继今年3月两家银行被曝光泄露客户信息之后,江苏银行近日也因信息泄露事件被央行上海分行责令整改。
继今年3月两家银行被曝光泄露客户信息之后,江苏银行近日也因信息泄露事件被央行上海分行责令整改。
8月8日,央行上海分行对江苏银行上海金桥支行(以下简称“金桥支行”)违规查询使用个人信用报告的情况予以通报,指出金桥支行于2012年2月至4月间,仅凭借宜信普惠信息咨询(北京)有限公司(以下简称“宜信公司”)提供的查询授权书,在未与客户发生业务关系的情况下,查询了3.2万余人的个人信用报告,并将部分查询结果提供给从事小贷服务业务的宜信公司。
商业银行理应严守具有涉及隐私的个人征信资料和记录。尽管宜信公司声称有客户授权书,但江苏银行并未与客户发生直接业务关系,在此情况下的双方“合作”颇有打擦边球之嫌。
个人征信疑成银行牟利工具?
“我们对金桥支行进行处罚,主要是基于两点:一是江苏银行进行的3.2万人次个人信用报告查询,并不是基于真实的业务往来。二是,江苏银行用隐蔽的方式将部分关键信息泄露给了宜信公司。”央行一位内部人士透露。
江苏银行和宜信公司于8月14日发布声明。从这两份声明文件来看,江苏银行金桥支行与宜信之间的合作期为今年的2月到4月中旬。双方称,宜信经客户同意,由客户本人直接签署书面授权书给金桥支行、申请成为江苏银行的贷记卡客户,金桥支行按照银行制度独立审核是否批准相关申请。金桥支行通过央行的征信系统进行了3.2万人次的查询,并对初选出的926个客户“是否符合我行信用卡发卡条件”问题,向宜信提供了“是”或“否”的答复。
由于在实际操作中,双方对客户信息进行独立保管和评估,合作效果不理想,所以江苏银行金桥支行于4月中旬主动终止查询工作。
有媒体引述江苏银行内部人员的话称,金桥支行2月~4月之所以帮宜信公司拉征信或有两大动机:其一,该支行某副行长有倒卖征信之嫌,借助银行便利条件非法收取外部机构“查证费”;其二,称支行在整体业务环境不景气的压力下,试图通过个人金融业务寻求突破,因此和民间机构“合作”,用银行征信系统从对方贷款客户中筛选出优质客户,以便向这些客户推荐办理信用卡。
继今年3月两家银行被曝光泄露客户信息之后,江苏银行近日也因信息泄露事件被央行上海分行责令整改。
那么,宜信公司是否利用江苏银行对央行征信系统的接口,对其客户提供的信息进行审核?对此,宜信公司方面对笔者未置可否,只是表示不方便进一步透露,一切以声明为准。
创建于2006年的宜信公司提供P2P(个人对个人)信用贷款平台,即通过平台招徕愿意借出资金的人,宜信审核借款人资质,向出借人提供符合一定资质的借款人,然后收取一定的服务费。目前宜信已经在50多个城市和10多个农村地区建立起全国协同服务网络。
但宜信公司一位业务员表示,由于无法连入央行的征信系统,因此他们在审核借款人的资质方面有许多不便。一位股份制银行从事征信业务的人也透露,有些民间金融机构由于缺乏个人征信接口,只能借银行渠道查询客户信用信息,一来更为准确,二来可以节省不少成本。江苏银行金桥支行和宜信公司之间,或许就是这种关系。
尽管宜信公司拒绝向笔者提供其当时与金桥支行合作的协议文件,但上述江苏银行内部人士称,宜信公司请求支行协助拉征信,每笔愿意支付几十元。
而笔者从一家国有大行了解到,央行对银行使用征信系统采用季度结费制。尽管每家银行的结费标准略有不同,但多以每笔8元查询费支付给央行。如宜信确实按每笔几十元的标准向银行支付查询费,银行所赚差价颇为可观。但笔者目前尚未获得进一步确凿的消息显示金桥支行与宜信公司之间存在利益往来的关系。
多家银行频现信息泄露事故
根据征信中心提供给银行的个人信用报告模板,一份个人信用信息报告包括:姓名、身份证、电话号码、通信地址、户籍地址;配偶姓名、证件号码、工作单位、电话号码;个人现在及历史工作单位及职务;个人房贷信息、整个银行系统信用卡信息;呆账信息、资产处置信息、保证人代偿信息等等。
上述央行内部人士解释称,每个人在央行的个人信用报告内容视其与银行之间的业务而定。业务往来多的个人,可以有5~6页的报告内容。可以说,个人信用报告的信息之完备,足可以让一个人变得完全“透明”,“令人难以想象这些信息被商业机构广泛掌握所带来的后果”。
继今年3月两家银行被曝光泄露客户信息之后,江苏银行近日也因信息泄露事件被央行上海分行责令整改。
事实上,此前就有因为个人信用报告的信息泄露,导致银行客户遭遇损失的例子。央视3月15日曾披露,有两家银行的员工通过中介向外兜售客户个人信息将近3000份,造成客户损失达3000多万元。其中,一家银行的一位客户经理曹晓军正是通过央行征信查询系统提取客户信息,将其出售给犯罪人朱凯华,使其根据详细信息破译六位密码,进入客户的网银系统将钱划走。
“想要找中介买到银行客户的信息并不难。我去年就花5000元买了一张光盘,里面有好几万条信息。信息的详尽让你难以想象,住址、车牌,什么都有。”一位从事会展工作购买过客户信息的李先生说。
即便有先例,江苏银行的此番违规操作仍令银行业内感到吃惊。一家股份制银行负责征信业务的人士表示:“一个支行,2个月内,3.2万人的个人信用报告查询,这个频率之高还是很少见的。”据央行公布的数据,截至2011年底,在全国范围内,个人征信系统全年累计查询次数2.4亿次,金桥支行的异常行为引起央行的注意。
江苏银行坦承,其在内部管理方面存在缺陷,今后将进一步加强内部管理,规范工作流程。但其坚持认为,金桥支行从未对外提供过客户个人信用报告的具体信息。且在全行范围内进行了检查,除上海分行金桥支行之外未发现类似问题。
银行信息管理存漏洞
一位国有大行的人士告诉笔者,事实上银行在客户信息管理方面有不少漏洞可钻。
“尽管柜台人员和业务经理作为操作员可以接触到不少客户信息,但是影响应该有限。比如柜台人员只能根据授权级别接触到客户信息,而在客户经理的层面,尽管其接触到客户信息的面更广,但由于业务竞争需要,也很难将自己所掌握的信息告知他人。更大的漏洞在于管理部门的一些岗位,这些从事客户分析工作的人可以大量接触客户信息,也缺少监督。”上述国有大行人士称。
交行太平洋信用卡中心副首席执行官徐瀚说:“在客户信息管理方面,银行有两道防线。一方面,工作人员想查客户信息有级别限制;另一方面,后台监控系统专门查违规操作。比如,银行员工对哪些信息进行了查询,都有专门的人监控。超出权限范围之外的信息查询会引起银行的关注。”
继今年3月两家银行被曝光泄露客户信息之后,江苏银行近日也因信息泄露事件被央行上海分行责令整改。
徐瀚透露,通过后台监控系统曾发现有银行工作人员泄露客户信息。“比如有极个别员工专门查询大额的客户信息等。”
值得注意的是,《征信管理条例》和《个人征信信息保护暂行规定》有望在年内出台,这一现象或许可以随之得到一定程度上的遏制。据央行网站年初的消息,时任央行副行长杜金富在2012年征信工作会议上指出,今年择机出台《个人征信信息保护暂行规定》。
可查资料显示,早在2009年10月,国务院法制办将央行报送国务院审查的《征信管理条例(送审稿)》上网向社会公开征求意见,同时印送地方、有关部门以及相关研究机构等单位征求意见,并召开座谈会听取企业、专家和征信机构的意见。但直到2011年7月才公布了修订后的《征信管理条例(第二次征求意见稿)》,而修改的核心之一就是明确在我国尚无专门的个人信息保护立法的情况下,征信管理立法对个人信息应当重在保护,严格规范个人信用信息的采集、提供和使用。
记者观察
民间放贷机构呼吁接入征信系统
肖中洁
对宜信公司而言,无法连入央行征信系统,只能借道银行,实属无奈之举。此次事件后,非银行机构所面临的央行征信系统接入问题再度引发社会关注。
由于小额贷款公司等放贷机构数量多、分布广、额度小、人员少以及授信系统存在技术问题等原因,这些放贷机构并未与央行直接联网。
央行征信中心的一位内部人士8月16日告诉笔者:“目前,在上海地区只有商业银行和少数担保公司纳入了央行征信系统,小贷公司、P2P借款公司都还没有接入。”
多位业内人士近日呼吁,应将小贷公司、宜信这类P2P借款公司等民间机构尽早纳入央行征信系统。
“这是一个老话题。我们小贷公司行业协会呼吁接入央行征信系统已有多年了,但上海地区到现在还没什么进展。而宜信公司属于为借款人和出借人提供小额贷款服务的平台,他们要纳入央行征信系统估计会更慢。”上海宝山宝莲小贷公司总经理李跃如说,央行征信系统接口应尽早对民间放贷公司开放。
继今年3月两家银行被曝光泄露客户信息之后,江苏银行近日也因信息泄露事件被央行上海分行责令整改。
据悉,上海市金融办早在2009年就出台了《关于促进本市小额贷款公司发展的若干意见》,符合条件的小额贷款公司将有望纳入央行征信系统。但至今仍未成形。而重庆市、成都、浙江等地的小贷公司已被允许接入央行征信系统。
事实上,业内人士指出,对于小贷公司、P2P借款公司来说,要节省信审成本,提高信审效率,接入央行征信系统十分必要。
宜信公司的创始人唐宁此前就对媒体表示,宜信需要借款人提供央行的资信证明,以证实自己的信用度。但是目前,在宜信借贷所产生的信用记录还不能被计入央行的征信系统,也就是说在宜信发生的拖欠行为不会影响个人在银行的信用。唐宁称,宜信在努力加入央行系统,但“这个事情一时半会儿实现不了”。
从事P2P借贷业务的上海汗青企业管理咨询有限公司总经理刘瑶近日也呼吁:“民间金融借贷行业要想迅速成长,纳入央行征信系统的问题不容忽视。因此对他们开放接口,怎么开,开多少都迫在眉睫。”
