阿里云優惠券 先領券再下單

傳統金融行業互聯網化進程中，大數據、人工智能、移動互聯網、物聯網及區塊鏈等新技術的應用，在推動金融產業創新、增加便民性、提升工作效率的同時，也給金融用戶隱私保護帶來了新風險與新挑戰。近些年金融用戶隱私泄露事件及侵犯公民個人信息違法犯罪頻頻發生，不但直接損害金融用戶的利益，擾亂金融市場秩序，甚至可能帶來系統性金融風險和引發*。在此背景下，中國人民公安大學“網絡空間安全與法治協同創新中心”聯合“江蘇通付盾科技有限公司”針對金融隱私保護問題開展相關研究，完成了《金融隱私保護問題分析及對策》研究報告，報告主要內容如下：

金融隱私保護問題分析及對策

一、金融產業發展現狀及新技術應用情況分析

改革開放以來，我國金融產業高速發展，已建立起以中國人民銀行、銀保監會、證監會為核心，以商業銀行、證券公司和保險公司為主體的市場化金融組織體系。銀行業方面：全國現有4500多家銀行機構，總資產突破280萬億;證券業方面：證券公司133家，總資產突破7萬億;保險業方面：保險機構230家，總資產突破20萬億。

傳統金融產業與互聯網技術緊密結合，依托網絡平臺可實現資金融通、支付、投資和信息中介等服務的新型金融業務模式。通過網絡進行金融活動的用戶增長迅速，2020年4月發布的第45次《中國互聯網絡發展狀況統計報告》顯示，我國網民9.04億，其中網絡購物用戶7.10億，較2018年底增長了1億;網絡支付用戶7.68億，較2018年底增長了1.68億。

（一）互聯網時代下金融服務類型

互聯網時代金融服務產品眾多，歸納起來大致三類：

一是第三方支付。目前使用較普遍的有國內的支付寶、微信支付、京東支付，國外的PayPal等，它們提供一系列的接口，將多種銀行卡支付方式整合到一個界面上，操作簡單易用，極大方便了網絡購物。

二是網絡投資理財。包括網上銀行存儲、網上炒股、網上投保、網上外幣、網上期貨、網上黃金白銀交易等，它們為投資者提供各類理財服務和金融資訊。

三是P2P網貸。國內網絡借貸平臺一度超過6000家，但是，近兩年借助網貸平臺進行非法集資的案件持續高發， 2018年共有199家網貸平臺公司涉嫌非法集資被公安機關立案偵查。網貸平臺暴雷，不僅嚴重影響了我國的金融安全，還容易引發*。

（二）新技術在金融產業的應用情況

當前，大量新技術應用到金融領域，概括起來主要有五大類：人工智能、大數據、生物識別、移動互聯網、區塊鏈。新技術的廣泛應用實現了金融信息的自動化處理，為用戶提供了便捷高質量服務。

一是人工智能。在金融領域重要的應用場景包括：(1)基于圖像識別技術的人臉、表單、票據等識別系統，例如人臉支付、證券帳戶遠程開戶等; (2)基于語音識別和自然語言處理技術的智能客服系統，問題解決率已超過99%;(3)基于專家系統的金融風控、反欺詐和智能投顧系統。

二是大數據。數據主要來源是交易數據，客戶登記數據，報表數據等。大數據的應用場景，銀行主要是集中在精準營銷、用戶經營、數據風控等方面;證券主要集中在股價預測和投資景氣指數預測等方面;保險主要集中在客戶風險評估、保險價格估算等方面。

三是生物識別。金融行業是生物識別技術的一個重要應用領域。指紋識別起步最早，目前應用最多、市場份額最大;人臉識別發展迅速，尤其是第三方支付中廣泛應用;虹膜識別、聲紋識別依然小眾。

四是移動互聯網。移動互聯網在金融領域的應用表現為各類手機應用程序App，主要包括銀行類、消費類、支付類、理財類、證券類等。其中，面向個人用戶的消費類App數量最多，占總數的36.74%。

五是區塊鏈。我國央行法定數字貨幣DCEP是依托區塊鏈以及電子加密等互聯網技術發行的數字化形態的法幣。我國在央行法定數字貨幣正式上線運行后，各類基于區塊鏈的業務都有望實現支付即結算功能，大大提升結算效率并降低運營成本。

二、金融用戶隱私保護嚴峻形勢及原因分析

（一）金融用戶隱私保護形勢嚴峻

根據中國互聯網協會發布的《網民權益保護調查報告》，78.2%的網民的個人身份信息、63.4%的網民的網絡金融交易記錄曾被泄露過。近年來，每年發生金融隱私泄露事件大約以35%的速度在增長，有公開報道或記錄2016年1093起，2017年1511起，2018年1967起，2019年2300余起。相比歐美國家，我國隱私保護體系建設起步相對較晚，加之近年來各類新技術在金融行業迅速廣泛應用，由此帶來的金融隱私保護問題日益凸顯。

一是銀行數據泄露。2012年，央視“3•15”晚會披露了多家銀行員工向他人出售客戶個人信息，導致銀行客戶資金被盜，造成損失3000多萬元。2020年5月，某銀行上海虹口支行在未獲得王某授權的情況下，將其個人賬戶流水提供給了第三方公司。

二是保險數據泄露。2013年2月，某保險公司因合作網站存在安全漏洞，致使大約80萬份保單信息泄露。2016年，上海等地多家保險機構卷入“泄露門”事件，不少車主在發生交通事故、向保險公司報案后不久，便接到冒充保險公司工作人員的詐騙電話。

三是其他平臺金融數據泄露。2013年某支付平臺前員工在工作三年內下載用戶20G的資料出售;2016年初，某金融平臺被爆出60萬用戶大量敏感信息泄露。

四是網貸業務及大數據風控亂象。網貸業務是金融隱私泄露問題的主要根源之一。大量的網貸業務需求和尚不完善的個人征信體系滋生了大量民間風控機構，很多互聯網公司、大數據公司紛紛布局征信行業。但是，在央行獲批個人征信牌照的機構僅有百行征信1家，遠遠滿足不了民間網貸的需求。在工商以從事個人征信業務注冊的公司多達數千家，這些公司為開展風控業務，使用非法爬取、采集、交換等方式獲取或騙取公民身份類、位置類、征信類、甚至通信類信息。有的公司在開展風控業務的同時，甚至開展催收業務，其中不乏一些大型互聯網企業。此外，網貸行業還滋生出套路貸、校園貸的犯罪產業，套路貸團伙的風控業務也通過數據的層層買賣交換和這些數據風控公司發生合作交集，如阿爾法象案。

（二）金融用戶隱私泄露原因分析

綜觀我國金融保護現狀，導致金融隱私數據頻頻泄露的原因主要是四點：

一是法律法規層面，存在不健全不完善的問題。我國現有30余部法律法規對金融隱私保護有所涉及，包括《儲蓄管理條例》《商業銀行法》《刑法修正案(七)》《保險法》《網絡安全法》，以及2015年11月國務院辦公廳專門印發的《關于加強金融消費者權益保護工作的指導意見》等。但是，目前我國沒有形成嚴謹的金融隱私保護法律體系，尚未有專門金融隱私保護法律法規，而且已有的法律法規流于原則性保護，針對各機構和平臺主要以行政處罰為主。因為立法上的不完善，司法過程中不能夠行之有效地解決問題，致使現階段少數金融企業或不法分子無所顧忌，對客戶金融隱私權一次又一次地進行侵犯。

二是市場層面，金融隱私信息背后存在著黑色利益產業鏈。金融隱私信息買賣的市場需求巨大、經濟利益豐厚，不法分子為了牟利，建立起了完整的用戶信息非法交易的黑色產業鏈條。在這些非法交易產業鏈上，部分買家來自于保險公司、P2P等金融類機構，賣家則多來自于銀行、軟件企業、電子商務企業、咨詢公司、調研機構等不同行業的企業，以及從事網絡黑產的“黑客”等。

三是技術層面，大量新技術、新應用，給金融隱私的保護帶來了更多的風險挑戰。比如，基于人工智能和生物識別技術的人臉識別支付面臨人臉仿冒的風險，目前利用3D打印技術可以制作模擬他人的“人臉”;各類金融App存在高危漏洞、被植入后門程序以及隱蔽收集用戶信息的安全風險;物聯網、大數據及云計算技術同樣會給金融隱私帶來各類威脅，尤其是數據存儲服務器常常是黑客攻擊的重點目標。

四是企業經營層面，對隱私安全問題重視程度不夠。國內的多數金融企業沒有充分認識到金融信息安全威脅及危害的嚴重性。存在信息安全管理不嚴格，金融產品開發與信息安全保護不同步，金融企業的應急處置能力明顯不足等問題。此外，還有不少金融企業在金融信息安全保護方面存在數據分布零散化，未能實現集中管理，未能建立形成常態化數據風險管控機制等問題。

三、金融用戶隱私保護對策建議

金融隱私信息的保護是一項系統工程，對于確保金融產業健康有序發展意義重大，需要加強頂層設計，統籌謀劃，從法律、監管、技術防護等多個方面精準施策。

（一）進一步完備金融隱私安全保護的法律體系

對標國際金融隱私保護的法律制度體系，盡快出臺符合中國國情的專門金融隱私保護法律法規，補齊法律短板和空白點，推進金融隱私信息的專門化、系統化保護。結合金融互聯網化的發展趨勢和特點，在法律層面上更加全面準確地界定金融隱私信息的定義及內涵，明確其法律地位、權利屬性以及金融企業、金融用戶等不同主體在收集使用等過程中所要遵循的原則。細化金融企業、相關網絡運營商、服務商、金融企業客戶、普通民眾等在金融隱私保護方面的責任義務，明確追責的內容和規定條款，使金融隱私保護切實做到有法可依、有法必依。

（二）嚴密金融隱私保護的技術防護措施

由于金融隱私信息存在于相關數據的收集、傳輸、存儲、使用、刪除、銷毀等生命周期，相應的技術防護措施要全面覆蓋各個環節，做到萬無一失。金融機構推出相關金融產品和服務，應該按照“責權一致、目的明確、選擇同意、最少夠用、公開透明、主體參與、確保安全”的原則，設計并實施金融隱私數據的技術安全防護策略。不斷豐富金融隱私保護的技術手段，有效破解重點難點問題，為金融信息安全提供更加有力的支撐和服務。

（三）推動金融機構進一步加強金融隱私保護制度建設

規范金融隱私信息的保護管理規定，細化日常操作流程、應急處理流程和預案，完善內部檢查及監督機制。嚴格金融隱私數據的收集、存儲和使用的要求，收集隱私信息遵循最小化原則。在境內提供金融產品或服務過程中收集產生的金融隱私數據，應當在境內存儲、處理和分析，確因業務需要，要向境外提供隱私信息的，應符合國家有關法律法規規定和有關管理部門的政策。企業間共享數據，應該進行安全防護能力的評估，并簽署數據保護責任書。建立金融隱私信息的安全評估制度，定期進行安全風險評估和檢查，及時調整安全防護策略和措施。

（四）建立完善金融隱私保護監管體系

成立專門金融隱私監督機構或歸口指定相關職能機構，專職負責全國金融產業隱私信息的安全監管。創新監管模式，由以往事中、事后監管積極向事前監管轉換。進一步明確金融企業保護金融隱私的責任和義務，督導金融企業加強金融隱私保護的建設和投入，進一步嚴密金融隱私保護制度和措施。針對風控行業的數據隱私問題，建議將風險控制業務納入個人征信業務予以監管，加大對違規采集、使用個人征信信息的懲處力度。

（五）依法整治金融隱私信息交易背后的黑色產業鏈

建議相關職能部門加強對金融隱私交易黑色產業鏈的打擊，組織開展打擊整治專項行動，涉嫌違法的組織機構由行業主管部門嚴肅處理，涉及犯罪的人員由公安機關立案偵查。加強法制宣傳教育，通過典型案例宣傳，及時曝光利用金融隱私非法牟利的違法犯罪事實，震懾不法分子，并以此教育提醒金融企業加強隱私信息保護，增強民眾的隱私保護意識，不給金融隱私信息交易的“灰色產業鏈”提供生存的社會土壤。

通付盾經過深入研究各項App隱私合規規范/指南，自研合規檢測產品，采用基于以符號執行為核心的靜態分析引擎和以運行態沙盒為核心的動態檢測引擎，對移動應用使用全過程進行隱私合規性全面檢查，旨在幫助用戶快速、準確地檢測App中存在的敏感權限調用，及時進行整改，保證App隱私安全。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！