人民日报11月21日报道,目前以个人信息为基础的精准诈骗逐渐成为不法分子盗取资金的主要手段。金融和支付机构在提供网上服务和交易过程中,大量收集个人信息,由于监管和内控机制不到位,频频出现信息泄露现象,正在严重威胁用户支付安全。那么,信息泄露带来的安全隐患会有多大?网上支付该如何防范可能的风险?记者进行了调查。
买份保险却被盗走信息
某支付机构泄露上千万张银行卡信息,用户损失3900多万元
家住北京朝阳区管庄的杨军有一辆轿车,每到年检前,他都要赶到4S店购买车险。最近,杨军听说网上买保险很方便,就在保险公司官网上买了车险。“保单第二天就送到家了,确实省心省力。”
然而,一周后,杨军接到了一个北京地区的固定电话,电话那头自称保险公司工作人员,开口就问他是不是有一辆车牌号京NLM3XX的现代汽车上周买了车险。杨军确认后,对方立刻表示公司正在进行老客户回馈,杨军将获赠欧米茄手表1只和空气净化器1台。
“一般对这种电话我也不信,但她一连串说出了我的车险价格、身份证号、家庭住址等信息,甚至还有付款用的银行卡号,我觉得有点可信了。”杨军说。
随后对方表示,将会通过快递公司将奖品送到杨军的家庭住址,但需要支付20元的快递费。正是这20元的快递费,让杨军警觉了:“当初配送保单是完全免费的,保险公司几万元的奖品都送了,还差这20块钱?”杨军随即挂断电话。
上网一查,杨军发现此类骗局不少,骗子以免费送礼品为噱头上门送货,一旦客户开箱查看商品,就会被要求支付高额的配送费和税款,如果客户拒收,骗子会采取人身威胁等手段,强迫客户交钱。而所谓的奖品,要么是假货,要么是礼品券,客户真要使用时就会发现根本无法兑换。
杨军马上致电保险公司,负责接待投诉的客户经理表示,也有客户遭遇过类似诈骗,但自己所在的保险公司是正规的大公司,“我们内控非常严,不可能发生资料泄露的情况。”
杨军提出质疑:“如果不是保险公司泄露,骗子怎么可能知道这么详细的保险信息?”对方只好表示要查一查才能清楚,但当杨军询问保险公司何时能给出答复时,对方却说:“这种事您也知道,现在信息泄露太普遍了,我们也没办法,而且您买保险用的网上支付机构、保单快递公司都可能泄露您的信息。”
这下杨军更紧张了,由于当时买保险要网上支付,杨军就将自己的信用卡号、验证码、手机号等支付信息输入了网站,并开通了快捷支付,“要是支付信息也泄露了,那骗子岂不是可以随意用我的卡付款?”想到这里,杨军赶紧联系银行更换了自己的银行卡。
杨军并非多虑,随着互联网金融和电子商务快速崛起,网上支付变得越来越普遍,而支付信息一旦泄露,给消费者人身、财产造成的损害将难以控制。中国人民银行披露的信息显示,2015年1月,某支付机构泄露了上千万张银行卡信息,涉及全国16家银行,之后半年多的时间里,由于伪卡形成的损失已达3900多万元。
“真实、准确、完整、精准的海量金融信息直接关系到广大消费者的财产安全与人身安全,此类信息泄露比普通的个人信息泄露更有危害性,后果也更严重。”中国人民大学法学院教授刘俊海表示,金融和支付机构一味追求快捷便利,对信息安全的保护严重滞后,不少机构还以默认方式为消费者开通快捷支付、自动支付功能,风险隐患更大。一旦消费者权益受损的法律风险浮出水面,消费者和监管部门将面临举证难、查证难的困境,损失也大多由消费者埋单。
金融机构收集信息太随意
一些公司内部员工下载大量用户资料,多次批量对外出售
在北京从事媒体工作的李女士今年9月初收到某国有银行短信通知,称其在该行的账户变动短信通知免费服务将在10月底前停止,如果希望继续得到通知,可以选择2元/月的收费服务,或者下载安装该行的手机软件免费使用。
“我的工资是在这家银行代发的,如果没有通知会很不方便。”李女士无奈只得按照银行要求去下载手机软件。
然而,安装过程却让李女士起了疑:“手机提示我这个软件会自动获取手机通讯录和地理位置信息。一个通知账户金额变动的软件,要我的位置和通讯录干吗?如果信息泄露了,谁来负责?”
最让李女士不能接受的是,银行解释称这样做是为了防止伪基站和短信诈骗带来的资金风险,提升资产变动信息的私密性。“同样是短信通知服务,难道收费就比免费的安全?手机软件收集这么多的个人信息,反而让我觉得更不安全。”
记者找来一部使用安卓系统的三星手机进行体验,发现安装过程中手机系统发出提示:使用该软件将会“读取手机状态和ID”、获取“大概位置和精确位置”、读取和写入联系人数据等,而且只给用户“安装”和“取消”两个选择。这就意味着,如果不直接开放上述权限,安卓系统的手机将无法安装使用此软件。
记者进一步调查发现,不仅是银行的金融软件,一些第三方支付、理财机构的软件,也普遍要求开放地理位置、通讯录等权限,而对于收集这些信息干什么、如何保存,并没有给出专门的解释。
“一些银行等金融机构在大规模应用信息技术过程中,确实存在着过度收集信息的现象,一旦保护措施不到位,就会造成信息泄露。”华夏银行发展研究部战略室负责人杨驰表示,目前金融和支付机构发展互联网业务,普遍以客户拓展为业绩考核导向,多收集一份个人信息,意味着多一条拓展客户的渠道。
比如,收集了客户的地理位置信息,金融和支付机构就能够判断客户经常出现的地点,以此向客户精准推荐营业网点和合作商家;有了客户通讯录信息,金融软件就能像微信一样发展成社交网络,通过当前客户发展更多客户。
杨驰介绍,目前我国没有专门保护个人信息的法律,金融机构到底可以收集哪些信息,监管部门也没有出台详细规定。而对于信息保管,各家金融机构水平差别很大,“大的金融机构内控相对好一些,会有专职部门负责这项工作,但一些小机构几乎没有专人负责。”
由于内控机制不完善,金融机构泄露个人信息现象屡见不鲜,甚至很多内部员工成为“内鬼”。2013年11月,某支付机构内部员工因多次批量出售用户信息被杭州警方逮捕,该员工利用工作便利,多次下载公司用户资料,内容超过20G,支付公司负责人表示:“不得不承认,我们在管理上出了一些问题。”今年5月,山东菏泽警方侦破一起定制型贩卖个人信息案,抓获嫌疑人29名,其中包括银行员工2人,交易个人信息共计200余万条。今年公安部部署打击整治网络侵犯公民个人信息犯罪专项行动,半年内就抓获犯罪嫌疑人3300余人,其中银行、电信等行业“内鬼”270余人,查获信息290余亿条。
刘俊海表示,依据消费者权益保护法的规定,商业机构收集个人信息必须遵循明示、同意、必要、合法、保密等原则,金融和支付机构也不例外。很多机构在收集信息过程中,虽然也会征得消费者同意,但大多是走形式。更有甚者,消费者若不同意,就不能使用金融服务,消费者最终只能忍气吞声,做出无奈的选择。
“必须让金融机构明白,收集信息的行为本身意味着相应义务和责任的承担。只有如此,金融机构才会谨慎收集个人信息。”刘俊海说,基于信息泄露时消费者举证难、金融机构责任轻的实际状况,建议适当强化金融机构在个人信息保管方面的法律义务与责任。如果消费者能证明信息已提供给某机构,该机构就有义务证明自己尽到了合理谨慎的保管义务,否则,须赔偿消费者由于信息泄露而遭受的损失。
信息泄露是支付安全风险源
不法分子利用那些泄露的数据刻画客户身份并实施精准诈骗
从近年来电信和金融诈骗的发展趋势看,随着人们防范意识提高,广撒网式的随机诈骗手段已很难得逞,依靠个人信息实施精准诈骗成为主要手段。国内最大的第三方支付平台支付宝去年发布的统计显示,网上支付最常见的风险类型是信息泄露引起的账户被盗和个人欺诈,占到网上支付风险八成以上。
中国人民银行副行长范一飞近日公开表示,一段时期以来,一些行业个人信息泄露事件频发,不法分子利用泄露数据刻画客户身份并实施精准诈骗,信息泄露成为资金犯罪的基本作案条件和支付风险源头。
“骗子能够得逞,利用的就是信息不对称,而掌握越多的个人信息,意味着骗子成功的几率越大。”刘俊海表示,金融机构必须高度重视个人信息在支付安全中的重要意义,认真履行金融信息安全保障义务,切实堵住信息泄露的第一道门,真正为消费者站好岗、放好哨、把好关。
杨驰认为,应该借鉴国外经验,出台专门的个人信息保护法律,同时由金融监管部门根据行业特点出台具体细则,让金融和支付机构的信息采集与保管都能按照规定的行业标准执行。
对用户而言,应当加强日常支付中的风险防范。杨驰建议,消费者在日常网上支付时,应该按照账户分类管理的原则,不要绑定大额的银行卡。绑定的储蓄卡平时别放钱或少放钱,使用时再将相应金额转入卡内;绑定的信用卡,平时通过网上银行把额度关闭,使用时再把额度打开。
扩展阅读
保护好你的个人信息
现在,社会上个人信息被倒卖滥用的现象较为严重。中国人民银行征信管理局相关负责人分析,个人信息倒卖滥用既包括掌握个人信息的部门因各种原因泄露的个人信息,也包括诈骗团伙通过内外勾结所非法套取和购取的个人信息。在我国现阶段,掌握个人信息的部门众多,如行政司法机构、金融机构、教育机构、医疗机构、交通运输机构、住房汽车销售与租赁机构、网购电商、水电气话等公用事业服务机构等。个人信息被倒卖滥用的根本原因是公众个人信息保护法治观念淡薄,国家个人信息保护立法滞后,个人信息使用的依法监管缺位。个人信息被倒卖滥用,是对个人隐私的严重侵犯,是对个人财产权的严重侵害,其蔓延态势造成人人自危,严重影响人们的生活安宁和社会稳定。
这位负责人认为,应依法严厉打击泄露、倒卖个人信息的各类违法犯罪活动。特别是对一些涉及面广、性质恶劣的犯罪行为,抓一批典型案例,依法加大打击力度,形成有效震慑,同时要持续性地开展司法惩戒,确保不搞一阵风、不反弹。
同时,企业在市场竞争中,应增强社会责任,合法地使用个人信息,不从违法违规渠道获取个人信息,更不能与犯罪分子合作诈取个人信息,并对向其兜售个人信息的犯罪嫌疑人进行举报。
这位负责人指出,人民银行作为国务院征信业监管部门,始终坚持将防范征信信息泄露作为工作的重点,不断强化对征信行业监督管理,切实保护个人信用信息主体的合法权益。现阶段,将着力推动个人信息保护的立法工作,有针对性地提出立法措施,主要是明确各方面在个人信息保护上的权责,加大惩戒力度,依法开展个人信息保护工作。同时,持续推进个人信息保护的各项保障机制建设,不断提升监管技术手段,加强宣传教育,建立个人信息保护的长效机制。