这些银行里的个人金融信息“漏洞”该咋堵？

本篇文章2257字，读完约6分钟

新华社上海5月10日电:如何堵塞这些银行个人金融信息的“漏洞”？

新华社记者兰、胡洁飞

5月9日，中国保监会消费者权益保护局发出通知:2020年3月，中信银行未经客户授权向第三方提供个人银行账户交易细节，违反了为储户保密的原则，涉嫌违法违规。将根据相关法律法规启动中信银行立案调查程序，严格依法查处。

捐钱能“拉银行的水”吗？银行和其他金融机构还有哪些个人信息保护漏洞？应该如何阻止它？新华社记者展开调查。

记者的经历:“花钱拉银行的水”是真是假

据记者调查，目前一些网络平台上个人“银行流量”信息的价格在600元至5000元之间，查询周期为1个月至12个月。期限越长，价格越高。买家只需提供查询对象的身份证号码即可进行查询。

Qq卖家杨达告诉记者，在售出的各种个人信息中，金融信息如“银行流量”是最有价值的。他说，这样做的人必须在银行等金融机构中有“某人”。

记者通过中国判断文件网了解到，该行“内鬼”参与倒卖个人财务信息的情况并不少见:中国银行无锡分行员工唐某利用工作便利，在提供服务的过程中获得了5万多名市民。通过电子邮件向他人非法提供个人信息；中国建设银行余姚市城市建设支行原行长沈谋谋向他人提供了我行受理的共127笔贷款客户财产信息，用于招揽业务。

记者还发现，许多所谓的“侦探公司”骗钱，因为大多数卖家要求“先付款，然后查询”。

一个名叫“好吃！私人侦探公司”向记者出价600元，说他可以查一个股份制银行客户的信息。在记者支付了部分定金后，卖家表示相关的流量信息将在40分钟左右发送。大约25分钟后，记者发现自己被卖家“勒索”。

银行个人金融信息保护仍存在漏洞

据了解，自2016年以来，相关部门发现并通报了大量涉及金融等重点行业的信息系统和安全监管漏洞，抓获各行业违法嫌疑人3000余人。但是，记者发现，银行等金融机构仍然存在一些隐患。

——违反“吸引客户”和“抵消业绩”规定披露用户信息已成为一些银行的“潜规则”。浙江某农村信用社的一线柜员小张告诉记者，只有银行的一线柜员才有权查询客户流量等信息，查询需要其他员工的授权，系统会自动留下痕迹。

“但是，如果总裁级领导以业务需求的名义要求查询和导出客户流，柜员通常很难拒绝。在一些银行，帮助他们私下吸引其他人流动并不是什么秘密。”小张说。

——银行内部控制漏洞导致用户信息流入“黑市”。曾在广州一家银行担任一线柜员的周女士透露，她所在银行的柜员可以在六个月内自由查看客户的交易流程，无需授权。

记者还了解到，目前一些银行对记录客户信息的纸质资料保护不力，未能及时销毁或流失失控的现象时有发生。对于一些已经“上传到云端”的数据，由于操作规范的执行和监管的松懈，也存在信息泄露风险大大增加的情况。

在任职期间，上海浦东发展银行原销售中心业务主管非法获取并存储了大量客户个人信息，导致这些信息全部流入电信诈骗团伙手中。

——部分银行应用涉嫌过度维权，导致信息披露风险加大。记者随机测试了一些银行应用程序，发现其中许多都有不同程度的“诱导”用户授权访问手机信息。如果他们不同意自己的隐私条款，就不能继续使用。其中，中信银行和中国工商银行建议用户同意阅读拨号和呼叫管理、照片、媒体内容和文档，并获取位置信息，否则相关功能将不被使用。这种授权属于“一次性授权，长期有效”，以后重用时系统不会提示授权。

北京师范大学国际网络法治中心高级研究员臧磊表示，根据相关国家标准，金融借贷应用程序可以获得的最低许可范围是存储许可。组织应尽可能遵循最低要求的原则，尽量不要因为存储权限以外的权限而影响用户对应用关键功能的使用。

一名银行风险控制部门的工作人员告诉记者，目前大多数银行APPs都涉及技术外包合作伙伴。虽然在选择时考虑了合作企业的背景和安全性，但合作企业中一些员工泄露信息的风险仍然不小。

"目前，许多银行员工基于自身的职业道德保护用户信息安全."周女士说。

加强保护迫切需要完善“法律+技术”的保护

我们如何堵塞银行和其他金融机构的个人信息安全漏洞？中国人民银行一家省级分行的工作人员建议，存在严重问题的银行应被追究法律责任，而不仅仅是“内部处理”。

专家表示，目前，我国部分法律法规和规范性文件涉及个人财务信息的刑事保护、内部控制制度保护和技术规范，相关立法仍在进行中。

今年2月，央行和国家金融标准化技术委员会发布了《个人金融信息保护技术规范》，对金融机构个人金融信息保护提出了规范性要求。《个人金融信息(数据)保护试行办法》也将在征求意见后正式发布。

2019年12月发布的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》要求金融机构建立和完善消费者金融信息保护机制。

2017年5月，两所高中发布了关于处理侵犯公民个人信息刑事案件的相关司法解释。非法获取、出售或者提供50条以上财产信息的，为“侵犯公民个人信息罪”，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

北京师范大学法学院数字经济与法律研究中心主任王庆华表示，目前个人信息侵权的民事救济机制仍侧重于弥补实际损失，很难对故意侵权者形成强有力的法律约束。建议对非法披露他人信息和故意侵犯他人信息权利的行为设定最低赔偿金额，并加大处罚力度。

上海段和端律师事务所律师刘春泉建议，在个人金融信息采集、传输、维护和标记的全过程管理中，应督促银行排查可能存在的泄密风险点，并及时更新防火墙、身份认证系统和数字签名等安全监控技术，防止内部人员因违规操作而实施泄密或恶意窃取等犯罪行为。

来源：新浪直播网