傳統(tǒng)金融行業(yè)互聯(lián)網(wǎng)化進程中���,大數(shù)據(jù)、人工智能����、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及區(qū)塊鏈等新技術的應用�,在推動金融產業(yè)創(chuàng)新、增加便民性��、提升工作效率的同時�����,也給金融用戶隱私保護帶來了新風險與新挑戰(zhàn)���。近些年金融用戶隱私泄露事件及侵犯公民個人信息違法犯罪頻頻發(fā)生�,不但直接損害金融用戶的利益���,擾亂金融市場秩序��,甚至可能帶來系統(tǒng)性金融風險和引發(fā)群體性事件�����。在此背景下�,中國人民公安大學“網(wǎng)絡空間安全與法治協(xié)同創(chuàng)新中心”聯(lián)合“江蘇通付盾科技有限公司”針對金融隱私保護問題開展相關研究,完成了《金融隱私保護問題分析及對策》研究報告�����,報告主要內容如下:
金融隱私保護問題分析及對策
一���、金融產業(yè)發(fā)展現(xiàn)狀及新技術應用情況分析
改革開放以來��,我國金融產業(yè)高速發(fā)展�����,已建立起以中國人民銀行�、銀保監(jiān)會�����、證監(jiān)會為核心����,以商業(yè)銀行�����、證券公司和保險公司為主體的市場化金融組織體系。銀行業(yè)方面:全國現(xiàn)有4500多家銀行機構��,總資產突破280萬億;證券業(yè)方面:證券公司133家����,總資產突破7萬億;保險業(yè)方面:保險機構230家,總資產突破20萬億���。
傳統(tǒng)金融產業(yè)與互聯(lián)網(wǎng)技術緊密結合����,依托網(wǎng)絡平臺可實現(xiàn)資金融通���、支付���、投資和信息中介等服務的新型金融業(yè)務模式。通過網(wǎng)絡進行金融活動的用戶增長迅速�,2020年4月發(fā)布的第45次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示,我國網(wǎng)民9.04億��,其中網(wǎng)絡購物用戶7.10億,較2018年底增長了1億;網(wǎng)絡支付用戶7.68億�����,較2018年底增長了1.68億����。
(一)互聯(lián)網(wǎng)時代下金融服務類型
互聯(lián)網(wǎng)時代金融服務產品眾多,歸納起來大致三類:
一是第三方支付�����。目前使用較普遍的有國內的支付寶�、微信支付、京東支付�,國外的PayPal等,它們提供一系列的接口����,將多種銀行卡支付方式整合到一個界面上,操作簡單易用�����,極大方便了網(wǎng)絡購物。
二是網(wǎng)絡投資理財��。包括網(wǎng)上銀行存儲���、網(wǎng)上炒股��、網(wǎng)上投保�、網(wǎng)上外幣�����、網(wǎng)上期貨�����、網(wǎng)上黃金白銀交易等����,它們?yōu)橥顿Y者提供各類理財服務和金融資訊����。
三是P2P網(wǎng)貸。國內網(wǎng)絡借貸平臺一度超過6000家�����,但是,近兩年借助網(wǎng)貸平臺進行非法集資的案件持續(xù)高發(fā)�����, 2018年共有199家網(wǎng)貸平臺公司涉嫌非法集資被公安機關立案偵查���。網(wǎng)貸平臺暴雷�����,不僅嚴重影響了我國的金融安全��,還容易引發(fā)群體性事件��。
(二)新技術在金融產業(yè)的應用情況
當前�����,大量新技術應用到金融領域�,概括起來主要有五大類:人工智能���、大數(shù)據(jù)���、生物識別��、移動互聯(lián)網(wǎng)�����、區(qū)塊鏈�。新技術的廣泛應用實現(xiàn)了金融信息的自動化處理����,為用戶提供了便捷高質量服務。
一是人工智能�����。在金融領域重要的應用場景包括:(1)基于圖像識別技術的人臉���、表單、票據(jù)等識別系統(tǒng)���,例如人臉支付�����、證券帳戶遠程開戶等; (2)基于語音識別和自然語言處理技術的智能客服系統(tǒng)�,問題解決率已超過99%;(3)基于專家系統(tǒng)的金融風控、反欺詐和智能投顧系統(tǒng)����。
二是大數(shù)據(jù)。數(shù)據(jù)主要來源是交易數(shù)據(jù)���,客戶登記數(shù)據(jù)����,報表數(shù)據(jù)等���。大數(shù)據(jù)的應用場景�,銀行主要是集中在精準營銷����、用戶經營、數(shù)據(jù)風控等方面;證券主要集中在股價預測和投資景氣指數(shù)預測等方面;保險主要集中在客戶風險評估��、保險價格估算等方面�。
三是生物識別。金融行業(yè)是生物識別技術的一個重要應用領域�。指紋識別起步最早��,目前應用最多���、市場份額最大;人臉識別發(fā)展迅速,尤其是第三方支付中廣泛應用;虹膜識別�、聲紋識別依然小眾�。
四是移動互聯(lián)網(wǎng)。移動互聯(lián)網(wǎng)在金融領域的應用表現(xiàn)為各類手機應用程序App�,主要包括銀行類、消費類���、支付類��、理財類����、證券類等����。其中���,面向個人用戶的消費類App數(shù)量最多���,占總數(shù)的36.74%����。
五是區(qū)塊鏈����。我國央行法定數(shù)字貨幣DCEP是依托區(qū)塊鏈以及電子加密等互聯(lián)網(wǎng)技術發(fā)行的數(shù)字化形態(tài)的法幣。我國在央行法定數(shù)字貨幣正式上線運行后�,各類基于區(qū)塊鏈的業(yè)務都有望實現(xiàn)支付即結算功能,大大提升結算效率并降低運營成本�。
二、金融用戶隱私保護嚴峻形勢及原因分析
(一)金融用戶隱私保護形勢嚴峻
根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《網(wǎng)民權益保護調查報告》���,78.2%的網(wǎng)民的個人身份信息�����、63.4%的網(wǎng)民的網(wǎng)絡金融交易記錄曾被泄露過��。近年來��,每年發(fā)生金融隱私泄露事件大約以35%的速度在增長�,有公開報道或記錄2016年1093起�,2017年1511起�,2018年1967起�,2019年2300余起。相比歐美國家�����,我國隱私保護體系建設起步相對較晚�����,加之近年來各類新技術在金融行業(yè)迅速廣泛應用���,由此帶來的金融隱私保護問題日益凸顯�。
一是銀行數(shù)據(jù)泄露����。2012年,央視“3•15”晚會披露了多家銀行員工向他人出售客戶個人信息�����,導致銀行客戶資金被盜���,造成損失3000多萬元�����。2020年5月���,某銀行上海虹口支行在未獲得王某授權的情況下,將其個人賬戶流水提供給了第三方公司����。
二是保險數(shù)據(jù)泄露。2013年2月���,某保險公司因合作網(wǎng)站存在安全漏洞�����,致使大約80萬份保單信息泄露�����。2016年�����,上海等地多家保險機構卷入“泄露門”事件����,不少車主在發(fā)生交通事故、向保險公司報案后不久���,便接到冒充保險公司工作人員的詐騙電話��。
三是其他平臺金融數(shù)據(jù)泄露�。2013年某支付平臺前員工在工作三年內下載用戶20G的資料出售;2016年初���,某金融平臺被爆出60萬用戶大量敏感信息泄露�。
四是網(wǎng)貸業(yè)務及大數(shù)據(jù)風控亂象��。網(wǎng)貸業(yè)務是金融隱私泄露問題的主要根源之一�。大量的網(wǎng)貸業(yè)務需求和尚不完善的個人征信體系滋生了大量民間風控機構,很多互聯(lián)網(wǎng)公司�、大數(shù)據(jù)公司紛紛布局征信行業(yè)。但是����,在央行獲批個人征信牌照的機構僅有百行征信1家,遠遠滿足不了民間網(wǎng)貸的需求�。在工商以從事個人征信業(yè)務注冊的公司多達數(shù)千家,這些公司為開展風控業(yè)務,使用非法爬取���、采集、交換等方式獲取或騙取公民身份類���、位置類����、征信類�����、甚至通信類信息�。有的公司在開展風控業(yè)務的同時,甚至開展催收業(yè)務��,其中不乏一些大型互聯(lián)網(wǎng)企業(yè)��。此外��,網(wǎng)貸行業(yè)還滋生出套路貸��、校園貸的犯罪產業(yè)����,套路貸團伙的風控業(yè)務也通過數(shù)據(jù)的層層買賣交換和這些數(shù)據(jù)風控公司發(fā)生合作交集�����,如阿爾法象案�。
(二)金融用戶隱私泄露原因分析
綜觀我國金融保護現(xiàn)狀�����,導致金融隱私數(shù)據(jù)頻頻泄露的原因主要是四點:
一是法律法規(guī)層面���,存在不健全不完善的問題�����。我國現(xiàn)有30余部法律法規(guī)對金融隱私保護有所涉及�����,包括《儲蓄管理條例》《商業(yè)銀行法》《刑法修正案(七)》《保險法》《網(wǎng)絡安全法》�,以及2015年11月國務院辦公廳專門印發(fā)的《關于加強金融消費者權益保護工作的指導意見》等�。但是,目前我國沒有形成嚴謹?shù)慕鹑陔[私保護法律體系���,尚未有專門金融隱私保護法律法規(guī)��,而且已有的法律法規(guī)流于原則性保護�����,針對各機構和平臺主要以行政處罰為主���。因為立法上的不完善,司法過程中不能夠行之有效地解決問題��,致使現(xiàn)階段少數(shù)金融企業(yè)或不法分子無所顧忌�����,對客戶金融隱私權一次又一次地進行侵犯��。
二是市場層面����,金融隱私信息背后存在著黑色利益產業(yè)鏈。金融隱私信息買賣的市場需求巨大����、經濟利益豐厚�,不法分子為了牟利��,建立起了完整的用戶信息非法交易的黑色產業(yè)鏈條���。在這些非法交易產業(yè)鏈上�����,部分買家來自于保險公司�����、P2P等金融類機構���,賣家則多來自于銀行、軟件企業(yè)�����、電子商務企業(yè)���、咨詢公司��、調研機構等不同行業(yè)的企業(yè)��,以及從事網(wǎng)絡黑產的“黑客”等�����。
三是技術層面�,大量新技術、新應用����,給金融隱私的保護帶來了更多的風險挑戰(zhàn)�。比如,基于人工智能和生物識別技術的人臉識別支付面臨人臉仿冒的風險�,目前利用3D打印技術可以制作模擬他人的“人臉”;各類金融App存在高危漏洞、被植入后門程序以及隱蔽收集用戶信息的安全風險;物聯(lián)網(wǎng)����、大數(shù)據(jù)及云計算技術同樣會給金融隱私帶來各類威脅,尤其是數(shù)據(jù)存儲服務器常常是黑客攻擊的重點目標��。
四是企業(yè)經營層面���,對隱私安全問題重視程度不夠���。國內的多數(shù)金融企業(yè)沒有充分認識到金融信息安全威脅及危害的嚴重性�����。存在信息安全管理不嚴格�,金融產品開發(fā)與信息安全保護不同步����,金融企業(yè)的應急處置能力明顯不足等問題。此外�,還有不少金融企業(yè)在金融信息安全保護方面存在數(shù)據(jù)分布零散化,未能實現(xiàn)集中管理�����,未能建立形成常態(tài)化數(shù)據(jù)風險管控機制等問題�����。
三�、金融用戶隱私保護對策建議
金融隱私信息的保護是一項系統(tǒng)工程,對于確保金融產業(yè)健康有序發(fā)展意義重大��,需要加強頂層設計����,統(tǒng)籌謀劃��,從法律��、監(jiān)管��、技術防護等多個方面精準施策�。
(一)進一步完備金融隱私安全保護的法律體系
對標國際金融隱私保護的法律制度體系�,盡快出臺符合中國國情的專門金融隱私保護法律法規(guī),補齊法律短板和空白點�,推進金融隱私信息的專門化、系統(tǒng)化保護���。結合金融互聯(lián)網(wǎng)化的發(fā)展趨勢和特點,在法律層面上更加全面準確地界定金融隱私信息的定義及內涵��,明確其法律地位�����、權利屬性以及金融企業(yè)�����、金融用戶等不同主體在收集使用等過程中所要遵循的原則�。細化金融企業(yè)�����、相關網(wǎng)絡運營商�、服務商��、金融企業(yè)客戶�����、普通民眾等在金融隱私保護方面的責任義務�����,明確追責的內容和規(guī)定條款�,使金融隱私保護切實做到有法可依、有法必依�����。
(二)嚴密金融隱私保護的技術防護措施
由于金融隱私信息存在于相關數(shù)據(jù)的收集�����、傳輸、存儲��、使用���、刪除���、銷毀等生命周期,相應的技術防護措施要全面覆蓋各個環(huán)節(jié)��,做到萬無一失����。金融機構推出相關金融產品和服務,應該按照“責權一致��、目的明確��、選擇同意���、最少夠用、公開透明��、主體參與����、確保安全”的原則�����,設計并實施金融隱私數(shù)據(jù)的技術安全防護策略�。不斷豐富金融隱私保護的技術手段�,有效破解重點難點問題,為金融信息安全提供更加有力的支撐和服務��。
(三)推動金融機構進一步加強金融隱私保護制度建設
規(guī)范金融隱私信息的保護管理規(guī)定��,細化日常操作流程�、應急處理流程和預案,完善內部檢查及監(jiān)督機制�����。嚴格金融隱私數(shù)據(jù)的收集�����、存儲和使用的要求�����,收集隱私信息遵循最小化原則。在境內提供金融產品或服務過程中收集產生的金融隱私數(shù)據(jù)�����,應當在境內存儲�����、處理和分析���,確因業(yè)務需要��,要向境外提供隱私信息的��,應符合國家有關法律法規(guī)規(guī)定和有關管理部門的政策��。企業(yè)間共享數(shù)據(jù)�����,應該進行安全防護能力的評估�,并簽署數(shù)據(jù)保護責任書���。建立金融隱私信息的安全評估制度,定期進行安全風險評估和檢查,及時調整安全防護策略和措施��。
(四)建立完善金融隱私保護監(jiān)管體系
成立專門金融隱私監(jiān)督機構或歸口指定相關職能機構�����,專職負責全國金融產業(yè)隱私信息的安全監(jiān)管�����。創(chuàng)新監(jiān)管模式�,由以往事中、事后監(jiān)管積極向事前監(jiān)管轉換�����。進一步明確金融企業(yè)保護金融隱私的責任和義務���,督導金融企業(yè)加強金融隱私保護的建設和投入����,進一步嚴密金融隱私保護制度和措施�。針對風控行業(yè)的數(shù)據(jù)隱私問題,建議將風險控制業(yè)務納入個人征信業(yè)務予以監(jiān)管��,加大對違規(guī)采集、使用個人征信信息的懲處力度�����。
(五)依法整治金融隱私信息交易背后的黑色產業(yè)鏈
建議相關職能部門加強對金融隱私交易黑色產業(yè)鏈的打擊��,組織開展打擊整治專項行動���,涉嫌違法的組織機構由行業(yè)主管部門嚴肅處理�����,涉及犯罪的人員由公安機關立案偵查�。加強法制宣傳教育����,通過典型案例宣傳,及時曝光利用金融隱私非法牟利的違法犯罪事實�����,震懾不法分子����,并以此教育提醒金融企業(yè)加強隱私信息保護���,增強民眾的隱私保護意識��,不給金融隱私信息交易的“灰色產業(yè)鏈”提供生存的社會土壤���。
通付盾經過深入研究各項App隱私合規(guī)規(guī)范/指南��,自研合規(guī)檢測產品�,采用基于以符號執(zhí)行為核心的靜態(tài)分析引擎和以運行態(tài)沙盒為核心的動態(tài)檢測引擎�����,對移動應用使用全過程進行隱私合規(guī)性全面檢查��,旨在幫助用戶快速�����、準確地檢測App中存在的敏感權限調用�����,及時進行整改�����,保證App隱私安全。
京公網(wǎng)安備 11010502041587號