原標題：“80萬條銀行客戶數據被盜”？ 銀行表示“我沒有”

　　來源：證券日報

　　數據隱私無小事，即便消息被證偽，也會引起廣泛關注。

　　近日，“80萬條銀行客戶數據被‘暗網’出售一事”引發討論。在境外一家黑客論壇上，兩位用戶發帖聲稱出售國內銀行數據信息，包含多家銀行約80萬條客戶信息，包括電話、姓名、身份證號、家庭地址等。

　　不過，隨后多家銀行辟謠表示其出售信息與銀行內存儲信息不吻合，不存在信息泄露問題。

　　在各類信息泄漏事件中，銀行客戶信息因最具含金量――往往在黑市和暗網中要價最高，近年來國外時常有銀行客戶信息大規模被盜事件發生。2018年5月份銀保監會發布《銀行業金融機構數據治理指引》，要求銀行業金融機構應當建立數據安全策略與標準，依法合規采集、應用數據，依法保護客戶隱私。

　　“在數字經濟時代，為了防范數據被泄露、減少數據濫用，同時最大程度發揮數據的價值，應盡早制定個人金融信息保護的專門性立法。”中央財經大學數字經濟與法治研究中心執行主任劉權對《證券日報》記者表示。

　　多家銀行表示保持追責權利

　　據《證券日報》記者了解，此次金融機構客戶數據被販賣的消息最初來源于一家境外公開黑客論壇Raidforums，在這個論壇上有兩名用戶“togoodforthisshit”和“s868858”分別發布出售國內銀行數據信息的貼文，涉及國內多家銀行。其中包括約80萬條上海銀行客戶信息、46萬條興業銀行信用卡客戶信息、10萬條平安保險用戶信息、10萬條浦發銀行客戶信息、6.3萬條招商銀行客戶信息，其用以舉例的信息中主要包括電話、姓名、身份證號以及家庭地址。

　　這一消息經媒體報道后迅速引起相關銀行方面的重視，上述幾家銀行均在第一時間給出回應。

　　興業銀行有關人士對《證券日報》記者表示，得到消息后，該行高度重視此問題，并第一時間核查比對了信息，確認其中所謂的“興業銀行信用卡客戶信息”與興業銀行真實的客戶信息要素并不吻合，不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益；興業銀行將保留追究偽冒銀行客戶信息、損害銀行商譽的法律責任的權利。

　　招商銀行稱，經比對相關數據，與我行真實客戶信息并不吻合，網絡上的信息不屬實。我行譴責任何偽造并販賣公民信息的犯罪行為，并保留追究損害我行聲譽法律責任的權利。

　　農業銀行回應表示高度重視“所謂農行客戶信息的消息”，經認真核查比對，不存在客戶信息泄露問題。并已向監管部門報告有關情況，準備向公安機關報案，將積極配合公安部門調查取證，如有進一步情況，會及時公布。

　　浦發銀行回應表示，經排查比對，網傳數據沒有該行客戶賬戶信息，且與該行客戶信息要素不符。不排除不法分子將不明來源數據冠以金融機構名義兜售，以牟取非法利益。對于偽冒該行信息、損害該行商譽的不法行為，浦發銀行表示，將保留追究其法律責任的權利。

　　數據安全挑戰數字化轉型

　　隨著上述客戶信息被迅速“證偽”，業內普遍認為，此次事件大概率為不法分子偽造、售賣所謂銀行客戶信息牟取不當利益。

　　但數據隱私無小事，即便消息被證偽，也會引起廣泛關注。那么，大規模的銀行客戶數據被盜容易發生嗎？

　　據《證券日報》記者了解，目前國內商業銀行對客戶數據保護工作及其重視。其安全防范水平也遠在一般企業之上。

　　從數據泄露的角度來講，主要分兩類：一類為外部黑客攻擊；另一類為“內鬼”盜取。

　　從黑客攻擊的角度上來講，中紡億聯集團產品經理、IT系統實施顧問馬寧對《證券日報》記者說：“銀行屬于特殊行業，對數據安全性要求很高。由于銀行的網絡數據是一個內部封閉的網絡，屬于私有云的部署，與外部不連通，需要特殊的介質才可以連通，所以說銀行被黑客攻擊的機率是非常低的。如果要舉個例子的話，普通的安防系統，就好像你住在一個小區的公寓里，那么你的安全保障主要仰仗小區的物業和安保，一旦有人突破了物業和安保，那整個小區的居民可能都面臨著風險。而銀行的安保就好像你自己隱居在一座山里的某一個區域的別墅里，并且別墅外面有層層的保安，首先找到這座山就很困難。”

　　相對于黑客攻擊，目前國內銀行客戶信息泄露事件源于內部人員泄露。但多限于網點工作人員利用自己掌握的客戶信息進行非法交易，泄露信息數量普遍在千余條以內。

　　而數目達數十萬條的信息，銀行內部人員也很難獲取。有國有大行資深技術人員對《證券日報》記者表示：“就目前來說，銀行的大量數據集中泄露可能性不太大，因為現在各行對數據保護非常重視，網絡防護安全級別也非常高。尤其在目前的監管體制下，內部人員非常清楚這種事的嚴重性質，并且下載大體量數據會系統留痕，得不償失。”

　　不過上述人士也提醒，“現在數據應用場景廣泛，分析合作多，過程中也有是可能被別有用心的人鉆空子的。”對于銀行業金融機構的數據治理和個人信息保護，銀保監會有明確監管要求。

　　2020年3月6日，銀保監會辦公廳發布的《關于預防銀行業保險業從業人員金融違法犯罪的指導意見》中再次強調“嚴防信息科技領域違法犯罪行為”。

　　不過，在一些專家看來，目前制度仍有待完善。“我國針對金融機構的個人數據安全，有一些相關規定，但總體上法律位階較低、相關條款較為分散，缺乏個人金融信息保護的專門性立法。”中央財經大學數字經濟與法治研究中心執行主任劉權對《證券日報》記者表示：“對個人金融信息的界定，收集、處理、使用、傳輸等缺乏專門的規定，導致監管依據不足，同時存在監管不作為、選擇性監管等問題。”

　　“在數字經濟時代，為了防范數據被泄露、減少數據濫用，同時最大程度發揮數據的價值，應盡早制定個人金融信息保護的專門性立法。2019年，央行已發布《個人金融信息保護試行辦法》（征求意見稿），希望能盡早出臺。同時，及早頒布正在制定中的《個人信息保護法》、《數據安全法》。”劉權表示。

責任編輯：陳鑫