近年來，隨著區(qū)塊鏈、大數(shù)據(jù)、云計算等新興科技的廣泛發(fā)展與應(yīng)用，給客戶帶來了無限便捷的可能，但同時也給不法分子提供了可乘之機，其潛在的信息泄漏風(fēng)險也日益加大。據(jù)Verizon《2018年數(shù)據(jù)泄漏調(diào)查報告》顯示，當(dāng)年共發(fā)生2216起數(shù)據(jù)泄漏事件，其中金融數(shù)據(jù)泄露占比15%，金融信息泄露已成為影響全球金融穩(wěn)定的重要威脅。為此，本文針對2018年以來國外金融領(lǐng)域信息泄漏案件的主要特點及問題成因并對我國加強金融信息保護提出相關(guān)建議。

一、國外金融信息泄露的典型案例

（一）因業(yè)務(wù)系統(tǒng)缺陷而引發(fā)信息泄露。如，美國金融服務(wù)巨頭Capital One在2018年3月泄漏近50.4GB個人及企業(yè)數(shù)據(jù)，其主要原因是其服務(wù)供應(yīng)商Birst公司設(shè)在云安全廠商UpGuard公司的Amazon Web Services（簡稱AWS）S3存儲桶未受保護;美國馬里蘭聯(lián)合保險協(xié)會（MDJIA）在2018年1月19日因一個內(nèi)含IT運營重要敏感數(shù)據(jù)的聯(lián)網(wǎng)存儲設(shè)備（NAS）通過開放端口與互聯(lián)網(wǎng)連接，導(dǎo)致數(shù)千客戶信息被泄漏到網(wǎng)上;著名跨境支付平臺PayPal旗下移動支付服務(wù)程序Venmo app默認公開用戶交易信息，引發(fā)數(shù)據(jù)安全問題，2018年7月某用戶通過這一隱私策略查詢Venmo API并下載了該公司所有2017年的公開交易記錄，總計2.08億條。

（二）因遭受網(wǎng)絡(luò)攻擊而引發(fā)信息泄露。如，2018年4月美國航空公司Delta及零售百貨公司Sears先后遭遇黑客入侵，導(dǎo)致數(shù)十萬名客戶的信用卡資料被曝光;2018年5月，加拿大蒙特利爾銀行（Bank of Montreal）和網(wǎng)上銀行Simplii Financial均發(fā)表聲明稱遭到黑客勒索，入侵黑客警告稱已經(jīng)訪問了近9萬名客戶的賬戶及相關(guān)個人信息，這是加拿大金融系統(tǒng)近年來遭受最大規(guī)模的網(wǎng)絡(luò)攻擊;2018年7月，智利政府發(fā)布消息稱，某黑客盜取了智利約1.4萬張信用卡的資料，并將客戶信用卡卡號、有效期限及安全碼等個人資料公布在社交媒體上，受攻擊影響的銀行包括桑坦德銀行（Santander）、伊塔烏銀行（Itau）、豐業(yè)銀行（Scotiabank）和智利銀行（Banco de Chile）等大型商業(yè)銀行。

（三）因金融機構(gòu)內(nèi)部管理制度失效引發(fā)信息泄露。如，2018年5月，澳大利亞第一大商業(yè)銀行——澳大利亞聯(lián)邦銀行證實，其包含客戶姓名、地址、賬號和2000年至2016年的交易詳情記錄的兩個存儲磁帶，在一次數(shù)據(jù)中心轉(zhuǎn)運任務(wù)中被其分包商Fuji-Xerox丟失，其中至少存儲有1200萬名用戶的銀行交易數(shù)據(jù)，并難以尋回;2018年4月，美國Sun Trust銀行表示，一名離職員工通過與第三方合作對公司的客戶聯(lián)系人名單進行了盜竊，名單包含的客戶個人信息包括客戶的姓名、地址、電話號碼以及某些賬戶余額等，超過150萬名客戶的個人信息可能已經(jīng)因此遭到泄露。

二、國外金融信息泄露案件成因

（一）行業(yè)監(jiān)管不力，法律約束力不強。當(dāng)前世界各國對出現(xiàn)的金融信息泄露事件尚缺乏統(tǒng)一的金融監(jiān)管標準和對接機制，可以參考依據(jù)的法律法規(guī)不足，面對重大金融信息泄露案件時監(jiān)管往往處于滯后和被動地位，既無法通過有效的監(jiān)管倒逼機制督促金融機構(gòu)及時化解風(fēng)險、消除影響;也無法對事件相關(guān)責(zé)任人進行嚴格的責(zé)任處罰，以對竊密行為形成強有力的震懾，“高收益低風(fēng)險”的特征一定程度上助長了境內(nèi)外黑客對金融系統(tǒng)的攻擊行為。

（二）科技力量薄弱，缺乏及時響應(yīng)能力。從國際金融科技發(fā)展的大環(huán)境看，金融系統(tǒng)的科技運用及維護能力普遍弱于第三方開發(fā)公司，在金融機構(gòu)與第三方公司的合作過程中，因金融機構(gòu)軟硬件系統(tǒng)老化、漏洞、缺陷等原因，系統(tǒng)建設(shè)存在漏洞的概率較高。同時，金融機構(gòu)的信息專業(yè)人才較為匱乏，面對黑客攻擊時，在安全策略調(diào)整、信息泄露預(yù)警、應(yīng)對措施和應(yīng)急流程等方面難以有效應(yīng)對，導(dǎo)致風(fēng)險事件迅速擴大，釀成嚴重損失。

（三）內(nèi)部管理失位，風(fēng)險防控意識較差。金融機構(gòu)對金融信息的安全管理意識尚處于淺層和表面，對不同業(yè)務(wù)部門之間的信息安全協(xié)同機制構(gòu)建、一線操作人員的信息安全培訓(xùn)重視程度不夠，導(dǎo)致出現(xiàn)內(nèi)部員工監(jiān)守自盜或失密泄密等嚴重操作風(fēng)險。

三、對我國的幾點啟示

一是健全完善監(jiān)管制度，加大違法懲戒力度。建議針對金融科技領(lǐng)域制定專項信息保護法，引導(dǎo)金融機構(gòu)切實加強對員工的信息安全培訓(xùn)，同時監(jiān)管機構(gòu)要建立專業(yè)的金融科技工作監(jiān)測隊伍，對引發(fā)金融泄密事件的相關(guān)失責(zé)人員，實行定格處罰制度，防止金融機構(gòu)內(nèi)部員工故意泄露信息牟利。

二是加快金融信息化標準建設(shè)。建議由國家有關(guān)部委牽頭建設(shè)統(tǒng)一的認證和數(shù)字識別中心，為各種金融信息活動提供相應(yīng)規(guī)范，進一步提高金融信息標準化管理。

三是提高相關(guān)系統(tǒng)的安全等級。金融機構(gòu)要定期對系統(tǒng)進行升級，加強軟硬科學(xué)技術(shù)的綜合運用，不同金融機構(gòu)可組織開展系統(tǒng)攻防演練，在實踐中發(fā)現(xiàn)漏洞并對其進行完善。

四是加大宣傳力度，建立應(yīng)急預(yù)警機制。多渠道、全方位開展金融信息知識普及活動，提高人民群眾的金融信息保護意識。金融機構(gòu)要建立健全應(yīng)急預(yù)警機制，確保在發(fā)生信息泄露案件時，第一時間快速響應(yīng)，盡快將負面影響降到最低。

（作者單位：中國人民銀行五臺縣支行）