數(shù)據(jù)隱私無小事，即便消息被證偽，也會引起廣泛關(guān)注。

近日，“80萬條銀行客戶數(shù)據(jù)被‘暗網(wǎng)’出售一事”引發(fā)討論。在境外一家黑客論壇上，兩位用戶發(fā)帖聲稱出售國內(nèi)銀行數(shù)據(jù)信息，包含多家銀行約80萬條客戶信息，包括電話、姓名、身份證號、家庭地址等。

不過，隨后多家銀行辟謠表示其出售信息與銀行內(nèi)存儲信息不吻合，不存在信息泄露問題。

在各類信息泄漏事件中，銀行客戶信息因最具含金量——往往在黑市和暗網(wǎng)中要價最高，近年來國外時常有銀行客戶信息大規(guī)模被盜事件發(fā)生。2018年5月份銀保監(jiān)會發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，要求銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全策略與標(biāo)準(zhǔn)，依法合規(guī)采集、應(yīng)用數(shù)據(jù)，依法保護(hù)客戶隱私。

“在數(shù)字經(jīng)濟(jì)時代，為了防范數(shù)據(jù)被泄露、減少數(shù)據(jù)濫用，同時最大程度發(fā)揮數(shù)據(jù)的價值，應(yīng)盡早制定個人金融信息保護(hù)的專門性立法。”中央財經(jīng)大學(xué)數(shù)字經(jīng)濟(jì)與法治研究中心執(zhí)行主任劉權(quán)對《證券日報》記者表示。

多家銀行表示保持追責(zé)權(quán)利

據(jù)《證券日報》記者了解，此次金融機(jī)構(gòu)客戶數(shù)據(jù)被販賣的消息最初來源于一家境外公開黑客論壇Raid forums，在這個論壇上有兩名用戶“togoodforthisshit”和“s868858”分別發(fā)布出售國內(nèi)銀行數(shù)據(jù)信息的貼文，涉及國內(nèi)多家銀行。其中包括約80萬條上海銀行客戶信息、46萬條興業(yè)銀行信用卡客戶信息、10萬條平安保險用戶信息、10萬條浦發(fā)銀行客戶信息、6.3萬條招商銀行客戶信息，其用以舉例的信息中主要包括電話、姓名、身份證號以及家庭地址。

這一消息經(jīng)媒體報道后迅速引起相關(guān)銀行方面的重視，上述幾家銀行均在第一時間給出回應(yīng)。

興業(yè)銀行有關(guān)人士對《證券日報》記者表示，得到消息后，該行高度重視此問題，并第一時間核查比對了信息，確認(rèn)其中所謂的“興業(yè)銀行信用卡客戶信息”與興業(yè)銀行真實的客戶信息要素并不吻合，不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當(dāng)利益;興業(yè)銀行將保留追究偽冒銀行客戶信息、損害銀行商譽(yù)的法律責(zé)任的權(quán)利。

招商銀行稱，經(jīng)比對相關(guān)數(shù)據(jù)，與我行真實客戶信息并不吻合，網(wǎng)絡(luò)上的信息不屬實。我行譴責(zé)任何偽造并販賣公民信息的犯罪行為，并保留追究損害我行聲譽(yù)法律責(zé)任的權(quán)利。

農(nóng)業(yè)銀行回應(yīng)表示高度重視“所謂農(nóng)行客戶信息的消息”，經(jīng)認(rèn)真核查比對，不存在客戶信息泄露問題。并已向監(jiān)管部門報告有關(guān)情況，準(zhǔn)備向公安機(jī)關(guān)報案，將積極配合公安部門調(diào)查取證，如有進(jìn)一步情況，會及時公布。

浦發(fā)銀行回應(yīng)表示，經(jīng)排查比對，網(wǎng)傳數(shù)據(jù)沒有該行客戶賬戶信息，且與該行客戶信息要素不符。不排除不法分子將不明來源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售，以牟取非法利益。對于偽冒該行信息、損害該行商譽(yù)的不法行為，浦發(fā)銀行表示，將保留追究其法律責(zé)任的權(quán)利。

數(shù)據(jù)安全挑戰(zhàn)數(shù)字化轉(zhuǎn)型

隨著上述客戶信息被迅速“證偽”，業(yè)內(nèi)普遍認(rèn)為，此次事件大概率為不法分子偽造、售賣所謂銀行客戶信息牟取不當(dāng)利益。

但數(shù)據(jù)隱私無小事，即便消息被證偽，也會引起廣泛關(guān)注。那么，大規(guī)模的銀行客戶數(shù)據(jù)被盜容易發(fā)生嗎?

據(jù)《證券日報》記者了解，目前國內(nèi)商業(yè)銀行對客戶數(shù)據(jù)保護(hù)工作及其重視。其安全防范水平也遠(yuǎn)在一般企業(yè)之上。

從數(shù)據(jù)泄露的角度來講，主要分兩類：一類為外部黑客攻擊;另一類為“內(nèi)鬼”盜取。

從黑客攻擊的角度上來講，中紡億聯(lián)集團(tuán)產(chǎn)品經(jīng)理、IT系統(tǒng)實施顧問馬寧對《證券日報》記者說：“銀行屬于特殊行業(yè)，對數(shù)據(jù)安全性要求很高。由于銀行的網(wǎng)絡(luò)數(shù)據(jù)是一個內(nèi)部封閉的網(wǎng)絡(luò)，屬于私有云的部署，與外部不連通，需要特殊的介質(zhì)才可以連通，所以說銀行被黑客攻擊的機(jī)率是非常低的。如果要舉個例子的話，普通的安防系統(tǒng)，就好像你住在一個小區(qū)的公寓里，那么你的安全保障主要仰仗小區(qū)的物業(yè)和安保，一旦有人突破了物業(yè)和安保，那整個小區(qū)的居民可能都面臨著風(fēng)險。而銀行的安保就好像你自己隱居在一座山里的某一個區(qū)域的別墅里，并且別墅外面有層層的保安，首先找到這座山就很困難。”

相對于黑客攻擊，目前國內(nèi)銀行客戶信息泄露事件源于內(nèi)部人員泄露。但多限于網(wǎng)點工作人員利用自己掌握的客戶信息進(jìn)行非法交易，泄露信息數(shù)量普遍在千余條以內(nèi)。

而數(shù)目達(dá)數(shù)十萬條的信息，銀行內(nèi)部人員也很難獲取。有國有大行資深技術(shù)人員對《證券日報》記者表示：“就目前來說，銀行的大量數(shù)據(jù)集中泄露可能性不太大，因為現(xiàn)在各行對數(shù)據(jù)保護(hù)非常重視，網(wǎng)絡(luò)防護(hù)安全級別也非常高。尤其在目前的監(jiān)管體制下，內(nèi)部人員非常清楚這種事的嚴(yán)重性質(zhì)，并且下載大體量數(shù)據(jù)會系統(tǒng)留痕，得不償失。”

不過上述人士也提醒，“現(xiàn)在數(shù)據(jù)應(yīng)用場景廣泛，分析合作多，過程中也有是可能被別有用心的人鉆空子的。” 對于銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)治理和個人信息保護(hù)，銀保監(jiān)會有明確監(jiān)管要求。

2020年3月6日，銀保監(jiān)會辦公廳發(fā)布的《關(guān)于預(yù)防銀行業(yè)保險業(yè)從業(yè)人員金融違法犯罪的指導(dǎo)意見》中再次強(qiáng)調(diào)“嚴(yán)防信息科技領(lǐng)域違法犯罪行為”。

不過，在一些專家看來，目前制度仍有待完善。“我國針對金融機(jī)構(gòu)的個人數(shù)據(jù)安全，有一些相關(guān)規(guī)定，但總體上法律位階較低、相關(guān)條款較為分散，缺乏個人金融信息保護(hù)的專門性立法。”中央財經(jīng)大學(xué)數(shù)字經(jīng)濟(jì)與法治研究中心執(zhí)行主任劉權(quán)對《證券日報》記者表示：“對個人金融信息的界定，收集、處理、使用、傳輸?shù)热狈ｉT的規(guī)定，導(dǎo)致監(jiān)管依據(jù)不足，同時存在監(jiān)管不作為、選擇性監(jiān)管等問題。”

“在數(shù)字經(jīng)濟(jì)時代，為了防范數(shù)據(jù)被泄露、減少數(shù)據(jù)濫用，同時最大程度發(fā)揮數(shù)據(jù)的價值，應(yīng)盡早制定個人金融信息保護(hù)的專門性立法。2019年，央行已發(fā)布《個人金融信息保護(hù)試行辦法》(征求意見稿)，希望能盡早出臺。同時，及早頒布正在制定中的《個人信息保護(hù)法》、《數(shù)據(jù)安全法》。”劉權(quán)表示。