中文 | English | Español | 日本語 | 无障碍浏览 | 我的主页 | 网站用户行为分析

您现在的位置: 首页 > 金融研究 分享到:

加强个人金融信息保护需多方面精准施策
视力保护色:

默认

【字体:

打印本页

关闭窗口


信息来源:中国金融新闻网  2020-06-09

  全国两会期间,金融领域的个人信息保护问题引起了金融界代表委员的关注和热议。在此之前,中信银行泄露客户个人信息事件最终令银保监会表态启动立案调查。金融用户隐私泄露事件及侵犯公民个人信息违法犯罪近些年的频频发生,不但直接损害金融用户的利益,扰乱金融市场秩序,甚至可能带来系统性金融风险和引发群体性事件。

  针对金融隐私保护问题,中国人民公安大学“网络空间安全与法治协同创新中心”联合“江苏通付盾科技有限公司”日前完成了《金融隐私保护问题分析及对策》研究报告(以下简称:报告)。报告分析认为,新技术应用在推动金融产业创新、增加便民性、提升工作效率的同时,也给金融用户隐私保护带来了新的风险与挑战,目前我国金融用户隐私保护形势严峻,亟需从顶层设计,统筹谋划,从法律、监管、技术防护等多个方面精准施策以确保金融产业健康有序发展。

  新技术的应用带来了新风险与挑战

  传统金融行业在网络化进程中,大数据、人工智能、移动互联网及区块链等新技术的应用,在推动金融产业创新、增加便民性、提升工作效率的同时,也给金融用户隐私保护带来了新风险与新挑战。

  报告分析,目前互联网时代金融服务产品众多,归纳起来大致三类:

  一是第三方支付。目前使用较普遍的有国内的支付宝、微信支付、京东支付,国外的PayPal等,它们提供一系列的接口,将多种银行卡支付方式整合到一个界面上,操作简单易用,极大方便了网络购物。

  二是网络投资理财。包括网上银行存储、网上炒股、网上投保、网上外币、网上期货、网上黄金白银交易等,它们为投资者提供各类理财服务和金融资讯。

  三是P2P网贷。国内网络借贷平台一度超过6000家,但是,近两年借助网贷平台进行非法集资的案件持续高发, 2018年共有199家网贷平台公司涉嫌非法集资被公安机关立案侦查。网贷平台暴雷,不仅严重影响了我国的金融安全,还容易引发群体性事件。

  当前大量新技术应用到金融领域,新技术的广泛应用实现了金融信息的自动化处理,为用户提供了便捷高质量服务。《报告》概括主要有五大类:人工智能、大数据、生物识别、移动互联网、区块链。

  人工智能在金融领域重要的应用场景包括:(1)基于图像识别技术的人脸、表单、票据等识别系统,例如人脸支付、证券账户远程开户等;(2)基于语音识别和自然语言处理技术的智能客服系统,问题解决率已超过99%;(3)基于专家系统的金融风控、反欺诈和智能投顾系统。

  大数据主要来源是交易数据,客户登记数据,报表数据等。大数据的应用场景,银行主要是集中在精准营销、用户经营、数据风控等方面;证券主要集中在股价预测和投资景气指数预测等方面;保险主要集中在客户风险评估、保险价格估算等方面。

  金融行业是生物识别技术的一个重要应用领域。指纹识别起步最早,目前应用最多、市场份额最大;人脸识别发展迅速,尤其是第三方支付中广泛应用;虹膜识别、声纹识别依然小众。

  移动互联网在金融领域的应用表现为各类手机应用程序App,主要包括银行类、消费类、支付类、理财类、证券类等。

  区块链技术是这两年市场热点。我国央行目前正在研究的法定数字货币DCEP,就是依托区块链以及电子加密等互联网技术发行的数字化形态的法币。

  四大层面的问题引发金融用户隐私保护的严峻形势

  根据中国互联网协会发布的《网民权益保护调查报告》,78.2%的网民的个人身份信息、63.4%的网民的网络金融交易记录曾被泄露过。近年来,每年发生金融隐私泄露事件大约以35%的速度在增长,有公开报道或记录2016年1093起,2017年1511起,2018年1967起,2019年2300余起。报告认为,相比欧美国家,我国隐私保护体系建设起步相对较晚,加之近年来各类新技术在金融行业迅速广泛应用,由此带来的金融隐私保护问题日益凸显。

  一是银行数据泄露;二是保险数据泄露;三是其他平台金融数据泄露;四是网贷业务及大数据风控乱象。网贷业务是金融隐私泄露问题的主要根源之一。大量的网贷业务需求和尚不完善的个人征信体系滋生了大量民间风控机构,很多互联网公司、大数据公司纷纷布局征信行业。但是,在央行获批个人征信牌照的机构仅有百行征信1家,远远满足不了民间网贷的需求。

  综观我国金融保护现状,报告提出,导致金融隐私数据频频泄露的原因主要是四点:

  一是法律法规层面,存在不健全不完善的问题。我国现有30余部法律法规对金融隐私保护有所涉及,包括《储蓄管理条例》《商业银行法》《刑法修正案(七)》《保险法》《网络安全法》,以及2015年11月国务院办公厅专门印发的《关于加强金融消费者权益保护工作的指导意见》等。但是,目前我国没有形成严谨的金融隐私保护法律体系,尚未有专门金融隐私保护法律法规,而且已有的法律法规流于原则性保护,针对各机构和平台主要以行政处罚为主。因为立法上的不完善,司法过程中不能够行之有效地解决问题,致使现阶段少数金融企业或不法分子无所顾忌,对客户金融隐私权一次又一次地进行侵犯。

  二是市场层面,金融隐私信息背后存在着黑色利益产业链。金融隐私信息买卖的市场需求巨大、经济利益丰厚,不法分子为了牟利,建立起了完整的用户信息非法交易的黑色产业链条。

  三是技术层面,大量新技术、新应用,给金融隐私的保护带来了更多的风险挑战。比如,基于人工智能和生物识别技术的人脸识别支付面临人脸仿冒的风险;各类金融App存在高危漏洞、被植入后门程序以及隐蔽收集用户信息的安全风险;物联网、大数据及云计算技术同样会给金融隐私带来各类威胁,尤其是数据存储服务器常常是黑客攻击的重点目标。

  四是企业经营层面,对隐私安全问题重视程度不够。存在信息安全管理不严格,金融产品开发与信息安全保护不同步,金融企业的应急处置能力明显不足等问题。此外,还有不少金融企业在金融信息安全保护方面存在数据分布零散化,未能实现集中管理,未能建立形成常态化数据风险管控机制等问题。

  作为一项系统工程需从多方面精准施策

  金融隐私信息的保护是一项系统工程,对于确保金融产业健康有序发展意义重大,报告从加强顶层设计、统筹谋划以及法律、监管、技术防护等多个方面提出精准施策的建议:

  首先要进一步完备金融隐私安全保护的法律体系。

  对标国际金融隐私保护的法律制度体系,尽快出台符合中国国情的专门金融隐私保护法律法规,补齐法律短板和空白点,推进金融隐私信息的专门化、系统化保护。结合金融互联网化的发展趋势和特点,在法律层面上更加全面准确地界定金融隐私信息的定义及内涵,明确其法律地位、权利属性以及金融企业、金融用户等不同主体在收集使用等过程中所要遵循的原则。细化金融企业、相关网络运营商、服务商、金融企业客户、普通民众等在金融隐私保护方面的责任义务,明确追责的内容和规定条款,使金融隐私保护切实做到有法可依、有法必依。

  二要严密金融隐私保护的技术防护措施。

  由于金融隐私信息存在于相关数据的收集、传输、存储、使用、删除、销毁等生命周期,相应的技术防护措施要全面覆盖各个环节,做到万无一失。金融机构推出相关金融产品和服务,应该按照“责权一致、目的明确、选择同意、最少够用、公开透明、主体参与、确保安全”的原则,设计并实施金融隐私数据的技术安全防护策略。不断丰富金融隐私保护的技术手段,有效破解重点难点问题,为金融信息安全提供更加有力的支撑和服务。

  三需推动金融机构进一步加强金融隐私保护制度建设。

  规范金融隐私信息的保护管理规定,细化日常操作流程、应急处理流程和预案,完善内部检查及监督机制。严格金融隐私数据的收集、存储和使用的要求,收集隐私信息遵循最小化原则。在境内提供金融产品或服务过程中收集产生的金融隐私数据,应当在境内存储、处理和分析,确因业务需要,要向境外提供隐私信息的,应符合国家有关法律法规规定和有关管理部门的政策。企业间共享数据,应该进行安全防护能力的评估,并签署数据保护责任书。建立金融隐私信息的安全评估制度,定期进行安全风险评估和检查,及时调整安全防护策略和措施。

  四要建立完善金融隐私保护监管体系。

  成立专门金融隐私监督机构或归口指定相关职能机构,专职负责全国金融产业隐私信息的安全监管。创新监管模式,由以往事中、事后监管积极向事前监管转换。进一步明确金融企业保护金融隐私的责任和义务,督导金融企业加强金融隐私保护的建设和投入,进一步严密金融隐私保护制度和措施。针对风控行业的数据隐私问题,建议将风险控制业务纳入个人征信业务予以监管,加大对违规采集、使用个人征信信息的惩处力度。

  五要依法整治金融隐私信息交易背后的黑色产业链。

  建议相关职能部门加强对金融隐私交易黑色产业链的打击,组织开展打击整治专项行动,涉嫌违法的组织机构由行业主管部门严肃处理,涉及犯罪的人员由公安机关立案侦查。加强法制宣传教育,通过典型案例宣传,及时曝光利用金融隐私非法牟利的违法犯罪事实,震慑不法分子,并以此教育提醒金融企业加强隐私信息保护,增强民众的隐私保护意识,不给金融隐私信息交易的“灰色产业链”提供生存的社会土壤。