商业银行保护客户信息行动方案.pdf

商业银行保护客户信息行动方案

为加强客户信息管理，有效保护客户信息，避免客户信

息泄露对我行造成不良影响或导致监管处罚事件出现，更好

地保护消费者权益，使之成为新金融实践的积极力量，为全

行战略目标实现和经营管理保驾护航，制定本行动方案。

一、现状分析

（一）监管力度越来越大

2020年9月人民银行印发了《人民银行金融消费者权

益保护实施办法》（人民银行令〔2020〕第5号），对消费者

金融信息保护提出了明确要求，对侵害消费者金融信息安全

权的行为实行“双罚”机制，不但对涉事金融机构进行处罚，

金融机构负有直接责任的董事、高级管理人员和其他直接责

任人员也将承担连带责任。2020年10月，人民银行首次针

对金融机构因侵害消费者信息依法得到保护的权利而开出

的罚单，银行三家分行牵扯其中。

（二）系统内部形势严峻

近年来，我行泄露客户信息案件时有发生，引发媒体和

社会的广泛关注，给我行业带来了极大的舆情风险和声誉损

失。2020年总行通报的行内案件共计23起，其中，泄露客

户信息案件多达九起，占比39.13%。2020年5月，总行通

报了宁波、湖南、江苏、福、内蒙古、广东地区银行同业七

起泄露客户信息案件情况；2020年9月，总行通报了四川、、

1

浙江、湖北等分行四起泄露客户信息案件情况。

（三）社会公众普遍关注

随着互联网发展日新月异，信息安全保护已经成为消费

者关注的焦点问题。金融消费者对于信息安全保护意识不断

增强，对于信息泄露的容忍度明显降低。信息安全一旦出现

问题，金融机构不仅受到法律法规、监管政策的严肃惩处，

还会造成重大声誉风险，影响企业品牌形象。

（四）征信查询愈加普遍

随着公民信息安全意识越来越强、国家重视程度越来越

高，公民的日常征信信息查询也越来越普遍，涉及的安全问

题也越来越重要。2020年，我行查询个人征信报告370万

笔，查询企业征信报告44.5万笔。其中：通过各个业务系

统自动触发查询、人工查询的占比超过95%，已经成为征信

查询的主要渠道。

（五）主要风险点较多

1.客户信息收集不合法。客户信息处理未遵循合法、正

当、必要原则，收集与业务无关的信息，采取不正当方式收

集信息或变相强制收集客户信息。

2.员工缺乏信息保护意识。一是员工缺乏法律意识和信

息安全意识，利用职务之便，使用自己的工号或其他同事的

工号，违规查询、使用甚至出售客户信息；二是员工在业务

处理中无意识泄露客户信息；三是员工查询不具备真实业务

背景的信息。如查询客户征信报告应具有真实业务背景、获

取信息主体真实有效授权，如果征信查询用户的合规意识、

2

安全意识不足，仍会发生泄漏事件。

3.客户信息保管不严。如员工未能妥善保管客户资料；

在办公电脑内保存大量的未脱敏的客户信息，或客户信息保

存未加密；在私人电脑或连接外网的电脑使用客户信息等。

对将未脱敏的客户信息保存到本地办公电脑使用，导致批量

客户信息传递和使用脱离有效管控，也放大了客户信息泄露

的潜在风险。

4.客户信息传递不规范。如通过行内邮箱发送客户敏感

信息时未加密或密码随文件明文发送，通过微信工作群传递

客户敏感信息等。

5.内部管理控制不足。如以发展业务、联动营销等为由，

查询大量客户信息，缺乏有效的使用管控；未采取有效手段

及时发现员工违规查询客户信息行为；未有效开展员工异常

行为排查，及时发现问题员工；征信查询复核环节责任心不

强，履行复核责任不到位，导致查询、复核两个不兼容的环

节复核流于形式。

6.信息查询用户管理不严。未按要求执行系统用户申请

与维护，未严格控制数据访问权限，员工未妥善保管查询账

户信息，离柜时未及时退出系统，导致系统用户混用、串用

或被他人借用、冒用。

7.客户信息保护措施不到位。如营业网点柜外清备密码

区遮挡不足，电子银行演示机、智慧柜员机私密性不足，自

助备巡检不足导致被不法分子安装非法备获取客户信息，网

点员工分流引导不到位等。

3

8.第三方