信息保护法案出台前夜:金融信息黑产依旧猖獗

“交3000元即可查指定人银行流水,仅需提供被查方的身份证号或银行卡号,信息渠道上游是银行机构内部。”《中国经营报》记者近日从百度贴吧及QQ群组中的信息贩卖者处了解到,银行流水等他人金融信息皆可查询,不同贩卖者可查询的信息范围不同,有贩卖者称只做国有银行的信息查询“生意”。

近年来,刷脸支付、人脸打卡等应用进入各种手机APP及现实生活场景,背后的人脸信息泄露、人脸图像滥用、AI换脸等现象和黑产陆续被曝出,引起人们的担忧。

记者从业内人士处了解到,金融信息黑产主要来源有三个,一是金融机构内部人士泄露,二是金融机构合作方泄露,三是信息黑客攻击金融机构等相关企业获取。大数据、人工智能技术迅速发展的背景下,银行等金融机构正在进行互联网化、开放化、智能化转型,随着信息转移链条点增多,客户金融信息泄露的风险也相应提升。

随着《中华人民共和国个人信息保护法》等其他法规陆续出台落地,金融信息黑产市场运作逐步被压制,倒逼着机构提升信息安全技术及制度建设,减少信息泄露及违规使用的可能性。

“黑产”贩卖

记者近期从百度贴吧等多个渠道获悉,有信息贩卖者表示可查银行流水。通过QQ群搜索,可查询到“查流水”相关的多个群组。

一位自称可查询银行流水的人士表示,只要提供身份证号或银行卡号,就可查询第三人银行流水,该人士表示查询一次需要3000元,查询需付款50%定金,当天即可提供数据。

该人士表示其在银行内部有渠道,记者询问其某股份制银行是否可查,其表示可查。经记者了解,该群信息黑产贩卖者亦有多层架构,第一层任务是提供信息者,其他多层人士充当中介。该人士告诉记者,其掌握的是首层信息,并非中介,查询速度快。经了解,除金融信息外,其还可进行其他类型信息查询。

另一位金融信息贩卖者告诉记者,相关信息的上游渠道是银行,只能查国有银行数据,“仅需一天时间处理。”

专注信息安全领域的京都律师事务所律师巴波告诉记者:“目前金融信息作为黑产在网络售卖的情况并不少见,私自售卖银行客户金融信息触犯刑法,当然,在这个领域也存在打着信息售卖的幌子行骗的情况。”

除银行等金融机构,信息泄露源头也涉及第三方机构。某国有银行金融科技部门相关负责人告诉记者:“目前信息泄露多是非生产网上的信息泄露,生产网泛指银行交易系统所在的网段。一方面,在客户金融信息流向测试网、办公室网进行加工、查询、统计等操作的过程中,银行需要将数据进行脱敏处理,脱敏处理不到位可能会造成信息被第三方获取。另一方面,中小银行科技力量较为薄弱,在网络工具开发及信息建模的过程中往往会委托第三方开发,而这个过程就存在一定不可控性。据其了解,有银行的数据就在流通过程中发生泄漏。”

专注网络信息安全的北京赛博英杰科技有限公司董事长谭晓生告诉记者:“为了一些计算模型构建,银行机构有时需要将客户数据与大数据分析供应商共享而完成计算,信息可无损复制,供应商是否有能力保障客户信息安全,是金融机构需要面对的问题。”

另一位国有银行金融科技部门人士告诉记者:“目前,银行系统受到攻击的频率越来越高,银行在开放化建设的过程中,链条上的一个环节工作不到位,也可能造成信息泄露,银行客户信息数据安全需要监控和管理的范围增大了。”

记者注意到,央行近日公开表示,近年来金融机构消费者金融信息保护意识不断增强,管理水平不断提升。但也有部分金融机构工作人员无视法律和规定,严重侵害了消费者金融信息安全权,甚至泄露履行反洗钱职责获得的相关信息,反映出部分金融机构的金融消费权益保护意识不足,内部控制仍需持续强化。

记者经聚投诉平台发现,有多个国有银行、股份制银行等金融机构在10月份被投诉涉嫌违法搜集或泄露用户信息,其中举报内容包括消费者发现自身地理位置、通讯录信息、金融信息等未经同意被搜集或泄露等。

央行近日依据《中华人民共和国消费者权益保护法》《中华人民共和国反洗钱法》有关规定,公示了对多个银行的处罚决定,总罚单超过4000万元,违法行为类型为侵害个人消费者信息依法得到保护的权利,以及违反洗钱管理规定,泄露客户信息。

记者了解到,银行在客户信息方面违规主要是两个维度,一方面是个人金融信息违规违法获取,另一方面是个人金融信息泄露。

从获取角度看,自监管强化手机移动端APP整改管理后,多个金融类APP近年来陆续被“点名”。举例来说,某国有银行近期被工信部点名,所涉问题包括用户不给予数据权限不允许使用、过度索取权限等。究其原因,某国有银行人士告诉记者,大数据背景下数据就是资源,机构获取信息可以用来拓展交叉业务,增加客户黏性。

另一金融业内人士告诉记者,一般情况下,金融机构违规获取用户信息的用途主要有几种,一是助力精准营销;二是储存在数据库,为日后开展贷款等服务提供数据风险评估;三是用于网络端、移动端平台的服务改善提供数据支撑。

从信息泄露角度看,上述金融业内人士告诉记者:“有案例是机构人士贩卖金融信息,这种行为已涉及刑事犯罪。”

多位银行人士告诉记者,除金融机构外,客户金融信息泄露的情况还可能会发生与金融机构合作的第三方,另外,有银行面对黑客攻击的频次正在上升,亦是风险点之一。

经记者了解,金融信息一旦“非法”流入网络市场,很容易成为网络黑产。

亟须严刑峻法

目前,信息安全法律法规正在逐步完善。记者注意到,《中国人民银行金融消费者权益保护实施办法》在11月1日施行。与之同时,《中华人民共和国个人信息保护法》近日已公布并公开征求社会公众意见。

巴波表示:“《中华人民共和国个人信息保护法》等法律法规的推出对于银行等金融机构主要的影响在于健全金融消费者个人金融信息处理规则,打击买卖金融消费者个人金融信息等非法活动,保护金融消费者个人金融信息。”

“具体来看,相关法律法规规定处理金融消费者个人金融信息,应当在事先充分告知的前提下取得金融消费者个人同意,并且金融消费者个人有权撤回同意;重要事项发生变更的应当重新取得金融消费者个人同意;不得以金融消费者个人不同意为由拒绝提供产品或者服务。” 巴波说。

“另外,银行等金融机构应当采取必要措施,制定内部管理制度、操作规程,对个人金融信息实行分级分类管理,采取加密、去标识化等安全技术措施,合理确定操作权限,定期对从业人员进行安全教育和培训,防止金融消费者的个人金融信息被未经授权进行访问,遭到泄露或窃取、篡改、删除。”巴波表示。

记者注意到,该草案特别指出,有相关规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上1年度营业额5%以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。

谭晓生表示:“个人信息法草案规定的处罚额度最高为企业上年营业额的5%,这已超过欧盟GDPR 处罚上限,严处罚一定会倒逼金融机构及金融科技等企业对于个人信息安全保护的重视,增加相关领域的投入。”

银行等金融机构保护客户金融信息的难度是什么?谭晓生表示:“一是信息保护本身需要有技术和制度支撑,防止黑客入侵;二是金融机构要克制性使用金融信息,不能因信息数据能够降低坏账率,就滥用信息或使用来源有问题的信息;三是在构建开放银行的时候,要注重供应链的信息安全管理。”

如何才能有效提高银行等金融机构的客户信息保护能力?上述国有银行金融科技部门相关负责人告诉记者:“客户数据一般会储存在银行核心系统中,相对较安全,但在转移过程中就容易出现问题,目前银行在提升金融科技使用、增加第三方合作时更要注重信息安全把控,重点是做好信息脱敏,即是转移过程中对客户金融信息数据进行屏蔽或加密,目前各个银行对数据的脱敏程度的规定并不一致,也存在一些银行重视度不足的情况。”

该相关负责人表示:“防止机构内部人员泄露客户金融信息要从两方面入手,一是建立相关管理制度支撑,结合教育警示;二是做好技术支撑,防止数据拷贝,包括使用水印等技术防止拍照泄露数据,我行后续会出台防拍照的安全软件,从技术和溯源方面进行防控。”

另一位国有银行金融科技部人士告诉记者:“银行在与第三方合作过程中,一定要注重合作准入制度的制定和执行,提高保证第三方数据保护的能力。另外也要提升自身信息安全系统的防控能力,抵御黑客进攻。”

7月1号股市新政

设定处罚

google股市