保護(hù)個(gè)人金融信息 國(guó)外怎么做？

新加坡：嚴(yán)密體系也有疏漏

2019年12月5日，新加坡渣打銀行被曝其私人銀行客戶中有647人的2月份銀行賬單資料外泄，成為新加坡首起銀行客戶資料遭竊事件。

這起事件是警方在調(diào)查其他黑客入侵案件時(shí)發(fā)現(xiàn)的。渣打銀行在隨后的聲明中表示，資料偷竊者是通過入侵其合作的第三方打印服務(wù)供應(yīng)商富士施樂的一個(gè)服務(wù)器實(shí)施犯罪。富士施樂主要負(fù)責(zé)為渣打銀行的私人銀行客戶提供賬單打印服務(wù)。

事件曝出，新加坡行使中央銀行職責(zé)的金融管理局（金管局）發(fā)布公告稱這一事件為“孤立”事件，金管局將根據(jù)渣打銀行對(duì)該事件的調(diào)查報(bào)告考慮是否采取監(jiān)管行動(dòng)。金管局也說，金融機(jī)構(gòu)面臨的網(wǎng)絡(luò)威脅日益增多，犯罪方式也多種多樣。金管局嚴(yán)正看待這一風(fēng)險(xiǎn)，并嚴(yán)格要求所有金融機(jī)構(gòu)保障自身IT系統(tǒng)安全，保證客戶信息不被外泄。

實(shí)際上，作為新興的財(cái)富管理中心，新加坡一直以其對(duì)客戶信息保護(hù)的良好聲譽(yù)受到全球高凈值人士的青睞。在新加坡《銀行法》中，對(duì)客戶信息保護(hù)相關(guān)條款的表述甚至比老牌財(cái)富管理中心瑞士的法規(guī)更為嚴(yán)格。若違反該法泄露客戶信息，個(gè)人可被處以不超過12.5萬(wàn)新元（1美元約合1.27新元）的罰款，或者不超過三年的監(jiān)禁，或兩者并處。若為法人團(tuán)體，則可被處以不超過25萬(wàn)新元的罰款。

正是由于泄露客戶信息違法成本很高，因此不論是從銀行管理層面的監(jiān)管、教育和培訓(xùn)，還是從銀行從業(yè)人員本身的自律來說，對(duì)客戶信息的保護(hù)都極為謹(jǐn)慎。甚至連馬來西亞反貪污委員會(huì)副主席蘇克里都曾抱怨新加坡銀行保密程度太高，他所在的機(jī)構(gòu)派人去查都無(wú)從下手。不過，盡管違法成本很高，從業(yè)人員的法律責(zé)任很明確，但隨著現(xiàn)代科技的不斷發(fā)展，對(duì)客戶信息的保護(hù)仍然面對(duì)眾多挑戰(zhàn)，渣打銀行客戶信息外泄就是案例之一。

除了對(duì)金融機(jī)構(gòu)進(jìn)行嚴(yán)格且細(xì)致的監(jiān)管外，金管局也同樣將觸角深入到為金融機(jī)構(gòu)提供外包服務(wù)的第三方公司。根據(jù)該機(jī)構(gòu)去年發(fā)布的《技術(shù)風(fēng)險(xiǎn)管理指南》，金融機(jī)構(gòu)必須要求第三方服務(wù)商實(shí)施與其自身內(nèi)部“同等嚴(yán)格的”安全策略，金融機(jī)構(gòu)也需監(jiān)控并適時(shí)評(píng)估第三方服務(wù)提供商的安全策略等。金管局強(qiáng)調(diào)說，渣打銀行事件雖然是“孤立事件”，但金融機(jī)構(gòu)也需要提高警惕，尤其需要注重管理服務(wù)供應(yīng)商的相關(guān)風(fēng)險(xiǎn)。

日本：“立法先行”防范風(fēng)險(xiǎn)

號(hào)稱“技術(shù)立國(guó)”的日本，也沒能針對(duì)互聯(lián)網(wǎng)金融的快速發(fā)展及時(shí)建立起固若金湯的防范措施。不過，從世界范圍來看，日本社會(huì)發(fā)生金融消費(fèi)者信息遭到泄露、盜用事件的頻度相對(duì)比較低。這得益于日本政府“立法先行”的一貫理念。在戰(zhàn)后日本的科技進(jìn)步、文化發(fā)展中，我們都能看到“立法先行”理念起到的重大作用。在信息安全方面，也正是由于“立法先行”，頗有預(yù)見性地防范了大部分問題的發(fā)生。

在辦公剛剛進(jìn)入電子化時(shí)代的20世紀(jì)90年代初，日本政府就從其政務(wù)電子化、信息發(fā)布電子化的趨勢(shì)中，意識(shí)到了數(shù)據(jù)拷貝、交換中潛在的信息安全風(fēng)險(xiǎn)，并立即著手通過立法加以防范。為了使每個(gè)市民都能放心地享受IT社會(huì)的便利，2002年日本政府向國(guó)會(huì)提交了關(guān)于保護(hù)信息的《個(gè)人信息保護(hù)法》等5部法律。

《個(gè)人信息保護(hù)法》于2005年4月1日開始全面實(shí)施。這個(gè)法律為保護(hù)個(gè)人的權(quán)利和利益，規(guī)定了社會(huì)各界在對(duì)待個(gè)人信息時(shí)需要注意的規(guī)則。特別規(guī)定在獲得個(gè)人信息的時(shí)候，必須明確告知本人如何利用個(gè)人信息。

隨著《個(gè)人信息保護(hù)法》的實(shí)施，擁有5000條個(gè)人信息的企業(yè)都被要求建設(shè)個(gè)人信息數(shù)據(jù)庫(kù)，成為信息處理機(jī)構(gòu)，需要向主管大臣報(bào)告有關(guān)情況，如果沒有根據(jù)新法律采取有效的改善措施，就要遭到刑事處罰。

在《個(gè)人信息保護(hù)法》的約束下，任何組織在使用個(gè)人信息之前，都必須要和本人簽署合約，限定信息使用的時(shí)間、空間范圍，甚至到期時(shí)的處分方式。就連新生入學(xué)時(shí)，校方都必須跟學(xué)生簽訂此類協(xié)議，以保證學(xué)生的個(gè)人信息不會(huì)隨意泄露給第三方。一旦發(fā)生信息泄露，就將面臨可能導(dǎo)致立即破產(chǎn)的高額民事賠償，以及相應(yīng)的刑事懲罰。

而針對(duì)金融業(yè)，日本政府于2006年將原本“各自為政”的《期貨交易法》《證券交易法》《抵押擔(dān)保證券業(yè)法》《銀行法》《保險(xiǎn)業(yè)法》等近100個(gè)法律條文進(jìn)行統(tǒng)籌修訂，其中一些被廢止，并為《金融商品交易法》所取代。在新的法律框架下，金融業(yè)不再有傳統(tǒng)的銀行、保險(xiǎn)、證券、信托等具體區(qū)分，所有的金融商品交易都被視作金融機(jī)構(gòu)與消費(fèi)者的契約。在這個(gè)基礎(chǔ)上，再配合《個(gè)人信息保護(hù)法》與《消費(fèi)者契約法》，三管齊下，敦促金融機(jī)構(gòu)充分重視用戶的個(gè)人信息安全，投入資金與技術(shù)去保護(hù)客戶的信息權(quán)益。

目前，日本政府各省廳經(jīng)常舉行個(gè)人信息保護(hù)聯(lián)席會(huì)議，交流信息，協(xié)調(diào)措施。而作為內(nèi)閣府下屬中央直屬局的消費(fèi)者廳全面負(fù)責(zé)保護(hù)國(guó)民個(gè)人信息的工作。該廳成立于2009年9月，是基于消費(fèi)者的視角監(jiān)督整體政策執(zhí)行情況的機(jī)構(gòu)，而保護(hù)個(gè)人信息是消費(fèi)者的重要職責(zé)之一。

英國(guó)：主要看金融機(jī)構(gòu)

2019年，倫敦建筑商人理查德經(jīng)歷了一件鬧心事，他收到了德國(guó)法院的判決，被罰款3.4萬(wàn)英鎊，還要補(bǔ)繳高達(dá)11萬(wàn)英鎊的欠稅。這一切都源于他2003年遺失的一本護(hù)照，有人利用他的個(gè)人信息在英國(guó)屬地馬恩島開了一家信息公司，卻觸犯了法律，還欠下了稅款。英國(guó)相關(guān)專家說，這是近年來英國(guó)涉及個(gè)人信息欺詐犯罪最嚴(yán)重的一個(gè)案子。個(gè)人信息被盜后，罪犯就可以利用它們辦理信用卡、申請(qǐng)貸款以及申請(qǐng)退稅等金融詐騙活動(dòng)。不僅會(huì)造成財(cái)產(chǎn)損失，還會(huì)影響個(gè)人信用。根據(jù)英國(guó)防欺詐機(jī)構(gòu)Cifas的統(tǒng)計(jì)，涉及個(gè)人身份信息的詐騙案件占英國(guó)各類詐騙案件的一半以上。2012年，英國(guó)共報(bào)告12.36萬(wàn)起個(gè)人信息詐騙案件，相比5年前增長(zhǎng)了60%。據(jù)英國(guó)欺詐監(jiān)管局披露，英國(guó)每年因個(gè)人信息被盜造成的損失達(dá)33億英鎊。

在英國(guó)，金融行為監(jiān)管局負(fù)責(zé)對(duì)各類金融服務(wù)機(jī)構(gòu)的監(jiān)管工作。該局權(quán)力很大，能夠監(jiān)管金融產(chǎn)品的營(yíng)銷行為，擁有對(duì)金融機(jī)構(gòu)和個(gè)人進(jìn)行調(diào)查的權(quán)力，還有權(quán)暫停某項(xiàng)金融產(chǎn)品的銷售。

在金融行為監(jiān)管局看來，用戶信息是以任何形式存在的一切個(gè)人信息，包括客戶的保險(xiǎn)記錄、地址、出生日期、家庭情況、銀行信息、醫(yī)療記錄等，金融機(jī)構(gòu)都有責(zé)任保障它們不被盜用。這樣既可以減少金融犯罪和個(gè)人財(cái)產(chǎn)損失，也有助于提升市場(chǎng)信心。因?yàn)榇笠?guī)模的信息泄露可能影響市場(chǎng)信心，顧客會(huì)質(zhì)疑金融機(jī)構(gòu)的誠(chéng)信度和安全性。

金融行為監(jiān)管局會(huì)對(duì)金融機(jī)構(gòu)以電子數(shù)據(jù)庫(kù)或紙質(zhì)檔案形式，以及由第三方機(jī)構(gòu)保存的顧客信息，進(jìn)行檢查;它向各類金融機(jī)構(gòu)提供指導(dǎo)意見，敦促它們進(jìn)行整改，以減少英國(guó)金融機(jī)構(gòu)信息泄露犯罪;它提醒金融機(jī)構(gòu)，信息安全不僅僅是IT問題，公司的商業(yè)處所是否安全，訪客是否登記，來訪期間是否受到監(jiān)控，都是可能導(dǎo)致客戶信息被盜的原因。它要求金融機(jī)構(gòu)對(duì)能接觸到客戶信息的人員加強(qiáng)審核，金融機(jī)構(gòu)應(yīng)該以防患于未然的態(tài)度減少金融犯罪，在招聘人員時(shí)加強(qiáng)審核，包括對(duì)能接觸到大量顧客信息的崗位應(yīng)聘者的信用審查和犯罪記錄審查。

金融機(jī)構(gòu)被要求盡量減少顧客個(gè)人信息在通信系統(tǒng)的使用，減少用戶信息在通信系統(tǒng)下不必要的暴露。比如：每年的養(yǎng)老金賬單，上面包括了顧客的保險(xiǎn)號(hào)碼、年齡、出生日期和工資收入，還有些銀行給顧客郵寄旅游保險(xiǎn)的宣傳冊(cè)，上面包含了顧客的信用卡額度和部分卡號(hào)，這些對(duì)金融詐騙犯來講都是非常有用的信息，但其實(shí)都是沒必要顯示出來的。

除了宣傳教育，金融行為監(jiān)管局也采取事后懲戒的辦法，對(duì)金融機(jī)構(gòu)泄露用戶信息課以重罰。2007年全國(guó)建筑協(xié)會(huì)一個(gè)雇員的筆記本電腦被盜，里面存儲(chǔ)了大量顧客信息。金融行為監(jiān)管局因其“沒有有效的系統(tǒng)和控制措施管理信息安全風(fēng)險(xiǎn)”而對(duì)全國(guó)建筑協(xié)會(huì)罰款98萬(wàn)英鎊。

美國(guó)：重點(diǎn)維護(hù)網(wǎng)絡(luò)安全

個(gè)人身份信息被盜在美國(guó)時(shí)有發(fā)生。去年年底的美國(guó)“黑色星期五”購(gòu)物高潮當(dāng)天，數(shù)千家零售店遭到黑客攻擊，導(dǎo)致逾億客戶個(gè)人姓名、家庭地址、電子郵箱、電話號(hào)碼、信用卡和銀行卡等信息被盜，目前該事件仍持續(xù)發(fā)酵中，已演變?yōu)橐粓?chǎng)國(guó)際性的金融災(zāi)難。

美國(guó)第二大零售巨頭塔吉特百貨公司是客戶信息被盜的重災(zāi)區(qū)。去年11月27日~12月15日，塔吉特百貨公司的1797家門店遭到黑客持續(xù)19天的攻擊，總計(jì)逾7000萬(wàn)~1.1億客戶個(gè)人資料受到影響。

美國(guó)消費(fèi)者金融保護(hù)局建議遭遇或者嚴(yán)重懷疑自己個(gè)人信息被盜的客戶申請(qǐng)“安全凍結(jié)”，被凍結(jié)的賬戶任何人都無(wú)法獲得你的個(gè)人信用資料，即使你本人也需要經(jīng)過一系列的安全檢查才能使用。當(dāng)然，你也可以隨時(shí)申請(qǐng)解凍。

塔吉特百貨公司的工作人員對(duì)此表示，目前該公司已經(jīng)對(duì)所有客戶的信用卡和銀行卡使用情況進(jìn)行監(jiān)控，并提供為期一年的免費(fèi)保險(xiǎn)。如果發(fā)現(xiàn)異地使用或異常消費(fèi)，都將及時(shí)向客戶求證，如果確定并非客戶所為，將會(huì)及時(shí)阻止消費(fèi)，并為客戶更換新信用卡或銀行卡。如果客戶未發(fā)現(xiàn)異常消費(fèi)，則無(wú)需擔(dān)心。塔吉特百貨公司告誡所有客戶，警惕電子郵件、手機(jī)短信、網(wǎng)絡(luò)和電話欺詐，不要向未經(jīng)核實(shí)的對(duì)象泄露個(gè)人信息。如果你對(duì)個(gè)人信息安全不放心，可更換密碼，并在塔吉特百貨公司創(chuàng)建異常消費(fèi)行為警報(bào)。

一位塔吉特百貨公司的信用卡持有人提到，一個(gè)月前曾接到塔吉特百貨公司電話，告知他的信用卡在得克薩斯州購(gòu)物，詢問是否他本人所為。他表示從未到過得克薩斯州，于是塔吉特百貨公司取消了此次消費(fèi)。

美國(guó)網(wǎng)絡(luò)安全公司發(fā)現(xiàn)，電信欺詐的罪魁禍?zhǔn)资菒阂鈶?yīng)用軟件，它們通常附加在某個(gè)軟件上強(qiáng)行進(jìn)入個(gè)人手機(jī)或電腦，盜取個(gè)人信息。隨著個(gè)人信息被盜日益猖獗，美國(guó)各大金融機(jī)構(gòu)、銷售網(wǎng)絡(luò)紛紛高薪聘請(qǐng)網(wǎng)絡(luò)安全專家，保安措施不斷升級(jí)。美國(guó)運(yùn)通等大公司個(gè)人賬戶注冊(cè)信息也越來越復(fù)雜，除一般的姓名、出生年月日等個(gè)人信息外，要求回答5個(gè)只有本人知道的個(gè)人問題，選擇個(gè)人特殊圖標(biāo)，對(duì)密碼的設(shè)置也有特殊要求。

還有客戶曾接到一個(gè)電話說電腦受到黑客攻擊，他們可以幫助其檢查并且建立特別防火墻，以確保個(gè)人信息安全。電腦專家對(duì)此表示，這就是最典型的電信欺詐，騙子千方百計(jì)通過各種手段企圖進(jìn)入你的個(gè)人電腦，在你的電腦中安插某種軟件，盜竊個(gè)人信息。

面對(duì)眾多騙術(shù)，美國(guó)有關(guān)部門也開始向公眾不斷發(fā)出警告。美國(guó)聯(lián)邦調(diào)查局將維護(hù)網(wǎng)絡(luò)安全列為首要任務(wù)，除嚴(yán)防網(wǎng)絡(luò)黑客攻擊外，還設(shè)立“網(wǎng)絡(luò)安全月”，與各級(jí)政府和社區(qū)團(tuán)體合作，告訴公眾常見的欺詐手段，對(duì)公眾進(jìn)行防止欺詐教育。