新加坡:嚴密體系也有疏漏
2019年12月5日,新加坡渣打銀行被曝其私人銀行客戶中有647人的2月份銀行賬單資料外泄,成爲新加坡首起銀行客戶資料遭竊事件。
這起事件是警方在調查其他黑客入侵案件時發現的。渣打銀行在隨後的聲明中表示,資料偷竊者是通過入侵其合作的第三方打印服務供應商富士施樂的一個服務器實施犯罪。富士施樂主要負責爲渣打銀行的私人銀行客戶提供賬單打印服務。
事件曝出,新加坡行使中央銀行職責的金融管理局(金管局)發布公告稱這一事件爲“孤立”事件,金管局將根據渣打銀行對該事件的調查報告考慮是否采取監管行動。金管局也說,金融機構面臨的網絡威脅日益增多,犯罪方式也多種多樣。金管局嚴正看待這一風險,並嚴格要求所有金融機構保障自身IT系統安全,保證客戶信息不被外泄。
實際上,作爲新興的財富管理中心,新加坡一直以其對客戶信息保護的良好聲譽受到全球高淨值人士的青睐。在新加坡《銀行法》中,對客戶信息保護相關條款的表述甚至比老牌財富管理中心瑞士的法規更爲嚴格。若違反該法泄露客戶信息,個人可被處以不超過12.5萬新元(1美元約合1.27新元)的罰款,或者不超過三年的監禁,或兩者並處。若爲法人團體,則可被處以不超過25萬新元的罰款。
正是由于泄露客戶信息違法成本很高,因此不論是從銀行管理層面的監管、教育和培訓,還是從銀行從業人員本身的自律來說,對客戶信息的保護都極爲謹慎。甚至連馬來西亞反貪汙委員會副主席蘇克裏都曾抱怨新加坡銀行保密程度太高,他所在的機構派人去查都無從下手。不過,盡管違法成本很高,從業人員的法律責任很明確,但隨著現代科技的不斷發展,對客戶信息的保護仍然面對衆多挑戰,渣打銀行客戶信息外泄就是案例之一。
金管局在回應新加坡本地媒體的報道時說,新加坡銀行大多建立了健全的IT安全標准,保證高效地提供服務,同時有效保障客戶信息安全。“這些標准由銀行本身的內部IT系統策略實現,同時也滿足金管局在其《技術風險管理指南》要求的最低標准。”金管局的指南要求銀行必須對它們內部系統和網絡進行定期內測,包括安全漏洞評估,並通過觸探檢測識別和糾正安全漏洞。
除了對金融機構進行嚴格且細致的監管外,金管局也同樣將觸角深入到爲金融機構提供外包服務的第三方公司。根據該機構去年發布的《技術風險管理指南》,金融機構必須要求第三方服務商實施與其自身內部“同等嚴格的”安全策略,金融機構也需監控並適時評估第三方服務提供商的安全策略等。金管局強調說,渣打銀行事件雖然是“孤立事件”,但金融機構也需要提高警惕,尤其需要注重管理服務供應商的相關風險。
日本:“立法先行”防範風險
號稱“技術立國”的日本,也沒能針對互聯網金融的快速發展及時建立起固若金湯的防範措施。不過,從世界範圍來看,日本社會發生金融消費者信息遭到泄露、盜用事件的頻度相對比較低。這得益于日本政府“立法先行”的一貫理念。在戰後日本的科技進步、文化發展中,我們都能看到“立法先行”理念起到的重大作用。在信息安全方面,也正是由于“立法先行”,頗有預見性地防範了大部分問題的發生。
在辦公剛剛進入電子化時代的20世紀90年代初,日本政府就從其政務電子化、信息發布電子化的趨勢中,意識到了數據拷貝、交換中潛在的信息安全風險,並立即著手通過立法加以防範。爲了使每個市民都能放心地享受IT社會的便利,2002年日本政府向國會提交了關于保護信息的《個人信息保護法》等5部法律。
《個人信息保護法》于2005年4月1日開始全面實施。這個法律爲保護個人的權利和利益,規定了社會各界在對待個人信息時需要注意的規則。特別規定在獲得個人信息的時候,必須明確告知本人如何利用個人信息。
隨著《個人信息保護法》的實施,擁有5000條個人信息的企業都被要求建設個人信息數據庫,成爲信息處理機構,需要向主管大臣報告有關情況,如果沒有根據新法律采取有效的改善措施,就要遭到刑事處罰。
在《個人信息保護法》的約束下,任何組織在使用個人信息之前,都必須要和本人簽署合約,限定信息使用的時間、空間範圍,甚至到期時的處分方式。就連新生入學時,校方都必須跟學生簽訂此類協議,以保證學生的個人信息不會隨意泄露給第三方。一旦發生信息泄露,就將面臨可能導致立即破産的高額民事賠償,以及相應的刑事懲罰。
而針對金融業,日本政府于2006年將原本“各自爲政”的《期貨交易法》《證券交易法》《抵押擔保證券業法》《銀行法》《保險業法》等近100個法律條文進行統籌修訂,其中一些被廢止,並爲《金融商品交易法》所取代。在新的法律框架下,金融業不再有傳統的銀行、保險、證券、信托等具體區分,所有的金融商品交易都被視作金融機構與消費者的契約。在這個基礎上,再配合《個人信息保護法》與《消費者契約法》,三管齊下,敦促金融機構充分重視用戶的個人信息安全,投入資金與技術去保護客戶的信息權益。
目前,日本政府各省廳經常舉行個人信息保護聯席會議,交流信息,協調措施。而作爲內閣府下屬中央直屬局的消費者廳全面負責保護國民個人信息的工作。該廳成立于2009年9月,是基于消費者的視角監督整體政策執行情況的機構,而保護個人信息是消費者的重要職責之一。
英國:主要看金融機構
2019年,倫敦建築商人理查德經曆了一件鬧心事,他收到了德國法院的判決,被罰款3.4萬英鎊,還要補繳高達11萬英鎊的欠稅。這一切都源于他2003年遺失的一本護照,有人利用他的個人信息在英國屬地馬恩島開了一家信息公司,卻觸犯了法律,還欠下了稅款。英國相關專家說,這是近年來英國涉及個人信息欺詐犯罪最嚴重的一個案子。個人信息被盜後,罪犯就可以利用它們辦理信用卡、申請貸款以及申請退稅等金融詐騙活動。不僅會造成財産損失,還會影響個人信用。根據英國防欺詐機構Cifas的統計,涉及個人身份信息的詐騙案件占英國各類詐騙案件的一半以上。2012年,英國共報告12.36萬起個人信息詐騙案件,相比5年前增長了60%。據英國欺詐監管局披露,英國每年因個人信息被盜造成的損失達33億英鎊。
在如何防範個人信息泄露的討論中,各類金融機構往往成爲最受人們關注、最爲敏感的部門,因爲它們既掌握客戶的個人信息,又和客戶的財産有最直接的聯系。
在英國,金融行爲監管局負責對各類金融服務機構的監管工作。該局權力很大,能夠監管金融産品的營銷行爲,擁有對金融機構和個人進行調查的權力,還有權暫停某項金融産品的銷售。
在金融行爲監管局看來,用戶信息是以任何形式存在的一切個人信息,包括客戶的保險記錄、地址、出生日期、家庭情況、銀行信息、醫療記錄等,金融機構都有責任保障它們不被盜用。這樣既可以減少金融犯罪和個人財産損失,也有助于提升市場信心。因爲大規模的信息泄露可能影響市場信心,顧客會質疑金融機構的誠信度和安全性。
金融行爲監管局會對金融機構以電子數據庫或紙質檔案形式,以及由第三方機構保存的顧客信息,進行檢查;它向各類金融機構提供指導意見,敦促它們進行整改,以減少英國金融機構信息泄露犯罪;它提醒金融機構,信息安全不僅僅是IT問題,公司的商業處所是否安全,訪客是否登記,來訪期間是否受到監控,都是可能導致客戶信息被盜的原因。它要求金融機構對能接觸到客戶信息的人員加強審核,金融機構應該以防患于未然的態度減少金融犯罪,在招聘人員時加強審核,包括對能接觸到大量顧客信息的崗位應聘者的信用審查和犯罪記錄審查。
金融機構被要求盡量減少顧客個人信息在通信系統的使用,減少用戶信息在通信系統下不必要的暴露。比如:每年的養老金賬單,上面包括了顧客的保險號碼、年齡、出生日期和工資收入,還有些銀行給顧客郵寄旅遊保險的宣傳冊,上面包含了顧客的信用卡額度和部分卡號,這些對金融詐騙犯來講都是非常有用的信息,但其實都是沒必要顯示出來的。
除了宣傳教育,金融行爲監管局也采取事後懲戒的辦法,對金融機構泄露用戶信息課以重罰。2007年全國建築協會一個雇員的筆記本電腦被盜,裏面存儲了大量顧客信息。金融行爲監管局因其“沒有有效的系統和控制措施管理信息安全風險”而對全國建築協會罰款98萬英鎊。
美國:重點維護網絡安全
個人身份信息被盜在美國時有發生。去年年底的美國“黑色星期五”購物高潮當天,數千家零售店遭到黑客攻擊,導致逾億客戶個人姓名、家庭地址、電子郵箱、電話號碼、信用卡和銀行卡等信息被盜,目前該事件仍持續發酵中,已演變爲一場國際性的金融災難。
美國第二大零售巨頭塔吉特百貨公司是客戶信息被盜的重災區。去年11月27日~12月15日,塔吉特百貨公司的1797家門店遭到黑客持續19天的攻擊,總計逾7000萬~1.1億客戶個人資料受到影響。
美國消費者金融保護局建議遭遇或者嚴重懷疑自己個人信息被盜的客戶申請“安全凍結”,被凍結的賬戶任何人都無法獲得你的個人信用資料,即使你本人也需要經過一系列的安全檢查才能使用。當然,你也可以隨時申請解凍。
塔吉特百貨公司的工作人員對此表示,目前該公司已經對所有客戶的信用卡和銀行卡使用情況進行監控,並提供爲期一年的免費保險。如果發現異地使用或異常消費,都將及時向客戶求證,如果確定並非客戶所爲,將會及時阻止消費,並爲客戶更換新信用卡或銀行卡。如果客戶未發現異常消費,則無需擔心。塔吉特百貨公司告誡所有客戶,警惕電子郵件、手機短信、網絡和電話欺詐,不要向未經核實的對象泄露個人信息。如果你對個人信息安全不放心,可更換密碼,並在塔吉特百貨公司創建異常消費行爲警報。
一位塔吉特百貨公司的信用卡持有人提到,一個月前曾接到塔吉特百貨公司電話,告知他的信用卡在得克薩斯州購物,詢問是否他本人所爲。他表示從未到過得克薩斯州,于是塔吉特百貨公司取消了此次消費。
美國網絡安全公司發現,電信欺詐的罪魁禍首是惡意應用軟件,它們通常附加在某個軟件上強行進入個人手機或電腦,盜取個人信息。隨著個人信息被盜日益猖獗,美國各大金融機構、銷售網絡紛紛高薪聘請網絡安全專家,保安措施不斷升級。美國運通等大公司個人賬戶注冊信息也越來越複雜,除一般的姓名、出生年月日等個人信息外,要求回答5個只有本人知道的個人問題,選擇個人特殊圖標,對密碼的設置也有特殊要求。
還有客戶曾接到一個電話說電腦受到黑客攻擊,他們可以幫助其檢查並且建立特別防火牆,以確保個人信息安全。電腦專家對此表示,這就是最典型的電信欺詐,騙子千方百計通過各種手段企圖進入你的個人電腦,在你的電腦中安插某種軟件,盜竊個人信息。
面對衆多騙術,美國有關部門也開始向公衆不斷發出警告。美國聯邦調查局將維護網絡安全列爲首要任務,除嚴防網絡黑客攻擊外,還設立“網絡安全月”,與各級政府和社區團體合作,告訴公衆常見的欺詐手段,對公衆進行防止欺詐教育。
注:本文轉自《中國信用》2020年第12期,作者:胡隽欣、藍建中、張濱陽、李大玖