一个月前,年轻的徐玉玉因为个人信息被不法分子盗窃,导致被骗学费而失去宝贵性命的事件引起全社会广泛关注。 这种惨剧还令人记忆犹新,明目仗胆贩卖个人信息的不法之徒主动就找上门来了,而且是发生在新兴的互联网金融行业。 这样大范围具有商业价值的信息泄露,必然导致该资料在黑市上到处流转和贩卖,不仅造成数据源公司巨大损失,而且让消费者承受扰人的广告宣传。
更加令人担心的是,万一流传到骗子手里,不知谁会成为下一个“徐玉玉”。真让人既愤怒而又奈何。而这并非特例。 中国互联网协会发布的《网民权益保护调查报告(2015)》显示,78.2%的网民个人身份信息被泄露过、63.4%的网民个人网上活动信息被泄露过。信息泄露的社会毒瘤,已经蔓延到互联网金融领域。
2013年阿里支付宝前员工在工作3年内下载支付宝用户20G的资料出售;2015年4月芝麻金融 9000个高净值客户资料泄露; 2016年初铜掌柜被爆出平台60万用户大量敏感信息泄露。然而我们所知道的,只是被新闻披露出来的冰山上一角,不少互联网金融企业在信息泄露时候为了维护声誉,往往不愿公开,粉饰太平。
8月19日,移动互联网系统与应用安全国家工程实验室发布了《移动互联网金融APP信息安全现状白皮书》。参与白皮书撰写的作者朱易翔说到:”测试发现,参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。”
这样的测试结果并不让人意外,据笔者对互联网金融领域的了解,很多一线平台在技术上投入不够,管理层对信息安全重视严重不足。中小平台在安全技术上更加薄弱,很多都是购买通用开源代码模板或者外包。互联网金融业漠视信息安全的现状埋下了众多隐患。而我国的互联网金融产业经过3年的迅速增长,覆盖面已经很广。
麦肯锡公司在其发布的《中国银行业创新系列报告》中称:2015年底,中国互联网金融的市场规模达到12-15万亿元,占GDP的近20%。互联网金融用户人数已经超过5亿,这样庞大的用户群和涉及面,如果信息安全事件愈演愈烈甚至失控,将会对国家和社会造成不可估量的损失。互联网金融信息安全已经刻不容缓。
互联网金融行业的监管者,无疑是解决信息安全问题的关键。2015年7月,由央行牵头,联合9部委联合公布《关于促进互联网金融健康发展的指导意见》中, 在20条指导意见中用第17条整专门强调网络与信息安全:“从业机构应当切实提升技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。人民银行、银监会、证监会、保监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管,并制定相关监管细则和技术安全标准”。
2016年末有望加速出台的中国首部《网络安全法》,明确指出“网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。”
这样明确的立法显然没有刹住非法买卖泄露客户信息的歪风。 这个跟监管者没有下重拳真正严格执行不无关系。所谓“乱世用重典”,对于信息泄露的乱象,政府必须使用强硬的惩罚措施,杀鸡儆猴,以儆效尤,才能让从业者从根本上真正重视信息安全,才能让不法分子犯法之前三思而后行。美国政府对2008年金融风暴始作俑者的惩戒,堪称全世界“重典”的楷模。
金融风暴8年来,美国政府累计罚金达到惊人的1500亿美元,国际大行纷纷沦陷。就连没拿政府一分钱资助,靠自身实力挺过难关的德意志银行,最近也收到140亿美金的巨额罚单。近期全世界都担心她因巨额罚单而像雷曼一样轰然倒塌。在这样高压惩罚下,所有银行战战兢兢,不敢轻易越雷池一步。
信息安全和隐私保护是世界性难题,美国政府的做法可圈可点。任何人可以通过申请美国联邦贸易委员会(一个专门保护消费者的组织)的“不许打电话”(DoNotCall)的服务而免受电话骚扰。这服务从创立2003年到现在,有105起违规的企业受到惩罚,罚金累积7400万美元。也正是由于有这样的法规和执行力保护, 美国人的手机号很少改变,用一辈子都不罕见。而在国内由于烦人的骚扰电话,身边的不少朋友几年要换一次手机号。当然,中国的监管者也有“重拳出击”达到显赫效果的案例,比如治理酒驾。任何从海外回来的人, 都会纳闷, 为什么一向以不遵守规则的中国人,饭桌上谈到酒驾就闻虎变色,变得循规蹈矩。这都要归功于公安部采用的,从外国人角度来看几近苛刻的,查处酒驾治理方法。
酒驾和个人信息泄露,前者是烈性毒药,车祸的后果害人害己,人命关天,引起高度重视; 后者是慢性毒药,在社会蔓延开来一点点毒害人民财产权隐私权,积累到最后出了人命,爆发出类似“徐玉玉”的事件,才引起关注和重视。 不知道需要多少个“徐玉玉”才能让监管真正花大力治理?靠人命来推动立法的真正执行,这样的代价值得吗?难道不能一开始就避免吗?
互联网金融信息安全标准的缺失,也是企业不作为的原因之一。 很多企业有实力也有意愿, 却苦于没有一套公认的标准来参照和衡量 。政府应该引导参与各方,尽快出台信息安全标准。这不仅让企业有标准可以依,也能帮助监管机构评估企业风险,批准企业注册,决定惩罚程度等等。 可喜的是,在笔者9月份拜访央行,参加中国互联网金融协会的一次闭门座谈会上, 李东荣会长和陆书春秘书长多次提到协会高度关注信息安全并致力于推动行业的标准。期待这一标准能尽快出台。
作为互联网金融的主体,企业保护信息安全责无旁贷。互联网金融企业在信息安全保护上,远远不够。目前互联网金融企业,没有多少企业是达到银行信息安全及格线的。
比如笔者以前在华尔街投行上班,工作用电脑光盘和USB是被技术限制无法使用的,装任何软件都要技术部门评估批准, 即时通讯软件是内部专用而不是微信QQ等外部软件,私人电脑是不允许存任何工作资料,要在家里工作只能经过繁琐的硬件和软件密码远程连上公司内部电脑,需要给外部发邮件若含有附件数据,是必须加密且只能发给非私人邮箱。
有一次笔者发附件给客户群,其中一个客户使用个人邮箱,发信后技术部门立即电话来了,要求笔者解释,否则该邮件将被拦截。
当然,以国际投行的信息安全标准要求也许过高,但是互联网金融公司既然是用技术从事金融活动,基本的金融信息安全还是必须达标的。这里银行的很多做法可以参考,比如管理层的重视,资金人才和安全系统的投入,内部流程的管控,信息的加密和使用的隔离,人员的培训等。还可以借助第三方监测机构,主动对系统的信息安全性进行全方位的考核和监督。
最后,互联网金融企业在遭受信息盗用的时候,有义务按规定通知受害的用户,披露给监管单位,而不能遮遮掩掩,用钱私了。这样不仅违反信息披露法规,损害客户的利益,而且也助长了不法分子的嚣张势头。