“打包價95萬元， 上海第一陣容互聯(lián)網(wǎng)金融公司數(shù)據(jù)，超百萬份客戶資料?！?近日， 筆者微信上陌生人發(fā)來第一個微信。 “知名的上海P2P平臺， 數(shù)據(jù)都是9月初最新的”“姓名，id,身份證，電話，成交所有數(shù)據(jù)等”。筆者一再追問平臺名稱， 對方以敏感為由不愿確切回答。筆者沒有進(jìn)一步去冒險親自去交易，所以也無從確認(rèn)是否屬實(shí)，但是筆者已經(jīng)把相關(guān)通話資料作為線索轉(zhuǎn)交給有關(guān)監(jiān)管機(jī)關(guān)去處理。

　　一個月前，年輕的徐玉玉因?yàn)閭€人信息被不法分子盜竊，導(dǎo)致被騙學(xué)費(fèi)而失去寶貴性命的事件引起全社會廣泛關(guān)注。 這種慘劇還令人記憶猶新，明目仗膽販賣個人信息的不法之徒主動就找上門來了，而且是發(fā)生在新興的互聯(lián)網(wǎng)金融行業(yè)。 這樣大范圍具有商業(yè)價值的信息泄露，必然導(dǎo)致該資料在黑市上到處流轉(zhuǎn)和販賣，不僅造成數(shù)據(jù)源公司巨大損失，而且讓消費(fèi)者承受擾人的廣告宣傳。

　　更加令人擔(dān)心的是，萬一流傳到騙子手里，不知誰會成為下一個“徐玉玉”。真讓人既憤怒而又奈何。而這并非特例。 中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2015)》顯示，78.2%的網(wǎng)民個人身份信息被泄露過、63.4%的網(wǎng)民個人網(wǎng)上活動信息被泄露過。信息泄露的社會毒瘤，已經(jīng)蔓延到互聯(lián)網(wǎng)金融領(lǐng)域。

　　2013年阿里支付寶前員工在工作3年內(nèi)下載支付寶用戶20G的資料出售;2015年4月芝麻金融 9000個高凈值客戶資料泄露; 2016年初銅掌柜被爆出平臺60萬用戶大量敏感信息泄露。然而我們所知道的，只是被新聞披露出來的冰山上一角，不少互聯(lián)網(wǎng)金融企業(yè)在信息泄露時候?yàn)榱司S護(hù)聲譽(yù)，往往不愿公開，粉飾太平。

　　8月19日，移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室發(fā)布了《移動互聯(lián)網(wǎng)金融APP信息安全現(xiàn)狀白皮書》。參與白皮書撰寫的作者朱易翔說到：”測試發(fā)現(xiàn)，參與測試的大部分APP均存在加密算法誤用、加密協(xié)議實(shí)現(xiàn)不正確、不完整的情況，并且在保護(hù)用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現(xiàn)不佳?！?

　　這樣的測試結(jié)果并不讓人意外，據(jù)筆者對互聯(lián)網(wǎng)金融領(lǐng)域的了解，很多一線平臺在技術(shù)上投入不夠，管理層對信息安全重視嚴(yán)重不足。中小平臺在安全技術(shù)上更加薄弱，很多都是購買通用開源代碼模板或者外包。互聯(lián)網(wǎng)金融業(yè)漠視信息安全的現(xiàn)狀埋下了眾多隱患。而我國的互聯(lián)網(wǎng)金融產(chǎn)業(yè)經(jīng)過3年的迅速增長，覆蓋面已經(jīng)很廣。

　　麥肯錫公司在其發(fā)布的《中國銀行業(yè)創(chuàng)新系列報(bào)告》中稱：2015年底，中國互聯(lián)網(wǎng)金融的市場規(guī)模達(dá)到12-15萬億元，占GDP的近20%?；ヂ?lián)網(wǎng)金融用戶人數(shù)已經(jīng)超過5億，這樣龐大的用戶群和涉及面，如果信息安全事件愈演愈烈甚至失控，將會對國家和社會造成不可估量的損失?；ヂ?lián)網(wǎng)金融信息安全已經(jīng)刻不容緩。

　　互聯(lián)網(wǎng)金融行業(yè)的監(jiān)管者，無疑是解決信息安全問題的關(guān)鍵。2015年7月，由央行牽頭，聯(lián)合9部委聯(lián)合公布《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》中， 在20條指導(dǎo)意見中用第17條整專門強(qiáng)調(diào)網(wǎng)絡(luò)與信息安全：“從業(yè)機(jī)構(gòu)應(yīng)當(dāng)切實(shí)提升技術(shù)安全水平，妥善保管客戶資料和交易信息，不得非法買賣、泄露客戶個人信息。人民銀行、銀監(jiān)會、證監(jiān)會、保監(jiān)會、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室分別負(fù)責(zé)對相關(guān)從業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全保障進(jìn)行監(jiān)管，并制定相關(guān)監(jiān)管細(xì)則和技術(shù)安全標(biāo)準(zhǔn)”。

　　2016年末有望加速出臺的中國首部《網(wǎng)絡(luò)安全法》，明確指出“網(wǎng)絡(luò)運(yùn)營者對其收集的公民個人信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保公民個人信息安全，防止其收集的公民個人信息泄露、毀損、丟失?！?

　　這樣明確的立法顯然沒有剎住非法買賣泄露客戶信息的歪風(fēng)。 這個跟監(jiān)管者沒有下重拳真正嚴(yán)格執(zhí)行不無關(guān)系。所謂“亂世用重典”，對于信息泄露的亂象，政府必須使用強(qiáng)硬的懲罰措施，殺雞儆猴，以儆效尤，才能讓從業(yè)者從根本上真正重視信息安全，才能讓不法分子犯法之前三思而后行。美國政府對2008年金融風(fēng)暴始作俑者的懲戒，堪稱全世界“重典”的楷模。

　　金融風(fēng)暴8年來，美國政府累計(jì)罰金達(dá)到驚人的1500億美元，國際大行紛紛淪陷。就連沒拿政府一分錢資助，靠自身實(shí)力挺過難關(guān)的德意志銀行，最近也收到140億美金的巨額罰單。近期全世界都擔(dān)心她因巨額罰單而像雷曼一樣轟然倒塌。在這樣高壓懲罰下，所有銀行戰(zhàn)戰(zhàn)兢兢，不敢輕易越雷池一步。

　　信息安全和隱私保護(hù)是世界性難題，美國政府的做法可圈可點(diǎn)。任何人可以通過申請美國聯(lián)邦貿(mào)易委員會(一個專門保護(hù)消費(fèi)者的組織)的“不許打電話”(DoNotCall)的服務(wù)而免受電話騷擾。這服務(wù)從創(chuàng)立2003年到現(xiàn)在，有105起違規(guī)的企業(yè)受到懲罰，罰金累積7400萬美元。也正是由于有這樣的法規(guī)和執(zhí)行力保護(hù)， 美國人的手機(jī)號很少改變，用一輩子都不罕見。而在國內(nèi)由于煩人的騷擾電話，身邊的不少朋友幾年要換一次手機(jī)號。當(dāng)然，中國的監(jiān)管者也有“重拳出擊”達(dá)到顯赫效果的案例，比如治理酒駕。任何從海外回來的人， 都會納悶， 為什么一向以不遵守規(guī)則的中國人，飯桌上談到酒駕就聞虎變色，變得循規(guī)蹈矩。這都要?dú)w功于公安部采用的，從外國人角度來看幾近苛刻的，查處酒駕治理方法。

　　酒駕和個人信息泄露，前者是烈性毒藥，車禍的后果害人害己，人命關(guān)天，引起高度重視; 后者是慢性毒藥，在社會蔓延開來一點(diǎn)點(diǎn)毒害人民財(cái)產(chǎn)權(quán)隱私權(quán)，積累到最后出了人命，爆發(fā)出類似“徐玉玉”的事件，才引起關(guān)注和重視。 不知道需要多少個“徐玉玉”才能讓監(jiān)管真正花大力治理?靠人命來推動立法的真正執(zhí)行，這樣的代價值得嗎?難道不能一開始就避免嗎?

　　互聯(lián)網(wǎng)金融信息安全標(biāo)準(zhǔn)的缺失，也是企業(yè)不作為的原因之一。 很多企業(yè)有實(shí)力也有意愿， 卻苦于沒有一套公認(rèn)的標(biāo)準(zhǔn)來參照和衡量 。政府應(yīng)該引導(dǎo)參與各方，盡快出臺信息安全標(biāo)準(zhǔn)。這不僅讓企業(yè)有標(biāo)準(zhǔn)可以依，也能幫助監(jiān)管機(jī)構(gòu)評估企業(yè)風(fēng)險，批準(zhǔn)企業(yè)注冊，決定懲罰程度等等。 可喜的是，在筆者9月份拜訪央行，參加中國互聯(lián)網(wǎng)金融協(xié)會的一次閉門座談會上， 李東榮會長和陸書春秘書長多次提到協(xié)會高度關(guān)注信息安全并致力于推動行業(yè)的標(biāo)準(zhǔn)。期待這一標(biāo)準(zhǔn)能盡快出臺。

　　作為互聯(lián)網(wǎng)金融的主體，企業(yè)保護(hù)信息安全責(zé)無旁貸?；ヂ?lián)網(wǎng)金融企業(yè)在信息安全保護(hù)上，遠(yuǎn)遠(yuǎn)不夠。目前互聯(lián)網(wǎng)金融企業(yè)，沒有多少企業(yè)是達(dá)到銀行信息安全及格線的。

　　比如筆者以前在華爾街投行上班，工作用電腦光盤和USB是被技術(shù)限制無法使用的，裝任何軟件都要技術(shù)部門評估批準(zhǔn)， 即時通訊軟件是內(nèi)部專用而不是微信QQ等外部軟件，私人電腦是不允許存任何工作資料，要在家里工作只能經(jīng)過繁瑣的硬件和軟件密碼遠(yuǎn)程連上公司內(nèi)部電腦，需要給外部發(fā)郵件若含有附件數(shù)據(jù)，是必須加密且只能發(fā)給非私人郵箱。

　　有一次筆者發(fā)附件給客戶群，其中一個客戶使用個人郵箱，發(fā)信后技術(shù)部門立即電話來了，要求筆者解釋，否則該郵件將被攔截。

　　當(dāng)然，以國際投行的信息安全標(biāo)準(zhǔn)要求也許過高，但是互聯(lián)網(wǎng)金融公司既然是用技術(shù)從事金融活動，基本的金融信息安全還是必須達(dá)標(biāo)的。這里銀行的很多做法可以參考，比如管理層的重視，資金人才和安全系統(tǒng)的投入，內(nèi)部流程的管控，信息的加密和使用的隔離，人員的培訓(xùn)等。還可以借助第三方監(jiān)測機(jī)構(gòu)，主動對系統(tǒng)的信息安全性進(jìn)行全方位的考核和監(jiān)督。

　　最后，互聯(lián)網(wǎng)金融企業(yè)在遭受信息盜用的時候，有義務(wù)按規(guī)定通知受害的用戶，披露給監(jiān)管單位，而不能遮遮掩掩，用錢私了。這樣不僅違反信息披露法規(guī)，損害客戶的利益，而且也助長了不法分子的囂張勢頭。

　　個人在信息安全保護(hù)里是最無助的受害者，但卻也不是只能束手待斃。為了維護(hù)每個人的切身利益，我們應(yīng)該有更多人挺身而出，積極行使人民當(dāng)家做主的權(quán)利，讓各級人大代表向政府傳達(dá)我們的強(qiáng)烈保護(hù)信息安全的呼聲。 同時我們作為客戶還可以用腳投票，堅(jiān)決不成為不重視信息保護(hù)的企業(yè)的客戶。 最后，我們要敢于和不法分子做斗爭，遇到不法分子和企業(yè)盜用販賣信息，不僅不參與，還要檢舉揭發(fā)，懲惡揚(yáng)善，盡自己一點(diǎn)微薄的力量。

　　在互聯(lián)網(wǎng)金融的資金安全已經(jīng)被重視，信息安全也應(yīng)該逐步完善規(guī)范和有效執(zhí)行。 監(jiān)管機(jī)關(guān)，互聯(lián)網(wǎng)金融企業(yè)，第三方機(jī)構(gòu)和個人，只有所有參與者齊心協(xié)力，才能贏得互聯(lián)網(wǎng)金融信息安全這場戰(zhàn)爭。