一、互联网金融背景下个人信息风险归因分析（一）个人数据易被泄露

     1.手机APP数据泄露

智能手机是人们最常用的互联网终端，存放着用户的身份信息、账号信息、照片视频等隐私数据。智能手机的便捷要借助各种APP来实现，个人隐私数据被获取，大部分是通过APP实现的。一是“越界获取”权限。APP在向用户请求获取手机隐私权限时，有些权限是必要的，不获取APP就无法正常工作，但也有些APP存在功能用不到，却要求用户授予权限的行为。如：通讯录权限：该权限允许APP读取并修改联系人以及他们的数据(电话号码、邮箱地址等)，并获取手机的用户和账号信息。“通讯录”权限被恶意APP软件获取后，被泄露的联系人数据很有可能被传播垃圾邮件、短信或电话的人利用。“越界获取”权限导致用户部分个人敏感信息被获取且用途不明，存在信息泄露隐患。二是系统漏洞，目前绝大多数的互联网金融平台通过移动APP开展业务，且有部分平台仅通过移动APP开展业务。比如国家互联网应急中心2018年对430个互联网金融APP开展检测，发现安全漏洞1,005个，其中高危漏洞240个，明文数据传输漏洞数量最多有50个，这些安全漏洞可能威胁交易授权和数据保护，存在数据泄露风险。 

2.互联网企业数据泄露

在信息技术和互联网大数据快速发展的今天，互联网企业借助其掌握的大量详尽的用户数据，对用户各项行为、消费习惯等进行评价预测，并可据此研究优化自身商品和服务等，提升市场竞争力。近年来，国内外企业用户数据泄露事件频发，例如美国Facebook被曝泄露8700多万用户数据，万豪旗下喜达屋酒店预订系统遭网络“黑客”入侵，泄露大约5亿条用户信息。华住酒店集团4.93亿条用户信息遭泄露，并在境外网站被公开叫卖。Under Armour旗下健身应用MyFitnessPal的1.5亿用户数据遭泄露。这些泄露数据包含了大量的个人隐私信息，如姓名、地址、身份证号、联系电话等，给用户的人身安全、财产安全带来了安全隐患。分析导致企业端用户信息泄露原因：一是外部环境恶劣，黑色产业链猖獗，互联网企业因行业属性本身容易被攻击，职业黑客看中企业掌握的大量数据和企业系统平台本身管理漏洞，利用技术非法侵入系统，窃取用户信息并进行非法传递、贩卖。二是企业内部人员管理机制问题，少数“内鬼”为谋取不法利益铤而走险，致使用户信息大量被泄露。

3.公共WIFI数据泄露

未加密、未经验证的低风险WiFi，以及具有ARP攻击、DNS劫持或虚假WiFi行为的高风险WiFi。常见的风险WiFi形式：搭设有风险的免费WiFi，诱导用户连接，进而获取客户端信息。开展“ARP攻击”，局域网内，如果一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP攻击”手段截获所在网络内其它计算机的通信信息，造成大范围的信息泄露。

4.旧手机数据泄露

近年来，手机更新换代速度越来越快，我国智能手机用户的平均换机周期约为22个月，除个别消费者会选择自己保留旧手机外，多数公众会将手机折价出售、转送，大量的旧手机处理方式牵连着个人信息安全问题。目前，我国私人企业回收的二手电子设备多数都会分门别类的流向二三线城市经济欠发达地区，以及环保回收拆解机构，由于该行业缺乏第三方机构的监管，这些电子产品，特别是手机存在个人信息泄露的隐患。如果旧手机落入犯罪分子手中，通过技术手段对信息加以恢复，将可能导致手机原主人较为私密敏感的个人信息被泄露。

（二）数据被大量非法收集

随着内容数据价值的日益凸显，大数据已经成为了很多企业愿意买单的“产品”，大数据创业公司应运而生，利用爬虫技术收集信息，建立数据库，对外出售或提供数据服务，如：大数据公司向互联网金融公司、银行机构提供借款人信贷风险评估服务，供合作方作放贷决策。爬虫本是一个自动提取网页的程序，按照一定的规则，自动抓取互联网信息并存储到自身数据库的程序或者脚本，各大搜索引擎也会使用爬虫技术。但个别大数据公司受到利益驱使，提供自身产竞争力，不仅爬取互联网网站的前段公开数据，还利用爬虫收集公民身份、出行、社交、购物等大量未公开、未授权的个人敏感信息，且违规留存、使用、买卖这些隐私数据，造成大量个人隐私信息被滥用。2017年，曾号称“数据第一股”的北京数据堂被警方调查，也成了大数据爬虫公司中第一个入刑案例，涉嫌利用网络爬虫技术违规获取、倒卖个人信息数据，在8个月时间内日均传输公民个人信息1.3亿多条。

（三）缺少统一法律规范

目前我国个人信息保护立法总体呈现出分散立法的趋势，如：刑事法律方面，《刑法》及相关司法解释，规定了侵犯公民个人信息罪以及拒不履行信息网络安全管理义务罪，明确了个人信息的法律内涵及侵权责任承担方式，如：非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的，属向他人出售或者提供公民个人信息，情节严重，处三年以下有期徒刑或者拘役，并处或者单处罚金。民事法律方面，《网络安全法》及《信息安全技术 个人信息安全规范》明确规定“未经收集者同意不得向他人提供个人信息”、“任何人和组织不得窃取或者以其他非法方式获取个人信息”。行政法律方面，部分行业规定办法也涉及个人信息保护的规定，如《电信和互联网用户个人信息保护规定》、《网络借贷信息中介机构业务活动管理暂行办法》等，分行业规范个人信息保护。分散式立法存在保护条款内容不集中，适用范围相对狭窄；相关规定缺乏可操作性，如：仅规定了对个人信息的保密义务，未规定违反该义务的法律后果，未明确执法监管机构的义务和责任等问题，在监管保护和司法实践中不能起到有效的保护或惩戒作用。

（四）消费者维权成本高、难度大

目前，我国在打击侵犯个人信息犯罪的法律适用上，重“刑事处罚”，轻 “民事归责”。个人信息遭受侵害后，即使侵权行为人最终遭致刑事处罚，但信息主体的财产及非财产损失却得不到任何实质性的补偿。同时，我国民事诉讼举证责任分配规则一般遵循“谁主张谁举证”的基本原则，在个人信息民事纠纷的司法审判中法官在大多数案件中主要适用该分配规则，信息被泄露人须对经营者的泄露行为举证，关键证明经营者为信息泄露的唯一主体。因个人信息的掌握和泄露渠道具有明显的非唯一性，除经营者以外，其他主体可能曾在不同的环节接触或掌握了消费者的个人信息，使得信息被泄露人在客观上存在极大的举证难度，无法匹配或达到民诉法及其司法解释所规定的举证要求或证明程度，最终导致败诉。

二、完善个人信息安全保护建议

（一）完善法制建设。一是加快《个人信息保护法》出台。目前我国对于个人信息保护采取的立法方式是在多项法律中关注和强化，存在适用范围相对狭窄，操作性不强，规定之间缺乏体系上的呼应等问题，不利于部分共性问题和单独的行业监管问题的统一规范。二是完善个人信息泄露举证职责分配，减轻原告方举证责任。实践可参考《证据规定》中对医疗、环境、专利、动物致害等八种特殊侵权纠纷的举证责任分配作适当调整，将由受害方承担的部分举证责任转移给侵权方承担，解决公民维权成本高的问题，促使信息主体积极运用法律维护自身合法权益。  

（二）增强监管合力。一是完善监管处罚机制，赋予个人信息安全监督检查机构行政处罚权，确保监管的有效性。加大对泄露信息安全管理或侵犯公民个人信息机构的惩治力度，提高罚金数额，要让违法违规的互联网金融机构承担足以影响其正常经营活动的冲击性惩罚，倒逼企业加强用户信息安全保护力度，注重信息安全保护。二是严厉打击个人信息贩卖的黑色产业链，要加大对窃取、倒卖、盗用个人信息行为的打击力度，形成高压态势,切断个人信息犯罪产业链条。三是充分利用新闻媒体的舆论监督引导作用，对违法的信息控制者进行曝光，强化网络知识普及和安全教育规范，通过社会宣传、社会动员等方式共同应对个人信息泄露情况。四是畅通投诉渠道和维权渠道，通过便利的投诉、举报、反馈和处理渠道机制建设，让公众积极参与到维护个人信息安全的行动中来，增强消费者的个人信息保护意识。

（三）推广认证机制。由监管机构或具备公信力的认证机构对企业的信息安全保障能力进行评估认证，客观反映企业遵守个人信息保护规则情况，评估结果纳入企业开展个人信息相关业务基本准入条件，并定期组织复评监督。同时，及时向公众公布评估结果，便于公众在服务选择、企业间商务合作中对企业的信息安全保障能力有直观了解，平衡决策。

（四）强化商业银行信息安全管理。商业银行在长期承担社会信用中介过程中，成为经济信息的重要汇聚点，积累了基于个人、企业资金及账户活动的大量有价值数据。无论是从银行自身发展战略高度，还是从履行社会责任、落实依法合规经营监管要求，银行都应高度重视信息安全管理。一是从系统、业务流程、制度建设到员工行为规范都应全面落实信息安全管理要求，建立健全信息安全分级，分类保护机制，明确个人信息在采集、存储、传输、处理过程中的不同风险防范措施，严格规范数据使用范围。二是严格规范对外数据合作，银行在对外开展数据合作项目，无论涉及运用合作方数据，还是向合作方提供数据，都应严格遵守《网络安全法》、《征信业管理条例》等规定，与具备相应资质的机构合作，对合作方经营资质、信息来源、技术水平等做好尽职调查。从合作方的准入、合作中客户信息的授权使用、数据交换与保管，对合作方的监督等进行全方位的考虑与规范管理，避免引发操作风险、声誉风险。三是强化银行内部员工合规合法理念，加强专题培训和日常监测，避免内部人员在履行职责或提供服务过程中因为故意或者过失侵犯到公民个人信息，甚至构成犯罪。

（五）培育良好信息安全意识及使用习惯。个人重视并慎重对待手机隐私权限管理，日常选用安全合规的App产品和服务，认真阅读应用权限和用户协议或隐私政策说明，尽量减少授予权限。养成良好的上网习惯。谨慎使用公共场合的WIFI热点，使用过程中尽量不进行购物、支付等涉及个人敏感信息的操作；谨慎填写个人隐私信息，防止信息被无谓的采集，彻底清理旧手机信息。广泛开展个人金融知识教育，从学生、工作人口、老年人口三个角度分别推进金融知识教育，了解新的金融产品知识，树立个人信息保护意识，如果受到欺诈，知道通过什么样的渠道保护自身合法权益。

                          ★/工行长春分行  张红岩