當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

通付盾研究報告,《金融隱私保護問題分析及對策》

 2020-05-28 15:32  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

傳統(tǒng)金融行業(yè)互聯(lián)網(wǎng)化進程中,大數(shù)據(jù)、人工智能、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及區(qū)塊鏈等新技術(shù)的應(yīng)用,在推動金融產(chǎn)業(yè)創(chuàng)新、增加便民性、提升工作效率的同時,也給金融用戶隱私保護帶來了新風(fēng)險與新挑戰(zhàn)。近些年金融用戶隱私泄露事件及侵犯公民個人信息違法犯罪頻頻發(fā)生,不但直接損害金融用戶的利益,擾亂金融市場秩序,甚至可能帶來系統(tǒng)性金融風(fēng)險和引發(fā)*。在此背景下,中國人民公安大學(xué)“網(wǎng)絡(luò)空間安全與法治協(xié)同創(chuàng)新中心”聯(lián)合“江蘇通付盾科技有限公司”針對金融隱私保護問題開展相關(guān)研究,完成了《金融隱私保護問題分析及對策》研究報告,報告主要內(nèi)容如下:

金融隱私保護問題分析及對策

一、金融產(chǎn)業(yè)發(fā)展現(xiàn)狀及新技術(shù)應(yīng)用情況分析

改革開放以來,我國金融產(chǎn)業(yè)高速發(fā)展,已建立起以中國人民銀行、銀保監(jiān)會、證監(jiān)會為核心,以商業(yè)銀行、證券公司和保險公司為主體的市場化金融組織體系。銀行業(yè)方面:全國現(xiàn)有4500多家銀行機構(gòu),總資產(chǎn)突破280萬億;證券業(yè)方面:證券公司133家,總資產(chǎn)突破7萬億;保險業(yè)方面:保險機構(gòu)230家,總資產(chǎn)突破20萬億。

傳統(tǒng)金融產(chǎn)業(yè)與互聯(lián)網(wǎng)技術(shù)緊密結(jié)合,依托網(wǎng)絡(luò)平臺可實現(xiàn)資金融通、支付、投資和信息中介等服務(wù)的新型金融業(yè)務(wù)模式。通過網(wǎng)絡(luò)進行金融活動的用戶增長迅速,2020年4月發(fā)布的第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示,我國網(wǎng)民9.04億,其中網(wǎng)絡(luò)購物用戶7.10億,較2018年底增長了1億;網(wǎng)絡(luò)支付用戶7.68億,較2018年底增長了1.68億。

(一)互聯(lián)網(wǎng)時代下金融服務(wù)類型

互聯(lián)網(wǎng)時代金融服務(wù)產(chǎn)品眾多,歸納起來大致三類:

一是第三方支付。目前使用較普遍的有國內(nèi)的支付寶、微信支付、京東支付,國外的PayPal等,它們提供一系列的接口,將多種銀行卡支付方式整合到一個界面上,操作簡單易用,極大方便了網(wǎng)絡(luò)購物。

二是網(wǎng)絡(luò)投資理財。包括網(wǎng)上銀行存儲、網(wǎng)上炒股、網(wǎng)上投保、網(wǎng)上外幣、網(wǎng)上期貨、網(wǎng)上黃金白銀交易等,它們?yōu)橥顿Y者提供各類理財服務(wù)和金融資訊。

三是P2P網(wǎng)貸。國內(nèi)網(wǎng)絡(luò)借貸平臺一度超過6000家,但是,近兩年借助網(wǎng)貸平臺進行非法集資的案件持續(xù)高發(fā), 2018年共有199家網(wǎng)貸平臺公司涉嫌非法集資被公安機關(guān)立案偵查。網(wǎng)貸平臺暴雷,不僅嚴重影響了我國的金融安全,還容易引發(fā)*。

(二)新技術(shù)在金融產(chǎn)業(yè)的應(yīng)用情況

當(dāng)前,大量新技術(shù)應(yīng)用到金融領(lǐng)域,概括起來主要有五大類:人工智能、大數(shù)據(jù)、生物識別、移動互聯(lián)網(wǎng)、區(qū)塊鏈。新技術(shù)的廣泛應(yīng)用實現(xiàn)了金融信息的自動化處理,為用戶提供了便捷高質(zhì)量服務(wù)。

一是人工智能。在金融領(lǐng)域重要的應(yīng)用場景包括:(1)基于圖像識別技術(shù)的人臉、表單、票據(jù)等識別系統(tǒng),例如人臉支付、證券帳戶遠程開戶等; (2)基于語音識別和自然語言處理技術(shù)的智能客服系統(tǒng),問題解決率已超過99%;(3)基于專家系統(tǒng)的金融風(fēng)控、反欺詐和智能投顧系統(tǒng)。

二是大數(shù)據(jù)。數(shù)據(jù)主要來源是交易數(shù)據(jù),客戶登記數(shù)據(jù),報表數(shù)據(jù)等。大數(shù)據(jù)的應(yīng)用場景,銀行主要是集中在精準營銷、用戶經(jīng)營、數(shù)據(jù)風(fēng)控等方面;證券主要集中在股價預(yù)測和投資景氣指數(shù)預(yù)測等方面;保險主要集中在客戶風(fēng)險評估、保險價格估算等方面。

三是生物識別。金融行業(yè)是生物識別技術(shù)的一個重要應(yīng)用領(lǐng)域。指紋識別起步最早,目前應(yīng)用最多、市場份額最大;人臉識別發(fā)展迅速,尤其是第三方支付中廣泛應(yīng)用;虹膜識別、聲紋識別依然小眾。

四是移動互聯(lián)網(wǎng)。移動互聯(lián)網(wǎng)在金融領(lǐng)域的應(yīng)用表現(xiàn)為各類手機應(yīng)用程序App,主要包括銀行類、消費類、支付類、理財類、證券類等。其中,面向個人用戶的消費類App數(shù)量最多,占總數(shù)的36.74%。

五是區(qū)塊鏈。我國央行法定數(shù)字貨幣DCEP是依托區(qū)塊鏈以及電子加密等互聯(lián)網(wǎng)技術(shù)發(fā)行的數(shù)字化形態(tài)的法幣。我國在央行法定數(shù)字貨幣正式上線運行后,各類基于區(qū)塊鏈的業(yè)務(wù)都有望實現(xiàn)支付即結(jié)算功能,大大提升結(jié)算效率并降低運營成本。

二、金融用戶隱私保護嚴峻形勢及原因分析

(一)金融用戶隱私保護形勢嚴峻

根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《網(wǎng)民權(quán)益保護調(diào)查報告》,78.2%的網(wǎng)民的個人身份信息、63.4%的網(wǎng)民的網(wǎng)絡(luò)金融交易記錄曾被泄露過。近年來,每年發(fā)生金融隱私泄露事件大約以35%的速度在增長,有公開報道或記錄2016年1093起,2017年1511起,2018年1967起,2019年2300余起。相比歐美國家,我國隱私保護體系建設(shè)起步相對較晚,加之近年來各類新技術(shù)在金融行業(yè)迅速廣泛應(yīng)用,由此帶來的金融隱私保護問題日益凸顯。

一是銀行數(shù)據(jù)泄露。2012年,央視“3•15”晚會披露了多家銀行員工向他人出售客戶個人信息,導(dǎo)致銀行客戶資金被盜,造成損失3000多萬元。2020年5月,某銀行上海虹口支行在未獲得王某授權(quán)的情況下,將其個人賬戶流水提供給了第三方公司。

二是保險數(shù)據(jù)泄露。2013年2月,某保險公司因合作網(wǎng)站存在安全漏洞,致使大約80萬份保單信息泄露。2016年,上海等地多家保險機構(gòu)卷入“泄露門”事件,不少車主在發(fā)生交通事故、向保險公司報案后不久,便接到冒充保險公司工作人員的詐騙電話。

三是其他平臺金融數(shù)據(jù)泄露。2013年某支付平臺前員工在工作三年內(nèi)下載用戶20G的資料出售;2016年初,某金融平臺被爆出60萬用戶大量敏感信息泄露。

四是網(wǎng)貸業(yè)務(wù)及大數(shù)據(jù)風(fēng)控亂象。網(wǎng)貸業(yè)務(wù)是金融隱私泄露問題的主要根源之一。大量的網(wǎng)貸業(yè)務(wù)需求和尚不完善的個人征信體系滋生了大量民間風(fēng)控機構(gòu),很多互聯(lián)網(wǎng)公司、大數(shù)據(jù)公司紛紛布局征信行業(yè)。但是,在央行獲批個人征信牌照的機構(gòu)僅有百行征信1家,遠遠滿足不了民間網(wǎng)貸的需求。在工商以從事個人征信業(yè)務(wù)注冊的公司多達數(shù)千家,這些公司為開展風(fēng)控業(yè)務(wù),使用非法爬取、采集、交換等方式獲取或騙取公民身份類、位置類、征信類、甚至通信類信息。有的公司在開展風(fēng)控業(yè)務(wù)的同時,甚至開展催收業(yè)務(wù),其中不乏一些大型互聯(lián)網(wǎng)企業(yè)。此外,網(wǎng)貸行業(yè)還滋生出套路貸、校園貸的犯罪產(chǎn)業(yè),套路貸團伙的風(fēng)控業(yè)務(wù)也通過數(shù)據(jù)的層層買賣交換和這些數(shù)據(jù)風(fēng)控公司發(fā)生合作交集,如阿爾法象案。

(二)金融用戶隱私泄露原因分析

綜觀我國金融保護現(xiàn)狀,導(dǎo)致金融隱私數(shù)據(jù)頻頻泄露的原因主要是四點:

一是法律法規(guī)層面,存在不健全不完善的問題。我國現(xiàn)有30余部法律法規(guī)對金融隱私保護有所涉及,包括《儲蓄管理條例》《商業(yè)銀行法》《刑法修正案(七)》《保險法》《網(wǎng)絡(luò)安全法》,以及2015年11月國務(wù)院辦公廳專門印發(fā)的《關(guān)于加強金融消費者權(quán)益保護工作的指導(dǎo)意見》等。但是,目前我國沒有形成嚴謹?shù)慕鹑陔[私保護法律體系,尚未有專門金融隱私保護法律法規(guī),而且已有的法律法規(guī)流于原則性保護,針對各機構(gòu)和平臺主要以行政處罰為主。因為立法上的不完善,司法過程中不能夠行之有效地解決問題,致使現(xiàn)階段少數(shù)金融企業(yè)或不法分子無所顧忌,對客戶金融隱私權(quán)一次又一次地進行侵犯。

二是市場層面,金融隱私信息背后存在著黑色利益產(chǎn)業(yè)鏈。金融隱私信息買賣的市場需求巨大、經(jīng)濟利益豐厚,不法分子為了牟利,建立起了完整的用戶信息非法交易的黑色產(chǎn)業(yè)鏈條。在這些非法交易產(chǎn)業(yè)鏈上,部分買家來自于保險公司、P2P等金融類機構(gòu),賣家則多來自于銀行、軟件企業(yè)、電子商務(wù)企業(yè)、咨詢公司、調(diào)研機構(gòu)等不同行業(yè)的企業(yè),以及從事網(wǎng)絡(luò)黑產(chǎn)的“黑客”等。

三是技術(shù)層面,大量新技術(shù)、新應(yīng)用,給金融隱私的保護帶來了更多的風(fēng)險挑戰(zhàn)。比如,基于人工智能和生物識別技術(shù)的人臉識別支付面臨人臉仿冒的風(fēng)險,目前利用3D打印技術(shù)可以制作模擬他人的“人臉”;各類金融App存在高危漏洞、被植入后門程序以及隱蔽收集用戶信息的安全風(fēng)險;物聯(lián)網(wǎng)、大數(shù)據(jù)及云計算技術(shù)同樣會給金融隱私帶來各類威脅,尤其是數(shù)據(jù)存儲服務(wù)器常常是黑客攻擊的重點目標。

四是企業(yè)經(jīng)營層面,對隱私安全問題重視程度不夠。國內(nèi)的多數(shù)金融企業(yè)沒有充分認識到金融信息安全威脅及危害的嚴重性。存在信息安全管理不嚴格,金融產(chǎn)品開發(fā)與信息安全保護不同步,金融企業(yè)的應(yīng)急處置能力明顯不足等問題。此外,還有不少金融企業(yè)在金融信息安全保護方面存在數(shù)據(jù)分布零散化,未能實現(xiàn)集中管理,未能建立形成常態(tài)化數(shù)據(jù)風(fēng)險管控機制等問題。

三、金融用戶隱私保護對策建議

金融隱私信息的保護是一項系統(tǒng)工程,對于確保金融產(chǎn)業(yè)健康有序發(fā)展意義重大,需要加強頂層設(shè)計,統(tǒng)籌謀劃,從法律、監(jiān)管、技術(shù)防護等多個方面精準施策。

(一)進一步完備金融隱私安全保護的法律體系

對標國際金融隱私保護的法律制度體系,盡快出臺符合中國國情的專門金融隱私保護法律法規(guī),補齊法律短板和空白點,推進金融隱私信息的專門化、系統(tǒng)化保護。結(jié)合金融互聯(lián)網(wǎng)化的發(fā)展趨勢和特點,在法律層面上更加全面準確地界定金融隱私信息的定義及內(nèi)涵,明確其法律地位、權(quán)利屬性以及金融企業(yè)、金融用戶等不同主體在收集使用等過程中所要遵循的原則。細化金融企業(yè)、相關(guān)網(wǎng)絡(luò)運營商、服務(wù)商、金融企業(yè)客戶、普通民眾等在金融隱私保護方面的責(zé)任義務(wù),明確追責(zé)的內(nèi)容和規(guī)定條款,使金融隱私保護切實做到有法可依、有法必依。

(二)嚴密金融隱私保護的技術(shù)防護措施

由于金融隱私信息存在于相關(guān)數(shù)據(jù)的收集、傳輸、存儲、使用、刪除、銷毀等生命周期,相應(yīng)的技術(shù)防護措施要全面覆蓋各個環(huán)節(jié),做到萬無一失。金融機構(gòu)推出相關(guān)金融產(chǎn)品和服務(wù),應(yīng)該按照“責(zé)權(quán)一致、目的明確、選擇同意、最少夠用、公開透明、主體參與、確保安全”的原則,設(shè)計并實施金融隱私數(shù)據(jù)的技術(shù)安全防護策略。不斷豐富金融隱私保護的技術(shù)手段,有效破解重點難點問題,為金融信息安全提供更加有力的支撐和服務(wù)。

(三)推動金融機構(gòu)進一步加強金融隱私保護制度建設(shè)

規(guī)范金融隱私信息的保護管理規(guī)定,細化日常操作流程、應(yīng)急處理流程和預(yù)案,完善內(nèi)部檢查及監(jiān)督機制。嚴格金融隱私數(shù)據(jù)的收集、存儲和使用的要求,收集隱私信息遵循最小化原則。在境內(nèi)提供金融產(chǎn)品或服務(wù)過程中收集產(chǎn)生的金融隱私數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲、處理和分析,確因業(yè)務(wù)需要,要向境外提供隱私信息的,應(yīng)符合國家有關(guān)法律法規(guī)規(guī)定和有關(guān)管理部門的政策。企業(yè)間共享數(shù)據(jù),應(yīng)該進行安全防護能力的評估,并簽署數(shù)據(jù)保護責(zé)任書。建立金融隱私信息的安全評估制度,定期進行安全風(fēng)險評估和檢查,及時調(diào)整安全防護策略和措施。

(四)建立完善金融隱私保護監(jiān)管體系

成立專門金融隱私監(jiān)督機構(gòu)或歸口指定相關(guān)職能機構(gòu),專職負責(zé)全國金融產(chǎn)業(yè)隱私信息的安全監(jiān)管。創(chuàng)新監(jiān)管模式,由以往事中、事后監(jiān)管積極向事前監(jiān)管轉(zhuǎn)換。進一步明確金融企業(yè)保護金融隱私的責(zé)任和義務(wù),督導(dǎo)金融企業(yè)加強金融隱私保護的建設(shè)和投入,進一步嚴密金融隱私保護制度和措施。針對風(fēng)控行業(yè)的數(shù)據(jù)隱私問題,建議將風(fēng)險控制業(yè)務(wù)納入個人征信業(yè)務(wù)予以監(jiān)管,加大對違規(guī)采集、使用個人征信信息的懲處力度。

(五)依法整治金融隱私信息交易背后的黑色產(chǎn)業(yè)鏈

建議相關(guān)職能部門加強對金融隱私交易黑色產(chǎn)業(yè)鏈的打擊,組織開展打擊整治專項行動,涉嫌違法的組織機構(gòu)由行業(yè)主管部門嚴肅處理,涉及犯罪的人員由公安機關(guān)立案偵查。加強法制宣傳教育,通過典型案例宣傳,及時曝光利用金融隱私非法牟利的違法犯罪事實,震懾不法分子,并以此教育提醒金融企業(yè)加強隱私信息保護,增強民眾的隱私保護意識,不給金融隱私信息交易的“灰色產(chǎn)業(yè)鏈”提供生存的社會土壤。

通付盾經(jīng)過深入研究各項App隱私合規(guī)規(guī)范/指南,自研合規(guī)檢測產(chǎn)品,采用基于以符號執(zhí)行為核心的靜態(tài)分析引擎和以運行態(tài)沙盒為核心的動態(tài)檢測引擎,對移動應(yīng)用使用全過程進行隱私合規(guī)性全面檢查,旨在幫助用戶快速、準確地檢測App中存在的敏感權(quán)限調(diào)用,及時進行整改,保證App隱私安全。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦