谁出卖了我的个人信息？防内鬼 强监管

摘要： 　　导语：在多数人看来，关涉“钱袋子”的信用卡象征着安全、私密，用户隐私信息也会受到严密的保护。然而，在银行“内鬼”倒卖、合作公...

　　导语：在多数人看来，关涉“钱袋子”的信用卡象征着安全、私密，用户隐私信息也会受到严密的保护。然而，在银行“内鬼”倒卖、合作公司信息“共享”面前，行业自律的种种规定成了一纸空文。如何筑牢用户信息保护的“闸门”，如何有效防范“内鬼”，如何从法律层面上加强监管成为当务之急。

　　 信用卡个人信息5毛钱能买到？

　　我国已发行超过4亿张信用卡，每年信用卡交易总额超13万亿。记者调查发现，信用卡客户数据泄露颇为严重，包括姓名、电话、地址、工作单位等完整隐私的信用卡开户数据，在网上形同“赶集”公开贩卖。而种种例外条款、免责规定，往往让消费者问责无门。

　　记者近日使用qq群查找功能，搜索关键词“电话销售”，找到约200个有“数据交流”功能的qq群。搜索“银行数据”，参与人数多达数百人、交易活跃的群至少有30个。据介绍，这些正是信用卡信息交易“黑市”。

　　在其中一个名为“电话销售数据货源”的qq交流群，记者很快从一位卖家处获得“供试用验真”的银行信用卡客户数据。这份数据中，工农中建交等多家商业银行的200名客户信息均在列，包括持卡人姓名、手机号及家庭住址、开户银行。记者拨打了其中数十位持卡人的电话，对方均表示，泄露的信息真实有效。

　　多位“信息贩子”均表示，根据个人信息“品质”的不同，价格也分“三六九等”，每条价格从2分钱到5元钱不等。如最新信用卡开户数据按照0.5元一条出售；已出售过一次的二手数据可以便宜到0.35元每条；部分高端客户如金卡、白金卡持卡人信息每条售价则高达5元。借助网络聊天、支付工具，买家从下单到得到这些信息，交易全程仅需数分钟。【详细】

　　 用户信息被泄露银行对“内鬼”没辙？

　　曾在一家股份制银行财富中心工作的张先生告诉记者，只要在一家银行留下过个人基本资料，银行内部要查看难度并不大。“有一次，一个客户打电话过来，我一时想不起这位客户，于是把该客户的手机号码告诉公司柜台，柜台没有两分钟就把客户的资料传过来了，基本是透明的。”张先生说。

　　一般来说如果通过银行交纳手机费、水电煤气费，在银行就会留下信息，银行会很方便地拿到这些信息。如果在银行有开户，那么包括账户余额、手机、基本信息，银行基本都能查出来。

　　不过，虽然客户的信息资料在银行内部相对透明，但是倒卖客户信息资料一般都是批量的，单个的客户资料并没有太大意义，因此倒卖客户资料的一般也要是相关业务的主管或者是统计人员，直接能拿到数据库。

　　对于防止银行内部人员泄露客户个人信息，银行有一些制度约束，比如设定权限、不通过邮件传输数据等。一银行人士表示，他们的信用卡信息及个人理财信息平时为了安全都是拿优盘拷走，个人优盘需要及时清理，从来不经过邮件来回传递。为了确保客户信息的安全，电脑都经过特殊处理，平时进入大楼每一层都须刷卡，每一层都有保安。“只能说道高一尺魔高一丈。”该人士称。【详细】

　　 “内鬼”是如何炼成的？

　　贩卖银行卡信息的“内鬼”是如何炼成的？无非两个答案：第一，商业银行借助格式条款规避法定责任，保密条款中的“例外条款”偷偷窃取了用户信息让渡的权利。结果，信用卡信息一家享有，路人皆知。第二，个人信息缺乏专门的立法保护。《反信息诈骗白皮书》中指出，仅2013年，中国信息诈骗案件发案30万余起，群众损失100多亿元，个人信息泄露成为诈骗的源头。法规条例分散而模糊，执行起来难免犯迷糊。

　　制定个人信息保护法、升级隐私保护防火墙，这是箭在弦上的大势，也是形势所迫的大势。眼下而言，惩戒贩卖银行卡信息的“内鬼”、敦促商业银行恪守保密协议，亦是拷问法治初衷的当务之急。【详细】

　　 如何筑牢用户信息保护的“闸门”？

　　银行内部会出现对“内鬼”没办法的想法，在林伟看来，根本上是企业缺乏安全意识的体现。“大部分企业并不关注网络安全，有些企业虽然关注，但缺乏进行恰当防护的能力。”正因如此，近期包括12306、中国联通等企业在内，一系列用户数据泄露事件先后发生。

　　在互联网安全专家看来，企业信息安全水平的提升，一方面要靠安全意识的加强，另一方面则要建立一整套安全制度，“否则只能遇到一个问题解决一个问题，永远在亡羊补牢。”唐威说。在他们看来，安全制度的建立目前主要有两种方案，一是企业自己聘请专业的安全人员，产品自己开发；二是使用外来的产品。“两种方法各有利弊，不过，第三方厂商在网络安全、数据安全和主机安全上各有所长，最好使用专业的评估和咨询公司，找到各领域内最适合企业情况的解决方案。”林伟说。

　　此外，从整个信息安全行业来看，目前市场激烈竞争，安全厂商竞相压价、争取客户的“价格战”，也为安全埋下隐患。【详细】

　　 如何从法律层面保护个人信息？

　　发达国家对个人信息的监管保护，一般是在健全完善的法律基础上进行的。目前，我国关于个人信息保护的法律相对滞后，尽管《商业银行法》《电子银行业务管理办法》等法律法规中，有银行要为客户保密的规定；尽管《刑法》将泄露个人信息的行为入罪，《民法通则》中有关于个人隐私的条款，但这些规定法条零散而抽象，缺乏可操作性，个人在发生信息泄露时，经常面临“事前无知情权、事中无选择权、事后无救济权”的状况，处于弱势地位。在公众对信息遭泄无力“自救”的背景下，加强对此类行为的打击力度，已成为公众的期望。

　　在加快出台专门法律保护个人信息，加大对这类违法犯罪行为惩处的同时，当务之急更要破解维权难的现实问题，推动个人信息保护进入集体诉讼和公益诉讼。集体诉讼和公益诉讼的威力在于，只要一个公益组织或一位公民发起诉讼，其他所有相同利益受损者就会一呼百应，最终导致的赔偿数量会非常惊人。不仅如此，采取这种“抱团维权”的诉讼方式，把专业的问题交给专业的人，不仅可以最大程度降低公众维权成本，而且可以最大程度扩大案件的社会影响，对泄露个人信息行为起到有力的震慑。【详细】