“80万条银行客户数据被盗”？ 银行表示“我没有”

本篇文章2306字，读完约6分钟

展望数字经济时代个人金融信息保护的特殊立法

我们的见习记者于俊义

数据隐私不是小事，即使信息被篡改，也会引起广泛关注。

最近，“80万条银行客户数据被‘暗网’卖出”引起了讨论。在一个海外黑客论坛上，两名用户发布了一条消息，声称出售国内银行数据信息，其中包括数家银行约80万条客户信息，包括电话号码、姓名、身份证号码和家庭住址。

然而，许多银行后来传言说，他们出售的信息与银行存储的信息不匹配，不存在信息泄露问题。

在各种信息泄露事件中，银行客户信息因其含金量最高，在黑市和黑暗网络中价格最高。近年来，国外经常发生大规模的银行客户信息窃取事件。2018年5月，中国银行业监督管理委员会发布了《银行业金融机构数据治理指引》，要求银行业金融机构建立数据安全政策和标准，依法收集和应用数据，依法保护客户隐私。

“在数字经济时代，为了防止数据泄露，减少数据滥用，实现数据价值最大化，应尽快制定保护个人金融信息的专门立法。”中央财经大学数字经济与法治研究中心执行主任刘全告诉《证券日报》记者。

一些银行表示有权保持问责制

据《证券日报》记者报道，金融机构客户数据被贩运的消息最初来自一个海外公共黑客论坛突袭论坛，两个用户“太容易上当了”和“s868858”分别发帖出售国内银行数据信息，涉及多家国内银行。包括上海银行客户信息约80万条，兴业银行信用卡客户信息46万条，平安保险客户信息10万条，上海浦东发展银行客户信息10万条，招商银行客户信息6.3万条。用于示例的信息主要包括电话号码、姓名、身份证号码和家庭地址。

消息被媒体报道后，很快引起了相关银行的关注，上述银行都在第一时间做出了回应。

兴业银行相关人士告诉《证券报》记者，该行在接到消息后非常重视这一问题，并在第一时间对信息进行了核对和对比，确认了所谓的“兴业银行信用卡客户信息”和兴业银行的真实客户信息。要素不匹配，也不排除犯罪分子为不正当利益伪造和出售所谓的银行客户信息；兴业银行将保留追究伪造银行客户信息和损害银行商誉的法律责任的权利。

据招商银行称，经对比相关数据，与我行真实的客户信息不一致，网络上的信息也不真实。我们谴责任何伪造和出售公民信息的犯罪行为，并保留因损害我们的声誉而追究法律责任的权利。

农行回应称，它非常重视“所谓农行客户信息的新闻”。经过仔细核实和比较，不存在客户信息泄露的问题。并已向监管部门报告了相关情况，准备向公安机关报案，并将积极配合公安部门调查取证。如有进一步消息，将及时公布。

上海浦东发展银行回应称，经调查对比，网上数据中没有该行的客户账户信息，与该行的客户信息要素不一致。不排除犯罪分子以金融机构的名义兜售来源不明的数据以获取非法利益。上海浦东发展银行表示，它将保留追究其法律责任的权利，对虚假的银行信息和损害其商誉的非法行为。

数据安全挑战数字转型

随着上述客户信息被迅速伪造，业内普遍认为，这一事件很可能是犯罪分子伪造和出售所谓的银行客户信息以获取不正当利益。

然而，数据隐私不是小事，即使新闻被篡改，也会引起广泛关注。那么，大规模银行客户数据容易被窃取吗？

据《证券日报》记者介绍，目前，国内商业银行非常重视客户数据保护。它的安全级别远远高于一般企业。

从数据泄露的角度来看，主要分为两类:一类是外部黑客入侵；另一种是“内鬼”偷窃。

从黑客角度来看，中国纺织艺联集团产品经理兼it系统实施顾问马宁对《证券日报》记者表示:“银行属于特殊行业，对数据安全的要求很高。由于银行的网络数据是一个内部封闭的网络，属于私有云部署，不与外部连接，需要特殊的媒体连接，所以银行被黑客攻击的概率很低。如果你想举一个例子，普通的安全系统就像你住在一个社区的公寓里，那么你的安全主要取决于社区的财产和安全。一旦有人突破了财产和安全，整个社区的居民都可能面临风险。银行的安全就像躲在山上某个区域的别墅里，别墅外面有层层安全。先找到这座山很难。”

与黑客攻击相比，目前国内银行客户的信息泄露来源于内部人员泄露。然而，他们大多仅限于网点工作人员利用自己的客户信息进行非法交易，泄露的信息数量一般不到1000条。

然而，银行内部人士很难获得数十万条信息。一家大型国有银行的高级技术人员告诉《证券日报》记者:“目前，大量银行数据不太可能集中泄露，因为所有银行都非常重视数据保护，网络保护的安全级别也很高。特别是在目前的监管体系下，业内人士非常清楚这种事情的严重性，下载大量数据会在系统中留下痕迹，这是不值得的。”

然而，上述人士也提醒说，“有许多数据应用场景和许多分析与合作。在这个过程中，别有用心的人可能钻空.的空子”银监会对银行业金融机构的数据治理和个人信息保护有明确的监管要求。

2020年3月6日，中国保监会办公厅发布的《关于防范银行业和保险业从业人员金融犯罪的指导意见》再次强调“严格防范信息技术领域的违法犯罪行为”。

然而，一些专家认为，目前的制度仍需改进。“我国对金融机构的个人数据安全有一些相关规定，但总体来说，法律等级较低，相关规定比较零散，缺乏对个人金融信息保护的专门立法。”中央财经大学数字经济与法治研究中心执行主任刘全对《证券日报》记者表示:“对个人金融信息的定义、收集、处理、使用和传输没有专门的规定，导致监管依据不足，监管无所作为。、选择性监督等问题。”

“在数字经济时代，为了防止数据泄露，减少数据滥用，实现数据价值最大化，应尽快制定个人金融信息保护专项立法。2019年，央行出台了《个人金融信息保护试行办法》(征求意见稿)，希望尽快出台。同时，正在制定的《个人信息保护法》和《数据安全法》将尽快颁布。”刘全说。