“80萬條銀行客戶數據被盜”？銀行表示“我沒有”

近日，“80萬條銀行客戶數據被‘暗網’出售一事”引發討論。在境外一家黑客論壇上，兩位用戶發帖聲稱出售國內銀行數據信息，包含多家銀行約80萬條客戶信息，包括電話、姓名、身份證號、家庭地址等。

不過，隨後多家銀行闢謠表示其出售信息與銀行內存儲信息不吻合，不存在信息洩露問題。

在各類信息洩漏事件中，銀行客戶信息因最具含金量——往往在黑市和暗網中要價最高，近年來國外時常有銀行客戶信息大規模被盜事件發生。2018年5月份銀保監會發布《銀行業金融機構數據治理指引》，要求銀行業金融機構應當建立數據安全策略與標準，依法合規採集、應用數據，依法保護客戶隱私。

“在數字經濟時代，為了防範數據被洩露、減少數據濫用，同時最大程度發揮數據的價值，應儘早制定個人金融信息保護的專門性立法。”中央財經大學數字經濟與法治研究中心執行主任劉權對《證券日報》記者表示。

多家銀行表示保持追責權利

據《證券日報》記者瞭解，此次金融機構客戶數據被販賣的消息最初來源於一家境外公開黑客論壇Raid forums，在這個論壇上有兩名用戶“togoodforthisshit”和“s868858”分別發佈出售國內銀行數據信息的貼文，涉及國內多家銀行。其中包括約80萬條上海銀行客戶信息、46萬條興業銀行信用卡客戶信息、10萬條平安保險用戶信息、10萬條浦發銀行客戶信息、6.3萬條招商銀行客戶信息，其用以舉例的信息中主要包括電話、姓名、身份證號以及家庭地址。

這一消息經媒體報道後迅速引起相關銀行方面的重視，上述幾家銀行均在第一時間給出回應。

興業銀行有關人士對《證券日報》記者表示，得到消息後，該行高度重視此問題，並第一時間核查比對了信息，確認其中所謂的“興業銀行信用卡客戶信息”與興業銀行真實的客戶信息要素並不吻合，不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益；興業銀行將保留追究偽冒銀行客戶信息、損害銀行商譽的法律責任的權利。

招商銀行稱，經比對相關數據，與我行真實客戶信息並不吻合，網絡上的信息不屬實。我行譴責任何偽造並販賣公民信息的犯罪行為，並保留追究損害我行聲譽法律責任的權利。

農業銀行回應表示高度重視“所謂農行客戶信息的消息”，經認真核查比對，不存在客戶信息洩露問題。並已向監管部門報告有關情況，準備向公安機關報案，將積極配合公安部門調查取證，如有進一步情況，會及時公佈。

浦發銀行回應表示，經排查比對，網傳數據沒有該行客戶賬戶信息，且與該行客戶信息要素不符。不排除不法分子將不明來源數據冠以金融機構名義兜售，以牟取非法利益。對於偽冒該行信息、損害該行商譽的不法行為，浦發銀行表示，將保留追究其法律責任的權利。

數據安全挑戰數字化轉型

隨著上述客戶信息被迅速“證偽”，業內普遍認為，此次事件大概率為不法分子偽造、售賣所謂銀行客戶信息牟取不當利益。

但數據隱私無小事，即便消息被證偽，也會引起廣泛關注。那麼，大規模的銀行客戶數據被盜容易發生嗎？

據《證券日報》記者瞭解，目前國內商業銀行對客戶數據保護工作及其重視。其安全防範水平也遠在一般企業之上。

從數據洩露的角度來講，主要分兩類：一類為外部黑客攻擊；另一類為“內鬼”盜取。

從黑客攻擊的角度上來講，中紡億聯集團產品經理、IT系統實施顧問馬寧對《證券日報》記者說：“銀行屬於特殊行業，對數據安全性要求很高。由於銀行的網絡數據是一個內部封閉的網絡，屬於私有云的部署，與外部不連通，需要特殊的介質才可以連通，所以說銀行被黑客攻擊的機率是非常低的。如果要舉個例子的話，普通的安防系統，就好像你住在一個小區的公寓裡，那麼你的安全保障主要仰仗小區的物業和安保，一旦有人突破了物業和安保，那整個小區的居民可能都面臨著風險。而銀行的安保就好像你自己隱居在一座山裡的某一個區域的別墅裡，並且別墅外面有層層的保安，首先找到這座山就很困難。”

相對於黑客攻擊，目前國內銀行客戶信息洩露事件源於內部人員洩露。但多限於網點工作人員利用自己掌握的客戶信息進行非法交易，洩露信息數量普遍在千餘條以內。

而數目達數十萬條的信息，銀行內部人員也很難獲取。有國有大行資深技術人員對《證券日報》記者表示：“就目前來說，銀行的大量數據集中洩露可能性不太大，因為現在各行對數據保護非常重視，網絡防護安全級別也非常高。尤其在目前的監管體制下，內部人員非常清楚這種事的嚴重性質，並且下載大體量數據會系統留痕，得不償失。”

不過上述人士也提醒，“現在數據應用場景廣泛，分析合作多，過程中也有是可能被別有用心的人鑽空子的。” 對於銀行業金融機構的數據治理和個人信息保護，銀保監會有明確監管要求。

2020年3月6日，銀保監會辦公廳發佈的《關於預防銀行業保險業從業人員金融違法犯罪的指導意見》中再次強調“嚴防信息科技領域違法犯罪行為”。

不過，在一些專家看來，目前制度仍有待完善。“我國針對金融機構的個人數據安全，有一些相關規定，但總體上法律位階較低、相關條款較為分散，缺乏個人金融信息保護的專門性立法。”中央財經大學數字經濟與法治研究中心執行主任劉權對《證券日報》記者表示：“對個人金融信息的界定，收集、處理、使用、傳輸等缺乏專門的規定，導致監管依據不足，同時存在監管不作為、選擇性監管等問題。”

“在數字經濟時代，為了防範數據被洩露、減少數據濫用，同時最大程度發揮數據的價值，應儘早制定個人金融信息保護的專門性立法。2019年，央行已發佈《個人金融信息保護試行辦法》（徵求意見稿），希望能儘早出臺。同時，及早頒佈正在制定中的《個人信息保護法》、《數據安全法》。”劉權表示。

本文源自證券日報

關鍵字: 黑客攻擊 客戶 洩露