目前,基于个人信息的精准诈骗已逐渐成为犯罪分子窃取资金的主要手段。 金融和支付机构在提供在线服务和交易的过程中收集大量的个人信息。 由于监管和内控机制不健全,信息泄露事件频发,严重威胁用户支付安全。 那么,信息泄露造成的安全风险有多大呢? 网上支付时如何防范可能出现的风险? 本报记者对此进行了调查。
我购买了保险,但我的信息被盗了。
某支付机构泄露数千万银行卡信息,导致用户损失超过3900万元。
家住北京市朝阳区管庄的杨军拥有一辆汽车。 年检前,他还要赶去4S店购买汽车保险。 最近,杨军听说网上购买保险很方便,就在保险公司的官网上购买了车险。 “保单第二天就送到了我家,真是省心又省力。”
然而一周后,杨军接到了来自北京地区的座机电话。 电话中的人自称是一家保险公司的工作人员,询问他上周购买的一辆北京车牌号的现代汽车是否有汽车保险。 杨军确认后,对方立即表示,公司正在回馈老客户,杨军将获赠欧米茄手表和空气净化器。
“一般情况下我是不会相信这种电话的,但她却告诉了我一系列信息,比如我的车险价格、身份证号、家庭住址,甚至还有付款的银行卡号,我觉得有点可信, ”杨军说道。 。
随后,对方表示,奖品将通过快递公司送到杨军的家庭住址,但需要支付20元的快递费。 正是这20块钱的快递费让杨军警觉起来:“一开始的送货保单是完全免费的,保险公司还送了几万元的奖品,但这20块钱还不见了?” 杨军立即挂断了电话。
杨军上网查了一下,发现这样的骗局还有很多。 骗子以免费礼物为噱头,送货上门。 一旦顾客打开盒子查看货物,他们将被要求支付高额的运费和税费。 如果顾客拒绝,诈骗者就会采用人身威胁等手段迫使顾客付款。 所谓的奖品要么是假货,要么是礼券。 当顾客真正想使用的时候,就会发现根本无法兑换。
杨军立即给保险公司打电话。 负责受理投诉的客户经理表示,也有客户遭遇过类似诈骗,但他的保险公司是一家规模较大、正规的公司。 “我们的内部控制非常严格,不存在数据泄露的可能性。”
杨军质疑:“如果保险公司没有泄露,骗子怎么会知道这么详细的保险信息呢?” 对方只好表示,得去查一查才知道。 不过,当杨军询问保险公司什么时候给答复时,对方却说道:“你也知道,现在这种事情太常见了,我们也无能为力。而且,网上支付机构您用来购买保险的保单快递公司可能会泄露您的信息。”
这下杨军更加紧张了。 由于当时购买保险需要网上支付,杨军在网站中输入了信用卡号、验证码、手机号码等支付信息,启动了快捷支付。 “如果支付信息也泄露了,那么骗子就可以随意使用我的卡进行支付了?” 想到这里,杨军赶紧联系银行更换银行卡。
杨军并不过分担心。 随着互联网金融和电子商务的快速兴起,在线支付变得越来越普遍。 一旦支付信息泄露,对消费者人身和财产造成的损失将难以控制。 中国人民银行披露的信息显示,2015年1月,某支付机构泄露数千万条银行卡信息,涉及全国16家银行。 半年多时间里,因假卡造成的损失达3900万元以上。 元。
“真实、准确、完整、准确的海量金融信息直接关系到消费者的财产和人身安全,此类信息泄露比普通个人信息泄露危害更大、后果更严重。” 中国人民大学法学院教授刘俊海表示,金融和支付机构一味追求速度和便利,信息安全保护严重滞后。 不少机构还默认为消费者启用快捷支付、自动支付功能,这就产生了较大的风险。 一旦消费者权益受损的法律风险浮现,消费者和监管部门将面临举证和核实的困难,大部分损失将由消费者承担。
金融机构收集信息过于随意
公司部分内部员工下载了大量用户信息,多次批量向外部出售。
在北京从事媒体工作的李女士今年9月初收到一家国有银行的短信通知,称该行账户变更免费短信通知服务将在年底前停止。十月。 如果她想继续接收通知,可以选择2元/月。 付费服务,或下载安装银行手机软件免费使用。
“我的工资都是这家银行代发的,如果没有通知的话,会很不方便。” 李女士无奈,只能按照银行的要求下载了手机软件。
但安装过程却让李女士产生了疑惑:“手机提示我,这个软件会自动获取手机的通讯录和地理位置信息。一个通知账户变更的软件,为什么需要我的位置和通讯录?如果信息泄露了,谁来负责?”
最令李女士难以接受的是,银行解释称这样做是为了防范假基站、短信诈骗带来的金融风险,提高资产变动信息的私密性。 “同样是短信通知服务,是不是比免费的更安全?手机软件收集了这么多个人信息,让我感觉更不安全。”
记者找到一款采用系统的三星手机进行体验,发现在安装过程中,手机系统发出提示:使用该软件将“读取手机状态和ID”,获取“大致位置和精确位置” 、读写输入联系人数据等,只给用户两个选择:“安装”和“取消”。 这意味着,如果不直接开放上述权限,安卓手机将无法安装和使用该软件。
记者进一步调查发现,不仅是银行的金融软件,一些第三方支付、金融机构的软件普遍要求开放地理位置、通讯录等权限,但没有给出具体说明。收集这些信息以及如何保存它。 解释。
“在一些银行等金融机构大规模应用信息技术的过程中,确实存在信息过度收集的现象,一旦保护措施不到位,就会出现信息泄露的情况。” 华夏银行发展研究部战略室主任杨驰表示,目前,金融和支付机构在开展互联网业务时,普遍将客户开发作为绩效考核的导向。 收集更多的个人信息意味着多了一条拓展客户的渠道。
例如,金融和支付机构通过收集客户的地理位置信息,可以确定客户经常出现的地点,并向客户准确推荐营业网点和合作商户; 有了客户通讯录信息,财务软件就可以像微信一样开发了。 成为社交网络,通过现有客户开发更多客户。
杨驰表示,目前我国没有专门保护个人信息的法律,监管部门也没有就金融机构可以收集哪些信息出台详细规定。 在信息存储方面,各个金融机构的水平差异很大。 “大型金融机构的内控相对较好,有专门的部门负责这项工作,但一些小型机构几乎没有专门的人员。”
由于内控机制不完善,金融机构泄露个人信息的情况屡见不鲜,甚至不少内部员工成为“内部人”。 2013年11月,某支付机构内部员工因多次批量出售用户信息被杭州警方抓获。 该员工利用工作方便,多次下载了公司的用户信息,内容超过20G。 支付公司负责人表示:“我不得不承认,我们在管理上存在一些问题。” 今年5月,山东菏泽警方破获一起定制出售个人信息案件,抓获犯罪嫌疑人29名,其中包括2名银行员工,交易个人信息超过200万条。 今年,公安部部署开展严厉打击网络侵犯公民个人信息犯罪专项行动。 半年内抓获犯罪嫌疑人3300余名,其中银行、电信等行业“内部人士”270余名,查获信息超290亿条。
刘俊海表示,根据消费者权益保护法的规定,商业机构收集个人信息必须遵循明示、同意、必要、合法、保密等原则,金融、支付机构也不例外。 虽然很多机构在收集信息的过程中都会征得消费者的同意,但大多只是流于形式。 更重要的是,如果消费者不同意,就无法使用金融服务。 最终,消费者只能忍气吞声,做出无奈的选择。
“金融机构必须明白,收集信息的行为本身就意味着承担相应的义务和责任。只有这样,金融机构才会谨慎收集个人信息。” 刘俊海表示,信息泄露时,消费者举证困难,金融机构责任较轻。 建议结合实际情况,适当强化金融机构在个人信息保管方面的法律义务和责任。 如果消费者能够证明该信息已提供给某个组织,则该组织有义务证明其已以合理的谨慎态度履行了保管义务。 否则,应当赔偿消费者因信息泄露而遭受的损失。
信息泄露是支付安全风险的根源
犯罪分子利用泄露的数据对客户进行画像并进行精准诈骗
从近年来电信、金融诈骗的发展趋势来看,随着人们防范意识的增强,广撒网的随机诈骗手段已经难以得逞,依靠个人信息实施精准诈骗已成为主要手段。 。 中国最大的第三方支付平台支付宝去年发布的统计数据显示,网络支付中最常见的风险类型是账户被盗和信息泄露导致的个人诈骗,占网络支付风险的80%以上。
中国人民银行副行长范一飞近日公开表示,一段时间以来,一些行业个人信息泄露事件频发。 犯罪分子利用泄露的数据来描绘客户身份并进行精准诈骗。 信息泄露已成为金融犯罪的基本犯罪条件和支付风险来源。 。
“诈骗者可以利用信息不对称来得逞,而他们拥有的个人信息越多,诈骗者成功的机会就越大。” 刘俊海表示,金融机构要高度重视个人信息在支付安全中的重要性,认真履行义务。 金融信息安全保障义务要切实堵住信息泄露的第一道门,真正为消费者站稳脚跟。
杨驰认为,应该借鉴国外经验,出台专门的个人信息保护法。 同时,金融监管部门应结合行业特点出台具体规则,使金融和支付机构的信息采集和存储能够按照规定的行业标准进行。
对于用户而言,应加强日常支付中的风险防范。 杨驰建议,消费者在日常网上支付时,应遵循账户分类管理的原则,不要绑定大额银行卡。 对于绑定的储蓄卡,平时不要存钱或少存钱,使用时再将相应金额转入卡内; 对于绑定的信用卡,一般是通过网上银行关闭限额,使用时再开通限额。
保护您的个人信息
如今,社会上个人信息被倒卖、滥用的现象更加严重。 中国人民银行征信局相关负责人分析,倒卖、滥用个人信息不仅包括持有个人信息的部门因各种原因泄露的个人信息,还包括通过欺诈手段非法获取、购买的个人信息。团伙通过内部和外部相互勾结。 现阶段我国有很多部门可以接触到个人信息,如行政司法机关、金融机构、教育机构、医疗机构、交通运输机构、住房和汽车销售租赁机构、网络购物和电子商务等。 ——商业、水、电、电话等公用事业服务机构等。 个人信息被倒卖和滥用的根本原因是公众个人信息保护法律观念淡薄、国家个人信息保护立法滞后、个人信息使用缺乏法律监管。 转售和滥用个人信息是对个人隐私和个人财产权的严重侵犯。 其蔓延,人人自危,严重影响人民生活安宁和社会稳定。
该负责人认为,要依法严厉打击泄露、倒卖个人信息的各类违法犯罪活动。 特别是对一些涉及面广、性质恶劣的犯罪行为,抓获一批典型案件,依法加大打击力度,形成有效震慑。 同时,司法处罚要持续进行,确保不出现阵风、不反弹。
同时,在市场竞争中,企业应强化社会责任,合法使用个人信息,不从非法渠道获取个人信息,更不与不法分子合作诈骗个人信息,严惩向其出售个人信息的犯罪嫌疑人。 。 做报告。
该负责人指出,中国人民银行作为国务院征信行业的监管机构,始终坚持把防止征信信息泄露作为工作重点,不断加强监管和监管。加强征信行业管理,切实保护个人信用信息主体合法权益。 现阶段将着力推进个人信息保护立法工作,提出有针对性的立法措施,主要是明确个人信息保护各方的权利和责任,加大处罚力度,开展个人信息保护工作。依法办事。 同时,我们将继续推进个人信息保护各项保障机制建设,不断完善监管技术手段,加强宣传教育,建立个人信息保护长效机制。