11月1日,《中华人民共和国个人信息保护法》正式实施,买卖个人信息最高判7年,违法企业处罚最高五千万元或上一年度营业额的5%。另外,对于处理者,主管人员和其他直接责任人员,处以最高一百万元罚款与限期从业禁止。
一、《个人信息保护法》与数字金融
在《个人信息保护法》颁布之前,金融领域专门规范使用个人信息的条款仅有中国人民银行制定实施的部门规章《金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)及行业规范:《个人金融信息保护技术规范》(JR/T 0171—2020)。
我国金融个人信息保护和黑产治理的「三驾马车」
截至2020年12月,我国互联网用户达9.89亿,网站超过443万个、应用程序超过345万个,随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题日益突出。从全球的立法脚步来看,为网络世界划清生长的边界已经成为大势所趋。在这种情况下,我国数据金融也急需一部《个人信息保护法》来明确权责的边界。
二、个人信息安全成金融服务红线
随着「全球最严隐私保护法」的出台,金融机构及从业者一旦触碰个人信息安全红线,将付出高昂的代价:
2.1 极大增加数字金融领域违规获取或使用金融个人信息的成本
《个人信息保护法》出台后,上述机构一旦出现违反个人信息保护义务的行为,将面临轻则由监管部门责令改正、重则吊销相关业务许可和牌照,同时面临对机构处以最高五千万元或处上一年度营业额5%以下罚款,另外,对于处理者和主管人员和其他直接责任人员双罚制,处以最高一百万元罚款与限期从业禁止。除《反垄断法》规定营业额1%到10%的罚款之外,此次新法是第二部用营业额百分比来进行行政处罚的。此前,根据《反垄断法》,阿里和美团分别被开出巨额罚单。
2021年4月,阿里因为二选一,被处以2019年中国境内销售收入的4%,约182亿人民币的罚款。
2021年10月,美团因为二选一,被处以2020年中国境内销售收入的3%,约34亿人民币的罚款。
一年营业额的5%,放在任何一家金融机构,都将是一笔天文数字。另外,当多个平台处理用户信息时出问题,一旦侵害个人信息权益造成损害的,将依法承担连带责任。
2.2 信息处理者的责任和义务、合规成本也将会提高
可以预见,金融机构将会围绕新法进行合规整改,强化金融个人信息的数据保护与合规建设,保证信息利用合法合规。以手机端金融服务APP为例:APP需要给用户提供是否接受数据收集的入口,要落实可携带权、查阅权,则需要APP端给用户提供数据下载等相关的入口,这些无疑都将提高研发与维护成本。
三、金融信息黑产依旧猖獗
一边是金融个人信息保护的政策红线;另一边,金融个人信息泄露依旧猖獗。
公开数据统计,2016年至2020年,全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件中,从数据来源行业来看,金融行业占比为39.10%,位列第一。
2020年第三季度,12321 网络不良与垃圾信息举报受理中心的举报受理情况显示,垃圾短信主要为贷款理财、金融保险业推销等,占比 82.9%。
有数据显示,仅2021年以来,人民银行组织集中清理整治的涉诈银行账户就达2.8亿户。金融黑产,是我国电信网络诈骗案件持续高发的一个重要根源,这背后所暴露出的,正是金融个人信息保护与黑灰产治理的短板。
那么,详尽的金融个人信息从何而来?
与其他领域的黑色产业链一样,金融信息黑产同样拥有成熟完成,分工明确的上下游产业链。通过社工、恶意爬虫、暴力破解与撞库攻击等方式获取到大量数据。利用金融机构管控短板,攻击「数据洼地」。
- 2021年5月7日,新加坡大华银行官网,对一起涉及1166名中国客户的信息泄露事件公开致歉。作为新加坡三大行,此次信息泄露事件对其品牌及业务造成了极为恶劣的影响。
- 2021年5月,Akamai发布《SOTI 研究:针对金融行业的研究报告》,数据显示,截至2020 年,金融行业共计发生34 亿次撞库攻击,这比2019 年增加了 45%。而在针对金融行业发起的撞库攻击中,高达75%的攻击直接以API为目标。而早在6年前,乌云平台就曾公布过国内某行接口存在设计缺陷(具体为,某行网银登录页面,没有部署任何验证码,黑产可以利用社工库,针对该接口进行批量撞库攻击,从而获得明文银行卡号等敏感信息。)。
- 2021年3月,315期间某投诉平台再次出现头部券商APP被用户投诉个人信息泄露的情况。用户表示,在APP完成注册后,骚扰电话跟垃圾短信就接踵而至。往往而这类用户手机号泄露问题,最后矛头都指向券商平台。而实际情况是,短信渠道为赚取利润,将券商的用户信息进行二次转卖。
总体来看,当前金融信息黑产获取金融个人信息的渠道主要有三个:
- 金融机构内部人士泄露,多为员工私下倒卖客户信息;
- 金融机构合作方泄露,比如上述的短信渠道商,二次转卖用户信息;
- 暴力破解与撞库攻击,多个金融平台脚本跑下来,成功几率往往非常高。
新法出台之后,金融机构及从业者将面对来自政策红线,以及金融信息黑产的双重压力。
四、金融个人信息保护与黑灰产治理
根据Imperva《Bad Bot Report 2020》报告显示,全球恶意机器流量行业分布中,金融领域以47.7%的占比,排在首位,成为黑产团伙攻击的重点目标。
正如前面所述,金融信息黑产获取用户个人信息手段,无外乎内部员工私下倒卖客户信息,短信渠道商倒卖以及暴力破解与撞库攻击。而这三种方式,最终对应的是黑产团伙的两大能力:
- 通过计算机程序或者模拟器获得行为上效率的提升;
- 通过卡商非法信息商获得身份上效率的提升;
不论是利用脚本程序,进行暴力破解或撞库攻击,还是通过渠道商购买,金融信息黑产的目的很明确,就是用最小的代价,获取尽可能多的个人金融信息,并快速变现。
与之对应,通过多年与黑产对抗积累的经验,极验通过采集「身份信息」、「行为信息」,从而实现数字金融可信流量的识别。
- 行为验,基于第四代适应型验证码技术,七层模块不仅应对不同的攻击模式,更能单位周期内多大4374种变化。大幅提升金融黑产攻击成本,较上一代产品,黑产绝对攻击成本上升3.14倍。通过部署行为验,保护数字金融平台业务场景内不被恶意机器攻击,有效对抗暴利破解与撞库攻击。
- 身份验,全新一键认证解决方案,自动识别手机号并脱敏处理,防止黑产撞库登录。并且,利用风控隐形前置架构,在分析、记录、防御三个核心环节,实现不影响用户体验的情况下,风控反应周期前置0.5h-48h的对抗能力。作为三大运营商国内授权的五家厂商之一,极验已获得三大运营商独有的数据网关+SIM 卡验证能力。与传统短信验证码不同,数据不经过第三方短信通道,个人金融数据直连三大运营商接口,兼顾体验性的同时,有效保障了数字金融服务的安全性与稳定性。
随着流量红利消失,未来十年,数字金融的关注点将从「数量」转到「质量」,如何有效识别和对抗金融黑灰产成为数字金融领域运营的关键。新法的推出,如今大家都是同一起跑线,面对可信流量巨大的改善空间,数字金融服务通过可信流量治理后,在本行业的竞争优势将获得2-5倍左右的提升。企业未来能进行改善的空间,同时也是获得行业竞争优势的空间。
极验合作金融领域客户部分案例极验合作金融领域客户部分案例
结语
《个人信息保护法》之下,不难看出,可信流量治理已是大势所趋。严格的政策管控下,依靠个人信息获取流量质量提升的时代终将走向末路。反观黑灰产依旧猖獗,未来十年,金融领域谁能够提升不可信流量的治理率,谁就将率先突围,在新的赛道上占得先机。