涉事股份行的深夜致歉和员工追责,非但不意味着事件落幕,反而让银行未经当事用户个人允许、调取工资流水这一事情落下实锤。很明显,这次信息泄露事件是该股份行基层职员的职业失范行为。
近年来,随着银行线下业务线上化、与流量方边界日益拓宽等新变化,对外包研发、测试的管理不当,生产环境暴露、数据库过度授权等问题,都给银行数据安全管理带来新挑战。金融机构尤其是银行的信息安全等级最为严格,一方面是监管指引高标准要求,且有严格日常督查管理制度,另一方面也是由其业务属性决定。对银行来说,客户账户信息是核心商业价值要素之一,银行必然会投入大量人力、物力做相关保障,大中型银行也具备强大技术团队和实力。
正是因为这些元素的背书,普通民众会对银行放心,视银行为金融数据安全的可靠防火墙。截至2019年底,我国开立银行账户113.52亿户,全国人均拥有银行账户数达8.09户。金融数据覆盖人群、牵涉产业面广,其中又以银行方面数据为甚。按央行此前明确规定,个人账户账号、余额、账户交易信息都属于典型的“个人金融信息”,同时按重要性等级由高到低分c3、c2、c1三个类别,相对应信息安全保护及管理的具体规范指引。由此看来,银行为用户信息保密,应该是一个“简单而基本”的职业素养守则。正因如此,该事件被广泛传播后让不少人闻之心惊:已有明文规定的隐私管理都被置若罔闻,遑论其他方面的信息管理,会不会潜伏更大的漏洞?
去年以来,监管部门密集出台关于数据安全管理办法、app违规收集使用个人信息行为认定方法等多项征求意见稿及草案。可以看到,国家层面对个人信息数据管理的系统性整治规范是大势所趋。眼下该股份行事件暴露出的流程漏洞,势必将加速监管方面对金融机构个人信息安全的排查监管。