金融机构员工卷入隐私泄露案 个人隐私何时不再裸奔

来源: 上海证券报   

得数据者得天下。然而，在“怎么得”、“从何处得”上，却出了大问题。一条数据交易的“灰色产业链”在中国金融业里肆意生长，人皆知不可为，却又趋之若鹜。

多起震惊金融圈的个人信息泄露案件，于近期引发监管部门高度关注。有关部门地毯式的摸排清查及风险警示，逐步勾勒出这条灰色产业链背后的运作轨迹。

金融机构员工卷入隐私泄露案

“请问是××先以来，多地多家保险机构也被卷入保险信息泄露事件。不少车主投诉称，在发生交通事故、向保险公司客服人员报案后不久，便接到冒充保险公司工作人员的车险诈骗电话。

上海一位车主还原了被骗始末。他是在向鼎和财险客服人员报案后，接到的车险诈骗电话。这些不法分子通过非法途径掌握了他的交通事故理赔信息，以理赔款到账需核对银行账户信息或保险公司出现系统故障等为由，诱骗他提供银行卡信息，并要求他在农业银行(3.200,-0.01, -0.31%)（3.210，0.02， 0.63%）ATM机上进行转账操作，以达到非法划转、盗取银行卡内资金的目的。

记者获悉，对于上述集中发生的车险理赔电信诈骗案件，各省市保险行业协会已经向行业各公司发出警告，并配合刑侦部门对行业内外交通事故处理及保险相关信息的泄露源头开展了风险排查，尤其是对能够接触、记录车险理赔信息的人员和信息系统进行集中风险筛查。

据保险业人士透露，从车主报案到不法分子打来诈骗电话这一时间段内，不只是保险公司客服工作人员有泄露信息的可能性，道路交通事故保险理赔中心（综合服务中心）、保险公司车险理赔、保险中介机构、车辆维修机构、相关信息系统等环节的工作人员、用户和维护人员都有嫌疑，防不胜防。

产业链背后的神秘交易对手

这些涉及消费者个人隐私的数据是如何被买卖的？产业链两端的交易主体都有谁？灰色交易背后是否有一套“成熟”的定价机制？通过本报记者的深入调查采访，产业链背后的利益架构渐次浮出水面。金融或类金融企业的员工，是这条灰色产业链上的重要参与者。

据记者了解，这条产业链上的部分买家，正是来自于保险公司、P2P等金融类机构；卖家则多来自于银行、软件企业、电子商务企业、咨询公司、调研机构等不同行业的企业，以及近年来风生水起的快递、美容、房产中介等服务业。

保险公司是这一产业链上的重要买家之一。记者从市场上了解到，任何一个渠道都可能成为保险公司获取消费者信息的源头。

一家保险公司内部人士自曝黑幕：“我们的外部购买渠道通常有四个，一是银行、车管所等，缺点是价格较高，且现在管控严格；二是汽车4S店、修理厂和中介公司；三是外部相关调研机构及新兴产业如专业网络收集信息公司等；四是其他保险公司的理赔客户信息。”

“我们拿到数据前都会先打一遍电话进行核实，再进行支付。通常信息准确度高的个人信息，每条按1元至5元来支付；信息准确度相对不高的个人信息，则按每条几角钱来支付。”多家保险公司内部人士对记者透露说。

另一家保险公司内部人士还告诉记者，非车险客户主要可以通过与银行等一些渠道合作赠送保险的方式来获得“白名单”。“银行信用卡客户的数据量大，而且有效数据较多，保险公司会和银行一起搞营销活动，一起分摊成本，一起分享新客户、新数据。”

监管齐出手整肃“内鬼”

客户信息泄露事件多因个别员工而起，但也充分暴露出部分金融机构内控机制的层层漏洞，公司层面显然难辞其咎。

案件背后所暴露出的内控缺失，也进入了监管部门的“法眼”。银监会在近日下发的《关于银行业金融机构客户个人信息泄露案件风险提示的通知》中，直指部分银行在内控方面的四大问题。

首当其冲的是，内控机制不健全、制度执行不到位。部分银行业金融机构客户个人信息管理使用制度不健全，岗位制约和机制监督缺失，未能严格按照相关监管要求完善内容制度建设。执行中，存在未经授权或者未按规定程序查询、获取使用个人信息的问题。

其次，管理教育不到位，对员工行为失察。部分银行未能有效建立良好合规文化，客户信息保护意识淡薄，对员工日常行为疏于管理。

同时，信息系统建立应用管理不完善，也存在安全隐患。银监会在上述通知中指出，部分银行在信息存储、传输、处理过程中，未严格建立风险防范机制，存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严格，存在泄漏敏感数据的安全隐患。

另一个关键隐患是，业务外包管控不力，缺乏有效制约。一家国有大行负责房屋按揭的人士向记者指出：“银行的外包业务，的确存在泄露客户个人信息的风险隐患。”

鉴于此，银监会在上述通知中明确要求，银行业金融机构要充分认识保护客户个人信息安全工作的重要意义，切实落实主体责任，完善客户个人信息保护制度建设，强化执行管理。要牢固树立全员合规意识，进一步加强员工教育与外包行为管理，强化信息安全建设，强化内部监督，建立完善客户个人信息保护长效机制。针对相关问题，要组织开展客户个人信息泄露风险隐患排查工作，严肃处理发现的违规问题，对涉嫌违法犯罪的，及时向公安机关报案。

理赔中心等发布加强管理的指令，并要求保险公司除短信风险提示外，也须在理赔环节向车险消费者当面提示风险。

在监管齐出手整肃“内鬼”的同时，部分金融或类金融机构已开始自我施压。记者了解到，为强化内控制度，近期有部分银行上收了征信查询权限，采用由总行代分行查询征信报告的操作模式，同时上线征信查询前置系统，加强征信业务的管理。

来源: 上海证券报

亦轩