标题 | 征信合规管理的实践与探索 |
范文 | 唐萌佳 摘要: 本文根据征信执法检查和日常监管实践,发现当前接入机构存在线上业务量增多、系统建设不完善、技防水平差异大、内部管理不到位等问题。基层人民银行面临现场检查取证难、执法力量薄弱等难点,其中既有老难题,又有新挑战。针对性地提出引入电子认证加强线上业务合规管理、健全技防制防人防体系、多层次差异化征信监管、提升执法检查实效等对策建议。 关键词: 征信信息 执法检查 合规监管 2013年《征信业管理条例》颁布实施以来,人民银行不断完善安全监管职能,接入机构合规意识逐步提升,信息安全保护逐步向好发展。与此同时,各金融机构纷纷布局线上信贷业务,电子化办公程度提高;二代信用报告格式调整,内容更加完整全面;政策法规进一步深化细化,执法监管规范从严,新业态使征信合规管理面临考验。 一、征信合规管理实践 据统计,2015-2019年期间,人民银行株洲市中支执法检查工作组通过现场约谈、调阅资料、抽查档案、查看系统、数据比对等方式,对辖内31家征信系统接入机构开展了征信执法检查,累计筛查17万余条征信查询数据,查处内控制度欠完善、数据报送不及时、授权要素缺失、异议处理超期、信息安全漏洞等问题800多例。其中,既包含屡查屡犯的老问题,也有随着信贷业务发展暴露出的新情况。通过合理适用法律法规确定问题性质,针对性地采取约见谈话、限期整改、行政处罚等处理措施督促问题机构加强内部管理,有效提升了人民银行征信履职的有效性和接入机构征信业务的规范性。 二、存在难点及问题 (一)接入机构存在的问题 1.线上业务量增多。线上业务为客户提供了便捷、高效的服务体验,又降低了金融机构的资金融通成本,使其成为了消费信贷重要的增长极。与传统业务“面签”相比,互联网业务借助银行卡四要素、身份证联网核查、电信运营商实名认证、人脸识别、网银数字证书认证、短信验证等6种方式中的2-3种核验客户身份,并获得数据报送和征信查询的电子授权。但近年来,互联网业务的征信异议迅猛增长,其中否认贷款占比居高,电子签名的有效性和证据保全的规范性有待提升[1]。另外,部分金融机构根据客户的首张银行卡归属地或其他原则,将客户办理线上业务时觸发的征信查询归口于各地市分支行,体现在系统操作记录中,但地市分支行却不知晓业务发生办理情况,不掌握客户纸质或电子查询授权资料,执法检查面临被动。 2.系统建设不完善。在信息技术的高速发展和征信信息安全管理要求提升的背景下,各接入机构相继上线征信查询前置系统,不再直接访问征信中心网页端查询信用报告,征信查询呈现出“间接访问+线上授权”的趋势。但是从近几年检查情况来看,部分接入机构前置系统上线时间较短,新系统功能不够成熟,在权限控制方面存在技术漏洞,如:查询拒贷客户信用报告不受限制,信用报告流转范围过大等,可能引发的信息泄露风险不可小觑。但在实践中,前置系统委外开发比例较高,接入机构自身系统修补能力有限,在没有大规模的信息泄露事件暴发的前提下,接入机构修补系统漏洞的耗时较长、内生动力不足。 3.技防水平差异大。中小接入机构业务范围小、资金规模少、科技力量弱,在技术保障措施方面明显滞后于国有银行等大型接入机构。例如,前置系统功能完善的大型接入机构,通过动态密码、IP地址关联、密码和登录用户相分离等一种或者几种组合措施,有效杜绝盗用用户登录;异常监控指标完善,阈值设置合理,出现问题能及时阻断;后台自动记录用户名称、操作内容及IP/MAC地址,各项操作有记录、可定位、可追溯。与此同时,部分村镇银行、小额贷款公司、公积金中心仍通过网页查询直接访问征信系统,登录控制方式单一,手工记录查询台账,异常监控依赖征信中心反馈报文。可见,暴发信息安全风险事件的机构化趋势明显。 4.内部管理不到位。根据监管要求,接入机构应按季度开展内部征信合规和信息安全自查自纠,并将自查自纠情况向人民银行书面报告。对比执法检查发现的问题,接入机构自查自纠不能有效反映其征信合规管理全貌,存在自查不深入、不全面,报告内容缺少可靠数据支撑等情况。其结果,一方面影响人民银行非现场监管工作质效,另一方面,接入机构对于实际工作中存在的问题不能做到早发现、早处置,即便自查发现问题,由于整改力度不够,问题重复出现的概率较高。 (二)基层人行面临的难点 1.执法检查取证难。一是笔迹真伪难鉴别。检查人员通过翻阅纸质资料难以判断授权书是否由信息主体本人签署,即便认为真实性存疑,也不能依据个人主观判断对问题定性。有效的取证方式包括询问笔录和笔迹鉴定,若相关责任人拒不承认伪造签名,取证将陷入被动,笔迹鉴定则需要提供真实主体的签名进行人身同一认定,执法成本较高,且对于拒贷客户而言,找寻难度大。二是公共用户难锁定。各接入机构前置系统对征信操作的记录水平参差不齐,监控视频的保存时间和覆盖范围有限,令公共用户的锁定工作陷入尴尬。 2.执法力量薄弱。结合“每三年征信系统接入机构检查全覆盖”的工作要求,以及农村商业银行、村镇银行等中小接入机构分布于县域的实际情况,执法检查需要人行地市中支征信管理部门全员参与,也必须依靠县支行执法力量。执法力量薄弱的主要表现有:一是部门人员时有流动,新鲜力量加入后需要一段时间适应和胜任岗位,若执法骨干力量调出,调入人员经验不足,或出现执法力量空挡;二是人行县支行征信管理部门通常设置2至3人,对口上级行4-5个业务科室,人员少任务重,年龄结构偏大,执法经验不足、尺度不一致,不能有效利用辅助工具筛选可疑数据,现场检查以手工翻阅资料为主,难以实现检查面不低于30%、征信查询记录全面筛查的工作要求,造成反应问题片面,难以掌握真实情况,与征信业务发展速度不相匹配。 三、相关建议 (一)加强线上业务合规管理 《电子签名法》《最高人民法院关于互联网法院审理案件若干问题的规定》指出,可靠的电子签名应当保证当事人专有专控、内容篡改可察觉。在上述框架原则的基础上,建议出台具体的技术标准,指导实际业务操作。如:引入具备许可资质的第三方电子认证服务机构,为客户身份认证、电子证据保全提供解决方案,保证电子签名人对电子签名制作数据专有专控,保证电子授权协议的内容篡改可发现,破解假冒名贷款和异议纠纷举证难问题。另外,将线上业务查询记录归口于地市分支行的,应同时向地市分支行开放身份认证和电子授权资料的调阅权限,方便当地人民银行开展合规监管。 (二)强化系统功能和安全措施 一是强化征信相关信息系统建设,完整记录和监控所有征信活动,包括用户、地址、程序和操作内容等。二是进一步完善征信查询前置系统功能,对全部征信用户实行统一规范管理,监测、预警和阻断各类违规查询操作,防范征信信息泄露风险。三是督促接入机构积极向上级行反馈系统安全漏洞,对安全漏洞可能引发的信息泄露风险高度重视,在系统漏洞修补完善前,提高制防和人防强度,加强对各级征信系统用户运行情况的实时监控,推进实现信用报告脱敏展示、结构化展示和自动解读。 (三)多层次差异化征信监管 加强执法检查、安全巡查、机构自查以及征信合规与信息安全考核评级之间的相互结合和促进,准确定位不同监管方式效能。接入机构通过自查自纠主动暴露问题,自主发现、及时整改,为人民银行非现场监管提供基础信息;安全巡查形式灵活,建议以聚焦业务办理过程中的征信操作实践为重点,侧重事前、事中防范,实现快速、全覆盖的目标,作为联系现场检查和非现场监管的平台;考核评级按年度刻画接入机构风险画像,是征信合规工作质量的全面反映,人民银行根据其动态变化趋势、评级结果和风险点大小,可灵活调整监管策略,如缩短自查自纠周期,提高安全巡查频率,降低考核评级等级等;运用行政执法手段,加大违法违规成本,对整改不到位的安全巡查问题,或自查覆盖但未暴露问题,从严实施行政处罚,全方位正风肃纪,促使其依法依规履职。 (四)健全和完善内控管理 人民银行可根据执法取证难点及监管发现问题,有针对性地督促接入机构调整内控制度。例如:要求留存客户授权的场景照片,形式包括但不限于客户与客户经理合影等,为授权资料真实性增信,解决笔迹真伪难鉴别问题;对接入机构自查自纠的检查覆盖面和报告格式提出具体要求,自查调阅清单应作为报告附件一同报备等,杜绝自查流于形式。另外,接入机构要明确部门职责,畅通内部沟通渠道,人员变动做好工作交接,保障业务平稳过渡。加大对征信活动薄弱环节的审计和检查力度,对于制度执行不力、不按程序操作导致的违法违规行为,应当明确问责程序和惩戒措施,维护制度的严肃性和权威性。 (五)提升执法检查实效 一是采取多种形式加强队伍建设,利用现场培训、典型案例分析,提升执法队伍的理论水平;通过跟班学习、交叉检查,开阔监管人员视野,积累实战经验,锻炼和培养执法储备力量;编制现场检查工作指引,明晰征信检查制度与适用法规,实现查处问题依据充分、程序合规、事实清楚、证据确凿、处理恰当。二是改进检查方式方法,开发辅助分析工具,为现场检查提供服务,扩大检查覆盖面,用技术手段查找接入机构存在的深层次问题,逐步实现由手工翻阅向计算机核查模式的转变,亦可优化省级人行征信查询前置系统功能,抓取各接入机构操作记录数据,建立数据分析模型,开展非现场分析,提高检查质量和效率。 参考文献: [1]阚胜国.个人线上信贷业务征信合规的探索——以北京地区为例[J].征信.2020(1):40-42. 作者单位:中国人民銀行株洲市中心支行 |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。