个人金融信息安全面临的威胁与保护措施

　　一、个人金融信息安全面临的威胁。
　　
　　（一）金融机构及其工作人员滥用、泄露、贩售客户金融信息。一是金融机构为谋取企业自身利益，未经允许扩大客户信息知悉范围，以营销非约定服务范围内的其它金融产品。二是工作人员利用职务之便，将获知的客户金融信息泄露、贩售，谋取个人收益。
　　
　　（二）金融信息处理系统存在漏洞或缺陷，个人金融信息易于泄露和被窃取。一是金融机构、支付机构、商户及相关服务机构处理金融业务的信息系统存在漏洞。如2013年2月，中国人寿因合作方信息系统升级漏洞致80万客户投保信息泄露；2014年2月，淘宝系统认证功能缺陷导致通过搜索引擎可任意登录淘宝、支付宝账号，获取用户的账户余额、交易记录、收货地址、姓名、手机号码等敏感信息。二是金融信息系统面临恶意攻击风险，黑客窃取用户信息的事件时有发生。
　　
　　（三）银行卡收单机构、商户及金融服务链条上的其它机构或个人非法采集、持有和泄露用户信息。银行卡收单机构及其商户是开展银行卡支付业务不可或缺的重要参与者，在支付过程中不可避免需要处理客户银行卡信息。部分机构和商户借机收集、存储用户交易信息，给持卡人财产安全带来极大威胁。如2014年3月，携程网在支付日志中记录用户支付信息，间接存储持卡人的银行卡敏感数据，引起消费者对互联网环境下银行卡支付安全的质疑和对银行卡信息泄露的担忧。
　　
　　二、当前个人金融信息保护的现状与不足。
　　
　　（一）个人信息保护的法律法规不健全，信息泄露违法成本低。一是对个人信息安全保护的基本法缺失。二是金融法律、法规和规章对个人金融信息安全的保护零散、不成体系。关于个人金融信息保护的描述散布于《中华人民共和国商业银行法》、《中华人民银行共和国反洗钱法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《个人存款账户实名制规定》、《征信业管理条例》、《非金融机构支付服务管理办法》等各项规定中，原则性规定较多，多数只规定保护的基本原则，缺乏具体条款，可操作性不强，而某些规定仅针对具体的某项业务，无法覆盖金融各类业务，特别是通过网络平台提供的金融服务，缺乏对个人金融信息的采集、保管和追踪的全过程实施全方位保护。三是行业监管力度和监管范围有限。行业监管部门对商户及金融服务链条中的其它机构并无监管权限，个人金融信息保护监管力度有限。
　　
　　（二）金融服务机构内控管理缺位，对个人金融信息的保护力度不足。一是金融机构、支付机构等金融服务机构尚未形成完善的客户信息保护工作机制，对内部从业人员的管理不到位，缺乏严格的针对客户信息访问的追踪、审查等约束机制，容易导致客户个人信息易被泄露、滥用，甚至出售。二是对信息系统的开发建设、外包管理不到位，系统功能设计不完备，对客户信息的保护措施不严，对外包人员获取、使用和销毁客户信息的各环节缺乏有效管控，导致客户信息易被窃取流出。三是客户信息保护的内部监督检查力度薄弱，未形成常态化的个人信息保护监督检查机制。
　　
　　（三）消费者对个人金融信息的保护能力薄弱。一是用户对金融欺诈陷阱的辨识能力不足，特别是对互联网环境下的各种金融交易陷阱或信息窃取陷阱，用户缺乏相应的识别能力，对个人信息未能实施有效保护。二是用户对个人金融信息侵害行为的维权困难。由于金融机构、支付机构、收单机构及商户等机构对所获取、收集、传输的个人金融信息的处理、使用对用户并不透明，一旦用户个人信息泄露，很难明确具体的侵权主体，取证也面临困难。
　　
　　三、完善个人金融信息安全保护的建议。
　　
　　（一）健全有关法律法规。研究出台个人金融信息保护的专门法律法规，从对个人金融信息的内容、性质、范围，信息主体享受的权利和侵犯个人金融信息行为的处罚和责任追究做出系统性的规定，对个人金融信息从采集、传递、存储、加工、使用到销毁等各环节实施全方位保护，约束范围除了包含金融机构、支付机构、收单机构外，还应包括商户、第三方服务机构等涉及个人金融信息处理企业和个人。
　　
　　（二）完善监管机制与手段。一是实施分类管理，明确各类金融业务涉及的个人金融信息的内容和范畴，规范业务过程对信息的采集、存储、使用，避免过度采集和不必要访问。二是规范信息系统的建设、检测和认证要求，明确个人金融信息处理信息系统的建设标准及应采取的签名、加密等技术防护措施。三是对金融机构、支付机构、收单机构开展定期和不定期的专项检查，及时排查个人金融信息泄露风险，强化被检查机构对个人金融信息的保护管理。四是建立并完善个人金融信息保护维权工作机制，畅通金融消费者维权渠道，切实保障消费者合法权益。
　　
　　（三）完善机构内控管理和技术管理。一是强化机构内部教育，完善客户信息保密管理。金融服务机构应结合自身业务特点，对客户信息实施分类管理和分级访问控制，尽量缩小信息知悉范围，做好客户信息保密管理。二是加强技术保护措施建设。提升信息系统的安全性和健壮性，有效抵御攻击，保护客户信息的安全、完整。三是密切监测和关注新型金融诈骗手段和信息窃取技术，为客户提供及时的信息安全风险提示，保障客户信息安全。
　　
　　（四）加强风险教育和自我保护。一是强化风险教育。监管部门和金融服务机构应积极开展个人金融信息保护宣传，加强个人信息安全风险防控教育，增强金融消费者的个人金融信息保护意识。二是消费者应培养良好的个人金融信息保护习惯，主动提高对信息窃取、金融诈骗，特别是互联网金融欺诈行为的辨识能力，有效保障信息和财产安全。