银保监会“放大招”：杜绝个人信息泄露！

　　个人信息泄漏问题正在成为每个人的切肤之痛。从脱口秀演员池子对银行泄漏其流水的质疑，到频频出现的信用卡盗刷现象，再到央视“3·15晚会”曝光50多款移动客户端应用软件（APP）窃取用户隐私，这场关于“个人信息保护”的战役越来越激烈。

　　由于个人信息和资金安全紧密相连，近年来，监管部门对于个人信息保护力度越来越大。近日，中国银保监会办公厅发布《关于银行保险机构互联网业务系统泄漏客户敏感信息的风险提示》（以下简称《风险提示》），要求各银行保险机构高度重视，有效防范和应对，确保不发生客户敏感信息泄露事件。

　　不法分子无孔不入

　　据了解，此次《风险提示》发布背景是由于某银行机构的微信银行系统存在安全漏洞被不法分子利用实施网络攻击，窃取大量客户敏感信息，进而盗取资金。

　　具体来看，某银行机构因业务需要，在微信银行增加相关查询功能，用户在无需登录情况下输入本人身份证号码可查询在该机构已办理的银行卡号和柜面预留手机号等信息。不法分子则通过工具仿照公民身份证号码格式批量生成身份证号码，利用微信银行上述功能安全漏洞发起网络攻击，非法查询获取大量用户的姓名、银行卡号、柜面预留手机号等敏感信息。

　　随后，不法分子在手机号码中筛选已停机、或停机后已被运营商重新出售的部分号码，通过新办或购买等方式控制相关手机号，进而获取短信验证码，实现在第三方支付平台注册、绑卡、交易等操作，非法盗取客户资金。

　　银保监会认为，该事件主要反映了三个问题：

　　一是微信银行系统存在重大安全漏洞。

　　该机构微信银行在无需客户授权登录情况下，输入任何客户身份证号即可查询并显示该客户完整的银行卡号和柜面预留手机号，融易新媒体，同时返回的系统报文数据中还附带了客户姓名、住址、单位等敏感信息，该功能既超出了业务需求规定的范围，又存在越权查询任意客户敏感信息的安全漏洞，是导致客户敏感信息大量泄露的直接原因。

　　二是软件开发生命周期安全管控缺失。

　　该机构在微信银行新增相关查询功能过程中，未评估系统开发设计方案中存在的网络安全风险，系统设计存在明显漏洞，未严格控制敏感客户信息的访问权限，未按照“最小必要”原则设计查询返回信息，未对查询返回的敏感客户信息做严格的加密和脱敏处理；系统上线前未开展网络安全测试，系统“带病上线”。

　　三是风险监测、预警和处置机制不健全。

　　该机构在系统上线后未有效开展安全评估，未及时发现和修补重大安全漏洞。风险监测系统未限制同一IP地址的查询频度和数量，未能在第一时间监测到不法分子的大量非法查询操作；不法分子实施窃取敏感客户信息的网络攻击时，未能尽快定位问题并阻断网络攻击行为；未能及时识别客户信息泄露风险，针对可能已泄露信息的客户采取预警和特殊防护措施。

　　要建立客户信息保护长效机制

　　事实上，随着监管对个人信息泄漏越来越重视，相关政策出台频率加快，对机构有关数据治理、个人信息泄露、网络安全的罚单也随之增多。

　　政策方面，2019年11月，人民银行发布《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》，移动金融应用客户端软件实名备案工作启动；今年2月，人民银行又发布了《个人金融信息保护技术规范》，规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求；此外，个人信息保护法的草案稿已经形成。

　　处罚方面，江苏银保监局6月公布了对江南农商行的行政处罚，该行因“网络安全工作严重不足”被罚款30万元；8月5日，上海银保监局发布行政处罚信息，招商银行、交通银行的信用卡部门因对客户个人信息未尽安全保护义务、对信用卡申请人资信水平调查严重不审慎，被责令改正并各被罚款100万元。

　　此次事件发生后，银保监会在《风险提示》要求银行保险机构认真开展自查，采取有效防范和应对措施，防止类似事件再次发生，并提出了三点意见。

　　一是提高网络安全风险意识，严格落实网络安全责任制。包括在互联网业务系统软件开发生命周期的各个阶段把好安全关口，加强安全检查、风险评估和审计，充分识别威胁客户信息安全的风险隐患，确保风险控制措施的有效性。