給錢(qián)就能“拉流水”？銀行的個(gè)人金融信息漏洞該咋堵？

5月9日，銀保監會(huì )消費者權益保護局發(fā)布通報：2020年3月，中信銀行在未經(jīng)客戶(hù)本人授權的情況下，向第三方提供個(gè)人銀行賬戶(hù)交易明細，違背為存款人保密的原則，涉嫌違法違規，將按照相關(guān)法律法規，對中信銀行啟動(dòng)立案調查程序，嚴格依法依規進(jìn)行查處。

給錢(qián)就能“拉銀行流水”嗎?銀行等金融機構中仍存哪些個(gè)人信息保護漏洞?應如何堵住?新華社記者對此展開(kāi)調查。

記者體驗：“付錢(qián)拉銀行流水”有真有假

記者調查發(fā)現，當前一些網(wǎng)絡(luò )平臺個(gè)人“銀行流水”信息的售價(jià)從600元至5000元不等，查詢(xún)時(shí)段為1個(gè)月至12個(gè)月，時(shí)段越長(cháng)價(jià)格越高，買(mǎi)家只需要提供查詢(xún)對象身份證號碼就能查詢(xún)。

QQ名為“楊大”的賣(mài)家告訴記者，被販賣(mài)的各種個(gè)人信息中，“銀行流水”等金融信息最值錢(qián)。他表示，做這行的都得在銀行等金融機構里“有人”。

記者查詢(xún)中國裁判文書(shū)網(wǎng)發(fā)現，銀行“內鬼”參與倒賣(mài)個(gè)人金融信息的情況并不少見(jiàn)：中行無(wú)錫分行職工唐某某利用工作便利，將該單位在提供服務(wù)過(guò)程中獲得的5萬(wàn)余條公民個(gè)人信息，通過(guò)電子郵件非法提供給他人;建行余姚城建支行原行長(cháng)沈某某，將該行受理的貸款客戶(hù)財產(chǎn)信息共計127條提供給他人用于招攬業(yè)務(wù)。

記者還發(fā)現，由于賣(mài)家大多要求“先付款后查詢(xún)”，也有不少所謂“偵探公司”借此詐財。

名為“百勝私家偵探公司”的賣(mài)家向記者開(kāi)價(jià)600元表示可查某股份制銀行客戶(hù)的信息。記者支付部分定金后，賣(mài)家表示40分鐘左右會(huì )將會(huì )發(fā)來(lái)相關(guān)流水信息。約25分鐘后，記者發(fā)現自己被該賣(mài)家“拉黑”。

銀行中仍存個(gè)人金融信息保護漏洞

據了解，2016年以來(lái)，有關(guān)部門(mén)發(fā)現并通報一大批涉及金融等重點(diǎn)行業(yè)信息系統及安全監管漏洞，抓獲各行業(yè)內部涉嫌違規人員3000余名。但記者調查發(fā)現，當前銀行等金融機構中仍存一些隱患值得警惕。

——為“拉客戶(hù)”“沖業(yè)績(jì)”違規泄露用戶(hù)信息成部分銀行“潛規則”。浙江某農村信用社的一線(xiàn)柜員小張告訴記者，銀行內部只有一線(xiàn)柜員有權限查詢(xún)客戶(hù)流水及其他信息，且查詢(xún)時(shí)需其他員工共同授權，系統會(huì )自動(dòng)留痕。

“但如果行長(cháng)級別的領(lǐng)導以業(yè)務(wù)需要為名要求查詢(xún)導出某客戶(hù)流水，柜員往往難以拒絕。為‘籠絡(luò )大客戶(hù)’，而幫其私拉他人流水，這在一些銀行也不是秘密。”小張說(shuō)。

——銀行內控漏洞致用戶(hù)信息流進(jìn)“黑市”。曾在廣州某銀行任職一線(xiàn)柜員的周女士透露，其所在銀行的柜員可以隨意查看客戶(hù)半年內交易流水，無(wú)需授權。

記者還了解到，目前部分銀行對記錄客戶(hù)信息的紙質(zhì)資料保護不足，未能及時(shí)銷(xiāo)毀或失控流出的現象時(shí)有發(fā)生。部分已“上云”的資料，也存在因操作規范執行、監督不嚴而導致信息泄露風(fēng)險大增情況。

浦發(fā)銀行某原電銷(xiāo)中心業(yè)務(wù)主管任職期間違規獲取、儲存大量客戶(hù)個(gè)人信息致其全部外流入電信詐騙團伙手中。

——部分銀行App涉嫌過(guò)度索權致泄露信息風(fēng)險上升。記者隨機測試了多款銀行App，發(fā)現其中多家存在不同程度“誘導”用戶(hù)授權獲取手機信息權限，如不同意其隱私條款則不能繼續使用。其中中信銀行、中國工商銀行等建議用戶(hù)同意讀取撥打電話(huà)及通話(huà)管理，照片、媒體內容及文件，獲取位置信息等信息，否則相關(guān)功能將無(wú)法使用。且該類(lèi)授權屬于“一次授權、長(cháng)期有效”，后期再使用時(shí)，系統不再提示授權。

北京師范大學(xué)網(wǎng)絡(luò )法治國際中心高級研究員臧雷表示，根據相關(guān)國家標準，金融借貸類(lèi)App可以獲取的最小權限范圍為存儲權限。機構應盡量遵循最小索權原則，盡量不因存儲權限之外的權限影響用戶(hù)使用App的關(guān)鍵功能。

某銀行風(fēng)控部門(mén)工作人員向記者透露，目前大多數銀行App都涉及技術(shù)外包合作方，盡管在遴選時(shí)對合作企業(yè)背景、安全性有一定考量，但合作企業(yè)部分員工泄露信息的風(fēng)險仍然不小。

“目前不少銀行員工保護用戶(hù)信息安全全憑自身職業(yè)操守。”周女士說(shuō)。

強化保護急需提升“法律+技術(shù)”防護力

如何才能堵上銀行等金融機構中的個(gè)人信息安全漏洞?中國人民銀行某省級分行工作人員建議，對于問(wèn)題較為嚴重的銀行應追究其法律責任，不能僅“內部處理”了事。

專(zhuān)家表示，當前我國已有部分法律法規規范性文件涉及個(gè)人金融信息的刑事保護、內控制度保護和技術(shù)規范，且相關(guān)立法仍在推進(jìn)中。

2月，央行和全國金融標準化技術(shù)委員會(huì )發(fā)布了個(gè)人金融信息保護技術(shù)規范，對金融業(yè)機構的個(gè)人金融信息保護提出了規范性要求?！秱€(gè)人金融信息(數據)保護試行辦法》也將在征求意見(jiàn)結束后正式對外發(fā)布。

2019年12月發(fā)布的《中國人民銀行金融消費者權益保護實(shí)施辦法(征求意見(jiàn)稿)》要求金融機構應當建立健全消費者金融信息保護機制。

2017年5月，兩高發(fā)布了關(guān)于辦理侵犯公民個(gè)人信息刑事案件的相關(guān)司法解釋?zhuān)欠ǐ@取、出售或者提供財產(chǎn)信息50條以上的屬“侵犯公民個(gè)人信息罪”“情節嚴重”，“處三年以下有期徒刑或者拘役，并處或者單處罰金”。

北京師范大學(xué)法學(xué)院數字經(jīng)濟與法律研究中心主任汪慶華表示，目前的個(gè)人信息侵權民事救濟機制仍然著(zhù)眼于彌補實(shí)際損失，難以對故意侵權者在法律上形成有力約束。建議對非法披露他人信息、故意侵害他人信息權利的行為設定最低賠償金額，加大懲罰力度。

上海段和段律師事務(wù)所律師劉春泉建議，應督促銀行篩查自身和第三方合作公司在個(gè)人金融信息采集、傳輸、維護、留痕的全流程管理中，可能出現的泄露風(fēng)險點(diǎn)，及時(shí)更新防火墻、身份認證系統、數字簽名等安全監控技術(shù)，防止因不規范操作泄露或惡意竊取等內部人作案。

免責聲明：本文不構成任何商業(yè)建議，投資有風(fēng)險，選擇需謹慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考

關(guān)鍵詞： 給錢(qián)就能“拉流水”