本报见习记者 余俊毅
数据隐私无小事,即便消息被证伪,也会引起广泛关注。
近日,“80万条银行客户数据被‘暗网’出售一事”引发讨论。在境外一家黑客论坛上,两位用户发帖声称出售国内银行数据信息,包含多家银行约80万条客户信息,包括电话、姓名、身份证号、家庭地址等。
不过,随后多家银行辟谣表示其出售信息与银行内存储信息不吻合,不存在信息泄露问题。
在各类信息泄漏事件中,银行客户信息因最具含金量——往往在黑市和暗网中要价最高,近年来国外时常有银行客户信息大规模被盗事件发生。2018年5月份银保监会发布《银行业金融机构数据治理指引》,要求银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私。
“在数字经济时代,为了防范数据被泄露、减少数据滥用,同时最大程度发挥数据的价值,应尽早制定个人金融信息保护的专门性立法。”中央财经大学数字经济与法治研究中心执行主任刘权对《证券日报》记者表示。
多家银行表示保持追责权利
据《证券日报》记者了解,此次金融机构客户数据被贩卖的消息最初来源于一家境外公开黑客论坛Raid forums,在这个论坛上有两名用户“togoodfor-thisshit”和“s868858”分别发布出售国内银行数据信息的贴文,涉及国内多家银行。其中包括约80万条上海银行客户信息、46万条兴业银行信用卡客户信息、10万条平安保险用户信息、10万条浦发银行客户信息、6.3万条招商银行客户信息,其用以举例的信息中主要包括电话、姓名、身份证号以及家庭地址。
这一消息经媒体报道后迅速引起相关银行方面的重视,上述几家银行均在第一时间给出回应。
兴业银行有关人士对《证券日报》记者表示,得到消息后,该行高度重视此问题,并第一时间核查比对了信息,确认其中所谓的“兴业银行信用卡客户信息”与兴业银行真实的客户信息要素并不吻合,不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益;兴业银行将保留追究伪冒银行客户信息、损害银行商誉的法律责任的权利。
招商银行称,经比对相关数据,与我行真实客户信息并不吻合,网络上的信息不属实。我行谴责任何伪造并贩卖公民信息的犯罪行为,并保留追究损害我行声誉法律责任的权利。
农业银行回应表示高度重视“所谓农行客户信息的消息”,经认真核查比对,不存在客户信息泄露问题。并已向监管部门报告有关情况,准备向公安机关报案,将积极配合公安部门调查取证,如有进一步情况,会及时公布。
浦发银行回应表示,经排查比对,网传数据没有该行客户账户信息,且与该行客户信息要素不符。不排除不法分子将不明来源数据冠以金融机构名义兜售,以牟取非法利益。对于伪冒该行信息、损害该行商誉的不法行为,浦发银行表示,将保留追究其法律责任的权利。
数据安全挑战数字化转型
随着上述客户信息被迅速“证伪”,业内普遍认为,此次事件大概率为不法分子伪造、售卖所谓银行客户信息牟取不当利益。
但数据隐私无小事,即便消息被证伪,也会引起广泛关注。那么,大规模的银行客户数据被盗容易发生吗?
据《证券日报》记者了解,目前国内商业银行对客户数据保护工作及其重视。其安全防范水平也远在一般企业之上。
从数据泄露的角度来讲,主要分两类:一类为外部黑客攻击;另一类为“内鬼”盗取。
从黑客攻击的角度上来讲,中纺亿联集团产品经理、IT系统实施顾问马宁对《证券日报》记者说:“银行属于特殊行业,对数据安全性要求很高。由于银行的网络数据是一个内部封闭的网络,属于私有云的部署,与外部不连通,需要特殊的介质才可以连通,所以说银行被黑客攻击的机率是非常低的。如果要举个例子的话,普通的安防系统,就好像你住在一个小区的公寓里,那么你的安全保障主要仰仗小区的物业和安保,一旦有人突破了物业和安保,那整个小区的居民可能都面临着风险。而银行的安保就好像你自己隐居在一座山里的某一个区域的别墅里,并且别墅外面有层层的保安,首先找到这座山就很困难。”
相对于黑客攻击,目前国内银行客户信息泄露事件源于内部人员泄露。但多限于网点工作人员利用自己掌握的客户信息进行非法交易,泄露信息数量普遍在千余条以内。
而数目达数十万条的信息,银行内部人员也很难获取。有国有大行资深技术人员对《证券日报》记者表示:“就目前来说,银行的大量数据集中泄露可能性不太大,因为现在各行对数据保护非常重视,网络防护安全级别也非常高。尤其在目前的监管体制下,内部人员非常清楚这种事的严重性质,并且下载大体量数据会系统留痕,得不偿失。”
不过上述人士也提醒,“现在数据应用场景广泛,分析合作多,过程中也有是可能被别有用心的人钻空子的。”对于银行业金融机构的数据治理和个人信息保护,银保监会有明确监管要求。
2020年3月6日,银保监会办公厅发布的《关于预防银行业保险业从业人员金融违法犯罪的指导意见》中再次强调“严防信息科技领域违法犯罪行为”。
不过,在一些专家看来,目前制度仍有待完善。“我国针对金融机构的个人数据安全,有一些相关规定,但总体上法律位阶较低、相关条款较为分散,缺乏个人金融信息保护的专门性立法。”中央财经大学数字经济与法治研究中心执行主任刘权对《证券日报》记者表示:“对个人金融信息的界定,收集、处理、使用、传输等缺乏专门的规定,导致监管依据不足,同时存在监管不作为、选择性监管等问题。”
“在数字经济时代,为了防范数据被泄露、减少数据滥用,同时最大程度发挥数据的价值,应尽早制定个人金融信息保护的专门性立法。2019年,央行已发布《个人金融信息保护试行办法》(征求意见稿),希望能尽早出台。同时,及早颁布正在制定中的《个人信息保护法》、《数据安全法》。”刘权表示。
