金融机构收集支付信息随意

金融机构收集支付信息随意金融机构收集支付信息随意 人民人民 日报追问 谁来保护支付安全日报追问 谁来保护支付安全 2016 年 11 月 21 日 13 48 新浪综合 人民日报 11 月 21 日报道 目前 以个人信息为基础的精准诈骗逐渐成为 不法分子盗取资金的主要手段 金融和支付机构在提供网上服务和交易过程中 大量收集个人信息 由于监管和内控机制不到位 频频出现信息泄露现象 正 在严重威胁用户支付安全 那么 信息泄露带来的安全隐患会有多大 网上支 付该如何防范可能的风险 记者进行了调查 买份保险却被盗走信息 某支付机构泄露上千万张银行卡信息 用户损失 3900 多万元 家住北京朝阳区管庄的杨军有一辆轿车 每到年检前 他都要赶到 4S 店 购买车险 最近 杨军听说网上买保险很方便 就在保险公司官网上买了车险 保单第二天就送到家了 确实省心省力 然而 一周后 杨军接到了一个北京地区的固定电话 电话那头自称保险 公司工作人员 开口就问他是不是有一辆车牌号京 NLM3XX 的现代汽车上周 买了车险 杨军确认后 对方立刻表示公司正在进行老客户回馈 杨军将获赠 欧米茄手表 1 只和空气净化器 1 台 一般对这种电话我也不信 但她一连串说出了我的车险价格 身份证号 家庭住址等信息 甚至还有付款用的银行卡号 我觉得有点可信了 杨军说 随后对方表示 将会通过快递公司将奖品送到杨军的家庭住址 但需要支 付 20 元的快递费 正是这 20 元的快递费 让杨军警觉了 当初配送保单是 完全免费的 保险公司几万元的奖品都送了 还差这 20 块钱 杨军随即挂 断电话 上网一查 杨军发现此类骗局不少 骗子以免费送礼品为噱头上门送货 一旦客户开箱查看商品 就会被要求支付高额的配送费和税款 如果客户拒收 骗子会采取人身威胁等手段 强迫客户交钱 而所谓的奖品 要么是假货 要 么是礼品券 客户真要使用时就会发现根本无法兑换 杨军马上致电保险公司 负责接待投诉的客户经理表示 也有客户遭遇过 类似诈骗 但自己所在的保险公司是正规的大公司 我们内控非常严 不可 能发生资料泄露的情况 杨军提出质疑 如果不是保险公司泄露 骗子怎么可能知道这么详细的 保险信息 对方只好表示要查一查才能清楚 但当杨军询问保险公司何时能 给出答复时 对方却说 这种事您也知道 现在信息泄露太普遍了 我们也 没办法 而且您买保险用的网上支付机构 保单快递公司都可能泄露您的信息 这下杨军更紧张了 由于当时买保险要网上支付 杨军就将自己的信用卡 号 验证码 手机号等支付信息输入了网站 并开通了快捷支付 要是支付 信息也泄露了 那骗子岂不是可以随意用我的卡付款 想到这里 杨军赶紧 联系银行更换了自己的银行卡 杨军并非多虑 随着互联网金融和电子商务快速崛起 网上支付变得越来 越普遍 而支付信息一旦泄露 给消费者人身 财产造成的损害将难以控制 中国人民银行披露的信息显示 2015 年 1 月 某支付机构泄露了上千万张银 行卡信息 涉及全国 16 家银行 之后半年多的时间里 由于伪卡形成的损失 已达 3900 多万元 真实 准确 完整 精准的海量金融信息直接关系到广大消费者的财产 安全与人身安全 此类信息泄露比普通的个人信息泄露更有危害性 后果也更 严重 中国人民大学法学院教授刘俊海表示 金融和支付机构一味追求快捷 便利 对信息安全的保护严重滞后 不少机构还以默认方式为消费者开通快捷 支付 自动支付功能 风险隐患更大 一旦消费者权益受损的法律风险浮出水 面 消费者和监管部门将面临举证难 查证难的困境 损失也大多由消费者埋 单 金融机构收集信息太随意 一些公司内部员工下载大量用户资料 多次批量对外出售 在北京从事媒体工作的李女士今年 9 月初收到某国有银行短信通知 称其 在该行的账户变动短信通知免费服务将在 10 月底前停止 如果希望继续得到 通知 可以选择 2 元 月的收费服务 或者下载安装该行的手机软件免费使用 我的工资是在这家银行代发的 如果没有通知会很不方便 李女士无 奈只得按照银行要求去下载手机软件 然而 安装过程却让李女士起了疑 手机提示我这个软件会自动获取手 机通讯录和地理位置信息 一个通知账户金额变动的软件 要我的位置和通讯 录干吗 如果信息泄露了 谁来负责 最让李女士不能接受的是 银行解释称这样做是为了防止伪基站和短信诈 骗带来的资金风险 提升资产变动信息的私密性 同样是短信通知服务 难 道收费就比免费的安全 手机软件收集这么多的个人信息 反而让我觉得更不 安全 记者找来一部使用安卓系统的三星手机进行体验 发现安装过程中手机系 统发出提示 使用该软件将会 读取手机状态和 ID 获取 大概位置和精确 位置 读取和写入联系人数据等 而且只给用户 安装 和 取消 两个选 择 这就意味着 如果不直接开放上述权限 安卓系统的手机将无法安装使用 此软件 记者进一步调查发现 不仅是银行的金融软件 一些第三方支付 理财机 构的软件 也普遍要求开放地理位置 通讯录等权限 而对于收集这些信息干 什么 如何保存 并没有给出专门的解释 一些银行等金融机构在大规模应用信息技术过程中 确实存在着过度收 集信息的现象 一旦保护措施不到位 就会造成信息泄露 华夏银行 11 770 0 32 2 79 发展研究部战略室负责人杨驰表示 目前金融和支付机 构发展互联网业务 普遍以客户拓展为业绩考核导向 多收集一份个人信息 意味着多一条拓展客户的渠道 比如 收集了客户的地理位置信息 金融和支付机构就能够判断客户经常 出现的地点 以此向客户精准推荐营业网点和合作商家 有了客户通讯录信息 金融软件就能像微信一样发展成社交网络 通过当前客户发展更多客户 杨驰介绍 目前我国没有专门保护个人信息的法律 金融机构到底可以收 集哪些信息 监管部门也没有出台详细规定 而对于信息保管 各家金融机构 水平差别很大 大的金融机构内控相对好一些 会有专职部门负责这项工作 但一些小机构几乎没有专人负责 由于内控机制不完善 金融机构泄露个人信息现象屡见不鲜 甚至很多内 部员工成为 内鬼 2013 年 11 月 某支付机构内部员工因多次批量出售用 户信息被杭州警方逮捕 该员工利用工作便利 多次下载公司用户资料 内容 超过 20G 支付公司负责人表示 不得不承认 我们在管理上出了一些问题 今年 5 月 山东菏泽警方侦破一起定制型贩卖个人信息案 抓获嫌疑人 29 名 其中包括银行员工 2 人 交易个人信息共计 200 余万条 今年公安部部署 打击整治网络侵犯公民个人信息犯罪专项行动 半年内就抓获犯罪嫌疑人 3300 余人 其中银行 电信等行业 内鬼 270 余人 查获信息 290 余亿条 刘俊海表示 依据消费者权益保护法的规定 商业机构收集个人信息必须 遵循明示 同意 必要 合法 保密等原则 金融和支付机构也不例外 很多 机构在收集信息过程中 虽然也会征得消费者同意 但大多是走形式 更有甚 者 消费者若不同意 就不能使用金融服务 消费者最终只能忍气吞声 做出 无奈的选择 必须让金融机构明白 收集信息的行为本身意味着相应义务和责任的承 担 只有如此 金融机构才会谨慎收集个人信息 刘俊海说 基于信息泄露 时消费者举证难 金融机构责任轻的实际状况 建议适当强化金融机构在个人 信息保管方面的法律义务与责任 如果消费者能证明信息已提供给某机构 该 机构就有义务证明自己尽到了合理谨慎的保管义务 否则 须赔偿消费者由于 信息泄露而遭受的损失 信息泄露是支付安全风险源 不法分子利用那些泄露的数据刻画客户身份并实施精准诈骗 从近年来电信和金融诈骗的发展趋势看 随着人们防范意识提高 广撒网 式的随机诈骗手段已很难得逞 依靠个人信息实施精准诈骗成为主要手段 国 内最大的第三方支付平台支付宝去年发布的统计显示 网上支付最常见的风险 类型是信息泄露引起的账户被盗和个人欺诈 占到网上支付风险八成以上 中国人民银行副行长范一飞近日公开表示 一段时期以来 一些行业个人 信息泄露事件频发 不法分子利用泄露数据刻画客户身份并实施精准诈骗 信 息泄露成为资金犯罪的基本作案条件和支付风险源头 骗子能够得逞 利用的就是信息不对称 而掌握越多的个人信息 意味 着骗子成功的几率越大 刘俊海表示 金融机构必须高度重视个人信息在支 付安全中的重要意义 认真履行金融信息安全保障义务 切实堵住信息泄露的 第一道门 真正为消费者站好岗 放好哨 把好关 杨驰认为 应该借鉴国外经验 出台专门的个人信