淺析個人信息保護對金融業信息科技的挑戰

　　個人信息保護工作的開展是對金融業過去二十年信息安全工作的全面檢驗和挑戰，并且讓信息安全工作再次聚焦數據安全這一核心任務。

　　作者：中國農業銀行數據中心(上海) 葉青晟 胡亦恩 王敏鋒

　　近年來，互聯網不斷驅動著行業的革新和經濟的發展，數據在其中發揮著舉足輕重的作用?！督洕鷮W人》把數據比作“未來的石油”，數據無疑是21世紀最寶貴的資源。與此同時，與數據有關的安全問題逐漸顯現，數據的過度收集、非法交易、惡意使用等事件層出不窮，最有價值的個人信息更是成為數據違法事件的重災區。

　　個人信息保護是一個全球性問題，為了加強個人信息保護，各國在法律層面已有所行動，其中尤以歐盟于2018年5月實施的“史上最嚴”數據保護法律《一般數據保護法案》(GDPR)最具代表性。2020年兩會期間，全國人大常委會在工作報告中將個人信息保護法納入了“下一步主要工作安排”，我國有關個人信息保護的專門法有望很快出臺。在技術層面，個人信息的安全也受到高度關注，各種數據防泄露(DLP)產品熱度持續上升，數據庫審計產品嶄露頭角，就連最傳統的數據加密產品也煥發了新的活力。

　　金融業由于行業特性，長期以來一直是個人信息密集型行業，特別是隨著近年來大數據技術的發展以及移動支付場景的豐富，以支付寶為代表的互聯網金融企業和傳統金融機構一起，使金融服務逐步滲透到生活的每個角落，在此過程中廣泛掌握了客戶的經濟行為、生物特征、地理位置等個人隱私數據。金融機構在利用個人信息提供金融服務的同時，也承擔著保護個人隱私的重要責任。由于信息系統是數據傳輸、存儲、處理的核心載體，因此保護個人信息給金融機構信息科技部門帶來了巨大的挑戰，如何在助力金融業數字化轉型的同時做好個人隱私保護是一個重要課題。

　　一、金融業信息科技在個人信息

　　保護方面的措施及面臨的挑戰

　　金融業是經營風險的行業，防范各方面風險是行業天性。過去，金融機構在管理信息科技風險時，主要關心的是信息科技對金融業務的持續支持，包括系統的可用性、業務數據的完整性和保密性。雖然常見的網絡安全技術措施對個人信息起到了一定的保護作用，然而面對個人信息價值越來越高、政府對個人信息保護性監管越來越嚴以及網絡空間安全形勢越來越復雜的現況，現有手段難免捉襟見肘。

　　1.常見的網絡安全技術措施

　　常見的網絡安全技術措施一般從物理安全、網絡安全、系統安全、應用安全、數據安全等層面來實現對數據的保護。物理安全層面主要采取身份認證、物理區域劃分、出入控制等措施，涉及的技術手段包括門禁系統、監控系統、生物識別技術等;網絡安全層面主要采取網絡區域劃分、邊界控制、偵測和響應內外部攻擊等措施，涉及的技術手段包括VLAN、設置DMZ區、部署防火墻/防毒墻、部署IDS/IPS探針、部署流量清洗、蜜罐等設備;系統安全層面主要采取身份認證、權限控制、操作留痕等措施，涉及的技術手段主要有3A系統、黑/白名單、日志分析等;應用安全層面主要采取安全開發和測試來保證應用程序的安全性，采取的技術手段有安全開發流程、代碼審查、安全功能測試、滲透測試等;數據安全層面主要通過傳輸加密、存儲加密、數據銷毀等方式，涉及的技術手段主要是各類加密技術以及各類存儲介質的銷毀技術。

　　2.現有措施分析

　　常見的網絡安全技術措施在應對以破壞為目的的攻擊時能發揮較明顯的作用，當攻擊以竊取數據為目的時其有效性就會大打折扣，當攻擊方向從外部變成內部時，更是難以發揮作用，這可能就是不少大企業，甚至包括一些以科技為核心競爭力的企業會一而再、再而三地發生數據泄露事件的原因。對于金融機構而言，在個人信息的整個生命周期中，各階段的網絡安全技術措施幾乎都存在短板。

　　(1)數據收集階段

　　線上渠道。人們日常社交、消費活動的網絡化、數據化使得線上渠道成為金融業最重要的業務渠道，超過半數的金融性或非金融性交易都發生在線上。線上渠道容易受到攻擊是毋庸置疑的，過去金融機構重點防范的是網站DDoS攻擊、客戶終端被惡意軟件控制等威脅，通過部署防DDoS系統、流量牽引清洗服務、電子證書、動態挑戰令牌等方式來應對。如今線上渠道面臨的新威脅主要是犯罪分子通過釣魚網站、仿冒App、山寨小程序等直接騙取客戶個人信息，或者通過SQL注入、爬蟲程序扒取包括個人信息在內的金融數據。對于前者，無法單純使用技術手段予以解決，需要大量人力去排查;對于后者，必須確?；ヂ摼W應用在快速迭代的同時沒有重大漏洞，對軟件安全開發流程提出了較大的挑戰。

　　線下渠道。對于金融業而言，線下渠道暫時還不會被完全淘汰，賬戶的初次設立、信用卡初次申領激活等重要環節仍然需要線下辦理，在這個過程中，基層員工就有了接觸到客戶個人信息的機會。事實上，金融業絕大部分的個人信息泄露事件都發生在線下，如2020年5月中信銀行分支機構“泄密事件”正是典型案例。盡管很多金融機構已經意識到這個風險環節，并通過“柜外清”、智能柜員機、平板電腦等無紙化手段來減少數據的暴露，但是仍然存在為了工作便利或非法目的而私下掌握客戶個人信息的情況。風險更大的是線下渠道中的外包活動，不少金融機構為了控制成本，將信用卡外拓、制卡、賬單打印、催收等事務外包給第三方公司，使得外包人員有機會接觸到客戶個人信息。要防止線下渠道個人信息外泄，只靠管理手段顯然是不夠的，必須依靠技術手段實現硬控制。

　　(2)數據傳輸階段

　　業務數據。過去，包含客戶個人信息在內的金融業務數據只在內網中傳輸，受到的外部威脅較小，依靠軟硬件密碼產品對關鍵信息進行加密保護已經基本夠用。進入互聯網時代，隨著網上銀行、WAP銀行、掌銀App、掌銀小程序等在線業務的迭代發展，數據越來越多地暴露在互聯網，受到攻擊的可能性大大上升。如2018年某行的掌銀App因未對在互聯網中傳輸的關鍵字段進行加密，被犯罪分子利用并非法牟利。要實現個人信息端到端的有效保護，無疑需要擴大加密范圍，除了在應用程序內部對賬戶口令等敏感字段加密之外，還應該在網絡層面建立起安全傳輸通道，防止客戶個人信息被第三方獲取。

　　運維數據。過去，在金融機構內部FTP、Telnet等明文傳輸協議被廣泛使用，其優點是快速方便，缺點是采用明文傳輸數據存在數據被截獲的風險。我國金融監管機構早就提出了使用加密傳輸協議的要求，但是一些陳舊系統由于改造存在困難，至今仍未使用SFTP、SSH等協議，甚至有些跨機構的系統仍然在使用FTP作為系統間數據傳輸的協議。雖然金融機構普遍已經將淘汰此類協議列為工作任務，但由于牽涉面廣，短時間很難徹底解決。

　　(3)數據存儲階段

　　數據加密。保護靜態數據的最佳方法無疑是加密或者哈希算法，可以確保即使訪問控制失效、介質丟失時，無關人員也無法輕易獲知其中存儲的數據。據了解，大部分金融機構的信息系統中會將敏感字段在應用層面通過加密或哈希來實現保密。但是，這個敏感字段的范圍是相當有限的，一般不會包括個人信息，相反的，個人信息要經常性用于查詢、索引和分析，往往在存儲前不會做任何處理。雖然面對應用完全透明的數據庫整庫整表加密技術已經逐漸成熟，但由于科技廠商提供的產品價格不菲，往往只能選擇性地使用。

　　數據備份。介質損壞、自然災害、操作失誤等都有可能造成靜態數據的丟失，金融機構早已采用本地備份、異地備份等增加數據副本的方式來防止此類風險。但是隨著交易小額化、高頻化以及非結構性數據爆發式增長，近年來數據量呈幾何級上漲，數據存儲本身已經需要花費大量資金，粗暴地增加數據副本顯然對成本控制造成了很大影響。如何在保證數據高可用的前提下，通過篩選、整合、壓縮等手段壓降對存儲空間的需求是個很大的挑戰。

　　(4)數據使用階段

　　權限管理。數據在處理和使用的過程中容易發生權限擴散的問題，權限擴散有兩種情況：一種是人員權限的擴散，即非授權人員間接獲取了數據，發生的原因既可能是故意竊取也可能是無意泄露;另一種是數據權限的擴散，即沒有遵循最小化原則，向合法的數據使用人提供了超過必要限度的數據。盡管按需授權在技術上實現難度不大，但是如何確定“需”是難點，并且在細化訪問控制顆粒度的同時還要盡量減少對數據使用人的影響，具有不小的難度。

　　操作日志。過去，金融機構在留存日志方面主要關注的是對金融交易過程的記錄，相關日志能夠按照國家會計相關法律進行長期保存，卻很少關注對底層數據處理過程的記錄，相關日志的保存往往根據實際資源“看菜吃飯”，保存時間很不確定。然而，無論是《網絡安全法》還是GDPR都對個人信息的處理活動本身提出了留有記錄的要求。為了滿足監管要求，金融機構除了要對現有系統和運營過程進行分析，識別數據處理的環節并評估記錄事項的完整性之外，還要為妥善保存這些記錄而投入大量存儲資源。

　　數據防泄露。防止使用過程中的數據發生泄露，DLP產品必不可少，目前比較成熟的是終端DLP和網絡DLP產品。然而，金融機構內部網絡龐大而復雜、終端數量巨大且型號眾多，使得僅部署終端DLP和網絡DLP產品的局限性很大，難免疏漏。雖然存儲DLP產品更貼近數據、效果可能更好，但由于需要直接安裝在服務器上，出于對其可靠性的憂慮，金融業內短時間內很難大規模使用。數據防泄露任重道遠。

　　(5)數據刪除和銷毀階段

　　數據銷毀雖然是數據生命周期中最后一個階段，但仍然有數據外泄的風險，多年以前，某行就因送修的硬盤未提前清除數據而造成數據外泄。數據銷毀可以進一步分為數據清除和介質銷毀兩個小階段。

　　數據清除。有許多場景涉及數據清除，包括設備重用、系統下線、數據到期等，云計算環境下還涉及到虛擬機或者容器資源的回收。何時需要數據清除、需要何種級別的清除，普遍缺少具體、明確的定義，甚至現有的技術標準都沒有提供答案，需要金融機構自行摸索，既要做到防止數據泄露，還要減少對存儲介質壽命的不可逆影響。

　　介質銷毀。絕大多數金融機構如今都能做到存儲介質送修、報廢前通過消磁的方式對存儲介質進行銷毀，但是隨著固態硬盤價格走低，固態硬盤將很快在許多場景中代替傳統硬盤，而消磁并不適用于固態硬盤，如何解決固態硬盤上的數據銷毀將是新的課題。

　　二、金融業信息科技加強

　　個人信息保護的出發點

　　個人隱私保護儼然已經是社會共識，金融機構保護客戶和雇員的個人信息是不能回避的責任，人民銀行在2020年2月正式發布了《個人金融信息保護技術規范》，對金融業做好個人信息保護提出了更明確的要求。金融機構應在滿足法律法規的基礎上，建立起一個覆蓋個人信息完整生命周期的安全保護體系。

　　1.樹立正確的觀念

　　個人隱私保護是金融機構的法律責任。過去，無論是政府機構還是民間組織，將收集到的個人信息自然而然地視為自己的資產，可以隨意使用和處置?，F在，個人信息的所有者是其本人的觀點已經得到廣泛認同，掌握個人信息的組織是數據的控制者或處理者，不能隨意使用數據且必須承擔保護數據的責任，保護個人信息不僅可以保護其客戶和雇員，更可以保護金融機構自身在經濟社會中生存下去。

　　個人信息的隱私風險(Privacy Risks)不等同于網絡安全風險(Cybersecuirty Risks)。美國國家標準與技術研究院(NIST)在其有關隱私保護的著作中專門分析了隱私風險和網絡安全風險的區別(如圖1所示)，認為兩者有重疊但不同，個人信息保護可以與信息系統無關，因此金融機構不能把個人信息保護視作科技部門單個部門的責任，必須從上至下建立組織機構、構建制度體系，為科技部門在IT層面做好個人信息保護提供制度保障和策略指引。

　　2.明確個人信息的范圍

　　如果保護的對象無法確定，保護措施也就無從談起，然而事實上很多金融機構對個人信息的理解存在兩方面的問題：一是不清楚哪些數據屬于個人信息，狹義地將個人信息局限在個人的身份信息，事實上國內外法律和標準中定義的個人信息遠遠不止這個范圍，任何能夠單獨或者與其他信息結合后可識別特定個人身份或反映其活動情況的數據都是個人信息。對于金融業而言，賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息和其他反映特定個人及其某些情況的都是個人金融信息。二是只考慮了對客戶的保護，而忽視對其雇員的保護，甚至否認保護雇員個人隱私的必要性，然而，通過分析國內外法律可知，顯然員工個人信息的保護也是所屬組織的責任。

　　針對上述問題，金融機構如果不具備正確解讀國內外法律法規的能力，應該引入第三方機構來協助厘清個人信息的概念和范圍，從而做到有的放矢。據了解，多家大型商業銀行都已邀請律師事務所和跨國咨詢公司來協助做好個人信息保護。

　　3.評估現狀并分析差距

　　所謂知己知彼百戰不殆，金融機構只有在了解自身現狀以及現狀與期望目標之間的差距的基礎上，才能夠更好地補短板。NIST推薦了一套比較實用的現狀評估及差距分析方法，具體來說，就是基于其所定義的隱私保護核心(CORE)建立對當前狀況的側寫(PROFILES)和目標狀況的側寫，其中CORE包含了隱私保護五大領域(識別、治理、控制、溝通、保護)的具體要求，但是NIST認為不是所有的要求都必須實現，并建議組織根據其實際情況設定不同的實施級別(不完全的、風險驅動的、重復實踐的、適宜的)。對于我國金融機構而言，可以根據《個人金融信息保護技術規范》從安全技術(第6節)和安全管理(第7節)兩個方面開展評估和分析，逐條分析條款的適用性和符合性，形成一個全面的評估結果，為后續改進提供指導。

　　4.重點強化安全技術措施

　　盡管“七分管理、三分技術”一直是安全行業的主流觀點，但是隨著近年來金融機構在管理方面已經逐漸成熟，較為完善的制度規范和崗位人員已經基本成型，個人信息保護未來的工作重點應該在技術方面，尤其是云計算和大數據環境下的個人信息的安全只有依靠技術手段才能得以保障，純粹的管理手段是遠遠不夠的。一般而言，數據的生命周期可以分為收集、傳輸、存儲、使用、刪除、銷毀等6個階段，《個人金融信息保護技術規范》也將個人信息的生命周期按這6個階段進行劃分，有利于構建閉環的數據保護技術框架。

　　圍繞個人信息生命周期的6個階段，金融機構可以開展一系列補強措施來實現對個人信息的保護，以下內容是筆者認為應該優先考慮的措施。

　　三、有關金融業信息科技

　　應對策略的建議

　　1.數據收集階段

　　(1)固化個人信息收集規則

　　金融機構合規部門、業務部門、科技部門應共同建立個人信息收集規則，并將其納入應用研發的非功能性需求中，在科技部門能力范圍內從根源上限制個人信息的過度收集。應定期檢查個人信息收集規則和個人隱私協議的一致性，當個人隱私協議發生變化時應及時更新數據收集規則，并檢討存量產品的數據采集情況。

　　(2)強化研發安全

　　針對網銀、掌銀App、微信小程序這類通過公共網絡傳輸數據的應用產品，應將安全需求嵌入到開發的整個生命周期中，在需求階段、設計階段、實施階段、保障階段采用風險分析、威脅建模、安全編碼、滲透測試等手段確保產品的安全性。廣泛使用加密技術，防止個人信息在瀏覽器、客戶端、業務終端等環節被未授權第三方獲取，引入輸入安全防護等控件防止用戶口令的明文顯示和支付信息的不必要留存。

　　(3)加快數字化轉型

　　應將經常性接觸個人信息的經營活動優先納入金融機構數字化轉型的工作范圍，例如將信用卡辦卡申請從填寫紙質申請表轉化為互聯網直接申請和移動營銷終端申請，減少紙質單據的產生和傳遞，降低外包營銷人員掌握客戶信息的可能性。

　　2.數據傳輸和存儲階段

　　(1)數據傳輸加密

　　應充分識別各業務系統中涉及到個人信息傳輸的場景，在應用層或網絡層對相關數據實現加密，并首選國密算法。加密算法應在有效性和無感知中尋求平衡，避免一味追求加密強度而造成加密過程對客戶體驗的影響。

　　(2)建立數據存儲規則

　　應根據不同國家的監管要求以及數據內容，對數據采取分類分級管理，制定不同的數據保存規則，在滿足監管要求的同時，實現管理成本最小化。

　　(3)數據存儲加密

　　應針對不同場景合理運用數據加密技術，對于數據變化較少較慢的場景可采取單個文件加密，對于數據變化較頻繁的場景可采用文件系統加密。此外，盡管同態加密技術在商業化應用上還不成熟，但是該技術具有文件加密和文件系統加密所不具備的優點，兼顧保密性和便利性，金融機構應做好跟進。

　　(4)數據庫訪問服務化

　　應研發數據庫后臺運維工具，強制透過特定API對數據庫中的數據進行增刪改，再結合復核、審批流程的自動化，防范操作風險的同時，避免后臺運維人員的非法查詢操作，降低數據泄露的可能性。

　　3.數據使用階段

　　(1)細化訪問控制顆粒度

　　在充分識別數據、對數據分類分級的基礎上，應通過角色分離、權限最小化、多因素身份認證等方式，僅授予數據使用者必要的數據，減少對個人信息的不必要訪問。同時，應將數據訪問行為視作高風險操作，對其操作進行全程記錄并運用自動化日志分析技術，并對異常和違規操作進行告警和自動封禁。

　　(2)數據去標識化、匿名化

　　對于用作統計分析、研發測試等場景的數據，應在不影響數據使用效果的前提下，通過替換或置換等方式對數據進行脫敏，使其去標識化、匿名化，無法恢復成原始數據，減少個人信息的暴露。

　　(3)數據整合利用

　　應建立大數據平臺，實現對各個業務系統中數據的抽取、拼接、整合，在減少數據冗余、降低數儲成本的同時，依靠大數據平臺較為完善的訪問控制機制，縮小數據分析挖掘過程中風險暴露面。據了解，不少金融機構已經建成了大數據平臺。

　　4.數據刪除和銷毀階段

　　(1)提供數據刪除功能

　　應保障個人信息主體的權利，在系統中提供個人信息增刪改功能，當符合刪除條件時，應該確保被刪除的數據無法再被查詢和訪問。

　　(2)規范存儲介質重用

　　對于已經采取了數據加密存儲措施的，數據被恢復后是不可讀的，介質重用時數據泄露的風險較小，對于未采取數據加密存儲措施的，在介質重用時應采取多次覆寫的方式增加數據恢復的難度。

　　(3)備份數據及介質處置

　　應建立備份數據及介質的自動化管理平臺，實時跟蹤備份數據有效期，對于超出法律法規規定期限的數據應及時采取不可恢復性刪除，對于數據仍需保存但存儲介質已達到安全使用年限的，應及時轉存，并在轉存后對原存儲介質進行破壞性銷毀。

　　5.積極參與數據安全產品的研發

　　個人信息保護依靠現有產品是不夠的，例如同態加密、存儲DLP、大數據平臺、數據庫訪問服務化等新技術不但需要安全廠商的研發，還需要產品使用方的參與。金融業作為個人信息保護的先鋒行業，應積極協助安全廠商研發出高水平的個人信息安全產品。

　　個人信息保護工作的開展是對金融業過去二十年信息安全工作的全面檢驗和挑戰，并且讓信息安全工作再次聚焦數據安全這一核心任務。我們認為，個人信息保護還有很長的路要走，還有很多環節缺乏有效的風險控制手段，與政府的監管要求和民眾的期望還有很大的差距。此外，數據的價值在于流通和使用，個人信息保護也應該遵循適度安全的原則，不應該走極端。如何平衡個人信息保護和商業利益之間的關系、個人隱私和公眾利益之間的關系，在保護個人隱私的前提下盡最大可能發揮個人信息的價值，需要廣大從業者的不斷探索和研究。

　　文章刊于《中國金融電腦》2020年第09期【信息安全】

　　聲明：本文來自中國金融電腦，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表萬方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系刪除。