摘要:随着时代的发展,“信息”逐渐成为经济和技术发展中一个至关重要的要素,越来越多的人认识到信息安全的重要性和信息泄露的危害性。尤其是商业银行网点,客户信息一旦泄漏会造成严重后果,影响银行声誉。本文从商业银行一级支行管理视角出发,探讨网点客户信息安全管理对策。
关键词:商业银行网点,客户信息安全管理
一、银行网点接触客户信息人员概述
一般来说,银行网点所有能够接触到客户信息的人都存在泄露客户信息的可能。
(一)柜员。
柜员是网点与客户最直接接触的人,能最清晰完整地看到客户的信息,也能和客户进行直接交流,甚至能够获取比系统客户信息更丰富的资料,也是当前的重点监管对象。
(二)内勤行长。
内勤行长保管网点的大部分纸质客户资料,同时可以通过核心系统和COMAP系统查看所有柜台交易的传票,是一个网点能接触到最多客户信息的岗位,可以获得网点最全面的客户信息。
(三)客户经理。
如果说内勤人员掌握着最全面的客户信息,那么以客户经理为代表的外勤工作人员则掌握着一个网点最有价值的一部分客户信息,客户经理可以在贵宾客户营销系统中查询到网点哪些客户是优质客户、信贷客户,也就是说,客户经理可以获得网点的重要客户信息,这些信息极具价值,是同业、各类企业以及不法分子特别想要获得的数据。
(四)大堂经理。
一个网点与客户最先接触的员工往往都是大堂经理,他的职责决定了他要第一时间与客户进行沟通,分流客户办理业务,往往也能够根据客户办理的业务种类进行适当的营销,在与客户的沟通中从而获取一些有价值的客户信息。
以上可以看出,客户信息管理的最大难点在于只要银行正常运转,就无法从源头上杜绝员工对客户信息的接触和使用,如何采取事前预防手段,平衡客户信息安全管理和银行业务发展,笔者认为当前应重点关注:一是如何让无需接触客户信息的人员不接触客户信息;二是如何让需要接触客户信息的员工实现最小面积接触。
二、客户信息保护的实践
(一)加强客户信息保密知识和风险案例学习。
客户信息安全管理,最基础的是“人”的管理,加强客户信息保密的学习是客户信息管理的重要方面。首先是让员工“知法”。商业银行一级支行在组织员工签订保密协议的基础上,对协议进行了详细解读,让所有员工了解协议的内容,理解签订保密协议的目的,不会踩了安全线而不自知。其次是让员工“守法”。支行在日常工作中,要多关注同业客户信息泄露的风险案例,以案例剖析为警示,让员工意识到对每一份客户信息保密的重要性。以上两方面措施能让员工明白哪些信息需要保密,哪些行为违反了规章制度、法律法规,强化员工保密意识,化被动为主动,使其做到不仅约束自己,也能够提醒他人,从根源上减少员工泄露客户信息的行为。
(二)加强网点客户信息管理情况的现场排查。
一级支行采取监管经理按周蹲点排查,按季定期检查和不定期飞行检查相结合的方式,将客户信息管理工作纳入各项现场检查活动的必查项。对现场检查中发现的电脑客户信息未加密、纸质客户资料未妥善保管的,当场督促整改。对检查中发现因系统操作形成缓存文件和图片的情况立即进行上报。建立定期清理机制,根据风险程度,建立网点大厅对外的网银体验机、预处理机每日清理,电脑终端缓存文件每周清理,内勤办公电脑每旬清理的机制。对每日受理的纸质客户资料,提出及时归档要求,无需保留的资料一律当天用粉碎机销毁。对检查发现的典型问题,通过问题、成因、措施三方面在内勤行长例会上进行重点通报和提示,做到有案必有查,有查必有果。
(三)加强非现场专项检查和监控录像抽查。
一级支行组织监管经理对网点监控录像进行不定期抽查,重点抽查内容包括:柜员和客户经理有无随意摆放纸质客户资料,对于不用的客户资料有无及时粉碎销毁,以及员工在对外提供资料时是否合规。开展柜面查询客户信息交易、柜员手机集中保管和超级柜台客户信息管理检查,多方面关注客户信息查询和保管的合规性。同时,将检查发现的客户信息管理方面的问题纳入屡查屡犯问题专项治理。针对发现的行为问题,及时调阅监控,对照上级行整改要求,督促网点及时整改到位,对屡教不改的柜员及网点进行单独通报考核并移交内控合规部门问责。
(四)召开专题调研分析会听取意见。
一级支行将涉及网点客户信息管理难点和问题的工作纳入每季度运营工作调研内容,通过调研广纳各方意见,重点听取网点内勤行长意见,因为只有在一线工作的员工才更加了解目前客户信息管理方面所存在的不足以及漏洞,了解网点客户信息管理的难点和痛点。针对存在的不足以及漏洞,能在支行解决的,加强推动解决,无法解决的(如系统存在的漏洞)积极在运营响应平台提交优化建议。同时为减轻网点办公电脑历史客户信息清理的压力,安排科技人员逐网点进行未加密客户信息清理。
三、客户信息安全管理存在的问题
(一)客户信息的收集环节。
客户信息收集环节作为银行接触客户信息的起点,常常是风险产生的源头。不法分子可以利用银行工作人员身份,擅自以业务需要要求客户多提供不必要的信息资料,并以此擅自为客户开通业务。然而一级支行监管在客户信息搜集环节的合理合规性上检查手段匮乏,搜集环节因为环境开放、无系统留痕等原因隐蔽性强,目前检查中仅能通过随机抽查监控录像进行,针对性较低。
(二)客户信息的查询环节。
虽然随着运营管理条线采取的各项措施(到网点进行现场排查、非现场调阅录像抽查、临柜柜员手机集中保管以及对BoEing系统的很多交易设限)的逐步推行,取得了一些成效,对客户信息的查询环节有所规范,但有些漏洞依然存在。另外,在2019年一级支行进行系统操作号使用和保管的专项检查中发现,网点对非核心系统操作号管理仍存在问题,如客户信息等级、反洗钱系统等存在一号多用、串用的现象,导致信息查询对象增多、管控难度加大。
(三)客户信息的保管环节。
针对客户信息的保管,前期采取的一些检查措施已经极大地减少了客户信息在保管环节的泄露。但仍然发现一些员工客户信息安全意识不足,检查中就曾出现网点柜员未核验对公客户回单使用身份,仅凭对方经常来办理该单位业务,就给客户提供回单的现象。另外,针对资料流转中的有效保管环节,除了在网点监控范围内给予一定的监管之外,没有一个有效的措施确保资料妥善保管。如网点客户经理携带客户各类业务申请资料离开网点至上级行、不动产登记中心等过程中,会导致一些客户资料脱离监管视线。在监控无法管理的环节,如何通过流程控制资料流转的保密性,亟需关注和研究。
(四)客户信息的监管环节。
商业银行一级支行层级关于客户信息的监管手段比较单一,检查维度仅限于预警核销、现场检查资料保管和电脑信息加密、监控录像抽查、凭证调阅等基础的检查手段。调取某一级支行2019年关于客户信息管理方面存在的问题共36条,其中通过现场检查发现的问题占比77.8%,主要为网点办公电脑中存在未加密客户信息,问题类型单一。非现场检查因为数据缺乏、针对性低,缺少专项检查方法指导,问题揭示程度不足。同时,虽然目前所采取的措施确实在一定程度上加强了客户信息保护,但针对一些有意识地客户信息泄露依然是防不胜防的。比如,员工在接触客户信息时默默记住,或者在系统里查询到客户信息后偷偷截屏保存起来,又或者复印客户资料时多复印一份,下班后夹带出网点等等。
四、进一步加强客户信息安全管理的对策
(一)坚持统一员工思想认识,坚持反复督促提示不放松。
一是定期“炒冷饭”。相关规章制度要及时复习,利用支行例会、网点晨会反复提醒督促。二是通过客户信息安全管理宣讲、警示教育活动等,增强员工做好客户信息安全管理工作的意识,确保客户在办理业务过程中留存和产生的各种信息不出现丢失、损毁或泄密,从根本上解决客户信息随便放、随便查等现象。三是严格考核问责。坚持将客户信息管理作为一项长期专项治理工作,在一级支行运营评价管理网点重点问题整改层面进行考核,对检查发现的员工信息管理屡查屡犯的问题坚决移交内控部门问责。四是加强客户信息安全教育。可通过宣传海报、宣传折页、柜面提醒和短信提示等方式向客户普及信息安全管理知识,提醒客户妥善保管个人信息,不随便向别人透露自己的账户资料,对陌生电话和诱惑短信要心中有数,坚决抵制诈骗短信和诈骗电话。在银行等公共场所办理完业务后,业务回单等信息资料不随手丢弃,要妥善保管。
(二)建立客户信息安全管理岗位责任制。
一是将客户信息安全纳入员工岗位责任制考核,进一步细化各岗位信息搜集、查询和保管等环节要求。如对客户办理业务的各种纸质资料,柜面经理受理后日间妥善保管,日终交内勤行长统一保管。二是减少各岗位接触和保管的客户信息面。开展操作系统用户号设立合理性的评估,对无需开放权限的人员删号处理,对需要开放权限的,评估权限级别,最小化开放。三是明确其他非核心系统用户号管理要求,严禁将档案系统、客户风险等级系统、C3系统、人行账管系统、信用卡应用管理系统等系统用户号借给他人使用,杜绝利用他人用户名进入系统获取客户信息。
(三)加强客户信息管理手段研究和创新。
一是积极研究客户信息管理非现场检查方法,提升对核心系统之外的其他系统客户查询和流转的关注。加大检查模型建设,通过研究各系统查询交易流水,建立对应的检查模型,并对研究结果进一步应用和验证,不断完善和优化模型。二是建立客户信息管理系统漏洞上报和管理方法专项创新奖励机制,鼓励网点主动发现和上报信息管理方面存在的漏洞,进一步完善系统。