金融隱私保護問題分析及對策

◆杜彥輝 汪德嘉 蘆天亮

( 1.中國人民公安大學網絡空間安全與法治協同創新中心 北京 100038; 2.江蘇通付盾科技有限公司 江蘇 215000 )

1 金融產業發展現狀及新技術應用情況分析

改革開放以來，我國金融產業高速發展，已建立起以中國人民銀行、銀保監會、證監會為核心，以商業銀行、證券公司和保險公司為主體的市場化金融組織體系。銀行業方面：全國現有4500多家銀行機構，總資產突破280萬億；證券業方面：證券公司133家，總資產突破7萬億；保險業方面：保險機構230家，總資產突破20萬億。

傳統金融產業與互聯網技術緊密結合，依托網絡平臺可實現資金融通、支付、投資和信息中介等服務的新型金融業務模式。通過網絡進行金融活動的用戶增長迅速，2020年 4月發布的第45次《中國互聯網絡發展狀況統計報告》顯示，我國網民 9.04億，其中網絡購物用戶7.10億，較2018年底增長了1億；網絡支付用戶7.68億，較2018年底增長了1.68億。

互聯網時代金融服務產品眾多，歸納起來大致三類：

（1）第三方支付。目前使用較普遍的有國內的支付寶、微信支付、京東支付，國外的PayPal等，它們提供一系列的接口，將多種銀行卡支付方式整合到一個界面上，操作簡單易用，極大方便了網絡購物。

（2）網絡投資理財。包括網上銀行存儲、網上炒股、網上投保、網上外幣、網上期貨、網上黃金白銀交易等，它們為投資者提供各類理財服務和金融資訊。

（3）P2P網貸。國內網絡借貸平臺一度超過6000家，但是，近兩年借助網貸平臺進行非法集資的案件持續高發，2018年共有199家網貸平臺公司涉嫌非法集資被公安機關立案偵查。網貸平臺爆雷，不僅嚴重影響了我國的金融安全，還易引發群體性事件。

2 新技術在金融產業的應用情況

當前，大量新技術應用到金融領域，概括起來主要有五大類：人工智能、大數據、生物識別、移動互聯網、區塊鏈。新技術的廣泛應用實現了金融信息的自動化處理，為用戶提供了便捷高質量服務。

2.1 人工智能

在金融領域重要的應用場景包括：（1）基于圖像識別技術的人臉、表單、票據等識別系統，例如人臉支付、證券賬戶遠程開戶等；（2）基于語音識別和自然語言處理技術的智能客服系統，問題解決率已超過99%；（3）基于專家系統的金融風控、反欺詐和智能投顧系統。

2.2 大數據

數據主要來源是交易數據，客戶登記數據，報表數據等。大數據的應用場景，銀行主要是集中在精準營銷、用戶經營、數據風控等方面；證券主要集中在股價預測和投資景氣指數預測等方面；保險主要集中在客戶風險評估、保險價格估算等方面。

2.3 生物識別

金融行業是生物識別技術的一個重要應用領域。指紋識別起步最早，目前應用最多、市場份額最大；人臉識別發展迅速，尤其在第三方支付中應用廣泛；虹膜識別、聲紋識別依然小眾。

2.4 移動互聯網

移動互聯網在金融領域的應用表現為各類手機應用程序APP，主要包括銀行類、消費類、支付類、理財類、證券類等。其中，面向個人用戶的消費類APP數量最多，占總數的36.74%。

2.5 區塊鏈

我國央行法定數字貨幣 DCEP是依托區塊鏈以及電子加密等互聯網技術發行的數字化形態的法幣。我國在央行法定數字貨幣正式上線運行后，各類基于區塊鏈的業務都有望實現支付即結算功能，大大提升結算效率并降低運營成本。

3 金融用戶隱私保護嚴峻形勢及原因分析

3.1 金融用戶隱私保護形勢嚴峻

根據中國互聯網協會發布的《網民權益保護調查報告》，78.2%的網民的個人身份信息、63.4%的網民的網絡金融交易記錄曾被泄露過。近年來，每年發生金融隱私泄露事件大約以35%的速度在增長，有公開報道或記錄2016年1093起，2017年1511起，2018年1967起，2019年2300余起。相比歐美國家，我國隱私保護體系建設起步相對較晚，加之近年來各類新技術在金融行業迅速廣泛應用，由此帶來的金融隱私保護問題日益凸顯。

（1）銀行數據泄露。2012年，央視“3·15”晚會披露了招商銀行、工商銀行員工向他人出售客戶個人信息，導致銀行客戶資金被盜，造成損失3000多萬元。2020年5月，中信銀行上海虹口支行在未獲得王某授權的情況下，將其個人賬戶流水提供給了第三方公司。

（2）保險數據泄露。2013年2月，中國人壽因合作網站存在安全漏洞，致大約80萬份保單信息泄露。2016年，上海等地多家保險機構卷入“泄露門”事件，不少車主在發生交通事故向保險公司報案后不久，便接到冒充保險公司工作人員的詐騙電話。

（3）其他平臺金融數據泄露。2013年阿里支付寶前員工在工作三年內下載支付寶用戶20G的資料出售；2015年4月芝麻金融9000個高凈值客戶資料泄露；2016年初，“銅掌柜”平臺被爆出平臺60萬用戶大量敏感信息泄露。

（4）網貸業務及大數據風控亂象。網貸業務是金融隱私泄露問題的主要根源之一。大量的網貸業務需求和尚不完善的個人征信體系滋生了大量民間風控機構，很多互聯網公司、大數據公司紛紛布局征信行業。但是，在央行獲批個人征信牌照的機構僅有百行征信1家，遠遠滿足不了民間網貸的需求。在工商以從事個人征信業務注冊的公司多達數千家，這些公司為開展風控業務，使用非法爬取、采集、交換等方式獲取或騙取公民身份類、位置類、征信類、甚至通信類信息。有的公司在開展風控業務的同時，甚至開展催收業務，其中不乏一些大型互聯網企業。此外，網貸行業還滋生出套路貸、校園貸的犯罪產業，套路貸團伙的風控業務也通過數據的層層買賣交換和這些數據風控公司發生合作交集，如阿爾法象案。

3.2 金融用戶隱私泄露原因分析

綜觀我國金融保護現狀，導致金融隱私數據頻頻泄露的原因主要是四點：

（1）法律法規層面，存在不健全不完善的問題。我國現有30余部法律法規對金融隱私保護有所涉及，包括《儲蓄管理條例》《商業銀行法》《刑法修正案(七)》《保險法》《網絡安全法》，以及2015年11月國務院辦公廳專門印發的《關于加強金融消費者權益保護工作的指導意見》等。但是，目前我國沒有形成嚴謹的金融隱私保護法律體系，尚未有專門金融隱私保護法律法規，而且已有的法律法規流于原則性保護，針對各機構和平臺主要以行政處罰為主。因為立法上的不完善，司法過程中不能夠行之有效地解決問題，致使現階段少數金融企業或不法分子無所顧忌，對客戶金融隱私權一次又一次地進行侵犯。

（2）市場層面，金融隱私信息背后存在著黑色利益產業鏈。金融隱私信息買賣的市場需求巨大、經濟利益豐厚，不法分子為了牟利，建立起了完整的用戶信息非法交易的黑色產業鏈條。在這些非法交易產業鏈上，部分買家來自保險公司、P2P等金融類機構，賣家則多來自銀行、軟件企業、電子商務企業、咨詢公司、調研機構等不同行業的企業，以及從事網絡黑產的“黑客”等。

（3）技術層面，大量新技術、新應用，給金融隱私的保護帶來了更多的風險挑戰。比如，基于人工智能和生物識別技術的人臉識別支付面臨人臉仿冒的風險，目前利用3D打印技術可以制作模擬他人的“人臉”；各類金融APP存在高危漏洞、被植入后門程序以及隱蔽收集用戶信息的安全風險；大數據及云計算技術同樣會給金融隱私帶來各類威脅，尤其是數據存儲服務器常常是黑客攻擊的重點目標。

（4）企業經營層面，對隱私安全問題重視程度不夠。國內的多數金融企業沒有充分認識到金融信息安全威脅及危害的嚴重性。存在信息安全管理不嚴格，金融產品開發與信息安全保護不同步，金融企業的應急處置能力明顯不足等問題。此外，還有不少金融企業在金融信息安全保護方面存在數據分布零散化，未能實現集中管理，未能建立形成常態化數據風險管控機制等問題。

4 金融用戶隱私保護對策建議

金融隱私信息的保護是一項系統工程，對于確保金融產業健康有序發展意義重大，需要加強頂層設計，統籌謀劃，從法律、監管、技術防護等多個方面精準施策。

4.1 進一步完備金融隱私安全保護的法律體系

對標國際金融隱私保護的法律制度體系，盡快出臺符合中國國情的專門金融隱私保護法律法規，補齊法律短板和空白點，推進金融隱私信息的專門化、系統化保護。結合金融互聯網化的發展趨勢和特點，在法律層面上更加全面準確地界定金融隱私信息的定義及內涵，明確其法律地位、權利屬性以及金融企業、金融用戶等不同主體在收集使用等過程中所要遵循的原則。細化金融企業、相關網絡運營商、服務商、金融企業客戶、普通民眾等在金融隱私保護方面的責任義務，明確追責的內容和規定條款，使金融隱私保護切實做到有法可依、有法必依。

4.2 嚴密金融隱私保護的技術防護措施

由于金融隱私信息存在于相關數據的收集、傳輸、存儲、使用、刪除、銷毀等生命周期，相應的技術防護措施要全面覆蓋各個環節，做到萬無一失。金融機構推出相關金融產品和服務，應該按照“責權一致、目的明確、選擇同意、最少夠用、公開透明、主體參與、確保安全”的原則，設計并實施金融隱私數據的技術安全防護策略。不斷豐富金融隱私保護的技術手段，有效破解重點難點問題，為金融信息安全提供更加有力的支撐和服務。

4.3 推動金融機構進一步加強金融隱私保護制度建設

規范金融隱私信息的保護管理規定，細化日常操作流程、應急處理流程和預案，完善內部檢查及監督機制。嚴格金融隱私數據的收集、存儲和使用的要求，收集隱私信息遵循最小化原則。在境內提供金融產品或服務過程中收集產生的金融隱私數據，應當在境內存儲、處理和分析，確因業務需要，要向境外提供隱私信息的，應符合國家有關法律法規規定和有關管理部門的政策。企業間共享數據，應該進行安全防護能力的評估，并簽署數據保護責任書。建立金融隱私信息的安全評估制度，定期進行安全風險評估和檢查，及時調整安全防護策略和措施。

4.4 建立完善金融隱私保護監管體系

成立專門金融隱私監督機構或歸口指定相關職能機構，專職負責全國金融產業隱私信息的安全監管。創新監管模式，由以往事中、事后監管積極向事前監管轉換。進一步明確金融企業保護金融隱私的責任和義務，督導金融企業加強金融隱私保護的建設和投入，進一步嚴密金融隱私保護制度和措施。針對風控行業的數據隱私問題，建議將風險控制業務納入個人征信業務予以監管，加大對違規采集、使用個人征信信息的懲處力度。

4.5 依法整治金融隱私信息交易背后的黑色產業鏈

建議相關職能部門加強對金融隱私交易黑色產業鏈的打擊，組織開展打擊整治專項行動，涉嫌違法的組織機構由行業主管部門嚴肅處理，涉及犯罪的人員由公安機關立案偵查。加強法制宣傳教育，通過典型案例宣傳，及時曝光利用金融隱私非法牟利的違法犯罪事實，震懾不法分子，并以此教育提醒金融企業加強隱私信息保護，增強民眾的隱私保護意識，不給金融隱私信息交易的“灰色產業鏈”提供生存的社會土壤。