近年来,我国金融业发展迅速,随着互联网技术的进步,传统金融业不断“联网”,网络支付、网络借贷用户规模快速增长,数据显示,我国网络购物用户规模达7.1亿,网络支付用户规模达7.68亿。
与此同时,个人金融信息泄露事件也时有发生。据中国互联网协会发布的《互联网用户权益保护调查报告》显示,78.2%的互联网用户个人身份信息、63.4%的互联网用户网上金融交易记录遭到泄露。近年来,金融隐私泄露事件每年以35%左右的速度递增。
“金融领域的个人信息比较特殊,相对于其他个人信息,它与一个人的资产、信用状况等高度相关,一旦泄露,不仅会侵犯个人隐私,还可能对信息主体的财产安全造成极大威胁。”全国人大代表、中国人民银行南京分行行长郭新明说。
如何构建一道严密的信息安全“防火墙”,帮助人们更加看紧自己的钱包,成为当前金融领域亟待解决的重大课题。
痛点:财务数据泄露已成为行业“顽疾”
“数据就像飞机的发动机,用户隐私就像飞机上的乘客,一旦发动机出现问题,乘客的生命将受到严重威胁。”360金融信息安全专家吴业超在谈到个人金融数据的重要性时做了这样的比喻。
数据泄露已成为金融行业的顽疾,除了银行交易记录、信用报告等数据的泄露外,保险、证券行业的数据泄露也备受关注。
2016年,上海等地多家保险机构卷入“泄密门”事件,不少车主刚向保险公司报案不久,就接到冒充保险公司工作人员的诈骗电话;某支付平台前员工三年内下载20G用户数据出售;某金融平台被曝60万用户大量敏感信息泄露……
“网络借贷已成为金融隐私泄露的主要源头之一。”中国人民公安大学网络空间安全与法治协同创新中心副教授陆天亮指出,网络借贷需求量大、个人征信体系不完善,催生了大量民间风控机构。一些公司为了开展风控业务,采用非法爬虫、催收、兑换等手段,获取或骗取公民身份、位置、信用甚至通讯信息。
一方面,“内部人员”泄密难以防范;另一方面,黑客窃取信息猖獗。中国人民公安大学博士袁德宇表示,当前金融行业已成为网络犯罪的“重灾区”,金融信息泄露成为黑产生存的基本土壤。信息被窃取后,垃圾短信、邮件往往铺天盖地;骚扰、诈骗电话不断;更严重的是账户被盗、钱财消失。
金融应用火爆背后隐藏隐忧
去年12月4日,国家网络安全通报中心公布,100款违法收集个人信息的APP被查处并责令整改,其中,“光大银行”、“天津银行”、“天津农商银行”、“乐贷贷”等金融APP均榜上有名。
“移动互联网在金融领域的应用表现在各类手机应用APP中,主要包括银行、消费、支付、理财、证券等。”陆天亮介绍,其中,面向个人用户的消费类APP数量最多,占比近40%。隐私协议缺失、个人信息收集使用范围描述不明确、超范围收集个人信息、无端收集个人信息成为金融APP侵犯个人信息的主要情形。
中国信息通信研究院金融科技研究中心行业咨询总监冯程表示,在实际业务运营中,金融APP只是金融机构触达用户的渠道之一,PC网页、小程序、在第三方平台推出的线上应用入口、微信服务号等渠道的数据收集、传输和留存,由于中间环节的增多,也加大了个人信息数据安全的风险。
当前,人工智能、大数据、生物识别、移动互联网等新技术大量应用于金融领域,在为用户提供便捷、优质服务的同时,也给金融隐私保护带来更多风险和挑战。如人脸识别支付、指纹支付面临被伪造的风险,基于物联网、大数据、云计算技术的数据存储服务器往往成为黑客攻击的重点。
重点加快立法保护金融消费者权益
2007年,央行陆续通过《金融机构客户身份识别和留存客户身份资料和交易记录规定》等文件,逐步确立个人信息收集范围、使用原则等要求,成为我国个人金融信息保护法规的源头。
目前我国民法典人格权编专门规定了隐私权和个人信息保护,个人金融信息的民事保护有着明确的上位法理基础。同时,面对个人金融信息保护不足、法律追诉机制不完善等问题,业界呼吁加强相关法律制度建设。
2019年末,央行发布《个人金融信息(数据)保护试行办法(征求意见稿)》,其中涉及完善征信机制体系建设,将进一步明确金融机构与第三方之间的征信业务活动,加大对违法采集、使用个人信用信息行为的处罚力度。
今年2月,全国金融标准化技术委员会发布《个人金融信息保护技术规范》。规范将个人金融信息按照敏感度从高到低分为C3、C2、C1三类。C3主要包括各类账户密码,C2主要包括账户、身份证信息、短信密码、住址等,C1主要包括开户时间、支付标签信息等。规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等各个环节的安全保护要求。同时要求金融机构不得以默认授权、功能捆绑等方式强行获取个人金融信息,也不得委托、授权不具备相关金融资质的机构收集身份证号、手机号等个人信息。
今年全国两会上,不少代表、代表建议加快金融消费者权益保护立法进程,修改完善现行金融监管法律法规。
全国人大代表、中国人民银行顾问周振海建议制定金融消费者权益保护条例。“一方面可以提高金融消费者权益保护的立法层次,对金融消费者和金融机构的权利义务作出基础性规定,保护金融消费者的长远和根本利益。另一方面可以统一金融消费者权益保护领域的监管标准,避免监管真空和监管套利。”
周镇海还建议在立法层面作出一些特殊的制度安排,比如建立监管合作机制、引入金融消费公益诉讼制度、建立金融消费纠纷多元化纠纷解决机制等。
从源头入手,出台统一的金融信息保护法规将成为金融业治理整顿的重要内容,同时企业个人金融信息保护内控机制建设也必须跟进。
“个人金融信息违法交易问题严重,暴露出第三方内控不严、信息系统存在安全漏洞、信息泄露传输链条长、追溯难等问题。”吴业超认为,用户信息保护需要金融科技企业加强内控管理,构建良好的数据隐私保护制度,并进行数据安全监测和周期管控,构建数据安全防御体系。同时,企业、公安、科研机构等部门要共同努力,提升行业整体安全防御状况,营造良好的金融生态。
(记者 金浩)