个人信息失窃凸显数据风险管理 | ||||||||
---|---|---|---|---|---|---|---|---|
http://finance.sina.com.cn 2005年06月20日 16:13 第一财经日报 | ||||||||
专访IBM金融咨询专家高达飞 本报实习记者 王丽好 发自上海 万事达、Visa信用卡集团6月17日称,大约4000万名信用卡用户的账户被一名黑客利用电脑病毒侵入。美国最大的银行花旗集团上月发布信息丢失声明,称一张存储有390万名客
针对这些事故的出现原因、防范手段和可能造成的影响等问题,《第一财经日报》记者采访了IBM公司中国金融业务转型部总经理高达飞(AfzalTarar)先生。推行风险管理技术 高达飞认为,“风险管理并不意味着可以消除一切风险,但公司的风险管理水平就体现在能否通过一定的技术和管理手段把风险降到最低,并控制事故产生的影响。” 具体如何进行风险管理,高达飞以花旗磁盘丢失为例介绍说,“可以采用数据库风险控制的基本方法。例如,不要把客户的全部信息在一起发送,而是将不同类秘密信息分开发送,这样即便有人得到其中的一部分也无法得知客户的完整信息。或者,把数据加密之后再进行运输。像在美国这样电子化已经普及的国家,完全可以采用电脑传输,而不必用电脑磁盘运送数据。” 而花旗银行致客户的致歉信中也申明“从下个月(6月)开始,将通过加密的电子传输直接向信用机构提供信息”。 除了技术手段之外,金融高层还需要确立信息保护战略。目前美国的银行用户,每年都会收到来自银行行长的承诺信函,保证所在银行“不会泄漏客户信息,不会把客户信息卖给他国”等等。意外丢失数据不违法 观察过去美国发生的信息失窃事故可以发现,其中3起是由于备份的磁盘丢失,1起是分析师把存有客户数据的笔记本电脑放在车上带回家,结果电脑不翼而飞。 据高达飞介绍,美国国会2002年通过了针对操作风险的《萨奥法案》(Sarbanes-OxleyAct),其中对金融业有明确规定。但意外丢失数据这样的事故并不在《萨奥法案》划定的“非法”使用或泄漏信息行为之列。 今年以来,美国各大银行等金融机构的个人信息失窃案件频频发生,信息安全隐忧急剧上升。《华尔街日报》等美国媒体在万事达信用卡事故之前,已经撰文称,接二连三出现数据安全问题,很可能会激起众怒。纽约州参议员查尔斯·舒默(CharlesSchumer)因此表示有必要推出身份失窃保护法案,“消费者的个人金融信息已经成为了21世纪的财富,因此我们需要给予保护。”丢失信用卡账户并非世界末日 可以对号入座的个人信息存储在“信用局”(CreditBu-reau)。这是信用社会不可缺少的机构,目前在中国尚未成型。美国各个银行每个月向信用局提供信用卡持卡人的信用记录。银行提供贷款时,可能会同时参考两个以上信用局提供的个人信用记录,来评估贷款人的信用风险。花旗集团的电脑磁盘正是从新泽西州运往得克萨斯州的Experian信用局途中丢失的。 “个人如果真的丢失了信用卡甚至社保卡号,也并不是那么可怕。这些风险也是可以控制的,”高达飞指出。如果信用卡被他人盗用,而持卡人能够证明他本人并没有进行过这些消费活动,被盗用的消费金额将由信用卡发卡公司投保的保险公司赔偿。假如客户丢失社保卡号,可以通知政府、银行等相关部门进行挂失。数字化社会的个人信息安全 “在美国,你只要知道我的社保卡号,就有可能知道我的全部信息,我开什么车,买什么衣服,赚多少钱,去哪里旅游等等。”高达飞这样形容数字化社会的信息环境。 据他的介绍,美国的银行不会卖出具体的个人信息,而是把客户信息按照群体模式(pattern)出售,例如一个地区居民的平均收入、生活水平等人口统计学信息。这样不会泄漏具体的个人信息,无法对号入座,对个人没有危险。银行还可以买入这种信息,这对于定位客户十分重要。 而银行在服务条款里会询问客户是否愿意把个人信息提供给商业调查机构。 询问通常以“加入”或“退出”。在“加入”形式下,如果客户没有特殊申明,银行便有权利出售和使用客户个人信息。中国的银行信用系统有待完善 与欧美发达国家相比,中国目前的电子化水平还有相当的距离,这一方面客观上减少了数据丢失的可能,另一方面也体现了我们的信息系统和信用系统不够完备。高达飞指出,美国人担心身份盗窃和信息安全的同时,中国的银行却难以找到客户的信用记录和个人信息。他因此建议,“中国的银行开发速度非常快,可以借鉴欧美银行的经验和教训。在风险控制方面,中国首先需要建立个人信息保护方面的法律规定,各个银行也需要建立保护个人信息的战略和思路,在系统、流程和人才方面都要有所准备。”资料图片 |