建好“防火墙”,看紧“钱袋子”
—聚焦个人金融信息保护
当银行未经你的允许,把你的银行流水泄露给他人,你该怎么办?
不久前,脱口秀演员池子(本名王越池)发布微博称,在未获得本人授权的情况下,中信银行上海虹口支行将其个人账户流水提供给了银行的“大客户”——上海笑果文化传媒有限公司。其通过律师发函,要求中信银行、笑果文化赔偿损失并公开道歉。
很快,中信银行发出致歉信,称在客户信息保护方面,该行建立了一整套制度及流程,但个别员工未严格按照制度操作。该行表示,已按相关规定对员工进行处分,并且对该支行行长予以撤职。至此,这起备受关注的银行流水泄露事件告一段落。但是,事件所引发的个人金融信息保护问题却让人深思。
近年来,我国金融业发展迅速。随着网络科技的进步,传统金融业不断“触网”,网络支付、网络借贷用户增长迅速。数据显示,我国网络购物用户为7.1亿,网络支付用户则达到7.68亿。
与此同时,个人金融信息泄露事件也不时发生。根据中国互联网协会发布的一份网民权益保护调查报告,78.2%的网民的个人身份信息、63.4%的网民的网络金融交易记录曾被泄露过。近年来,每年发生的金融隐私泄露事件大约以35%的速度在增长。
“金融领域个人信息具有特殊性,与其他个人信息相比,其与个人的资产、信用状况等高度相关,一旦泄露,不仅会侵害个人隐私,还可能对信息主体的财产安全造成很大威胁。”全国人大代表、中国人民银行南京分行行长郭新明如此表示。
如何构建起严密的信息安全“防火墙”,为民众把“钱袋子”看得更紧,成为当前金融领域亟待解决的一大问题。
痛点 金融数据泄露成行业“顽疾”
“数据类似飞机的发动机,用户隐私类似飞机上的乘客,一旦发动机出现问题,会导致乘客的生命安全受到严重威胁。”对于个人金融数据的重要性,360金融信息安全专家吴业超如此打比方。
数据泄露,已成为金融行业的“顽疾”。除了银行的交易记录、征信报告等数据泄露外,保险、证券等行业的数据泄露也引人关注。
2016年,上海等地多家保险机构卷入“泄露门”事件,不少车主在发生交通事故、向保险公司报案后不久,便接到冒充保险公司工作人员的诈骗电话;某支付平台前员工在三年内,下载用户20G的资料用于出售;某金融平台被爆出60万用户大量敏感信息泄露……
“网贷业务已成为金融隐私泄露的主要根源之一。”中国人民公安大学网络空间安全与法治协同创新中心副教授芦天亮指出,大量的网贷业务需求和尚不完善的个人征信体系滋生了大量民间风控机构。一些公司为开展风控业务,使用非法爬取、采集、交换等方式获取或骗取公民身份类、位置类、征信类甚至通信类信息。
一方面,“内鬼”泄露信息难防;另一方面,黑客窃取信息猖獗。中国人民公安大学博士袁得嵛表示,当前金融领域成为网络黑产的“重灾区”,金融信息泄露成为黑产存在的基本土壤。信息被窃取之后,往往会垃圾短信、邮件铺天盖地;骚扰、诈骗电话接二连三;更有甚者,账户被盗刷,钱款不翼而飞。
热点 金融类App流行背后存隐忧
去年12月4日,国家网络安全通报中心发布消息称,100款违法违规采集个人信息的App被查处并被责令整改。其中,“光大银行”“天津银行”“天津农商银行”和“乐贷款”等金融类App榜上有名。
“移动互联网在金融领域的应用,表现为各类手机应用程序App,主要包括银行类、消费类、支付类、理财类、证券类等。”芦天亮介绍,其中,面向个人用户的消费类App数量最多,占比近四成。无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等,成为金融类App侵犯个人信息的主要情形。
据中国信息通信研究院金融科技研究中心产业咨询总监冯橙介绍,在实际业务开展中,金融App只是金融机构接触用户的渠道之一,在PC端网页、小程序、第三方平台投放的网申入口、微信服务号等渠道中的数据收集、传输、留存,由于中间环节的增多,也加大了个人信息数据安全的隐患。
当前,人工智能、大数据、生物识别、移动互联网等大量新技术应用到金融领域,在为用户提供便捷高质量服务的同时,也给金融隐私的保护带来了更多风险挑战。例如,人脸识别支付、指纹支付面临被仿冒的风险,物联网、大数据及云计算技术所依托的数据存储服务器,常常成为黑客攻击的重点目标。
重点 加快金融消费者权益保护立法
2007年,央行陆续通过《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等文件,逐步确立了个人信息收集范围、利用原则等要求,成为我国个人金融信息保护规范的源头。
当前,我国民法典人格权编专门对隐私与个人信息保护作出规范,个人金融信息的民事保护有了明确的上位法依据。同时,面临个人金融信息保护力度不够、法律追究机制不健全等问题,业界呼吁加强相关法律制度建设。
2019年底,央行下发《个人金融信息(数据)保护试行办法(初稿)》,涉及完善征信机制体制建设,将对金融机构与第三方之间征信业务活动等进一步作出明确规定,加大对违规采集、使用个人征信信息的惩处力度。
今年2月,全国金融标准化技术委员会发布《个人金融信息保护技术规范》。规范将个人金融信息按照敏感程度由高到低分为C3、C2、C1三大类,其中C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、住址等,C1主要为开户时间、支付标记信息等。该规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等各环节的安全防护要求。同时,要求金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息,也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。
今年的全国两会上,多位代表委员建议加快金融消费者权益保护立法进程,并对现行的金融监管法规进行修订完善。
全国人大代表、中国人民银行参事周振海建议,制定金融消费者权益保护条例,“一方面可以提高金融消费权益保护的立法层次,对金融消费者和金融机构的权利义务进行根本性规定,保护金融消费者的长远和根本利益;另一方面,可统一金融消费权益保护领域的监管标准,避免监管真空与监管套利”。
周振海同时建议,在立法层面做出某些特殊制度安排,例如建立监管协作机制、引入金融消费公益诉讼制度、确立金融消费纠纷多元化解决机制等。
从源头出发,出台统一的金融信息保护法规,将成为金融行业治理整顿的重要一环。与此同时,企业个人金融信息保护内控机制建设也须跟进。
“个人金融信息非法交易问题严峻,暴露出第三方内控不严、信息系统安全漏洞和信息泄露传输链条长、难追溯等问题。”吴业超认为,用户信息的保护需要金融科技企业加强内控与管理,做好数据隐私与保护制度建设、数据的安全监控和周期管控,构建数据安全防卫体系。同时,企业、公安和科研机构等部门应共同合作,提高行业整体的安全性和防御状态,打造良好的金融生态圈。(记者 靳昊)
