2019年10月,江苏省南通市公安局网安部门工作发现,网民林某多次在“暗网”交易平台出售银行开户、手机注册等公民个人信息,数量高达500余万条。
2019年初,林某在“telegram”群组结识某公司安全工程师贺某,林某以40万元的价格从贺某处购得银行开户、手机卡注册等各类公民个人信息350余万条,并通过“暗网”销售给经营期货交易平台、推销POS机的费某、王某等人,非法牟利70余万元。
当年11月12日至26日,南通公安机关先后在上海、苏州、武汉等地抓获犯罪嫌疑人林某、费某等犯罪嫌疑人11名,查获公民个人信息2000余万条。
这是近日公安部公布的2019年以来公安机关侦破的10起侵犯公民个人信息违法犯罪典型案件中的一件。值得注意的是,10起案件中超过一半涉及个人金融信息。
“由于金融信息的价值密度比较高,金融领域一直是侵犯个人信息的重灾区。”在近日举行的金融大数据及个人隐私保护研讨会上,中国人民公安大学警务信息工程与网络安全学院袁得嵛博士说。研讨会由北大E法论坛主办、360金融协办。
建立基本法律框架
袁得嵛介绍,现在的个人信息泄露基本是两条主要途径:一是黑客,黑客利用金融APP或者网站的漏洞获取公民个人信息。二是内鬼,这不仅存在于金融机构,还包括与金融机构存在业务合作的相关机构。
他认为,目前金融个人信息保护形势的严峻体现在法律规定、市场、技术等多个层面。
“目前对侵犯个人信息的处罚更多是行政处罚,犯罪成本较低,经济利益的诱惑又太大。市场层面,网络黑产产业链太长,技术开发、买卖信息、实施犯罪等环节实现了专业分工。随着黑产技术的进步,即使采取物理隔离,数据中心仍存在着被攻破的风险。”袁得嵛说。
北大法学院副院长薛军指出,作为重度依赖信息输入的行业,个人信息保护为“金融+科技”行业的运行设定了制度前提,要求从业者在个人信息保护的法律框架下开展活动。
中国社会科学院大学互联网法治研究中心执行主任刘晓春表示,个人信息保护是数字经济的基石,刚刚颁布的民法典为司法实践有序、有预期性和系统性地进行隐私权与个人信息保护划定了非常重要的规范基础。
薛军则认为,正在制定中的个人信息保护法将成为个人信息保护制度体系的关键,与民法典人格权编宣示性地保护个人信息权利不同,个人信息保护法将设定关于个人信息保护的行政监管体制、安全标准原则、主体风控机制等。
“这些管理性的规范要在个人信息保护法中提出一些要求,再通过一些细则落实下去,这样我们就有了一个比较清晰的个人信息保护的基本法律框架。”薛军说。
打造数据安全生态
法律框架建成以后,对于“金融+科技”行业来说,需要做的是怎么回应。
“这个行业不能因为合规要求就不发展了,而回应主要依赖于技术手段。”薛军说。
360金融信息安全专家吴业超指出,金融行业中个人金融信息由于其数据价值高,信息非法交易问题尤其严峻,暴露出第三方内控不严、信息系统出现安全漏洞,信息泄漏传输链条长,难追溯等问题。
“用户信息的保护不仅需要金融科技企业等加强内控与管理,同时针对无法约束第三方机构数据管理等问题,需要行业与执法部门、学界、科研等全生态一同打造数据安全生态。”他说。
吴业超介绍,360金融进行个人信息保护时,对内利用ATT&CK模型建立防御体系,严控黑客入侵和安全问题带来的数据泄露和威胁,对外以舆情信息为基础,第一时间获取互联网上的安全舆情、数据舆情,通过多部门的合作和自身安全攻防技术打击犯罪和数据风险问题。
如何既做到个人信息保护合规,又能够让产业得到健康发展?泰尔终端实验室刘陶博士介绍,现在APP形态在不断发展,比如出现了小程序、快应用、超级APP等,对个人信息保护提出了挑战。
“有些聊天APP里可以嵌套银行支付、外卖等其他APP,有些小程序获取权限或者收集信息的时候,跟主体APP有怎样的联系,一旦出现个人信息泄露问题,责任如何划分?”她说。
刘陶认为,这需要联动移动智能终端方、应用分发服务方、移动应用软件方、移动应用产业、其他相关产业共同努力,协同合作,共同提高个人信息保护管控能力。
(作者:王峰 编辑:李博)