“打包價(jià)95萬(wàn)元， 上海第一陣容互聯(lián)網(wǎng)金融公司數(shù)據(jù)，超百萬(wàn)份客戶資料。” 近日， 筆者微信上陌生人發(fā)來(lái)第一個(gè)微信。 “知名的上海P2P平臺(tái)， 數(shù)據(jù)都是9月初最新的”“姓名，id,身份證，電話，成交所有數(shù)據(jù)等”。筆者一再追問(wèn)平臺(tái)名稱， 對(duì)方以敏感為由不愿確切回答。筆者沒(méi)有進(jìn)一步去冒險(xiǎn)親自去交易，所以也無(wú)從確認(rèn)是否屬實(shí)，但是筆者已經(jīng)把相關(guān)通話資料作為線索轉(zhuǎn)交給有關(guān)監(jiān)管機(jī)關(guān)去處理。

　　一個(gè)月前，年輕的徐玉玉因?yàn)閭€(gè)人信息被不法分子盜竊，導(dǎo)致被騙學(xué)費(fèi)而失去寶貴性命的事件引起全社會(huì)廣泛關(guān)注。 這種慘劇還令人記憶猶新，明目仗膽販賣個(gè)人信息的不法之徒主動(dòng)就找上門(mén)來(lái)了，而且是發(fā)生在新興的互聯(lián)網(wǎng)金融行業(yè)。 這樣大范圍具有商業(yè)價(jià)值的信息泄露，必然導(dǎo)致該資料在黑市上到處流轉(zhuǎn)和販賣，不僅造成數(shù)據(jù)源公司巨大損失，而且讓消費(fèi)者承受擾人的廣告宣傳。

　　更加令人擔(dān)心的是，萬(wàn)一流傳到騙子手里，不知誰(shuí)會(huì)成為下一個(gè)“徐玉玉”。真讓人既憤怒而又奈何。而這并非特例。 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2015)》顯示，78.2%的網(wǎng)民個(gè)人身份信息被泄露過(guò)、63.4%的網(wǎng)民個(gè)人網(wǎng)上活動(dòng)信息被泄露過(guò)。信息泄露的社會(huì)毒瘤，已經(jīng)蔓延到互聯(lián)網(wǎng)金融領(lǐng)域。

　　2013年阿里支付寶前員工在工作3年內(nèi)下載支付寶用戶20G的資料出售;2015年4月芝麻金融 9000個(gè)高凈值客戶資料泄露; 2016年初銅掌柜被爆出平臺(tái)60萬(wàn)用戶大量敏感信息泄露。然而我們所知道的，只是被新聞披露出來(lái)的冰山上一角，不少互聯(lián)網(wǎng)金融企業(yè)在信息泄露時(shí)候?yàn)榱司S護(hù)聲譽(yù)，往往不愿公開(kāi)，粉飾太平。

　　8月19日，移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室發(fā)布了《移動(dòng)互聯(lián)網(wǎng)金融APP信息安全現(xiàn)狀白皮書(shū)》。參與白皮書(shū)撰寫(xiě)的作者朱易翔說(shuō)到：”測(cè)試發(fā)現(xiàn)，參與測(cè)試的大部分APP均存在加密算法誤用、加密協(xié)議實(shí)現(xiàn)不正確、不完整的情況，并且在保護(hù)用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現(xiàn)不佳?！?

　　這樣的測(cè)試結(jié)果并不讓人意外，據(jù)筆者對(duì)互聯(lián)網(wǎng)金融領(lǐng)域的了解，很多一線平臺(tái)在技術(shù)上投入不夠，管理層對(duì)信息安全重視嚴(yán)重不足。中小平臺(tái)在安全技術(shù)上更加薄弱，很多都是購(gòu)買(mǎi)通用開(kāi)源代碼模板或者外包?；ヂ?lián)網(wǎng)金融業(yè)漠視信息安全的現(xiàn)狀埋下了眾多隱患。而我國(guó)的互聯(lián)網(wǎng)金融產(chǎn)業(yè)經(jīng)過(guò)3年的迅速增長(zhǎng)，覆蓋面已經(jīng)很廣。

　　麥肯錫公司在其發(fā)布的《中國(guó)銀行業(yè)創(chuàng)新系列報(bào)告》中稱：2015年底，中國(guó)互聯(lián)網(wǎng)金融的市場(chǎng)規(guī)模達(dá)到12-15萬(wàn)億元，占GDP的近20%?；ヂ?lián)網(wǎng)金融用戶人數(shù)已經(jīng)超過(guò)5億，這樣龐大的用戶群和涉及面，如果信息安全事件愈演愈烈甚至失控，將會(huì)對(duì)國(guó)家和社會(huì)造成不可估量的損失。互聯(lián)網(wǎng)金融信息安全已經(jīng)刻不容緩。

　　互聯(lián)網(wǎng)金融行業(yè)的監(jiān)管者，無(wú)疑是解決信息安全問(wèn)題的關(guān)鍵。2015年7月，由央行牽頭，聯(lián)合9部委聯(lián)合公布《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見(jiàn)》中， 在20條指導(dǎo)意見(jiàn)中用第17條整專門(mén)強(qiáng)調(diào)網(wǎng)絡(luò)與信息安全：“從業(yè)機(jī)構(gòu)應(yīng)當(dāng)切實(shí)提升技術(shù)安全水平，妥善保管客戶資料和交易信息，不得非法買(mǎi)賣、泄露客戶個(gè)人信息。人民銀行、銀監(jiān)會(huì)、證監(jiān)會(huì)、保監(jiān)會(huì)、工業(yè)和信息化部、公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室分別負(fù)責(zé)對(duì)相關(guān)從業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全保障進(jìn)行監(jiān)管，并制定相關(guān)監(jiān)管細(xì)則和技術(shù)安全標(biāo)準(zhǔn)”。

　　2016年末有望加速出臺(tái)的中國(guó)首部《網(wǎng)絡(luò)安全法》，明確指出“網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)其收集的公民個(gè)人信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保公民個(gè)人信息安全，防止其收集的公民個(gè)人信息泄露、毀損、丟失?！?

　　這樣明確的立法顯然沒(méi)有剎住非法買(mǎi)賣泄露客戶信息的歪風(fēng)。 這個(gè)跟監(jiān)管者沒(méi)有下重拳真正嚴(yán)格執(zhí)行不無(wú)關(guān)系。所謂“亂世用重典”，對(duì)于信息泄露的亂象，政府必須使用強(qiáng)硬的懲罰措施，殺雞儆猴，以儆效尤，才能讓從業(yè)者從根本上真正重視信息安全，才能讓不法分子犯法之前三思而后行。美國(guó)政府對(duì)2008年金融風(fēng)暴始作俑者的懲戒，堪稱全世界“重典”的楷模。

　　金融風(fēng)暴8年來(lái)，美國(guó)政府累計(jì)罰金達(dá)到驚人的1500億美元，國(guó)際大行紛紛淪陷。就連沒(méi)拿政府一分錢(qián)資助，靠自身實(shí)力挺過(guò)難關(guān)的德意志銀行，最近也收到140億美金的巨額罰單。近期全世界都擔(dān)心她因巨額罰單而像雷曼一樣轟然倒塌。在這樣高壓懲罰下，所有銀行戰(zhàn)戰(zhàn)兢兢，不敢輕易越雷池一步。

　　信息安全和隱私保護(hù)是世界性難題，美國(guó)政府的做法可圈可點(diǎn)。任何人可以通過(guò)申請(qǐng)美國(guó)聯(lián)邦貿(mào)易委員會(huì)(一個(gè)專門(mén)保護(hù)消費(fèi)者的組織)的“不許打電話”(DoNotCall)的服務(wù)而免受電話騷擾。這服務(wù)從創(chuàng)立2003年到現(xiàn)在，有105起違規(guī)的企業(yè)受到懲罰，罰金累積7400萬(wàn)美元。也正是由于有這樣的法規(guī)和執(zhí)行力保護(hù)， 美國(guó)人的手機(jī)號(hào)很少改變，用一輩子都不罕見(jiàn)。而在國(guó)內(nèi)由于煩人的騷擾電話，身邊的不少朋友幾年要換一次手機(jī)號(hào)。當(dāng)然，中國(guó)的監(jiān)管者也有“重拳出擊”達(dá)到顯赫效果的案例，比如治理酒駕。任何從海外回來(lái)的人， 都會(huì)納悶， 為什么一向以不遵守規(guī)則的中國(guó)人，飯桌上談到酒駕就聞虎變色，變得循規(guī)蹈矩。這都要?dú)w功于公安部采用的，從外國(guó)人角度來(lái)看幾近苛刻的，查處酒駕治理方法。

　　酒駕和個(gè)人信息泄露，前者是烈性毒藥，車禍的后果害人害己，人命關(guān)天，引起高度重視; 后者是慢性毒藥，在社會(huì)蔓延開(kāi)來(lái)一點(diǎn)點(diǎn)毒害人民財(cái)產(chǎn)權(quán)隱私權(quán)，積累到最后出了人命，爆發(fā)出類似“徐玉玉”的事件，才引起關(guān)注和重視。 不知道需要多少個(gè)“徐玉玉”才能讓監(jiān)管真正花大力治理?靠人命來(lái)推動(dòng)立法的真正執(zhí)行，這樣的代價(jià)值得嗎?難道不能一開(kāi)始就避免嗎?

　　互聯(lián)網(wǎng)金融信息安全標(biāo)準(zhǔn)的缺失，也是企業(yè)不作為的原因之一。 很多企業(yè)有實(shí)力也有意愿， 卻苦于沒(méi)有一套公認(rèn)的標(biāo)準(zhǔn)來(lái)參照和衡量 。政府應(yīng)該引導(dǎo)參與各方，盡快出臺(tái)信息安全標(biāo)準(zhǔn)。這不僅讓企業(yè)有標(biāo)準(zhǔn)可以依，也能幫助監(jiān)管機(jī)構(gòu)評(píng)估企業(yè)風(fēng)險(xiǎn)，批準(zhǔn)企業(yè)注冊(cè)，決定懲罰程度等等。 可喜的是，在筆者9月份拜訪央行，參加中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)的一次閉門(mén)座談會(huì)上， 李東榮會(huì)長(zhǎng)和陸書(shū)春秘書(shū)長(zhǎng)多次提到協(xié)會(huì)高度關(guān)注信息安全并致力于推動(dòng)行業(yè)的標(biāo)準(zhǔn)。期待這一標(biāo)準(zhǔn)能盡快出臺(tái)。

　　作為互聯(lián)網(wǎng)金融的主體，企業(yè)保護(hù)信息安全責(zé)無(wú)旁貸?；ヂ?lián)網(wǎng)金融企業(yè)在信息安全保護(hù)上，遠(yuǎn)遠(yuǎn)不夠。目前互聯(lián)網(wǎng)金融企業(yè)，沒(méi)有多少企業(yè)是達(dá)到銀行信息安全及格線的。

　　比如筆者以前在華爾街投行上班，工作用電腦光盤(pán)和USB是被技術(shù)限制無(wú)法使用的，裝任何軟件都要技術(shù)部門(mén)評(píng)估批準(zhǔn)， 即時(shí)通訊軟件是內(nèi)部專用而不是微信QQ等外部軟件，私人電腦是不允許存任何工作資料，要在家里工作只能經(jīng)過(guò)繁瑣的硬件和軟件密碼遠(yuǎn)程連上公司內(nèi)部電腦，需要給外部發(fā)郵件若含有附件數(shù)據(jù)，是必須加密且只能發(fā)給非私人郵箱。

　　有一次筆者發(fā)附件給客戶群，其中一個(gè)客戶使用個(gè)人郵箱，發(fā)信后技術(shù)部門(mén)立即電話來(lái)了，要求筆者解釋，否則該郵件將被攔截。

　　當(dāng)然，以國(guó)際投行的信息安全標(biāo)準(zhǔn)要求也許過(guò)高，但是互聯(lián)網(wǎng)金融公司既然是用技術(shù)從事金融活動(dòng)，基本的金融信息安全還是必須達(dá)標(biāo)的。這里銀行的很多做法可以參考，比如管理層的重視，資金人才和安全系統(tǒng)的投入，內(nèi)部流程的管控，信息的加密和使用的隔離，人員的培訓(xùn)等。還可以借助第三方監(jiān)測(cè)機(jī)構(gòu)，主動(dòng)對(duì)系統(tǒng)的信息安全性進(jìn)行全方位的考核和監(jiān)督。

　　最后，互聯(lián)網(wǎng)金融企業(yè)在遭受信息盜用的時(shí)候，有義務(wù)按規(guī)定通知受害的用戶，披露給監(jiān)管單位，而不能遮遮掩掩，用錢(qián)私了。這樣不僅違反信息披露法規(guī)，損害客戶的利益，而且也助長(zhǎng)了不法分子的囂張勢(shì)頭。

　　個(gè)人在信息安全保護(hù)里是最無(wú)助的受害者，但卻也不是只能束手待斃。為了維護(hù)每個(gè)人的切身利益，我們應(yīng)該有更多人挺身而出，積極行使人民當(dāng)家做主的權(quán)利，讓各級(jí)人大代表向政府傳達(dá)我們的強(qiáng)烈保護(hù)信息安全的呼聲。 同時(shí)我們作為客戶還可以用腳投票，堅(jiān)決不成為不重視信息保護(hù)的企業(yè)的客戶。 最后，我們要敢于和不法分子做斗爭(zhēng)，遇到不法分子和企業(yè)盜用販賣信息，不僅不參與，還要檢舉揭發(fā)，懲惡揚(yáng)善，盡自己一點(diǎn)微薄的力量。

　　在互聯(lián)網(wǎng)金融的資金安全已經(jīng)被重視，信息安全也應(yīng)該逐步完善規(guī)范和有效執(zhí)行。 監(jiān)管機(jī)關(guān)，互聯(lián)網(wǎng)金融企業(yè)，第三方機(jī)構(gòu)和個(gè)人，只有所有參與者齊心協(xié)力，才能贏得互聯(lián)網(wǎng)金融信息安全這場(chǎng)戰(zhàn)爭(zhēng)。