傳統(tǒng)金融行業(yè)互聯(lián)網(wǎng)化進程中���,大數(shù)據(jù)���、人工智能、移動互聯(lián)網(wǎng)��、物聯(lián)網(wǎng)及區(qū)塊鏈等新技術(shù)的應(yīng)用�,在推動金融產(chǎn)業(yè)創(chuàng)新、增加便民性����、提升工作效率的同時,也給金融用戶隱私保護帶來了新風(fēng)險與新挑戰(zhàn)�。近些年金融用戶隱私泄露事件及侵犯公民個人信息違法犯罪頻頻發(fā)生,不但直接損害金融用戶的利益����,擾亂金融市場秩序�����,甚至可能帶來系統(tǒng)性金融風(fēng)險和引發(fā)群體性事件�。在此背景下��,中國人民公安大學(xué)“網(wǎng)絡(luò)空間安全與法治協(xié)同創(chuàng)新中心”聯(lián)合“江蘇通付盾科技有限公司”針對金融隱私保護問題開展相關(guān)研究�����,完成了《金融隱私保護問題分析及對策》研究報告���,報告主要內(nèi)容如下:
金融隱私保護問題分析及對策
一�、金融產(chǎn)業(yè)發(fā)展現(xiàn)狀及新技術(shù)應(yīng)用情況分析
改革開放以來����,我國金融產(chǎn)業(yè)高速發(fā)展�����,已建立起以中國人民銀行�����、銀保監(jiān)會、證監(jiān)會為核心�����,以商業(yè)銀行���、證券公司和保險公司為主體的市場化金融組織體系�����。銀行業(yè)方面:全國現(xiàn)有4500多家銀行機構(gòu)�����,總資產(chǎn)突破280萬億;證券業(yè)方面:證券公司133家����,總資產(chǎn)突破7萬億;保險業(yè)方面:保險機構(gòu)230家�,總資產(chǎn)突破20萬億。
傳統(tǒng)金融產(chǎn)業(yè)與互聯(lián)網(wǎng)技術(shù)緊密結(jié)合���,依托網(wǎng)絡(luò)平臺可實現(xiàn)資金融通���、支付����、投資和信息中介等服務(wù)的新型金融業(yè)務(wù)模式����。通過網(wǎng)絡(luò)進行金融活動的用戶增長迅速,2020年4月發(fā)布的第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示�����,我國網(wǎng)民9.04億�����,其中網(wǎng)絡(luò)購物用戶7.10億�,較2018年底增長了1億;網(wǎng)絡(luò)支付用戶7.68億,較2018年底增長了1.68億�。
(一)互聯(lián)網(wǎng)時代下金融服務(wù)類型
互聯(lián)網(wǎng)時代金融服務(wù)產(chǎn)品眾多,歸納起來大致三類:
一是第三方支付��。目前使用較普遍的有國內(nèi)的支付寶�����、微信支付���、京東支付���,國外的PayPal等,它們提供一系列的接口����,將多種銀行卡支付方式整合到一個界面上,操作簡單易用�����,極大方便了網(wǎng)絡(luò)購物��。
二是網(wǎng)絡(luò)投資理財�。包括網(wǎng)上銀行存儲、網(wǎng)上炒股���、網(wǎng)上投保����、網(wǎng)上外幣��、網(wǎng)上期貨、網(wǎng)上黃金白銀交易等���,它們?yōu)橥顿Y者提供各類理財服務(wù)和金融資訊����。
三是P2P網(wǎng)貸��。國內(nèi)網(wǎng)絡(luò)借貸平臺一度超過6000家��,但是��,近兩年借助網(wǎng)貸平臺進行非法集資的案件持續(xù)高發(fā)����, 2018年共有199家網(wǎng)貸平臺公司涉嫌非法集資被公安機關(guān)立案偵查。網(wǎng)貸平臺暴雷��,不僅嚴(yán)重影響了我國的金融安全���,還容易引發(fā)群體性事件�。
(二)新技術(shù)在金融產(chǎn)業(yè)的應(yīng)用情況
當(dāng)前��,大量新技術(shù)應(yīng)用到金融領(lǐng)域�,概括起來主要有五大類:人工智能、大數(shù)據(jù)����、生物識別、移動互聯(lián)網(wǎng)���、區(qū)塊鏈�。新技術(shù)的廣泛應(yīng)用實現(xiàn)了金融信息的自動化處理���,為用戶提供了便捷高質(zhì)量服務(wù)�����。
一是人工智能�。在金融領(lǐng)域重要的應(yīng)用場景包括:(1)基于圖像識別技術(shù)的人臉�、表單、票據(jù)等識別系統(tǒng)�,例如人臉支付、證券帳戶遠(yuǎn)程開戶等; (2)基于語音識別和自然語言處理技術(shù)的智能客服系統(tǒng)��,問題解決率已超過99%;(3)基于專家系統(tǒng)的金融風(fēng)控�、反欺詐和智能投顧系統(tǒng)。
二是大數(shù)據(jù)���。數(shù)據(jù)主要來源是交易數(shù)據(jù)����,客戶登記數(shù)據(jù),報表數(shù)據(jù)等��。大數(shù)據(jù)的應(yīng)用場景���,銀行主要是集中在精準(zhǔn)營銷���、用戶經(jīng)營、數(shù)據(jù)風(fēng)控等方面;證券主要集中在股價預(yù)測和投資景氣指數(shù)預(yù)測等方面;保險主要集中在客戶風(fēng)險評估�����、保險價格估算等方面�����。
三是生物識別����。金融行業(yè)是生物識別技術(shù)的一個重要應(yīng)用領(lǐng)域。指紋識別起步最早,目前應(yīng)用最多�、市場份額最大;人臉識別發(fā)展迅速,尤其是第三方支付中廣泛應(yīng)用;虹膜識別����、聲紋識別依然小眾����。
四是移動互聯(lián)網(wǎng)。移動互聯(lián)網(wǎng)在金融領(lǐng)域的應(yīng)用表現(xiàn)為各類手機應(yīng)用程序App�����,主要包括銀行類�、消費類、支付類���、理財類�、證券類等�。其中,面向個人用戶的消費類App數(shù)量最多�����,占總數(shù)的36.74%。
五是區(qū)塊鏈���。我國央行法定數(shù)字貨幣DCEP是依托區(qū)塊鏈以及電子加密等互聯(lián)網(wǎng)技術(shù)發(fā)行的數(shù)字化形態(tài)的法幣�。我國在央行法定數(shù)字貨幣正式上線運行后�����,各類基于區(qū)塊鏈的業(yè)務(wù)都有望實現(xiàn)支付即結(jié)算功能�,大大提升結(jié)算效率并降低運營成本。
二���、金融用戶隱私保護嚴(yán)峻形勢及原因分析
(一)金融用戶隱私保護形勢嚴(yán)峻
根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《網(wǎng)民權(quán)益保護調(diào)查報告》���,78.2%的網(wǎng)民的個人身份信息、63.4%的網(wǎng)民的網(wǎng)絡(luò)金融交易記錄曾被泄露過���。近年來�����,每年發(fā)生金融隱私泄露事件大約以35%的速度在增長�,有公開報道或記錄2016年1093起����,2017年1511起�����,2018年1967起�����,2019年2300余起。相比歐美國家���,我國隱私保護體系建設(shè)起步相對較晚����,加之近年來各類新技術(shù)在金融行業(yè)迅速廣泛應(yīng)用�,由此帶來的金融隱私保護問題日益凸顯。
一是銀行數(shù)據(jù)泄露����。2012年,央視“3•15”晚會披露了多家銀行員工向他人出售客戶個人信息�,導(dǎo)致銀行客戶資金被盜,造成損失3000多萬元����。2020年5月��,某銀行上海虹口支行在未獲得王某授權(quán)的情況下����,將其個人賬戶流水提供給了第三方公司�。
二是保險數(shù)據(jù)泄露。2013年2月����,某保險公司因合作網(wǎng)站存在安全漏洞,致使大約80萬份保單信息泄露�。2016年,上海等地多家保險機構(gòu)卷入“泄露門”事件�����,不少車主在發(fā)生交通事故�����、向保險公司報案后不久���,便接到冒充保險公司工作人員的詐騙電話���。
三是其他平臺金融數(shù)據(jù)泄露����。2013年某支付平臺前員工在工作三年內(nèi)下載用戶20G的資料出售;2016年初�����,某金融平臺被爆出60萬用戶大量敏感信息泄露����。
四是網(wǎng)貸業(yè)務(wù)及大數(shù)據(jù)風(fēng)控亂象。網(wǎng)貸業(yè)務(wù)是金融隱私泄露問題的主要根源之一����。大量的網(wǎng)貸業(yè)務(wù)需求和尚不完善的個人征信體系滋生了大量民間風(fēng)控機構(gòu)����,很多互聯(lián)網(wǎng)公司、大數(shù)據(jù)公司紛紛布局征信行業(yè)�。但是,在央行獲批個人征信牌照的機構(gòu)僅有百行征信1家��,遠(yuǎn)遠(yuǎn)滿足不了民間網(wǎng)貸的需求�����。在工商以從事個人征信業(yè)務(wù)注冊的公司多達(dá)數(shù)千家,這些公司為開展風(fēng)控業(yè)務(wù)���,使用非法爬取��、采集���、交換等方式獲取或騙取公民身份類、位置類��、征信類���、甚至通信類信息���。有的公司在開展風(fēng)控業(yè)務(wù)的同時,甚至開展催收業(yè)務(wù)�,其中不乏一些大型互聯(lián)網(wǎng)企業(yè)。此外��,網(wǎng)貸行業(yè)還滋生出套路貸��、校園貸的犯罪產(chǎn)業(yè)���,套路貸團伙的風(fēng)控業(yè)務(wù)也通過數(shù)據(jù)的層層買賣交換和這些數(shù)據(jù)風(fēng)控公司發(fā)生合作交集����,如阿爾法象案。
(二)金融用戶隱私泄露原因分析
綜觀我國金融保護現(xiàn)狀����,導(dǎo)致金融隱私數(shù)據(jù)頻頻泄露的原因主要是四點:
一是法律法規(guī)層面,存在不健全不完善的問題����。我國現(xiàn)有30余部法律法規(guī)對金融隱私保護有所涉及,包括《儲蓄管理條例》《商業(yè)銀行法》《刑法修正案(七)》《保險法》《網(wǎng)絡(luò)安全法》���,以及2015年11月國務(wù)院辦公廳專門印發(fā)的《關(guān)于加強金融消費者權(quán)益保護工作的指導(dǎo)意見》等�����。但是,目前我國沒有形成嚴(yán)謹(jǐn)?shù)慕鹑陔[私保護法律體系�,尚未有專門金融隱私保護法律法規(guī),而且已有的法律法規(guī)流于原則性保護�,針對各機構(gòu)和平臺主要以行政處罰為主。因為立法上的不完善��,司法過程中不能夠行之有效地解決問題,致使現(xiàn)階段少數(shù)金融企業(yè)或不法分子無所顧忌�����,對客戶金融隱私權(quán)一次又一次地進行侵犯��。
二是市場層面�,金融隱私信息背后存在著黑色利益產(chǎn)業(yè)鏈。金融隱私信息買賣的市場需求巨大����、經(jīng)濟利益豐厚,不法分子為了牟利��,建立起了完整的用戶信息非法交易的黑色產(chǎn)業(yè)鏈條�����。在這些非法交易產(chǎn)業(yè)鏈上��,部分買家來自于保險公司�、P2P等金融類機構(gòu),賣家則多來自于銀行�����、軟件企業(yè)、電子商務(wù)企業(yè)��、咨詢公司�����、調(diào)研機構(gòu)等不同行業(yè)的企業(yè)��,以及從事網(wǎng)絡(luò)黑產(chǎn)的“黑客”等�����。
三是技術(shù)層面��,大量新技術(shù)����、新應(yīng)用,給金融隱私的保護帶來了更多的風(fēng)險挑戰(zhàn)���。比如����,基于人工智能和生物識別技術(shù)的人臉識別支付面臨人臉仿冒的風(fēng)險�,目前利用3D打印技術(shù)可以制作模擬他人的“人臉”;各類金融App存在高危漏洞、被植入后門程序以及隱蔽收集用戶信息的安全風(fēng)險;物聯(lián)網(wǎng)����、大數(shù)據(jù)及云計算技術(shù)同樣會給金融隱私帶來各類威脅,尤其是數(shù)據(jù)存儲服務(wù)器常常是黑客攻擊的重點目標(biāo)�����。
四是企業(yè)經(jīng)營層面���,對隱私安全問題重視程度不夠����。國內(nèi)的多數(shù)金融企業(yè)沒有充分認(rèn)識到金融信息安全威脅及危害的嚴(yán)重性��。存在信息安全管理不嚴(yán)格���,金融產(chǎn)品開發(fā)與信息安全保護不同步�,金融企業(yè)的應(yīng)急處置能力明顯不足等問題�。此外,還有不少金融企業(yè)在金融信息安全保護方面存在數(shù)據(jù)分布零散化�����,未能實現(xiàn)集中管理,未能建立形成常態(tài)化數(shù)據(jù)風(fēng)險管控機制等問題���。
三�����、金融用戶隱私保護對策建議
金融隱私信息的保護是一項系統(tǒng)工程��,對于確保金融產(chǎn)業(yè)健康有序發(fā)展意義重大����,需要加強頂層設(shè)計�����,統(tǒng)籌謀劃���,從法律����、監(jiān)管����、技術(shù)防護等多個方面精準(zhǔn)施策。
(一)進一步完備金融隱私安全保護的法律體系
對標(biāo)國際金融隱私保護的法律制度體系��,盡快出臺符合中國國情的專門金融隱私保護法律法規(guī)�����,補齊法律短板和空白點���,推進金融隱私信息的專門化�、系統(tǒng)化保護��。結(jié)合金融互聯(lián)網(wǎng)化的發(fā)展趨勢和特點��,在法律層面上更加全面準(zhǔn)確地界定金融隱私信息的定義及內(nèi)涵�,明確其法律地位、權(quán)利屬性以及金融企業(yè)���、金融用戶等不同主體在收集使用等過程中所要遵循的原則��。細(xì)化金融企業(yè)��、相關(guān)網(wǎng)絡(luò)運營商�、服務(wù)商、金融企業(yè)客戶�����、普通民眾等在金融隱私保護方面的責(zé)任義務(wù)��,明確追責(zé)的內(nèi)容和規(guī)定條款���,使金融隱私保護切實做到有法可依���、有法必依。
(二)嚴(yán)密金融隱私保護的技術(shù)防護措施
由于金融隱私信息存在于相關(guān)數(shù)據(jù)的收集���、傳輸����、存儲����、使用、刪除���、銷毀等生命周期�����,相應(yīng)的技術(shù)防護措施要全面覆蓋各個環(huán)節(jié)�����,做到萬無一失�����。金融機構(gòu)推出相關(guān)金融產(chǎn)品和服務(wù)��,應(yīng)該按照“責(zé)權(quán)一致��、目的明確�����、選擇同意��、最少夠用�、公開透明�、主體參與、確保安全”的原則��,設(shè)計并實施金融隱私數(shù)據(jù)的技術(shù)安全防護策略。不斷豐富金融隱私保護的技術(shù)手段����,有效破解重點難點問題,為金融信息安全提供更加有力的支撐和服務(wù)�。
(三)推動金融機構(gòu)進一步加強金融隱私保護制度建設(shè)
規(guī)范金融隱私信息的保護管理規(guī)定,細(xì)化日常操作流程�、應(yīng)急處理流程和預(yù)案,完善內(nèi)部檢查及監(jiān)督機制���。嚴(yán)格金融隱私數(shù)據(jù)的收集����、存儲和使用的要求��,收集隱私信息遵循最小化原則�����。在境內(nèi)提供金融產(chǎn)品或服務(wù)過程中收集產(chǎn)生的金融隱私數(shù)據(jù)�����,應(yīng)當(dāng)在境內(nèi)存儲��、處理和分析,確因業(yè)務(wù)需要����,要向境外提供隱私信息的,應(yīng)符合國家有關(guān)法律法規(guī)規(guī)定和有關(guān)管理部門的政策��。企業(yè)間共享數(shù)據(jù)�,應(yīng)該進行安全防護能力的評估,并簽署數(shù)據(jù)保護責(zé)任書����。建立金融隱私信息的安全評估制度�����,定期進行安全風(fēng)險評估和檢查�����,及時調(diào)整安全防護策略和措施����。
(四)建立完善金融隱私保護監(jiān)管體系
成立專門金融隱私監(jiān)督機構(gòu)或歸口指定相關(guān)職能機構(gòu),專職負(fù)責(zé)全國金融產(chǎn)業(yè)隱私信息的安全監(jiān)管��。創(chuàng)新監(jiān)管模式,由以往事中�、事后監(jiān)管積極向事前監(jiān)管轉(zhuǎn)換。進一步明確金融企業(yè)保護金融隱私的責(zé)任和義務(wù)�����,督導(dǎo)金融企業(yè)加強金融隱私保護的建設(shè)和投入�����,進一步嚴(yán)密金融隱私保護制度和措施����。針對風(fēng)控行業(yè)的數(shù)據(jù)隱私問題,建議將風(fēng)險控制業(yè)務(wù)納入個人征信業(yè)務(wù)予以監(jiān)管����,加大對違規(guī)采集、使用個人征信信息的懲處力度�。
(五)依法整治金融隱私信息交易背后的黑色產(chǎn)業(yè)鏈
建議相關(guān)職能部門加強對金融隱私交易黑色產(chǎn)業(yè)鏈的打擊,組織開展打擊整治專項行動��,涉嫌違法的組織機構(gòu)由行業(yè)主管部門嚴(yán)肅處理���,涉及犯罪的人員由公安機關(guān)立案偵查���。加強法制宣傳教育�����,通過典型案例宣傳��,及時曝光利用金融隱私非法牟利的違法犯罪事實���,震懾不法分子,并以此教育提醒金融企業(yè)加強隱私信息保護����,增強民眾的隱私保護意識�����,不給金融隱私信息交易的“灰色產(chǎn)業(yè)鏈”提供生存的社會土壤�。
通付盾經(jīng)過深入研究各項App隱私合規(guī)規(guī)范/指南,自研合規(guī)檢測產(chǎn)品��,采用基于以符號執(zhí)行為核心的靜態(tài)分析引擎和以運行態(tài)沙盒為核心的動態(tài)檢測引擎���,對移動應(yīng)用使用全過程進行隱私合規(guī)性全面檢查����,旨在幫助用戶快速、準(zhǔn)確地檢測App中存在的敏感權(quán)限調(diào)用��,及時進行整改�����,保證App隱私安全����。
京公網(wǎng)安備 11010502041587號