谨防银行“内鬼”偷钱偷信息

　　作为金融业的绝对主力军，银行业保险业的稳健发展事关全局。根据银保监会近期通报，今年上半年，银行保险机构案件继续呈高发态势，涉及金额495.80亿元，共有585名银行保险机构从业人员被采取强制措施。案发呈现的主要风险和问题包括金融腐败与业务违法违规交织、中小银行机构内源性问题突显、金融科技应用潜藏风险、不良资产处置领域道德风险突出、个人住房贷款诈骗手段翻新、重大保险案件危害大等六类。银行保险业呈现的金融风险问题源于何处，如何去预防和化解相关风险问题?澎湃新闻逐一探究上述六类风险问题，试图从中寻找一些答案。

　　金融科技方兴未艾，金融科技风险无处不在。

　　当下，不少银行和消费者正享受着金融科技带来的高效便利的金融服务，但在同时，也有部分银行存在内部失守、数据管理不善等问题。

　　银保监会近期在2021年上半年银行保险机构涉刑案件情况的通报中指出，金融科技在推动银行保险机构运营模式创新的同时，也带来不少风险隐患。涉案机构普遍存在管理制度与控制措施缺失、关键岗位制约失效、对数据安全管理重视不足等问题。

　　根据通报，某农商行科技部一员工利用数据加密管理漏洞，窃取55名客户银行卡账号、磁条、密码等信息，造成客户资金损失。某省联社信息科技部一员工修改核心系统贷款模块数据，将多家营业网点贷款利息收入科目资金冲账转入个人银行卡并删除借贷方交易记录，窃取资金近600万元。

　　对于上述问题，有相关业务技术专家向澎湃新闻表示，从技术层面其实是可以规避的。在系统层面，如果技术部门严格对所有系统如决策引擎、实时指标、反欺诈等系统都做去标识化处理。当数据进入到系统流转的时候，任何有机会碰触到数据的人员和系统，看到的皆是“无意义”的符号，让数据滥用和泄露的可能性降为零。

　　“此外，银行需要建立起一套数据安全管理机制，建立数据申请审核、安全风险熔断、违规行为追溯等制度，加强对数据应用伦理、个人隐私保护等方面的综合研判。”上述专家表示。

　　从银保监会的通报可以看出，农商行、省联社都是颇具代表性的中小银行。而在银行业近些年的发展中，有关中小银行的公司治理、业务发展的问题不断暴露。在金融科技领域，相较于大型银行，中小银行的机制尚不健全，实力薄弱，因为发展较为缓慢。

　　中国社会科学院金融研究所金融科技研究室主任尹振涛在接受澎湃新闻采访时表示，金融科技的投入是有一定门槛的，包括资金门槛、时间门槛、客户门槛等。具体来说，就是需要不断的巨额投入，有了一定的时间发展才能产生效益。与此同时，还要不断迭代系统和科技能力，需要很多的应用，如果客户量达不到，也就很难实现。由于种种客观因素，在金融科技的时代，中小银行在这块发展很难。

　　2020年初，安徽银保监局曾披露一张对安徽凤阳农商行开出的罚单。凤阳农商行因未能根据要求有效开展数据治理工作，数据治理存在严重缺陷，严重违反审慎经营规则，被罚25万元。而在此之前，根据银保监会网站披露，尚未有银行因这一违法违规案由被罚。

　　今年8月，中国人民银行南昌中支开出多张罚单，多家农商行因信息收集违规、数据造假、反洗钱不合规等被罚。其中，江西新建农商行由于提供虚假的金融统计数据;违反信用信息采集、提供、查询及相关管理规定;未按规定履行客户身份识别义务等多项违规，被警告并处罚款430.5万元，时任该银行董事长、运营管理部总经理、信息科技部总经理一同被罚。

　　一位金融科技公司部门负责人告诉澎湃新闻，在银行中，尤其是中小银行的金融科技实力提升，往往会借助外部科技公司的力量，由此也会产生一些内外人员管理制度不完善、数据安全调取不规范等情况，导致数据存在泄漏风险。虽然有制度，但在执行过程中有时并不严格。

　　“不是每个银行的重视程度和投入度都足够，需要在这一块加强重视程度和专业性，需要专门的数据治理团队加强完善，从人员到制度到执行层层落实。”上述人士表示。

　　尹振涛指出，中小银行的金融科技会出现很多特殊的特征，他们有可能就会被数字经济所淘汰。在这种担忧下，其金融科技就产生了一些问题，包括数据合作、科技建设、同质化等。

　　“有些银行想快速补充数据，那么银行在数据的获取、使用和分享上可能会存在不合规的问题，比如采购一些灰色数据来补充。在成本上，中小银行可能很难花大量的资金去投入到科技能力的建设方面，银行就一些合作方共同开展，但合作方可能会存在合规的问题，还包括合作方的能力、资质、牌照等。”尹振涛向澎湃新闻表示，中小银行的金融科技的同质化问题也很突出，例如在风控方面都叫智能风控，但可能底层都是一个公司在做，或者底层的逻辑都是一样的。

　　澎湃新闻查询中国裁判文书网发现，有多起因银行卡被盗刷而引起的法律诉讼案，案涉银行多位农商行。对于储户银行卡被盗刷，法院给出的意见多数一致。

　　比如，福建省泉州市中级人民法院认为，银行作为借记卡的发卡行及相关技术、设备和操作平台的提供者，应当提供完善的技术设备，包括难以复制的银行卡和能够识别复制卡的交易终端，掌握银行卡的制作技术与加密保护技术，具备识别其真伪的技术和硬件设施，应当确保储户借记卡内的数据信息不被非法窃取并加以使用，确保借记卡内资金的安全。

　　贵州省清镇市人民法院认为，银行是发卡行及相关技术、设备和操作平台的提供者，在其与储户的合同关系中明显占据优势地位，应当承担是否为盗刷的识别义务。银行卡被盗刷，说明储户持有的真正银行卡内数据信息可以被复制并存储到其他的伪卡内，并且伪卡输入密码后还可以进行正常的交易活动，因此银行制发的借记卡以及交易系统在防伪技术上存在缺陷，银行未能履行交易安全保障义务。

　　“中小银行在发展金融科技的时候，一定不能一蹴而就，它是一个长期积累的过程，它是一个协同发展、整合发展、合作发展的过程。”尹振涛说。

编辑：齐少恒