最新头条追踪：百万条银行客户信息疑被盗卖！兜售金融相关数据占比超7成 谁在买入？(3)

事实上，银行数据管理趋严背后，是国家层面对个人信息数据管理工作地系统性出击。去年下半年，工信部等数次公开点名批评百余款应用软件及其运营企业，涉及未经用户同意超范围及非必要使用个人信息等违规情形。

券商中国记者注意到，去年5月份到8月份，监管部门密集出台了关于数据安全管理办法、APP违规收集使用个人信息行为认定方法等多项征求意见稿及草案。这也和上述数位银行业人士的判断类似，当前央行对银行数据治理指引已经非常详尽，未来的变化更多出现在相关立法层面。

“在数据确权、数据治理上，中国有着绝对的优势，将是一个世界性的数据资产大国。”京东数科数字技术中心数据资产部总经理张旭认为，数据资产是银行的核心资产，是政府安保数据之外最值得信赖的数据，但数据向前发展必然面临着确权，以及海量数据在手之后如何通过人工智能等新技术做深度挖掘、开发应用。

“从大环境的导向来看，融易新媒体，为业内普遍认同的是，监管曾仍然鼓励在合规前提下推动金融机构数据高质量发展，比如与各类政务数据互联互通，建立跨区域的数据融合应用等。”苏宁金融研究院院长助理薛洪言接受券商中国记者采访时称。

庞大数据黑色交易网：金融相关占比7成以上

“暗网售卖数据是有组织严密的产业链，窃取售卖数据是黑产中隐藏最深的、历史最悠久的、最成熟的变现方式。”腾讯安全数据安全团队负责人彭思翔直言。

2018年被业内认为是数据保护的元年，却也是数据泄露的灰色之年。当年3月，Facebook被曝8700多万条用户数据泄露、遭遇其有史以来最大型数据泄露危机。而在国内，2018年初有国内某评价连锁酒店传出涉及5亿条顾客隐私数据在暗网贩卖；今年3月，国内某APP发生信息泄露，在暗网上被以“5.38亿用户绑定手机号数据，其中1.72亿有账号基本信息”的名义进行售卖。

近年来频繁爆发重大企业信息资料或用户数据泄漏事件，让暗网这个“地下黑市”逐渐被社会所认知。

“暗网，可以简单理解为互联网的一个地址，有一定技术手段都可以访问。最大特性是匿名平台，很难追溯，匿名传输，匿名货币交易。”周君桢告诉记者，“市场规模很难统计，你看到的只是冰山一角，暗网交易的信息非常非常多。”

而他注意到一个明显的变化是，从2018年以来，随着传统金融数字化转型的加速，银行、证券、保险尤其是互联网金融等类型金融数据明显增多，诸多信息经常在暗网上被倒卖，“金融相关的数据情报数据占到7成以上，尤其涉及金融属性的个人隐私信息，如金融开户信息，信用卡等，国内国外同样如此。”

腾讯安全报告从2018年暗网数据交易的情况（抽样数据）来看，帐号/邮箱类数据、个人信息、网购/物流数据、银行数据、网贷数据位列前五，分别占比为19.78%、12.19%、9.69%、9.02%和8.3%，其它还有博彩数据、股市数据、企业工商数据等信息。

2018年暗网交易数据分布占比情况

来源：腾讯安全

彭思翔介绍，黑产者盗取数据的具体手段包括技术入侵、社会工程学及APT攻击，也形成了脱、洗、撞三步循环的模式，“脱库是指入侵有价值的企业，把数据库全部盗走；洗库指对数据初步清洗，拿到其中最有价值的数据去变现；撞库指清洗后发现可以继续利用的数据，会到别的应用、企业继续尝试渗透脱库，形成循环操作模式，一个企业或者一个行业的数据将全部被获取。”

比如，银行业里储存了大量用户敏感信息且又全又准确，而银行开展了大量业务应用、更新速度快，这又带来攻击面大、窗口多，但银行又很难做到滴水不漏的防护，“这就会成为黑产重点攻击的目标。”

由谁卖出、被谁买入

不少人有类似的经历：在某银行刚办理按揭贷款，随后不断收到各类第三方平台的信贷类、消费类营销电话和短信。

“这是典型的个人信息泄露的情况，比如房贷办理需书面填写较多个人信息，不排除有机构人员或信息接触者将信息留存在转手倒卖，比如一些信息中介或金融代理机构，联合第三方营销推广平台的惯用操作手法。”周君桢解释，“不过，相比这类信息泄露，暗网更多是有组织、有目标的盗取、买卖。”