治理|金融行业成信息泄漏重灾区，个人信息保护需推动“数据共享”_重灾区|吴业超|金融行业|保护

文章图片

图源：图虫创意

采访人员 | 姜菁玲

近日，《经济参考报》一篇调查报道揭示，有上亿条各类别的个人精准信息正在暗网上被公开售卖，包括个人的行踪轨迹信息、征信信息、财产信息、住宿信息、通信记录，甚至是面部活体信息。而泄露在“暗网”的个人信息60%以上来自金融行业——其已成为黑客最青睐的攻击目标。
来自金融行业的个人信息通常具有高价值的特点，能够给企业带来巨大的利益，也因此容易形成黑灰产产业链。在中国社会科学院大学互联网法治研究中心主办的“金融个人信息保护与黑灰产治理”研讨会上， 360数科信息安全专家吴业超提到，用户的个人信息，包括用户的姓名、身份证、银行卡号加上电话等等，如果被泄漏了，就可能会被黑灰产利用。
中国社科院大学互联网法治研究中心执行主任刘晓春提到，在个人信息领域，黑产的典型做法是恶意注册和虚假认证一个账号，（产业链）上游和中游可能是做准备，包括对公民个人信息的侵犯，下游是直接的实施，比如诈骗、赌博、洗钱这种传播的犯罪。
“我们也发现，行业或者是暗网里有大量的企业数据在售卖，包括小贷、银行、个人信息或者是一些订单信息等一系列的东西。 ”吴业超表示。
根据吴业超的描述，目前隐私数据的黑灰产产业链包括很多环节，利益链条非常完善，像姓名、身份证、银行卡号加上电话这一个基础的“四件套” ，最初的价格可能是每套200元-500元，而现在可能涨到2500元-4500元。尽管如此，依然有很多人去购买，原因就在于这些个人信息是十分有价值的，可能被利用于洗钱或者其他黑产。

文章图片

吴业超提到曾经配合警方打击诈骗团伙接触到的情况， “这种诈骗团伙大部分是在缅甸地区，一般在100到200人左右的一个规模，他们团伙内的诈骗流水约700万元左右，分到每个人身上月收入大概在6万元到10万元左右。 ”
企业数据泄漏影响范围通常很大。吴业超谈到，尤其在互联网金融行业，由于行业信息互通，如果信息遭受泄漏，其他公司的用户也可能会被波及，一些银行或者是国家基础设施也将被关联。吴业超举例，如果A企业对外泄漏了一万条电话号码信息，在这个行业里沟通性比较多的时候， B企业的用户也可能会因此受到诈骗或者数据泄漏，甚至信息被贩卖。
而这种泄漏似乎难以完全规避， “即使企业没有主动泄漏，也存在被黑客攻击或者由于架构、数据传输问题导致的泄漏。 ”吴业超表示，这种泄漏一般有两种情况，一是明文泄漏，主要由于企业存储不好，加密和保密等级不到位。一旦泄漏，信息就会被黑产或者诈骗分子直接利用，形成数字贩卖的链条。另一种则是密文泄漏，可能会衍生出行业的第三方服务，比如解密服务。
在治理层面，目前近年来围绕消费者信息保护，相关部门已经不断出台政策加以规范。《民法典》《网络安全法》《个人金融信息保护技术规范》，以及在审议中的《个人信息保护法》都涉及个人信息的数据治理。
不过，刘晓春等专家提到，具体治理上仍有不少难点。比如，数据取证困难、网络实名制不完善、金融信息内部范围不明晰等等。
“打击（黑灰产），许多互联网大厂也在做这个事，但是目前行业里信息不够透明，对于信息泄漏风险和机制，企业与企业之间，企业与政府之间的联动不够透明。 ”吴业超说。
【治理|金融行业成信息泄漏重灾区，个人信息保护需推动“数据共享”】刘晓春则强调，灰黑产治理和个人隐私的保护相辅相成，反诈数据共享就是当前解决这些难点的突破口。事实上，当前的立法立规也将重点放在平台和企业上建立体系，协同治理已成为建立数据安全港的重要方向。