數(shù)字經(jīng)濟(jì)時(shí)代期待個(gè)人金融信息保護(hù)專門立法

    本報(bào)見習(xí)記者 余俊毅

    數(shù)據(jù)隱私無小事，即便消息被證偽，也會(huì)引起廣泛關(guān)注。

    近日，“80萬條銀行客戶數(shù)據(jù)被‘暗網(wǎng)’出售一事”引發(fā)討論。在境外一家黑客論壇上，兩位用戶發(fā)帖聲稱出售國內(nèi)銀行數(shù)據(jù)信息，包含多家銀行約80萬條客戶信息，包括電話、姓名、身份證號、家庭地址等。

    不過，隨后多家銀行辟謠表示其出售信息與銀行內(nèi)存儲(chǔ)信息不吻合，不存在信息泄露問題。

    在各類信息泄漏事件中，銀行客戶信息因最具含金量——往往在黑市和暗網(wǎng)中要價(jià)最高，近年來國外時(shí)常有銀行客戶信息大規(guī)模被盜事件發(fā)生。2018年5月份銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，要求銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全策略與標(biāo)準(zhǔn)，依法合規(guī)采集、應(yīng)用數(shù)據(jù)，依法保護(hù)客戶隱私。

    “在數(shù)字經(jīng)濟(jì)時(shí)代，為了防范數(shù)據(jù)被泄露、減少數(shù)據(jù)濫用，同時(shí)最大程度發(fā)揮數(shù)據(jù)的價(jià)值，應(yīng)盡早制定個(gè)人金融信息保護(hù)的專門性立法。”中央財(cái)經(jīng)大學(xué)數(shù)字經(jīng)濟(jì)與法治研究中心執(zhí)行主任劉權(quán)對《證券日報(bào)》記者表示。

    多家銀行表示保持追責(zé)權(quán)利

    據(jù)《證券日報(bào)》記者了解，此次金融機(jī)構(gòu)客戶數(shù)據(jù)被販賣的消息最初來源于一家境外公開黑客論壇Raid forums，在這個(gè)論壇上有兩名用戶“togoodfor-thisshit”和“s868858”分別發(fā)布出售國內(nèi)銀行數(shù)據(jù)信息的貼文，涉及國內(nèi)多家銀行。其中包括約80萬條上海銀行客戶信息、46萬條興業(yè)銀行信用卡客戶信息、10萬條平安保險(xiǎn)用戶信息、10萬條浦發(fā)銀行客戶信息、6.3萬條招商銀行客戶信息，其用以舉例的信息中主要包括電話、姓名、身份證號以及家庭地址。

    這一消息經(jīng)媒體報(bào)道后迅速引起相關(guān)銀行方面的重視，上述幾家銀行均在第一時(shí)間給出回應(yīng)。

    興業(yè)銀行有關(guān)人士對《證券日報(bào)》記者表示，得到消息后，該行高度重視此問題，并第一時(shí)間核查比對了信息，確認(rèn)其中所謂的“興業(yè)銀行信用卡客戶信息”與興業(yè)銀行真實(shí)的客戶信息要素并不吻合，不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當(dāng)利益；興業(yè)銀行將保留追究偽冒銀行客戶信息、損害銀行商譽(yù)的法律責(zé)任的權(quán)利。

    招商銀行稱，經(jīng)比對相關(guān)數(shù)據(jù)，與我行真實(shí)客戶信息并不吻合，網(wǎng)絡(luò)上的信息不屬實(shí)。我行譴責(zé)任何偽造并販賣公民信息的犯罪行為，并保留追究損害我行聲譽(yù)法律責(zé)任的權(quán)利。

    農(nóng)業(yè)銀行回應(yīng)表示高度重視“所謂農(nóng)行客戶信息的消息”，經(jīng)認(rèn)真核查比對，不存在客戶信息泄露問題。并已向監(jiān)管部門報(bào)告有關(guān)情況，準(zhǔn)備向公安機(jī)關(guān)報(bào)案，將積極配合公安部門調(diào)查取證，如有進(jìn)一步情況，會(huì)及時(shí)公布。

    浦發(fā)銀行回應(yīng)表示，經(jīng)排查比對，網(wǎng)傳數(shù)據(jù)沒有該行客戶賬戶信息，且與該行客戶信息要素不符。不排除不法分子將不明來源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售，以牟取非法利益。對于偽冒該行信息、損害該行商譽(yù)的不法行為，浦發(fā)銀行表示，將保留追究其法律責(zé)任的權(quán)利。

    數(shù)據(jù)安全挑戰(zhàn)數(shù)字化轉(zhuǎn)型

    隨著上述客戶信息被迅速“證偽”，業(yè)內(nèi)普遍認(rèn)為，此次事件大概率為不法分子偽造、售賣所謂銀行客戶信息牟取不當(dāng)利益。

    但數(shù)據(jù)隱私無小事，即便消息被證偽，也會(huì)引起廣泛關(guān)注。那么，大規(guī)模的銀行客戶數(shù)據(jù)被盜容易發(fā)生嗎？

    據(jù)《證券日報(bào)》記者了解，目前國內(nèi)商業(yè)銀行對客戶數(shù)據(jù)保護(hù)工作及其重視。其安全防范水平也遠(yuǎn)在一般企業(yè)之上。

    從數(shù)據(jù)泄露的角度來講，主要分兩類：一類為外部黑客攻擊；另一類為“內(nèi)鬼”盜取。

    從黑客攻擊的角度上來講，中紡億聯(lián)集團(tuán)產(chǎn)品經(jīng)理、IT系統(tǒng)實(shí)施顧問馬寧對《證券日報(bào)》記者說：“銀行屬于特殊行業(yè)，對數(shù)據(jù)安全性要求很高。由于銀行的網(wǎng)絡(luò)數(shù)據(jù)是一個(gè)內(nèi)部封閉的網(wǎng)絡(luò)，屬于私有云的部署，與外部不連通，需要特殊的介質(zhì)才可以連通，所以說銀行被黑客攻擊的機(jī)率是非常低的。如果要舉個(gè)例子的話，普通的安防系統(tǒng)，就好像你住在一個(gè)小區(qū)的公寓里，那么你的安全保障主要仰仗小區(qū)的物業(yè)和安保，一旦有人突破了物業(yè)和安保，那整個(gè)小區(qū)的居民可能都面臨著風(fēng)險(xiǎn)。而銀行的安保就好像你自己隱居在一座山里的某一個(gè)區(qū)域的別墅里，并且別墅外面有層層的保安，首先找到這座山就很困難。”

    相對于黑客攻擊，目前國內(nèi)銀行客戶信息泄露事件源于內(nèi)部人員泄露。但多限于網(wǎng)點(diǎn)工作人員利用自己掌握的客戶信息進(jìn)行非法交易，泄露信息數(shù)量普遍在千余條以內(nèi)。

    而數(shù)目達(dá)數(shù)十萬條的信息，銀行內(nèi)部人員也很難獲取。有國有大行資深技術(shù)人員對《證券日報(bào)》記者表示：“就目前來說，銀行的大量數(shù)據(jù)集中泄露可能性不太大，因?yàn)楝F(xiàn)在各行對數(shù)據(jù)保護(hù)非常重視，網(wǎng)絡(luò)防護(hù)安全級別也非常高。尤其在目前的監(jiān)管體制下，內(nèi)部人員非常清楚這種事的嚴(yán)重性質(zhì)，并且下載大體量數(shù)據(jù)會(huì)系統(tǒng)留痕，得不償失。”

    不過上述人士也提醒，“現(xiàn)在數(shù)據(jù)應(yīng)用場景廣泛，分析合作多，過程中也有是可能被別有用心的人鉆空子的。”對于銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)治理和個(gè)人信息保護(hù)，銀保監(jiān)會(huì)有明確監(jiān)管要求。

    2020年3月6日，銀保監(jiān)會(huì)辦公廳發(fā)布的《關(guān)于預(yù)防銀行業(yè)保險(xiǎn)業(yè)從業(yè)人員金融違法犯罪的指導(dǎo)意見》中再次強(qiáng)調(diào)“嚴(yán)防信息科技領(lǐng)域違法犯罪行為”。

    不過，在一些專家看來，目前制度仍有待完善。“我國針對金融機(jī)構(gòu)的個(gè)人數(shù)據(jù)安全，有一些相關(guān)規(guī)定，但總體上法律位階較低、相關(guān)條款較為分散，缺乏個(gè)人金融信息保護(hù)的專門性立法。”中央財(cái)經(jīng)大學(xué)數(shù)字經(jīng)濟(jì)與法治研究中心執(zhí)行主任劉權(quán)對《證券日報(bào)》記者表示：“對個(gè)人金融信息的界定，收集、處理、使用、傳輸?shù)热狈ｉT的規(guī)定，導(dǎo)致監(jiān)管依據(jù)不足，同時(shí)存在監(jiān)管不作為、選擇性監(jiān)管等問題。”

    “在數(shù)字經(jīng)濟(jì)時(shí)代，為了防范數(shù)據(jù)被泄露、減少數(shù)據(jù)濫用，同時(shí)最大程度發(fā)揮數(shù)據(jù)的價(jià)值，應(yīng)盡早制定個(gè)人金融信息保護(hù)的專門性立法。2019年，央行已發(fā)布《個(gè)人金融信息保護(hù)試行辦法》（征求意見稿），希望能盡早出臺(tái)。同時(shí)，及早頒布正在制定中的《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》。”劉權(quán)表示。