中国银行保险报网讯【记者 袁婉君】

近期，金融监管总局公布了金融消费者权益保护典型案例。其中有这样一则案例，2022年，人民银行发现A银行B分行和C银行D信用卡分中心存在个别员工涉嫌非法贩卖金融消费者账户信息的情形后，迅速对涉事银行启动立案调查。调查发现，A银行B分行和C银行D信用卡分中心均未严格有效落实消费者金融信息保护相关法律法规和内控制度，业务系统权限设置不合理，导致涉案员工得以利用职务便利，在未经授权审批且没有合法、正当事由的情况下，通过银行主要业务系统私自查询、记录客户个人信息，并将相关信息对外贩卖。

金融监管总局公布的这个银行客户信息泄漏和贩卖案，是一起典型的因为银行内部控制不到位导致的。从源头上看，客户的信息都是客户在银行办理业务过程中形成的，存储在银行业务信息系统中，银行内部的工作人员可以看到和获取这些信息。为确保正常的业务处理，银行内部的工作人员有权获取和使用这些信息。为确保信息的正确使用，银行应该在内部设置不同的权限，做到既保障信息在银行不同节点的有效传递，又保障不该看到该信息的人员能被有效地屏蔽。这就是信息权限的内部控制制度，是确保客户信息不被泄漏和非法贩卖的底色。

近年来，因内控制度缺失导致的银行客户信息被泄漏甚至贩卖的事件时有发生。主要的原因是，发生问题的银行虽然也有内部控制制度，但有的是形同虚设，有的是执行不到位。如何进一步完善和扎紧内控制度的笼子，防止客户信息泄露的事件再次发生？要从以下方面加强管控：

一是全面梳理不留死角。部分基层行的工作人员往往认为按章办事就是内部控制和风险防控，有时即便发现风险点，也有可能不重视、不汇报。对此，银行应该进一步健全内控体系、持续提升内控效能，防止人为因素对内控管理的干扰，在牢固树立合规意识的同时，畅通内部信息沟通渠道，全面提升内控管理能力。

二是强化系统管控，杜绝业务处理的人情化。按照银行不同的业务条线设计不同的内部控制体系，并将之纳入核心业务处理系统，用信息系统来管业务、管人，而不是用人来管理信息系统，这样既可以提升银行的内部控制水平，也可以防范包括客户信息泄露的风险。

三是强化外部监管来补齐银行的内控短板。近年来监管机构披露的案例中，一些银行员工有内外勾结的情况，甚至有银行行长存在滥用职权、利益输送等违规违法行为。银行内控管理存在的一些问题，需要通过加强外部监管和督促银行整改的措施来解决。

四是要提高金融机构违规违法的成本。虽然金融机构违规违法成本已经有所提高了，但从总体上来看仍然偏低，震慑作用有限，不利于保护金融消费者利益。在公布的这起案例中，相关涉案员工因为贩卖客户信息而触犯刑法，并被以侵犯公民个人信息罪判刑。只有不断提升违规违法成本，才能从根本上保障客户信息安全。