域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
傳統(tǒng)金融行業(yè)互聯(lián)網(wǎng)化進(jìn)程中,大數(shù)據(jù)、人工智能、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及區(qū)塊鏈等新技術(shù)的應(yīng)用,在推動(dòng)金融產(chǎn)業(yè)創(chuàng)新、增加便民性、提升工作效率的同時(shí),也給金融用戶隱私保護(hù)帶來(lái)了新風(fēng)險(xiǎn)與新挑戰(zhàn)。近些年金融用戶隱私泄露事件及侵犯公民個(gè)人信息違法犯罪頻頻發(fā)生,不但直接損害金融用戶的利益,擾亂金融市場(chǎng)秩序,甚至可能帶來(lái)系統(tǒng)性金融風(fēng)險(xiǎn)和引發(fā)*。在此背景下,中國(guó)人民公安大學(xué)“網(wǎng)絡(luò)空間安全與法治協(xié)同創(chuàng)新中心”聯(lián)合“江蘇通付盾科技有限公司”針對(duì)金融隱私保護(hù)問(wèn)題開(kāi)展相關(guān)研究,完成了《金融隱私保護(hù)問(wèn)題分析及對(duì)策》研究報(bào)告,報(bào)告主要內(nèi)容如下:
金融隱私保護(hù)問(wèn)題分析及對(duì)策
一、金融產(chǎn)業(yè)發(fā)展現(xiàn)狀及新技術(shù)應(yīng)用情況分析
改革開(kāi)放以來(lái),我國(guó)金融產(chǎn)業(yè)高速發(fā)展,已建立起以中國(guó)人民銀行、銀保監(jiān)會(huì)、證監(jiān)會(huì)為核心,以商業(yè)銀行、證券公司和保險(xiǎn)公司為主體的市場(chǎng)化金融組織體系。銀行業(yè)方面:全國(guó)現(xiàn)有4500多家銀行機(jī)構(gòu),總資產(chǎn)突破280萬(wàn)億;證券業(yè)方面:證券公司133家,總資產(chǎn)突破7萬(wàn)億;保險(xiǎn)業(yè)方面:保險(xiǎn)機(jī)構(gòu)230家,總資產(chǎn)突破20萬(wàn)億。
傳統(tǒng)金融產(chǎn)業(yè)與互聯(lián)網(wǎng)技術(shù)緊密結(jié)合,依托網(wǎng)絡(luò)平臺(tái)可實(shí)現(xiàn)資金融通、支付、投資和信息中介等服務(wù)的新型金融業(yè)務(wù)模式。通過(guò)網(wǎng)絡(luò)進(jìn)行金融活動(dòng)的用戶增長(zhǎng)迅速,2020年4月發(fā)布的第45次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,我國(guó)網(wǎng)民9.04億,其中網(wǎng)絡(luò)購(gòu)物用戶7.10億,較2018年底增長(zhǎng)了1億;網(wǎng)絡(luò)支付用戶7.68億,較2018年底增長(zhǎng)了1.68億。
(一)互聯(lián)網(wǎng)時(shí)代下金融服務(wù)類型
互聯(lián)網(wǎng)時(shí)代金融服務(wù)產(chǎn)品眾多,歸納起來(lái)大致三類:
一是第三方支付。目前使用較普遍的有國(guó)內(nèi)的支付寶、微信支付、京東支付,國(guó)外的PayPal等,它們提供一系列的接口,將多種銀行卡支付方式整合到一個(gè)界面上,操作簡(jiǎn)單易用,極大方便了網(wǎng)絡(luò)購(gòu)物。
二是網(wǎng)絡(luò)投資理財(cái)。包括網(wǎng)上銀行存儲(chǔ)、網(wǎng)上炒股、網(wǎng)上投保、網(wǎng)上外幣、網(wǎng)上期貨、網(wǎng)上黃金白銀交易等,它們?yōu)橥顿Y者提供各類理財(cái)服務(wù)和金融資訊。
三是P2P網(wǎng)貸。國(guó)內(nèi)網(wǎng)絡(luò)借貸平臺(tái)一度超過(guò)6000家,但是,近兩年借助網(wǎng)貸平臺(tái)進(jìn)行非法集資的案件持續(xù)高發(fā), 2018年共有199家網(wǎng)貸平臺(tái)公司涉嫌非法集資被公安機(jī)關(guān)立案?jìng)刹?。網(wǎng)貸平臺(tái)暴雷,不僅嚴(yán)重影響了我國(guó)的金融安全,還容易引發(fā)*。
(二)新技術(shù)在金融產(chǎn)業(yè)的應(yīng)用情況
當(dāng)前,大量新技術(shù)應(yīng)用到金融領(lǐng)域,概括起來(lái)主要有五大類:人工智能、大數(shù)據(jù)、生物識(shí)別、移動(dòng)互聯(lián)網(wǎng)、區(qū)塊鏈。新技術(shù)的廣泛應(yīng)用實(shí)現(xiàn)了金融信息的自動(dòng)化處理,為用戶提供了便捷高質(zhì)量服務(wù)。
一是人工智能。在金融領(lǐng)域重要的應(yīng)用場(chǎng)景包括:(1)基于圖像識(shí)別技術(shù)的人臉、表單、票據(jù)等識(shí)別系統(tǒng),例如人臉支付、證券帳戶遠(yuǎn)程開(kāi)戶等; (2)基于語(yǔ)音識(shí)別和自然語(yǔ)言處理技術(shù)的智能客服系統(tǒng),問(wèn)題解決率已超過(guò)99%;(3)基于專家系統(tǒng)的金融風(fēng)控、反欺詐和智能投顧系統(tǒng)。
二是大數(shù)據(jù)。數(shù)據(jù)主要來(lái)源是交易數(shù)據(jù),客戶登記數(shù)據(jù),報(bào)表數(shù)據(jù)等。大數(shù)據(jù)的應(yīng)用場(chǎng)景,銀行主要是集中在精準(zhǔn)營(yíng)銷、用戶經(jīng)營(yíng)、數(shù)據(jù)風(fēng)控等方面;證券主要集中在股價(jià)預(yù)測(cè)和投資景氣指數(shù)預(yù)測(cè)等方面;保險(xiǎn)主要集中在客戶風(fēng)險(xiǎn)評(píng)估、保險(xiǎn)價(jià)格估算等方面。
三是生物識(shí)別。金融行業(yè)是生物識(shí)別技術(shù)的一個(gè)重要應(yīng)用領(lǐng)域。指紋識(shí)別起步最早,目前應(yīng)用最多、市場(chǎng)份額最大;人臉識(shí)別發(fā)展迅速,尤其是第三方支付中廣泛應(yīng)用;虹膜識(shí)別、聲紋識(shí)別依然小眾。
四是移動(dòng)互聯(lián)網(wǎng)。移動(dòng)互聯(lián)網(wǎng)在金融領(lǐng)域的應(yīng)用表現(xiàn)為各類手機(jī)應(yīng)用程序App,主要包括銀行類、消費(fèi)類、支付類、理財(cái)類、證券類等。其中,面向個(gè)人用戶的消費(fèi)類App數(shù)量最多,占總數(shù)的36.74%。
五是區(qū)塊鏈。我國(guó)央行法定數(shù)字貨幣DCEP是依托區(qū)塊鏈以及電子加密等互聯(lián)網(wǎng)技術(shù)發(fā)行的數(shù)字化形態(tài)的法幣。我國(guó)在央行法定數(shù)字貨幣正式上線運(yùn)行后,各類基于區(qū)塊鏈的業(yè)務(wù)都有望實(shí)現(xiàn)支付即結(jié)算功能,大大提升結(jié)算效率并降低運(yùn)營(yíng)成本。
二、金融用戶隱私保護(hù)嚴(yán)峻形勢(shì)及原因分析
(一)金融用戶隱私保護(hù)形勢(shì)嚴(yán)峻
根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》,78.2%的網(wǎng)民的個(gè)人身份信息、63.4%的網(wǎng)民的網(wǎng)絡(luò)金融交易記錄曾被泄露過(guò)。近年來(lái),每年發(fā)生金融隱私泄露事件大約以35%的速度在增長(zhǎng),有公開(kāi)報(bào)道或記錄2016年1093起,2017年1511起,2018年1967起,2019年2300余起。相比歐美國(guó)家,我國(guó)隱私保護(hù)體系建設(shè)起步相對(duì)較晚,加之近年來(lái)各類新技術(shù)在金融行業(yè)迅速?gòu)V泛應(yīng)用,由此帶來(lái)的金融隱私保護(hù)問(wèn)題日益凸顯。
一是銀行數(shù)據(jù)泄露。2012年,央視“3•15”晚會(huì)披露了多家銀行員工向他人出售客戶個(gè)人信息,導(dǎo)致銀行客戶資金被盜,造成損失3000多萬(wàn)元。2020年5月,某銀行上海虹口支行在未獲得王某授權(quán)的情況下,將其個(gè)人賬戶流水提供給了第三方公司。
二是保險(xiǎn)數(shù)據(jù)泄露。2013年2月,某保險(xiǎn)公司因合作網(wǎng)站存在安全漏洞,致使大約80萬(wàn)份保單信息泄露。2016年,上海等地多家保險(xiǎn)機(jī)構(gòu)卷入“泄露門”事件,不少車主在發(fā)生交通事故、向保險(xiǎn)公司報(bào)案后不久,便接到冒充保險(xiǎn)公司工作人員的詐騙電話。
三是其他平臺(tái)金融數(shù)據(jù)泄露。2013年某支付平臺(tái)前員工在工作三年內(nèi)下載用戶20G的資料出售;2016年初,某金融平臺(tái)被爆出60萬(wàn)用戶大量敏感信息泄露。
四是網(wǎng)貸業(yè)務(wù)及大數(shù)據(jù)風(fēng)控亂象。網(wǎng)貸業(yè)務(wù)是金融隱私泄露問(wèn)題的主要根源之一。大量的網(wǎng)貸業(yè)務(wù)需求和尚不完善的個(gè)人征信體系滋生了大量民間風(fēng)控機(jī)構(gòu),很多互聯(lián)網(wǎng)公司、大數(shù)據(jù)公司紛紛布局征信行業(yè)。但是,在央行獲批個(gè)人征信牌照的機(jī)構(gòu)僅有百行征信1家,遠(yuǎn)遠(yuǎn)滿足不了民間網(wǎng)貸的需求。在工商以從事個(gè)人征信業(yè)務(wù)注冊(cè)的公司多達(dá)數(shù)千家,這些公司為開(kāi)展風(fēng)控業(yè)務(wù),使用非法爬取、采集、交換等方式獲取或騙取公民身份類、位置類、征信類、甚至通信類信息。有的公司在開(kāi)展風(fēng)控業(yè)務(wù)的同時(shí),甚至開(kāi)展催收業(yè)務(wù),其中不乏一些大型互聯(lián)網(wǎng)企業(yè)。此外,網(wǎng)貸行業(yè)還滋生出套路貸、校園貸的犯罪產(chǎn)業(yè),套路貸團(tuán)伙的風(fēng)控業(yè)務(wù)也通過(guò)數(shù)據(jù)的層層買賣交換和這些數(shù)據(jù)風(fēng)控公司發(fā)生合作交集,如阿爾法象案。
(二)金融用戶隱私泄露原因分析
綜觀我國(guó)金融保護(hù)現(xiàn)狀,導(dǎo)致金融隱私數(shù)據(jù)頻頻泄露的原因主要是四點(diǎn):
一是法律法規(guī)層面,存在不健全不完善的問(wèn)題。我國(guó)現(xiàn)有30余部法律法規(guī)對(duì)金融隱私保護(hù)有所涉及,包括《儲(chǔ)蓄管理?xiàng)l例》《商業(yè)銀行法》《刑法修正案(七)》《保險(xiǎn)法》《網(wǎng)絡(luò)安全法》,以及2015年11月國(guó)務(wù)院辦公廳專門印發(fā)的《關(guān)于加強(qiáng)金融消費(fèi)者權(quán)益保護(hù)工作的指導(dǎo)意見(jiàn)》等。但是,目前我國(guó)沒(méi)有形成嚴(yán)謹(jǐn)?shù)慕鹑陔[私保護(hù)法律體系,尚未有專門金融隱私保護(hù)法律法規(guī),而且已有的法律法規(guī)流于原則性保護(hù),針對(duì)各機(jī)構(gòu)和平臺(tái)主要以行政處罰為主。因?yàn)榱⒎ㄉ系牟煌晟疲痉ㄟ^(guò)程中不能夠行之有效地解決問(wèn)題,致使現(xiàn)階段少數(shù)金融企業(yè)或不法分子無(wú)所顧忌,對(duì)客戶金融隱私權(quán)一次又一次地進(jìn)行侵犯。
二是市場(chǎng)層面,金融隱私信息背后存在著黑色利益產(chǎn)業(yè)鏈。金融隱私信息買賣的市場(chǎng)需求巨大、經(jīng)濟(jì)利益豐厚,不法分子為了牟利,建立起了完整的用戶信息非法交易的黑色產(chǎn)業(yè)鏈條。在這些非法交易產(chǎn)業(yè)鏈上,部分買家來(lái)自于保險(xiǎn)公司、P2P等金融類機(jī)構(gòu),賣家則多來(lái)自于銀行、軟件企業(yè)、電子商務(wù)企業(yè)、咨詢公司、調(diào)研機(jī)構(gòu)等不同行業(yè)的企業(yè),以及從事網(wǎng)絡(luò)黑產(chǎn)的“黑客”等。
三是技術(shù)層面,大量新技術(shù)、新應(yīng)用,給金融隱私的保護(hù)帶來(lái)了更多的風(fēng)險(xiǎn)挑戰(zhàn)。比如,基于人工智能和生物識(shí)別技術(shù)的人臉識(shí)別支付面臨人臉?lè)旅暗娘L(fēng)險(xiǎn),目前利用3D打印技術(shù)可以制作模擬他人的“人臉”;各類金融App存在高危漏洞、被植入后門程序以及隱蔽收集用戶信息的安全風(fēng)險(xiǎn);物聯(lián)網(wǎng)、大數(shù)據(jù)及云計(jì)算技術(shù)同樣會(huì)給金融隱私帶來(lái)各類威脅,尤其是數(shù)據(jù)存儲(chǔ)服務(wù)器常常是黑客攻擊的重點(diǎn)目標(biāo)。
四是企業(yè)經(jīng)營(yíng)層面,對(duì)隱私安全問(wèn)題重視程度不夠。國(guó)內(nèi)的多數(shù)金融企業(yè)沒(méi)有充分認(rèn)識(shí)到金融信息安全威脅及危害的嚴(yán)重性。存在信息安全管理不嚴(yán)格,金融產(chǎn)品開(kāi)發(fā)與信息安全保護(hù)不同步,金融企業(yè)的應(yīng)急處置能力明顯不足等問(wèn)題。此外,還有不少金融企業(yè)在金融信息安全保護(hù)方面存在數(shù)據(jù)分布零散化,未能實(shí)現(xiàn)集中管理,未能建立形成常態(tài)化數(shù)據(jù)風(fēng)險(xiǎn)管控機(jī)制等問(wèn)題。
三、金融用戶隱私保護(hù)對(duì)策建議
金融隱私信息的保護(hù)是一項(xiàng)系統(tǒng)工程,對(duì)于確保金融產(chǎn)業(yè)健康有序發(fā)展意義重大,需要加強(qiáng)頂層設(shè)計(jì),統(tǒng)籌謀劃,從法律、監(jiān)管、技術(shù)防護(hù)等多個(gè)方面精準(zhǔn)施策。
(一)進(jìn)一步完備金融隱私安全保護(hù)的法律體系
對(duì)標(biāo)國(guó)際金融隱私保護(hù)的法律制度體系,盡快出臺(tái)符合中國(guó)國(guó)情的專門金融隱私保護(hù)法律法規(guī),補(bǔ)齊法律短板和空白點(diǎn),推進(jìn)金融隱私信息的專門化、系統(tǒng)化保護(hù)。結(jié)合金融互聯(lián)網(wǎng)化的發(fā)展趨勢(shì)和特點(diǎn),在法律層面上更加全面準(zhǔn)確地界定金融隱私信息的定義及內(nèi)涵,明確其法律地位、權(quán)利屬性以及金融企業(yè)、金融用戶等不同主體在收集使用等過(guò)程中所要遵循的原則。細(xì)化金融企業(yè)、相關(guān)網(wǎng)絡(luò)運(yùn)營(yíng)商、服務(wù)商、金融企業(yè)客戶、普通民眾等在金融隱私保護(hù)方面的責(zé)任義務(wù),明確追責(zé)的內(nèi)容和規(guī)定條款,使金融隱私保護(hù)切實(shí)做到有法可依、有法必依。
(二)嚴(yán)密金融隱私保護(hù)的技術(shù)防護(hù)措施
由于金融隱私信息存在于相關(guān)數(shù)據(jù)的收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期,相應(yīng)的技術(shù)防護(hù)措施要全面覆蓋各個(gè)環(huán)節(jié),做到萬(wàn)無(wú)一失。金融機(jī)構(gòu)推出相關(guān)金融產(chǎn)品和服務(wù),應(yīng)該按照“責(zé)權(quán)一致、目的明確、選擇同意、最少夠用、公開(kāi)透明、主體參與、確保安全”的原則,設(shè)計(jì)并實(shí)施金融隱私數(shù)據(jù)的技術(shù)安全防護(hù)策略。不斷豐富金融隱私保護(hù)的技術(shù)手段,有效破解重點(diǎn)難點(diǎn)問(wèn)題,為金融信息安全提供更加有力的支撐和服務(wù)。
(三)推動(dòng)金融機(jī)構(gòu)進(jìn)一步加強(qiáng)金融隱私保護(hù)制度建設(shè)
規(guī)范金融隱私信息的保護(hù)管理規(guī)定,細(xì)化日常操作流程、應(yīng)急處理流程和預(yù)案,完善內(nèi)部檢查及監(jiān)督機(jī)制。嚴(yán)格金融隱私數(shù)據(jù)的收集、存儲(chǔ)和使用的要求,收集隱私信息遵循最小化原則。在境內(nèi)提供金融產(chǎn)品或服務(wù)過(guò)程中收集產(chǎn)生的金融隱私數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲(chǔ)、處理和分析,確因業(yè)務(wù)需要,要向境外提供隱私信息的,應(yīng)符合國(guó)家有關(guān)法律法規(guī)規(guī)定和有關(guān)管理部門的政策。企業(yè)間共享數(shù)據(jù),應(yīng)該進(jìn)行安全防護(hù)能力的評(píng)估,并簽署數(shù)據(jù)保護(hù)責(zé)任書。建立金融隱私信息的安全評(píng)估制度,定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和檢查,及時(shí)調(diào)整安全防護(hù)策略和措施。
(四)建立完善金融隱私保護(hù)監(jiān)管體系
成立專門金融隱私監(jiān)督機(jī)構(gòu)或歸口指定相關(guān)職能機(jī)構(gòu),專職負(fù)責(zé)全國(guó)金融產(chǎn)業(yè)隱私信息的安全監(jiān)管。創(chuàng)新監(jiān)管模式,由以往事中、事后監(jiān)管積極向事前監(jiān)管轉(zhuǎn)換。進(jìn)一步明確金融企業(yè)保護(hù)金融隱私的責(zé)任和義務(wù),督導(dǎo)金融企業(yè)加強(qiáng)金融隱私保護(hù)的建設(shè)和投入,進(jìn)一步嚴(yán)密金融隱私保護(hù)制度和措施。針對(duì)風(fēng)控行業(yè)的數(shù)據(jù)隱私問(wèn)題,建議將風(fēng)險(xiǎn)控制業(yè)務(wù)納入個(gè)人征信業(yè)務(wù)予以監(jiān)管,加大對(duì)違規(guī)采集、使用個(gè)人征信信息的懲處力度。
(五)依法整治金融隱私信息交易背后的黑色產(chǎn)業(yè)鏈
建議相關(guān)職能部門加強(qiáng)對(duì)金融隱私交易黑色產(chǎn)業(yè)鏈的打擊,組織開(kāi)展打擊整治專項(xiàng)行動(dòng),涉嫌違法的組織機(jī)構(gòu)由行業(yè)主管部門嚴(yán)肅處理,涉及犯罪的人員由公安機(jī)關(guān)立案?jìng)刹椤<訌?qiáng)法制宣傳教育,通過(guò)典型案例宣傳,及時(shí)曝光利用金融隱私非法牟利的違法犯罪事實(shí),震懾不法分子,并以此教育提醒金融企業(yè)加強(qiáng)隱私信息保護(hù),增強(qiáng)民眾的隱私保護(hù)意識(shí),不給金融隱私信息交易的“灰色產(chǎn)業(yè)鏈”提供生存的社會(huì)土壤。
通付盾經(jīng)過(guò)深入研究各項(xiàng)App隱私合規(guī)規(guī)范/指南,自研合規(guī)檢測(cè)產(chǎn)品,采用基于以符號(hào)執(zhí)行為核心的靜態(tài)分析引擎和以運(yùn)行態(tài)沙盒為核心的動(dòng)態(tài)檢測(cè)引擎,對(duì)移動(dòng)應(yīng)用使用全過(guò)程進(jìn)行隱私合規(guī)性全面檢查,旨在幫助用戶快速、準(zhǔn)確地檢測(cè)App中存在的敏感權(quán)限調(diào)用,及時(shí)進(jìn)行整改,保證App隱私安全。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!