多起震惊金融圈的个人信息泄露案件,于近期引发监管部门的高度关注。随着银监、保监及刑侦部门地毯式的摸排清查及风险警示,逐步勾勒出这条灰色产业链背后的运作轨迹。
金融机构员工卷入隐私泄露案
“请问是××先生吗?您平时做股票吗?有一个马上要拉升的个股可以推荐给您……”对于这样的骚扰电话,我们或许早就见怪不怪。
来自中国青年政治学院互联网法治研究中心的一份最新调查显示,81%的受访者经历过这种骚扰,直呼其名的理财产品推销甚至是恶意诈骗电话不胜枚举。尽管如此,但由于及时识破而未使利益受损,过半受访者选择了沉默。
但仍有不少受害者扛起了维权大旗,直指个人隐私泄露案背后暗藏金融机构身影。记者从相关渠道获悉的多份文件显示,近段时间以来,有多家银行、保险机构员工涉嫌卷入个人隐私泄露案。
来自银监会的一份风险提示函显示,近期,银行业金融机构发生多起员工违规查询、出售或非法提供客户个人信息案件和风险事件,反映出对客户个人信息保护工作管理不严,内控制度建设执行不力等问题。
银行员工利用职务之便、外泄内部资料已非个案。“汤某原先是某股份制银行总行的员工,其利用职务之便,陆续从单位调取银行客户的账户余额、历史交易记录等资料200余份,非法获利6万余元。”这起曾震惊深圳银行圈的隐私泄露案,最终以汤某锒铛入狱而宣告终结。
无独有偶,今年以来,多地多家保险机构也被卷入保险信息“泄露门”事件。不少车主投诉称,在发生交通事故、向保险公司客服人员报案后不久,便接到冒充保险公司工作人员的车险电信诈骗电话。
上海一位车主还原了被骗始末。他是在向鼎和财险客服人员报案后,接到的车险诈骗电话。这些不法分子通过非法途径掌握了他的交通事故理赔信息,以理赔款到账需核对银行账户信息或保险公司出现系统故障等为由,诱骗他提供银行卡信息,并要求他在农业银行ATM机上进行转账操作,以达到非法划转、盗取银行卡内资金的目的。
记者获悉,对于上述集中发生的车险理赔电信诈骗案件,各省市保险行业协会已经向行业各公司发出警告,并配合刑侦部门对行业内外交通事故处理及保险相关信息的泄露源头开展了风险排查,尤其是对能够接触、记录车险理赔信息的人员和信息系统进行集中风险筛查。
据保险业人士透露,从车主报案到不法分子打来诈骗电话这一时间段内,不只是保险公司客服工作人员有泄露信息的可能性,道路交通事故保险理赔中心(综合服务中心)、保险公司车险理赔、保险中介机构、车辆维修机构、相关信息系统等环节的工作人员、用户和维护人员都有嫌疑,防不胜防。
产业链背后的神秘交易对手
这些涉及消费者个人隐私的数据是如何被买卖的?产业链两端的交易主体都有谁?灰色交易背后是否有一套“成熟”的定价机制?通过本报记者的深入调查采访,产业链背后的利益架构渐次浮出水面。
金融或类金融企业的员工,正是这条灰色产业链上的重要参与者。
据记者了解,这条产业链上的部分买家,正是来自于保险公司、P2P等金融类机构;卖家则多来自于银行、软件企业、电子商务企业、咨询公司、调研机构等不同行业的企业,以及近年来风生水起的快递、美容、房产中介等服务业。
保险公司是这一产业链上的重要买家之一。记者从市场上了解到,任何一个渠道都可能成为保险公司获取消费者信息的源头。
一家保险公司内部人士自曝黑幕:“我们的外部购买渠道通常有四个,一是银行、车管所等,缺点是价格较高,且现在管控严格;二是汽车4S店、修理厂和中介公司;三是外部相关调研机构及新兴产业如专业网络收集信息公司等;四是其他保险公司的理赔客户信息。”
上述人士告诉记者,这些私下买卖的数据并没有严格成熟的定价机制,价格高低和客户类型并无关系,而是和客户信息的准确性以及信息的时效性相关。“比如针对车险客户的数据信息,今年的车辆上牌信息就比前两年的上牌信息卖得贵,而来自车管所及4S店的信息准确度较高。”
“我们拿到数据前都会先打一遍电话进行核实,再进行支付。通常信息准确度高的个人信息,每条按1元至5元来支付;信息准确度相对不高的个人信息,则按每条几毛钱来支付。”多家保险公司内部人士对记者透露说。
另一家保险公司内部人士还告诉记者,非车险客户主要可以通过与银行等一些渠道合作赠送保险的方式来获得“白名单”。“银行信用卡客户的数据量大,而且有效数据较多,保险公司会和银行一起搞营销活动,一起分摊成本,一起分享新客户、新数据。”
监管齐出手整肃猖獗“内鬼”
虽然客户信息泄露事件多因个别员工而起,但也充分暴露出部分金融机构内控机制的层层漏洞,公司层面显然也难辞其咎。
案件背后所暴露出的内控缺失,也进入了监管部门的“法眼”。银监会在近日下发的《关于银行业金融机构客户个人信息泄露案件风险提示的通知》中,直指部分银行在内控问题上的四大问题。
首当其冲的是,内控机制不健全、制度执行不到位。部分银行业金融机构客户个人信息管理使用制度不健全,岗位制约和机制监督缺失,未能严格按照相关监管要求完善内容制度建设。执行中,存在未经授权或者未按规定程序查询、获取适用个人信息的问题。
其次,管理教育不到位,对员工行为失察。部分银行未能有效建立良好合规文化,客户信息保护意识淡薄,对员工日常行为疏于管理。
同时,信息系统建立应用管理不完善,也存在安全隐患。银监会在上述通知中指出,部分银行在信息存储、传输、处理过程中,未严格建立风险防范机制,存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严格,存在泄漏敏感数据的安全隐患。
另一个关键隐患是,业务外包管控不力,缺乏有效制约。一家国有大行负责房屋按揭的人士向记者指出:“银行的外包业务,的确存在泄露客户个人信息泄露的风险隐患。”
鉴于此,银监会在上述通知中明确要求,银行业金融机构要充分认识保护客户个人信息安全工作的重要意义,切实落实主体责任,完善客户个人信息保护制度建设,强化执行管理。并且要牢固树立全员合规意识,进一步加强员工教育与外包行为管理,强化信息安全建设,强化内部监督,建立完善客户个人信息保护长效机制。针对相关问题,要组织开展客户个人信息泄露风险隐患排查工作,严肃处理发现的违规问题,对涉嫌违法犯罪的,及时向公安机关报案。
在保险行业内部,近期部分地方保险行业协会也在配合刑侦部门开展工作,主要向保险公司、理赔中心等发布加强管理的指令,并要求保险公司除短信风险提示外,也须在理赔环节向车险消费者当面提示风险。
在监管齐出手整肃猖獗“内鬼”的同时,部分金融或类金融机构已开始自我施压。记者了解到,为强化内控制度,近期有部分银行上收了征信查询权限,采用由总行代分行查询征信报告的操作模式,同时上线征信查询前置系统,加强征信业务的管理。
“己所不欲勿施于人。在公司内部,我一直强调将心比心,每位员工都要把保护用户信息当成保护自己的信息一样对待,信息泄露无小事。”芝麻信用总经理胡滔向记者强调。
那么,如何才能杜绝这种个人金融信息被泄露的现象?根据《征信业管理条例》第三十八条规定,信息使用人获得的信用信息不能用作与信息主体或征信机构约定之外的其他用途,不得未经授权向第三方提供。事实上,除了金融业,社会生活中大部分领域,都已经有了个人信息保护的法律法规或部门规章。
但在中国青年政治学院互联网法治研究中心执行主任刘晓春看来,这些规范在形式上过于分散,对普通民众和企业来说,难以形成直观的认识。应尽快制定并通过一部统一的《个人信息保护法》,为公民维权、打击犯罪提供便捷的途径。
此外,与个人信息泄露的严重程度相比,针对这一状况的刑事处罚和民事追责的力度也不成比例、无法匹配。中国社科院文化法治研究中心主任周汉华指出:“实践中往往量刑较轻、且常以缓刑来执行。我建议,应该数罪并罚。”
刘晓春同时建议,执法行为应当向打击整个产业链倾斜,从针对某些具体个人的个别获取行为,转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击,这样才能标本兼治。(记者 高翔 黄蕾 周鹏峰)