通付盾研究报告，《金融隐私保护问题分析及对策》

二是市场层面，金融隐私信息背后存在着黑色利益产业链。金融隐私信息买卖的市场需求巨大、经济利益丰厚，不法分子为了牟利，建立起了完整的用户信息非法交易的黑色产业链条。在这些非法交易产业链上，部分买家来自于保险公司、P2P等金融类机构，卖家则多来自于银行、软件企业、电子商务企业、咨询公司、调研机构等不同行业的企业，以及从事网络黑产的“黑客”等。

三是技术层面，大量新技术、新应用，给金融隐私的保护带来了更多的风险挑战。比如，基于人工智能和生物识别技术的人脸识别支付面临人脸仿冒的风险，目前利用3D打印技术可以制作模拟他人的“人脸”;各类金融App存在高危漏洞、被植入后门程序以及隐蔽收集用户信息的安全风险;物联网、大数据及云计算技术同样会给金融隐私带来各类威胁，尤其是数据存储服务器常常是黑客攻击的重点目标。

四是企业经营层面，对隐私安全问题重视程度不够。国内的多数金融企业没有充分认识到金融信息安全威胁及危害的严重性。存在信息安全管理不严格，金融产品开发与信息安全保护不同步，金融企业的应急处置能力明显不足等问题。此外，还有不少金融企业在金融信息安全保护方面存在数据分布零散化，未能实现集中管理，未能建立形成常态化数据风险管控机制等问题。

三、金融用户隐私保护对策建议

金融隐私信息的保护是一项系统工程，对于确保金融产业健康有序发展意义重大，需要加强顶层设计，统筹谋划，从法律、监管、技术防护等多个方面精准施策。

（一）进一步完备金融隐私安全保护的法律体系

对标国际金融隐私保护的法律制度体系，尽快出台符合中国国情的专门金融隐私保护法律法规，补齐法律短板和空白点，推进金融隐私信息的专门化、系统化保护。结合金融互联网化的发展趋势和特点，在法律层面上更加全面准确地界定金融隐私信息的定义及内涵，明确其法律地位、权利属性以及金融企业、金融用户等不同主体在收集使用等过程中所要遵循的原则。细化金融企业、相关网络运营商、服务商、金融企业客户、普通民众等在金融隐私保护方面的责任义务，明确追责的内容和规定条款，使金融隐私保护切实做到有法可依、有法必依。

（二）严密金融隐私保护的技术防护措施

由于金融隐私信息存在于相关数据的收集、传输、存储、使用、删除、销毁等生命周期，相应的技术防护措施要全面覆盖各个环节，做到万无一失。金融机构推出相关金融产品和服务，应该按照“责权一致、目的明确、选择同意、最少够用、公开透明、主体参与、确保安全”的原则，设计并实施金融隐私数据的技术安全防护策略。不断丰富金融隐私保护的技术手段，有效破解重点难点问题，为金融信息安全提供更加有力的支撑和服务。

（三）推动金融机构进一步加强金融隐私保护制度建设

规范金融隐私信息的保护管理规定，细化日常操作流程、应急处理流程和预案，完善内部检查及监督机制。严格金融隐私数据的收集、存储和使用的要求，收集隐私信息遵循最小化原则。在境内提供金融产品或服务过程中收集产生的金融隐私数据，应当在境内存储、处理和分析，确因业务需要，要向境外提供隐私信息的，应符合国家有关法律法规规定和有关管理部门的政策。企业间共享数据，应该进行安全防护能力的评估，并签署数据保护责任书。建立金融隐私信息的安全评估制度，定期进行安全风险评估和检查，及时调整安全防护策略和措施。

（四）建立完善金融隐私保护监管体系

成立专门金融隐私监督机构或归口指定相关职能机构，专职负责全国金融产业隐私信息的安全监管。创新监管模式，由以往事中、事后监管积极向事前监管转换。进一步明确金融企业保护金融隐私的责任和义务，督导金融企业加强金融隐私保护的建设和投入，进一步严密金融隐私保护制度和措施。针对风控行业的数据隐私问题，建议将风险控制业务纳入个人征信业务予以监管，加大对违规采集、使用个人征信信息的惩处力度。

（五）依法整治金融隐私信息交易背后的黑色产业链

建议相关职能部门加强对金融隐私交易黑色产业链的打击，组织开展打击整治专项行动，涉嫌违法的组织机构由行业主管部门严肃处理，涉及犯罪的人员由公安机关立案侦查。加强法制宣传教育，通过典型案例宣传，及时曝光利用金融隐私非法牟利的违法犯罪事实，震慑不法分子，并以此教育提醒金融企业加强隐私信息保护，增强民众的隐私保护意识，不给金融隐私信息交易的“灰色产业链”提供生存的社会土壤。

通付盾经过深入研究各项App隐私合规规范/指南，自研合规检测产品，采用基于以符号执行为核心的静态分析引擎和以运行态沙盒为核心的动态检测引擎，对移动应用使用全过程进行隐私合规性全面检查，旨在帮助用户快速、准确地检测App中存在的敏感权限调用，及时进行整改，保证App隐私安全。

（编辑：焦作站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!