國外金融信息泄露案件成因及對我國的啟示

近年來，隨著區塊鏈、大數據、云計算等新興科技的廣泛發展與應用，給客戶帶來了無限便捷的可能，但同時也給不法分子提供了可乘之機，其潛在的信息泄漏風險也日益加大。據Verizon《2018年數據泄漏調查報告》顯示，當年共發生2216起數據泄漏事件，其中金融數據泄露占比15%，金融信息泄露已成為影響全球金融穩定的重要威脅。為此，本文針對2018年以來國外金融領域信息泄漏案件的主要特點及問題成因并對我國加強金融信息保護提出相關建議。

一、國外金融信息泄露的典型案例

（一）因業務系統缺陷而引發信息泄露。如，美國金融服務巨頭Capital One在2018年3月泄漏近50.4GB個人及企業數據，其主要原因是其服務供應商Birst公司設在云安全廠商UpGuard公司的Amazon Web Services（簡稱AWS）S3存儲桶未受保護;美國馬里蘭聯合保險協會（MDJIA）在2018年1月19日因一個內含IT運營重要敏感數據的聯網存儲設備（NAS）通過開放端口與互聯網連接，導致數千客戶信息被泄漏到網上;著名跨境支付平臺PayPal旗下移動支付服務程序Venmo app默認公開用戶交易信息，引發數據安全問題，2018年7月某用戶通過這一隱私策略查詢Venmo API并下載了該公司所有2017年的公開交易記錄，總計2.08億條。

（二）因遭受網絡攻擊而引發信息泄露。如，2018年4月美國航空公司Delta及零售百貨公司Sears先后遭遇黑客入侵，導致數十萬名客戶的信用卡資料被曝光;2018年5月，加拿大蒙特利爾銀行（Bank of Montreal）和網上銀行Simplii Financial均發表聲明稱遭到黑客勒索，入侵黑客警告稱已經訪問了近9萬名客戶的賬戶及相關個人信息，這是加拿大金融系統近年來遭受最大規模的網絡攻擊;2018年7月，智利政府發布消息稱，某黑客盜取了智利約1.4萬張信用卡的資料，并將客戶信用卡卡號、有效期限及安全碼等個人資料公布在社交媒體上，受攻擊影響的銀行包括桑坦德銀行（Santander）、伊塔烏銀行（Itau）、豐業銀行（Scotiabank）和智利銀行（Banco de Chile）等大型商業銀行。

（三）因金融機構內部管理制度失效引發信息泄露。如，2018年5月，澳大利亞第一大商業銀行——澳大利亞聯邦銀行證實，其包含客戶姓名、地址、賬號和2000年至2016年的交易詳情記錄的兩個存儲磁帶，在一次數據中心轉運任務中被其分包商Fuji-Xerox丟失，其中至少存儲有1200萬名用戶的銀行交易數據，并難以尋回;2018年4月，美國Sun Trust銀行表示，一名離職員工通過與第三方合作對公司的客戶聯系人名單進行了盜竊，名單包含的客戶個人信息包括客戶的姓名、地址、電話號碼以及某些賬戶余額等，超過150萬名客戶的個人信息可能已經因此遭到泄露。

二、國外金融信息泄露案件成因

（一）行業監管不力，法律約束力不強。當前世界各國對出現的金融信息泄露事件尚缺乏統一的金融監管標準和對接機制，可以參考依據的法律法規不足，面對重大金融信息泄露案件時監管往往處于滯后和被動地位，既無法通過有效的監管倒逼機制督促金融機構及時化解風險、消除影響;也無法對事件相關責任人進行嚴格的責任處罰，以對竊密行為形成強有力的震懾，“高收益低風險”的特征一定程度上助長了境內外黑客對金融系統的攻擊行為。

（二）科技力量薄弱，缺乏及時響應能力。從國際金融科技發展的大環境看，金融系統的科技運用及維護能力普遍弱于第三方開發公司，在金融機構與第三方公司的合作過程中，因金融機構軟硬件系統老化、漏洞、缺陷等原因，系統建設存在漏洞的概率較高。同時，金融機構的信息專業人才較為匱乏，面對黑客攻擊時，在安全策略調整、信息泄露預警、應對措施和應急流程等方面難以有效應對，導致風險事件迅速擴大，釀成嚴重損失。

（三）內部管理失位，風險防控意識較差。金融機構對金融信息的安全管理意識尚處于淺層和表面，對不同業務部門之間的信息安全協同機制構建、一線操作人員的信息安全培訓重視程度不夠，導致出現內部員工監守自盜或失密泄密等嚴重操作風險。

三、對我國的幾點啟示

一是健全完善監管制度，加大違法懲戒力度。建議針對金融科技領域制定專項信息保護法，引導金融機構切實加強對員工的信息安全培訓，同時監管機構要建立專業的金融科技工作監測隊伍，對引發金融泄密事件的相關失責人員，實行定格處罰制度，防止金融機構內部員工故意泄露信息牟利。

二是加快金融信息化標準建設。建議由國家有關部委牽頭建設統一的認證和數字識別中心，為各種金融信息活動提供相應規范，進一步提高金融信息標準化管理。

三是提高相關系統的安全等級。金融機構要定期對系統進行升級，加強軟硬科學技術的綜合運用，不同金融機構可組織開展系統攻防演練，在實踐中發現漏洞并對其進行完善。

四是加大宣傳力度，建立應急預警機制。多渠道、全方位開展金融信息知識普及活動，提高人民群眾的金融信息保護意識。金融機構要建立健全應急預警機制，確保在發生信息泄露案件時，第一時間快速響應，盡快將負面影響降到最低。

（作者單位：中國人民銀行五臺縣支行）