X

保护个人金融信息 国外怎么做?

新加坡:严密体系也有疏漏

2019年12月5日,新加坡渣打银行被曝其私人银行客户中有647人的2月份银行账单资料外泄,成为新加坡首起银行客户资料遭窃事件。

这起事件是警方在调查其他黑客入侵案件时发现的。渣打银行在随后的声明中表示,资料偷窃者是通过入侵其合作的第三方打印服务供应商富士施乐的一个服务器实施犯罪。富士施乐主要负责为渣打银行的私人银行客户提供账单打印服务。

事件曝出,新加坡行使中央银行职责的金融管理局(金管局)发布公告称这一事件为“孤立”事件,金管局将根据渣打银行对该事件的调查报告考虑是否采取监管行动。金管局也说,金融机构面临的网络威胁日益增多,犯罪方式也多种多样。金管局严正看待这一风险,并严格要求所有金融机构保障自身IT系统安全,保证客户信息不被外泄。

实际上,作为新兴的财富管理中心,新加坡一直以其对客户信息保护的良好声誉受到全球高净值人士的青睐。在新加坡《银行法》中,对客户信息保护相关条款的表述甚至比老牌财富管理中心瑞士的法规更为严格。若违反该法泄露客户信息,个人可被处以不超过12.5万新元(1美元约合1.27新元)的罚款,或者不超过三年的监禁,或两者并处。若为法人团体,则可被处以不超过25万新元的罚款。

正是由于泄露客户信息违法成本很高,因此不论是从银行管理层面的监管、教育和培训,还是从银行从业人员本身的自律来说,对客户信息的保护都极为谨慎。甚至连马来西亚反贪污委员会副主席苏克里都曾抱怨新加坡银行保密程度太高,他所在的机构派人去查都无从下手。不过,尽管违法成本很高,从业人员的法律责任很明确,但随着现代科技的不断发展,对客户信息的保护仍然面对众多挑战,渣打银行客户信息外泄就是案例之一。

金管局在回应新加坡本地媒体的报道时说,新加坡银行大多建立了健全的IT安全标准,保证高效地提供服务,同时有效保障客户信息安全。“这些标准由银行本身的内部IT系统策略实现,同时也满足金管局在其《技术风险管理指南》要求的最低标准。”金管局的指南要求银行必须对它们内部系统和网络进行定期内测,包括安全漏洞评估,并通过触探检测识别和纠正安全漏洞。

除了对金融机构进行严格且细致的监管外,金管局也同样将触角深入到为金融机构提供外包服务的第三方公司。根据该机构去年发布的《技术风险管理指南》,金融机构必须要求第三方服务商实施与其自身内部“同等严格的”安全策略,金融机构也需监控并适时评估第三方服务提供商的安全策略等。金管局强调说,渣打银行事件虽然是“孤立事件”,但金融机构也需要提高警惕,尤其需要注重管理服务供应商的相关风险。

日本:“立法先行”防范风险

号称“技术立国”的日本,也没能针对互联网金融的快速发展及时建立起固若金汤的防范措施。不过,从世界范围来看,日本社会发生金融消费者信息遭到泄露、盗用事件的频度相对比较低。这得益于日本政府“立法先行”的一贯理念。在战后日本的科技进步、文化发展中,我们都能看到“立法先行”理念起到的重大作用。在信息安全方面,也正是由于“立法先行”,颇有预见性地防范了大部分问题的发生。

在办公刚刚进入电子化时代的20世纪90年代初,日本政府就从其政务电子化、信息发布电子化的趋势中,意识到了数据拷贝、交换中潜在的信息安全风险,并立即着手通过立法加以防范。为了使每个市民都能放心地享受IT社会的便利,2002年日本政府向国会提交了关于保护信息的《个人信息保护法》等5部法律。

《个人信息保护法》于2005年4月1日开始全面实施。这个法律为保护个人的权利和利益,规定了社会各界在对待个人信息时需要注意的规则。特别规定在获得个人信息的时候,必须明确告知本人如何利用个人信息。

随着《个人信息保护法》的实施,拥有5000条个人信息的企业都被要求建设个人信息数据库,成为信息处理机构,需要向主管大臣报告有关情况,如果没有根据新法律采取有效的改善措施,就要遭到刑事处罚。

在《个人信息保护法》的约束下,任何组织在使用个人信息之前,都必须要和本人签署合约,限定信息使用的时间、空间范围,甚至到期时的处分方式。就连新生入学时,校方都必须跟学生签订此类协议,以保证学生的个人信息不会随意泄露给第三方。一旦发生信息泄露,就将面临可能导致立即破产的高额民事赔偿,以及相应的刑事惩罚。

而针对金融业,日本政府于2006年将原本“各自为政”的《期货交易法》《证券交易法》《抵押担保证券业法》《银行法》《保险业法》等近100个法律条文进行统筹修订,其中一些被废止,并为《金融商品交易法》所取代。在新的法律框架下,金融业不再有传统的银行、保险、证券、信托等具体区分,所有的金融商品交易都被视作金融机构与消费者的契约。在这个基础上,再配合《个人信息保护法》与《消费者契约法》,三管齐下,敦促金融机构充分重视用户的个人信息安全,投入资金与技术去保护客户的信息权益。

目前,日本政府各省厅经常举行个人信息保护联席会议,交流信息,协调措施。而作为内阁府下属中央直属局的消费者厅全面负责保护国民个人信息的工作。该厅成立于2009年9月,是基于消费者的视角监督整体政策执行情况的机构,而保护个人信息是消费者的重要职责之一。

英国:主要看金融机构

2019年,伦敦建筑商人理查德经历了一件闹心事,他收到了德国法院的判决,被罚款3.4万英镑,还要补缴高达11万英镑的欠税。这一切都源于他2003年遗失的一本护照,有人利用他的个人信息在英国属地马恩岛开了一家信息公司,却触犯了法律,还欠下了税款。英国相关专家说,这是近年来英国涉及个人信息欺诈犯罪最严重的一个案子。个人信息被盗后,罪犯就可以利用它们办理信用卡、申请贷款以及申请退税等金融诈骗活动。不仅会造成财产损失,还会影响个人信用。根据英国防欺诈机构Cifas的统计,涉及个人身份信息的诈骗案件占英国各类诈骗案件的一半以上。2012年,英国共报告12.36万起个人信息诈骗案件,相比5年前增长了60%。据英国欺诈监管局披露,英国每年因个人信息被盗造成的损失达33亿英镑。

在如何防范个人信息泄露的讨论中,各类金融机构往往成为最受人们关注、最为敏感的部门,因为它们既掌握客户的个人信息,又和客户的财产有最直接的联系。

在英国,金融行为监管局负责对各类金融服务机构的监管工作。该局权力很大,能够监管金融产品的营销行为,拥有对金融机构和个人进行调查的权力,还有权暂停某项金融产品的销售。

在金融行为监管局看来,用户信息是以任何形式存在的一切个人信息,包括客户的保险记录、地址、出生日期、家庭情况、银行信息、医疗记录等,金融机构都有责任保障它们不被盗用。这样既可以减少金融犯罪和个人财产损失,也有助于提升市场信心。因为大规模的信息泄露可能影响市场信心,顾客会质疑金融机构的诚信度和安全性。

金融行为监管局会对金融机构以电子数据库或纸质档案形式,以及由第三方机构保存的顾客信息,进行检查;它向各类金融机构提供指导意见,敦促它们进行整改,以减少英国金融机构信息泄露犯罪;它提醒金融机构,信息安全不仅仅是IT问题,公司的商业处所是否安全,访客是否登记,来访期间是否受到监控,都是可能导致客户信息被盗的原因。它要求金融机构对能接触到客户信息的人员加强审核,金融机构应该以防患于未然的态度减少金融犯罪,在招聘人员时加强审核,包括对能接触到大量顾客信息的岗位应聘者的信用审查和犯罪记录审查。

金融机构被要求尽量减少顾客个人信息在通信系统的使用,减少用户信息在通信系统下不必要的暴露。比如:每年的养老金账单,上面包括了顾客的保险号码、年龄、出生日期和工资收入,还有些银行给顾客邮寄旅游保险的宣传册,上面包含了顾客的信用卡额度和部分卡号,这些对金融诈骗犯来讲都是非常有用的信息,但其实都是没必要显示出来的。

除了宣传教育,金融行为监管局也采取事后惩戒的办法,对金融机构泄露用户信息课以重罚。2007年全国建筑协会一个雇员的笔记本电脑被盗,里面存储了大量顾客信息。金融行为监管局因其“没有有效的系统和控制措施管理信息安全风险”而对全国建筑协会罚款98万英镑。

美国:重点维护网络安全

个人身份信息被盗在美国时有发生。去年年底的美国“黑色星期五”购物高潮当天,数千家零售店遭到黑客攻击,导致逾亿客户个人姓名、家庭地址、电子邮箱、电话号码、信用卡和银行卡等信息被盗,目前该事件仍持续发酵中,已演变为一场国际性的金融灾难。

美国第二大零售巨头塔吉特百货公司是客户信息被盗的重灾区。去年11月27日~12月15日,塔吉特百货公司的1797家门店遭到黑客持续19天的攻击,总计逾7000万~1.1亿客户个人资料受到影响。

美国消费者金融保护局建议遭遇或者严重怀疑自己个人信息被盗的客户申请“安全冻结”,被冻结的账户任何人都无法获得你的个人信用资料,即使你本人也需要经过一系列的安全检查才能使用。当然,你也可以随时申请解冻。

塔吉特百货公司的工作人员对此表示,目前该公司已经对所有客户的信用卡和银行卡使用情况进行监控,并提供为期一年的免费保险。如果发现异地使用或异常消费,都将及时向客户求证,如果确定并非客户所为,将会及时阻止消费,并为客户更换新信用卡或银行卡。如果客户未发现异常消费,则无需担心。塔吉特百货公司告诫所有客户,警惕电子邮件、手机短信、网络和电话欺诈,不要向未经核实的对象泄露个人信息。如果你对个人信息安全不放心,可更换密码,并在塔吉特百货公司创建异常消费行为警报。

一位塔吉特百货公司的信用卡持有人提到,一个月前曾接到塔吉特百货公司电话,告知他的信用卡在得克萨斯州购物,询问是否他本人所为。他表示从未到过得克萨斯州,于是塔吉特百货公司取消了此次消费。

美国网络安全公司发现,电信欺诈的罪魁祸首是恶意应用软件,它们通常附加在某个软件上强行进入个人手机或电脑,盗取个人信息。随着个人信息被盗日益猖獗,美国各大金融机构、销售网络纷纷高薪聘请网络安全专家,保安措施不断升级。美国运通等大公司个人账户注册信息也越来越复杂,除一般的姓名、出生年月日等个人信息外,要求回答5个只有本人知道的个人问题,选择个人特殊图标,对密码的设置也有特殊要求。

还有客户曾接到一个电话说电脑受到黑客攻击,他们可以帮助其检查并且建立特别防火墙,以确保个人信息安全。电脑专家对此表示,这就是最典型的电信欺诈,骗子千方百计通过各种手段企图进入你的个人电脑,在你的电脑中安插某种软件,盗窃个人信息。

面对众多骗术,美国有关部门也开始向公众不断发出警告。美国联邦调查局将维护网络安全列为首要任务,除严防网络黑客攻击外,还设立“网络安全月”,与各级政府和社区团体合作,告诉公众常见的欺诈手段,对公众进行防止欺诈教育。

注:本文转自《中国信用》2020年第12期,作者:胡隽欣、蓝建中、张滨阳、李大玖