金融数据蕴藏的巨大价值叠加互联网数据保护的缺陷,使得金融数据的安全风险成为目前最为紧迫、严峻的风险。
2009年以来,“大数据”日益成为互联网社会的流行词汇。大数据,也被称作巨量数据、海量数据,是基于数量巨大、结构复杂、类型众多的数据信息形成的数据集合。美国互联网数据中心指出,互联网上的数据每年将增长50%,每两年便将翻一番。IBM的研究称,整个人类文明所获得的全部数据中,有90%是过去两年内产生的。到2020年,全世界所产生的数据规模将达到今天的44倍。
基于金融自身的特性,传统的金融数据本身就蕴含了丰富的信息和较高的商业价值。而在互联网社会,金融交易和金融行为日益网络化、交互化、复杂化,金融数据的生成、传播和使用更加广泛和多元,金融数据作为一种产权载体、信息资产和商业产品,在大数据时代愈发显示出其广阔前景和重要价值。
金融数据安全风险已经显露
金融数据本身属于新生事物,因而法律和制度的保障力度和范围较为有限。
金融数据蕴藏的巨大价值叠加互联网数据保护的缺陷使得金融数据的安全风险成为目前最为紧迫、严峻的风险。今年4月,一个名为“心脏流血”的网络安全漏洞引起了广泛关注,大量敏感数据包括金融数据可能因此泄露,被称为“年度安全漏洞”。年初,韩国国民银行和农协银行等多家大型金融机构发生金融信息泄露事件,1500 万客户的1.04亿条个人信息遭泄露,内容涉及手机号码、个人地址、信用卡账号乃至部分银行交易记录等。今年3月,携程网被曝出其系统存在技术漏洞,主要是存在于移动支付客户端上,可能会导致用户的姓名、身份证号码、信用卡卡号、信用卡CVV码等信息的泄露。随后携程立即展开了技术排查,要求存在潜在威胁的93名用户更换了信用卡并修补了漏洞。此外,随着支付宝用户的不断增加,不法分子利用支付宝存在的安全漏洞盗刷绑定的银行卡存款的现象不断出现,给金融安全造成了巨大的隐患,也给我国的金融数据安全敲响了警钟。
由于金融机构是国家管理和市场交易中的重要媒介,聚合了涉及政府、企业、社会组织以及个人的大量基本信息、交易数据等,因此涉及信息安全、财产保护、隐私权保护等若干安全风险和法律问题,但是由于大量的金融和相关信息是在近年来随着互联网的飞速发展才电子化的,金融数据本身属于新生事物,因而法律和制度的保障力度和范围较为有限。
以国外为例,德国早在2002年就制定了《德国联邦数据保护法》加强数据保护,但面对近年的大数据浪潮,德国启动了“智慧数据”项目,提出敏感数据的应用将受到特定数据保护法的保护,同时将逐步完善大数据相关的法律法规和基础框架。在历来重视大数据发展的基础上,2012年3月奥巴马政府发布“大数据研究和发展计划”,通过制定一整套复杂且不断变化的信息政策(法律、法规和备忘录),在数据可获取、隐私、安全、数字资产管理、归档和保存等问题上寻求平衡。
我国《关于加强网络电子信息保护的决定》、《侵权责任法》以及计算机犯罪、网络侵权司法解释等法律规范有利于数据保护,但是对于大数据尤其是金融数据的保障作用还远远不够。
防治金融数据安全风险的建议
互联网背景下的国家金融安全大命题,要求我国加快建立金融数据风险防治体系。
当前,我国银行、证券、保险、信托、基金、小贷、担保、征信等金融业,以及第三方支付、P2P、众筹等新兴的互联网金融领域,正在利用大数据进行一场新的金融革命。互联网背景下的国家金融安全大命题,要求我国亟待加快建立金融数据风险防治体系。
防范和治理金融数据的安全风险是一个系统工程,除了在认识层面不断深化、强化金融数据的安全风险之外,还需要通过技术和制度两个层面加大防治金融数据安全风险的力度:
首先,加强金融数据安全的技术保障。一是国家应当在战略层面加大对数据安全技术的研发投入和财税政策优惠,培养、培育相应的理论研究人才、科技应用人才和数据安全企业;二是针对金融数据安全风险加强基础设施建设,提升技术研发强度,尤其是突出对关键金融数据领域和环节的技术研发。
其次,强化金融数据安全的制度保障。一是加强制度顶层设计,通过国家政策引导、制定相应法律法规等方式,以明确金融数据的基本内涵、使用规范、市场秩序、信息监测、监管体制以及违法违规责任等内容,保障金融数据的安全;二是在具体的制度层面,推动制定有利于金融数据安全防治及其监管的指导意见、行为指引、行业标准、评价体系、自律公约等,以充分约束各类涉及金融数据安全的主体和行为;三是加强金融信息市场的制度治理,加大发现、惩治危害金融数据安全的违法违规行为的力度。