编者按:金融业大数据运用与个人信息之间联系紧密,唇齿相依。在金融业大数据运用中,金融(科技)企业面临个人信息属性辨识困难、收集边界难以把握、挖掘开发易误解误用、外部人攻击、内部人破坏以及由此引发的个人金融信息权益侵害等多重风险。下面是小编整理的《金融信息中的网络安全论文 (精选3篇)》,仅供参考,大家一起来看看吧。
云环境下金融信息系统安全框架研究
[摘 要] 随着经济的发展和技术的进步,服务化成为产业发展的必然趋势。云计算为金融信息系统服务化发展提供了新的发展空间。本文对基于云计算技术的金融信息系统进行了深入研究,根据当前安全趋势和实际情况分析了云环境下金融信息系统中所存在的常见安全隐患,并从金融信息系统管理角度提出了云计算环境下金融信息系统的安全框架的构建,为金融信息系统安全提供了有效的解决方案。
[关键词] 云计算;金融信息;系统安全
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 018
1 引 言
在经济全球化和信息技术高速发展的今天,瞬息万变的市场环境对金融企业管理、业务创新、市场开拓、服务水平等提出了更高的要求,金融企业信息化进程成为制约金融企业快速发展或转型的关键。而传统的信息化建设和管理模式很难满足金融企业在灵活性、多样性、个性化等需求。面对逐年增加的IT建设和运营投入,越来越多的金融企业开始寻找新的途径。云计算作为新型的计算和服务模式为金融系统信息化建设提供了新的实施方式。云计算提供了一种计算机资源按需获取和交付的业务模式,可以向用户提供可无限伸缩的服务来满足客户和业务需求。云计算的技术优势极大降低了金融企业 IT 建设及运营维护成本,使金融企业能够更快捷、廉价地获取必需的IT资源[1]。
“云金融”是云计算在金融领域的行业应用,可以将金融机构的数据中心与客户端分散到“云”里,提高信息共享程度。通过有效的基础实施即服务、平台即服务、软件即服务的众多业内知名金融企业,联合将线上线下资源整合成一套包括交易平台、结算平台、网上支付平台、外汇交易实体平台、中小金融企业云服务平台等经济活动融为一体的、全面的、综合的金融信息系统,为金融客户提供生产中心、灾备中心、存储中心、灾难恢复、金融演练、远程数据保护、网络优化、安全管理等全方位的外包服务及各种云应用平台服务,最终形成面对金融行业的整体解决方案[2]。
目前,我国金融云应用尚处在探索和起步阶段,没有统一的行业技术标准,缺乏相关的监管政策支持。云环境的安全性问题是金融信息系统需要考虑的重点问题。
随着云计算平台相关技术的发展以及SaaS等新型架构的成熟,云环境下的金融信息系统成为现实,而安全问题是云平台需要重点考虑的问题。本文结合当前金融信息系统的云计算发展趋势以及存在的问题展开研究,通过分析现有云平台以及基于SaaS的金融信息系统中的安全隐患,提出云金融信息系统的安全框架,为云计算环境下的金融信息系统提供了安全解决方案[2]。
2 云平台核心安全问题分析
基于云平台SaaS架构的金融信息系统由于云计算环境的公开化、开放性等特征面临着安全问题。云计算平台需要得到用户的信任,这样用户才能将数据托管在这个云环境中;同时,云计算服务提供商应该保障云资源的可靠性和完整性,要具备高水平的灾难恢复能力。根据美国著名市场研究公司Gartner的研究表明,云安全服务存在7大潜在安全风险[3-4]。基于对云计算环境以及SaaS的分析,得出云平台的如下核心安全问题:
(1)特权用户访问。在云平台中能够绕过公司内部对于相关程序的物理、逻辑以及人员进行操作,因此,在企业外部处理敏感数据的方式具有与生俱来的风险性。
(2)法规遵从。云服务提供商只托管企业数据,客户对于自身的数据的安全性和一致性仍然负有最终责任。传统的服务供应商受制于到外部审计和安全认证。而云计算技术则拒绝接受类似的审查。
(3)数据位置。云服务的分布式特性使得企业在使用云服务时无法知道数据托管的具体位置,更无法知道当地运营机构是否严格遵守隐私保护要求。
(4)数据隔离。云服务中的数据通常是与其他客户的数据一起共享存储的,但是加密方式不能绝对的保障数据绝对安全,所以要将自己数据与其他企业用户的数据隔离开来。
(5)灾难恢复。云服务提供商应当对用户数据进行有效的备份,保证在灾难时能及时恢复保证业务正常运行。如果缺失,对企业而言将是巨大损失。所以企业用户一定要求云服务商做出承诺,必须对所托管数据进行备份。
(6)调查支持。云计算会将多个用户的数据和记录同时存放在一起,或者跨主机、数据中心存储,企业的正常的数据调查会得不到许可或困难重重。如果你的供应商无法做出相关承诺,那么一旦违法行为发生时,你将面临无法取证的尴尬。
3 基于云计算技术的金融信息系统安全风险分析
云环境下金融信息系统将某个银行的全部的数据集中在总行计算机系统中统一管理、协调,为加速资金的流动和创新业务的实施奠定基础。在互联网上部署这类系统可以极大地提升企业的业务数据处理能力,但同时也向那些企图进入金融企业信息系统内部获取机密数据的人敞开了大门,因此,保证软件系统的安全显得尤为重要。从以下几个方面对云计算SaaS基础上的金融信息系统所面临的安全风险进行分析[2]。
3.1 物理和环境安全
物理安全对金融企业基础设施来说非常重要,所面临的问题比较多元化,主要涉及数据中心设计、弱电规划、火灾等突发事件应急、访问控制、闭路电视(closed-circuit television,CCTV)实施等。物理安全用于保护金融企业资产不受损失,是对环境风险和不可预知认为活动的第一道防线。这类风险主要有:①内部人员“滥用”造成的资产损失;②设施缺陷造成的业务中断或数据损失;③缺少有效的访问控制和监控制度;④缺少必要的灾备和业务连续性计划[5]。在云计算环境中,数据资源保存在远程服务器中,其物理和环境安全对于金融企业用户来说具有不可控性。
3.2 灾备和业务连续性
服务器群突发技术故障会造成数以千计金融企业网站服务中断,给金融企业造成巨大损失。灾难恢复的目的是将灾难造成的损失降到最低程度,业务连续性计划的目的则是从更长远的角度来解决问题来保障业务能够长期、稳定的运营。中小金融企业中往往都缺少相关管理制度和规划,在突发事件中,不稳定管理业务系统将会给金融企业带来极大的运营风险甚至直接经济损失。云计算服务器的灾备回复能力是关系到业务系统能否连续性运行的关键。
3.3 网络安全
网络包含了许多不同的机制、设备、软件和协议,它们互相关联形成一个整体。网络安全涉及了网络上数据信息的保密性、完整性、可用性、真实性和可控性。拒绝服务攻击和无加密的数据传输是常见的两类网络安全隐患。在云平台SaaS架构下,不安全的协议和密码泄露都会对金融信息系统的安全保密造成破坏;无加密的数据传输对金融信息系统而言将会是致命打击,数据在传输过程中可能会被截取并被篡改,这不仅会造成金融企业数据丢失,甚至还会影响到金融企业的正常运营、数据的泄露等,同时有可能需要金融企业来承担法律责任。因此,需要探讨SaaS所带来的网络安全隐患,并采取措施来避免这些安全问题。
3.4 数据安全
数据是SaaS金融信息系统的核心资产, 直接关系到金融企业的商业隐私。数据安全除了传输安全之外还包括存储安全、静止数据安全等。存储或备份在磁盘上的业务数据往往都缺少必要的安全机制,例如存储加密,直接或者间接访问和篡改都会给金融企业造成巨大风险;存放在数据库中的静态数据通常而言都没有进行加密。在多组户环境下,上层应用的逻辑缺陷将导致其他恶意“租户”对金融企业私有静态数据进行直接访问或操作。Web应用安全和数据安全紧密结合相辅相成缺一不可。
3.5 Web应用安全
绝大部分SaaS信息系统都是以浏览器作为用户访问的瘦客户端,Web服务器就成为联通互联网和内部网络的桥梁。应用安全的架构决定了SaaS金融信息系统的安全性,多组户环境下的配置管理、权限分配、虚拟资源的访问控制都和安全息息相关。据美国应急响应中心统计,2010年全年披露的漏洞80%以上和Web应用相关。作为业务前端的Web应用程序的脆弱性直接影响到整个系统的质量保证。开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。如表1所示,OWASP十大页面应用程序安全风险项目提出了当前最具有风险的漏洞类型及攻击方法。
3.6 访问控制
访问控制是保证金融企业信息安全的重要手段,信息安全的根本也是通过控制信息资源访问来保护系统资源免受未授权访问。SaaS金融信息系统中访问控制包含的范围很广泛,涵盖了从上层应用的用户身份管理到底层网络边界控制的很多方面。在缺少有效的身份供应机制的系统中,离职员工账户或存在弱口令的账户都将对业务模块造成严重的威胁。底层架构在缺乏有效边界保护或安全域划分的情况下同样会产生更多安全隐患。
3.7 网络病毒及木马程序
SaaS金融信息系统威胁主要来自网络病毒,在受到病毒攻击时,服务器未受到有效保护的话,数据就会丢失,造成的破坏是无法弥补的。木马程序也是业务数据安全的隐患之一。如果数据服务器被植入木马程序后,木马程序平常是隐藏的,但其会随着系统悄无声息地启动,一旦木马在服务器后台运行起来,服务器系统就会有端口被打开,黑客就会利用控制端程序潜入到服务器内部,服务器上的所有程序和数据暴露无疑,这样安全和隐私就全无保障了。病毒和木马的防范对于系统安全来说至关重要,需要有健全的病毒木马防御体系来保证数据的安全。
3.8 系统安全
云计算的分布式特性导致了在任何一个系统中都可能找到金融企业的敏感数据,在这个前提下系统的安全性同样不能忽视,尤其是在访问控制不到位的环境下,很有可能存在直接暴露在互联网上的IT系统。
系统安全漏洞根据对其系统造成的潜在威胁 (破坏性、危害性、严重性)以及被利用的可能性为依据将系统漏洞分为紧急、重要、警告、注意等。对“紧急”或者“重要”级别的系统漏洞需要及时的安装补丁程序。常见的漏洞类型归类如表2所示。
4 云环境下金融信息系统安全框架构建
基于上述云平台自身安全问题以及SaaS金融信息系统所面临的常见安全风险的分析,对于每个风险点都可以采用相应的策略来进行规避,从而提升系统的整体安全水平。本文提出如图1所示的安全框架,以解决基于SaaS的金融信息系统的安全问题。
如图1所示的金融信息系统安全框架,包括金融企业信息安全治理、第三方管控、风险评估等6个主要解决方案,具体详细介绍如下。
4.1 金融企业信息安全治理
由于金融信息系统的特殊性,不管金融企业采用的是什么服务或部署模型,金融企业用户和服务提供商应当协商进行信息安全治理来达到支持业务需求和信息安全保障的一致目标。信息安全治理类似于IT治理,都是为了确保企业的生存和发展为目标的。随着新的法规法案的颁布,对金融企业管理要求的提高会增加金融企业安全治理的需求。金融企业用户应当制订符合自身发展的信息安全规划,投入适当人力对IT系统进行定期评估和审计。
4.2 第三方管控
对云服务提供商的供应链进行深入的调查和评估涉及事件管理、业务连续性、灾难恢复等方面的策略、流程和规程,包括对共用场地和相关设施的审查。对云服务提供商遵从自身策略和规范的执行力进行内部评估,同时评估提供商在相关领域的指标体系。考察服务提供商是否有完备的安全治理能力,文档化的风险评估实施过程、安全审计流程。
4.3 风险评估
对应用系统、操作系统、网络架构进行定期的风险评估和渗透测试,最大程度地发现整系统中的安全隐患并及时修复。划分安全域对网络边界有效控制,采用三层架构将表示层、业务层、后端层逻辑隔离。创建符合金融企业自身需求的安全基线,对IT系统定期人工核查。对于上市及金融和电子商务客户可能还需要满足SOX、PCIDSS、DISA、ISO 27001等标准的合规遵从要求,涉及人员管理、Web应用安全、系统安全、数据保护、网络安全、审计、 物理安全、代码安全生命周期等。
4.4 信息内控
加强对业务信息系统进行信息内控,建立IAA(Identification, Authentication and Access)体系对用户身份认证访问控制管理与审计。创建用户角色和职务列表,记录用户的所有操作并强制性审计。从制度上完善对用户工作职务变更与中断进行管理[6]。在金融企业执行管理层,制定信息安全保障策略,做出如何执行金融企业安全战略的决策,确定IT治理和控制的整体方法。在业务层对特定业务活动进行控制,尤其是对于IT应用系统关联紧密的业务过程。在IT基础层,对网络、数据库、操作系统以及存储设施等采取一般性IT控制,不完善的变更管理会破坏IT基础层的完整性和可靠性。
4.5 业务连续性计划
制定满足金融企业自身特点的业务连续性计划和策略,提供为实施应急响应、数据备份、灾后恢复操作的流程规范确保在紧急情况下做出适当响应。根据BSI的BS 25999业务连续性标准,业务连续性计划实施可以包括为6个步骤,启动项目、业务影响分析、确定恢复计划、制订业务连续性计划、测试和演练、维护和更新计划。①项目启动阶段主要工作是准备必须的资源和前期调研工作,如得到管理层对项目的支持和授权、明确项目实施的组织结构和人员角色权责,为项目实施分配资源、制订项目实施计划;②业务影响分析主要是对公司业务流程进行分析和评估影响程度;③恢复计划制订时需要从组织、流程、技术、资源等几个角度考虑,建立了战略层、战术层和操作层面的应急管理组织;④灾难恢复预案主要包括灾难恢复的时间和范围、灾难恢复组织架构、联络清单、应急处理流程、事件通报流程、损害识别和评估流程、灾难宣告流程、核心金融信息系统恢复流程、业务恢复流程、重续运营管理流程、灾后重建流程、灾后回退流程、计划内切换与回退流程等[7]。
4.6 安全风险防范措施
云计算的发展加快了金融信息系统的发展进程,但随之也带来一些安全性问题。我们不能因为网络的不安全性而停止网络服务,要使云服务平台良好地运行需要单位负责人树立好安全意识,系统操作人员提高业务素质,服务器维护人员要有良好的技术水平。针对云计算应用中的安全性问题,需要预先采取措施来减轻这些威胁。
(1)系统运行服务器和数据存储服务器一定要请专业的安全公司指导定期升级操作系统漏洞,关闭不必要的服务和不用的网络端口。
(2)安装网络版杀毒软件,并及时更新病毒库,使服务器系统安全性提高,能抵抗最新病毒的攻击。
(3)系统服务器和工作站要安装防火墙,一定不要直接暴露在互联网上,对接入Internet要严格限制。服务器端只开放必须的应用端口,封闭其他端口,最好只对接入客户端的IP地址段开放。
(4)密码攻击是黑客们最常见的入侵方式之一。为提高系统的安全性,一定要设置一个高强度密码。密码的“弱”和“强”是相对的,不同的环境对于密码强度有不同的要求,即使再强的密码也有可能被破译或泄漏,所以密码要经常更新,更新的时间长度基于数据的敏感程度。
(5)要保证数据的安全性,一定要对服务器业务数据进行有效备份,异地备份是最可靠的备份方式,如果当地发生毁灭性的自然灾害,事故后还能从远程恢复数据和业务,可以保证业务数据的完整性和安全性。
5 结 语
云计算的浪潮已经无法阻挡,云环境下的金融信息系统使得金融系统与信息技术高度融合,提高了金融机构迅速发现并解决问题的能力,提升了整体工作效率,改善了流程,降低了金融企业信息采集的成本。然而安全问题很大程度上阻碍了这种模式的普及。本文从宏观上介绍了当前云环境下基于SaaS的金融信息系统所面临的安全风险,提出了相应的解决方案。随着云技术的发展、安全策略的更新、攻击技术的演变,本文提出的安全解决方案所产生的实际防御效果还需要进一步证实。
主要参考文献
[1]张建文,汪鑫.云计算技术在银行中的应用探讨[J].华南金融电脑,2009(6).
[2]谢世清,论云计算及其在金融领域的应用[J].金融与经济,2010(11).
[3]Gartner.Seven Cloud-Computing Security Risks[EB/OL].http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853,2008.
[4]和讯网.云计算技术的七大安全风险[EB/OL].http://soft.chinabyte.com/133/8201133. shtml,2009.
[5]哈里斯.CISSP认证考试指南[M]. 北京:科学出版社,2009.
[6]ISACA. COBIT Framework for IT Governance and Control[EB/OL].http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx,2011.
[7]孙秀彬.如何保障保险业务的连续性[J].金融电子化,2010(7).
作者:杨华
金融业大数据运用中的个人信息保护
编者按:金融业大数据运用与个人信息之间联系紧密,唇齿相依。在金融业大数据运用中,金融(科技)企业面临个人信息属性辨识困难、收集边界难以把握、挖掘开发易误解误用、外部人攻击、内部人破坏以及由此引发的个人金融信息权益侵害等多重风险。为此,本文提出金融(科技)企业应当确认个人金融信息的敏感属性,优化自身的隐私政策和外部规则,加强对平台接入(嵌入)第三方产品或服务的管理,提升公司对收集、存储和处理数据的管理水平。
随着大数据技术在金融领域的运用,个人金融信息也对个人金融信息主体的人身安全、财产权益,乃至行业发展和金融安全造成了一定的影响。本文在全面梳理和准确把握当前以及未来一段时期个人金融信息保护法律规范的整体框架、规制思路和基本内容的基础上,分析了大数据运用中的个人金融信息保护问题,考察了个人金融信息保护法制的现实状况,并提出了大数据时代个人金融信息保护的注意事项。
大数据运用中个人金融信息保护问题
大数据技术在金融领域的运用,在缓解信息不对称和增强风险管理能力方面效果明显,也促进了金融科技、监管科技行业的快速发展。但与此同时,金融业大数据技术运用中个人金融信息的收集、保存、处理、利用和共享等行为也对个人金融信息主体的人身安全、财产权益,乃至行业发展和金融安全造成了不良影响。
个人金融信息潜在的资产价值引发了信息收集、保存、处理、利用和共享行为秩序的混乱。在前大数据时代,个人金融信息价值一般只限于金融机构内部利用、消极防御外部人攻击等方面,而大数据时代,金融机构侧重于个人金融信息资源的深度挖掘与开发利用。在办理业务的过程中,金融机构尽可能多地采集客户个人金融信息,存在强制授权、过度授权、超范围收集个人金融信息等问题。存在采集个人金融信息后,未经客户明示同意就进行深度挖掘、再次利用,甚至还将个人金融信息进行共享转让,如用于精准营销、个性推荐、有偿共享等问题。此外,个人金融信息开放、共享、使用过程中的安全保护问题也面临着比以往更严峻的挑战,如数据黑产、大数据杀熟、网络诈骗等。
大数据运用中个人金融信息的新特点增加了保护难度。较之于传统的外部人攻击、内部人破坏,大数据技术本身的信息科技风险也可能是个人金融信息侵害的重要风险来源。除了大数据自身的信息科技风险外,大数据时代个人金融信息有人格性与财产性、个体性与公共性、消极性与积极性等多重价值属性的融合与难以有效区分的特征,决定了金融机构即使正常合理地收集、开发、利用个人金融信息,也难以有效处理“利用”与“防护”的边界关系,或许稍不注意就可能侵害客户的个人金融信息权益,因而实践中最麻烦的就是个人金融信息模糊导致的误解誤用问题。
个人金融信息的个体性关注过度掩盖了因其社会性而导致个人自决原则的滥用。个人信息本身之所以能够成为个人信息,就在于其具有身份、个性等识别功能。大数据技术所具有的信息汇集融合功能,可以让公共管理部门对信息流、资金流进行有效追踪,运用到反洗钱、反腐败、反偷税漏税以及打击金融传销、金融诈骗等违法犯罪活动中;也可让金融机构更好地利用个人金融信息开发设计出个性化的金融产品或服务,为客户提供更加妥帖、适当、有效的金融产品或服务。当然,个人金融信息的社会性,还决定了任何单位和个人不得仅通过个人信息主体自治性授权方式获得个人金融信息,用于非法开展个人征信业务。
个人金融信息保护法制的现实状况
除正在征求意见的《个人金融信息(数据)保护试行办法》外,金融业尚未形成完整统一的个人金融信息保护规范,但这并不代表《中国人民银行法》《商业银行法》《证券法》《保险法》等法律法规中不存在个人金融信息保护条款。为进一步适应大数据时代个人金融信息保护的要求,《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)和《关于金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔2012〕80号)以及专章设置“个人金融信息保护”的《金融消费者权益保护实施办法》(银发〔2016〕314号 )中,均明确了个人金融信息的定义及其收集、保存、使用、对外提供的业务规则,也对企业内部控制、信息安全技术防范措施、委托处理、信息泄露报告及责任承担等内容进行了规定。
当然,为保证个人金融信息保护工作开展的合法合规,金融机构除需关注金融业中个人金融信息保护有关的规范外,也要关注具有普遍适用性的个人信息保护法律规范、国家标准等。比如,《关于印发银行业金融机构数据治理指引的通知》(银保监发〔2018〕22号)第24条有关“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准”的规定,显然旨在将《信息安全技术个人信息安全规范》(GB/T 35273-2017)等国家标准纳入到金融机构数据治理的合规体系之中。事实上,《个人金融信息(数据)保护试行办法(征求意见稿)》第25条也做出了类似规定。
进一步讲,对于金融科技企业而言,尤其要关注《网络安全法》第41条和第42条,《电子商务法》第18条,以及正在征求意见的《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》《信息安全技术 应用(App)收集个人信息基本规范(征求意见稿)》等个人信息保护规范和标准。
整体而言,《网络安全法》确立了个人信息保护的基本框架——业务流程(收集、存储、使用、传输)和运营管理(风险管理、内部控制),《数据安全管理办法(征求意见稿)》《信息安全技术个人信息安全规范(征求意见稿)》《信息安全技术数据出境安全评估指南(征求意见稿)》等是对《网络安全法》基本框架下两项核心内容的细化、发展和延伸。而《个人金融信息(数据)保护试行办法(征求意见稿)》则是在具有普遍适用性的个人信息保护规范的基础上,结合现行金融法律规范中有关个人金融信息保护的规定而制定的专门性个人金融信息保护规范——以保护个人金融信息为核心目标,按个人信息全生命周期,对个人金融信息的收集、使用、存储、展示、对外提供、跨境流动等不同应用场景进行了全面细致的规定。
大数据时代个人金融信息保护的注意事项
为更好的实现大数据技术在金融业中的运用,促进金融数据的开放、共享和流动,金融企业尤其是金融科技企业既要做好金融数据的挖掘、开发和利用工作,也要保证个人金融信息收集、使用、存储、展示、对外提供、跨境流动行为的合法合规。
明白个人金融信息属于个人敏感信息,其收集、使用应遵循合法、公开透明、最小必要原则、选择同意、目的限制、使用限制、质量、安全等原则。尽管《个人金融信息(数据)保护试行办法(征求意见稿)》未明确规定个人金融信息属于个人敏感信息,但《信息安全技术个人信息安全规范》附录部分明确了“个人财产信息”属于个人敏感信息,其包括银行账号、存款信息信贷记录、征信信息、流水记录等,这与《个人金融信息(数据)保护试行办法(征求意见稿)》第3条对个人金融信息的界定具有高度重合性。因而,个人金融信息应属于个人敏感信息。以此为基础,《数据安全管理办法(征求意见稿)》第22条关于实现个人用户控制力的关键在于知情同意基础上的高透明度使用规则的规定,决定了对以个人金融信息为代表的个人敏感信息应采取主动点击同意的明示授权规则,对一般个人信息则可采用概括授权同意规则,但概括授权需限定于特定的场景空间和法律条件。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》第12条也明确,个人金融信息的收集不得以默认授权、功能捆绑等误导、强迫个人信息主体的方式进行。
“隐私保护政策”涉及“隐私保护政策”属性和内容两个层面的内容,其优化应参考《信息安全技术个人信息安全规范》附录D“隐私政策模板”。就前者而言,目前国内有关隐私保护政策的属性究竟是合同还是规则公示存在争议,并且实践中平台也经常以隐私保护政策构成与个人信息主体之间的合同为由,仅仅依据隐私保护政策来确立个人信息的收集、使用。值得注意的是,《信息安全技术 个人信息安全规范》明确了隐私保护政策不被认定为平台与个人信息主体间签订的合同,也不能按照合同的方式来履行。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》第18条也对“格式条款”进行了明确,要做到位置醒目、方式显著、语言通俗、提请注意和特别说明。
就后者而言,为满足《网络安全法》第41条和第42条个人信息收集、使用“明示+同意”的原则性要求,实践中存在将所有服务和业务功能捆绑,即通过隐私保护政策强制客户进行一次性“概括授权”,同意各项业务功能所需要收集的各种信息,否则将无法使用。对此,《信息安全技术 个人信息安全规范》要求产品和服务的提供者应区分基本业务功能和扩展业务功能,且基本业务功能以个人信息主体的需求为必要,不得将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能,尤其强调了个人信息收集、使用的必要性。对此,《个人金融信息(数据)保护试行办法(征求意见稿)》第12条也做出了相應的规定。
加强对平台接入/嵌入第三方产品或服务的管理,避免承担第三方违法违规引发的责任。《个人金融信息(数据)保护试行办法(征求意见稿)》第21条明确规定了个人金融信息第三方“委托处理”应遵循的规则,但其未对《信息安全技术 个人信息安全规范》规定的“共同个人信息控制”以及修订意见稿新增的“接入/嵌入第三方产品或服务管理”做明确规定,但这并不代表金融机构不需要做好“共同个人信息控制”“接入/嵌入第三方产品或服务管理”两类应用场景的准备工作。
当然,对于金融科技企业控制的信息平台而言,尤其要关注实践中普遍存在的第三方产品或服务接入/嵌入这一应用场景。在此场景中,平台商和第三方之间的义务与责任分担模糊不清。在难以追究第三方产品或服务提供商责任的情形下,个人金融信息主体经常直接向平台商追诉。更重要的是,《关键信息基础设施安全保护条例(征求意见稿)》已明确将金融行业领域单位纳入关键信息基础设施的范围,大型金融科技企业控制的信息平台极有可能被认定为关键信息基础设施,并被要求承担安全保障义务。因而,平台商应依据《信息安全技术 个人信息安全规范》的规定,建立第三方产品或服务接入管理机制、工作流程和安全评估机制;应与第三方产品或服务提供者签订合同,明确双方应采取的安全措施和责任承担;要求第三方依法依规收集、使用个人金融信息,为个人金融信息主体提供请求、申诉机制,并对第三方产品或服务进行督促和监督。
加强公司内部已收集、存储、处理数据的管理,保证个人金融信息工作开展的合法合规。一是个人金融信息的存储规则。《个人金融信息(数据)保护试行办法(征求意见稿)》第16条明确规定保存的时间最小化,超过最短时间后要删除或匿名化处理,但未如《信息安全技术 个人信息安全规范》那样,对“去标识化处理”进行规定。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》第25条有关个人金融信息安全保障的“技术措施”规定,决定了金融机构需要对其收集的个人金融信息进行去标识化处理,并采取加密等安全措施,以便让个人金融信息具备不可链接性和不可观察性。同时,为保证个人金融信息安全,金融科技企业应尽可能以一种分散、分区域的方式来储存和处理。
二是个人金融信息安全事件报告规则。《个人金融信息(数据)保护试行办法(征求意见稿)》第29条明确,当发生信息泄露时,金融机构应向有关主管部门报告,但未规定告知个人金融信息主体。值得注意的是,按照《网络安全法》第42条规定,金融机构应该按照规定及时告知用户,并且因个人金融信息属于个人敏感信息,所以应做到向个人金融信息主体逐一告知。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》还缺乏个人金融信息安全事件告知、上报的具体标准,这会增加实践中个人金融信息安全事件处理的难度。实践中,可参考《信息安全技术 个人信息安全规范》的规定,从信息泄露所涉及个人金融信息的数量、影响程度和范围等角度进行考量。
三是《个人金融信息(数据)保护试行办法(征求意见稿)》第26条、第27条和第28条要求金融机构做好个人金融信息安全保障组织措施,个人金融信息系统访问、处理权限控制,对员工进行教育、培训、监督等工作。对此,可考虑参照国际公认的加强组织监管良好实践的“三道防线”模式,做好个人金融信息安全保障工作。通过建立适当的风险治理架构、加强对管理层进行问责的机制等,来确定任务和分配资源、职责,并从运营管理、合规管理、内部审计三个维度实施,将对个人金融信息保护的支持集成到组织的整体管理和治理框架中,以符合《信息安全技术 个人信息安全规范》《个人金融信息(数据)保护试行办法(征求意见稿)》对个人金融信息进行有效保护的要求。
(作者单位:西南政法大学)
作者:盛学军 刘志伟
互联网金融信息风险的法律防控
摘 要 随着互联网金融的崛起,信息风险已经成为影响其良性发展的重要问题,信息系统风险、账户信息风险、用户信息风险层出不穷。现有相关立法主要包括刑事立法、行政立法,但是存在框架不够细密、未能及时回应现实、缺乏对互联网金融消费者信息的保护等问题。应健全互联网金融信息安全立法体系,重视互联网金融企业的信息保护,并且严厉打击侵犯互联网金融消费者信息行为。
关键词 互联网金融;信息风险;法律分析;法律对策
在经历了农业社会、工业社会之后,人类社会不可避免地进入了网络社会。网络社会在极大地方便了人们生活的同时,也同时伴生着巨大风险,信息泄露、信息滥用等行为往往导致着各种各样的直接后果和间接后果。互联网金融的发展给经济发展注入了新的活力,但是其自身的信息网络属性也隐含着巨大的信息风险。市场经济是法治经济,网络空间是法治空间,现有立法在防控互联网金融信息风险过程中是否已然充足?未来互联网金融信息风险的法律防控又该走向何处?尚需进一步研究。
一、互联网金融发展的信息风险
根据CNNIC最新发布的《第38次中国互联网络发展状况统计报告》显示,截至2016年6月,中国网民规模达7.10亿,全年共计新增网民2 132万人。在网民数字飞涨的背后,是互联网从根本上再构人们生活方式、再构整个社会结构的历史进程。互联网的普及极大地改变了人们的生产和生活方式,重塑了传统行业的发展模式,在“互联网+”时代,互联网与传统产业结合,催生了一大批新兴产业,互联网金融顺势而生。
谢平、邹传伟《互联网金融模式研究》正式提出互联网金融模式问题,并从支付方式、信息处理、资源配置[1]三个方面展开论述。之后,关于互联网金融的模式、种类界定林林总总:第一,三分法。中国人民银行金融稳定分析小组《中国金融稳定报告2014》认为,当前,业界和学术界对互联网金融尚无明确的、获得广泛认可的定义,但对互联网支付、P2P网贷、众筹融资等典型业态分类有比较统一的认识。第二,六分法:第三方支付、众筹、大数据金融、互联网金融门户以及金融机构信息化等[2]。第三,八分法:传统金融互联网化、移动支付和第三方支付、互联网货币、基于大数据的征信和网络贷款、基于大数据的保险、对等联网(P2P)、众筹、大数据在证券投资中的应用等。各种分类不一而足。
2015年《关于促进互联网金融健康发展的指导意见》出台,标志着我国互联网金融监管进入有规可循的时代,也明确了官方所认可的互联网金融主要形式。根据该意见,互联网金融主要包括互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等形式,从法律上确定了若干互联网金融类型。该意见的出台确实有利于推动互联网金融发展的规范化、正常化,然而其也未能全面解决互联网金融发展的信息风险问题。对于“信息披露、风险提示和合格投资者制度”与“消费者权益保护”的概括规定显然十分有限。2016年,国务院办公厅印发了《互联网金融风险专项整治工作实施方案的通知》,其规定的重点整治的工作有四項:第一,P2P网络借贷和股权众筹业务;第二,通过互联网开展资产管理及跨界从事金融业务;第三,第三方支付业务;第四,互联网金融领域广告等行为。但是该通知也未就互联网金融的信息风险问题作出专门规定。
在互联网环境下,信息数据在成为社会运转核心方式和关键资源的同时,也成为最大的危险来源。公私领域对于数据利用的需求比以往任何一个时代更加迫切。[3]民众享受互联网金融带来便利的同时,却面临着账号被盗、资金被窃、交易欺诈以及财产损失等诸多潜在的信息安全风险[4]。每年在全球范围内有大约十亿的信息数据泄露记录并且导致近六十亿美元的经济损失。[5]对于处于社会资源配置顶端的金融业更是首当其冲,信息风险严重危及互联网金融的良性发展。其主要包括以下几个方面:
第一,信息系统风险。随着信息技术的发展,在计算机信息系统不断方便人们生活的同时,其信息系统的辐射网络也在日益膨胀,甚至于信息系统已经逐渐脱离于具体的计算机,而成为与社会成千上万人休戚相关的巨大系统。就互联网金融而言,信息系统也成为了互联网上资金周转的根本路径,也自然成为了网络攻击的重点对象。早在2013年1月9日,拍拍贷就遭到了黑客的恶意流量攻击。此后,人人贷、融信网、网贷之家、双乾支付等互联网金融平台屡屡受到攻击。比特币等虚拟货币也未能逃过一劫,比特币平台Gatecoin表示,发生在2016年5月9日到12日之间的攻击最终导致了185 000枚以太币和250枚比特币的损失,总价值200万美元,占平台总资产的15%。
第二,账户信息风险。在信息化、数据化的浪潮之中,用户的资金也愈发电子化。在互联网金融平台上流动着无数的用户资金,账户密码代替了存折、银行卡成为互联网资金的“钥匙”。然而,在互联网金融不断发展的同时,用户的账号也频频遭受信息风险。2014年,央视就曝光犯罪嫌疑人在网络上以2元钱一个的价格向别人购买支付宝账号和密码,使用亲友的身份证号、银行卡号,注册了大量支付宝账户,在十天时间里转走了32万元。其他领域的所谓“盗号”时间也屡屡发生。
第三,用户信息风险。在互联网金融蓬勃发展的同时,互联网金融用户的群体也逐渐壮大起来。在互联网环境下,无论与人身有关的个人信息,还是与行为有关的个人信息,都成为“商品”被随意买卖,互联网金融用户由于身份与金钱有关,更成为重点受害群体。早在2013年,央视“3.15”晚会就曝光,众多不法互联网广告商、网络搜索企业,均通过Cookies暗中跟踪用户的上网行为和用户隐私信息。在有的案件中个人信息倒卖十分猖獗,一个电话号码可能被卖五次,手机定位信息的买卖也司空见惯。
与互联网金融信息风险的一再蔓延相对照,现有立法却显得较为滞后。这些新的机会和风险正对我们的法律制度构成新挑战。[6]法律由于其稳定性,往往自我调整周期较长。无论是信息时代还是网络金融,便捷性、变化性均是其显著特征,这就与传统的金融立法特别是信息金融立法出现了方向性差距。然而,市场经济归根到底是法治经济,互联网金融的良性发展归根到底需要在法律的规范、引导下有序进行,否则2015年由互联网金融野蛮生长诱发的股灾还会到来,互联网金融的信息风险呼唤着立法的修正和更新。
二、防控互联网金融信息风险的立法分析
(一)现有立法概况
互联网金融信息风险多与犯罪行为、行政违法行为相关联,一般不属于平等主体之间的民商事法律关系,与传统经济金融领域的风险不同,其更多地规定在刑法、行政法之中:
第一,刑事立法现状。由于我国刑事立法一直以来采用单一的刑法典模式,有关互联网金融信息风险的犯罪行为也多通过刑法修正案的形式纳入刑法典的规定之中。经过《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》,目前主要包括以下罪名:其一,窃取、收买、非法提供信用卡信息罪。该罪由《刑法修正案(五)》于《刑法》第三章“破坏社会主义市场经济秩序罪”中增设第一百七十七条之一,规制“窃取、收买或者非法提供他人信用卡信息资料”的行为。其二,侵犯公民个人信息罪。该罪由《刑法修正案(七)》于《刑法》第四章“侵犯公民人身权利、民主权利罪”中增设第二百五十三条之一,规制“违反国家有关规定向他人出售或者提供公民个人信息”与“窃取或者以其他方法非法获取公民个人信息的”两种行为,并且对于在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的从重处罚。其三,非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪。非法侵入计算机信息系统罪在现行刑法出台时即有规定,只不过当时适用范围仅限于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”,《刑法修正案(七)》将其扩大到一般计算机信息系统。另两个罪名由《刑法修正案(七)》于《刑法》第六章“妨害社会管理秩序罪”中增设第二百八十五条第二款。第二百八十五条对于侵入计算机信息系统、获取计算机信息系统数据、非法控制计算机信息系统数据的行为予以全面规制。其四,破坏计算机信息系统罪。该罪由《刑法》第六章“妨害社会管理秩序罪”中的第二百八十六条规定,规制对计算机信息系统及其存储、处理或者传输的数据和应用程序删改等破坏性行为,以及故意制作、传播计算机病毒等破坏性程序的行为。
第二,行政立法现状。有关互联网金融信息风险的行政违法行为之前主要规定在《治安管理处罚法》中,新进出台的《网络安全法》对此也有规定。其一,《治安管理处罚法》的规定。《治安管理处罚法》第二十九条规定,在违反国家规定的情况下,实施下列行为且造成特定危害的,予以行政处罚:侵入计算机信息系统;对计算机信息系统功能进行删除、修改、增加、干扰;对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;故意制作、传播计算机病毒等破坏性程序。其二,《网络安全法》。2016年11月出台的《网络安全法》从网络信息安全的角度作出规定。《网络安全法》第四十一条至第四十三条对于个人信息搜集与保管利用提出了具体的要求,并在第四十四条明确指出任何个人和组织不得非法获取、非法出售、非法提供个人信息,第四十五条还对有关部门及其人员对于个人信息的保管提出了具体要求。上述规定构建了相对完整的了个人信息的收集、使用和保管规则体系。此外,《网络安全法》第六十四条规定了侵犯个人信息的行政处罚,对于违反个人信息的收集、使用和保管规则的行为可处警告、没收违法所得、罚款、停业整顿、吊销营业执照等处罚。第六十四条第二款中也在具体的行政处罚之前作出“尚不构成犯罪”的规定。
(二)现有立法分析
总体来看,我国已经初步形成了互联网金融信息风险法律防控体系,但是也存在一定的不足,分述如下:
第一,基本立法框架尚且不够细密。目前,经过《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》的不断修正,有关互联网金融信息风险的犯罪行为规定已经较为全面;同时,继《治安管理处罚法》后,《网络安全法》的出台特别是其中有关信息安全的条款适用,客观上对于互联网金融用户的信息安全保护也具有重要意义。鉴于我国采取的是刑法典式的一元刑事立法模式,《网络安全法》第六十四条第二款的衔接规定也有利于其与《刑法》的有关规定相协调。在这个意义上看,可以认为有关互联网金融信息风险的立法框架已经初具规模。
但是,现有立法的不足也是明显的。在《刑法修正案(九)》修正侵犯公民个人信息罪等犯罪后,2005年出台《治安管理处罚法》中的原有规定就显得十分不足。即对该类行为中较为轻微的行为,或者科以过重的刑事处罚,或者放任其一再蔓延,不利于有效地打击侵犯互联网金融用户等公民个人信息的行为。更为重要的是,目前缺乏与互联网金融信息风险直接相关的具体规定。《网络安全法》等法律中有关的条款虽然可以间接适用,但是其针对性、有效性都会大打折扣。《电子商务法》虽然已经形成草案,但是尚未出台,而且一些规定也有待于进一步完善。
第二,对于互联网金融信息风险有关双方的变化未能及时回应。一方面,现有立法对于可能遭受风险的主体扩张未能及时回应,互联网金融企业用户信息权的保护存在问题。随着互联网金融的发展,其用户范围也不仅仅局限于公民个人,而是在事实上包括了企业用户。就企业而言,传统意义上其基本法人权利可以通过《公司法》、《合伙企业法》等法律予以保护,而对于其商业秘密则可以通过《反不正当竞争法》等法律予以保护,这样的保护体系在传统社会中已然较为充足,但是在信息社会则难以面对其信息保护的问题。比如企业用户的法定代表人姓名、银行账户等信息在交易中很容易被获取,这些信息无法通过前述的保护方法予以保护,但是一旦被泄露和非法利用,很容易对于互联网金融企业的经济利润、商业声誉施加不利影响。另一方面,现有立法对于可能引起风险的主体扩张未能及时回應。不仅传统意义上恶意实施的非法侵入、破坏计算机信息系统的行为存在,“善意”的非法侵入行为也已经成为事实。比如,“白帽子”(也称“道德黑客”)的问题。“白帽子”通过向相关平台或者厂家反馈、发布漏洞,以敦促厂家在漏洞被黑客攻击利用之前将其修复完善,维护计算机和互联网安全。但是,这样一种行为很可能给企业带来客观的风险。2015年12月,袁某通过安全测试软件(自带缓存功能,会自动将测试信息存储到本地隐藏文件夹)发现某社交网站存在安全漏洞。为验证漏洞确实存在,袁某通过其发现的漏洞浏览了该社交网站的部分数据。随后,袁某将上述漏洞提交至其所属的某互联网漏洞报告平台(以下简称“漏洞平台”),漏洞平台遂向社交网站通知了漏洞信息,使网站漏洞得以及时修复。但在漏洞修复过程中,社交平台发现有九百余条有效数据被网站攻击者获取。对于这样“善意”带来的风险如何防控则是需要研究的新命题。
第三,互联网金融消费者信息安全的法律保护仍显不足。虽然现有刑事立法与行政立法对于包括互联网金融消费者在内的个人信息保护力度一再加强,但是目前仍然存在以下两个不足:一方面,缺乏对于互联网金融消费者信息安全的特别保护。无论《刑法》还是《网络安全法》,均是以“个人信息”为对象进行保护,但是金融领域的信息安全有其特殊性与重要性。2011年公布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对此已有认识,其规定获取“支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”即构成犯罪,而其他“身份认证信息五百组以上的”才构成犯罪。现有立法中却缺乏对于互联网金融消费者信息安全的特别保护规定。另一方面,缺乏对于非法利用互联网金融消费者信息行为的独立规制。大数据技术的发展特别是数据挖掘利用技术的提升,互联网金融消费者个人信息利用的利益也越来越大,非法利用行为已经在事实上重构了侵犯个人信息行为的体系。这些行为活动不是出售、非法提供而是非法使用公民个人信息。[7]非法利用行为不但成为体系中的重要行为之一,而且成为该体系的核心行为,成为非法获取、非法提供行为的目的和前提。比如前文所述的对于支付宝账户的利用行为,如果说直接的支付行为尚可以納入传统的盗窃罪、诈骗罪等犯罪予以处罚,那么对于其账户本身信用、个人资料等信息的非法利用则存在入罪的障碍,不利于有效保护互联网金融消费者信息安全。因而需要重新考虑侵犯个人信息犯罪行为的体系,以有效地规制非法利用互联网金融消费者信息个人信息的行为。
三、防控互联网金融信息风险的法律对策
(一)健全互联网金融信息安全立法体系
通过法律手段有效防控互联网金融信息风险最为根本的途径就是健全完善互联网金融信息安全立法体系,使互联网金融信息风险的防控全面纳入法治的轨道。在现有的立法框架与状况下,应侧重从以下两个方面予以完善:
第一,出台专门立法与规定。信息风险防控是互联网金融与传统金融风险防控相比最为突出的新问题,传统金融相关立法在调整其信息风险过程中难以完全适用,而与信息网络有关的刑事法、行政法则多是从网络信息安全的一般层面规定,现有的诸如《关于促进互联网金融健康发展的指导意见》、《关于印发互联网金融风险专项整治工作实施方案的通知》等文件不但立法层级有限而且缺乏义务与责任的规定,应及时在立法层面制定专门的互联网金融信息风险防控立法或者规定。目前《电子商务法》正在起草过程中,其草案正向社会征求意见,然而值得玩味的是,草案第三条规定“涉及金融类产品和服务、利用信息网络播放音视频节目以及网络出版等内容方面的服务,不适用本法”。但是草案第三章“电子商务交易与服务”第二节“电子支付”从第三十一条到第三十七条却对于电子支付服务者作了极为详尽的规定,前后条文让人颇感费解。既作为互联网时代电子商务的重要形式,又作为信息社会金融业务的延伸,支付宝等第三方支付平台的双重属性为如何对其恰当立法提出了挑战。笔者认为,应当就互联网金融问题出台专门的法律或者行政法规,并且在其中以一章的篇幅规定互联网金融信息安全问题,且指明第三方支付平台的金融行为依照本法律或者行政法规的规定,以规范和指导互联网金融信息风险的防控。
第二,协调现有立法与规定。目前刑事法和行政法的相关规定仍然存在不协调之处,突出表现在《治安管理处罚法》等法律过于滞后。目前《治安管理处罚法》正处在修订过程中,公布的修订草案也在一定程度上注重与《刑法》的协调,但是仍未能完全衔接。比如,修订草案第九十六条第一款、第二款规定,“明知他人利用信息网络实施违法犯罪,为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或者广告推广、支付结算等帮助的,处五日以上十日以下拘留;情节较重的,处十日以上十五日以下拘留。设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的,依照前款规定从重处罚。”这两款规定了为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或者广告推广、支付结算等帮助,以及设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的行为,但是未就与互联网金融信息风险有关的发布违法犯罪信息与为实施违法犯罪发布信息的行为作出规定。现实中,互联网金融领域的犯罪往往与大量资金相联系,一旦有关互联网金融犯罪的信息发布实际上具有更大的社会危害性,修订草案的规定未对此有所体现。建议将“设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的”修改为“设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台,发布违法犯罪信息,以及为实施违法犯罪发布信息的”。此外,也应通过修订的形式将其他法律予以完善和协调,构建科学合理的立法体系。
(二)重视互联网金融企业的信息保护
随着互联网的发展,进入互联网的主体范围早已不仅仅是具体的网民和特定的IP地址,企业作为重要的主体介入互联网发展,互联网金融信息安全领域企业信息安全的保护也应受到立法的重视:
第一,应在立法上给予互联网金融企业信息权利必要的保护。纵观我国现有立法,均是针对个人信息安全保护所展开的,《网络安全法》中所采纳的概念是“个人信息”,《刑法》中创设的罪名是“侵犯公民个人信息罪”,《关于加强网络信息保护的决定》所保护的也主要是“公民个人电子信息”。学者之前给出的相关规定也是诸如“保护电子商务消费者个人信息安全以及其他合法权益”的表述[8]。这样以个人信息为唯一保护对象的模式显然不利于企业用户信息的法律保护。应在立法中肯定包括互联网金融企业在内的企业信息权利,比如,《电子商务法》草案第四十五条的规定就可以表述为:“本法所称用户信息,是指电子商务经营主体在电子商务活动中收集的能够单独或者与其他信息结合识别特定用户的信息,如自然人姓名、身份证件号码、住址、联系方式、位置信息、银行卡信息、交易记录、支付记录、快递物流记录等,单位名称、名誉等。”
第二,应重视通过立法引导互联网金融企业信息系统安全的保护。袁某一案中,互联网企业报警信息数据被获取反而让立法机关逮捕了“白帽子”袁某,从而引起了“白帽子”群体的反对,《刑法》在这一过程中反而起了反作用,如果类似案件发生在互联网金融企业那无疑会使大量的资金陷入信息安全风险之中。应通过立法引导多方主体共同参与互联网金融企业的信息安全保护:其一,应引导官方和民间网络安全力量共同维护互联网金融企业信息系统的安全,特别是积极引导“白帽子”等民间网络安全力量与互联网金融企业实现“联姻”。其二,应引导互联网金融企业自身注重信息安全的保护,在资质审核、定期检查中将信息安全作为重要的参考依据,使互联网金融的信息安全意识与能力得到有效提升。其三,应推动良性的社会信息安全平台建立并参与互联网金融信息安全维护。在袁某一案发生后,“乌云”漏洞平台被關闭,漏洞平台与互联网企业的紧张关系并未消弭,应以立法积极推动这一鸿沟的跨越。
(三)严厉打击侵犯互联网金融消费者信息行为
目前我国有关侵犯公民个人信息犯罪的规定围绕非法获取、非法提供行为展开,缺乏对于非法利用行为的规定,不利于保护互联网金融消费者的信息安全,对此应予补充。对此,我国台湾地区已有立法尝试。我国台湾地区《个人资料保护法》第四十一条规定,“意图为自己或第三人不法之利益或损害他人之利益,而违反第六条第一项、第十五条、第十六条、第十九条、第二十条第一项规定,或中央目的事业主管机关依第二十一条限制国际传输之命令或处分,足生损害于他人者,处五年以下有期徒刑,得并科新台币一百万元以下罚金。”而其第六条第一项的规定即为“有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得搜集、处理或利用。”日本《个人信息保护法》第七十三条也规定,“违反第六十三条的规定,泄露秘密或者盗用的,处以两年以下惩役或者一百万日元以下的罚金。违反基于第三十四条第二项或第三项的规定所作出的命令的,处以六个月以下的惩役或三十万日元以下的罚金。”我国《刑法》中也应规定非法利用个人信息的行为入罪。
此外,金融领域特别是互联网金融领域的信息安全更加重要,应在立法中重点予以保护。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中对于金融有关认证信息的侧重保护是合理的。在日后修正《刑法》时,也应明确做出规定,对于侵犯个人金融信息安全的行为从重处罚。
[参考文献]
[1] 谢平,邹传伟. 互联网金融模式研究[J]. 金融研究,2012(12):11-22.
[2] 罗明雄. 互联网金融六大模式解析[J].高科技与产业化,2014(3):56-59.
[3] 任孚婷.大数据时代隐私保护与数据利用的博弈[J].编辑学刊,2015(6):41.
[4] 胡剑波,宋帅,石峰. 互联网金融信息安全风险及其防范[J]. 征信,2015(4):13.
[5] Charlotte A.Tschider.Experimenting with Privacy: Driving Efficiency Through a State-Informed Federal Data Breach Notification and Data Protection Law[J].Tulane Journal of Technology&Intellectual Property,2015, 18:45.
[6] [德]乌尔里希·齐白.全球风险社会与信息社会中的刑法——21世纪刑法模式的转换[M].周遵友,江溯,等,译.北京:中国法制出版社,2012:273.
[7] 赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报,2014(1):127.
[8] 齐爱民. 中华人民共和国电子商务法草案建议稿[J]. 法学杂志,2014(10):9.
作者:王肃之
推荐阅读:
专科金融论文06-06
金融债券论文06-22
金融工具的论文05-28
农村金融监管论文06-04
金融刑法论文06-18
金融监管模式论文06-25
互联网金融发展论文05-25
美国住房金融体系分析论文06-01
金融学毕业论文致谢参考06-16
