在信息爆炸的時代，數(shù)據(jù)已成為基礎性資源和戰(zhàn)略性資源，尤其金融相關數(shù)據(jù)更是一座富礦。因而黑灰產(chǎn)盯上了這塊肥肉，未經(jīng)允許查詢個人信息、售賣個人信息、黑產(chǎn)撞庫形成產(chǎn)業(yè)鏈……即使是在監(jiān)管和企業(yè)的嚴防嚴打之下，數(shù)據(jù)泄露事件仍然層出不窮。

也正是因為數(shù)據(jù)本身所具有的巨大價值，數(shù)據(jù)的開發(fā)、共享、交換、流通已成趨勢，數(shù)據(jù)要素將成為產(chǎn)業(yè)數(shù)字化轉型發(fā)展的重要驅動力。為此，我國已逐漸開始探索數(shù)據(jù)要素流通的實踐。如，剛剛成立不久的北京國際大數(shù)據(jù)交易所旨在推動數(shù)據(jù)要素市場化配置；近期央行啟動金融數(shù)據(jù)綜合應用試點，意在推動金融數(shù)據(jù)安全共享。

隨之而來的問題是如何掌握數(shù)據(jù)開發(fā)利用與安全保護之間的平衡術？

數(shù)據(jù)泄露事件頻發(fā)

5月14日，哈爾濱農商行就因未經(jīng)同意查詢個人信息，被央行處罰6萬元。渤海銀行長春分行、郵儲銀行重慶分行、交通銀行吉林分行、浙商銀行廣州分行、華夏銀行長春分行等多家銀行也曾因同樣的原因被罰。還有一些銀行因“無法提供已查詢個人信用報告的授權資料”“違規(guī)收集與業(yè)務無關的第三人信息”而被處罰。

上述違規(guī)行為給個人信息帶來了極大安全隱患。有業(yè)內人士向21世紀經(jīng)濟報道表示，“一些人主觀惡意地泄露個人金融數(shù)據(jù)。沒有經(jīng)過授權大量查詢個人征信和企業(yè)征信，然后再把信息數(shù)據(jù)賣出去。對于這種出賣信息的行為，監(jiān)管和機構都是嚴格處罰的。”可見，企業(yè)內控不嚴，員工倒賣客戶金融數(shù)據(jù)是個人信息頻遭泄露的一個原因。

從信息收集源頭來看，企業(yè)產(chǎn)品設計的知情同意形式化嚴重，一定程度上。具體表現(xiàn)為簡而無用，多而無功。中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹表示，有些企業(yè)的產(chǎn)品設計是同意就繼續(xù)，不同意就離開，用戶選擇空間壓縮。有些企業(yè)產(chǎn)品的隱私保護政策冗長且重點不突出，這就將主動通知義務轉化為客戶的謹慎義務。一方面，用戶很難得知哪幾條與自己的切身利益相關；另一方面，專業(yè)知識限制很難對條款做出準確理解。此外，還存在著重復索取授權或非必要授權情況普遍。

從外部來看，黑灰產(chǎn)撞庫是數(shù)據(jù)安全面臨的主要威脅。近日，阿卡邁技術公司(Akamai Technologies)發(fā)布的《互聯(lián)網(wǎng)安全狀況報告：針對金融行業(yè)的網(wǎng)絡釣魚》報告顯示，2020年，Akamai在全球范圍內監(jiān)測到1930億次撞庫攻擊，其中34億次攻擊針對的是金融服務機構，同比增長超過45%。同時在2020年觀察到近63億次Web應用程序攻擊，其中超過7.36億次攻擊針對的是金融服務行業(yè)，比2019年增加了62%。

通俗來講，撞庫攻擊就是黑客通過獲取已經(jīng)泄露的個人賬號和密碼信息，從而嘗試在其他網(wǎng)站進行登錄操作。360金融信息安全專家吳業(yè)超表示，“互聯(lián)網(wǎng)金融的企業(yè)和行業(yè)里，信息是共通的。比如A企業(yè)泄露了一萬條信息會直接影響到B企業(yè)的一些情況。在這種泄露的過程中，包含了一些撞庫或者是拼裝的數(shù)據(jù)等等。因此很難規(guī)避一個企業(yè)信息泄露造成的影響，所以這是行業(yè)共同性的東西，不單單是一家企業(yè)或機構的問題。”

他進一步指出，我們日常發(fā)現(xiàn)信息泄露主要分為明文泄露和密文泄露兩種。一般來講，明文泄露是企業(yè)存儲的加密等級做得不好，一旦泄露就會被黑產(chǎn)利用或形成數(shù)據(jù)販賣的鏈條。如果是密文泄露就可能衍生出解密等第三方服務行業(yè)，解秘服務之后還會形成明文泄露。

尋找數(shù)據(jù)安全與共享平衡點

“數(shù)據(jù)”已正式納入生產(chǎn)要素范圍。金融行業(yè)依托數(shù)據(jù)管理帶來的業(yè)務價值已逐漸凸顯，數(shù)據(jù)要素將成為金融業(yè)數(shù)字化轉型的重要驅動力和關鍵支撐力。如何在保障個人金融信息安全的前提下，合法合規(guī)地促進金融數(shù)據(jù)規(guī)范共享，成為當下亟待解決的一個命題。

就個人金融信息保護的監(jiān)管現(xiàn)狀而言，我國已在一定程度上形成了由法律、法規(guī)、規(guī)章以及規(guī)范性文件等共同組成的多層次、多領域的個人信息保護法律體系。2017年發(fā)布的網(wǎng)絡安全法開啟了個人金融信息保護的監(jiān)管元年。隨后政策逐漸走向細化和深化，如《個人金融信息(數(shù)據(jù))保護試行辦法(初稿)》、個人信息保護法(征求意見稿)》、《銀行業(yè)金融機構數(shù)據(jù)治理指引》、《中國央行金融消費者權益保護實施辦法》、數(shù)據(jù)安全法(征求意見稿)等。

完善法律法規(guī)的同時，行業(yè)共建共治必不可少。吳業(yè)超表示，“目前各個機構都在金融數(shù)據(jù)安全保護方面發(fā)力，但彼此之間沒有互通。未來是否可以建立反詐信息共享平臺，集合行業(yè)力量共同完善灰黑產(chǎn)治理與金融個人信息安全保障體系，以共建、共享、共防的合作，構建良好的數(shù)據(jù)保護生態(tài)圈。”

金融數(shù)據(jù)安全之外，平衡的另一面是信息共享。但在實踐中，信息共享仍然面臨著不少困境。例如，三年前百行征信獲批成立，意在對央行征信系統(tǒng)形成有力補充，然而僅有3家股東愿意將數(shù)據(jù)接入百行征信，阿里、騰訊等5家股東則持拒絕的態(tài)度。再比如，開放銀行數(shù)據(jù)的發(fā)展過程中不得不面對數(shù)據(jù)共享的問題，表現(xiàn)為不愿、不敢、不會。不愿共享涉及到平臺主導權之爭，不敢共享則是出于對隱私安全的考慮，不會共享主要和當下數(shù)據(jù)資產(chǎn)確權、流通、定價等機制尚不明朗有關系。

有研究人員提出建議，金融數(shù)據(jù)要從強調保密到保護與利用并重。對于數(shù)據(jù)要素的開發(fā)利用，目前仍然處于探索階段。

例如，央行在北京、江蘇、浙江等地啟動金融數(shù)據(jù)綜合應用試點，旨在探索運用人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、隱私計算等新一代信息技術，在安全合規(guī)的前提下推進金融數(shù)據(jù)高效治理、安全共享，實現(xiàn)跨層級、跨機構、跨行業(yè)數(shù)據(jù)融合應用，充分激活數(shù)據(jù)要素潛能，著力提升金融核心競爭力和惠民利企能力。而在《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》也提出，統(tǒng)籌數(shù)據(jù)開發(fā)利用、隱私保護和公共安全，加快建立數(shù)據(jù)資源產(chǎn)權、交易流通、跨境傳輸和安全保護等基礎制度和標準規(guī)范。

中關村互聯(lián)網(wǎng)金融研究院首席研究員董希淼向21世紀經(jīng)濟報道記者表示：“把握數(shù)據(jù)共享與安全保護的平衡，最關鍵的是要明確制度。現(xiàn)在個人數(shù)據(jù)的所有權并不明確，需要明確數(shù)據(jù)共享與安全保護之間的邊界。如哪些信息可以收集、按照怎樣的原則收集、哪些情況下可以使用，以及哪些信息不能收集。這既需要基本的法律、規(guī)章制度，也需要行業(yè)自律。”

他進一步指出，既要反對個人信息的私自采集和濫用，也要在確保隱私安全的情況下，加快推進數(shù)據(jù)共享。這兩個方面都不能偏頗，央行啟動金融數(shù)據(jù)綜合應用試點其實就是希望能在兩者之間找到一個平衡。

免責聲明：信息網(wǎng)轉載此文目的在于傳遞更多信息，不代表本站的觀點和立場。文章內容僅供參考，不構成投資建議。如果您發(fā)現(xiàn)網(wǎng)站上有侵犯您的知識產(chǎn)權的作品，請與我們取得聯(lián)系，我們會及時修改或刪除。

Tags：[db:TAG標簽](1413295)

轉載請標注：信息網(wǎng)——信息安全事件頻發(fā) 數(shù)據(jù)共享與安全如何平衡？