近日，涉及國內(nèi)多家銀行的數(shù)百萬條客戶數(shù)據(jù)資料在暗網(wǎng)被標價兜售的消息廣為流傳。盡管涉事的各家銀行在進行數(shù)據(jù)比對核查之后，均否認了被兜售數(shù)據(jù)資料包的真實性，但是牽涉面甚廣的龐大金融數(shù)據(jù)，尤其是銀行用戶涉敏信息的安全性如何保障，仍持續(xù)在行業(yè)引發(fā)關(guān)注、研討。

截至2019年底，我國開立銀行賬戶113.52億戶，全國人均擁有銀行賬戶數(shù)達8.09戶。這些賬戶安全誰來守護？尤其是，伴隨銀行線下業(yè)務(wù)線上化、與流量方邊界日益拓寬等新變化，也給銀行數(shù)據(jù)安全管理帶來新挑戰(zhàn)。

用戶資料遭白菜價甩賣？

銀行：與真實數(shù)據(jù)不符

涉及國內(nèi)多家銀行的數(shù)百萬條客戶數(shù)據(jù)資料在暗網(wǎng)被標價兜售，連日來引發(fā)行業(yè)廣泛關(guān)注。4月15日，一位金融安全技術(shù)人士向證券時報記者證實在暗網(wǎng)確有看到該條盜賣信息。

從數(shù)據(jù)安全人士此前發(fā)布的相關(guān)截圖來看，被售賣信息里包含了大規(guī)模的金融機構(gòu)客戶數(shù)據(jù)，其中涉及上海銀行80.3155萬條、浦發(fā)銀行10萬條、招商銀行上海分行6.3萬條、中國農(nóng)業(yè)銀行90萬條、興業(yè)銀行46萬條。泄露的資料既有儲蓄賬戶，也有信用卡賬戶及私行理財賬戶，含客戶姓名、客戶類型、性別、年齡、手機號碼、開戶賬號、住址郵編、存款數(shù)據(jù)等信息。

“46萬條銀行信用卡客戶數(shù)據(jù)標價不到100美元，90萬條數(shù)據(jù)標價只賣3999美元（折合人民幣約2.8萬元），簡直是‘白菜價’。如果是真實數(shù)據(jù)，這么龐大的數(shù)據(jù)量實際售價至少10倍以上。”一位大數(shù)據(jù)行業(yè)風(fēng)控總監(jiān)向記者評價，盡管截圖顯示的樣例數(shù)據(jù)非常詳盡，但這么大的數(shù)據(jù)量價格卻低得離譜，盜賣數(shù)據(jù)是不是真的？可信度或許要打個問號。

為了核實上述情況，證券時報記者也第一時間聯(lián)系了涉事銀行，興業(yè)銀行、招商銀行、浦發(fā)銀行態(tài)度相對一致：經(jīng)過核查比對，與真實數(shù)據(jù)信息不符；不排除不法分子將不明來源數(shù)據(jù)冠以金融機構(gòu)名義兜售，以牟取非法利益。

上海銀行相關(guān)人士告訴記者，“進行了詳細比對，發(fā)現(xiàn)其所謂客戶信息中并無我行銀行賬戶信息，且與我行真實客戶信息的關(guān)鍵要素并不匹配?？烧J定該販賣信息非我行泄露數(shù)據(jù)，不排除系不法分子為牟取不當(dāng)利益?zhèn)卧臁⑵礈?、出售所謂銀行的客戶信息。”

113.5億銀行賬戶

誰在守護安全？

百萬條被兜售的數(shù)據(jù)資料包盡管真實性被駁，但龐大的金融數(shù)據(jù)尤其是銀行用戶涉敏信息的安全性如何保障？這已足夠引起行業(yè)及監(jiān)管的重視。

央行統(tǒng)計顯示，我國銀行賬戶數(shù)量穩(wěn)步增長，截至2019年末，全國共開立銀行賬戶113.52億戶、同比增長12.07%。其中，全國開立單位銀行賬戶6836.87萬戶、同比增長11.73%；個人銀行賬戶112.84億戶、同比增長12.07%；全國人均擁有銀行賬戶數(shù)達8.09戶。

“銀行業(yè)信息科技風(fēng)控要求較高，需要符合國內(nèi)外風(fēng)控管理要求，包括商業(yè)銀行信息科技風(fēng)險管理指引、巴薩爾協(xié)議、塞班斯法案等。”騰訊安全數(shù)據(jù)安全團隊負責(zé)人彭思翔告訴記者。

杭州某大型技術(shù)公司金融事業(yè)部總經(jīng)理曾負責(zé)過銀行物聯(lián)網(wǎng)解決方案，涉及數(shù)據(jù)服務(wù)采集業(yè)務(wù)，他向記者舉例，“設(shè)備采集的信息一般會保存在當(dāng)?shù)劂y行機構(gòu)，在信息保存、傳輸安全性方面，一方面銀行本身設(shè)有專網(wǎng)，內(nèi)網(wǎng)、外網(wǎng)隔開，還有硬件設(shè)施方面的防火墻設(shè)置防護；另一方面，各家銀行內(nèi)部有各個層級對安全認證的嚴格復(fù)核管理。”

“銀行的IT系統(tǒng)不具備大規(guī)模向外泄露數(shù)據(jù)的可能性。”某股份行風(fēng)險管理部門總監(jiān)向記者分析，“按銀保監(jiān)會的相關(guān)規(guī)定，銀行業(yè)IT系統(tǒng)基本分為生產(chǎn)域、測試域、互聯(lián)網(wǎng)域等，三個域之間的數(shù)據(jù)傳輸受到嚴格限制。只有在生產(chǎn)域才能看到數(shù)據(jù)的全貌，測試域只有用于測試的數(shù)據(jù)，有數(shù)據(jù)量和脫敏的相關(guān)要求，互聯(lián)網(wǎng)域基本沒有客戶信息。從技術(shù)上、系統(tǒng)上看，大規(guī)模數(shù)據(jù)外泄講不通。”

流量經(jīng)濟安全新挑戰(zhàn)：泄密在前端

從近期發(fā)布的國有六大行年報來看，其中有4家2019年科技投入總金額突破百億元，最高的建設(shè)銀行投入176.33億元。截至2019年末，工商銀行金融科技人員規(guī)模多達3.48萬名、全員占比高達7.82%，建設(shè)銀行、交通銀行、中國銀行、農(nóng)業(yè)銀行金融科技人員占比分別為2.75%、4.05%、2.58%、1.58%。

銀行加大科技投入、科技人員擴容規(guī)?？涨啊Ｈ欢y行數(shù)據(jù)涉密各個環(huán)節(jié)，盡管被最高等級的風(fēng)險防護，仍難有萬全之說。

首先是不同金融機構(gòu)之間、金融機構(gòu)內(nèi)部之間的安全能力有差異。“大中型的金融機構(gòu)風(fēng)險等級高，但是一些分支機構(gòu)風(fēng)險能力就較弱，可能賬戶密碼保護不嚴密。一些地下灰黑產(chǎn)業(yè)，就會有組織、有目的性地去攻擊，抓住一些系統(tǒng)平臺存在的漏洞。”周君楨介紹。

“銀行的風(fēng)控水平并不是一碗水端平，”上述股份行智能風(fēng)控中心總監(jiān)直言，“有的銀行風(fēng)控水平高、有的銀行風(fēng)控水平低，實力強的銀行所有的模型都是行內(nèi)專業(yè)人員建模；但是部分地方如偏遠地區(qū)的銀行等，缺乏高端數(shù)據(jù)專業(yè)人才，只能通過外包方式去建模型。甚至部分不具備技術(shù)能力的銀行直接拿過來就用一些第三方公司流量數(shù)據(jù)，這些數(shù)據(jù)包括身份認證三要素和部分行為特征，但是往往這類數(shù)據(jù)可能在使用前已經(jīng)可能被泄密了。”

“泄密環(huán)節(jié)出在前端”——在數(shù)位金融機構(gòu)風(fēng)控資深從業(yè)人士看來，這是伴隨著近幾年銀行線下業(yè)務(wù)線上化，在風(fēng)險防控上更應(yīng)該引起行業(yè)注意的一個新變化。

在彭思翔看來，銀行數(shù)據(jù)泄露可能發(fā)生的場景，除了信息科技運行領(lǐng)域訪問控制策略不當(dāng)，開發(fā)、測試和維護領(lǐng)域三個環(huán)節(jié)未分離或分離后數(shù)據(jù)未脫敏，以及信息安全領(lǐng)域系統(tǒng)漏洞之外，其中一個重要的方面就發(fā)生在“外包管理領(lǐng)域”，“特別是對外包研發(fā)、測試的管理不當(dāng)。生產(chǎn)環(huán)境暴露、數(shù)據(jù)庫過度授權(quán)，都會引起數(shù)據(jù)泄露。”

“因為行業(yè)業(yè)務(wù)屬性不同，銀行的IT系統(tǒng)和互聯(lián)網(wǎng)公司之間，往往有代際差異。”前述股份行智能風(fēng)控中心總監(jiān)向記者舉例，“比如面對一個互聯(lián)網(wǎng)流量平臺采用流量分發(fā)模型，100萬客戶分發(fā)給數(shù)十家不同的銀行，與之相應(yīng)的，銀行與之對接的是流量準入模型；很天然地，這兩個模型之間是對抗關(guān)系，準入模型希望準入更多，而分發(fā)模型希望篩掉更多。在現(xiàn)實情況中，相比互聯(lián)網(wǎng)公司，銀行IT系統(tǒng)靈活度、可使用工具、覆蓋的行為數(shù)據(jù)數(shù)等，都處于相對劣勢。”

“今后銀行數(shù)據(jù)　風(fēng)控管理必將趨嚴”

“為促進金融行業(yè)健康發(fā)展與風(fēng)險控制，監(jiān)管層已經(jīng)通過發(fā)布監(jiān)管指引并將數(shù)據(jù)治理與監(jiān)管評級掛鉤的方式，來提高銀行業(yè)對數(shù)據(jù)治理工作的重視，不管有沒有出現(xiàn)這次事件，銀行今后在數(shù)據(jù)風(fēng)控管理上必將是趨嚴的。”數(shù)位銀行業(yè)內(nèi)人士均認為，盡管這次盜賣數(shù)據(jù)真實性存疑，但它后續(xù)仍然會對業(yè)務(wù)層面產(chǎn)生影響。

2018年5月，銀保監(jiān)會發(fā)布《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》，旨在引導(dǎo)銀行業(yè)金融機構(gòu)加強數(shù)據(jù)治理。去年12月，金融業(yè)移動金融APP備案首批試點開啟，首批23家試點備案名單中就有16家銀行，含5家國有大行、5家股份行、3家城商行、2家農(nóng)商行、1家農(nóng)信聯(lián)社，涉及提升安全防護、加強個人金融信息保護、提高風(fēng)險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律等五個方面，并劃定了涉及個人金融信息采集、使用、留存等方面四大紅線。

事實上，銀行數(shù)據(jù)管理趨嚴背后，是國家層面對個人信息數(shù)據(jù)管理工作的系統(tǒng)性出擊。去年下半年，工信部等數(shù)次公開點名批評百余款應(yīng)用軟件及其運營企業(yè)，涉及未經(jīng)用戶同意超范圍及非必要使用個人信息等違規(guī)情形。

記者注意到，去年5月到8月，監(jiān)管部門密集出臺了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個人信息行為認定方法等多項征求意見稿及草案。這也和上述數(shù)位銀行業(yè)人士的判斷契合，當(dāng)前央行對銀行數(shù)據(jù)治理指引已經(jīng)非常詳盡，未來的變化更多出現(xiàn)在相關(guān)立法層面。

“在數(shù)據(jù)確權(quán)、數(shù)據(jù)治理上，中國有著絕對的優(yōu)勢，將是一個世界性的數(shù)據(jù)資產(chǎn)大國。”京東數(shù)科數(shù)字技術(shù)中心數(shù)據(jù)資產(chǎn)部總經(jīng)理張旭認為，數(shù)據(jù)資產(chǎn)是銀行的核心資產(chǎn)，是政府安保數(shù)據(jù)之外最值得信賴的數(shù)據(jù)，今后數(shù)據(jù)向前發(fā)展必然面臨著確權(quán)，以及海量數(shù)據(jù)在手之后如何通過人工智能等新技術(shù)做深度挖掘、開發(fā)應(yīng)用的問題。

蘇寧金融研究院院長助理薛洪言接受記者采訪時稱：“從大環(huán)境的導(dǎo)向來看，為業(yè)內(nèi)普遍認同的是，監(jiān)管層仍然鼓勵在合規(guī)前提下推動金融機構(gòu)數(shù)據(jù)高質(zhì)量發(fā)展，比如與各類政務(wù)數(shù)據(jù)互聯(lián)互通，建立跨區(qū)域的數(shù)據(jù)融合應(yīng)用等。”（記者 段久惠）