网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


泄密门蔓延 客户资料在银行内部被指几乎透明

2012-01-10 22:03 推荐: 浏览: 31 views 字号:

摘要:   金融机构是否可能外泄客户资料?   你有没有被各类垃圾信息、推销电话“轰炸”的经历?推销房子的,推销汽车的,推销保险的,推销母婴用品的……甚至有的推销员连你的准确姓名、家庭住址、存款信息都一清二楚,言语之中还透着一股“老相识”的味道。   近期,关于个人资...

  金融机构是否可能外泄客户资料?

  你有没有被各类垃圾信息、推销电话“轰炸”的经历?推销房子的,推销汽车的,推销保险的,推销母婴用品的……甚至有的推销员连你的准确姓名、家庭住址、存款信息都一清二楚,言语之中还透着一股“老相识”的味道。

  近期,关于个人资料泄密的话题从互联网行业蔓延至金融领域,有网友爆料称,国内多家银行的用户数据已经泄露,其中交通银行7000万,民生银行3500万。

  不过事后,三大银行均集体否认,中国银行业协会也出面澄清称,该网传信息严重失实,信息不是来自银行数据库,同时表示将保留追究其法律责任的权利。

  每个人都避免不了与银行等金融机构打交道,银行、券商、基金公司等机构掌握着大量客户的个人信息,通过这些信息,可以很容易地了解到客户的经济实力。 那么,社会上流传的大量个人信息,有没有可能从银行外泄?

  名词解释

  非法获取公民个人信息罪

  该罪是指窃取或以其他方法非法获取公民个人信息且情节严重的行为。

  《中华人民共和国刑法修正案(七)》第二百五十三条规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。

  爆料声音

  “咨询公司转卖客户资料”

  刘先生(曾从事北京某楼盘广告销售):两年前我开始做楼盘广告销售,刚入行时没有资源,经同事介绍,从咨询公司买了一批客户资料。第一批到手的数据相当丰富,某金融机构VIP客户的详细资料一览无余,包括用户名字、座机、移动电话、联系地址,甚至连银行账号和身份证都一应俱全。这一批名单上共有9674个用户。有了这些数据后,推销工作算是有了方向。此后陆续又买过几次资料,包括银行信用卡用户、银行VIP用户、通信公司金卡会员……每一批数据包的用户数量都在几千人左右。

  据我了解,咨询公司可能从金融机构内部员工那里获得这些资料,然后再转手将资料卖出去。这些资料往往在市场上多次倒卖,基本上房屋中介都有渠道拿到各种资料。咨询公司从银行内部拿资料,好像是每1000名VIP客户2000元,也就是说一条信息2块钱,普通客户每个0.2元。但他们转手卖的时候,每个VIP客户的信息就涨到10元了。只要给钱,什么信息都能买到。

  买卖用户信息的事,公司是知道的,但从来不管,只要员工出业绩,公司根本不管员工用了什么手段。这是行业里的普遍做法。

  律师观点

  “相关法律配套还需完备”

  刘永斌(盈科律师所律师):2009年2月28日颁布实施的《刑法修正案(七)》,对侵犯公民个人信息罪进行了立法。明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三项罪名,这一规定为打击倒卖个人信息产业链提供了法律利器。

  但是,目前我国个人信息保护方面的法律还不完备,公民个人信息保护法还未出台,司法实践中准确理解和认定此罪仍有难度。

  作为新罪名,出售、非法提供和非法获取公民个人信息案件在法律和实践层面上仍存在诸多问题,这在一定程度上影响了对此类犯罪的打击力度。

  例如,如何界定“个人信息”,“情节严重”的尺度如何把握,都需要法律进一步加以明确。

  立法单一、执行不到位,打击力度不够,都导致买卖用户信息的现状没有得到改变。

  此外,除司法打击外,金融、电信等相关单位也应该完善内部控制,加大内部惩处力度,从源头上把好关,才是杜绝个人信息泄露的治本之策。

  相关案例

  非法获取个人信息被追刑责

  ●2010年1月,广东男子周建平因向他人非法出售个人信息资料被珠海市香洲区法院以非法获取公民个人信息罪判处有期徒刑一年六个月,并处罚金2000元。

  这是国内被法院以侵犯个人信息安全的新罪名追究刑事责任的第一人。

  ●2011年8月,北京市第二中级人民法院宣判迄今北京最大的一起非法获取公民个人信息案,包括三大电信公司员工在内的23名被告因出售、非法提供、非法获取公民个人信息而被判刑。

  在23名被告中,有7人分别来自移动、电信、联通公司内部,或其他公司派驻电信公司的职员,而这些职员则正是倒卖个人信息产业链的源头。

  ●2011年11月,上海浦东新区法院宣判了一起非法获取公民个人信息罪案件。29岁的侯某于2010年3月到4月间,从别人手中非法获得800余条银行客户的信息资料。2011年1月,侯某将这些信息上传至百度文库,供他人下载,获取积分。相关银行了解情况后,立即向警方报案。随后侯某被抓获。

  业内声音

  “客户资料在银行内部几乎透明”

  张女士(某股份制银行财富中心职员):客户只要在一家银行留下过个人基本资料,银行内部人员要查看难度并不大。有一次,一个客户打电话过来,我一时想不起这位客户,于是把该客户的手机号码告诉公司柜台,柜台没有两分钟就把客户的资料传过来了,在银行里客户几乎是透明的。

  一般来说如果客户通过银行交纳手机费、水电煤气费,在银行就会留下信息,银行会很方便地拿到这些信息。如果在银行有开户,那么包括账户余额、手机、基本信息,银行基本都能查出来。

  不过,虽然客户的信息资料在银行内部相对透明,但是倒卖客户信息资料一般都是批量的,单个的客户资料并没有太大意义。

  “银行能掌握客户的财产状况”

  高先生(某国有银行支行高管):几乎每个人都有银行账户,因此银行能够掌握多数人的财产状况和基本信息,而这正是各个金融机构需要的资源。比如信托公司的产品门槛100万,最需要的就是那些高收入人群的信息,上哪去找这些高收入人群,从银行获得这些有效客户则是一个便利的途径。赤裸裸的倒卖客户信息的做法并不普遍,但互相介绍客户,沟通业界信息的做法并不少见。

  银行的银行卡部和财富管理中心所掌握的客户资料是有效信息。如果出现倒卖客户资料的情况,一般是相关业务条线的主管或者是统计人员,只有这些人能直接拿到数据库。

  现在银行内部对于“内鬼”并没有太多的办法,基本上靠道德约束。但是银行工作人员薪酬待遇、工作条件都相对较为优越,倒卖客户资料一旦被发现轻则失去工作,重则还要承担刑事责任,机会成本很大。(新京报 记者/苏曼丽 林其玲)
———————————-
游侠评论:
  其实对于内鬼,并不像文章中说的那样没有太多办法而多数靠道德约束,解决方法很多。比如:内网安全审计、移动存储介质管理、打印审计、文档加密、文档权限控制系统等,均可在一定或很大程度上加强内部网络的安全性,有效防止内部泄密。

联系站长租广告位!

中国首席信息安全官


关闭


关闭