移動支付網 作者 偉辰:近日,“百萬銀行數據被掛外國暗網售賣”的消息在網上不斷流傳,涉及中國平安、浦發銀行、興業銀行、招商銀行等多家國內金融機構。
在形勢越演越烈的時候,4月15日,多家金融機構公開回應:經過對比查驗,相關數據並不屬實,不排除系不法分子為牟取不當利益偽造。
面對這一結論,有人覺得理所應當,畢竟各大銀行是花了大力氣做數據治理的,不可能這麼輕易的洩露;也有人覺得這是各大銀行在欲蓋彌彰,強撐著不承認數據洩露罷了。
事情真相如何還要等待監管部門調查結果,但是監管部門從哪開始調查就不好說了。這一切要從去年9月開始。
1.“VIP客戶數據!5W+高淨值!”
2019年9月,在一個號稱全球最大中文暗網交易市場上,有人發了一個帖子:“興業銀行‘現金寶’私人銀行理財VIP客戶數據!5W+高淨值”。
在帖子中,發帖人表示,數據包含姓名、購買金額、電話、身份證號碼(部分)、地址等信息,總量大約51500餘條,自動發貨,並附上了打碼過後的部分數據截圖。
最讓人驚訝的是,興業銀行確實存在“現金寶4號”私人銀行類人民幣理財產品。在興業銀行官網中,現金寶4號私人銀行類理財產品屬於非保本浮動收益型,起購金額為30萬。
移動支付網第一時間注意到了此事,後在與興業銀行溝通時,對方表示“在對200條信息進行比對核實過後,僅有4條客戶信息與我行數據相符,但4名客戶未購買現金寶4號產品。目前總行正在組織核查,分行已向公安機關報警。”
於是此事在2019年就宣告結束。
時至今日,再回過頭去看這份數據,如果排除銀行產品相關信息,和今年4月在外國暗網上被售賣的數據在維度上幾乎完全一致。最大區別,外國暗網售賣的興業銀行數據量是中文暗網上的9倍。
而在暗網上,打著“某某銀行、某某證券VIP客戶數據”的帖子並不在少數。
國外暗網售賣百萬中國銀行數據的消息爆出時,我們首先就想到了去年9月發生的事件,並對事情最後的結果做出了一定的猜測,畢竟去年興業銀行的說明還歷歷在目。
事情就如同所料想的那樣,興業銀行做出了和去年類似的回覆,隨後各大銀行也發出了類似的聲明:“被售賣信息並不真實,已經上報監管部門,我方將保留追究法律責任的權利。”
那麼問題來了,這些數據從哪來的?
2.洩露源頭難以回溯
“在對200條信息進行比對核實過後,僅有4條客戶信息與我行數據相符,但4名客戶未購買現金寶4號產品”,這是興業銀行給的回覆,由此可獲得兩個信息。
1、暗網上售賣的個人信息很有可能是真的,起碼有一部分數據是真實數據。
2、這5萬條個人信息數據並不是興業銀行數據,而是拼湊得到的數據。
換句話說,不法分子或為了獲得更高的收益,把從其他地方得到的個人信息數據和興業銀行部分公開數據組合到了一起,然後再掛到暗網上進行售賣,相當於掛羊頭賣狗肉。
當然,這只是一種可能,目前各大銀行的調查也沒有排除“撞庫”的可能。但不管是哪一種可能,都說明了一件事情:大量的個人信息數據在暗網上流傳。
這些數據從哪裡而來已經無法考證,因為洩露出來的數據在售賣之前,往往會先“洗”一遍,也就是刪去無用的數據,並進行有針對性的篩選,最後再進行售賣。經過這樣的步驟,往往很難知道洩露源頭在哪裡。
這無疑會給監管部門的調查帶來巨大的麻煩,特別是此次事件發生在暗網之上,進一步加大了執法的難度。
3.暗網不是法外之地
對於暗網,大部分人可能只是知道,但並不瞭解。從本質上來說,暗網和普通的互聯網功能並沒有區別,只不過暗網使用了特殊加密技術刻意隱藏了相關互聯網信息,不使用特殊手段無法訪問暗網。而一旦進入了暗網,就很難被追查。
這就是暗網的特點,它更像是最早期的互聯網,誰都不知道自己在和誰交談、交換信息,因此暗網成為了不法分子聚集之地,警察沒有辦法通過暗網找到他們。
但這個認為是錯誤的。去年11月,公安部通報“淨網2019”專項行動成果,2019年全國共立“暗網”相關案件16起,抓獲從事涉“暗網”違法犯罪活動的犯罪嫌疑人25名。公安部新聞發言人郭林表示,雖然暗網有匿名性和隱蔽性特點,但暗網並不是“法外之地”和“避罪天堂”。
公安部近日公佈了十起侵犯公民個人信息違法犯罪典型案件,其中四起都是利用暗網作案。(詳情見《公安部公佈十起侵犯公民個人信息違法犯罪典型案件》)
4.數據安全挑戰數字化轉型
雖然目前涉事各行均已闢謠,但數據洩露事件依舊引起了廣泛關注。原因也很簡單,銀行已經發布聲明表示無辜,但是數據洩露這件事本身是真的,確實有百萬數據在暗網上被叫賣。
目前我國針對金融機構的個人數據安全有一些相關規定,比如《網絡安全法》、《網絡安全等級保護》、《個人金融信息保護技術規範》等等,但依舊缺乏專門性立法或者行政管理辦法。
《個人金融信息保護試行辦法》以及《數據安全管理辦法》目前仍處於徵求意見稿狀態,而《個人信息保護法》、《數據安全法》還未見蹤影。
但是銀行的數字化轉型已經開始發力。今年春招,各大國有銀行、股份制銀行紛紛加大了相關人才的招聘力度,從銀行的年報中也可以得知金融科技相關人員比例也在不斷提升。
郵儲銀行董事長張金良公開表示:“要踐行科技興行戰略,每年拿出營業收入的3%左右投入到信息科技領域。加快科技人才引進,到2023年底實現全行科技隊伍翻兩番。”
在這種形勢下,保障數據安全成為了銀行在數字化轉型中必須要面對的挑戰,而且不僅僅要防止數據洩露,還要防止此類事件的再次發生,可謂是任重而道遠。
