守住老百姓“钱袋子” 个人信息保护不停步

是谁在背后盗取我们的数据?“个人信息泄露的背后是一个完整的黑色产业链，有专门的黑色产业数据公司，通过各个渠道搜集个人信息，再对其进行整理、加工和包装，进而转卖、分赃，最终实现数据价值变现。”苏宁金融研究院金融科技研究中心主任孙扬告诉记者。

刚办完一张信用卡，就收到了贷款中介的推销电话;刚买完房，装修公司的电话接踵而至;车险快到期了，各保险公司的短信就频频推送;孩子快放假了，教学辅导机构的短信广告铺天盖地砸过来……

你对上述种种短信轰炸、电话骚扰应该不陌生吧?它们都指向一个让人无奈的现实——个人信息严重泄露，你被商家“盯”上了。

今年以来，有关个人信息泄露的新闻屡次成为热点话题。例如，脱口秀演员王越池爆料中信银行泄露其银行流水、百万银行客户数据疑在“暗网”出售、某些银行部门因个人信息保护不到位领到监管百万元罚单、央视“3·15晚会”曝光50多款移动客户端应用软件(APP)窃取用户隐私等。

在数字经济时代，个人信息安全往往直接关乎个人资金安全。如何保护好老百姓的个人信息、维护好个人“钱袋子”安全，是大数据洪流时代必须直面的问题。

谁动了你的个人信息?

“大数据时代，人人都在裸奔”，这句看似调侃的话语却让我们不得不直面一个严峻现实：在享受大数据时代各种便利服务的同时，个人信息却已通过多个渠道被盗用、贩卖，从而使自己变成“透明人”，被商业营销精准“锁定”。若要问你离个人信息被泄露有多远?答案是：零距离。

上海证券报记者了解到，目前个人信息的泄露渠道多样，可大致分为线下、线上两种。其中，线下渠道遵循“从哪里录入信息，就能从哪里泄露”的规律。一般散落的快递单、物业信息、医疗单据等个人零碎信息，均存在泄露的可能。而线上平台是信息泄露最严重的地方。从网页上的各种“留痕”，到注册的各种APP，均是触达个人信息的端口，前者包括网购记录、浏览痕迹、电商评论等，后者则普遍存在超范围收集个人信息的现象。

是谁在背后盗取我们的数据?“个人信息泄露的背后是一个完整的黑色产业链，有专门的黑色产业数据公司，通过各个渠道搜集个人信息，再对其进行整理、加工和包装，进而转卖、分赃，最终实现数据价值变现。”苏宁金融研究院金融科技研究中心主任孙扬告诉记者，被非法搜集的个人信息数据经过分门别类和定价后，最终被卖给各种金融机构、贷款中介、教育培训机构、房地产公司以及装修公司等需求方。

最常见的泄露渠道是各类手机APP，这也是黑色产业公司最容易获取个人数据的方式。当我们使用某个APP，经常会被强制要求读取设备信息，或者授权相机、定位等权限。这背后隐藏着一些APP超范围收集个人信息、私自收集个人信息、过度索取权限的“陷阱”。

今年的央视“3·15晚会”就曝光了国美易卡、麦芽贷等53款APP中窃取用户隐私问题，其中40余款为现金贷APP，占比近八成。据央视报道，这些APP通过内置SDK(软件开发工具包)插件，未经用户同意，在后台读取用户的电话号码、通讯录、短信记录、应用列表等信息，同时上传数据到第三方服务器。

“整个过程并不复杂，黑色产业公司会选择与一些APP开发商合作，在APP中嵌入黑色产业公司的SDK搜集个人信息，给予开发商一定的费用购买这些信息。被各种APP搜集的个人信息通过SDK发送到黑色产业公司，这些公司再对数据进行整理、加工包装，最后送到暗网交易。”孙扬表示，由于SDK能够收集用户的短信，一旦用户有网络交易的验证码被获取，极有可能造成严重的经济损失。

金融APP强监管的大幕已拉开

个人金融信息不仅关乎老百姓的资金安全，也是金融机构展业的关键要素。因此，金融类APP是强监管的重点领域。

2019年11月，人民银行发布《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》，拉开了金融APP强监管的大幕。根据通知，中国互联网金融协会承担移动金融应用客户端软件实名备案工作。目前，该协会已发布三批金融软件备案名单，累计有141款金融客户端软件完成备案。

今年7月底，工信部召开会议，部署开展纵深推进APP侵害用户权益专项整治行动，要求各企业不得存有侥幸心理和“过关”思维，切勿试探监管底线、触碰监管红线、低估监管意志。

由于信息安全是金融机构安全保障义务的核心内容，今年以来，有关数据治理、个人信息泄露、网络安全的罚单越来越多，金融机构对个人信息的保护同步进入严监管时代。

6月19日，江苏银保监局公布对江南农商行的行政处罚，该行因“网络安全工作严重不足”而被罚款30万元，成为首家因为网络安全问题被处罚的商业银行。8月5日，上海银保监局发布行政处罚信息，招商银行、交通银行的信用卡部门因对客户个人信息未尽安全保护义务等事项，被责令改正并各被罚款100万元。

除了机构主体吃到罚单，银行从业人员也有因侵犯公民个人信息被处罚的案例。

今年3月，建设银行余姚城建支行行长沈某某因犯侵犯公民个人信息罪，被判处有期徒刑3年，缓刑3年，并处罚金人民币6000元。今年4月，北京银行上海分行张江支行某临时工利用银行系统，违规查询公民个人征信信息，被判处有期徒刑1年2个月，缓刑1年2个月，并处罚金人民币4000元。

近两年，金融机构业务的线上化布局不断加快，形成了包括APP、小程序等在内的线上全渠道服务能力。而在推进数字化转型的过程中，如何寻求在网络安全风险管控、个人信息保护方面的平衡点，成为目前监管和金融机构共同面对的问题。

个人信息保护法律体系不断健全

今年以来，与个人信息保护相关的政策规范、法律草案在陆续健全，相关立法生态正在走向完善。

今年2月，人民银行发布《个人金融信息保护技术规范》，规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。

备受关注的个人信息保护法也有望面世。5月14日，全国人大常委会法工委有关部门负责人透露，个人信息保护法正在研究起草中，目前草案稿已经形成。明年正式施行的民法典中，也有专门针对隐私权和个人信息保护的章节。

实际上，当前个人信息保护不足，除了运营主体缺乏规范、法律制度有待健全外，也与信息主体的保护意识淡薄有关。业内人士呼吁，每个人都应该形成强烈的自我保护意识。

金诚同达(上海)律师事务所高级合伙人彭凯说，消费者要从多方面保护自己的个人信息。从线上平台看，下载APP并在授予APP系统权限前，要考虑其必要性，尤其是涉及通讯录、通话、短信、照片等敏感内容的权限;针对不同网站应使用不同的复杂密码，避免因部分网站的密码泄露事件导致个人在其他网站的数据也面临重大风险，尤其是针对一旦泄露可能造成严重后果的网站。

彭凯表示，在线下渠道，非必要情况下，尽可能减少填写、提供真实个人信息的机会。需要警惕的常见场景包括扫码抽奖、有奖问卷、报名送礼等。另外，要做好纸质单据的个人信息保护工作，例如撕去快递包装上的收货人信息、不随意丢弃使用过的实名制车票、丢弃前撕毁购物支付凭证等。(记者 张艳芬 魏倩)