三级久久三级久久_精品一区二区三区在线观看视频_黄色在线观看网站_日韩中文视频_成人观看网址_精品日韩免费_九九**精品视频免费播放_久久久久成人黄色影片

作者| 子卿出品| 消費(fèi)金融頻道

日前，國(guó)家金監(jiān)總局向各地方銀保監(jiān)局、銀行等機(jī)構(gòu)下發(fā)了《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》（下稱(chēng)《通知》），要求嚴(yán)查銀行合作的外包服務(wù)商，保障數(shù)據(jù)安全。再次將外包數(shù)據(jù)公司存在的問(wèn)題拉到討論中心。

監(jiān)管對(duì)數(shù)據(jù)服務(wù)商進(jìn)一步提出更高要求，未來(lái)銀行業(yè)務(wù)外包的門(mén)檻和服務(wù)風(fēng)險(xiǎn)將會(huì)增大。

(資料圖片僅供參考)

600萬(wàn)條銀行客戶(hù)數(shù)據(jù)泄露

根據(jù)此前國(guó)家金監(jiān)總局公布的信息，近幾個(gè)月以來(lái)，部分機(jī)構(gòu)的外包服務(wù)商發(fā)生多起安全風(fēng)險(xiǎn)事件，給銀行的網(wǎng)絡(luò)和數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性造成了一定影響。

在企業(yè)微信服務(wù)風(fēng)險(xiǎn)情況方面，通知通報(bào)了一案例：

一位替金融機(jī)構(gòu)做微信托管運(yùn)營(yíng)的代理商，為多家銀行提供企業(yè)微信相關(guān)服務(wù)，將銀行客戶(hù)經(jīng)理和客戶(hù)的聊天會(huì)話(huà)存檔在該服務(wù)商租用的公有云服務(wù)器上，會(huì)話(huà)存檔數(shù)據(jù)包含部分客戶(hù)姓名、身份證號(hào)、手機(jī)號(hào)、銀行賬號(hào)等敏感個(gè)人信息。未經(jīng)銀行同意，該服務(wù)商私自使用數(shù)家銀行600余萬(wàn)條會(huì)話(huà)存檔數(shù)據(jù)用于該公司模型訓(xùn)練，并提供給關(guān)聯(lián)公司。銀行因未盡到對(duì)客戶(hù)敏感數(shù)據(jù)保護(hù)責(zé)任，引發(fā)消費(fèi)者維權(quán)投訴。

在科技外包風(fēng)險(xiǎn)方面，通知主要通報(bào)了五個(gè)事件：

一、2022年8月，4家省聯(lián)社托管在某服務(wù)商的網(wǎng)銀系統(tǒng)因存在越權(quán)訪問(wèn)漏洞，被不法分子攻破，大量客戶(hù)信息和賬戶(hù)信息被竊取。

二、某軟件開(kāi)發(fā)公司負(fù)責(zé)程序投產(chǎn)包發(fā)布的員工，因私自使用國(guó)外郵件代理工具而被黑客盜取工作郵箱密碼。2022年5月，黑客登錄郵箱并下載了部分郵件內(nèi)容，在向公司勒索未果后，7月將數(shù)據(jù)在海外網(wǎng)站售賣(mài)，涉及34家銀行業(yè)金融機(jī)構(gòu)2個(gè)信息系統(tǒng)的部分程序源代碼、設(shè)計(jì)文檔和數(shù)據(jù)庫(kù)配置文件等技術(shù)敏感信息。

三、某數(shù)據(jù)中心托管服務(wù)商的客戶(hù)服務(wù)系統(tǒng)存在SQL注入和文件上傳漏洞。2021年9月黑客入侵該系統(tǒng)并竊取數(shù)據(jù)庫(kù)中信息，2023年1月在海外網(wǎng)站售賣(mài)，其中包括70余家銀行保險(xiǎn)機(jī)構(gòu)的數(shù)百條員工個(gè)人信息。

四、某壽險(xiǎn)公司采購(gòu)部署的第三方軟件產(chǎn)品“保融第三方簽約平臺(tái)”，在網(wǎng)絡(luò)攻防演習(xí)時(shí)被發(fā)現(xiàn)其前端管理頁(yè)面的JS文件中明文寫(xiě)有管理員賬號(hào)及密碼，攻擊者可利用該賬號(hào)繞過(guò)前端驗(yàn)證直接登錄系統(tǒng)，并查詢(xún)包含個(gè)人敏感信息在內(nèi)的所有數(shù)據(jù)，存在敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)。

五、2023年2月，某互聯(lián)網(wǎng)域名代理商因私自變更失誤，導(dǎo)致某銀行互聯(lián)網(wǎng)域名解析失敗，在業(yè)務(wù)高峰期影響金融交易達(dá)68分鐘。

銀行需開(kāi)展風(fēng)險(xiǎn)自查和整改

值得一提的是，今年1月，工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室等十六部門(mén)就曾在《關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》提到要提高各行各業(yè)的數(shù)據(jù)安全防護(hù)能力。

而更早之前的《個(gè)人信息保護(hù)法》、《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息安全與客戶(hù)信息保護(hù)有關(guān)事項(xiàng)的通知》、《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》等多部文件更是指明了銀行等機(jī)構(gòu)在用戶(hù)數(shù)據(jù)的收集和使用上需要更加審慎。

銀行作為數(shù)據(jù)最大、量最集中、涉及核心隱私信息最多的機(jī)構(gòu)之一，在信息安全的處理上應(yīng)該更加克制。但從目前看來(lái)，一些銀行因?yàn)閷?duì)外數(shù)據(jù)包服務(wù)商的引入和審查過(guò)程中，管理不當(dāng)，導(dǎo)致風(fēng)險(xiǎn)事件頻發(fā)。

因此，國(guó)家金融監(jiān)管總局在通知中提出三點(diǎn)管理要求，一是要開(kāi)展風(fēng)險(xiǎn)自查，二是加強(qiáng)科技風(fēng)險(xiǎn)統(tǒng)籌管理，三是加強(qiáng)非駐場(chǎng)外包風(fēng)險(xiǎn)監(jiān)測(cè)和監(jiān)管報(bào)告。

自查方面，國(guó)家金融監(jiān)管總局要求銀行要摸清數(shù)字生態(tài)場(chǎng)景合作中的網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)底數(shù)，并開(kāi)展整改。在7月10日前，將風(fēng)險(xiǎn)自查和整改情況、企業(yè)微信合作情況表向國(guó)家金融監(jiān)督管理總局或銀保監(jiān)局（分局）報(bào)告。銀保監(jiān)局匯總后，于7月20日前報(bào)送國(guó)家金監(jiān)總局。

在科技外包風(fēng)險(xiǎn)方面，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識(shí)，一方面切實(shí)履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)，一方面采取針對(duì)性安全保護(hù)措施，另一方面則是建立健全應(yīng)急處置機(jī)制。

通知特別要求，在此次安全事件的有關(guān)銀行機(jī)構(gòu)，制定風(fēng)險(xiǎn)整改方案和計(jì)劃，按照監(jiān)管隸屬關(guān)系向國(guó)家金監(jiān)總局或派出機(jī)構(gòu)報(bào)告，對(duì)整改不力的機(jī)構(gòu)，還要及時(shí)采取監(jiān)管措施。

外包服務(wù)商問(wèn)題由來(lái)已久

數(shù)據(jù)服務(wù)商興起于在現(xiàn)金貸市場(chǎng)野蠻擴(kuò)張時(shí)期，放貸機(jī)構(gòu)為了規(guī)模增長(zhǎng)四處尋找數(shù)據(jù)和流量，數(shù)據(jù)服務(wù)商剛好有相應(yīng)的技術(shù)滿(mǎn)足這一需求。

也是在這個(gè)時(shí)期，同盾科技、新顏科技、魔蝎科技等幾家大數(shù)據(jù)服務(wù)商迅速崛起。

這些服務(wù)商通過(guò)自身技術(shù)攫取用戶(hù)信息提供給銀行、消費(fèi)金融公司、催收公司等，幾年內(nèi)賺取了大量利潤(rùn)，不過(guò)過(guò)度竊取和售賣(mài)用戶(hù)個(gè)人信息數(shù)據(jù)也引起了警方的注意。

2019年是這些外包服務(wù)商的分水嶺之年，幾乎頭部幾家機(jī)構(gòu)都遭到了監(jiān)管的打擊。

時(shí)任新顏科技CEO黃向前與時(shí)任魔蝎科技CEO周江翔先后被警方帶走調(diào)查，隨后同盾科技爬蟲(chóng)類(lèi)產(chǎn)品“數(shù)據(jù)魔盒”負(fù)責(zé)人徐斐、童保華也被警方帶走。

有資深銀行人士表示：像同盾這樣的大數(shù)據(jù)風(fēng)控公司的模型屬于“黑箱”，若不審核模型，銀行是不知道這類(lèi)公司采用的是什么數(shù)據(jù)，無(wú)法確保數(shù)據(jù)來(lái)源的合規(guī)性。

由于這些外包服務(wù)商使用技術(shù)手段已經(jīng)涉嫌嚴(yán)重違法，央行對(duì)銀行及征信機(jī)構(gòu)下發(fā)緊急通知，要求銀行排查是否與第三方數(shù)據(jù)公司開(kāi)展合作，排查的合作內(nèi)容涉及數(shù)據(jù)采集、信用欺詐、信用評(píng)分、風(fēng)控建模等方面。

同時(shí)銀行需要上報(bào)第三方公司的名字、股東背景、是否涉及爬蟲(chóng)，確認(rèn)沒(méi)有合作的，也需要按照要求進(jìn)行報(bào)送。同時(shí)，對(duì)于商業(yè)銀行和數(shù)據(jù)公司合作在總行，執(zhí)行在分支行的，也屬于此次排查范圍。

數(shù)據(jù)外包面臨更高考驗(yàn)

隨著大數(shù)據(jù)技術(shù)廣泛引用，銀行數(shù)字化轉(zhuǎn)型也在進(jìn)入深水期，相較于完全自研的漫長(zhǎng)時(shí)間成本以及高額的資本投入成本，城商行特別是一些中小城商行會(huì)通過(guò)業(yè)務(wù)外包或者是技術(shù)外包給金融科技公司，以達(dá)到提質(zhì)增效的目的。

資料顯示，目前，銀行的外包提供商種類(lèi)主要包括頭部互聯(lián)網(wǎng)平臺(tái)提供服務(wù)、專(zhuān)業(yè)外包廠商輸送人力、銀行自建金融子公司并提供服務(wù)以及外資大型軟件企業(yè)提供服務(wù)等幾種，合作對(duì)象較為豐富，也基本滿(mǎn)足了目前銀行的外包需求。

不過(guò)因?yàn)樾畔⒓夹g(shù)較為敏感，一些銀行在采購(gòu)服務(wù)時(shí)，也存在流程不清、約束較小、過(guò)于依賴(lài)外包等多種情況，極易出現(xiàn)監(jiān)管的真空地帶。

此外，隨著信息系統(tǒng)的深入，外包機(jī)構(gòu)幾乎可以接觸到從技術(shù)架構(gòu)到業(yè)務(wù)流程等各方面的銀行內(nèi)部信息，若針對(duì)外包服務(wù)過(guò)程的保密措施不到位，則極易發(fā)生風(fēng)險(xiǎn)。

特別是一些中小銀行，由于業(yè)務(wù)比較薄弱，能夠提供的外包預(yù)算也有限，因此要么在銀行基于人力、精力投入成本考慮，做起甩手掌柜，要么購(gòu)買(mǎi)的外包服務(wù)質(zhì)量不高，也極易加重信息泄露的風(fēng)險(xiǎn)。

再來(lái)說(shuō)回提供外包服務(wù)的機(jī)構(gòu)，目前市場(chǎng)上相關(guān)主體質(zhì)量也是參差不齊。

根據(jù)類(lèi)型不同，銀行外包服務(wù)商也不一樣，銀行核心業(yè)務(wù)有恒生電子、新致軟件等服務(wù)商，數(shù)據(jù)或風(fēng)控有同盾科技、宇信科技、摩羯科技、薩摩耶、邦盛科技等服務(wù)商。

有些服務(wù)商因?yàn)榕c銀行立場(chǎng)不同，對(duì)外包服務(wù)商的相關(guān)作業(yè)人員監(jiān)管不到位等原因，會(huì)出現(xiàn)外包人員會(huì)因?yàn)樗接`取出現(xiàn)隱私信息售賣(mài)的情況。

建行就曾多次陷入“泄露門(mén)”丑聞。在裁判文書(shū)網(wǎng)一起判例中，崔某利用在建行永州市分行擔(dān)任外包人員的職務(wù)之便，通過(guò)盜用管理人員陳某操作碼，查詢(xún)外地個(gè)人信用報(bào)告3678筆。

崔某后以10元／份的價(jià)格通過(guò)呂某芳賣(mài)給廣東一名經(jīng)營(yíng)小額貸款公司的男子，非法獲利36780元。

可以肯定的是，隨著金融業(yè)邁入數(shù)字化時(shí)代，數(shù)據(jù)安全、數(shù)據(jù)管理成為監(jiān)管重點(diǎn)，監(jiān)管對(duì)于金融數(shù)據(jù)的安全排查也會(huì)呈現(xiàn)出力度越來(lái)越大、針對(duì)性越來(lái)越強(qiáng)的特點(diǎn)。

未來(lái)，銀行必須在更好的技術(shù)服務(wù)、更低的服務(wù)價(jià)格和更嚴(yán)、更繁復(fù)的保密措施等方面做出平衡，若不能及時(shí)完善信息外包管理流程，大概率會(huì)成為罰單上的常客了。

而銀行為避免違規(guī)的情況出現(xiàn)，在挑選合作機(jī)構(gòu)時(shí)，要求也會(huì)更高，這也會(huì)直接導(dǎo)致一些在數(shù)據(jù)技術(shù)上落后的機(jī)構(gòu)被淘汰。