银保监会“放大招”：杜绝个人信息泄露！

个人信息泄漏问题正在成为每个人的切肤之痛。从脱口秀演员池子对银行泄漏其 流水的质疑，到频频出现的信用卡盗刷现象，再到央视“３·１５晚会”曝光５０多 款移动客户端应用软件（ＡＰＰ）窃取用户隐私，这场关于“个人信息保护”的战役 越来越激烈。 由于个人信息和资金安全紧密相连，近年来，监管部门对于个人信息保护力度越 来越大。近日，中国银保监会办公厅发布《关于银行保险机构互联网业务系统泄漏客 户敏感信息的风险提示》（以下简称《风险提示》），要求各银行保险机构高度重视 ，有效防范和应对，确保不发生客户敏感信息泄露事件。 不法分子无孔不入 据了解，此次《风险提示》发布背景是由于某银行机构的微信银行系统存在安全 漏洞被不法分子利用实施网络攻击，窃取大量客户敏感信息，进而盗取资金。 具体来看，某银行机构因业务需要，在微信银行增加相关查询功能，用户在无需 登录情况下输入本人身份证号码可查询在该机构已办理的银行卡号和柜面预留手机号 等信息。不法分子则通过工具仿照公民身份证号码格式批量生成身份证号码，利用微 信银行上述功能安全漏洞发起网络攻击，非法查询获取大量用户的姓名、银行卡号、 柜面预留手机号等敏感信息。 随后，不法分子在手机号码中筛选已停机、或停机后已被运营商重新出售的部分 号码，通过新办或购买等方式控制相关手机号，进而获取短信验证码，实现在第三方 支付平台注册、绑卡、交易等操作，非法盗取客户资金。 银保监会认为，该事件主要反映了三个问题： 一是微信银行系统存在重大安全漏洞。 该机构微信银行在无需客户授权登录情况下，输入任何客户身份证号即可查询并 显示该客户完整的银行卡号和柜面预留手机号，同时返回的系统报文数据中还附带了 客户姓名、住址、单位等敏感信息，该功能既超出了业务需求规定的范围，又存在越 权查询任意客户敏感信息的安全漏洞，是导致客户敏感信息大量泄露的直接原因。 二是软件开发生命周期安全管控缺失。 该机构在微信银行新增相关查询功能过程中，未评估系统开发设计方案中存在的 网络安全风险，系统设计存在明显漏洞，未严格控制敏感客户信息的访问权限，未按 照“最小必要”原则设计查询返回信息，未对查询返回的敏感客户信息做严格的加密 和脱敏处理；系统上线前未开展网络安全测试，系统“带病上线”。 三是风险监测、预警和处置机制不健全。 该机构在系统上线后未有效开展安全评估，未及时发现和修补重大安全漏洞。风 险监测系统未限制同一ＩＰ地址的查询频度和数量，未能在第一时间监测到不法分子 的大量非法查询操作；不法分子实施窃取敏感客户信息的网络攻击时，未能尽快定位 问题并阻断网络攻击行为；未能及时识别客户信息泄露风险，针对可能已泄露信息的 客户采取预警和特殊防护措施。 要建立客户信息保护长效机制 事实上，随着监管对个人信息泄漏越来越重视，相关政策出台频率加快，对机构 有关数据治理、个人信息泄露、网络安全的罚单也随之增多。 政策方面，２０１９年１１月，人民银行发布《关于发布金融行业标准加强移动 金融客户端应用软件安全管理的通知》，移动金融应用客户端软件实名备案工作启动 ；今年２月，人民银行又发布了《个人金融信息保护技术规范》，规定了个人金融信 息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安 全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求；此外，个人信 息保护法的草案稿已经形成。 处罚方面，江苏银保监局６月公布了对江南农商行的行政处罚，该行因“网络安 全工作严重不足”被罚款３０万元；８月５日，上海银保监局发布行政处罚信息，招 商银行、交通银行的信用卡部门因对客户个人信息未尽安全保护义务、对信用卡申请 人资信水平调查严重不审慎，被责令改正并各被罚款１００万元。 此次事件发生后，银保监会在《风险提示》要求银行保险机构认真开展自查，采 取有效防范和应对措施，防止类似事件再次发生，并提出了三点意见。 一是提高网络安全风险意识，严格落实网络安全责任制。包括在互联网业务系统 软件开发生命周期的各个阶段把好安全关口，加强安全检查、风险评估和审计，充分 识别威胁客户信息安全的风险隐患，确保风险控制措施的有效性。 二是全面排查互联网业务系统客户敏感信息泄露风险隐患，及时修补系统漏洞。 包括开展一次全面、深入的风险排查，对潜在的、可能导致客户敏感信息泄露的风险 隐患，尽快采取控制措施，修补漏洞，确保不发生客户敏感信息泄露事件。同时，要 组织开展银行客户开户信息核实工作。 三是建立客户信息保护长效机制。包括健全开发安全管理体系，制定本单位的客 户信息分类和分级标准，建立日常安全运营管理机制，加强客户敏感信息风险监测预 警体系建设，强化风险识别和监控，通过异常行为监测、攻击追踪溯源等手段，准确 定位网络攻击威胁，为第一时间开展应急处置、采取风险防控措施赢得时间。 [32] \t