作為互聯網金融的主體,企業保護信息安全責無旁貸。互聯網金融企業在信息安全保護上,遠遠不夠。目前互聯網金融企業,沒有多少企業是達到銀行信息安全及格線的。
互聯網金融行業是個人信息泄露的重災區
“打包價95萬元, 上海第一陣容互聯網金融公司數據,超百萬份客戶資料。” 近日, 筆者微信上陌生人發來第一個微信。 “知名的上海P2P平臺, 數據都是9月初最新的”“姓名,id,身份證,電話,成交所有數據等”。筆者一再追問平臺名稱, 對方以敏感為由不愿確切回答。筆者沒有進一步去冒險親自去交易,所以也無從確認是否屬實,但是筆者已經把相關通話資料作為線索轉交給有關監管機關去處理。
圖1
一個月前,年輕的徐玉玉因為個人信息被不法分子盜竊,導致被騙學費而失去寶貴性命的事件引起全社會廣泛關注。 這種慘劇還令人記憶猶新,明目仗膽販賣個人信息的不法之徒主動就找上門來了,而且是發生在新興的互聯網金融行業。 這樣大范圍具有商業價值的信息泄露,必然導致該資料在黑市上到處流轉和販賣,不僅造成數據源公司巨大損失,而且讓消費者承受擾人的廣告宣傳。
更加令人擔心的是,萬一流傳到騙子手里,不知誰會成為下一個“徐玉玉”。真讓人既憤怒而又奈何。而這并非特例。 中國互聯網協會發布的《網民權益保護調查報告(2015)》顯示,78.2%的網民個人身份信息被泄露過、63.4%的網民個人網上活動信息被泄露過。信息泄露的社會毒瘤,已經蔓延到互聯網金融領域。
2013年阿里支付寶前員工在工作3年內下載支付寶用戶20G的資料出售;2015年4月芝麻金融 9000個高凈值客戶資料泄露; 2016年初銅掌柜被爆出平臺60萬用戶大量敏感信息泄露。然而我們所知道的,只是被新聞披露出來的冰山上一角,不少互聯網金融企業在信息泄露時候為了維護聲譽,往往不愿公開,粉飾太平。
8月19日,移動互聯網系統與應用安全國家工程實驗室發布了《移動互聯網金融APP信息安全現狀白皮書》。參與白皮書撰寫的作者朱易翔說到:”測試發現,參與測試的大部分APP均存在加密算法誤用、加密協議實現不正確、不完整的情況,并且在保護用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現不佳。”
這樣的測試結果并不讓人意外,據筆者對互聯網金融領域的了解,很多一線平臺在技術上投入不夠,管理層對信息安全重視嚴重不足。中小平臺在安全技術上更加薄弱,很多都是購買通用開源代碼模板或者外包。互聯網金融業漠視信息安全的現狀埋下了眾多隱患。而我國的互聯網金融產業經過3年的迅速增長,覆蓋面已經很廣。
麥肯錫公司在其發布的《中國銀行業創新系列報告》中稱:2015年底,中國互聯網金融的市場規模達到12-15萬億元,占GDP的近20%。互聯網金融用戶人數已經超過5億,這樣龐大的用戶群和涉及面,如果信息安全事件愈演愈烈甚至失控,將會對國家和社會造成不可估量的損失。互聯網金融信息安全已經刻不容緩。
互聯網金融行業的監管者,無疑是解決信息安全問題的關鍵。2015年7月,由央行牽頭,聯合9部委聯合公布《關于促進互聯網金融健康發展的指導意見》中, 在20條指導意見中用第17條整專門強調網絡與信息安全:“從業機構應當切實提升技術安全水平,妥善保管客戶資料和交易信息,不得非法買賣、泄露客戶個人信息。人民銀行、銀監會、證監會、保監會、工業和信息化部、公安部、國家互聯網信息辦公室分別負責對相關從業機構的網絡與信息安全保障進行監管,并制定相關監管細則和技術安全標準”。
2016年末有望加速出臺的中國首部《網絡安全法》,明確指出“網絡運營者對其收集的公民個人信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。網絡運營者應當采取技術措施和其他必要措施,確保公民個人信息安全,防止其收集的公民個人信息泄露、毀損、丟失。”
這樣明確的立法顯然沒有剎住非法買賣泄露客戶信息的歪風。 這個跟監管者沒有下重拳真正嚴格執行不無關系。所謂“亂世用重典”,對于信息泄露的亂象,政府必須使用強硬的懲罰措施,殺雞儆猴,以儆效尤,才能讓從業者從根本上真正重視信息安全,才能讓不法分子犯法之前三思而后行。美國政府對2008年金融風暴始作俑者的懲戒,堪稱全世界“重典”的楷模。
金融風暴8年來,美國政府累計罰金達到驚人的1500億美元,國際大行紛紛淪陷。就連沒拿政府一分錢資助,靠自身實力挺過難關的德意志銀行,最近也收到140億美金的巨額罰單。近期全世界都擔心她因巨額罰單而像雷曼一樣轟然倒塌。在這樣高壓懲罰下,所有銀行戰戰兢兢,不敢輕易越雷池一步。
信息安全和隱私保護是世界性難題,美國政府的做法可圈可點。任何人可以通過申請美國聯邦貿易委員會(一個專門保護消費者的組織)的“不許打電話”(DoNotCall)的服務而免受電話騷擾。這服務從創立2003年到現在,有105起違規的企業受到懲罰,罰金累積7400萬美元。也正是由于有這樣的法規和執行力保護, 美國人的手機號很少改變,用一輩子都不罕見。而在國內由于煩人的騷擾電話,身邊的不少朋友幾年要換一次手機號。當然,中國的監管者也有“重拳出擊”達到顯赫效果的案例,比如治理酒駕。任何從海外回來的人, 都會納悶, 為什么一向以不遵守規則的中國人,飯桌上談到酒駕就聞虎變色,變得循規蹈矩。這都要歸功于公安部采用的,從外國人角度來看幾近苛刻的,查處酒駕治理方法。
酒駕和個人信息泄露,前者是烈性毒藥,車禍的后果害人害己,人命關天,引起高度重視; 后者是慢性毒藥,在社會蔓延開來一點點毒害人民財產權隱私權,積累到最后出了人命,爆發出類似“徐玉玉”的事件,才引起關注和重視。 不知道需要多少個“徐玉玉”才能讓監管真正花大力治理?靠人命來推動立法的真正執行,這樣的代價值得嗎?難道不能一開始就避免嗎?
互聯網金融信息安全標準的缺失,也是企業不作為的原因之一。 很多企業有實力也有意愿, 卻苦于沒有一套公認的標準來參照和衡量 。政府應該引導參與各方,盡快出臺信息安全標準。這不僅讓企業有標準可以依,也能幫助監管機構評估企業風險,批準企業注冊,決定懲罰程度等等。 可喜的是,在筆者9月份拜訪央行,參加中國互聯網金融協會的一次閉門座談會上, 李東榮會長和陸書春秘書長多次提到協會高度關注信息安全并致力于推動行業的標準。期待這一標準能盡快出臺。
作為互聯網金融的主體,企業保護信息安全責無旁貸。互聯網金融企業在信息安全保護上,遠遠不夠。目前互聯網金融企業,沒有多少企業是達到銀行信息安全及格線的。
比如筆者以前在華爾街投行上班,工作用電腦光盤和USB是被技術限制無法使用的,裝任何軟件都要技術部門評估批準, 即時通訊軟件是內部專用而不是微信QQ等外部軟件,私人電腦是不允許存任何工作資料,要在家里工作只能經過繁瑣的硬件和軟件密碼遠程連上公司內部電腦,需要給外部發郵件若含有附件數據,是必須加密且只能發給非私人郵箱。
有一次筆者發附件給客戶群,其中一個客戶使用個人郵箱,發信后技術部門立即電話來了,要求筆者解釋,否則該郵件將被攔截。
當然,以國際投行的信息安全標準要求也許過高,但是互聯網金融公司既然是用技術從事金融活動,基本的金融信息安全還是必須達標的。這里銀行的很多做法可以參考,比如管理層的重視,資金人才和安全系統的投入,內部流程的管控,信息的加密和使用的隔離,人員的培訓等。還可以借助第三方監測機構,主動對系統的信息安全性進行全方位的考核和監督。
最后,互聯網金融企業在遭受信息盜用的時候,有義務按規定通知受害的用戶,披露給監管單位,而不能遮遮掩掩,用錢私了。這樣不僅違反信息披露法規,損害客戶的利益,而且也助長了不法分子的囂張勢頭。
個人在信息安全保護里是最無助的受害者,但卻也不是只能束手待斃。為了維護每個人的切身利益,我們應該有更多人挺身而出,積極行使人民當家做主的權利,讓各級人大代表向政府傳達我們的強烈保護信息安全的呼聲。 同時我們作為客戶還可以用腳投票,堅決不成為不重視信息保護的企業的客戶。 最后,我們要敢于和不法分子做斗爭,遇到不法分子和企業盜用販賣信息,不僅不參與,還要檢舉揭發,懲惡揚善,盡自己一點微薄的力量。
在互聯網金融的資金安全已經被重視,信息安全也應該逐步完善規范和有效執行。 監管機關,互聯網金融企業,第三方機構和個人,只有所有參與者齊心協力,才能贏得互聯網金融信息安全這場戰爭。
(本文作者介紹:互聯網金融千人會聯合創始人, 曾任聯想控股旗下P2P翼龍貸副總裁,德意志銀行(美國)戰略科技部副總裁,注冊金融分析師(CFA), 金融風險管理師(FRM)。)
京公網安備 11010502049343號