4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

“打包价95万元” 互金业如何迎战个人数据泄露危局?

作者:凤凰财经 发布时间:2016-11-02

先来看一则令人哭笑不得的新闻。

据媒体报道,南宁的谢先生近日向当地食药监部门举报“吃旺旺雪饼运气没有变旺”,认为对方“虚假宣传”。可是这封举报函却莫名泄露到网上,一并泄露的还有他在举报函中留下的个人信息和联系方式。之后不断有人发短信嘲笑谢先生,而且身边人很多也都知道他写了这样的举报函,他的生活被嘲笑和戏弄笼罩着。

数据泄露让谢先生着实苦恼。这样的事儿在生活中不少见,中国互联网协会发布的《网民权益保护调查报告(2015)》显示,78.2%的网民个人身份信息被泄露过、63.4%的网民个人网上活动信息被泄露过。笔者也曾和一位打来骚扰电话的“工作人员”聊电得知,自己的电话号码是他们在网上购买的,而笔者的号码最近刚刚更新到他们的名单上。

笔者回忆了近期涉及个人信息的事项,想起来注册了一家网贷平台。会不会这家网贷平台泄露了号码?

这两天,一篇署名作者为互联网金融千人会联合创始人,原翼龙贷副总裁蔡凯龙的《P2P平台客户资料打包价95万互联网金融信息安全现状堪忧》文章引发关注。信息泄露的社会毒瘤,已经蔓延到互联网金融领域。

蔡凯龙在文中称,一位陌生人微信向他说,“打包价95万元, 上海第一阵容互联网金融公司数据,超百万份客户资料。”“知名的上海P2P平台,数据都是9月初最新的”“姓名,id,身份证,电话,成交所有数据等”。这让他感到担忧。

而他的担忧不无道理。8月19日,移动互联网系统与应用安全国家工程实验室发布了《移动互联网金融APP信息安全现状白皮书》。参与白皮书撰写的作者朱易翔表示,测试发现,参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。

对于这样的测试结果,曾经的行来从业者蔡凯龙并不意外。他表示,很多一线平台在技术上投入不够,管理层对信息安全重视严重不足。中小平台在安全技术上更加薄弱,很多都是购买通用开源代码模板或者外包。互联网金融业漠视信息安全的现状埋下了众多隐患。

在大数据时代,“数据是核心竞争力”已经成为互金企业之共识。然而,个人隐私数据的保护也容不得半年马虎。几个月前,年轻的徐玉玉因为个人信息被不法分子盗窃,导致被骗学费而失去宝贵生命,引发全社会广泛关注。

但反观当下的互金公司,其管理数据的能力还有待提升。中国信息通信研究院信息产业通信软件评测中心在今年8月公布的《2015-2016移动互联网金融APP信息安全现状白皮书》显示,互联网金融APP普遍存在加密算法的误用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄露等几个方面的问题。这些问题极易被网络黑客利用,而导致用户信息的大面积泄露。

除了黑客攻击,内部人员离职后泄露客户信息的现象也对用户隐私构成威胁。据澎湃新闻报道,一位网络炒股软件公司员工称,曾有多位该软件用户向公司举报遭到同类产品推销电话骚扰。经查证后发现,原因是一位内部销售员在离职后,将自己负责的用户通讯录卖给对手公司,后来该软件公司作报警处理。

数据管理是互金行业成长中必须夯实的一个基础。除了数据泄露风险外,个人数据采集工作也让这些公司接受着考验。

一面是目前国内征信体系还不完善,央行征信系统还未正式接入互联网金融行业,而基于社交网络信息、网购信息等集合而成的征信信息将越来越多地应用到征信进程中,依靠大数据多维度交叉验证便成为消费金融机构降低业务风险的有效方式。

而另一面是,如何合法合理地采集和应用这些数据,并且避免将这些采用来的数据随意转移和泄露,也考验着平台的实力和管理。

对于如何看待抓取或者催收数据的合法性,在近日融360举办的第二届普惠金融CRO全球峰会“行业合规与数据安全论坛”上,汇法网、催天下创始人邱靖认为,目前国内个人隐私的保护的规定,是散落在相应的一些法律规范当中。现在的法律只是说会禁止非法获取数据以及说禁止非法的使用数据,但界定是不是合法,以及存不存在非法还有待明确。

平安集团合规部副总经理雷志凌表示,呼吁立法规范数据的应用及采集。

至于怎么把隐私泄露的可能性降到最低?百融金服副总裁熊薇认为,企业要从三层面来进行设计:

首先应该用技术手段,包括物理环境、系统架构等方面;第二是ISO等各种认证体系方面的搭建;第三是制度层面,一些数据要分层,即使出现数据泄露,泄露出去的数据也是支离破碎的,很难拼成完整的数据信息。 

北京大成律师事务所高级律师肖飒撰文称,保护公民信息制度化是破解公民信息泄露引发合规纠纷的关键所在。

肖飒表示,互金企业应依照国家质量监督检验检疫总局、国家标准化管理委员会颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》、工信部颁布的《电信和互联网用户个人信息保护规定》制定用户信息保护制度。必要时,可以聘用律师制定相关制度以确保合规性。同时,保护公民信息制度化既是互金企业经营行为的合规标志,也是互金企业陷入侵犯公民个人信息指控之时的免责证据之一。

关心数据安全,也离不开我们每一位个体,不要随意留下自己的私人信息也十分重要,倒霉的谢先生可能是下一个你我,不要只想着他举报“旺旺”雪饼没有让运气变旺的事儿,当地食品监管局是怎么回应的?


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号