新華社上海9月15日電(上海證券報記者 張豔芬 魏倩)今年以來,有關個人信息泄露的新聞屢次成為熱點話題,例如百萬銀行客户數據疑在“暗網”出售、某些銀行部門因個人信息保護不到位領到監管百萬元罰單、央視“3·15晚會”曝光50多款移動客户端應用軟件(App)竊取用户隱私等。
在數字經濟時代,個人信息安全往往直接關乎個人資金安全。如何保護好老百姓的個人信息、維護好個人“錢袋子”安全,是大數據時代必須直面的問題。
(小標題)誰動了你的個人信息?
“大數據時代,人人都在裸奔”,這句看似調侃的話語卻讓我們不得不直面一個嚴峻現實:在享受大數據時代各種便利服務的同時,個人信息卻已通過多個渠道被盜用、販賣,從而使自己變成“透明人”,被商業營銷精準“鎖定”。
你離個人信息被泄露有多遠?答案是:零距離。
上海證券報記者瞭解到,目前個人信息的泄露渠道多樣,可大致分為線下、線上兩種。其中,線下渠道存在着“從哪裏錄入信息,就能從哪裏泄露”的規律。一般散落的快遞單、物業信息、醫療單據等個人零碎信息,均存在泄露的可能。而線上平台是信息泄露最嚴重的地方。從網頁上的各種“留痕”,到註冊的各種App,均是觸達個人信息的端口,前者包括網購記錄、瀏覽痕跡、電商評論等,後者則普遍存在超範圍收集個人信息的現象。
是誰在背後盜取我們的數據?“個人信息泄露的背後是一個完整的黑色產業鏈,有專門的黑色產業數據公司,通過各個渠道蒐集個人信息,再對其進行整理、加工和包裝,進而轉賣、分贓,最終實現數據價值變現。”蘇寧金融研究院金融科技研究中心主任孫揚告訴記者,被非法蒐集的個人信息數據經過分門別類和定價後,最終被賣給各種金融機構、貸款中介、教育培訓機構、房地產公司以及裝修公司等需求方。
最常見的泄露渠道是各類手機App,這也是黑色產業公司最容易獲取個人數據的方式。當我們使用某個App,經常會被強制要求讀取設備信息,或者授權相機、定位等權限。這背後隱藏着一些App超範圍收集個人信息、私自收集個人信息、過度索取權限的“陷阱”。
今年的央視“3·15晚會”就曝光了麥芽貸等53款App中竊取用户隱私問題,其中40餘款為現金貸App,佔比近八成。據央視報道,這些App通過內置SDK(軟件開發工具包)插件,未經用户同意,在後台讀取用户的電話號碼、通訊錄、短信記錄、應用列表等信息,同時上傳數據到第三方服務器。
“整個過程並不複雜,黑色產業公司會選擇與一些App開發商合作,在App中嵌入黑色產業公司的SDK蒐集個人信息,給予開發商一定的費用購買這些信息。被各種App蒐集的個人信息通過SDK發送到黑色產業公司,這些公司再對數據進行整理、加工包裝,最後送到暗網交易。”孫揚表示,由於SDK能夠收集用户的短信,一旦用户有網絡交易的驗證碼被獲取,極有可能造成嚴重的經濟損失。
(小標題)金融App強監管的大幕已拉開
個人金融信息不僅關乎老百姓的資金安全,也是金融機構展業的關鍵要素。因此,金融類App是強監管的重點領域。
2019年11月,人民銀行發佈《關於發佈金融行業標準加強移動金融客户端應用軟件安全管理的通知》,拉開了金融App強監管的大幕。根據通知,中國互聯網金融協會承擔移動金融應用客户端軟件實名備案工作。目前,該協會已發佈三批金融軟件備案名單,累計有141款金融客户端軟件完成備案。
今年7月底,工信部召開會議,部署開展縱深推進App侵害用户權益專項整治行動,要求各企業不得存有僥倖心理和“過關”思維,切勿試探監管底線、觸碰監管紅線、低估監管意志。
由於信息安全是金融機構安全保障義務的核心內容,今年以來,有關數據治理、個人信息泄露、網絡安全的罰單越來越多,金融機構對個人信息的保護同步進入嚴監管時代。
6月19日,江蘇銀保監局公佈對江南農商行的行政處罰,該行因“網絡安全工作嚴重不足”而被罰款30萬元,成為首家因為網絡安全問題被處罰的商業銀行。8月5日,上海銀保監局發佈行政處罰信息,招商銀行、交通銀行的信用卡部門因對客户個人信息未盡安全保護義務等事項,被責令改正並各被罰款100萬元。
除了機構主體吃到罰單,銀行從業人員也有因侵犯公民個人信息被處罰的案例。
今年3月,建設銀行餘姚城建支行行長沈某某因犯侵犯公民個人信息罪,被判處有期徒刑3年,緩刑3年,並處罰金人民幣6000元。今年4月,北京銀行上海分行張江支行某臨時工利用銀行系統,違規查詢公民個人徵信信息,被判處有期徒刑1年2個月,緩刑1年2個月,並處罰金人民幣4000元。
近兩年,金融機構業務的線上佈局不斷加快,形成了包括App、小程序等在內的線上全渠道服務能力。而在推進數字化轉型的過程中,如何尋求在網絡安全風險管控、個人信息保護方面的平衡點,成為目前監管和金融機構共同面對的問題。
(小標題)個人信息保護法律體系不斷健全
今年以來,與個人信息保護相關的政策規範、法律草案在陸續健全,相關立法生態正在走向完善。
今年2月,人民銀行發佈《個人金融信息保護技術規範》,規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷燬等生命週期各環節的安全防護要求,從安全技術和安全管理兩個方面,對個人金融信息保護提出了規範性要求。
備受關注的個人信息保護法也有望面世。5月14日,全國人大常委會法工委有關部門負責人透露,個人信息保護法正在研究起草中,目前草案稿已經形成。明年正式施行的民法典中,也有專門針對隱私權和個人信息保護的章節。
實際上,當前個人信息保護不足,除了運營主體缺乏規範、法律制度有待健全外,也與信息主體的保護意識淡薄有關。業內人士呼籲,每個人都應該形成強烈的自我保護意識。
金誠同達(上海)律師事務所高級合夥人彭凱説,消費者要從多方面保護自己的個人信息。從線上平台看,下載App並在授予App系統權限前,要考慮其必要性,尤其是涉及通訊錄、通話、短信、照片等敏感內容的權限;針對不同網站應使用不同的複雜密碼,避免因部分網站的密碼泄露事件導致個人在其他網站的數據也面臨重大風險,尤其是針對一旦泄露可能造成嚴重後果的網站。
彭凱表示,在線下渠道,非必要情況下,儘可能減少填寫、提供真實個人信息的機會。需要警惕的常見場景包括掃碼抽獎、有獎問卷、報名送禮等。另外,要做好紙質單據的個人信息保護工作,例如撕去快遞包裝上的收貨人信息、不隨意丟棄使用過的實名制車票、丟棄前撕毀購物支付憑證等。(完)