“大数据时代,人人都在裸奔”,这句看似调侃的话语却让我们不得不直面一个严峻现实:在享受大数据时代各种便利服务的同时,个人信息却已通过多个渠道被盗用、贩卖,从而使自己变成“透明人”,被商业营销精准“锁定”。若要问你离个人信息被泄露有多远?答案是:零距离。
目前个人信息的泄露渠道多样,可大致分为线下、线上两种。其中,线下渠道遵循“从哪里录入信息,就能从哪里泄露”的规律。一般散落的快递单、物业信息、医疗单据等个人零碎信息,均存在泄露的可能。而线上平台是信息泄露最严重的地方。从网页上的各种“留痕”,到注册的各种app,均是触达个人信息的端口,前者包括网购记录、浏览痕迹、电商评论等,后者则普遍存在超范围收集个人信息的现象。
是谁在背后盗取我们的数据?个人信息泄露的背后是一个完整的黑色产业链,有专门的黑色产业数据公司,通过各个渠道搜集个人信息,再对其进行整理、加工和包装,进而转卖、分赃,最终实现数据价值变现。被非法搜集的个人信息数据经过分门别类和定价后,最终被卖给各种金融机构、贷款中介、教育培训机构、房地产公司以及装修公司等需求方。
最常见的泄露渠道是各类手机app,这也是黑色产业公司最容易获取个人数据的方式。当我们使用某个app,经常会被强制要求读取设备信息,或者授权相机、定位等权限。这背后隐藏着一些app超范围收集个人信息、私自收集个人信息、过度索取权限的“陷阱”。
今年的央视“3·15晚会”就曝光了国美易卡、麦芽贷等53款app中窃取用户隐私问题,其中40余款为现金贷app,占比近八成。据央视报道,这些app通过内置sdk(软件开发工具包)插件,未经用户同意,在后台读取用户的电话号码、通讯录、短信记录、应用列表等信息,同时上传数据到第三方服务器。
黑色产业公司会选择与一些app开发商合作,在app中嵌入黑色产业公司的sdk搜集个人信息,给予开发商一定的费用购买这些信息。被各种app搜集的个人信息通过sdk发送到黑色产业公司,这些公司再对数据进行整理、加工包装,最后送到暗网交易。由于sdk能够收集用户的短信,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。
金融app强监管的大幕已拉开
个人金融信息不仅关乎老百姓的资金安全,也是金融机构展业的关键要素。因此,金融类app是强监管的重点领域。
2019年11月,人民银行发布《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,拉开了金融app强监管的大幕。根据通知,中国互联网金融协会承担移动金融应用客户端软件实名备案工作。目前,该协会已发布三批金融软件备案名单,累计有141款金融客户端软件完成备案。
今年7月底,工信部召开会议,部署开展纵深推进app侵害用户权益专项整治行动,要求各企业不得存有侥幸心理和“过关”思维,切勿试探监管底线、触碰监管红线、低估监管意志。
由于信息安全是金融机构安全保障义务的核心内容,今年以来,有关数据治理、个人信息泄露、网络安全的罚单越来越多,金融机构对个人信息的保护同步进入严监管时代。
6月19日,江苏银保监局公布对江南农商行的行政处罚,该行因“网络安全工作严重不足”而被罚款30万元,成为首家因为网络安全问题被处罚的商业银行。8月5日,上海银保监局发布行政处罚信息,招商银行、交通银行的信用卡部门因对客户个人信息未尽安全保护义务等事项,被责令改正并各被罚款100万元。
除了机构主体吃到罚单,银行从业人员也有因侵犯公民个人信息被处罚的案例。
今年3月,建设银行余姚城建支行行长沈某某因犯侵犯公民个人信息罪,被判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。今年4月,北京银行上海分行张江支行某临时工利用银行系统,违规查询公民个人征信信息,被判处有期徒刑1年2个月,缓刑1年2个月,并处罚金人民币4000元。
近两年,金融机构业务的线上化布局不断加快,形成了包括app、小程序等在内的线上全渠道服务能力。而在推进数字化转型的过程中,如何寻求在网络安全风险管控、个人信息保护方面的平衡点,成为目前监管和金融机构共同面对的问题。