金融科技背景下個人金融信息安全保護研究

◆楊 紫

金融科技背景下個人金融信息安全保護研究

◆楊 紫

（中國人民銀行?？谥行闹?海南 571000）

近年來，銀行業(yè)金融機構(gòu)客戶數(shù)據(jù)泄露事件屢次發(fā)生，金融數(shù)據(jù)泄露無論是對金融機構(gòu)本身還是客戶都帶來巨大損失，伴隨新一輪科技革命和產(chǎn)業(yè)革命的浪潮來襲，人工智能、區(qū)塊鏈等新興技術(shù)與金融領域的深度融合，金融機構(gòu)間的服務競爭最終會轉(zhuǎn)化為科技之間的較量，自國內(nèi)第一家無人銀行運營后，銀行業(yè)顛覆性變革勢在必行，在大勢所趨之下，如何更好地保護個人金融信息顯得尤為重要，本文研究了金融科技背景下個人金融信息安全的保護，供相關讀者參考。

金融；科技革命；信息保護

1 個人金融信息保護現(xiàn)狀

個人金融信息指個人在銀行業(yè)機構(gòu)開立賬戶時預留的個人敏感信息，金融機構(gòu)有義務保護好客戶所有信息，如信息遭受泄露，客戶有權(quán)利用法律手段維護自己權(quán)利，但現(xiàn)實中，金融信息遭受泄露、竊取、篡改事件時有發(fā)生。2018年，中國銀行通山支行因?qū)蛻粜畔踩芾聿坏轿粚е麓罅啃畔⑿孤?，監(jiān)管部門開出罰單，追責相關責任人并且當事人終身被禁止從事銀行業(yè)工作；金融消費者張某通過轉(zhuǎn)賬誤將1300元存入?yún)悄迟~號，銀行工作人員將吳某聯(lián)系方式泄露給張某，導致吳某遭遇無盡的電話騷擾；某銀行上海浦東支行零售部副經(jīng)理楊某，利用職務之便，非法下載個人征信信息一萬余條，并將這些信息以不同的價格售出。

從國際來看，個人金融信息安全泄露事件也不容樂觀。英國最大銀行、全球銀行業(yè)巨頭匯豐銀行協(xié)助客戶偷逃稅務，向客戶提供避稅建議，涉及客戶信息約3萬個賬戶，總計持有約1200億美元資產(chǎn)，堪稱史上最大規(guī)模銀行泄密。黑客攻擊者通過網(wǎng)絡攻擊和其他方式獲得了孟加拉國央行SWIFT系統(tǒng)的操作權(quán)限，進一步向紐約聯(lián)邦儲備銀行發(fā)送虛假轉(zhuǎn)賬指令，導致8100萬美元被竊取。從國內(nèi)到國外，銀行機構(gòu)金融信息數(shù)據(jù)泄露事件愈演愈烈，個人金融信息保護是一個亟待解決的問題。

2 個人金融信息保護存在的挑戰(zhàn)

一是從金融消費者來講，保護個人金融信息安全意識淡薄。隨著時代的發(fā)展，個人在多家銀行開立了多個賬戶，銀行需要的資料悉數(shù)上報金融機構(gòu)，無形增加了信息泄露的風險。消費者不良的生活習慣也增加了信息泄露風險，如在ATM機，POS機具等現(xiàn)代支付密碼設置過于簡單，在輸入密碼時又不會用手遮擋密碼，尤其是在使用便捷的支付寶、微信等支付方式，使用過頻也增加了信息泄露概率。

二是從金融機構(gòu)出發(fā)，員工素質(zhì)參差不齊容易導致金融信息倒賣、出售。很多信息安全泄露事件都是銀行職工在金錢利益的驅(qū)使下，利用職務之便勾結(jié)銀行機構(gòu)外部人員，里應外合，從系統(tǒng)導出客戶敏感金融信息，以非常低廉的價格售出。

三是法律法規(guī)缺位，缺乏相關的法律懲罰措施。部分金融機構(gòu)內(nèi)控制度沒有涉及相關個人信息泄露案件的處理措施、懲罰方法，金融信息泄露后才臨時尋找解決辦法，沒有建立長效機制。在國家法律層面，盡管出臺了《網(wǎng)絡安全法》中提到重要領域個人金融信息泄露的懲罰手段等措施，但對個人的懲處措施不夠嚴格，沒有起到震懾作用。

四是從技術(shù)層面，部分重要系統(tǒng)開發(fā)不完善，存在大量的后臺漏洞，投產(chǎn)后缺少相應的跟蹤維護。開發(fā)程序會有bug，黑客將木馬植入開源代碼中，從中竊取客戶信息資料，如孟加拉國央行失竊案，黑客入侵攻陷了銀行賬戶系統(tǒng)操作權(quán)限，向孟加拉國央行發(fā)送虛假指令，以假亂真達到竊取的目的。

五是新興技術(shù)的落地使用，增加了金融數(shù)據(jù)泄露隱患。云計算、大數(shù)據(jù)和人工智能等新興技術(shù)的迅速崛起，金融科技由蓬勃發(fā)展到落地應用聯(lián)系越來越緊密，彼此的技術(shù)邊界在不斷削弱，技術(shù)創(chuàng)新將越來越多的集中在技術(shù)交叉和融合區(qū)域，各家機構(gòu)在占領新技術(shù)領域高地的同時如何確保重要系統(tǒng)、金融信息安全又將會是一個全新的挑戰(zhàn)。

3 如何加強個人金融信息安全保護

（1）加強監(jiān)管，落實監(jiān)督部門職責權(quán)限。當前，人民銀行從征信的角度加強了對個人客戶信息保護工作的力度，對個人金融信息收集、保存、使用等工作環(huán)節(jié)做了具體規(guī)定，但由于缺乏明確的法律依據(jù)，沒有設立行政檢查處罰權(quán)，人民銀行對違反個人金融信息保護規(guī)定的金融機構(gòu)只能采取“核實、約談、責任整改”等柔性處理措施，約束力較弱，效果不明顯。人民銀行應盡快確定監(jiān)管部門，制定具有強約束力的法律法規(guī)，讓監(jiān)管部門有法可依。

（2）完善法律體系，健全個人金融信息保護規(guī)定。2017 年 6月實施的《網(wǎng)絡安全法》規(guī)定了網(wǎng)絡運營者對公民個人信息的保密義務，但操作性不強，沒有具體到監(jiān)管部門的詳細分工，同時也不是針對保密級別較高的金融行業(yè)，建議盡快制定《個人金融信息保護法》，用法律來強制約束個人金融信息安全保護，對金融信息泄露事件的個人進行從嚴處理，保證法律體系完善性與協(xié)調(diào)性。

（3）完善銀行機構(gòu)內(nèi)控管理機制。一是加強銀行機構(gòu)內(nèi)部教育管理，將知情權(quán)最小化，根據(jù)業(yè)務需求，對客戶信息資料分級分類，授予不同權(quán)限管理，最小知情權(quán)。二是從源頭出發(fā)，保護個人金融信息系統(tǒng)的健壯性，系統(tǒng)在交互使用前充分經(jīng)過壓力測試與安全測試，確保其容錯能力和恢復能力，同時系統(tǒng)投產(chǎn)后需要不斷升級與完善。三是持續(xù)關注業(yè)內(nèi)信息安全、病毒感染事件，及時做好系統(tǒng)防護，對公安部、網(wǎng)信辦等單位下發(fā)的病毒通報事件提高行業(yè)敏感性，及時制定安全策略，構(gòu)建安全生態(tài)體系；多參與銀行業(yè)網(wǎng)絡安全攻防演習行動，與信息安全專家交流學習，掌握更多防御手段，提高各環(huán)節(jié)協(xié)同高效的防護能力。

（4）加強金融安全宣傳教育，提高自我保護意識。各金融機構(gòu)要以“網(wǎng)絡安全宣傳周”、“全國科技活動周”等活動為載體，加大宣傳力度，增強金融消費者個人金融信息安全觀念。對消費者本人而言，對于詐騙電話、無抵押貸款等陷阱提高自身警覺，確實有金融需求應前往正規(guī)營業(yè)網(wǎng)點辦理，提高自我保護意識。

[1]曾德昊，劉澤一.互聯(lián)網(wǎng)金融個人信息安全問題及其治理[J].上海金融，2018（1）：94-95.

[2]陳麗.移動支付領域中的個人金融信息保護研究[J].商業(yè)經(jīng)濟，2019（1）：168-169.