國(guó)外金融信息泄露案件成因及對(duì)我國(guó)的啟示

近年來(lái)，隨著區(qū)塊鏈、大數(shù)據(jù)、云計(jì)算等新興科技的廣泛發(fā)展與應(yīng)用，給客戶(hù)帶來(lái)了無(wú)限便捷的可能，但同時(shí)也給不法分子提供了可乘之機(jī)，其潛在的信息泄漏風(fēng)險(xiǎn)也日益加大。據(jù)Verizon《2018年數(shù)據(jù)泄漏調(diào)查報(bào)告》顯示，當(dāng)年共發(fā)生2216起數(shù)據(jù)泄漏事件，其中金融數(shù)據(jù)泄露占比15%，金融信息泄露已成為影響全球金融穩(wěn)定的重要威脅。為此，本文針對(duì)2018年以來(lái)國(guó)外金融領(lǐng)域信息泄漏案件的主要特點(diǎn)及問(wèn)題成因并對(duì)我國(guó)加強(qiáng)金融信息保護(hù)提出相關(guān)建議。

一、國(guó)外金融信息泄露的典型案例

（一）因業(yè)務(wù)系統(tǒng)缺陷而引發(fā)信息泄露。如，美國(guó)金融服務(wù)巨頭Capital One在2018年3月泄漏近50.4GB個(gè)人及企業(yè)數(shù)據(jù)，其主要原因是其服務(wù)供應(yīng)商Birst公司設(shè)在云安全廠商UpGuard公司的Amazon Web Services（簡(jiǎn)稱(chēng)AWS）S3存儲(chǔ)桶未受保護(hù);美國(guó)馬里蘭聯(lián)合保險(xiǎn)協(xié)會(huì)（MDJIA）在2018年1月19日因一個(gè)內(nèi)含IT運(yùn)營(yíng)重要敏感數(shù)據(jù)的聯(lián)網(wǎng)存儲(chǔ)設(shè)備（NAS）通過(guò)開(kāi)放端口與互聯(lián)網(wǎng)連接，導(dǎo)致數(shù)千客戶(hù)信息被泄漏到網(wǎng)上;著名跨境支付平臺(tái)PayPal旗下移動(dòng)支付服務(wù)程序Venmo app默認(rèn)公開(kāi)用戶(hù)交易信息，引發(fā)數(shù)據(jù)安全問(wèn)題，2018年7月某用戶(hù)通過(guò)這一隱私策略查詢(xún)Venmo API并下載了該公司所有2017年的公開(kāi)交易記錄，總計(jì)2.08億條。

（二）因遭受網(wǎng)絡(luò)攻擊而引發(fā)信息泄露。如，2018年4月美國(guó)航空公司Delta及零售百貨公司Sears先后遭遇黑客入侵，導(dǎo)致數(shù)十萬(wàn)名客戶(hù)的信用卡資料被曝光;2018年5月，加拿大蒙特利爾銀行（Bank of Montreal）和網(wǎng)上銀行Simplii Financial均發(fā)表聲明稱(chēng)遭到黑客勒索，入侵黑客警告稱(chēng)已經(jīng)訪問(wèn)了近9萬(wàn)名客戶(hù)的賬戶(hù)及相關(guān)個(gè)人信息，這是加拿大金融系統(tǒng)近年來(lái)遭受最大規(guī)模的網(wǎng)絡(luò)攻擊;2018年7月，智利政府發(fā)布消息稱(chēng)，某黑客盜取了智利約1.4萬(wàn)張信用卡的資料，并將客戶(hù)信用卡卡號(hào)、有效期限及安全碼等個(gè)人資料公布在社交媒體上，受攻擊影響的銀行包括桑坦德銀行（Santander）、伊塔烏銀行（Itau）、豐業(yè)銀行（Scotiabank）和智利銀行（Banco de Chile）等大型商業(yè)銀行。

（三）因金融機(jī)構(gòu)內(nèi)部管理制度失效引發(fā)信息泄露。如，2018年5月，澳大利亞第一大商業(yè)銀行——澳大利亞聯(lián)邦銀行證實(shí)，其包含客戶(hù)姓名、地址、賬號(hào)和2000年至2016年的交易詳情記錄的兩個(gè)存儲(chǔ)磁帶，在一次數(shù)據(jù)中心轉(zhuǎn)運(yùn)任務(wù)中被其分包商Fuji-Xerox丟失，其中至少存儲(chǔ)有1200萬(wàn)名用戶(hù)的銀行交易數(shù)據(jù)，并難以尋回;2018年4月，美國(guó)Sun Trust銀行表示，一名離職員工通過(guò)與第三方合作對(duì)公司的客戶(hù)聯(lián)系人名單進(jìn)行了盜竊，名單包含的客戶(hù)個(gè)人信息包括客戶(hù)的姓名、地址、電話號(hào)碼以及某些賬戶(hù)余額等，超過(guò)150萬(wàn)名客戶(hù)的個(gè)人信息可能已經(jīng)因此遭到泄露。

二、國(guó)外金融信息泄露案件成因

（一）行業(yè)監(jiān)管不力，法律約束力不強(qiáng)。當(dāng)前世界各國(guó)對(duì)出現(xiàn)的金融信息泄露事件尚缺乏統(tǒng)一的金融監(jiān)管標(biāo)準(zhǔn)和對(duì)接機(jī)制，可以參考依據(jù)的法律法規(guī)不足，面對(duì)重大金融信息泄露案件時(shí)監(jiān)管往往處于滯后和被動(dòng)地位，既無(wú)法通過(guò)有效的監(jiān)管倒逼機(jī)制督促金融機(jī)構(gòu)及時(shí)化解風(fēng)險(xiǎn)、消除影響;也無(wú)法對(duì)事件相關(guān)責(zé)任人進(jìn)行嚴(yán)格的責(zé)任處罰，以對(duì)竊密行為形成強(qiáng)有力的震懾，“高收益低風(fēng)險(xiǎn)”的特征一定程度上助長(zhǎng)了境內(nèi)外黑客對(duì)金融系統(tǒng)的攻擊行為。

（二）科技力量薄弱，缺乏及時(shí)響應(yīng)能力。從國(guó)際金融科技發(fā)展的大環(huán)境看，金融系統(tǒng)的科技運(yùn)用及維護(hù)能力普遍弱于第三方開(kāi)發(fā)公司，在金融機(jī)構(gòu)與第三方公司的合作過(guò)程中，因金融機(jī)構(gòu)軟硬件系統(tǒng)老化、漏洞、缺陷等原因，系統(tǒng)建設(shè)存在漏洞的概率較高。同時(shí)，金融機(jī)構(gòu)的信息專(zhuān)業(yè)人才較為匱乏，面對(duì)黑客攻擊時(shí)，在安全策略調(diào)整、信息泄露預(yù)警、應(yīng)對(duì)措施和應(yīng)急流程等方面難以有效應(yīng)對(duì)，導(dǎo)致風(fēng)險(xiǎn)事件迅速擴(kuò)大，釀成嚴(yán)重?fù)p失。

（三）內(nèi)部管理失位，風(fēng)險(xiǎn)防控意識(shí)較差。金融機(jī)構(gòu)對(duì)金融信息的安全管理意識(shí)尚處于淺層和表面，對(duì)不同業(yè)務(wù)部門(mén)之間的信息安全協(xié)同機(jī)制構(gòu)建、一線操作人員的信息安全培訓(xùn)重視程度不夠，導(dǎo)致出現(xiàn)內(nèi)部員工監(jiān)守自盜或失密泄密等嚴(yán)重操作風(fēng)險(xiǎn)。

三、對(duì)我國(guó)的幾點(diǎn)啟示

一是健全完善監(jiān)管制度，加大違法懲戒力度。建議針對(duì)金融科技領(lǐng)域制定專(zhuān)項(xiàng)信息保護(hù)法，引導(dǎo)金融機(jī)構(gòu)切實(shí)加強(qiáng)對(duì)員工的信息安全培訓(xùn)，同時(shí)監(jiān)管機(jī)構(gòu)要建立專(zhuān)業(yè)的金融科技工作監(jiān)測(cè)隊(duì)伍，對(duì)引發(fā)金融泄密事件的相關(guān)失責(zé)人員，實(shí)行定格處罰制度，防止金融機(jī)構(gòu)內(nèi)部員工故意泄露信息牟利。

二是加快金融信息化標(biāo)準(zhǔn)建設(shè)。建議由國(guó)家有關(guān)部委牽頭建設(shè)統(tǒng)一的認(rèn)證和數(shù)字識(shí)別中心，為各種金融信息活動(dòng)提供相應(yīng)規(guī)范，進(jìn)一步提高金融信息標(biāo)準(zhǔn)化管理。

三是提高相關(guān)系統(tǒng)的安全等級(jí)。金融機(jī)構(gòu)要定期對(duì)系統(tǒng)進(jìn)行升級(jí)，加強(qiáng)軟硬科學(xué)技術(shù)的綜合運(yùn)用，不同金融機(jī)構(gòu)可組織開(kāi)展系統(tǒng)攻防演練，在實(shí)踐中發(fā)現(xiàn)漏洞并對(duì)其進(jìn)行完善。

四是加大宣傳力度，建立應(yīng)急預(yù)警機(jī)制。多渠道、全方位開(kāi)展金融信息知識(shí)普及活動(dòng)，提高人民群眾的金融信息保護(hù)意識(shí)。金融機(jī)構(gòu)要建立健全應(yīng)急預(yù)警機(jī)制，確保在發(fā)生信息泄露案件時(shí)，第一時(shí)間快速響應(yīng)，盡快將負(fù)面影響降到最低。

（作者單位：中國(guó)人民銀行五臺(tái)縣支行）