何 珊，馬小林，李昕儒

(1.遼東學(xué)院 經(jīng)濟學(xué)院， 遼寧 丹東 118001；2.中國人民銀行丹東市中心支行，遼寧 丹東 118000)

在美國，每年都有數(shù)以億計的征信主體的信用記錄被泄露，數(shù)據(jù)泄露事件數(shù)百起。在這些事件中，即使在數(shù)據(jù)泄露過程中沒有任何涉及金融方面的信息被盜，不法分子依然可以利用社會保障號碼和其他消費記錄開立新的欺詐性金融賬戶，并從金融機構(gòu)竊取資金，直接對公眾的征信信息、財產(chǎn)安全以及金融機構(gòu)和征信機構(gòu)的信譽造成極大的不良影響。

IBM在2019年發(fā)布的全球數(shù)據(jù)泄露成本報告顯示，近3年全球有超過117億條征信數(shù)據(jù)遭到泄露，平均每次泄露事件造成的成本損失高達392萬美元[1]。國家互聯(lián)網(wǎng)應(yīng)急中心2019年發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，我國大量數(shù)據(jù)庫存在數(shù)據(jù)泄露隱患，共涉及20 720個數(shù)據(jù)表、1 330 TB數(shù)據(jù)量、1.78萬億余條數(shù)據(jù)[2]。個人征信信息遭到泄露之后，將對個人的隱私、財產(chǎn)安全以及人身安全帶來不利影響，因此，保障征信信息安全成為各國政府以及征信監(jiān)管部門重點研究的問題之一。

一、美國南卡羅來納州征信信息泄露事件及后續(xù)解決措施

(一)事件回顧

2012年10月26日，南卡羅來納州財政部發(fā)表聲明，稱其數(shù)據(jù)庫信息遭到攻擊，造成該州380萬個納稅人的社會保障號碼被曝光、330萬個銀行賬戶信息遭到竊取。這起網(wǎng)絡(luò)攻擊是一位不知名的黑客發(fā)起的，其通過網(wǎng)絡(luò)釣魚技術(shù)獲取工作人員的登錄憑證，侵入數(shù)據(jù)庫中的44個系統(tǒng)，竊取了75 GB的個人身份信息和持卡人數(shù)據(jù)。這是南卡羅來納州發(fā)生的最大一起信息泄露事件，對南卡羅來納州81%的居民造成不良影響。在該事件中，大多數(shù)居民的個人信息被泄露，部分居民的銀行卡、信用卡信息也被泄露，少數(shù)居民由于銀行信息被泄露造成了一定額度的資金損失。

(二)解決措施

該征信信息泄露事件發(fā)生之后，南卡羅來納州財政部立即啟動了一項行動，向信息被盜的居民提供信息查詢服務(wù)，以降低居民因征信信息泄露而導(dǎo)致的任何潛在的身份被盜的可能性。除此之外，在美國，凡是1998年之后提交納稅申報單的居民都有資格通過益佰利的“身份保護”警報享受1年的免費信用監(jiān)控?！吧矸荼Ｗo”警報旨在檢測、保護和解決潛在的身份盜用案件，并包括對益佰利、環(huán)聯(lián)、艾可飛等3家征信機構(gòu)的日常監(jiān)控。通過注冊“身份保護”警報，居民可以免費獲得一份益佰利個人信用報告副本、每日信用監(jiān)控以及高達100萬美元的身份盜用保險，同時可以咨詢欺詐解決專家。在1年免費期結(jié)束之后，南卡羅來納州財政部建議受害居民在2013年1月1日之前通過訪問益百利官方網(wǎng)站，或撥打?qū)ｉT為南卡羅來納州征信信息泄露受害者指定的電話號碼來申請“身份保護”警報將其納入覆蓋范圍。截至2012年11月7日，益佰利呼叫中心已收到72.9萬個求助電話，擁有69.3萬個注冊用戶。南卡羅來納州財政部還向居民介紹了其他保護身份的方法，包括定期審查信用報告和銀行對賬單、更換信用卡和借記卡、向3大信用機構(gòu)之一提交警報和凍結(jié)信貸。在此期間，南卡羅來納州財政部還將申請免費益百利信用監(jiān)控的截止日期延長至2013年3月31日。從2013年10月24日開始，南卡羅來納州財政部宣布將通過一家名為CSID的公司開始額外1年的免費信用監(jiān)控，該產(chǎn)品只提供給電子報稅人(因為后通過紙質(zhì)方式提交納稅申報表的消費者不受影響)，之后，CSID信用監(jiān)測計劃的免費注冊時間延長至2017年10月31日[3]。

二、我國個人征信信息泄露的原因

(一)不法黑客外部入侵

在中國，很多數(shù)據(jù)運營商的網(wǎng)絡(luò)系統(tǒng)經(jīng)常遭到不明黑客的惡意攻擊，黑客通過解碼、植入病毒、遠程操控等方式向被攻擊的計算機內(nèi)植入木馬，以獲取系統(tǒng)的操控權(quán)，進而盜取系統(tǒng)內(nèi)的機密文件、用戶的資金賬戶、個人信息等數(shù)據(jù)。因此，黑客入侵是征信數(shù)據(jù)泄露的重要原因之一[4]?！厄v訊安全 2019年度互聯(lián)網(wǎng)安全報告》顯示，截至2019年12月底，仍有79%的數(shù)據(jù)運營單位服務(wù)器終端上存在1個以上的高危漏洞未修復(fù)[2]。同時，目前仍有大量的數(shù)據(jù)運營單位資產(chǎn)開放了高危端口，除了22、3389等高危端口之外，還有較大比重的郵件服務(wù)、數(shù)據(jù)庫服務(wù)等端口也暴露在公網(wǎng)上，給網(wǎng)絡(luò)黑客帶來可乘之機。2019年平均每周約有40%的數(shù)據(jù)運營單位發(fā)生過終端木馬感染事件[2]。

(二)征信從業(yè)人員操作失誤、職業(yè)道德缺失

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展使個人信息數(shù)據(jù)在互聯(lián)網(wǎng)平臺呈現(xiàn)互聯(lián)、共享、開放等特點[5]。個人征信數(shù)據(jù)泄露的主要原因是公眾在使用電商、電信、金融和教育等網(wǎng)絡(luò)平臺時，平臺的從業(yè)人員在工作的過程中由于操作失誤或為了謀取個人利益而惡意泄露用戶的個人信息[6]。數(shù)據(jù)運營單位的從業(yè)人員在從事征信數(shù)據(jù)的采集、加工、處理和存儲等過程中，可能由于工作失誤，造成數(shù)據(jù)丟失、被外人拷貝、留存單據(jù)沒有妥善處理等情況，使公眾的個人信息遭到泄露。而征信從業(yè)人員因為個人利益，惡意將本單位的客戶個人信息批量下載、販賣，從中謀取巨額利益，這不僅會給個人信息安全和征信行業(yè)發(fā)展造成惡劣影響，而且屬于違法行為，犯罪人員要接受法律的制裁[7]。

(三)公民個人信息保護意識不強

除了黑客惡意竊取信息和工作人員人為泄露信息之外，很多個人征信信息泄露事件是由于個人缺乏信息保護意識。中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)在2019年發(fā)布的第44次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2019年6月，我國網(wǎng)民規(guī)模達8.54億，較2018年底增長2 598萬，互聯(lián)網(wǎng)普及率達61.2%，而目前我國網(wǎng)民的學(xué)歷以中等教育水平為主，其中初中、高中(技校、中專)占比分別為37.8%和24.5%，受過大專、本科及以上教育的網(wǎng)民僅占8.7%和9.9%[8]。受教育水平偏低導(dǎo)致很多用戶對于個人征信信息缺乏保護意識。用戶身份證丟失而沒有及時補辦、銀行卡丟失沒有及時掛失、瀏覽不安全的網(wǎng)站導(dǎo)致計算機被植入病毒、點擊違規(guī)平臺發(fā)送的短信鏈接、在非官方網(wǎng)站下載應(yīng)用軟件等行為都有可能導(dǎo)致個人信息泄露。由于許多個人用戶受教育水平較低，網(wǎng)絡(luò)技術(shù)應(yīng)用能力較弱，導(dǎo)致他們對于個人信用信息泄露可能產(chǎn)生的危害沒有深刻的認(rèn)識，缺乏信息保護的意識[9]。

三、個人征信信息泄露產(chǎn)生的不良影響

(一)隱私遭受侵犯

由于個人隱私具有極強的排他性，因此個人隱私權(quán)是公民人格權(quán)利中最基本也是最重要的權(quán)利之一。近年來，數(shù)據(jù)泄露事件頻繁發(fā)生，對公眾個人隱私帶來極大危害[10]。例如2016年，某電商平臺數(shù)千萬用戶的注冊用戶名、郵箱地址、身份證號碼、手機號、QQ號等重要用戶信息在黑市流通，信息內(nèi)容高達12G。某集團旗下多家連鎖酒店泄露其客戶官網(wǎng)注冊資料信息，包括1.23億條客戶入住身份登記信息以及開房記錄[6]。中國互聯(lián)網(wǎng)協(xié)會對外公布的《中國網(wǎng)民權(quán)益保護調(diào)查報告(2019)》顯示，78.2%的網(wǎng)民個人身份信息(姓名、學(xué)歷、家庭住址、身份證號及工作單位等)被泄露；63.4%的網(wǎng)民個人網(wǎng)上活動信息(通話記錄、網(wǎng)購記錄、網(wǎng)站瀏覽痕跡、IP地址、軟件使用痕跡及地理位置等)被泄露；近半數(shù)的網(wǎng)民個人通信信息(即時通信記錄、手機短信等)被泄露[11]。這些行為都嚴(yán)重侵犯公民的個人隱私。公民的個人隱私受到法律保護，不能隨意被采集、利用、侵?jǐn)_和公開，一旦個人信息被泄露，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，個人信息將會以幾何形式迅速傳播擴散。個人信息如果被泄露，將會對其人身安全造成極大威脅，在一些情況下，容易引發(fā)網(wǎng)絡(luò)暴力，對社會的安全穩(wěn)定產(chǎn)生不良影響。

(二)財產(chǎn)安全受到嚴(yán)重威脅

2020年，受新冠疫情影響，居家辦公、網(wǎng)絡(luò)授課、外賣點餐、社區(qū)采購逐漸成為居民生活的一部分，這就使電商平臺、物流公司有機會掌握更多公眾基礎(chǔ)信息以及財務(wù)信息，而這些信息一旦泄露，將會給居民的財產(chǎn)安全帶來極大威脅。不法分子利用個人征信信息竊取個人資產(chǎn)主要有兩種方式：一是通過發(fā)送信息或者撥打電話的方式，使用病毒鏈接或釣魚網(wǎng)站竊取銀行賬戶及密碼，達到盜取資金的目的；二是利用黑客技術(shù)直接侵入個人銀行網(wǎng)絡(luò)賬戶，盜取或轉(zhuǎn)移賬戶內(nèi)資產(chǎn)[12]。2019年，中國網(wǎng)民因個人信息泄露造成的經(jīng)濟損失高達805億元人民幣[11]，一些用戶因無法承擔(dān)過大壓力而死亡，這對社會的和諧穩(wěn)定帶來很大影響。

(三)日常生活遭受侵?jǐn)_

由于個人信息遭到泄露，詐騙信息、詐騙電話、垃圾短信、惡意軟件、釣魚網(wǎng)站、木馬鏈接等給公民的正常生活帶來極大困擾，導(dǎo)致公民對當(dāng)前的個人信息安全、網(wǎng)絡(luò)安全保護狀況產(chǎn)生極大質(zhì)疑?！吨袊W(wǎng)民權(quán)益保護調(diào)查報告(2019)》顯示，惡意軟件是網(wǎng)民最反感的騷擾來源，其次是騷擾電話和網(wǎng)絡(luò)彈窗。82.3%的網(wǎng)民認(rèn)為個人信息泄露已經(jīng)對其日常生活造成極大影響，近50%的網(wǎng)民認(rèn)為個人信息泄露情況已經(jīng)非常嚴(yán)重，70%的網(wǎng)民認(rèn)為惡意軟件、非法窗口、手機電腦木馬病毒對個人的生活安寧權(quán)造成嚴(yán)重影響[11]。

(四)公眾對征信市場喪失信心

根據(jù)美國支付結(jié)算統(tǒng)計中心2012年的調(diào)查，數(shù)據(jù)泄露和相關(guān)新聞媒體的宣傳報道會削弱消費者對美國支付系統(tǒng)的信心。如果大量消費者放棄使用電子支付，轉(zhuǎn)而使用其他效率較低的支付方式，數(shù)據(jù)泄露可能會給美國信用卡支付系統(tǒng)帶來巨大的信用危機[2]。除此之外，關(guān)于信息泄露和信息安全的額外報道也可能促使消費者采取一定的預(yù)防措施或改變支付方式，如果消費者認(rèn)為某些金融機構(gòu)比其他金融機構(gòu)更具安全性，消費者可能會轉(zhuǎn)向另一家金融機構(gòu)。這種趨勢會導(dǎo)致信用卡新卡的增加，也會導(dǎo)致消費者不再依附信貸市場，停止支付信用卡賬單、產(chǎn)生信用卡違約。由此可見，數(shù)據(jù)泄露會使公眾質(zhì)疑征信機構(gòu)或征信數(shù)據(jù)持有平臺，從而減少消費者對征信產(chǎn)品的使用，降低信貸市場的借貸效率，阻礙征信市場的有效發(fā)展。

四、我國個人征信信息保護存在的問題

(一)法律體系不完善

隨著信息技術(shù)的快速發(fā)展，居民對網(wǎng)絡(luò)的依賴程度日益增加，生活也日趨智能化，眾多互聯(lián)網(wǎng)平臺上每天都會產(chǎn)生大量的信息。這些平臺掌握了大量個人信息，但這些信息的歸屬問題目前依然沒有得到明確判定，對個人信息的掌控及使用、信息主體具有哪些權(quán)益并沒有進行明確的法律約束。除了信用數(shù)據(jù)的歸屬問題之外，近年來，網(wǎng)絡(luò)侵權(quán)問題也屢禁不止。根據(jù)相關(guān)學(xué)者的研究，截至2016年我國共有150多部法律法規(guī)的相關(guān)內(nèi)容涉及維護網(wǎng)絡(luò)信息安全、打擊網(wǎng)絡(luò)信息侵權(quán)行為[4]。然而，由于這些法律法規(guī)籠統(tǒng)分散、形式抽象，既沒有明確界定信用主體的信用信息歸屬權(quán)問題，也沒有對信用主體的征信信息進行保護的具體措施，沒有明確監(jiān)管機構(gòu)的權(quán)責(zé)和義務(wù)，同時還缺少針對網(wǎng)絡(luò)應(yīng)用平臺在搜集、整理、保存、傳輸用戶個人信息數(shù)據(jù)方面的規(guī)范性指導(dǎo)意見，因此無法有效解決征信信息泄露以及侵權(quán)問題。

(二)監(jiān)管體系不健全

政府作為社會治理的主體，對網(wǎng)絡(luò)空間負有監(jiān)管職責(zé)，然而，在很多情況下，政府相關(guān)部門并沒有有效承擔(dān)起保護網(wǎng)絡(luò)信息安全的責(zé)任，信息安全的維護并沒達到預(yù)期效果。首先，政府相關(guān)部門所采取的監(jiān)管措施相對于互聯(lián)網(wǎng)發(fā)展的速度往往滯后。當(dāng)前，負責(zé)網(wǎng)絡(luò)信息安全監(jiān)管的主要包括公安、工商、工業(yè)和信息化等部門，這些政府職能部門維護個人網(wǎng)絡(luò)信息安全的措施主要有兩種。一是提高網(wǎng)絡(luò)平臺準(zhǔn)入資質(zhì)的門檻，設(shè)置嚴(yán)格的準(zhǔn)入許可；二是公眾在使用網(wǎng)絡(luò)平臺前要進行實名登記注冊，使用網(wǎng)絡(luò)平臺要進行全過程操作監(jiān)控，為事后追責(zé)提供有利條件。竊取個人網(wǎng)絡(luò)征信信息一般屬于高科技犯罪，不法分子通常使用較為高端、隱蔽的手段竊取用戶個人信息，且違法成本較低，他們一旦獲取用戶的征信信息，在非法數(shù)據(jù)交易市場，可謀取巨額利益。同時，由于危害人數(shù)眾多、覆蓋區(qū)域較廣，受害人取證難、維權(quán)難，使得相關(guān)部門現(xiàn)有的監(jiān)管手段很難維護信息主體的實際利益。不法黑客竊取、非法買賣個人征信信息，并利用這些信息從事電信詐騙、金融犯罪等非法活動獲取巨大利益。其次，政府相關(guān)部門內(nèi)部監(jiān)管體系不完善。多數(shù)政府相關(guān)部門內(nèi)部存有大量公民、企業(yè)、政府的數(shù)據(jù)信息，由于政府內(nèi)部對于信息的搜集、整理、保存、傳輸?shù)拳h(huán)節(jié)操作規(guī)范缺乏嚴(yán)格的監(jiān)管標(biāo)準(zhǔn)，致使少數(shù)政府部門工作人員由于缺乏常規(guī)操作技能或是在利益誘惑下，間接或有意地將政府內(nèi)部數(shù)據(jù)泄露給非法搜集信息的商業(yè)平臺或機構(gòu)，使信息主體的信息安全受到巨大威脅。近年來，個人信息泄露問題已經(jīng)引起政府的高度重視，相關(guān)部門已著手制定一部和個人信息保護相關(guān)的法律，來保護信息主體的信息安全。

(三)信息主體的保護意識和能力不足

在大數(shù)據(jù)背景下，人工智能、云計算等新技術(shù)的出現(xiàn)，人們的數(shù)據(jù)處理能力有了質(zhì)的提升，同時信息主體越來越多地將個人數(shù)據(jù)留存在網(wǎng)絡(luò)上，而部分信息主體并沒有意識到數(shù)據(jù)信息泄露所帶來的危害，有的甚至愿意以貢獻數(shù)據(jù)的形式來獲取網(wǎng)絡(luò)使用的便利，這些行為都為不法分子竊取個人信息提供了便利條件。

首先，信息主體缺乏信息安全防范意識。例如，一些人在公共場所隨意連接不安全的WiFi，卻并沒有意識到這些WiFi可能存在隱患，有些人即使知道不安全也并不在意。一些居民在接到騷擾電話時，在不知情的情況下泄露了自己的身份信息，或在某些不知名的平臺或機構(gòu)填寫詳細的個人身份和財務(wù)信息。這些錯誤的行為都可能導(dǎo)致個人信息的泄露，給自己的生活造成極大困擾，同時也有可能給個人的經(jīng)濟利益帶來嚴(yán)重損害。

其次，信息主體缺乏維權(quán)意識。造成信息主體維權(quán)意識缺失的原因主要是網(wǎng)絡(luò)上留存的個人信息數(shù)據(jù)是虛擬的，而大多數(shù)網(wǎng)民雖然可以熟練使用電腦，但是對于互聯(lián)網(wǎng)技術(shù)相對而言還是比較陌生。當(dāng)個人信息在互聯(lián)網(wǎng)上被竊取后，多數(shù)人對如何取證、如何維權(quán)的知識了解較少，甚至無法及時發(fā)現(xiàn)自己的個人信息已經(jīng)被竊取，也就難以追蹤找回個人信息，更不知道應(yīng)該向什么部門投訴，從而放棄維權(quán)。部分信息被泄露的用戶雖然具備一定的維權(quán)意識，但因為信息泄露并沒有給自己帶來太多實質(zhì)性的損害而主動放棄維權(quán)。某種程度上，由于個人的維權(quán)意識不強，也使不法分子得以大肆竊取、非法傳遞和交易個人征信信息。

五、美國個人數(shù)據(jù)保護措施對我國個人征信信息保護的啟示

(一)完善個人征信信息保護相關(guān)的法律法規(guī)

從美國南卡羅來納州居民個人征信信息泄露事件及其后續(xù)處理過程可以看出，在美國，個人征信信息有嚴(yán)格的法律法規(guī)保障體系。居民或消費者可以使用“消費者欺詐保護服務(wù)”來保護自己的權(quán)益免受侵害，同時相關(guān)征信機構(gòu)和管理機構(gòu)會給出完善的事后安撫措施，維護消費者對征信市場的信心。美國的《公平信用報告法》明確提出了5種信息泄露后的欺詐保護服務(wù)：初始欺詐報警、擴展欺詐報警、信用觀察、信用凍結(jié)和信用選擇退出。這些服務(wù)可以為消費者提供貸款人額外身份驗證、欺詐保險范圍、完整的信用檔案凍結(jié)以及從預(yù)先篩選的信貸或保險服務(wù)中退出等服務(wù)，能夠在消費者的個人信息、銀行信息被竊取后，使消費者的個人財產(chǎn)得到最大程度的保障。而目前在我國，《征信業(yè)管理條例》中關(guān)于數(shù)據(jù)保護的相關(guān)內(nèi)容并不完善，公民個人信息遭泄露后面臨舉證難、維權(quán)難、訴訟難等問題。因此多年來，我國政府一直致力于制定一部保護個人信息的法律來保護公民的個人信息。2021年11月1日，全國人民代表大會正式通過《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)[13]?！秱€人信息保護法》的出臺為中國的個人信息保護提供了強大的法律支持。有了這部法律，過去在數(shù)據(jù)的采集、處理、存儲等方面存在的個人信息泄露問題及其處理、解決都具有了法律依據(jù)。《個人信息保護法》的出臺將極大地降低個人信息泄露給信息主體帶來的損失，對維護個人信息安全、個人財產(chǎn)和社會穩(wěn)定具有重要意義。

(二)多部門監(jiān)管，明確分工、職責(zé)

《征信業(yè)管理條例》明確指出，征信業(yè)的監(jiān)管部門為中國人民銀行及其下派機構(gòu)[14]。然而，中國人民銀行作為征信業(yè)的監(jiān)管單位，主要監(jiān)管對象集中在商業(yè)銀行所進行的征信業(yè)務(wù)，對于近年來新興的以電商為代表的網(wǎng)絡(luò)數(shù)據(jù)運營單位的管理少之又少。 在美國，加利福尼亞州于2018年6月出臺了《加州消費者隱私法案》(CCPA)，該法案強化了信息主體對個人信息數(shù)據(jù)的控制，也規(guī)范了企業(yè)收集處理數(shù)據(jù)的方式，在概念、權(quán)利、制度等方面受到《個人數(shù)據(jù)泄露法》的影響，相關(guān)規(guī)定趨于嚴(yán)格，或?qū)⒈幻绹渌菁坝蛲馑梃b[15]。因此，我國央行征信管理中心應(yīng)盡快聯(lián)合國家網(wǎng)信辦、國家發(fā)改委、商務(wù)部等部門，研究建立關(guān)于個人征信信息的搜集、處理、保存、共享的機制，明確各部門的權(quán)利和義務(wù)，要嚴(yán)格監(jiān)管掌握大量用戶個人信息的征信機構(gòu)或平臺，重點是在數(shù)據(jù)的采集、處理以及保存等直接關(guān)系到用戶個人隱私及財產(chǎn)安全的環(huán)節(jié) 。

(三)提高公民的信息保護與維權(quán)意識

個人是數(shù)據(jù)信息保護的第一道“防火墻”，政府各相關(guān)部門及媒體要加強對個人信息安全與個人信息保護的宣傳教育。《個人信息保護法》第六十五條中提到“任何組織或個人對于違法個人信息處理活動有權(quán)進行投訴和舉報”，但并沒有明確指出投訴的方式和維權(quán)渠道。鑒于此，政府可以通過媒體或與相關(guān)機構(gòu)合作，加強宣傳力度，提高公民的信息保護與維權(quán)意識。例如，相關(guān)金融監(jiān)管機構(gòu)可以定期到校園進行有關(guān)個人征信信息方面的宣傳、普及活動，重點介紹當(dāng)前常見的信息竊取方式，在技術(shù)上提高公民的信息保護方式；還可以通過新聞媒體等渠道加強宣傳，普及與個人征信相關(guān)的法律法規(guī)，從思想上提高公民的個人征信信息保護意識。