新华社新闻新华社调查:这些银行里的个人金融信息“漏洞”该咋堵?


5月9日 , 银保监会消费者权益保护局发布通报:2020年3月 , 中信银行在未经客户本人授权的情况下 , 向第三方提供个人银行账户交易明细 , 违背为存款人保密的原则 , 涉嫌违法违规 , 将按照相关法律法规 , 对中信银行启动立案调查程序 , 严格依法依规进行查处 。
给钱就能“拉银行流水”吗?银行等金融机构中仍存哪些个人信息保护漏洞?应如何堵住?新华社采访人员对此展开调查 。
采访人员体验:“付钱拉银行流水”有真有假
采访人员调查发现 , 当前一些网络平台个人“银行流水”信息的售价从600元至5000元不等 , 查询时段为1个月至12个月 , 时段越长价格越高 , 买家只需要提供查询对象身份证号码就能查询 。
QQ名为“杨大”的卖家告诉采访人员 , 被贩卖的各种个人信息中 , “银行流水”等金融信息最值钱 。 他表示 , 做这行的都得在银行等金融机构里“有人” 。
采访人员查询中国裁判文书网发现 , 银行“内鬼”参与倒卖个人金融信息的情况并不少见:中行无锡分行职工唐某某利用工作便利 , 将该单位在提供服务过程中获得的5万余条公民个人信息 , 通过电子邮件非法提供给他人;建行余姚城建支行原行长沈某某 , 将该行受理的贷款客户财产信息共计127条提供给他人用于招揽业务 。
采访人员还发现 , 由于卖家大多要求“先付款后查询” , 也有不少所谓“侦探公司”借此诈财 。
名为“百胜私家侦探公司”的卖家向采访人员开价600元表示可查某股份制银行客户的信息 。 采访人员支付部分定金后 , 卖家表示40分钟左右将会发来相关流水信息 。 约25分钟后 , 采访人员发现自己被该卖家“拉黑” 。
银行中仍存个人金融信息保护漏洞
据了解 , 2016年以来 , 有关部门发现并通报一大批涉及金融等重点行业信息系统及安全监管漏洞 , 抓获各行业内部涉嫌违规人员3000余名 。 但采访人员调查发现 , 当前银行等金融机构中仍存一些隐患值得警惕 。
——为“拉客户”“冲业绩”违规泄露用户信息成部分银行“潜规则” 。 浙江某农村信用社的一线柜员小张告诉采访人员 , 银行内部只有一线柜员有权限查询客户流水及其他信息 , 且查询时需其他员工共同授权 , 系统会自动留痕 。
“但如果行长级别的领导以业务需要为名要求查询导出某客户流水 , 柜员往往难以拒绝 。 为‘笼络大客户’ , 而帮其私拉他人流水 , 这在一些银行也不是秘密 。 ”小张说 。
——银行内控漏洞致用户信息流进“黑市” 。 曾在广州某银行任职一线柜员的周女士透露 , 其所在银行的柜员可以随意查看客户半年内交易流水 , 无需授权 。
采访人员还了解到 , 目前部分银行对记录客户信息的纸质资料保护不足 , 未能及时销毁或失控流出的现象时有发生 。 部分已“上云”的资料 , 也存在因操作规范执行、监督不严而导致信息泄露风险大增情况 。
浦发银行某原电销中心业务主管任职期间违规获取、储存大量客户个人信息致其全部外流入电信诈骗团伙手中 。
——部分银行App涉嫌过度索权致泄露信息风险上升 。 采访人员随机测试了多款银行App , 发现其中多家存在不同程度“诱导”用户授权获取手机信息权限 , 如不同意其隐私条款则不能继续使用 。 其中中信银行、中国工商银行等建议用户同意读取拨打电话及通话管理 , 照片、媒体内容及文件 , 获取位置信息等信息 , 否则相关功能将无法使用 。 且该类授权属于“一次授权、长期有效” , 后期再使用时 , 系统不再提示授权 。
北京师范大学网络法治国际中心高级研究员臧雷表示 , 根据相关国家标准 , 金融借贷类App可以获取的最小权限范围为存储权限 。 机构应尽量遵循最小索权原则 , 尽量不因存储权限之外的权限影响用户使用App的关键功能 。
某银行风控部门工作人员向采访人员透露 , 目前大多数银行App都涉及技术外包合作方 , 尽管在遴选时对合作企业背景、安全性有一定考量 , 但合作企业部分员工泄露信息的风险仍然不小 。


推荐阅读