“暗网盗卖金融新闻 银行账户安全面临新挑战”

最近，有关国内多家银行的数百万客户数据资料在暗网标价出售的新闻被多家媒体转载。 相关各银行在进行数据比对检查后，否认了所售数据包的真实性，但涉及范围广泛的巨大金融数据，特别是银行客户如何保障机密新闻的安全性，仍在领域受到广泛关注和探讨。

截至2019年底，我国共开立银行账户113.52亿户，全国人均银行账户数达到8.09户。 谁来保护这些账户的安全？ 特别是随着银行线下业务的在线化、与流量端的边界扩大等新的变化，也给银行数据安全管理带来了新的课题。

客户资料在白菜价甩卖吗？

银行:与实际数据不一致

与国内多家银行相关的数百万客户数据资料在暗网标价出售，连日来备受领域关注。 4月15日，一位金融安全技术人员在证券时报记者证上实际在暗网上看到了这条被盗新闻。

数据安全官员此前发布的相关截图显示，销售新闻包括大型金融机构的客户数据，其中上海银行80.3155万家、浦发银行10万家、招商银行上海分行6.3万家、中国农业银行90万家、兴业银行 流出的资料既有储蓄账户，也有信用卡账户和私人银行理财账户，包括客户姓名、客户类型、性别、年龄、手机号码、开户账号、地址邮政编码、存款数据等新闻。

“46万张银行信用卡客户数据标价不足100美元，90万张数据标价仅售3999美元(折合人民币约2.8万元)。 简直就是“白菜价”。 如果是实际数据的话，这个庞大的数据量的实际售价至少是10倍以上。 ”。 一位大数据领域的管理负责人告诉记者，截图中显示的样本数据非常详细，虽然这样的数据量非常低，但对被盗数据是否属实进行了评估。 可信度可能会打个问号。

为核实上述情况，证券时报记者也首次联系涉事银行，兴业银行、招商银行、浦发银行态度相对一致:经审计比对，与真实数据新闻不一致。 不排除不法分子，以金融机构的名义销售不明来源数据，以获取非法利益。

上海银行有关人士对记者表示，经过详细比对，发现客户新闻中没有我们银行账户的新闻，与我们银行实际客户新闻的重要因素不一致。 可以认定，这条销售新闻不排除泄露数据而不是我们行，非法者为了非法获利而伪造、拼凑，销售所谓的银行客户新闻。 ”。

13亿5千万的银行账户

谁在保护安全？

尽管百万本出售的数据包的真实性遭到反驳，但巨大的金融数据，特别是银行客户如何保障机密新闻的安全性？ 这已经引起了领域和监管的重视。

据央行统计，中国银行账户数量稳步增长，截至2019年底，全国开户银行账户113.52亿户，比去年同期增长12.07%。 其中，全国开设单位银行账户6836.87万户，同比增长11.73%。 个人银行账户为112.84亿账户，比上年增长12.07%。 全国人均拥有银行账户数达到8.09户。

“银领域的新闻科技风控要求很高，需要满足国内外的风险管理要求，如商业银行的新闻科技风险管理指导、巴沙尔协定、科学法案等。 ”。 腾讯安全数据安全小组负责人彭思翔告诉记者。

杭州某大型技术企业金融事业部总经理曾负责银行物联网处理方案，涉及数据服务采集业务，他举记者为例，“设备采集的消息通常保留在当地银行机构，在新闻保留、传输安全性方面，一家银行自身设立专用网。 另一方面，各银行内部各层级都有对安全认证的严格研究管理。 ”。

“银行的it系统不存在大规模向外部泄露数据的可能性”某股份有限公司风险管理部门总监向记者分解称，“根据银保监会的相关规定，银领域的it系统基本分为生产域、测试域、网络域等3个域， 只有在生产域才能看到数据的整体情况，测试域只有用于测试的数据，有数据量和脱敏的关联要求，网络域几乎没有顾客新闻。 从技术上、系统上看，大规模的数据泄露是行不通的。 ”。

流量经济的新课题:前端泄漏

从最近公布的国有六大行年报来看，其中4家2019年科技投入总额突破百亿元，最高的建设银行投入176.33亿元。 截至2019年底，工商银行金融科技人员规模达到3.48万人，全员7.82%，建设银行、交通银行、中国银行、农业银行金融科技人员比例分别为2.75%、4.05%、2.58%、1.58%。

银行在科技投入、科技人员扩大规模空之前。 但是，银行数据涉及各个环节，尽管受到最高级别的风险防护，但很难做到万无一失。

首先是金融机构之间、金融机构内部之间的安全能力存在差异。 “大中型金融机构风险水平较高，但分支机构风险能力稍弱，账户密码保护可能不严密。 地下灰色的黑色产业会有组织、有意识地进行攻击，稍微挖掘出系统平台中存在的漏洞。 ”。 周君桧介绍。

“银行的风控级别不是一碗水端级别。 ”上述股行智能风控中心的监管者直言:“有些银行风控水平高，有些银行风控水平低，实力强的银行所有模式都是行内专家的建模。 但是，一些地方，如偏远银行，缺乏高端数据专家，只能通过外包的方法构建模型。 一些没有技术实力的银行直接拿来使用第三方企业的流量数据，包括认证的三个要素和部分行为特征，但在大多数情况下，这类数据在招聘前可能会泄露。 ”。

“泄漏环节在前沿”——数字金融机构高管表示，这是随着近年来银行线下业务上线，风险管理方面应引起领域观察的新变化。

彭翔表示，银行数据泄露可能发生的场景除了新闻科技运行行业的访问控制策略不当、开发、测试和维护行业三个环节未分离或分离、新闻安全行业系统脆弱性外，其重要方面之一是“ 生产暴露、数据库过度许可会导致数据泄露。 ”。

“由于领域的商业属性不同，银行的it系统和网络企业之间经常存在世代间的差异。 ”前面提到的股份有限公司智能风控中心总监举了一个例子，向记者表示:“例如，针对一个网络流量平台逐一发行模型，100万客户逐个发放到数十家不同的银行，与之相对应，银行与之 自然地，这两种模式之间是对抗关系，准入模式希望越来越多的进入，而每一种模式都希望越来越多的筛选。 事实上，银行it系统的灵活性、可用的工具、可涵盖的行为数据数量等与网络企业相比都处于相对劣势。 ”。

"今后，银行的数据风险管理将更加严格. "

“为了促进金融领域的健康快速发展和风险控制，监管层已经发布了监管指导方针，将数据管理与监管评级挂钩的方法，提高了对银行领域数据管理工作的重视，无论此次事件是否发生，银行今后都将 ”数字银行领域的人士认为，尽管此次被盗数据的真实性存在疑问，但此后仍将影响其业务水平。

年5月，银保监会发布《银领域金融机构数据管理指导》，旨在诱惑银领域金融机构加强数据管理。 去年12月，金融业移动金融app备案首次启动，前23家试点备案名单包括16家银行，5家国有大行、5家股票行、3家城商行、2家农商行、1家农信联社，加强安全保护、加强个人金融新闻保护， 包括健全投诉解决机制、加强领域自律等五个方面，与个人金融新闻的采集、采用有关。

事实上，在银行数据监管日益严格的背景下，存在着国家级系统性对个人新闻数据监管工作的出击。 去年下半年，工信部等多次公开点名批评百余款应用及其运营公司，涉及未经客户同意超出范围、无需采用个人新闻等违规情况。

记者从去年5月至8月观察到，监管部门在数据安全管理办法、app违规收集中密集发表了个人新闻行为认定办法等多份意见征稿和草案。 这也符合上述数字银行领域人士的评价，目前央行对银行数据的管理指导非常详细，未来的一些变化越来越体现在相关立法层面。

“在数据可靠性、数据管理方面，中国具有绝对特征，将成为全球数据资产大国。 ”京东数科数字技术中心数据资产部总经理张旭表示，数据资产是银行的核心资产，是政府安全数据以外最可靠的数据，今后数据迅速发展必然是切实的权利，以及获得大量数据后，人工智能等新技术，

苏宁金融研究院院长助理薛洪言在接受记者采访时表示，从大环境引导看，业内普遍认可的是，监管层仍将与各种政务数据互联，建立区际数据融合应用等，在合规的前提下推动金融机构数据的优质快速发展 (记者 段久惠)