新加坡:嚴(yán)密體系也有疏漏
2019年12月5日,新加坡渣打銀行被曝其私人銀行客戶中有647人的2月份銀行賬單資料外泄,成為新加坡首起銀行客戶資料遭竊事件。
這起事件是警方在調(diào)查其他黑客入侵案件時(shí)發(fā)現(xiàn)的。渣打銀行在隨后的聲明中表示,資料偷竊者是通過入侵其合作的第三方打印服務(wù)供應(yīng)商富士施樂的一個(gè)服務(wù)器實(shí)施犯罪。富士施樂主要負(fù)責(zé)為渣打銀行的私人銀行客戶提供賬單打印服務(wù)。
事件曝出,新加坡行使中央銀行職責(zé)的金融管理局(金管局)發(fā)布公告稱這一事件為“孤立”事件,金管局將根據(jù)渣打銀行對該事件的調(diào)查報(bào)告考慮是否采取監(jiān)管行動。金管局也說,金融機(jī)構(gòu)面臨的網(wǎng)絡(luò)威脅日益增多,犯罪方式也多種多樣。金管局嚴(yán)正看待這一風(fēng)險(xiǎn),并嚴(yán)格要求所有金融機(jī)構(gòu)保障自身IT系統(tǒng)安全,保證客戶信息不被外泄。
實(shí)際上,作為新興的財(cái)富管理中心,新加坡一直以其對客戶信息保護(hù)的良好聲譽(yù)受到全球高凈值人士的青睞。在新加坡《銀行法》中,對客戶信息保護(hù)相關(guān)條款的表述甚至比老牌財(cái)富管理中心瑞士的法規(guī)更為嚴(yán)格。若違反該法泄露客戶信息,個(gè)人可被處以不超過12.5萬新元(1美元約合1.27新元)的罰款,或者不超過三年的監(jiān)禁,或兩者并處。若為法人團(tuán)體,則可被處以不超過25萬新元的罰款。
正是由于泄露客戶信息違法成本很高,因此不論是從銀行管理層面的監(jiān)管、教育和培訓(xùn),還是從銀行從業(yè)人員本身的自律來說,對客戶信息的保護(hù)都極為謹(jǐn)慎。甚至連馬來西亞反貪污委員會副主席蘇克里都曾抱怨新加坡銀行保密程度太高,他所在的機(jī)構(gòu)派人去查都無從下手。不過,盡管違法成本很高,從業(yè)人員的法律責(zé)任很明確,但隨著現(xiàn)代科技的不斷發(fā)展,對客戶信息的保護(hù)仍然面對眾多挑戰(zhàn),渣打銀行客戶信息外泄就是案例之一。
除了對金融機(jī)構(gòu)進(jìn)行嚴(yán)格且細(xì)致的監(jiān)管外,金管局也同樣將觸角深入到為金融機(jī)構(gòu)提供外包服務(wù)的第三方公司。根據(jù)該機(jī)構(gòu)去年發(fā)布的《技術(shù)風(fēng)險(xiǎn)管理指南》,金融機(jī)構(gòu)必須要求第三方服務(wù)商實(shí)施與其自身內(nèi)部“同等嚴(yán)格的”安全策略,金融機(jī)構(gòu)也需監(jiān)控并適時(shí)評估第三方服務(wù)提供商的安全策略等。金管局強(qiáng)調(diào)說,渣打銀行事件雖然是“孤立事件”,但金融機(jī)構(gòu)也需要提高警惕,尤其需要注重管理服務(wù)供應(yīng)商的相關(guān)風(fēng)險(xiǎn)。
日本:“立法先行”防范風(fēng)險(xiǎn)
號稱“技術(shù)立國”的日本,也沒能針對互聯(lián)網(wǎng)金融的快速發(fā)展及時(shí)建立起固若金湯的防范措施。不過,從世界范圍來看,日本社會發(fā)生金融消費(fèi)者信息遭到泄露、盜用事件的頻度相對比較低。這得益于日本政府“立法先行”的一貫理念。在戰(zhàn)后日本的科技進(jìn)步、文化發(fā)展中,我們都能看到“立法先行”理念起到的重大作用。在信息安全方面,也正是由于“立法先行”,頗有預(yù)見性地防范了大部分問題的發(fā)生。
在辦公剛剛進(jìn)入電子化時(shí)代的20世紀(jì)90年代初,日本政府就從其政務(wù)電子化、信息發(fā)布電子化的趨勢中,意識到了數(shù)據(jù)拷貝、交換中潛在的信息安全風(fēng)險(xiǎn),并立即著手通過立法加以防范。為了使每個(gè)市民都能放心地享受IT社會的便利,2002年日本政府向國會提交了關(guān)于保護(hù)信息的《個(gè)人信息保護(hù)法》等5部法律。
《個(gè)人信息保護(hù)法》于2005年4月1日開始全面實(shí)施。這個(gè)法律為保護(hù)個(gè)人的權(quán)利和利益,規(guī)定了社會各界在對待個(gè)人信息時(shí)需要注意的規(guī)則。特別規(guī)定在獲得個(gè)人信息的時(shí)候,必須明確告知本人如何利用個(gè)人信息。
隨著《個(gè)人信息保護(hù)法》的實(shí)施,擁有5000條個(gè)人信息的企業(yè)都被要求建設(shè)個(gè)人信息數(shù)據(jù)庫,成為信息處理機(jī)構(gòu),需要向主管大臣報(bào)告有關(guān)情況,如果沒有根據(jù)新法律采取有效的改善措施,就要遭到刑事處罰。
在《個(gè)人信息保護(hù)法》的約束下,任何組織在使用個(gè)人信息之前,都必須要和本人簽署合約,限定信息使用的時(shí)間、空間范圍,甚至到期時(shí)的處分方式。就連新生入學(xué)時(shí),校方都必須跟學(xué)生簽訂此類協(xié)議,以保證學(xué)生的個(gè)人信息不會隨意泄露給第三方。一旦發(fā)生信息泄露,就將面臨可能導(dǎo)致立即破產(chǎn)的高額民事賠償,以及相應(yīng)的刑事懲罰。
而針對金融業(yè),日本政府于2006年將原本“各自為政”的《期貨交易法》《證券交易法》《抵押擔(dān)保證券業(yè)法》《銀行法》《保險(xiǎn)業(yè)法》等近100個(gè)法律條文進(jìn)行統(tǒng)籌修訂,其中一些被廢止,并為《金融商品交易法》所取代。在新的法律框架下,金融業(yè)不再有傳統(tǒng)的銀行、保險(xiǎn)、證券、信托等具體區(qū)分,所有的金融商品交易都被視作金融機(jī)構(gòu)與消費(fèi)者的契約。在這個(gè)基礎(chǔ)上,再配合《個(gè)人信息保護(hù)法》與《消費(fèi)者契約法》,三管齊下,敦促金融機(jī)構(gòu)充分重視用戶的個(gè)人信息安全,投入資金與技術(shù)去保護(hù)客戶的信息權(quán)益。
目前,日本政府各省廳經(jīng)常舉行個(gè)人信息保護(hù)聯(lián)席會議,交流信息,協(xié)調(diào)措施。而作為內(nèi)閣府下屬中央直屬局的消費(fèi)者廳全面負(fù)責(zé)保護(hù)國民個(gè)人信息的工作。該廳成立于2009年9月,是基于消費(fèi)者的視角監(jiān)督整體政策執(zhí)行情況的機(jī)構(gòu),而保護(hù)個(gè)人信息是消費(fèi)者的重要職責(zé)之一。
英國:主要看金融機(jī)構(gòu)
2019年,倫敦建筑商人理查德經(jīng)歷了一件鬧心事,他收到了德國法院的判決,被罰款3.4萬英鎊,還要補(bǔ)繳高達(dá)11萬英鎊的欠稅。這一切都源于他2003年遺失的一本護(hù)照,有人利用他的個(gè)人信息在英國屬地馬恩島開了一家信息公司,卻觸犯了法律,還欠下了稅款。英國相關(guān)專家說,這是近年來英國涉及個(gè)人信息欺詐犯罪最嚴(yán)重的一個(gè)案子。個(gè)人信息被盜后,罪犯就可以利用它們辦理信用卡、申請貸款以及申請退稅等金融詐騙活動。不僅會造成財(cái)產(chǎn)損失,還會影響個(gè)人信用。根據(jù)英國防欺詐機(jī)構(gòu)Cifas的統(tǒng)計(jì),涉及個(gè)人身份信息的詐騙案件占英國各類詐騙案件的一半以上。2012年,英國共報(bào)告12.36萬起個(gè)人信息詐騙案件,相比5年前增長了60%。據(jù)英國欺詐監(jiān)管局披露,英國每年因個(gè)人信息被盜造成的損失達(dá)33億英鎊。
在英國,金融行為監(jiān)管局負(fù)責(zé)對各類金融服務(wù)機(jī)構(gòu)的監(jiān)管工作。該局權(quán)力很大,能夠監(jiān)管金融產(chǎn)品的營銷行為,擁有對金融機(jī)構(gòu)和個(gè)人進(jìn)行調(diào)查的權(quán)力,還有權(quán)暫停某項(xiàng)金融產(chǎn)品的銷售。
在金融行為監(jiān)管局看來,用戶信息是以任何形式存在的一切個(gè)人信息,包括客戶的保險(xiǎn)記錄、地址、出生日期、家庭情況、銀行信息、醫(yī)療記錄等,金融機(jī)構(gòu)都有責(zé)任保障它們不被盜用。這樣既可以減少金融犯罪和個(gè)人財(cái)產(chǎn)損失,也有助于提升市場信心。因?yàn)榇笠?guī)模的信息泄露可能影響市場信心,顧客會質(zhì)疑金融機(jī)構(gòu)的誠信度和安全性。
金融行為監(jiān)管局會對金融機(jī)構(gòu)以電子數(shù)據(jù)庫或紙質(zhì)檔案形式,以及由第三方機(jī)構(gòu)保存的顧客信息,進(jìn)行檢查;它向各類金融機(jī)構(gòu)提供指導(dǎo)意見,敦促它們進(jìn)行整改,以減少英國金融機(jī)構(gòu)信息泄露犯罪;它提醒金融機(jī)構(gòu),信息安全不僅僅是IT問題,公司的商業(yè)處所是否安全,訪客是否登記,來訪期間是否受到監(jiān)控,都是可能導(dǎo)致客戶信息被盜的原因。它要求金融機(jī)構(gòu)對能接觸到客戶信息的人員加強(qiáng)審核,金融機(jī)構(gòu)應(yīng)該以防患于未然的態(tài)度減少金融犯罪,在招聘人員時(shí)加強(qiáng)審核,包括對能接觸到大量顧客信息的崗位應(yīng)聘者的信用審查和犯罪記錄審查。
金融機(jī)構(gòu)被要求盡量減少顧客個(gè)人信息在通信系統(tǒng)的使用,減少用戶信息在通信系統(tǒng)下不必要的暴露。比如:每年的養(yǎng)老金賬單,上面包括了顧客的保險(xiǎn)號碼、年齡、出生日期和工資收入,還有些銀行給顧客郵寄旅游保險(xiǎn)的宣傳冊,上面包含了顧客的信用卡額度和部分卡號,這些對金融詐騙犯來講都是非常有用的信息,但其實(shí)都是沒必要顯示出來的。
除了宣傳教育,金融行為監(jiān)管局也采取事后懲戒的辦法,對金融機(jī)構(gòu)泄露用戶信息課以重罰。2007年全國建筑協(xié)會一個(gè)雇員的筆記本電腦被盜,里面存儲了大量顧客信息。金融行為監(jiān)管局因其“沒有有效的系統(tǒng)和控制措施管理信息安全風(fēng)險(xiǎn)”而對全國建筑協(xié)會罰款98萬英鎊。
美國:重點(diǎn)維護(hù)網(wǎng)絡(luò)安全
個(gè)人身份信息被盜在美國時(shí)有發(fā)生。去年年底的美國“黑色星期五”購物高潮當(dāng)天,數(shù)千家零售店遭到黑客攻擊,導(dǎo)致逾億客戶個(gè)人姓名、家庭地址、電子郵箱、電話號碼、信用卡和銀行卡等信息被盜,目前該事件仍持續(xù)發(fā)酵中,已演變?yōu)橐粓鰢H性的金融災(zāi)難。
美國第二大零售巨頭塔吉特百貨公司是客戶信息被盜的重災(zāi)區(qū)。去年11月27日~12月15日,塔吉特百貨公司的1797家門店遭到黑客持續(xù)19天的攻擊,總計(jì)逾7000萬~1.1億客戶個(gè)人資料受到影響。
美國消費(fèi)者金融保護(hù)局建議遭遇或者嚴(yán)重懷疑自己個(gè)人信息被盜的客戶申請“安全凍結(jié)”,被凍結(jié)的賬戶任何人都無法獲得你的個(gè)人信用資料,即使你本人也需要經(jīng)過一系列的安全檢查才能使用。當(dāng)然,你也可以隨時(shí)申請解凍。
塔吉特百貨公司的工作人員對此表示,目前該公司已經(jīng)對所有客戶的信用卡和銀行卡使用情況進(jìn)行監(jiān)控,并提供為期一年的免費(fèi)保險(xiǎn)。如果發(fā)現(xiàn)異地使用或異常消費(fèi),都將及時(shí)向客戶求證,如果確定并非客戶所為,將會及時(shí)阻止消費(fèi),并為客戶更換新信用卡或銀行卡。如果客戶未發(fā)現(xiàn)異常消費(fèi),則無需擔(dān)心。塔吉特百貨公司告誡所有客戶,警惕電子郵件、手機(jī)短信、網(wǎng)絡(luò)和電話欺詐,不要向未經(jīng)核實(shí)的對象泄露個(gè)人信息。如果你對個(gè)人信息安全不放心,可更換密碼,并在塔吉特百貨公司創(chuàng)建異常消費(fèi)行為警報(bào)。
一位塔吉特百貨公司的信用卡持有人提到,一個(gè)月前曾接到塔吉特百貨公司電話,告知他的信用卡在得克薩斯州購物,詢問是否他本人所為。他表示從未到過得克薩斯州,于是塔吉特百貨公司取消了此次消費(fèi)。
美國網(wǎng)絡(luò)安全公司發(fā)現(xiàn),電信欺詐的罪魁禍?zhǔn)资菒阂鈶?yīng)用軟件,它們通常附加在某個(gè)軟件上強(qiáng)行進(jìn)入個(gè)人手機(jī)或電腦,盜取個(gè)人信息。隨著個(gè)人信息被盜日益猖獗,美國各大金融機(jī)構(gòu)、銷售網(wǎng)絡(luò)紛紛高薪聘請網(wǎng)絡(luò)安全專家,保安措施不斷升級。美國運(yùn)通等大公司個(gè)人賬戶注冊信息也越來越復(fù)雜,除一般的姓名、出生年月日等個(gè)人信息外,要求回答5個(gè)只有本人知道的個(gè)人問題,選擇個(gè)人特殊圖標(biāo),對密碼的設(shè)置也有特殊要求。
還有客戶曾接到一個(gè)電話說電腦受到黑客攻擊,他們可以幫助其檢查并且建立特別防火墻,以確保個(gè)人信息安全。電腦專家對此表示,這就是最典型的電信欺詐,騙子千方百計(jì)通過各種手段企圖進(jìn)入你的個(gè)人電腦,在你的電腦中安插某種軟件,盜竊個(gè)人信息。
面對眾多騙術(shù),美國有關(guān)部門也開始向公眾不斷發(fā)出警告。美國聯(lián)邦調(diào)查局將維護(hù)網(wǎng)絡(luò)安全列為首要任務(wù),除嚴(yán)防網(wǎng)絡(luò)黑客攻擊外,還設(shè)立“網(wǎng)絡(luò)安全月”,與各級政府和社區(qū)團(tuán)體合作,告訴公眾常見的欺詐手段,對公眾進(jìn)行防止欺詐教育。