個人信息失竊凸顯數(shù)據(jù)風(fēng)險管理

　　專訪IBM金融咨詢專家高達(dá)飛

　　本報實(shí)習(xí)記者 王麗好 發(fā)自上海

　　萬事達(dá)、Visa信用卡集團(tuán)6月17日稱，大約4000萬名信用卡用戶的賬戶被一名黑客利用電腦病毒侵入。美國最大的銀行花旗集團(tuán)上月發(fā)布信息丟失聲明，稱一張存儲有390萬名客 戶姓名、賬戶信息、支付記錄以及社保卡號等信息的磁盤在承運(yùn)商UPS的運(yùn)輸途中丟失。

　　針對這些事故的出現(xiàn)原因、防范手段和可能造成的影響等問題，《第一財經(jīng)日報》記者采訪了IBM公司中國金融業(yè)務(wù)轉(zhuǎn)型部總經(jīng)理高達(dá)飛(AfzalTarar)先生。推行風(fēng)險管理技術(shù)

　　高達(dá)飛認(rèn)為，“風(fēng)險管理并不意味著可以消除一切風(fēng)險，但公司的風(fēng)險管理水平就體現(xiàn)在能否通過一定的技術(shù)和管理手段把風(fēng)險降到最低，并控制事故產(chǎn)生的影響。”

　　具體如何進(jìn)行風(fēng)險管理，高達(dá)飛以花旗磁盤丟失為例介紹說，“可以采用數(shù)據(jù)庫風(fēng)險控制的基本方法。例如，不要把客戶的全部信息在一起發(fā)送，而是將不同類秘密信息分開發(fā)送，這樣即便有人得到其中的一部分也無法得知客戶的完整信息。或者，把數(shù)據(jù)加密之后再進(jìn)行運(yùn)輸。像在美國這樣電子化已經(jīng)普及的國家，完全可以采用電腦傳輸，而不必用電腦磁盤運(yùn)送數(shù)據(jù)。”

　　而花旗銀行致客戶的致歉信中也申明“從下個月(6月)開始，將通過加密的電子傳輸直接向信用機(jī)構(gòu)提供信息”。

　　除了技術(shù)手段之外，金融高層還需要確立信息保護(hù)戰(zhàn)略。目前美國的銀行用戶，每年都會收到來自銀行行長的承諾信函，保證所在銀行“不會泄漏客戶信息，不會把客戶信息賣給他國”等等。意外丟失數(shù)據(jù)不違法

　　觀察過去美國發(fā)生的信息失竊事故可以發(fā)現(xiàn)，其中3起是由于備份的磁盤丟失，1起是分析師把存有客戶數(shù)據(jù)的筆記本電腦放在車上帶回家，結(jié)果電腦不翼而飛。

　　據(jù)高達(dá)飛介紹，美國國會2002年通過了針對操作風(fēng)險的《薩奧法案》(Sarbanes-OxleyAct)，其中對金融業(yè)有明確規(guī)定。但意外丟失數(shù)據(jù)這樣的事故并不在《薩奧法案》劃定的“非法”使用或泄漏信息行為之列。

　　今年以來，美國各大銀行等金融機(jī)構(gòu)的個人信息失竊案件頻頻發(fā)生，信息安全隱憂急劇上升。《華爾街日報》等美國媒體在萬事達(dá)信用卡事故之前，已經(jīng)撰文稱，接二連三出現(xiàn)數(shù)據(jù)安全問題，很可能會激起眾怒。紐約州參議員查爾斯·舒默(CharlesSchumer)因此表示有必要推出身份失竊保護(hù)法案，“消費(fèi)者的個人金融信息已經(jīng)成為了21世紀(jì)的財富，因此我們需要給予保護(hù)。”丟失信用卡賬戶并非世界末日

　　可以對號入座的個人信息存儲在“信用局”(CreditBu-reau)。這是信用社會不可缺少的機(jī)構(gòu)，目前在中國尚未成型。美國各個銀行每個月向信用局提供信用卡持卡人的信用記錄。銀行提供貸款時，可能會同時參考兩個以上信用局提供的個人信用記錄，來評估貸款人的信用風(fēng)險。花旗集團(tuán)的電腦磁盤正是從新澤西州運(yùn)往得克薩斯州的Experian信用局途中丟失的。

　　“個人如果真的丟失了信用卡甚至社保卡號，也并不是那么可怕。這些風(fēng)險也是可以控制的，”高達(dá)飛指出。如果信用卡被他人盜用，而持卡人能夠證明他本人并沒有進(jìn)行過這些消費(fèi)活動，被盜用的消費(fèi)金額將由信用卡發(fā)卡公司投保的保險公司賠償。假如客戶丟失社保卡號，可以通知政府、銀行等相關(guān)部門進(jìn)行掛失。數(shù)字化社會的個人信息安全

　　“在美國，你只要知道我的社保卡號，就有可能知道我的全部信息，我開什么車，買什么衣服，賺多少錢，去哪里旅游等等。”高達(dá)飛這樣形容數(shù)字化社會的信息環(huán)境。

　　據(jù)他的介紹，美國的銀行不會賣出具體的個人信息，而是把客戶信息按照群體模式(pattern)出售，例如一個地區(qū)居民的平均收入、生活水平等人口統(tǒng)計學(xué)信息。這樣不會泄漏具體的個人信息，無法對號入座，對個人沒有危險。銀行還可以買入這種信息，這對于定位客戶十分重要。

　　而銀行在服務(wù)條款里會詢問客戶是否愿意把個人信息提供給商業(yè)調(diào)查機(jī)構(gòu)。

　　詢問通常以“加入”或“退出”。在“加入”形式下，如果客戶沒有特殊申明，銀行便有權(quán)利出售和使用客戶個人信息。中國的銀行信用系統(tǒng)有待完善

　　與歐美發(fā)達(dá)國家相比，中國目前的電子化水平還有相當(dāng)?shù)木嚯x，這一方面客觀上減少了數(shù)據(jù)丟失的可能，另一方面也體現(xiàn)了我們的信息系統(tǒng)和信用系統(tǒng)不夠完備。高達(dá)飛指出，美國人擔(dān)心身份盜竊和信息安全的同時，中國的銀行卻難以找到客戶的信用記錄和個人信息。他因此建議，“中國的銀行開發(fā)速度非常快，可以借鑒歐美銀行的經(jīng)驗和教訓(xùn)。在風(fēng)險控制方面，中國首先需要建立個人信息保護(hù)方面的法律規(guī)定，各個銀行也需要建立保護(hù)個人信息的戰(zhàn)略和思路，在系統(tǒng)、流程和人才方面都要有所準(zhǔn)備。”資料圖片