银行内鬼贩卖客户信息案再现，如何夯实内控安全防护？

近日，江苏淮安警方破获了一起特大贩卖公民个人信息案，共抓获26名嫌疑人，涉及个人信息5万余条，涉案金额2100多万元。在这条贩卖个人信息的黑色产业链中，某行某员工也参与其中。

银行“内鬼”年黑色收入超30万

早在2019年6月，警方通过跟踪网上违规出售银行卡信息（包括银行卡对应的卡主身份证号码、电话号码、余额甚至交易流水）的行踪，锁定了某行某员工为泄露信息源头。据该员工供述，其每查询1条银行卡相关信息，即可获利80~110元不等，仅凭这一点，一年的黑色收入就超过30万元。而除了银行“内鬼”这一源头，还有大量中间商为中介，形成了通过网络勾结，贩卖银行卡的相关身份证、电话号码、余额、交易记录的网络犯罪团伙。目前所有犯罪成员已被提起公诉。

值得注意的是，该员工竟称不知道自己的行为是违法的，“只是觉得违反银行规定，因为我们银行不允许私自把客户信息泄露。”

银行客户信息保密相关法规

《商业银行法》第29条规定，商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。

除了涉嫌违反《商业银行法》和银保监会关于个人信息保护、审慎经营的监管规定，此次事件参与者还涉嫌刑事犯罪。《刑法》第253条规定，金融单位的工作人员违反国家规定，将本单位在提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定，“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”、以及“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”等均构成《刑法》第二百五十三条规定的“情节严重”。

《网络安全法》第42条规定：网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

2月20日中国银保监会发布的《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》（银保监办发[2020]18号），对内控安全体系的建设提出了明确要求：

第九条提出“防范从业人员与外部机构或个人勾结进行信用卡大额套现、伪造信用卡、非法买卖信用卡客户信息资料等行为。”

第十五条提出“严防信息科技领域违法犯罪行为。加强数据安全管理，严格控制数据授权范围，实现数据分类、重要数据备份和加密。加强对客户信息收集、维护、使用人员的培训管理。严防从业人员利用职权和管理漏洞，篡改后台数据，盗取资金，以及非法复制数据、贩卖客户信息等行为。”

5月28日审议通过并将于2021年1月1日起正式施行的《中华人民共和国民法典》则进一步对个人信息的内涵、范围、保护方式等作出细致规定；结合《个人信息保护法》纳入立法议程，我国正在逐步形成以民事基本法与行政单行法为主体的个人信息保护法律体系。

国舜助力内控安全

近年来，随着互联网高速发展，金融相关业务也越来越丰富，专门针对金融机构的犯罪活动日益增多，更有黑灰色产业人员参与其中，甚至直接引诱金融机构内部人员提供各种信息。与金融机构相关的客户信息泄露事件、商业银行机密信息泄露事件发生得越来越频繁，如何迎接这些新的挑战保障银行的信息安全，如何满足监管要求，如何及时识别内控漏洞并作出相应处置，是银行业正在面临也必须解决的关键问题。

在采用科技化智能化手段提升银行内部风险防控能力方面，国舜股份拥有成熟的系统和丰富的专家经验予以支持。国舜股份内控安全体系已在多家股份制银行和城商银行投产使用，助力银行在规范内部人员行为，解决系统内部操作风险等方面起到关键作用。

国舜股份“基于UEBA的内控安全风险管理体系”可大幅提升银行的内控水平及智能化应用水准，满足监管要求，减少员工的道德风险，全面提升银行的信息安全保障能力，提升银行发现内部风险的效率及处置内部风险的能力，大幅降低银行安全事件发生，更好地保护银行的客户信息资产、客户资金，以及银行的重要敏感信息资产安全。可以加强全行员工的授权管理监控与预警，监控异常的操作行为，做到风险早发现、早提醒、早处置，从而提升银行内部风险控制水平，增加防范银行员工泄露客户信息的措施，减少违规操作可能给银行带来的资金损失和声誉损失。

“基于UEBA的内控安全风险管理体系”将对接行内各种应用系统，整合外部情报数据、业务操作数据、人力资源数据，利用UEBA（用户实体行为分析）技术，基于用户行为数据，对用户操作行为进行分析，建立内部人员/设备/应用安全行为基线，防范内部人员参与黑灰色产业、内部信息流出、商业机密泄露、异常操作风险、违规操作、内部设备安全风险等问题。

国舜股份对内控风险的分析步骤包括：

（1）数据质量分析与预处理

（2）风险场景分析

（3）用户异常行为和可疑事件分析

（4）系统运营统计和风险分析

（5）风险规则模型设计

（6）风险预警及实时处置

国舜股份将针对内控安全提供一系列行之有效的风控规则、模型、调优等专家咨询服务。提供重点风险模型包括但不限于：

（1）内部系统登录风险模型

（2）生产类系统用户操作风险模型

（3）生产、办公、互联云盘文件跨区转移风险模型

（4）无线WIFI风险模型