個人金融隱私何時不再「裸奔」

得數據者得天下。然而，在“怎麼得”、“從何處得”上，卻出了大問題。一條數據交易的“灰色產業鏈”在中國金融業里肆意生長，人皆知不可為，卻又趨之若鶩。

多起震驚金融圈的個人資訊泄露案件，於近期引發監管部門高度關注。有關部門地毯式的摸排清查及風險警示，逐步勾勒出這條灰色產業鏈背後的運作軌跡。

金融機構員工捲入隱私泄露案

“請問是××先生嗎?您平時做股票嗎?有一個馬上要拉升的個股可以推薦給您……”對於這樣的騷擾電話，我們或許早就見怪不怪。

來自中國青年政治學院互聯網法治研究中心的一份最新調查顯示，81%的受訪者遭遇過這種騷擾，直呼其名的理財產品推銷甚至惡意詐騙電話不勝枚舉。由於及時識破而未使利益受損，過半受訪者對此選擇了沉默。

但仍有不少受害者扛起了維權大旗，直指個人隱私泄露案背後暗藏金融機構身影。記者從相關渠道獲得的多份文件顯示，近段時間以來，有多家銀行、保險機構員工涉嫌捲入個人隱私泄露案。

來自銀監會的一份風險提示函顯示，近期，銀行業金融機構發生多起員工違規查詢、出售或非法提供客戶個人資訊案件和風險事件，反映出對客戶個人資訊保護工作管理不嚴，內控制度建設執行不力等問題。

銀行員工利用職務之便、外泄內部資料已非個案。“湯某原先是某股份制銀行總行的員工，其利用職務之便，陸續從其單位調取銀行客戶的賬戶餘額、歷史交易記錄等資料200餘份，非法獲利6萬餘元。”這起曾震驚深圳銀行圈的隱私泄露案，最終以湯某鋃鐺入獄而宣告終結。

無獨有偶，今年以來，多地多家保險機構也被捲入保險資訊泄露事件。不少車主投訴稱，在發生交通事故、向保險公司客服人員報案後不久，便接到冒充保險公司工作人員的車險詐騙電話。

上海一位車主還原了被騙始末。他是在向鼎和財險客服人員報案後，接到的車險詐騙電話。這些不法分子通過非法途徑掌握了他的交通事故理賠資訊，以理賠款到賬需核對銀行賬戶資訊或保險公司出現系統故障等為由，誘騙他提供銀行卡資訊，並要求他在農業銀行ATM機上進行轉賬操作，以達到非法劃轉、盜取銀行卡內資金的目的。

記者獲悉，對於上述集中發生的車險理賠電信詐騙案件，各省市保險行業協會已經向行業各公司發出警告，並配合刑偵部門對行業內外交通事故處理及保險相關資訊的泄露源頭開展了風險排查，尤其是對能夠接觸、記錄車險理賠資訊的人員和資訊系統進行集中風險篩查。

據保險業人士透露，從車主報案到不法分子打來詐騙電話這一時間段內，不只是保險公司客服工作人員有泄露資訊的可能性，道路交通事故保險理賠中心(綜合服務中心)、保險公司車險理賠、保險中介機構、車輛維修機構、相關資訊系統等環節的工作人員、用戶和維護人員都有嫌疑，防不勝防。

產業鏈背後的神秘交易對手

這些涉及消費者個人隱私的數據是如何被買賣的?產業鏈兩端的交易主體都有誰?灰色交易背後是否有一套“成熟”的定價機制?通過本報記者的深入調查採訪，產業鏈背後的利益架構漸次浮出水面。

金融或類金融企業的員工，是這條灰色產業鏈上的重要參與者。

據記者了解，這條產業鏈上的部分買家，正是來自於保險公司、P2P等金融類機構；賣家則多來自於銀行、軟件企業、電子商務企業、諮詢公司、調研機構等不同行業的企業，以及近年來風生水起的快遞、美容、房產中介等服務業。

保險公司是這一產業鏈上的重要買家之一。記者從市場上了解到，任何一個渠道都可能成為保險公司獲取消費者資訊的源頭。

一家保險公司內部人士自曝黑幕:“我們的外部購買渠道通常有四個，一是銀行、車管所等，缺點是價格較高，且現在管控嚴格；二是汽車4S店、修理廠和中介公司；三是外部相關調研機構及新興產業如專業網絡收集資訊公司等；四是其他保險公司的理賠客戶資訊。”

“我們拿到數據前都會先打一遍電話進行核實，再進行支付。通常資訊準確度高的個人資訊，每條按1元至5元來支付；資訊準確度相對不高的個人資訊，則按每條幾角錢來支付。”多家保險公司內部人士對記者透露說。

另一家保險公司內部人士還告訴記者，非車險客戶主要可以通過與銀行等一些渠道合作贈送保險的方式來獲得“白名單”。“銀行信用卡客戶的數據量大，而且有效數據較多，保險公司會和銀行一起搞營銷活動，一起分攤成本，一起分享新客戶、新數據。”

監管齊出手整肅“內鬼”

客戶資訊泄露事件多因個別員工而起，但也充分暴露出部分金融機構內控機制的層層漏洞，公司層面顯然難辭其咎。

案件背後所暴露出的內控缺失，也進入了監管部門的“法眼”。銀監會在近日下發的《關於銀行業金融機構客戶個人資訊泄露案件風險提示的通知》中，直指部分銀行在內控方面的四大問題。

首當其衝的是，內控機制不健全、制度執行不到位。部分銀行業金融機構客戶個人資訊管理使用制度不健全，崗位制約和機制監督缺失，未能嚴格按照相關監管要求完善內容制度建設。執行中，存在未經授權或者未按規定程序查詢、獲取使用個人資訊的問題。

其次，管理教育不到位，對員工行為失察。部分銀行未能有效建立良好合規文化，客戶資訊保護意識淡薄，對員工日常行為疏於管理。

同時，資訊系統建立應用管理不完善，也存在安全隱患。銀監會在上述通知中指出，部分銀行在資訊存儲、傳輸、處理過程中，未嚴格建立風險防範機制，存在非授權員工查詢、下載、保存客戶個人資訊的風險隱患。資訊系統運維管理、數據提取及使用、密碼管理、網絡訪問等環節管控不嚴格，存在泄漏敏感數據的安全隱患。

另一個關鍵隱患是，業務外包管控不力，缺乏有效制約。一家國有大行負責房屋按揭的人士向記者指出:“銀行的外包業務，的確存在泄露客戶個人資訊的風險隱患。”

鑒於此，銀監會在上述通知中明確要求，銀行業金融機構要充分認識保護客戶個人資訊安全工作的重要意義，切實落實主體責任，完善客戶個人資訊保護制度建設，強化執行管理。要牢固樹立全員合規意識，進一步加強員工教育與外包行為管理，強化資訊安全建設，強化內部監督，建立完善客戶個人資訊保護長效機制。針對相關問題，要組織開展客戶個人資訊泄露風險隱患排查工作，嚴肅處理髮現的違規問題，對涉嫌違法犯罪的，及時向公安機關報案。

在保險行業內部，近期部分地方保險行業協會也在配合刑偵部門開展工作，主要向保險公司、理賠中心等發布加強管理的指令，並要求保險公司除短信風險提示外，也須在理賠環節向車險消費者當面提示風險。

在監管齊出手整肅“內鬼”的同時，部分金融或類金融機構已開始自我施壓。記者了解到，為強化內控制度，近期有部分銀行上收了徵信查詢權限，採用由總行代分行查詢徵信報告的操作模式，同時上線徵信查詢前置系統，加強徵信業務的管理。

“己所不欲勿施於人。在公司內部，我一直強調將心比心，每位員工都要把保護用戶資訊當成保護自己的資訊一樣對待，資訊泄露無小事。”芝麻信用總經理胡滔向記者強調。

那麼，如何才能杜絕這種個人金融資訊被泄露的現象?根據《徵信業管理條例》第三十八條規定，資訊使用人獲得的信用資訊不能用作與資訊主體或徵信機構約定之外的其他用途，不得未經授權向第三方提供。事實上，除了金融業，社會生活中大部分領域，都已經有了個人資訊保護的法律法規或部門規章。

但在中國青年政治學院互聯網法治研究中心執行主任劉曉春看來，這些規範在形式上過於分散，對普通民眾和企業來說，難以形成直觀的認識。應儘快制定並通過一部統一的《個人資訊保護法》，為公民維權、打擊犯罪提供便捷的途徑。

此外，與個人資訊泄露的嚴重程度相比，針對這一狀況的刑事處罰和民事追責的力度也不成比例、無法匹配。中國社科院文化法治研究中心主任周漢華指出:“實踐中往往量刑較輕、且常以緩刑來執行。我建議，應該數罪併罰。”

劉曉春同時建議，執法行為應當向打擊整個產業鏈傾斜，從針對某些具體個人的個別獲取行為，轉向對非法出售、提供、黑客侵入、販售、軟件設計等整個產業鏈的破獲和打擊，這樣才能標本兼治。(高翔 黃蕾 周鵬峰)