云时代的消费者金融信息安全监管模式探讨——美国个人金融信息隐私权保护机制借鉴,本文主要内容关键词为:金融论文,信息论文,美国论文,安全监管论文,隐私权论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
21世纪以来随着我国金融业信息与网络服务的更广泛应用,消费者金融信息的安全风险在持续上升。在早期各家金融机构自建的封闭式数据处理系统中,个人信息安全的最大威胁来自黑客对系统漏洞的攻击,而随着金融机构网络服务外包业务的发展,金融云服务平台的出现可能带来另一个威胁——云平台为追求自身盈利有可能主动泄露消费者的金融信息。本文主要针对金融信息服务平台可能存在的个人金融信息安全威胁,分析其产生的原因并借鉴美国GLB法下的监管模式,探求促进金融业整体持续发展和保护消费者个人信息隐私权之间的动态平衡。
一、金融云的兴起和云时代中金融数据处理业的个人信息安全风险分析
(一)金融数据处理业中云服务的低成本优势
“金融云”,是指云计算企业利用计算机服务器搭建的金融标准数据中心,里面搭建了银行所需的所有IT系统,有综合柜员、核心业务、银行卡、网络银行等,通过IT系统运行维护的任务。金融机构可以选择SaaS(Software as a Service,软件即服务)或者PaaS(Platform as a Service,平台即服务),既可使用平台提供的金融信息服务软件也可在平台上自己开发并部署自己的软件应用。
IT系统是商业银行运转的基础,只有在强大的IT系统支撑之下,银行才能为客户完成存贷汇等各类金融服务。然而,“规模小、快速灵活”的小型金融机构如村镇银行,很难在IT系统建设上一次性投入大笔资金,因此,在降低成本的迫切要求下,专业承担银行IT系统外包服务的金融云计算平台企业应运而生。
SaaS服务模式下,IT厂商将应用软件统一部署在自己的服务器上,银行根据业务需求向厂商定购所需的应用软件服务,并通过互联网获得服务,服务费按定购的服务种类、使用量或时间长短等向厂商支付。IT厂商可以通过向多家银行提供相似的信息处理服务,降低成本和收费,取得规模效益。
(二)金融机构两种数据系统构建模式下的个人金融信息安全性差异
消费者金融信息隐私权是指“个人对与其信用或交易相关的金融信息享有的不受他人非法知悉、利用和公开的权利”。金融机构在不同的数据系统构建模式下,消费者的信息隐私权受到的威胁来自于不同的方面,本部分将分别进行讨论。
1.金融机构自建IT系统的封闭型模式
图1 金融机构自建封闭型IT系统模式图
如图1所示,该模式的数据存储和处理系统都是在金融机构内部搭建的,除了法律规定的征信机构外,数据库的访问权仅限于机构内部使用者,IT系统是机构的一个非独立组成部分,所有权属于本机构也只为本机构的业务服务。因此金融机构承担系统建立和维护的全部成本,同时独享数据系统使用收益和承担漏洞风险。在金融机构准入条件较高而网络服务还未能以低成本大范围提供时,这种模式应用广泛。
此模式下金融机构需要有较强的实力来承担IT系统的所有成本,IT系统是非独立部门不对外开放,没有对外提供数据服务以盈利的动力,库内个人信息泄露的风险集中为系统安全的技术风险,消费者个人金融信息面临的风险相对单一。
2.金融机构IT系统外包的公共云模式
如图2所示,金融机构的数据存储和处理系统均处于机构以外的独立IT厂商提供的服务器上,数据库的所有权属于金融机构,访问权由参与平台的多家金融机构和平台IT厂商共有,系统建立和维护成本由协议双方分担,使用收益也由协议双方共享。
图2 IT系统外包的公共金融云模式图
由于云计算平台是金融机构以外独立的企业,需自负盈亏,该平台企业有很强的动力通过对云中的数据进行加工为用户提供增值服务来增加盈利。除了系统安全的技术风险外,这一模式中还内生地蕴含着库内个人信息可能被主动泄露的风险,如云平台公司为追求盈利而在消费者不知情的情况下,将符合某些条件的消费者个人信息如姓名、住址、电话等提取出来出售给某些公司作目标营销之用。
金融公共云模式已经在我国开始实现,例如神州数码融信软件公司至2012年4月已为20余家村镇银行提供了IT系统外包服务,该公司也计划在未来提供附加服务如风险计量等。一方面,基于云中多家金融机构的数据挖掘可以使云服务商的计量模型更准确有效;另一方面,如何在充分利用信息的同时又防止可能对消费者个人信息隐私权造成的损害,是整个社会对金融业创新发展与个人信息隐私权保护之间寻求动态平衡的利益权衡与博弈。
二、美国消费者个人金融信息隐私权的法律保护体系简介
在减轻金融业负担、促进金融业更多创新发展和保护消费者个人信息隐私权之间的确存在一定的冲突:过于强调保护消费者的金融信息隐私,禁止对消费者的个人数据进行处理和利用,则金融机构和金融信息服务业的成本会增加,也不利于金融业更多数据地开发和创新产品;怠于保护消费者的个人信息隐私,则每一个社会成员都可能面临频繁的营销骚扰和恶意的盗窃。立法机关和监管机构必须尽责地在这两者之间寻求动态平衡。本文扼要介绍美国对个人金融信息隐私权保护的框架,以资我国立法部门制定《个人信息保护法》时借鉴。
在1998年生效的GLB第五部分中,美国国会就要求金融机构“尊重客户的隐私权和保护客户非公开个人信息的安全性及秘密性”,并规定由货币监理署、联储理事会、联邦存款保险公司、储蓄机构监管委员会、全美信贷联盟管委会、证交会、州保险机构和联邦交易委员会等8个部门负责各自管辖权限下相关细则的制定,以保证其实施。这些法律的保护性规定也为我们提供了借鉴。
由于这8个部门依据GLB法制定的实施细则基本一致,本部分主要介绍GLB法中的原则规定及联邦交易委员会(Federal Trade Commission,简称FTC)据此颁布的3个实施细则的内容。
(一)GLB法第五部分——保护消费者金融信息隐私权规定
GLB法规定了金融机构负有保护客户非公开个人信息隐私权的4项义务:
1.隐私权通知义务
金融机构在与消费者建立业务关系之初及其后至少每年一次,应以书面或电子形式向消费者提供一份清晰、醒目的有关本机构隐私政策与惯例的通知。
2.禁止披露消费者非公开个人信息的义务
金融机构只在以下两种情况下可以向非关联方提供消费者的非公开个人信息:
(1)在初始通知中已明确告知本机构将会向非关联方进行此类披露。
(2)在信息披露前已告知消费者,可以进行此类披露、如何行使禁止权,并且金融机构没有接到消费者的禁止披露通知。
3.信息二次使用的限制义务
接受了消费者非公开个人信息的第三方不得再向其他当事人进行该信息的二次提供。
4.为营销目的共享消费者账号信息的限制义务
金融机构不得向为进行电子营销、信件营销或电子邮件营销而使用消费者信息的非关联方提供消费者账号、信用卡号、存款账号或交易账号等类似信息,但向消费者信用征信机构提供信息不受此限制。
(二)联邦交易委员会颁布的相关实施细则
联邦交易委员会是专职于保护消费者利益的政府职能部门,自1998年GLB法生效以来,FTC已陆续颁布了若干个实施细则,主要包括消费者金融信息隐私权规则、消费者信息保护标准规则和消费者报告中信息与记录的处理规则等。
1.消费者金融信息隐私权规则(Priracy of Consumer Financial Information)
该规则自2000年11月13日实行,主要规定哪些信息属于受GLB法保护的非公开个人信息及金融机构向消费者履行通知义务时应符合哪些要求。
(1)“非公开个人金融信息”涵盖了所有不能从公开渠道(如政府的各种记录、公开发行的媒体或法律要求公开的材料等)中获得的个人信息,包括个人姓名、住址等等利用个人可识别金融信息如账号等导出的名单,还包括通过银行网站“Cookie”收集的信息。
(2)金融机构向消费者提供的隐私权通知必须包括以下内容:本机构收集哪些非公开个人信息,会向非关联方披露哪些非公开个人信息,将向哪些机构进行此类披露及本机构保障消费者非公开个人信息的秘密性与安全性的政策与措施,并且应着重强调,如果消费者不同意金融机构向第三方披露自己的非公开个人信息,应该如何行使禁止权。
(3)隐私权通知的“清晰与醒目”有具体的标准。FTC规定,“清晰”指必须用清楚、简洁的语句表达,尽量用肯定句式和短句表达,用语应生动和口语化,并避免产生歧义及使用专业术语。“醒目”则要求能吸引注意力,如使用简明扼要的标题,字号大、行距宽,关键词使用黑体或斜体,或加阴影和边框突出。
2.消费者信息保护标准规则(Standards for Safeguarding Customer Information)
该规则自2003年5月23日生效,主要规定金融机构应建立信息安全系统防止客户信息被盗取和遗失。FTC要求金融机构必须建立一整套包括管理、技术和设备方面的措施在内的信息安全系统,确保客户信息的安全与秘密。该信息安全系统包括:
(1)设立专门的雇员来对这一程序进行总体协调。
(2)对金融机构运行中可能产生的种种客户信息风险进行评价,这些风险环节包括雇员培训与管理、网络软件设计、信息加工保存传递和处理,及对系统遭受攻击、入侵或其他系统缺陷的检测、阻止和反应的能力。
(3)建立相应的风险防范措施,对风险评价的对象进行定期检查与测试,确保关键控制点及整个系统的有效性。
(4)通过下列方式监督有合作关系的服务提供商,确保其履行与本机构同样的保护义务:一是选择和甄别有能力对客户信息提供适当保护的合作方;二是以合同方式要求合作的服务提供商采取此类保护措施。
3.消费者报告中信息与记录的处置规则(Disposal of Consumer Report Information and Records)
该规则自2005年6月1日生效,主要规定消费者信息的事后处理办法。为了保证消费者信息不被非法获取和利用,FTC规定所有为商业目的保存消费者信息的主体必须在使用完毕后正确处置这类信息,以使信息不能被任何主体再次使用。
(三)消费者个人信息安全监管的有效性——FTC实际执法中的难题及对策
根据GLB法和FTC颁布的实施细则,从立法的角度来看,消费者的金融信息自收集、加工、利用到最后处置的整个过程都已处于全面保护之中,然而监管者与被监管者的博弈永无止境,就在FTC的保护规则刚刚生效之时,2005年6月17日,美国就发生了包括万事达、Visa等信用卡在内的高达4000万条信用卡磁条信息失窃案,其中还涉及大约2.5万名中国持卡人。信息失窃后,即有不法之徒通过欧洲的服务器,在网上兜售盗取的信用卡资料,每张信用卡资料黑市价42美元,白金卡72美元。最近的例子是2012年3月30日,万事达和Visa通知发卡商,由于信用卡支付中介机构美国“全球支付”公司系统被黑客侵入,估计有超过千万的信用卡账户信息失窃①。
1.信息安全保护法律执行中的三大难题
在消费者金融信息的保护问题上,虽然法律的规定已较为完善,但事实上金融机构、金融信息服务商和监管机构都有执行上的困难。
(1)金融机构的信息保护难题。作为消费者金融信息的直接收集和利用者,金融机构有动力在内部维护消费者信息的安全性和秘密性,以便根据正确、完整和及时的信用资料作出适当的决策,但是“信息金库”目前受重视程度仍远不及“现金金库”,投入资源确保内部信息加工与传递过程中的信息安全措施可能并不充分。尤其是当数据的处理交由第三方进行时,委托—代理问题使得金融机构很难确保消费者金融信息的安全性和秘密性。例如“6·17”事件中万事达信用卡公司与商家和信用卡交易处理公司之间虽然早已根据FTC的规则达成了明确的关于保护付款程序安全的协定,要求交易处理公司只负责交易过程,在交易过程完成之后不能保留信用卡用户的个人资料,如姓名、账号、有效日期和密码,但并未能对此进行有效的控制。
(2)金融信息服务商的信息保护难题。作为第三方的信息处理机构是消费者金融信息保护中的难点:一方面作为专业的数据处理机构,消费者金融信息既是原材料也是产成品,要提高生产技术就不可避免地要对加工对象——消费者金融信息进行专门的研究,这也是“6·17”事件中的责任公司“信用卡系统解决方案公司”(CARDSYSTEMS SOLUTIONS)违规保留信用卡用户资料的借口;另一方面,对信息进行正确地加工能带来利润,而对数据进行安全维护并不能直接带来盈利,交易处理机构没有足够的动力投入资源进行信息的安全维护,电脑黑客通过一个并不隐秘的“木马”程序,轻易地盗走了“信用卡系统解决方案公司”违规保存并且没有加密的4000万条信用卡磁条信息。
(3)金融监管机构的执法难题。既然金融机构与金融信息服务机构都存在不遵守法律的动机,那么有效地监管就是不可或缺的。但是,在网络环境中直接进行有效地监管需要支付高昂的成本。
在网络环境下金融机构和金融信息服务机构的反数据盗窃系统都需要不断地改进和升级,存在专业的技术问题,在此基础上进行监管的机构也必须配备专门的技术专家才能对此作出评价;网络技术的日新月异导致监管的频率也必须提高,相应的资源投入也会上升。
2.FTC的执法经验借鉴——依靠中介机构的力量加强监管的有效性
尽管FTC在保护规则中已经要求金融机构及相关服务提供商建立各自的信息安全系统进行内部的日常安全风险评价,而信用卡行业协会也每年花费数百万美元用于公司电脑系统的升级和改进反盗用信用卡活动的软件,但法律并未对来自外部的信息安全系统专业评估机构的参与作出强制性规定。现在看来,类似于对公司财务的审计,这一来自于民间的“信息安全审计”也有必要通过强制性规定成为金融监管机构的得力助手。
正如证监会并不需要自己对每一家上市公司进行直接审计来履行监管职责一样,FTC也能够借助外部中介机构的力量来进行监管。“6·17”事件发生后,FTC在2005年10月28日签发的处理决定书中对“信用卡系统解决方案公司”制订了几近苛刻的监管计划,责成其立即建立安全信息程序,并且在今后20年中每两年就必须提交一份由外部机构出具的安全评估报告,评估人必须为注册信息系统安全师(Certified Information System Security Professional,CISSP)或注册信息系统审计师(Certified Information Systems Auditor,CISA),或者持有系统管理、审计、网络、安全协会(SysAdmin,Audit,Network,Security Institute,SANS)颁发的全球信息安全证书(Global Information Assurance Certification,GIAC)。
通过中介机构进行的强制信息安全审计是目前金融信息安全监管最为理想的解决办法。是一项能够有效减少交易成本的辅助监管措施,这一解决方式最为经济之处在于,目前美国的信息系统安全认证机构如国际信息安全认证联合公司(International Information Systems Security Certification Consortium,简称ISC[2])等非盈利性组织并非只能为金融监管所用,它在网络应用、企业管理等方面都能为整个社会所共享,自然,对此类中介机构的监管也是由社会的多种力量共同进行的,实质上反映了各种利益体在金融业发展与消费者个人信息隐私保护之间的博弈。
三、美国个人金融信息隐私权保护机制对我国的启示
(一)尽快建立我国保护个人信息隐私的法律体系
借鉴美国的经验,我国要尽快出台《个人信息保护法》。尽管我国2009年已通过《刑法》修正案和《侵权责任法》对个人信息受侵犯进行了一定的保护,但这种事后的救济效果相当有限,在网络服务越来越普及的云时代,需要对个人金融信息进行事前的全流程设计,事中的有效监督和事后的严厉惩处,才可能构建起全面保护消费者个人信息隐私权的安全网,一个保护个人信息的基本法律是安全网设计的可靠基础。
(二)个人信息保护机制中的行政监管与第三方力量的协助
2012年4月,我国工业和信息化部拟定的《信息安全技术、公共及商用服务信息系统个人信息保护指南》正在国家标准委进行最后的技术审批。尽管这个标准是非强制性的,但其后将公布的一系列配套标准能够使信息使用和处理企业的个人信息保护状况的衡量有了依据,也为中央银行管理和评价金融机构和金融信息服务企业的消费者个人信息保护情况提供了技术参考。
在保护个人金融信息隐私的行政执法中,对金融机构和金融信息服务业进行直接业务监管的中央银行可以与工信部合作,央行采用工信部的信息保护技术规则,同时引入独立的信息保护中介机构作为第三方技术专家,共同判断和评价企业的消费者个人信息安全状况以进行相应的处理。
注释:
①美国信用卡信息大规模被盗[N].钱江晚报,2012-04-01:B3.
标签:信息安全论文; 金融论文; 信用卡论文; ftc论文; 金融信息服务论文; 美国金融论文; 监管机构论文; 金融机构论文;