在信息爆炸的时代,数据已成为基础性资源和战略性资源,尤其金融相关数据更是一座富矿。因而黑灰产盯上了这块肥肉,未经允许查询个人信息、售卖个人信息、黑产撞库形成产业链……即使是在监管和企业的严防严打之下,数据泄露事件仍然层出不穷。
也正是因为数据本身所具有的巨大价值,数据的开发、共享、交换、流通已成趋势,数据要素将成为产业数字化转型发展的重要驱动力。为此,我国已逐渐开始探索数据要素流通的实践。如,刚刚成立不久的北京国际大数据交易所旨在推动数据要素市场化配置;近期央行启动金融数据综合应用试点,意在推动金融数据安全共享。
随之而来的问题是如何掌握数据开发利用与安全保护之间的平衡术?
数据泄露事件频发
5月14日,哈尔滨农商行就因未经同意查询个人信息,被央行处罚6万元。渤海银行长春分行、邮储银行重庆分行、交通银行(601328,股吧)吉林分行、浙商银行广州分行、华夏银行(600015,股吧)长春分行等多家银行也曾因同样的原因被罚。还有一些银行因“无法提供已查询个人信用报告的授权资料”“违规收集与业务无关的第三人信息”而被处罚。
上述违规行为给个人信息带来了极大安全隐患。有业内人士向21世纪经济报道表示,“一些人主观恶意地泄露个人金融数据。没有经过授权大量查询个人征信和企业征信,然后再把信息数据卖出去。对于这种出卖信息的行为,监管和机构都是严格处罚的。”可见,企业内控不严,员工倒卖客户金融数据是个人信息频遭泄露的一个原因。
从信息收集源头来看,企业产品设计的知情同意形式化严重,一定程度上。具体表现为简而无用,多而无功。中国信息通信研究院互联网法律研究中心主任方禹表示,有些企业的产品设计是同意就继续,不同意就离开,用户选择空间压缩。有些企业产品的隐私保护政策冗长且重点不突出,这就将主动通知义务转化为客户的谨慎义务。一方面,用户很难得知哪几条与自己的切身利益相关;另一方面,专业知识限制很难对条款做出准确理解。此外,还存在着重复索取授权或非必要授权情况普遍。
从外部来看,黑灰产撞库是数据安全面临的主要威胁。近日,阿卡迈技术公司(Akamai Technologies)发布的《互联网安全状况报告:针对金融行业的网络钓鱼》报告显示,2020年,Akamai在全球范围内监测到1930亿次撞库攻击,其中34亿次攻击针对的是金融服务机构,同比增长超过45%。同时在2020年观察到近63亿次Web应用程序攻击,其中超过7.36亿次攻击针对的是金融服务行业,比2019年增加了62%。
通俗来讲,撞库攻击就是黑客通过获取已经泄露的个人账号和密码信息,从而尝试在其他网站进行登录操作。360金融信息安全专家吴业超表示,“互联网金融的企业和行业里,信息是共通的。比如A企业泄露了一万条信息会直接影响到B企业的一些情况。在这种泄露的过程中,包含了一些撞库或者是拼装的数据等等。因此很难规避一个企业信息泄露造成的影响,所以这是行业共同性的东西,不单单是一家企业或机构的问题。”
他进一步指出,我们日常发现信息泄露主要分为明文泄露和密文泄露两种。一般来讲,明文泄露是企业存储的加密等级做得不好,一旦泄露就会被黑产利用或形成数据贩卖的链条。如果是密文泄露就可能衍生出解密等第三方服务行业,解秘服务之后还会形成明文泄露。
寻找数据安全与共享平衡点
“数据”已正式纳入生产要素范围。金融行业依托数据管理带来的业务价值已逐渐凸显,数据要素将成为金融业数字化转型的重要驱动力和关键支撑力。如何在保障个人金融信息安全的前提下,合法合规地促进金融数据规范共享,成为当下亟待解决的一个命题。
就个人金融信息保护的监管现状而言,我国已在一定程度上形成了由法律、法规、规章以及规范性文件等共同组成的多层次、多领域的个人信息保护法律体系。2017年发布的网络安全法开启了个人金融信息保护的监管元年。随后政策逐渐走向细化和深化,如《个人金融信息(数据)保护试行办法(初稿)》、个人信息保护法(征求意见稿)》、《银行业金融机构数据治理指引》、《中国央行金融消费者权益保护实施办法》、数据安全法(征求意见稿)等。
完善法律法规的同时,行业共建共治必不可少。吴业超表示,“目前各个机构都在金融数据安全保护方面发力,但彼此之间没有互通。未来是否可以建立反诈信息共享平台,集合行业力量共同完善灰黑产治理与金融个人信息安全保障体系,以共建、共享、共防的合作,构建良好的数据保护生态圈。”
金融数据安全之外,平衡的另一面是信息共享。但在实践中,信息共享仍然面临着不少困境。例如,三年前百行征信获批成立,意在对央行征信系统形成有力补充,然而仅有3家股东愿意将数据接入百行征信,阿里、腾讯等5家股东则持拒绝的态度。再比如,开放银行数据的发展过程中不得不面对数据共享的问题,表现为不愿、不敢、不会。不愿共享涉及到平台主导权之争,不敢共享则是出于对隐私安全的考虑,不会共享主要和当下数据资产确权、流通、定价等机制尚不明朗有关系。
有研究人员提出建议,金融数据要从强调保密到保护与利用并重。对于数据要素的开发利用,目前仍然处于探索阶段。
例如,央行在北京、江苏、浙江等地启动金融数据综合应用试点,旨在探索运用人工智能、大数据、物联网、隐私计算等新一代信息技术,在安全合规的前提下推进金融数据高效治理、安全共享,实现跨层级、跨机构、跨行业数据融合应用,充分激活数据要素潜能,着力提升金融核心竞争力和惠民利企能力。而在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也提出,统筹数据开发利用、隐私保护和公共安全,加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。
中关村互联网金融研究院首席研究员董希淼向21世纪经济报道记者表示:“把握数据共享与安全保护的平衡,最关键的是要明确制度。现在个人数据的所有权并不明确,需要明确数据共享与安全保护之间的边界。如哪些信息可以收集、按照怎样的原则收集、哪些情况下可以使用,以及哪些信息不能收集。这既需要基本的法律、规章制度,也需要行业自律。”
他进一步指出,既要反对个人信息的私自采集和滥用,也要在确保隐私安全的情况下,加快推进数据共享。这两个方面都不能偏颇,央行启动金融数据综合应用试点其实就是希望能在两者之间找到一个平衡。
(作者:边万莉 编辑:曾芳)
(李显杰 )