近日,一家股份行涉及泄露上海笑果文化有限公司旗下脱口秀藝人銀行賬户流水的事件持續發酵。涉事銀行道歉並辭退支行網點負責人。按屬地監管原則,上海銀保監局已介入調查。“未經當事人授權”是這次個人金融信息安全危機的關注焦點,也是導致輿論場持續熱議的重要原因。
涉事股份行的深夜致歉和員工追責,非但不意味着事件落幕,反而讓銀行未經當事用户個人允許、調取工資流水這一事情落下實錘。很明顯,這次信息泄露事件是該股份行基層職員的職業失範行為。
近年來,隨着銀行線下業務線上化、與流量方邊界日益拓寬等新變化,對外包研發、測試的管理不當,生產環境暴露、數據庫過度授權等問題,都給銀行數據安全管理帶來新挑戰。金融機構尤其是銀行的信息安全等級最為嚴格,一方面是監管指引高標準要求,且有嚴格日常督查管理制度,另一方面也是由其業務屬性決定。對銀行來説,客户賬户信息是核心商業價值要素之一,銀行必然會投入大量人力、物力做相關保障,大中型銀行也具備強大技術團隊和實力。
正是因為這些元素的背書,普通民眾會對銀行放心,視銀行為金融數據安全的可靠防火牆。截至2019年底,我國開立銀行賬户113.52億户,全國人均擁有銀行賬户數達8.09户。金融數據覆蓋人羣、牽涉產業面廣,其中又以銀行方面數據為甚。按央行此前明確規定,個人賬户賬號、餘額、賬户交易信息都屬於典型的“個人金融信息”,同時按重要性等級由高到低分C3、C2、C1三個類別,相對應信息安全保護及管理的具體規範指引。由此看來,銀行為用户信息保密,應該是一個“簡單而基本”的職業素養守則。正因如此,該事件被廣泛傳播後讓不少人聞之心驚:已有明文規定的隱私管理都被置若罔聞,遑論其他方面的信息管理,會不會潛伏更大的漏洞?
去年以來,監管部門密集出台關於數據安全管理辦法、APP違規收集使用個人信息行為認定方法等多項徵求意見稿及草案。可以看到,國家層面對個人信息數據管理的系統性整治規範是大勢所趨。眼下該股份行事件暴露出的流程漏洞,勢必將加速監管方面對金融機構個人信息安全的排查監管。