事件回顾
2020年5月6日,某银行的一位客户在微博上称,某银行上海虹口支行未经授权将其个人账户收款记录提供给了某文化传媒有限公司。7日,该银行已就泄漏个人账户交易信息一事向客户道歉,并按照规定对相关员工予以处分。
5月9日,银保监会发布《关于某银行侵害消费者合法权益的通报》。通报称,该银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定,严重侵害消费者信息安全权,损害了消费者合法权益。
2017年9月,美国三大个人信用评估机构之一的Equifax被爆出遭遇黑客攻击,约有1.42亿美国用户的个人重要信息遭受泄漏。2018年11月,美国汇丰银行通知客户10月4日至10月14日期间发生了数据泄漏,攻击者访问了该金融机构的在线账户,泄漏信息包括用户的详细个人信息、账户信息和交易记录。2019年,黑客窃取CapitalOne美国和加拿大约1.06亿信用卡申请人和客户的个人信息。数据泄漏事件频发,RiskBased Security数据显示,2019年全球共发生7098起数据泄漏事件,涉及数据记录数量151.95亿条。个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”,如果流向黑产市场,后果不堪设想。
商业银行拥有大量高价值的敏感业务数据和个人金融信息数据,随着金融科技的发展和开放服务的增多,数据泄露、篡改、破坏等风险急剧增加,银行相关的数据安全事件时有发生。国家和行业主管部门高度重视重要数据和个人信息保护,加紧出台相关政策法规和标准规范,以适应新时代的监管需要,并加重了对违反者的处罚力度。
为了应对越来越多信息泄漏事件及个人信息滥用的情况,近年来全球多个国家纷纷颁布相关法律法规,对信息安全与隐私保护相关问题进行严格的规范与引导,如《中华人民共和国网络安全法》、GB/T 35273《个人信息安全规范》;欧盟GDPR《通用数据保护条例》;美国CCPA《加州消费者隐私保护法》、美国SB 220《内华达州数据隐私法》;英国DPA2018《数据保护法》等。我国大数据战略实施已处于持续深化阶段,在十三届全国人大三次会议上,全国人大代表郑杰呼吁加快制定《数据安全法》,进一步完善我国数据治理,以安全促发展,以发展保安全。
个人用户很难对服务提供者及相关系统平台的数据安全保护能力做出评判。个人信息泄漏屡禁不止的根源在于非法地下数据交易和网络犯罪的猖獗,包括服务提供者在内的网络运营者缺乏覆盖数据全生命周期的整体安全保护体系,为网络犯罪分子提供了可乘之机。数据需要通过流动和流转才能服务作业、发挥其价值,如何在多样、复杂的交互场景和全生命周期过程中加强数据安全保护能力,有效降低数据安全风险是当前必须解决的问题。第一,通过技术手段,保护个人信息的安全。目前保护个人信息安全的产品有:数据备份存储、数据库安全网关、数据防泄漏、数据脱敏等。- 数据备份存储系统可以对重要数据备份,实现数据的可用性、完整性、保密性。
- 数据库安全网关防止脱库、SQL注入、恶意破坏数据库等行为发生。
第二,通过数据安全培训以及定期进行安全意识宣传等方式,提高个人的数据安全意识。
个人信息安全已上升为金融行业整体数据安全。金融行业在数据安全的建设中,需要以同步规划、同步建设、同步运营的方式进行安全建设。建立以数据为核心的安全防护体系,借鉴国际先进理念,例如Gartner的DSCA架构(数据为中心的安全架构),以“数据安全治理”推动安全防护体系三同步。
依据国内数据安全能力成熟度模型(GBT37988-2019《信息安全技术 数据安全能力成熟度模型》),细化数据分类分级管理、加强数据安全组织及人员能力、明确数据角色与权限等,落实“一个中心、三重防护”的数据安全技术体系建设,采用数据防泄漏、数据脱敏、大数据安全防护、数据安全交换等多种技术手段来构建金融行业的数据安全技术体系。
天融信早在2016年便提出了以数据为中心的安全体系架构,建立了对数据产生、存储、传输、处理、共享、销毁全生命周期的安全防护措施,并相继推出了数据防泄漏、数据脱敏、数据安全交换、数据安全智能管控、大数据安全防护、数据库安全网关、文档安全管理、备份容灾系统等一系列数据安全产品,为客户提供专业、稳定的数据安全防护。