银行中仍存个人金融信息保护漏洞

　　据了解，2016年以来，有关部门发现并通报一大批涉及金融等重点行业信息系统及安全监管漏洞，抓获各行业内部涉嫌违规人员3000余名。但记者调查发现，当前银行等金融机构中仍存一些隐患值得警惕。

　　——为“拉客户”“冲业绩”违规泄露用户信息成部分银行“潜规则”。浙江某农村信用社的一线柜员小张告诉记者，银行内部只有一线柜员有权限查询客户流水及其他信息，且查询时需其他员工共同授权，系统会自动留痕。

　　“但如果行长级别的领导以业务需要为名，要求查询、导出某客户流水，柜员往往难以拒绝。为‘笼络大客户’，而帮其私拉他人流水，这在一些银行也不是秘密。”小张说。

　　——银行内控漏洞致用户信息流进“黑市”。曾在广州某银行任职一线柜员的周女士透露，其所在银行的柜员可以随意查看客户半年内交易流水，无需授权。

　　记者还了解到，目前部分银行对记录客户信息的纸质资料保护不足，未能及时销毁或失控流出的现象时有发生。部分已“上云”的资料，也存在因操作规范执行、监督不严而导致信息泄露风险大增情况。

　　浦发银行某原电销中心业务主管任职期间违规获取、储存大量客户个人信息致其全部外流入电信诈骗团伙手中。

　　——部分银行App涉嫌过度索权致泄露信息风险上升。记者随机测试了多款银行App，发现其中多家存在不同程度“诱导”用户授权获取手机信息权限，如不同意其隐私条款则不能继续使用。其中，中信银行、中国工商银行等建议用户同意读取拨打电话及通话管理，照片、媒体内容及文件，获取位置信息等信息，否则相关功能将无法使用。且该类授权属于“一次授权、长期有效”，后期再使用时，系统不再提示授权。

　　北京师范大学网络法治国际中心高级研究员臧雷表示，根据相关国家标准，金融借贷类App可以获取

　　的最小权限范围为存储权限。机构应尽量遵循最小索权原则，尽量不因存储权限之外的权限影响用户使用App的关键功能。

　　某银行风控部门工作人员向记者透露，目前大多数银行App都涉及技术外包合作方，尽管在遴选时对合作企业背景、安全性有一定考量，但合作企业部分员工泄露信息的风险仍然不小。

　　“目前不少银行员工保护用户信息安全全凭自身职业操守。”周女士说。