暗 盗卖金融信息 银行账户安全面临新挑战

近日，涉及国内多家银行的数百万条客户数据资料在暗 被标价兜售的消息广为流传。尽管涉事的各家银行在进行数据比对核查之后，均否认了被兜售数据资料包的真实性，但是牵涉面甚广的庞大金融数据，尤其是银行用户涉敏信息的安全性如何保障，仍持续在行业引发关注、研讨。

截至2019年底，我国开立银行账户113.52亿户，全国人均拥有银行账户数达8.09户。这些账户安全谁来守护？尤其是，伴随银行线下业务线上化、与流量方边界日益拓宽等新变化，也给银行数据安全管理带来新挑战。

用户资料遭白菜价甩卖？

银行：与真实数据不符

从数据安全人士此前发布的相关截图来看，被售卖信息里包含了大规模的金融机构客户数据，其中涉及上海银行80.3155万条、浦发银行10万条、招商银行上海分行6.3万条、中国农业银行90万条、兴业银行46万条。泄露的资料既有储蓄账户，也有信用卡账户及私行理财账户，含客户姓名、客户类型、性别、年龄、手机 码、开户账 、住址邮编、存款数据等信息。

113.5亿银行账户

谁在守护安全？

百万条被兜售的数据资料包尽管真实性被驳，但庞大的金融数据尤其是银行用户涉敏信息的安全性如何保障？这已足够引起行业及监管的重视。

央行统计显示，我国银行账户数量稳步增长，截至2019年末，全国共开立银行账户113.52亿户、同比增长12.07%。其中，全国开立单位银行账户6836.87万户、同比增长11.73%；个人银行账户112.84亿户、同比增长12.07%；全国人均拥有银行账户数达8.09户。

流量经济安全新挑战：泄密在前端

从近期发布的国有六大行年 来看，其中有4家2019年科技投入总金额突破百亿元，最高的建设银行投入176.33亿元。截至2019年末，工商银行金融科技人员规模多达3.48万名、全员占比高达7.82%，建设银行、交通银行、中国银行、农业银行金融科技人员占比分别为2.75%、4.05%、2.58%、1.58%。

银行加大科技投入、科技人员扩容规模空前。然而，银行数据涉密各个环节，尽管被最高等级的风险防护，仍难有万全之说。

首先是不同金融机构之间、金融机构内部之间的安全能力有差异。“大中型的金融机构风险等级高，但是一些分支机构风险能力就较弱，可能账户密码保护不严密。一些地下灰黑产业，就会有组织、有目的性地去攻击，抓住一些系统平台存在的漏洞。”周君桢介绍。

“银行的风控水平并不是一碗水端平，”上述股份行智能风控中心总监直言，“有的银行风控水平高、有的银行风控水平低，实力强的银行所有的模型都是行内专业人员建模；但是部分地方如偏远地区的银行等，缺乏高端数据专业人才，只能通过外包方式去建模型。甚至部分不具备技术能力的银行直接拿过来就用一些第三方公司流量数据，这些数据包括身份认证三要素和部分行为特征，但是往往这类数据可能在使用前已经可能被泄密了。”

“泄密环节出在前端”——在数位金融机构风控资深从业人士看来，这是伴随着近几年银行线下业务线上化，在风险防控上更应该引起行业注意的一个新变化。

在彭思翔看来，银行数据泄露可能发生的场景，除了信息科技运行领域访问控制策略不当，开发、测试和维护领域三个环节未分离或分离后数据未脱敏，以及信息安全领域系统漏洞之外，其中一个重要的方面就发生在“外包管理领域”，“特别是对外包研发、测试的管理不当。生产环境暴露、数据库过度授权，都会引起数据泄露。”

“今后银行数据 风控管理必将趋严”

“为促进金融行业健康发展与风险控制，监管层已经通过发布监管指引并将数据治理与监管评级挂钩的方式，来提高银行业对数据治理工作的重视，不管有没有出现这次事件，银行今后在数据风控管理上必将是趋严的。”数位银行业内人士均认为，尽管这次盗卖数据真实性存疑，但它后续仍然会对业务层面产生影响。

2018年5月，银保监会发布《银行业金融机构数据治理指引》，旨在引导银行业金融机构加强数据治理。去年12月，金融业移动金融APP备案首批试点开启，首批23家试点备案名单中就有16家银行，含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联 ，涉及提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律等五个方面，并划定了涉及个人金融信息采集、使用、留存等方面四大红线。

事实上，银行数据管理趋严背后，是国家层面对个人信息数据管理工作的系统性出击。去年下半年，工信部等数次公开点名批评百余款应用软件及其运营企业，涉及未经用户同意超范围及非必要使用个人信息等违规情形。

“在数据确权、数据治理上，中国有着绝对的优势，将是一个世界性的数据资产大国。”京东数科数字技术中心数据资产部总经理张旭认为，数据资产是银行的核心资产，是政府安保数据之外最值得信赖的数据，今后数据向前发展必然面临着确权，以及海量数据在手之后如何通过人工智能等新技术做深度挖掘、开发应用的问题。