金融行業成信息泄漏重災區，個人信息保護需推動“數據共享”

轉載：本文來自界面新聞，作者 姜菁玲，轉載經授權發布。

呢排，《經濟參考報》一篇調查報道揭示，有上億條各類別嘅個人精準信息正喺度暗網上被公開售賣，包括個人嘅行蹤軌跡信息、徵信信息、財產信息、住宿信息、通信記錄，甚至是面部活體信息。而泄露喺“暗網”嘅個人信息60%以上來自金融行業——其已成為黑客最青睞嘅攻擊目標。

來自金融行業嘅個人信息通常具有高價值嘅特點，能夠畀企業帶來巨大嘅利益，也因此容易形成黑灰產產業鏈。喺中國社會科學院大學互聯網法治研究中心主辦嘅“金融個人信息保護同黑灰產治理”研討會上，360數科信息安全專家吳業超提到，用戶嘅個人信息，包括用戶嘅姓名、身份證、銀行卡號加上電話等等，如果被泄漏嘎啦，就可能會被黑灰產利用。

中國社科院大學互聯網法治研究中心執行主任劉曉春提到，喺個人信息領域，黑產嘅典型做法是惡意註冊和虛假認證一個賬號，（產業鏈）上游和中游可能系做準備，包括對公民個人信息嘅侵犯，下游是直接嘅實施，比如詐騙、賭博、洗錢呢種傳播嘅犯罪。

“我哋也發現，行業或者是暗網裡有大量嘅企業數據喺售賣，包括小貸、銀行、個人信息或者系一啲訂單信息等一系列嘅嘢。”吳業超表示。

根據吳業超嘅描述，目前隱私數據嘅黑灰產產業鏈包括好多環節，利益鏈條非常完善，像姓名、身份證、銀行卡號加上電話呢一個基礎嘅“四件套”，最初嘅價格可能系每套200元-500元，而而家可能漲到2500元-4500元。雖然咁，依然有好多人去購買，原因就喺於呢啲個人信息是十分有價值嘅，可能被利用於洗錢或者第啲黑產。

吳業超提到曾經配合警方打擊詐騙團伙接觸到嘅情況，“呢種詐騙團伙大部分系喺緬甸地區，一般喺100到200人左右嘅一個規模，佢哋團伙內嘅詐騙流水約700萬元左右，分到每個人身上月收入大概喺6萬元到10萬元左右。”

企業數據泄漏影響範圍通常好大。吳業超談到，尤其喺互聯網金融行業，由於行業信息互通，如果信息遭受泄漏，第啲公司嘅用戶也可能會被波及，一啲銀行或者是國家基礎設施也將被關聯。吳業超舉例，如果A企業對外泄漏‌一萬條電話號碼信息，喺呢個行業里溝通性比較多嘅時候，B企業嘅用戶也可能會因此受到詐騙或者數據泄漏，甚至信息被販賣。

而呢種泄漏似乎難以完全規避，“就算企業沒有主動泄漏，也存喺被黑客攻擊或者由於架構、數據傳輸問題導致嘅泄漏。”吳業超表示，呢種泄漏一般有兩種情況，一是明文泄漏，主要由於企業存儲唔好，加密和保密等級唔到位。一旦泄漏，信息就會被黑產或者詐騙分子直接利用，形成数字販賣嘅鏈條。另一種則是密文泄漏，可能會衍生出行業嘅第三方服務，比如解密服務。

喺治理層面，目前近年來圍繞消費者信息保護，相關部門已經唔斷出台政策加以規範。《民法典》《網絡安全法》《個人金融信息保護技術規範》，以及喺審議中嘅《個人信息保護法》都涉及個人信息嘅數據治理。

唔過，劉曉春等專家提到，具體治理上仍有唔少難點。比如，數據取證困難、網絡實名制唔完善、金融信息內部範圍唔明晰等等。

“打擊（黑灰產），好多互聯網大廠也喺做呢個事，但是目前行業里信息唔夠透明，對於信息泄漏風險和機制，企業同企業之間，企業同政府之間嘅聯動唔夠透明。”吳業超說。

劉曉春則強調，灰黑產治理和個人隱私嘅保護相輔相成，反詐數據共享就是家陣時解決呢啲難點嘅突破口。事實上，家陣時嘅立法立規也將重點放喺平台和企業上建立體系，協同治理已成為建立數據安全港嘅重要方向。