在信息爆炸的時(shí)代，數(shù)據(jù)已成為基礎(chǔ)性資源和戰(zhàn)略性資源，尤其金融相關(guān)數(shù)據(jù)更是一座富礦。因而黑灰產(chǎn)盯上了這塊肥肉，未經(jīng)允許查詢個(gè)人信息、售賣(mài)個(gè)人信息、黑產(chǎn)撞庫(kù)形成產(chǎn)業(yè)鏈……即使是在監(jiān)管和企業(yè)的嚴(yán)防嚴(yán)打之下，數(shù)據(jù)泄露事件仍然層出不窮。

也正是因?yàn)閿?shù)據(jù)本身所具有的巨大價(jià)值，數(shù)據(jù)的開(kāi)發(fā)、共享、交換、流通已成趨勢(shì)，數(shù)據(jù)要素將成為產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的重要驅(qū)動(dòng)力。為此，我國(guó)已逐漸開(kāi)始探索數(shù)據(jù)要素流通的實(shí)踐。如，剛剛成立不久的北京國(guó)際大數(shù)據(jù)交易所旨在推動(dòng)數(shù)據(jù)要素市場(chǎng)化配置；近期央行啟動(dòng)金融數(shù)據(jù)綜合應(yīng)用試點(diǎn)，意在推動(dòng)金融數(shù)據(jù)安全共享。

隨之而來(lái)的問(wèn)題是如何掌握數(shù)據(jù)開(kāi)發(fā)利用與安全保護(hù)之間的平衡術(shù)？

數(shù)據(jù)泄露事件頻發(fā)

5月14日，哈爾濱農(nóng)商行就因未經(jīng)同意查詢個(gè)人信息，被央行處罰6萬(wàn)元。渤海銀行長(zhǎng)春分行、郵儲(chǔ)銀行重慶分行、交通銀行吉林分行、浙商銀行廣州分行、華夏銀行長(zhǎng)春分行等多家銀行也曾因同樣的原因被罰。還有一些銀行因“無(wú)法提供已查詢個(gè)人信用報(bào)告的授權(quán)資料”“違規(guī)收集與業(yè)務(wù)無(wú)關(guān)的第三人信息”而被處罰。

上述違規(guī)行為給個(gè)人信息帶來(lái)了極大安全隱患。有業(yè)內(nèi)人士向21世紀(jì)經(jīng)濟(jì)報(bào)道表示，“一些人主觀惡意地泄露個(gè)人金融數(shù)據(jù)。沒(méi)有經(jīng)過(guò)授權(quán)大量查詢個(gè)人征信和企業(yè)征信，然后再把信息數(shù)據(jù)賣(mài)出去。對(duì)于這種出賣(mài)信息的行為，監(jiān)管和機(jī)構(gòu)都是嚴(yán)格處罰的?！笨梢?jiàn)，企業(yè)內(nèi)控不嚴(yán)，員工倒賣(mài)客戶金融數(shù)據(jù)是個(gè)人信息頻遭泄露的一個(gè)原因。

從信息收集源頭來(lái)看，企業(yè)產(chǎn)品設(shè)計(jì)的知情同意形式化嚴(yán)重，一定程度上。具體表現(xiàn)為簡(jiǎn)而無(wú)用，多而無(wú)功。中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹表示，有些企業(yè)的產(chǎn)品設(shè)計(jì)是同意就繼續(xù)，不同意就離開(kāi)，用戶選擇空間壓縮。有些企業(yè)產(chǎn)品的隱私保護(hù)政策冗長(zhǎng)且重點(diǎn)不突出，這就將主動(dòng)通知義務(wù)轉(zhuǎn)化為客戶的謹(jǐn)慎義務(wù)。一方面，用戶很難得知哪幾條與自己的切身利益相關(guān)；另一方面，專業(yè)知識(shí)限制很難對(duì)條款做出準(zhǔn)確理解。此外，還存在著重復(fù)索取授權(quán)或非必要授權(quán)情況普遍。

從外部來(lái)看，黑灰產(chǎn)撞庫(kù)是數(shù)據(jù)安全面臨的主要威脅。近日，阿卡邁技術(shù)公司（Akamai Technologies）發(fā)布的《互聯(lián)網(wǎng)安全狀況報(bào)告：針對(duì)金融行業(yè)的網(wǎng)絡(luò)釣魚(yú)》報(bào)告顯示，2020年，Akamai在全球范圍內(nèi)監(jiān)測(cè)到1930億次撞庫(kù)攻擊，其中34億次攻擊針對(duì)的是金融服務(wù)機(jī)構(gòu)，同比增長(zhǎng)超過(guò)45%。同時(shí)在2020年觀察到近63億次Web應(yīng)用程序攻擊，其中超過(guò)7.36億次攻擊針對(duì)的是金融服務(wù)行業(yè)，比2019年增加了62%。

通俗來(lái)講，撞庫(kù)攻擊就是黑客通過(guò)獲取已經(jīng)泄露的個(gè)人賬號(hào)和密碼信息，從而嘗試在其他網(wǎng)站進(jìn)行登錄操作。360金融信息安全專家吳業(yè)超表示，“互聯(lián)網(wǎng)金融的企業(yè)和行業(yè)里，信息是共通的。比如A企業(yè)泄露了一萬(wàn)條信息會(huì)直接影響到B企業(yè)的一些情況。在這種泄露的過(guò)程中，包含了一些撞庫(kù)或者是拼裝的數(shù)據(jù)等等。因此很難規(guī)避一個(gè)企業(yè)信息泄露造成的影響，所以這是行業(yè)共同性的東西，不單單是一家企業(yè)或機(jī)構(gòu)的問(wèn)題。”

他進(jìn)一步指出，我們?nèi)粘０l(fā)現(xiàn)信息泄露主要分為明文泄露和密文泄露兩種。一般來(lái)講，明文泄露是企業(yè)存儲(chǔ)的加密等級(jí)做得不好，一旦泄露就會(huì)被黑產(chǎn)利用或形成數(shù)據(jù)販賣(mài)的鏈條。如果是密文泄露就可能衍生出解密等第三方服務(wù)行業(yè)，解秘服務(wù)之后還會(huì)形成明文泄露。

尋找數(shù)據(jù)安全與共享平衡點(diǎn)

“數(shù)據(jù)”已正式納入生產(chǎn)要素范圍。金融行業(yè)依托數(shù)據(jù)管理帶來(lái)的業(yè)務(wù)價(jià)值已逐漸凸顯，數(shù)據(jù)要素將成為金融業(yè)數(shù)字化轉(zhuǎn)型的重要驅(qū)動(dòng)力和關(guān)鍵支撐力。如何在保障個(gè)人金融信息安全的前提下，合法合規(guī)地促進(jìn)金融數(shù)據(jù)規(guī)范共享，成為當(dāng)下亟待解決的一個(gè)命題。

就個(gè)人金融信息保護(hù)的監(jiān)管現(xiàn)狀而言，我國(guó)已在一定程度上形成了由法律、法規(guī)、規(guī)章以及規(guī)范性文件等共同組成的多層次、多領(lǐng)域的個(gè)人信息保護(hù)法律體系。2017年發(fā)布的網(wǎng)絡(luò)安全法開(kāi)啟了個(gè)人金融信息保護(hù)的監(jiān)管元年。隨后政策逐漸走向細(xì)化和深化，如《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（初稿）》、個(gè)人信息保護(hù)法（征求意見(jiàn)稿）》、《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》、《中國(guó)央行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》、數(shù)據(jù)安全法（征求意見(jiàn)稿）等。

完善法律法規(guī)的同時(shí)，行業(yè)共建共治必不可少。吳業(yè)超表示，“目前各個(gè)機(jī)構(gòu)都在金融數(shù)據(jù)安全保護(hù)方面發(fā)力，但彼此之間沒(méi)有互通。未來(lái)是否可以建立反詐信息共享平臺(tái)，集合行業(yè)力量共同完善灰黑產(chǎn)治理與金融個(gè)人信息安全保障體系，以共建、共享、共防的合作，構(gòu)建良好的數(shù)據(jù)保護(hù)生態(tài)圈?！?/p>

金融數(shù)據(jù)安全之外，平衡的另一面是信息共享。但在實(shí)踐中，信息共享仍然面臨著不少困境。例如，三年前百行征信獲批成立，意在對(duì)央行征信系統(tǒng)形成有力補(bǔ)充，然而僅有3家股東愿意將數(shù)據(jù)接入百行征信，阿里、騰訊等5家股東則持拒絕的態(tài)度。再比如，開(kāi)放銀行數(shù)據(jù)的發(fā)展過(guò)程中不得不面對(duì)數(shù)據(jù)共享的問(wèn)題，表現(xiàn)為不愿、不敢、不會(huì)。不愿共享涉及到平臺(tái)主導(dǎo)權(quán)之爭(zhēng)，不敢共享則是出于對(duì)隱私安全的考慮，不會(huì)共享主要和當(dāng)下數(shù)據(jù)資產(chǎn)確權(quán)、流通、定價(jià)等機(jī)制尚不明朗有關(guān)系。

有研究人員提出建議，金融數(shù)據(jù)要從強(qiáng)調(diào)保密到保護(hù)與利用并重。對(duì)于數(shù)據(jù)要素的開(kāi)發(fā)利用，目前仍然處于探索階段。

例如，央行在北京、江蘇、浙江等地啟動(dòng)金融數(shù)據(jù)綜合應(yīng)用試點(diǎn)，旨在探索運(yùn)用人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、隱私計(jì)算等新一代信息技術(shù)，在安全合規(guī)的前提下推進(jìn)金融數(shù)據(jù)高效治理、安全共享，實(shí)現(xiàn)跨層級(jí)、跨機(jī)構(gòu)、跨行業(yè)數(shù)據(jù)融合應(yīng)用，充分激活數(shù)據(jù)要素潛能，著力提升金融核心競(jìng)爭(zhēng)力和惠民利企能力。而在《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》也提出，統(tǒng)籌數(shù)據(jù)開(kāi)發(fā)利用、隱私保護(hù)和公共安全，加快建立數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護(hù)等基礎(chǔ)制度和標(biāo)準(zhǔn)規(guī)范。

中關(guān)村互聯(lián)網(wǎng)金融研究院首席研究員董希淼向21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示：“把握數(shù)據(jù)共享與安全保護(hù)的平衡，最關(guān)鍵的是要明確制度。現(xiàn)在個(gè)人數(shù)據(jù)的所有權(quán)并不明確，需要明確數(shù)據(jù)共享與安全保護(hù)之間的邊界。如哪些信息可以收集、按照怎樣的原則收集、哪些情況下可以使用，以及哪些信息不能收集。這既需要基本的法律、規(guī)章制度，也需要行業(yè)自律?！?/p>

他進(jìn)一步指出，既要反對(duì)個(gè)人信息的私自采集和濫用，也要在確保隱私安全的情況下，加快推進(jìn)數(shù)據(jù)共享。這兩個(gè)方面都不能偏頗，央行啟動(dòng)金融數(shù)據(jù)綜合應(yīng)用試點(diǎn)其實(shí)就是希望能在兩者之間找到一個(gè)平衡。

（作者：邊萬(wàn)莉 編輯：曾芳）