象。如何有效防止银行客户信息泄

露，已经成为摆在我们面前的重要课题。

1信息泄露渠道五花八门

（1）不法分子直接盗取客户信息存储介质一些不法分子利用工作

之便，内外勾结，查找银行或中介公司平安防范工作中的薄弱环节，

伺机窃取存有大量客户信息的电脑存储介质，如硬盘、光盘、U盘等，

或用移动存储介质从服务器中直接拷贝客户信息。例如，刘某在一家

计算机公司工作，其利用为某银行ATM机监控系统进行维护的便利

条件，从该监控系统中备份出数十万个客户的银行卡号、姓名等信息，

并存入个人携带的U盘中。尔后刘某以“12345朗密码，成功测试出

10个客户的银行卡密码，通过伪造信用卡取现近10万元。

（2）黑客非法入侵系统服务器窃取客户信息以金融欺诈为目的的

恶意黑客长期急躁地“盯”住银行机构、中介服务机构的系统服务器，

一旦发觉系统平安漏洞，就伺机植入木马程序，以窃取海量客户信息。

按不同的系统，可分为：入侵网络银行服务器，入侵为银行供应数据

处理、存储业务的中介公司系统服务器；入侵自动取款机系统服务器。

例如，网名为“确定方案”的梁某在网上下载了一个扫描工具，用来扫

描各个网上银行的服务器，查找漏洞。之后又利用找到的漏洞上传了

扫描工具，下载到一个数据库，从中猎取了网上银行客户信息，并成

功将网银客户的20万元资金盗走。

（3）中介机构等贩卖客户信息受利益驱使，物管、中介公司以及

把握客户资料的航空、医疗、电信等机构的内部工作人员，违反法律

法规，无视职业道德和商业伦理，向不法分子贩卖客户信息，以猎取

非法收益。例如，犯罪嫌疑人易某等向某市物业中介公司非法购买业

主信息，包括业主的姓名、电话、购房时间、地址、金额等状况，然

后以房管局工作人员的名义给业主打电话，谎称依据国家新政策，业

主所买的房子可享受房价总额1％的退税，要求业主用银行卡进行转

账，致使12人受骗，金额达30万元。

银行对外出售客户信息引发信息泄露2021年7月《法制日报》

披露，光大银行福州分行在未取得客户同意的状况下，擅自与福州都

购传媒有限公司签订合同，向其出售信用卡客户资料。另据2021年

8月香港金管局对外披露，在港的工银亚洲、花旗等6家银行将超过

60万名客户资料转移至非关联第三方做推广用途，并有银行从中收

取酬劳。

银行员工及关联人员利用工作之便截留客户信息2021年9月

《青年报》披露，设在上海的渣打银行分支机构的一名员工王某，利

用职务之便盗用一秦姓客户办理个人贷款时向银行供应的身份证、收

入证明等复印件，冒用秦某名义到浦东进展银行办理一张信用卡，并

利用该信用卡先后透支2.3万元。

银行未妥当管理客户信息导致信息泄露今年2月，《每日经济

新闻》发表题为《农行储户资料惊现闹市垃圾堆，隐私信息遭丢弃》

的文章，指出在农行某支行四周的垃圾堆旁发觉装有至少200位储户

家庭住址、电话号码、收入状况等隐私资料的垃圾袋。另据2021年

3月《南方都市报》报道，在广东省佛山市某废品收购站内，中国银

行佛山某支行印有客户资料的抵押合同和房产证复印件被当成废纸

出卖。而早在2021年10月《京华时报》就曾报道，某客户发觉招商

银行某支行营业厅内的电话查询系统保留了客户身份证号和密码，使

得查询者能轻易地看到以往客户的相关数据。

（7）钓鱼式欺诈接受的主要手段是，不法分子首先克隆银行、电

子商务、传媒等知名网站，再大量发送声称来自这些机构的哄骗性短

信或电子邮件，意图诱使收件人登录克隆网站，骗取用户的敏感信息，

如网银或信用卡账号及口令等。例如，今年以来丹东地区有人收到此

类短信：您的号码已被央视格外“6＋1”选为幸运网友。登录此网站后，

用户被要求填入姓名、网银账号及密码，以确认身份。有人由于缺乏

风险防范意识，信以为真，因此泄露了重要信息，导致网银账户资金

被盗。

2信息泄露凸显银行管理漏洞

（1）银行客户信息爱护机制不完善，违规成本低廉一是客户信息

爱护制度不健全。银行业金融机构在客户信息爱护方面的制度大多为

原则性规定，未形成掩盖个人信息采集、保管和销毁等各个工作环节

的实施细则，很多银行缺乏信息调阅、查询等信息交接过程的记录，

为泄露客户信息埋下了风险隐患。二是内部问责制度缺失。部分银行

在构建信息爱护制度时，侧重规定员工的保密义务，但对于客户信息

爱护不力导致损失的责任等并未做出明确规定，也未建立客户信息爱

护的专项检查制度，低廉的违规成本使得风险隐患不断累积。三是信

息不对称使得外部监督机制失灵。由于客户无法准时把握个人资料被

银行不合理使用的状况，这种信息不对称简洁引发道德风险，客户无

法准时维护自身利益也导致了外部监督的失灵。

（2）信息技术管理的关键环节存在短板，外包第三方疏于管理相

比高速进展的电子银行业务，电子银行的风险管理却显得特别薄弱，

信息技术管理的关键环节存在诸多短板，诸如信息科技人员配备不足、

网银系统验证码过于简洁等问题使得信息科技的操作风险压力不断

增大。二是银行对外包业务人员行为把握不严，部格外包服务商不具

有足够的守法意识与内控力量，在为银行供应服务时可能发生客户信

息泄密，使银行面临严峻的信誉风险和法律风险。

（3）客户自身金融平安意识淡薄，资料保管不谨慎一是客户在进

行网上银行业务操作时，风险防范意识不强。如密码设置简洁、缺乏

网络病毒防范学问、轻信不明号码发送的短信等都有可能泄露个人信

息。二是对印有个人重要信息的资料管理不谨慎。如部分客户在办理

业务后，任凭丢弃凭条，为不法分子猎取私人信息供应了可乘之机。

3信息泄露问题监管困难重重

尽管频繁发生的客户信息泄露问题已经引起银行监管部门的关注，

但由于相关法律法规缺乏，加之广泛实施的信息共享机制的先天性缺

陷，致使信息泄露监管苍白无力，成效不佳。

（1）信息共享机制难以查证信息泄露源头在我国，电信、交通、

训练、医疗、金融等多家单位把握着个人信息，同时随着网上银行、

自助设备交易的普及，消费者进行跨行、跨地区交易时，账户交易信

息已存在于其开户银行之外的金融机构。这种多家单位共享信息的格

局使得信息泄露查证工作格外困难。

（2）信息披露与信息泄露的边界难以精确推断随着银行间业务合

作的深化和个人征信系统的运用，金融机构间共享消费者信息的状况

日益普及。另外，政府、司法、税务等部门也要有适当的公民财产知

悉权，如何合理把握信息披露的尺度，将是银行业监管面临的新课题。

（3）相关法律法规不健全难以依法监管一是我国尚未出台爱护个

人信息的特地法律，仅在《民法通则》、《合同法》和《刑法》等法规

中简洁提及。发达国家银行监管部门对个人信息爱护的监管一般是在

国家已经成形的法律基础上进行，主要是监管各商业银行对国家法律

的执行状况，而目前我国关于个人信息爱护的法律建设相对滞后，使

得央行、银监会的监管缺乏依据。二是银监会关于个人信息爱护的监

管规定过于笼统。我国《商业银行法》和《电子银行业务管理方法》

中均有关于银行要为客户保密的规定，但这种原则性的规定缺乏可操

作性，个人客户在发生信息泄露时经常面临“事前无知情权、事中无

选择权、事后无救济权”的状况，处于典型的弱势地位。

4防泄露需多管齐下、标本兼治

（1）健全信息爱护法律法规，加大信息泄露问责力度银行客户信

息爱护是一个系统工程，需要从宪法以及民事、经济、行政和刑事法

律等多角度、多层次和多手段进行立法爱护。作为银行监督管理部门，

一是要借鉴国际阅历，制定金融消费者信息爱护制度。我国的金融消

费者信息爱护制度可以借鉴美联储《消费者财务隐私保密最终规章》

等相关规定，明确金融机构可以采集的消费者敏感信息、对消费者的

隐私爱护义务、信息披露程序、使用消费者私人信息的告知义务等。

二是加大信息泄露大事的监管力度，提高信息泄露的违规成本。对信

息爱护方面违规投诉较多的机构，监管部门要加大现场检查、信访核

查、实地走访等工作的力度，督促其准时整改问题，防止个人信息非

法转让、传播等行为侵害消费者权益，对于问题较为严峻的银行要赐

予严峻的经济惩罚和行政问责。三是加强与公安部门的联动，遏制外

部犯罪行为。一旦发觉侵害存款人个人信息和资金平安的案件信息，

准时移交公安部门，严峻打击不法分子通过非正常渠道猎取客户信息

进行欺诈或盗取资金的犯罪行为。

（2）引导银行业加强自律，优化信息爱护管理流程一是引导银行

业机构通过自律公约等形式加强信息爱护。如四川省银行业协会47

家会员单位在今年3月共同签订《自律公约》，公开承诺严格遵守爱

护客户隐私权的相关规定，不以任何形式擅自对外泄露或披露客户个

人信息资料，引起了良好的社会反响，值得各地学习借鉴。二是督促

商业银行完善信息爱护的内部管理制度并向客户声明。督促各银行将

掩盖信息采集、处理、传输、维护的全流程管理纳入商业银行风险管

理过程，明确信息泄露风险把握点，准时更新防火墙、身份识别认证、

数字签名等网络平安监控技术，防止恶意窃取客户信息的行为。三是

强化外包管理和第三方把握。督促商业银行对外包公司的规模、技术

水平、业务保障力量、保密等状况进行全面评估，建立明确的外包业

务信息保密措施和监督要求，避开第三方信息泄露给银行造成连带责

任。

(3)建立定期的系统测试与维护制度，准时发觉并消退IT系统平

安漏洞目前，银行IT系统多接受外包形式，有效提高了系统的稳定

性与平安性。但信息技术不断升级进步，没有一个系统是确定平安而

没有漏洞的。因此，各商业银行要加大对信息前沿技术的关注度，对

网上黑客论坛进行监测，定期用一些恶意软件对系统进行测试，准时

发觉问题，准时进行维护。

(4)培育专业的IT审计队伍，提升IT系统审计的精准度IT系统

任何一点管理上的疏漏或把握上的缺陷，都可能引发巨大的系统灾难，

给商业银行带来无法估量的经济损失和声誉损失。因此，要将IT风

险防范和把握提升到银行风险把握的战略高度，尽快建立独立的IT

审计机构，培育专业的IT审计队伍，对银行的信息系统建设的重大

决策进行评估，对IT风险进行严格有效的把握。

(5)加强关键岗位人员任职管理，从源头上遏制信息泄露管理客

户信息的岗位应视为重要工作岗位。任职前，银行应对拟任职人员进

行必要的考核和排查，并签定保密协议书；任职期间应对任职人员家

庭、社会、交友状况及子女出国、购房等重大事项进行必要的了解和

备案，一旦消灭不适宜状况，应尽快将其调离工作岗位。工作期间，

接触或处理客户信息，要保证双人在岗、双人认证、双人签字。

（6）拓展信息爱护训练掩盖面，削减银行声誉风险各商业银行要

充分发挥直接面对公众、传播渠道广、队伍专业的优势，广泛开展形

式多样的金融消费平安训练，提示客户在日常生活中留意爱护个人信