信息安全事件频发,数据共享与安全如何平衡?

金融科技周刊边万莉 2021-05-31 10:59

在信息爆炸的时代,数据已成为基础性资源和战略性资源,尤其金融相关数据更是一座富矿。因而黑灰产盯上了这块肥肉,未经允许查询个人信息、售卖个人信息、黑产撞库形成产业链.....即使是在监管和企业的严防严打之下,数据泄漏事件仍然层出不穷。

也正是因为数据本身所具有的巨大价值,数据的开发、共享、交换、流通已成趋势,数据要素将成为产业数字化转型发展的重要驱动力。为此,我国已逐渐开始探索数据要素流通的实践。如,刚刚成立不久的北京国际大数据交易所旨在推动数据要素市场化配置;近期央行启动金融数据综合应用试点,意在推动金融数据安全共享。

随之而来的问题是如何掌握数据开发利用与安全保护之间的平衡术?

多种因素致使数据安全事件频发

5月14日,哈尔滨农商行就因未经同意查询个人信息,被央行处罚6万元。据记者统计,渤海银行长春分行、邮储银行重庆分行、交通银行吉林分行、浙商银行广州分行、华夏银行长春分行等银行都存在“未经同意查询客户信息”的违规行为,并因此被罚,工行邵阳分行等多家银行的处罚缘由中也有“无法提供已查询个人信用报告的授权资料”等表述。

另外,平安银行股份有限公司天津分行因违规收集与业务无关的第三人信息,被责令限期改正,给予警告和处罚。去年12月30日,鹏元征信有限公司因未经批准擅自从事个人征信业务活动,被央行没收其违法所得并处以罚款。有业内人士向21世纪经济报道表示,“一些人主观恶意地泄漏个人金融数据。没有经过授权大量查询个人征信和企业征信,然后再把信息数据卖出去。对于这种出卖信息的行为,监管和机构都是严格处罚的。”可见,企业内控不严,员工倒卖客户金融数据是个人信息频遭泄漏的一个原因。

从信息收集源头来看,企业产品设计的知情同意形式化严重,一定程度上。具体表现为简而无用,多而无功。中国信息通信研究院互联网法律研究中心主任方禹表示,有些企业的产品设计是同意就继续,不同意就离开,用户选择空间压缩。有些企业产品的隐私保护政策冗长且重点不突出,这就将主动通知义务转化为客户的谨慎义务。一方面,用户很难得知那几条与自己的切身利益相关;另一方面,专业知识限制很难对条款做出准确理解。此外,还存在着重复索取授权或非必要授权情况普遍。

从外部来看,黑灰产撞库是数据安全面临的主要威胁。所谓撞库就是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

近日,阿卡迈技术公司(Akamai Technologies)发布的《互联网安全状况报告:针对金融行业的网络钓鱼》报告显示,2020年,Akamai在全球范围内监测到1930亿次撞库攻击,其中34亿次攻击针对的是金融服务机构,同比增长超过45%。同时在2020年观察到近63亿次Web应用程序攻击,其中超过7.36亿次攻击针对的是金融服务行业,比2019年增加了62%。

360金融信息安全专家吴业超表示,“互联网金融的企业和行业里,信息是共通的。比如A企业泄露了一万条信息会直接影响到B企业的一些情况。在这种泄露的过程中,包含了一些撞库或者是拼装的数据等等。因此很难规避一个企业信息泄露造成的影响,所以这是行业共同性的东西,不单单是一家企业或机构的问题。”

他进一步指出,我们日常发现信息泄露主要分为明文泄露和密文泄露两种。一般来讲,明文泄漏是企业存储的加密等级做得不好,一旦泄露就会被黑产利用或形成数据贩卖的链条。如果是密文泄漏就可能衍生出解密等第三方服务行业,揭秘服务之后还会形成明文的应用形式。

保护与共享的平衡术

2019年,党的十九届四中全会正式将“数据”纳入生产要素范围。金融行业依托数据管理带来的业务价值已逐渐凸显,数据要素将成为金融业数字化转型的重要驱动力和关键支撑力。如何在保障个人金融信息安全的前提下,合法合规地促进金融数据规范共享,成为当下亟待解决的一个命题。

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出,统筹数据开发利用、隐私保护和公共安全,加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估,推动数据跨境安全有序流动。

就个人金融信息保护的监管现状而言,我国已在一定程度上形成了由法律、法规、规章以及规范性文件等共同组成的多层次、多领域、结构复杂的个人信息保护法律体系。2017年发布的《网络安全法》开启了个人金融信息保护的监管元年。随后监管逐渐走向细化和深化,如《个人金融信息(数据)保护试行办法(初稿)》、《个人信息保护法》(征求意见稿)》、《银行业金融机构数据治理指引》、《中国央行金融消费者权益保护实施办法》、《数据安全法(征求意见稿)》等。

完善法律法规的同时,行业共建共治必不可少。吴业超表示,“目前各个机构都在金融数据安全保护方面发力,但彼此之间没有互通。未来是否可以反诈信息共享平台,集合行业力量共同完善灰黑产治理与金融个人信息安全保障体系,以共建、共享、共防的合作,构建良好的数据保护生态圈。”

金融数据安全之外,平衡术的另一面是信息共享。实践中,信息共享仍然面临着不少困境。例如,三年前百行征信获批成立,意在对央行征信系统形成有力补充,然而仅有3家股东愿意将数据接入百行征信,阿里、腾讯等5家股东则持拒绝的态度。再比如,开放银行的发展过程中不得不面对数据共享的问题,表现为不愿、不敢、不会。不愿共享涉及到平台主导权之争,不敢共享则是出于对隐私安全的考虑,不会共享主要和当下数据资产确权、流通、定价等机制尚不明朗有关系。

有研究人员提出建议,金融数据要从强调保密一端到保护与利用并重。20世纪90年代我国制定的商业银行法、证券法、保险法都规定了金融机构对客户信息的保密制度,只强调保护一端;《金融消费者权益保护实施办法》设立专章强调保护问题。对于数据要素的开发利用,目前仍然处于探索阶段。

例如,央行在北京、江苏、浙江等地启动金融数据综合应用试点,旨在探索运用人工智能、大数据、物联网、隐私计算等新一代信息技术,在安全合规的前提下推进金融数据高效治理、安全共享,实现跨层级、跨机构、跨行业数据融合应用,充分激活数据要素潜能,着力提升金融核心竞争力和惠民利企能力。

(作者:边万莉 编辑:曾芳)

边万莉

记者

关注央行、银行、金融科技等领域,欢迎爆料。微信:bwl1528790429(添加请备注单位及姓名)