金融科技背景下个人金融信息安全保护研究

◆杨 紫

金融科技背景下个人金融信息安全保护研究

◆杨 紫

（中国人民银行海口中心支行 海南 571000）

近年来，银行业金融机构客户数据泄露事件屡次发生，金融数据泄露无论是对金融机构本身还是客户都带来巨大损失，伴随新一轮科技革命和产业革命的浪潮来袭，人工智能、区块链等新兴技术与金融领域的深度融合，金融机构间的服务竞争最终会转化为科技之间的较量，自国内第一家无人银行运营后，银行业颠覆性变革势在必行，在大势所趋之下，如何更好地保护个人金融信息显得尤为重要，本文研究了金融科技背景下个人金融信息安全的保护，供相关读者参考。

金融；科技革命；信息保护

1 个人金融信息保护现状

个人金融信息指个人在银行业机构开立账户时预留的个人敏感信息，金融机构有义务保护好客户所有信息，如信息遭受泄露，客户有权利用法律手段维护自己权利，但现实中，金融信息遭受泄露、窃取、篡改事件时有发生。2018年，中国银行通山支行因对客户信息安全管理不到位导致大量信息泄露，监管部门开出罚单，追责相关责任人并且当事人终身被禁止从事银行业工作；金融消费者张某通过转账误将1300元存入吴某账号，银行工作人员将吴某联系方式泄露给张某，导致吴某遭遇无尽的电话骚扰；某银行上海浦东支行零售部副经理杨某，利用职务之便，非法下载个人征信信息一万余条，并将这些信息以不同的价格售出。

从国际来看，个人金融信息安全泄露事件也不容乐观。英国最大银行、全球银行业巨头汇丰银行协助客户偷逃税务，向客户提供避税建议，涉及客户信息约3万个账户，总计持有约1200亿美元资产，堪称史上最大规模银行泄密。黑客攻击者通过网络攻击和其他方式获得了孟加拉国央行SWIFT系统的操作权限，进一步向纽约联邦储备银行发送虚假转账指令，导致8100万美元被窃取。从国内到国外，银行机构金融信息数据泄露事件愈演愈烈，个人金融信息保护是一个亟待解决的问题。

2 个人金融信息保护存在的挑战

一是从金融消费者来讲，保护个人金融信息安全意识淡薄。随着时代的发展，个人在多家银行开立了多个账户，银行需要的资料悉数上报金融机构，无形增加了信息泄露的风险。消费者不良的生活习惯也增加了信息泄露风险，如在ATM机，POS机具等现代支付密码设置过于简单，在输入密码时又不会用手遮挡密码，尤其是在使用便捷的支付宝、微信等支付方式，使用过频也增加了信息泄露概率。

二是从金融机构出发，员工素质参差不齐容易导致金融信息倒卖、出售。很多信息安全泄露事件都是银行职工在金钱利益的驱使下，利用职务之便勾结银行机构外部人员，里应外合，从系统导出客户敏感金融信息，以非常低廉的价格售出。

三是法律法规缺位，缺乏相关的法律惩罚措施。部分金融机构内控制度没有涉及相关个人信息泄露案件的处理措施、惩罚方法，金融信息泄露后才临时寻找解决办法，没有建立长效机制。在国家法律层面，尽管出台了《网络安全法》中提到重要领域个人金融信息泄露的惩罚手段等措施，但对个人的惩处措施不够严格，没有起到震慑作用。

四是从技术层面，部分重要系统开发不完善，存在大量的后台漏洞，投产后缺少相应的跟踪维护。开发程序会有bug，黑客将木马植入开源代码中，从中窃取客户信息资料，如孟加拉国央行失窃案，黑客入侵攻陷了银行账户系统操作权限，向孟加拉国央行发送虚假指令，以假乱真达到窃取的目的。

五是新兴技术的落地使用，增加了金融数据泄露隐患。云计算、大数据和人工智能等新兴技术的迅速崛起，金融科技由蓬勃发展到落地应用联系越来越紧密，彼此的技术边界在不断削弱，技术创新将越来越多的集中在技术交叉和融合区域，各家机构在占领新技术领域高地的同时如何确保重要系统、金融信息安全又将会是一个全新的挑战。

3 如何加强个人金融信息安全保护

（1）加强监管，落实监督部门职责权限。当前，人民银行从征信的角度加强了对个人客户信息保护工作的力度，对个人金融信息收集、保存、使用等工作环节做了具体规定，但由于缺乏明确的法律依据，没有设立行政检查处罚权，人民银行对违反个人金融信息保护规定的金融机构只能采取“核实、约谈、责任整改”等柔性处理措施，约束力较弱，效果不明显。人民银行应尽快确定监管部门，制定具有强约束力的法律法规，让监管部门有法可依。

（2）完善法律体系，健全个人金融信息保护规定。2017 年 6月实施的《网络安全法》规定了网络运营者对公民个人信息的保密义务，但操作性不强，没有具体到监管部门的详细分工，同时也不是针对保密级别较高的金融行业，建议尽快制定《个人金融信息保护法》，用法律来强制约束个人金融信息安全保护，对金融信息泄露事件的个人进行从严处理，保证法律体系完善性与协调性。

（3）完善银行机构内控管理机制。一是加强银行机构内部教育管理，将知情权最小化，根据业务需求，对客户信息资料分级分类，授予不同权限管理，最小知情权。二是从源头出发，保护个人金融信息系统的健壮性，系统在交互使用前充分经过压力测试与安全测试，确保其容错能力和恢复能力，同时系统投产后需要不断升级与完善。三是持续关注业内信息安全、病毒感染事件，及时做好系统防护，对公安部、网信办等单位下发的病毒通报事件提高行业敏感性，及时制定安全策略，构建安全生态体系；多参与银行业网络安全攻防演习行动，与信息安全专家交流学习，掌握更多防御手段，提高各环节协同高效的防护能力。

（4）加强金融安全宣传教育，提高自我保护意识。各金融机构要以“网络安全宣传周”、“全国科技活动周”等活动为载体，加大宣传力度，增强金融消费者个人金融信息安全观念。对消费者本人而言，对于诈骗电话、无抵押贷款等陷阱提高自身警觉，确实有金融需求应前往正规营业网点办理，提高自我保护意识。

[1]曾德昊，刘泽一.互联网金融个人信息安全问题及其治理[J].上海金融，2018（1）：94-95.

[2]陈丽.移动支付领域中的个人金融信息保护研究[J].商业经济，2019（1）：168-169.