独角315 | 爬取数据、内鬼出售、APP违规采集…… 你的金融信息安全亟待保护！

作者：新金融部

来源：独角金融

在金融行业虚拟化和网络化程度不断提升的当下，个人金融信息安全面临着前所未有的挑战。

银行、保险等内鬼出售个人金融信息。数据公司违规爬取用户信息，与贷款公司、催收公司等合作。金融APP违法违规采集使用个人信息……

有金融机构从业人员感叹道：“得数据者得天下，现在金融行业也是如此。机构会想尽一切办法搜集用户信息发展业务，用户隐私和数据安全问题也就变得日益突出。”

一般而言，个人金融信息一般是指个人在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展和细化。金融消费者在提高防范意识、擦亮眼睛保护自己金融信息安全的同时，还要警惕这些来自外界的“伤害”。

一些掌握公民个人信息的金融机构 “内鬼”将信息出售，也成为非法交易公民个人信息链条的源头。

银行员工泄漏个人信息的事件频频发生。2月26日，裁判文书网披露一则侵犯公民个人信息刑事裁定书。其中，为寻找客户做贷款，深圳某金融服务公司黄某宁、谢某伟、林某忠与某银行信贷部员工郑某斌、王某华非法使用公民个人信息。最终，5人均因侵犯公民个人信息罪被判有期徒刑1年至3年不等。

（图片来源：裁判文书网）

十堰市茅箭区公安分局侦办的“5.25”部督特大侵犯公民个人信息案中，涉及非法获取的公民信息数量15万余条，涉案人员包含银行职员、协警、计生工作人员等。

保险公司员工非法获取、售卖客户信息的情况也不少。多家媒体都曾报道，一些保险公司内部人员利用职务之便，将大量保单个人信息售卖给同业竞争机构，或是其他销售行业的公司。

（图片来源：百度）

2020年2月24日，中国银保监会发布《关于预防银行业保险业从业人员金融违法犯罪的指导意见》，文件特别强调，银行保险机构要严防从业人员利用职权和管理漏洞，篡改后台数据、盗取资金、非法复制数据、贩卖客户信息等违法犯罪行为。

大数据风控行业刮起强劲的整治风暴，爬虫业务被推上风口浪尖。

自去年9月份开始，魔蝎科技、新颜科技、公信宝、聚信立等多家风控数据公司被曝遭到警方调查，还有一些风控数据公司主动停止了爬虫相关业务。甚至部分中小银行也暂停了数据公司在风控方面的合作业务。

据了解，在用户授权后,风控数据公司通过后台“爬虫”搜集信息,将通话信息、消费数据等个人信息整合，最终形成对借款人的“画像”，供金融机构后续使用。很多数据抓取业务涉嫌侵犯隐私，助长“套路贷”、“高利贷”，暴力催收。

一位从业人员透露，“这些所谓的大数据风控机构，数据来源大多处于灰色领域，对于个人隐私缺乏保护，存在广泛的数据滥用问题，流入放贷机构的是其数据信息滥用的一个表现。部分数据企业甚至延伸从事自营放贷业务，更是构成非法放贷罪名。”

魔蝎科技还涉嫌亲自下场放现金贷。公开资料显示，魔蝎科技对外投资了杭州信邦科技有限公司，后者曾发布信邦现金贷APP软件。合作伙伴催收涉黑更是震惊行业，据悉，魔蝎科技的合作方百乘金科因涉嫌暴力催收于2019年7月被查。

部分金融APP涉嫌违规采集使用用户金融信息的事件频频引发广泛关注。

2020年年初，工信部公布了第二批侵害用户权益行为APP名单，15款APP被要求限期整改。这些APP的问题主要涉及私自收集个人信息、过度索取权限、私自共享给第三方、账户注销难等。其中金融类APP“飞贷”被点名，原因是“不给权限不让用”。

（图片来源：工信部信息中心官微）

国家网络与信息安全信息通报中心在2019年12月4日发布消息称，公安部集中查处整改了100款违法违规APP及其运营的互联网企业。在被要求下架整改的APP中，出现了光大银行、天津农商银行、天津银行三家银行，以及乐贷款、资金保、借钱呗三家现金贷平台。网信安全中心消息显示，此次集中整治，重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形

2019年9月，国家计算机病毒应急处理中心发布《移动APP违法违规问题及治理举措》，京东金融App因“涉嫌超范围采集用户隐私信息的行为”被点名。

针对上述违规收集使用用户信息等乱象，监管部门的整治力度一直在不断加强。

2019年年底，中国人民银行发《移动金融客户端应用软件安全管理规范》。要求金融客户端在收集、使用个人金融信息时应遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意。

（图片来源：金融标准全文公开系统）

2020年2月13日，中国人民银行正式发布《个人金融信息保护技术规范》（下称《规范》）。《规范》由全国金融标准化技术委员会归口管理，规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。

《规范》同时要求，金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息，也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。

你对侵犯个人金融信息的乱象有什么想说的？欢迎评论区留言与我们互动。