個人金融隱私何時不再“裸奔”

執(zhí)法行為應當向打擊整個產(chǎn)業(yè)鏈傾斜，從針對某些具體個人的個別獲取行為，轉(zhuǎn)向?qū)Ψ欠ǔ鍪?、提供、黑客侵入、販售、軟件設(shè)計等整個產(chǎn)業(yè)鏈的破獲和打擊，這樣才能標本兼治。

11月24日訊 據(jù)未央網(wǎng) 得數(shù)據(jù)者得天下。然而，在“怎么得”、“從何處得”上，卻出了大問題。一條數(shù)據(jù)交易的“灰色產(chǎn)業(yè)鏈”在中國金融業(yè)里肆意生長，人皆知不可為，卻又趨之若鶩。

多起震驚金融圈的個人信息泄露案件，于近期引發(fā)監(jiān)管部門高度關(guān)注。有關(guān)部門地毯式的摸排清查及風險警示，逐步勾勒出這條灰色產(chǎn)業(yè)鏈背后的運作軌跡。

金融機構(gòu)員工卷入隱私泄露案

“請問是××先生嗎?您平時做股票嗎?有一個馬上要拉升的個股可以推薦給您……”對于這樣的騷擾電話，我們或許早就見怪不怪。

來自中國青年政治學院互聯(lián)網(wǎng)法治研究中心的一份最新調(diào)查顯示，81%的受訪者遭遇過這種騷擾，直呼其名的理財產(chǎn)品推銷甚至惡意詐騙電話不勝枚舉。由于及時識破而未使利益受損，過半受訪者對此選擇了沉默。

但仍有不少受害者扛起了維權(quán)大旗，直指個人隱私泄露案背后暗藏金融機構(gòu)身影。多份文件顯示，近段時間以來，有多家銀行、保險機構(gòu)員工涉嫌卷入個人隱私泄露案。

來自銀監(jiān)會的一份風險提示函顯示，近期，銀行業(yè)金融機構(gòu)發(fā)生多起員工違規(guī)查詢、出售或非法提供客戶個人信息案件和風險事件，反映出對客戶個人信息保護工作管理不嚴，內(nèi)控制度建設(shè)執(zhí)行不力等問題。

銀行員工利用職務之便、外泄內(nèi)部資料已非個案。“湯某原先是某股份制銀行總行的員工，其利用職務之便，陸續(xù)從其單位調(diào)取銀行客戶的賬戶余額、歷史交易記錄等資料200余份，非法獲利6萬余元。”這起曾震驚深圳銀行圈的隱私泄露案，最終以湯某鋃鐺入獄而宣告終結(jié)。

無獨有偶，今年以來，多地多家保險機構(gòu)也被卷入保險信息泄露事件。不少車主投訴稱，在發(fā)生交通事故、向保險公司客服人員報案后不久，便接到冒充保險公司工作人員的車險詐騙電話。

上海一位車主還原了被騙始末。他是在向鼎和財險客服人員報案后，接到的車險詐騙電話。這些不法分子通過非法途徑掌握了他的交通事故理賠信息，以理賠款到賬需核對銀行賬戶信息或保險公司出現(xiàn)系統(tǒng)故障等為由，誘騙他提供銀行卡信息，并要求他在農(nóng)業(yè)銀行ATM機上進行轉(zhuǎn)賬操作，以達到非法劃轉(zhuǎn)、盜取銀行卡內(nèi)資金的目的。

據(jù)悉，對于上述集中發(fā)生的車險理賠電信詐騙案件，各省市保險行業(yè)協(xié)會已經(jīng)向行業(yè)各公司發(fā)出警告，并配合刑偵部門對行業(yè)內(nèi)外交通事故處理及保險相關(guān)信息的泄露源頭開展了風險排查，尤其是對能夠接觸、記錄車險理賠信息的人員和信息系統(tǒng)進行集中風險篩查。

據(jù)保險業(yè)人士透露，從車主報案到不法分子打來詐騙電話這一時間段內(nèi)，不只是保險公司客服工作人員有泄露信息的可能性，道路交通事故保險理賠中心(綜合服務中心)、保險公司車險理賠、保險中介機構(gòu)、車輛維修機構(gòu)、相關(guān)信息系統(tǒng)等環(huán)節(jié)的工作人員、用戶和維護人員都有嫌疑，防不勝防。

產(chǎn)業(yè)鏈背后的神秘交易對手

這些涉及消費者個人隱私的數(shù)據(jù)是如何被買賣的?產(chǎn)業(yè)鏈兩端的交易主體都有誰?灰色交易背后是否有一套“成熟”的定價機制?通過筆者的深入調(diào)查采訪，產(chǎn)業(yè)鏈背后的利益架構(gòu)漸次浮出水面。

金融或類金融企業(yè)的員工，是這條灰色產(chǎn)業(yè)鏈上的重要參與者。

據(jù)了解，這條產(chǎn)業(yè)鏈上的部分買家，正是來自于保險公司、P2P等金融類機構(gòu);賣家則多來自于銀行、軟件企業(yè)、電子商務企業(yè)、咨詢公司、調(diào)研機構(gòu)等不同行業(yè)的企業(yè)，以及近年來風生水起的快遞、美容、房產(chǎn)中介等服務業(yè)。

保險公司是這一產(chǎn)業(yè)鏈上的重要買家之一。記者從市場上了解到，任何一個渠道都可能成為保險公司獲取消費者信息的源頭。

一家保險公司內(nèi)部人士自曝黑幕：“我們的外部購買渠道通常有四個，一是銀行、車管所等，缺點是價格較高，且現(xiàn)在管控嚴格;二是汽車4S店、修理廠和中介公司;三是外部相關(guān)調(diào)研機構(gòu)及新興產(chǎn)業(yè)如專業(yè)網(wǎng)絡收集信息公司等;四是其他保險公司的理賠客戶信息。”

“我們拿到數(shù)據(jù)前都會先打一遍電話進行核實，再進行支付。通常信息準確度高的個人信息，每條按1元至5元來支付;信息準確度相對不高的個人信息，則按每條幾角錢來支付。”多家保險公司內(nèi)部人士透露。

另一家保險公司內(nèi)部人士還表示，非車險客戶主要可以通過與銀行等一些渠道合作贈送保險的方式來獲得“白名單”。“銀行信用卡客戶的數(shù)據(jù)量大，而且有效數(shù)據(jù)較多，保險公司會和銀行一起搞營銷活動，一起分攤成本，一起分享新客戶、新數(shù)據(jù)。”

監(jiān)管齊出手整肅“內(nèi)鬼”

客戶信息泄露事件多因個別員工而起，但也充分暴露出部分金融機構(gòu)內(nèi)控機制的層層漏洞，公司層面顯然難辭其咎。

案件背后所暴露出的內(nèi)控缺失，也進入了監(jiān)管部門的“法眼”。銀監(jiān)會在近日下發(fā)的《關(guān)于銀行業(yè)金融機構(gòu)客戶個人信息泄露案件風險提示的通知》中，直指部分銀行在內(nèi)控方面的四大問題。

首當其沖的是，內(nèi)控機制不健全、制度執(zhí)行不到位。部分銀行業(yè)金融機構(gòu)客戶個人信息管理使用制度不健全，崗位制約和機制監(jiān)督缺失，未能嚴格按照相關(guān)監(jiān)管要求完善內(nèi)容制度建設(shè)。執(zhí)行中，存在未經(jīng)授權(quán)或者未按規(guī)定程序查詢、獲取使用個人信息的問題。

其次，管理教育不到位，對員工行為失察。部分銀行未能有效建立良好合規(guī)文化，客戶信息保護意識淡薄，對員工日常行為疏于管理。

同時，信息系統(tǒng)建立應用管理不完善，也存在安全隱患。銀監(jiān)會在上述通知中指出，部分銀行在信息存儲、傳輸、處理過程中，未嚴格建立風險防范機制，存在非授權(quán)員工查詢、下載、保存客戶個人信息的風險隱患。信息系統(tǒng)運維管理、數(shù)據(jù)提取及使用、密碼管理、網(wǎng)絡訪問等環(huán)節(jié)管控不嚴格，存在泄漏敏感數(shù)據(jù)的安全隱患。

另一個關(guān)鍵隱患是，業(yè)務外包管控不力，缺乏有效制約。一家國有大行負責房屋按揭的人士指出：“銀行的外包業(yè)務，的確存在泄露客戶個人信息的風險隱患。”

鑒于此，銀監(jiān)會在上述通知中明確要求，銀行業(yè)金融機構(gòu)要充分認識保護客戶個人信息安全工作的重要意義，切實落實主體責任，完善客戶個人信息保護制度建設(shè)，強化執(zhí)行管理。要牢固樹立全員合規(guī)意識，進一步加強員工教育與外包行為管理，強化信息安全建設(shè)，強化內(nèi)部監(jiān)督，建立完善客戶個人信息保護長效機制。針對相關(guān)問題，要組織開展客戶個人信息泄露風險隱患排查工作，嚴肅處理發(fā)現(xiàn)的違規(guī)問題，對涉嫌違法犯罪的，及時向公安機關(guān)報案。

在保險行業(yè)內(nèi)部，近期部分地方保險行業(yè)協(xié)會也在配合刑偵部門開展工作，主要向保險公司、理賠中心等發(fā)布加強管理的指令，并要求保險公司除短信風險提示外，也須在理賠環(huán)節(jié)向車險消費者當面提示風險。

在監(jiān)管齊出手整肅“內(nèi)鬼”的同時，部分金融或類金融機構(gòu)已開始自我施壓。據(jù)了解，為強化內(nèi)控制度，近期有部分銀行上收了征信查詢權(quán)限，采用由總行代分行查詢征信報告的操作模式，同時上線征信查詢前置系統(tǒng)，加強征信業(yè)務的管理。

“己所不欲勿施于人。在公司內(nèi)部，我一直強調(diào)將心比心，每位員工都要把保護用戶信息當成保護自己的信息一樣對待，信息泄露無小事。”芝麻信用總經(jīng)理胡滔強調(diào)。

那么，如何才能杜絕這種個人金融信息被泄露的現(xiàn)象?根據(jù)《征信業(yè)管理條例》第三十八條規(guī)定，信息使用人獲得的信用信息不能用作與信息主體或征信機構(gòu)約定之外的其他用途，不得未經(jīng)授權(quán)向第三方提供。事實上，除了金融業(yè)，社會生活中大部分領(lǐng)域，都已經(jīng)有了個人信息保護的法律法規(guī)或部門規(guī)章。

但在中國青年政治學院互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春看來，這些規(guī)范在形式上過于分散，對普通民眾和企業(yè)來說，難以形成直觀的認識。應盡快制定并通過一部統(tǒng)一的《個人信息保護法》，為公民維權(quán)、打擊犯罪提供便捷的途徑。

此外，與個人信息泄露的嚴重程度相比，針對這一狀況的刑事處罰和民事追責的力度也不成比例、無法匹配。中國社科院文化法治研究中心主任周漢華指出：“實踐中往往量刑較輕、且常以緩刑來執(zhí)行。我建議，應該數(shù)罪并罰。”

劉曉春同時建議，執(zhí)法行為應當向打擊整個產(chǎn)業(yè)鏈傾斜，從針對某些具體個人的個別獲取行為，轉(zhuǎn)向?qū)Ψ欠ǔ鍪邸⑻峁?、黑客侵入、販售、軟件設(shè)計等整個產(chǎn)業(yè)鏈的破獲和打擊，這樣才能標本兼治。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。