金融机构员工卷入隐私泄露案 转卖客户资料已成行业潜规则

一家保险公司内部人士自曝黑幕：“我们的外部购买渠道通常有四个，一是银行、车管所等，缺点是价格较高，且现在管控严格；二是汽车4S店、修理厂和中介公司；三是外部相关调研机构及新兴产业如专业网络收集信息公司等；四是其他保险公司的理赔客户信息。”

“我们拿到数据前都会先打一遍电话进行核实，再进行支付。通常信息准确度高的个人信息，每条按1元至5元来支付；信息准确度相对不高的个人信息，则按每条几角钱来支付。”多家保险公司内部人士对记者透露说。

另一家保险公司内部人士还告诉记者，非车险客户主要可以通过与银行等一些渠道合作赠送保险的方式来获得“白名单”。“银行信用卡客户的数据量大，而且有效数据较多，保险公司会和银行一起搞营销活动，一起分摊成本，一起分享新客户、新数据。”

金融机构员工卷入隐私泄露案

监管齐出手整肃“内鬼”

客户信息泄露事件多因个别员工而起，但也充分暴露出部分金融机构内控机制的层层漏洞，公司层面显然难辞其咎。

案件背后所暴露出的内控缺失，也进入了监管部门的“法眼”。银监会在近日下发的《关于银行业金融机构客户个人信息泄露案件风险提示的通知》中，直指部分银行在内控方面的四大问题。

首当其冲的是，内控机制不健全、制度执行不到位。部分银行业金融机构客户个人信息管理使用制度不健全，岗位制约和机制监督缺失，未能严格按照相关监管要求完善内容制度建设。执行中，存在未经授权或者未按规定程序查询、获取使用个人信息的问题。

其次，管理教育不到位，对员工行为失察。部分银行未能有效建立良好合规文化，客户信息保护意识淡薄，对员工日常行为疏于管理。

同时，信息系统建立应用管理不完善，也存在安全隐患。银监会在上述通知中指出，部分银行在信息存储、传输、处理过程中，未严格建立风险防范机制，存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严格，存在泄漏敏感数据的安全隐患。

金融机构员工卷入隐私泄露案

另一个关键隐患是，业务外包管控不力，缺乏有效制约。一家国有大行负责房屋按揭的人士向记者指出：“银行的外包业务，的确存在泄露客户个人信息的风险隐患。”

鉴于此，银监会在上述通知中明确要求，银行业金融机构要充分认识保护客户个人信息安全工作的重要意义，切实落实主体责任，完善客户个人信息保护制度建设，强化执行管理。要牢固树立全员合规意识，进一步加强员工教育与外包行为管理，强化信息安全建设，强化内部监督，建立完善客户个人信息保护长效机制。针对相关问题，要组织开展客户个人信息泄露风险隐患排查工作，严肃处理发现的违规问题，对涉嫌违法犯罪的，及时向公安机关报案。

在保险行业内部，近期部分地方保险行业协会也在配合刑侦部门开展工作，主要向保险公司、理赔中心等发布加强管理的指令，并要求保险公司除短信风险提示外，也须在理赔环节向车险消费者当面提示风险。

在监管齐出手整肃“内鬼”的同时，部分金融或类金融机构已开始自我施压。记者了解到，为强化内控制度，近期有部分银行上收了征信查询权限，采用由总行代分行查询征信报告的操作模式，同时上线征信查询前置系统，加强征信业务的管理。

“己所不欲勿施于人。在公司内部，我一直强调将心比心，每位员工都要把保护用户信息当成保护自己的信息一样对待，信息泄露无小事。”芝麻信用总经理胡滔向记者强调。