商业银行信用卡委托催收客户信息保护研究
时间:2021-01-25 06:01:33 来源:达达文档网 本文已影响 人 
摘 要;本文主要研究大数据时代,商业银行在开办信用卡委托催收业务过程中客户信息保护的问题。本文结合商业银行在信用卡委托催收业务过程中的实践,从监管政策的要求、信用卡委托催收的必要性入手,提出该业务客户信息保护的背景,介绍当前商业银行与第三方服务商合作的信用卡委托催收模式,并就当前的合作模式,提出信用卡委托催收在客户信息保护方面存在内部控制機制不足、第三方服务商科技实力不足等问题,建议商业银行在加强对第三方服务商的管理,健全内部控制机制的同时,及时探索、完善新型信用卡委托催收合作模式。
关键词:
信用卡;催收外包;客户信息;信息保护
客户信息保护一直是监管部门关注的重点,商业银行信用卡委托催收业务由于业务性质,不得不向第三方催收公司提供信用卡持卡人的个人信息。因此,商业银行与第三方催收公司在委托期间以委托结束后,如何保护好客户的信息,防止客户信息泄露,具有非常重要的现实意义。
一、信用卡委托催收客户信息保护的背景
根据中国人民银行公布的《2019年支付体系运行总体情况》,截至2019年末,全国信用卡和借贷合一卡的用发卡数量共计7.46亿张,同比增长8.78%;应偿信贷余额7.59万亿元,信用卡逾期半年未偿信贷总额742.66亿元,占信用卡应偿信贷余额的0.98%。信用卡的发卡量逐年增长,透支规模不断扩大,风险管理的难度也不断加大。作为一项非核心运营业务,基于对成本控制的考虑,很多商业银行选择将信用卡催收业务外包给第三方催收公司。
商业银行信用卡委托催收业务从本质上来说,是一项劳动密集型工作。第三方催收公司接收了商业银行的客户信息,大量的催收人员可接触客户信息,且可接触的客户信息的范围非常大。因此,根据标监管部门的要求,保护好客户信息是非常有必要的。2016年中国人民银行出台了《金融消费者权益保护实施办法》,要求金融机构充分审查、评估外包服务供应商保护个人金融信息的能力,并采取必要措施保证外包服务供应商履行保护个人金融信息的职责和保密义务。2017年银监会办公厅《关于加强网络信息安全与客户信息保护有关事项的通知》,强调银行等金融机构做好内部控制,改进技术手段,加强监测,评估外包风险,严格防控外包活动中的信息泄露风险。监管部门的连续发声,目的是规范商业银行的外包行为,给商业银行的信用卡委外催收客户信息保护工作敲响警钟。
二、信用卡委托催收的合作模式
在信息化时代,商业银行提供给第三方催收公司的催收案件都是批量化的电子数据。通常的合作模式是商业银行在自身业务系统生成催收电子文档,通过特定的渠道传输到第三方催收公司,第三方催收公司接收后导入自身业务系统。
由于催收的电子文档含有大量的客户信息,如何在数据传输过程中防止信息泄露也是各商业银行需要考虑的重点问题。其中,风险控制较差的商业银行,将催收电子文档加密后通过邮件进行传输;风险控制较好的商业银行,则搭建合作伙伴平台,与第三方催收公司通过专线传输催收电子文档;还有的银行进一步优化了催收方式,通过拆分催收数据的字段,分开加密,并实现催收数据的自动发送。
三、信用卡委托催收客户信息保护面临的困境
信用卡委托催收业务在多个环节都有信息传输的过程,既有内部传输,也有外部传输。一旦某个环节出现问题,就容易导致客户信息泄露,使银行处于内忧外患的困境中。
(一)商业银行信用卡催收内部控制机制不全面
随着商业银行信用卡业务的快速发展与透支规模的迅速扩大,信用卡逾期的额度也在不断增大。面对海量的信用卡逾期信息,商业银行的风险管理难度成倍增加,商业银行也对内部控制提出了新的要求,但内部控制机制仍然存在一些缺陷。一是商业银行信用卡催收系统存在缺陷。随着风险控制的发展,商业银行必然建立催收系统对催收业务进行管理。由于早期的技术瓶颈、成本投入等多种原因,商业信用卡催收系统在顶层设计上对风险控制考虑得不全面,对批量数据的查询和下载没有设计控制机制,催收数据没有实现自动发送,存在人工干预的过程,系统用户不经审批就可直接将数据下载到本地,提升了客户信息泄露的风险。二是选择第三方催收公司时偏向业绩考核。商业银行在经营过程中存在追逐利润、控制成本的特点,选择第三方催收公司时,主要考虑的因素是报价、行业口碑、过往的催收效果等。在实际的工作过程中,商业银行往往会选择报价低、催收效果好的第三方催收公司。在对第三方公司进行考核付费时,催收业绩往往是考核的主要因素,客户信息保护等因素的占比很小。三是风险管理人员的专业性不强。按照监督管理部门的要求,商业银行应对第三方催收公司履行保护客户信息的职责和保密的义务采取必要的措施。在当前的催收合作模式下,风险管理人员对第三方催收公司的管理已不再局限于催收公司是否存在暴力催收等传统问题,应具有科技背景知识,能发现第三方催收公司业务系统在客户信息保护方面存在的问题和缺陷。
(二)第三方催收公司主观保留商业银行催收客户信息
当前商业银行与第三方催收公司的合作模式注定了第三方催收公司具有主观保留商业银行催收客户信息的条件和能力。在当前的合作模式下,第三方催收公司最终会把催收的客户信息导入自身的业务系统,在系统前端展示客户信息给催收人员进行电话催收或上门催收,并记录催收的全过程。通常情况下,商业银行与第三方催收公司签订的协议上会注明,催收案件委托结束后需删除系统案件信息,并提供数据销毁证明。第三方催收公司一般会提供系统前端删除数据的证明,但实际上第三方催收公司在数据库保留了全部的催收客户信息,并定期备份。这些催收客户信息就变成了第三方催收公司的财产,第三方催收公司可整合客户信息生产分析报告,卖给咨询机构或地下钱庄等赚取利润,从而导致客户信息泄露。由于客户信息泄露的可能环节太多,商业银行调查取证的难度非常大,面临较大的声誉风险。
(三)第三方催收公司不具备防止客户信息泄露的科技实力
第三方催收公司的实力参差不及,科技实力也千差万别,总的来说,无法达到商业银行的要求。商业银行当前的信用卡委托催收业务也是无奈之举,商业银行处于进退两难的局面。在当前的催收合作模式下,也有第三方催收公司开发自身的核心业务系统。实力较强的第三方催收公司还会选择使用开源的堡垒机管理核心系统,搭建硬件或软件防火墙;而实力较弱的第三方催收公司只会使用简单的防病毒安全软件。但第三方催收公司普遍存在核心系统缺乏安全机制约束的情况,核心系统与互联网之间存在开放协议,没有实现内外部网络隔离,服务器本地数据库安全防护能力较低,容易被互联网黑客攻击,导致客户信息泄露。
四、建议与对策
商业银行信用卡委托催收客户信息保护所面临的困境,很大程度上是当前的合作模式造成的。因此,探索新的合作模式是非常有必要的。在新的合作模式成熟推广前,也应加强内部控制和外部管理,严防客户信息泄露。
(一)弥补当前内部控制和外部管理存在的缺陷
在当前的合作模式淘汰之前,商业银行应持续解决内部控制和外部管理存在的一些问题。一是加强信用卡催收系统风险控制,实现催收数据的自动发送,避免数据传输过程中的人工干预,减少客户信息在数据传输过程中的人工暴露。二是配备专业人才加强对第三方催收公司的管理。商业银行应配备具有科技背景的风险管理人员或建立信用卡催收管理部门联合科技部门协同管理和检查的机制,增加现场检查第三方催收公司的频率,重点评估其科技实力是否足以保护客户信息。对科技实力严重不足的第三方催收公司应出具专业意见,予以退出或淘汰。
(二)探索信用卡委托催收合作新模式
当前信用卡委托催收合作模式环节较多,应精简流程,在各个环节减少人工干預,减少客户信息的接触范围和人员。第一,商业银行应与第三方催收公司合作,实现系统自动对接和数据自动传输,通过系统获取催收客户信息。客户信息不留存在第三方催收公司的数据库中,所有催收记录当天自动回传到商业银行系统。第二,商业银行开发前端的催收系统,应交由第三方催收公司使用,所有的客户信息不流转到第三方催收公司。商业银行可通过系统控制客户信息展示与否,并留存催收记录,将客户的信息留存在银行不外泄,最大限度地保障客户的信息安全。
(作者单位为中国农业银行审计局广州分局)
[作者简介:梁永富(1990—),男,广东广州人,本科,经济师,主要研究方向:信息化审计。]
