人民日報關注信息泄露問題 第三方支付成眾矢之的

　　人民日報11月21日報道，目前以個人信息為基礎的精準詐騙逐漸成為不法分子盜取資金的主要手段。金融和支付機構在提供網上服務和交易過程中，大量收集個人信息，由于監(jiān)管和內控機制不到位，頻頻出現(xiàn)信息泄露現(xiàn)象，正在嚴重威脅用戶支付安全。那么，信息泄露帶來的安全隱患會有多大?網上支付該如何防范可能的風險?記者進行了調查。

　　買份保險卻被盜走信息

　　某支付機構泄露上千萬張銀行卡信息，用戶損失3900多萬元

　　家住北京朝陽區(qū)管莊的楊軍有一輛轎車，每到年檢前，他都要趕到4S店購買車險。最近，楊軍聽說網上買保險很方便，就在保險公司官網上買了車險。“保單第二天就送到家了，確實省心省力?！?/p>

　　然而，一周后，楊軍接到了一個北京地區(qū)的固定電話，電話那頭自稱保險公司工作人員，開口就問他是不是有一輛車牌號京NLM3XX的現(xiàn)代汽車上周買了車險。楊軍確認后，對方立刻表示公司正在進行老客戶回饋，楊軍將獲贈歐米茄手表1只和空氣凈化器1臺。

　　“一般對這種電話我也不信，但她一連串說出了我的車險價格、身份證號、家庭住址等信息，甚至還有付款用的銀行卡號，我覺得有點可信了?！睏钴娬f。

　　隨后對方表示，將會通過快遞公司將獎品送到楊軍的家庭住址，但需要支付20元的快遞費。正是這20元的快遞費，讓楊軍警覺了：“當初配送保單是完全免費的，保險公司幾萬元的獎品都送了，還差這20塊錢?”楊軍隨即掛斷電話。

　　上網一查，楊軍發(fā)現(xiàn)此類騙局不少，騙子以免費送禮品為噱頭上門送貨，一旦客戶開箱查看商品，就會被要求支付高額的配送費和稅款，如果客戶拒收，騙子會采取人身威脅等手段，強迫客戶交錢。而所謂的獎品，要么是假貨，要么是禮品券，客戶真要使用時就會發(fā)現(xiàn)根本無法兌換。

　　楊軍馬上致電保險公司，負責接待投訴的客戶經理表示，也有客戶遭遇過類似詐騙，但自己所在的保險公司是正規(guī)的大公司，“我們內控非常嚴，不可能發(fā)生資料泄露的情況?！?/p>

　　楊軍提出質疑：“如果不是保險公司泄露，騙子怎么可能知道這么詳細的保險信息?”對方只好表示要查一查才能清楚，但當楊軍詢問保險公司何時能給出答復時，對方卻說：“這種事您也知道，現(xiàn)在信息泄露太普遍了，我們也沒辦法，而且您買保險用的網上支付機構、保單快遞公司都可能泄露您的信息?！?/p>

　　這下楊軍更緊張了，由于當時買保險要網上支付，楊軍就將自己的信用卡號、驗證碼、手機號等支付信息輸入了網站，并開通了快捷支付，“要是支付信息也泄露了，那騙子豈不是可以隨意用我的卡付款?”想到這里，楊軍趕緊聯(lián)系銀行更換了自己的銀行卡。

　　楊軍并非多慮，隨著互聯(lián)網金融和電子商務快速崛起，網上支付變得越來越普遍，而支付信息一旦泄露，給消費者人身、財產造成的損害將難以控制。中國人民銀行披露的信息顯示，2015年1月，某支付機構泄露了上千萬張銀行卡信息，涉及全國16家銀行，之后半年多的時間里，由于偽卡形成的損失已達3900多萬元。

　　“真實、準確、完整、精準的海量金融信息直接關系到廣大消費者的財產安全與人身安全，此類信息泄露比普通的個人信息泄露更有危害性，后果也更嚴重?！敝袊嗣翊髮W法學院教授劉俊海表示，金融和支付機構一味追求快捷便利，對信息安全的保護嚴重滯后，不少機構還以默認方式為消費者開通快捷支付、自動支付功能，風險隱患更大。一旦消費者權益受損的法律風險浮出水面，消費者和監(jiān)管部門將面臨舉證難、查證難的困境，損失也大多由消費者埋單。

　　金融機構收集信息太隨意

　　一些公司內部員工下載大量用戶資料，多次批量對外出售

　　在北京從事媒體工作的李女士今年9月初收到某國有銀行短信通知，稱其在該行的賬戶變動短信通知免費服務將在10月底前停止，如果希望繼續(xù)得到通知，可以選擇2元/月的收費服務，或者下載安裝該行的手機軟件免費使用。

　　“我的工資是在這家銀行代發(fā)的，如果沒有通知會很不方便。”李女士無奈只得按照銀行要求去下載手機軟件。

　　然而，安裝過程卻讓李女士起了疑：“手機提示我這個軟件會自動獲取手機通訊錄和地理位置信息。一個通知賬戶金額變動的軟件，要我的位置和通訊錄干嗎?如果信息泄露了，誰來負責?”

　　最讓李女士不能接受的是，銀行解釋稱這樣做是為了防止偽基站和短信詐騙帶來的資金風險，提升資產變動信息的私密性?！巴瑯邮嵌绦磐ㄖ?，難道收費就比免費的安全?手機軟件收集這么多的個人信息，反而讓我覺得更不安全?！?/p>

　　記者找來一部使用安卓系統(tǒng)的三星手機進行體驗，發(fā)現(xiàn)安裝過程中手機系統(tǒng)發(fā)出提示：使用該軟件將會“讀取手機狀態(tài)和ID”、獲取“大概位置和精確位置”、讀取和寫入聯(lián)系人數(shù)據(jù)等，而且只給用戶“安裝”和“取消”兩個選擇。這就意味著，如果不直接開放上述權限，安卓系統(tǒng)的手機將無法安裝使用此軟件。

　　記者進一步調查發(fā)現(xiàn)，不僅是銀行的金融軟件，一些第三方支付、理財機構的軟件，也普遍要求開放地理位置、通訊錄等權限，而對于收集這些信息干什么、如何保存，并沒有給出專門的解釋。

　　“一些銀行等金融機構在大規(guī)模應用信息技術過程中，確實存在著過度收集信息的現(xiàn)象，一旦保護措施不到位，就會造成信息泄露?！比A夏銀行發(fā)展研究部戰(zhàn)略室負責人楊馳表示，目前金融和支付機構發(fā)展互聯(lián)網業(yè)務，普遍以客戶拓展為業(yè)績考核導向，多收集一份個人信息，意味著多一條拓展客戶的渠道。

　　比如，收集了客戶的地理位置信息，金融和支付機構就能夠判斷客戶經常出現(xiàn)的地點，以此向客戶精準推薦營業(yè)網點和合作商家;有了客戶通訊錄信息，金融軟件就能像微信一樣發(fā)展成社交網絡，通過當前客戶發(fā)展更多客戶。

　　楊馳介紹，目前我國沒有專門保護個人信息的法律，金融機構到底可以收集哪些信息，監(jiān)管部門也沒有出臺詳細規(guī)定。而對于信息保管，各家金融機構水平差別很大，“大的金融機構內控相對好一些，會有專職部門負責這項工作，但一些小機構幾乎沒有專人負責。”

　　由于內控機制不完善，金融機構泄露個人信息現(xiàn)象屢見不鮮，甚至很多內部員工成為“內鬼”。2013年11月，某支付機構內部員工因多次批量出售用戶信息被杭州警方逮捕，該員工利用工作便利，多次下載公司用戶資料，內容超過20G，支付公司負責人表示：“不得不承認，我們在管理上出了一些問題?！苯衲?月，山東菏澤警方偵破一起定制型販賣個人信息案，抓獲嫌疑人29名，其中包括銀行員工2人，交易個人信息共計200余萬條。今年公安部部署打擊整治網絡侵犯公民個人信息犯罪專項行動，半年內就抓獲犯罪嫌疑人3300余人，其中銀行、電信等行業(yè)“內鬼”270余人，查獲信息290余億條。

　　劉俊海表示，依據(jù)消費者權益保護法的規(guī)定，商業(yè)機構收集個人信息必須遵循明示、同意、必要、合法、保密等原則，金融和支付機構也不例外。很多機構在收集信息過程中，雖然也會征得消費者同意，但大多是走形式。更有甚者，消費者若不同意，就不能使用金融服務，消費者最終只能忍氣吞聲，做出無奈的選擇。

　　“必須讓金融機構明白，收集信息的行為本身意味著相應義務和責任的承擔。只有如此，金融機構才會謹慎收集個人信息?！眲⒖『Ｕf，基于信息泄露時消費者舉證難、金融機構責任輕的實際狀況，建議適當強化金融機構在個人信息保管方面的法律義務與責任。如果消費者能證明信息已提供給某機構，該機構就有義務證明自己盡到了合理謹慎的保管義務，否則，須賠償消費者由于信息泄露而遭受的損失。

　　信息泄露是支付安全風險源

　　不法分子利用那些泄露的數(shù)據(jù)刻畫客戶身份并實施精準詐騙

　　從近年來電信和金融詐騙的發(fā)展趨勢看，隨著人們防范意識提高，廣撒網式的隨機詐騙手段已很難得逞，依靠個人信息實施精準詐騙成為主要手段。國內最大的第三方支付平臺支付寶去年發(fā)布的統(tǒng)計顯示，網上支付最常見的風險類型是信息泄露引起的賬戶被盜和個人欺詐，占到網上支付風險八成以上。

　　中國人民銀行副行長范一飛近日公開表示，一段時期以來，一些行業(yè)個人信息泄露事件頻發(fā)，不法分子利用泄露數(shù)據(jù)刻畫客戶身份并實施精準詐騙，信息泄露成為資金犯罪的基本作案條件和支付風險源頭。

　　“騙子能夠得逞，利用的就是信息不對稱，而掌握越多的個人信息，意味著騙子成功的幾率越大?！眲⒖『１硎?，金融機構必須高度重視個人信息在支付安全中的重要意義，認真履行金融信息安全保障義務，切實堵住信息泄露的第一道門，真正為消費者站好崗、放好哨、把好關。

　　楊馳認為，應該借鑒國外經驗，出臺專門的個人信息保護法律，同時由金融監(jiān)管部門根據(jù)行業(yè)特點出臺具體細則，讓金融和支付機構的信息采集與保管都能按照規(guī)定的行業(yè)標準執(zhí)行。

　　對用戶而言，應當加強日常支付中的風險防范。楊馳建議，消費者在日常網上支付時，應該按照賬戶分類管理的原則，不要綁定大額的銀行卡。綁定的儲蓄卡平時別放錢或少放錢，使用時再將相應金額轉入卡內;綁定的信用卡，平時通過網上銀行把額度關閉，使用時再把額度打開。

　　擴展閱讀

　　保護好你的個人信息

　　現(xiàn)在，社會上個人信息被倒賣濫用的現(xiàn)象較為嚴重。中國人民銀行征信管理局相關負責人分析，個人信息倒賣濫用既包括掌握個人信息的部門因各種原因泄露的個人信息，也包括詐騙團伙通過內外勾結所非法套取和購取的個人信息。在我國現(xiàn)階段，掌握個人信息的部門眾多，如行政司法機構、金融機構、教育機構、醫(yī)療機構、交通運輸機構、住房汽車銷售與租賃機構、網購電商、水電氣話等公用事業(yè)服務機構等。個人信息被倒賣濫用的根本原因是公眾個人信息保護法治觀念淡薄，國家個人信息保護立法滯后，個人信息使用的依法監(jiān)管缺位。個人信息被倒賣濫用，是對個人隱私的嚴重侵犯，是對個人財產權的嚴重侵害，其蔓延態(tài)勢造成人人自危，嚴重影響人們的生活安寧和社會穩(wěn)定。

　　這位負責人認為，應依法嚴厲打擊泄露、倒賣個人信息的各類違法犯罪活動。特別是對一些涉及面廣、性質惡劣的犯罪行為，抓一批典型案例，依法加大打擊力度，形成有效震懾，同時要持續(xù)性地開展司法懲戒，確保不搞一陣風、不反彈。

　　同時，企業(yè)在市場競爭中，應增強社會責任，合法地使用個人信息，不從違法違規(guī)渠道獲取個人信息，更不能與犯罪分子合作詐取個人信息，并對向其兜售個人信息的犯罪嫌疑人進行舉報。

　　這位負責人指出，人民銀行作為國務院征信業(yè)監(jiān)管部門，始終堅持將防范征信信息泄露作為工作的重點，不斷強化對征信行業(yè)監(jiān)督管理，切實保護個人信用信息主體的合法權益。現(xiàn)階段，將著力推動個人信息保護的立法工作，有針對性地提出立法措施，主要是明確各方面在個人信息保護上的權責，加大懲戒力度，依法開展個人信息保護工作。同時，持續(xù)推進個人信息保護的各項保障機制建設，不斷提升監(jiān)管技術手段，加強宣傳教育，建立個人信息保護的長效機制。