系统维护不给提现处理方法 程琳:个人信息保护与互联网金融安全
个人信息保护与互联网金融安全
〔作者简介〕程琳,中国警察法学研究会会长,原中国人民公安大学党委书记、校长。
〔原文标题〕本文为2017全球未来网络发展峰会 互联网金融安全论坛的主题报告,感谢作者授权推送!
互联网经过几十年出现了爆炸式发展,互联网已涉及国家的政治、经济、国防、商务、金融、文化、社会管理等多个重大领域。互联网已不再是什么虚拟社会,已是现实社会的重要组成部分,成为独具特色的网络社会,对互联网的未知远远大于已知。大数据、云计算、物联网、人工智能等新技术新应用不断发展涌现,互联网的发展变化更是日新月异。随着互联网+的广泛深入推进,客观要求我们努力探索互联网的新特点、新规律、新技术、新方法、新措施、新机制等。
“互联网+”代表一种新的经济形态,即充分发挥互联网在生产要素配置中的优化和集成作用,将互联网的创新成果深度融合于经济社会各领域之中,提高实体经济的创新力和生产力,形成更广泛的以互联网为基础设施和实现工具的经济发展新形态。
近几年来,互联网+金融得到飞速发展,从银行储蓄卡信用卡到网络第三方支付,从有线网络到无线网络手机支付,从银行柜台办理现金金融业务到个人通过手机办理资金支付业务,货币从纸质走向数字化等,互联网新兴金融业态不断涌现,金融业数字化、信息化、综合化经营渐成趋势。手机扫二维码支付已成为一种消费新常态,手机成了人们的“钱包”,中国已逐步跨入“无现金社会”。互联网金融业给人们的学习、工作、生活等带来了很大的方便,人们都积极的参与推动着互联网+金融业务的快速发展。同时,互联网+金融也带来很大的风险,互联网存在的安全问题也影响到互联网金融的安全,特别是互联网金融的应用与个人身份证、手机号码等信息紧紧地捆绑在一起,个人信息安全问题必然影响到互联网金融安全,保护个人身份证和手机电话号码等信息的安全,对保障互联网金融的安全显得十分重要。传统的金融行业既属高风险的行业之一,随着互联网金融的兴起和广泛应用,特别是手机等移动网络在金融系统的普遍应用,移动网络存在的安全问题,通过互联网金融转移影响并极大的催化金融风险,使原有的金融风险出现新的更大的互联网金融安全风险生态。目前的互联网金融究竟蕴涵隐藏着多少多大的金融安全风险,估计没有多少人能搞清楚,如果互联网金融一旦出现重大安全风险,它所造成的损失危害,要比传统金融业更大。因互联网金融是互联互通,它的损害可能不是一站一点、而可能是一块一片,使金融系统混乱、停业或有的银行倒闭,可能还会引发金融危机,影响国家的政治、经济、社会稳定安全等。
因此,我们在大力推广应用互联网+金融时,应该认真全面的研究互联网金融的特点规律,充分发挥互联网金融优势,缜密地研究互联网金融存在和可能出现的安全风险等问题,将互联网金融应用与安全同步推进,切实搞好互联网金融安全的顶层设计、统筹规划,建好互联网金融安全保障体系,把互联网金融可能出现的风险降到最小最低,在技术安全和管理安全保障上下功夫,使互联网金融蓬勃、顺利、健康、安全地发展。
互联网金融存在的安全风险是多方面的,比如,《参考消息》2017年4月17日报道,黑客组织曝光,美国国家安全局曾入侵环球银行间金融协会(swift)系统,每天全球都有成千上万的金融机构通过该系统的国际金融网络进行交易,如果能够入侵供应商的系统,同样可以入侵所有客户的系统。5月12日在全球发生的‘想哭’勒索病毒入侵160多个国家、30多万台电脑,对许多行业、单位及个人造成非常严重或无法挽回的损失,这再次说明互联网金融存在的严重安全问题和风险。本文主要从个人信息保护对互联网金融安全的影响的角度谈点看法,供大家参考。
一、身份证等个人信息管访谈理使用的漏洞对互联网金融安全的影响
在我们日常的学习、工作、商务、社交等交流活动中许多事都离不开身份证、手机电话号码或住址等个人信息,因为这是证实个人身份和联系方式的证明和手段。所以,在组织和个人采集我们个人的这些信息时大家都习以为常,很少有人提出质疑或拒绝,没有感到这些信息对自己安全的重要性,一旦泄露可能带来的风险和危害,没有安全风险意识。目前收集、储存、使用、转让个人身份证、手机电话号码等个人信息已经普遍甚至到了泛滥的程度,办什么事都要身份证和手机电话号码等。比如,到某商场去买东西时,达到一定金额后可给一小时两小时的免费停车券,当你去领免费停车券时,要求你先成为商场的会员,要加入会员就要登记身份证、手机号码等,否则就不给免费停车券;再比如网上订送餐、滴滴打车、共享单车、婴幼儿学习等,都要收集身份证和手机电话号码等个人信息,而采集这些个人信息的组织或个人也不管是否有必要收集,是否有权利收集,却都在收集等,这些组织对收集到的个人信息如何进行管理、储存、使用等,以及从技术上和管理上如何保障安全,缺乏明确的管理制度办法和监督制约机制,国家也没有明确具体的政策法规,因而身份证和手机电话号码等个人信息被泄露、买卖、伪造等层出不穷。今年3月份,在公安部统一指挥下,北京,安徽等十四个省直辖市公安机关打掉一个利用从互联网上窃取的各类个人注册信息等,复制银行卡实施盗刷银行卡的违法犯罪团伙,从一名主犯的电脑中查获储存的个人信息50亿条,涉及银行、交通、物流、医疗、社交等公民各类个人信息。从此案中就可以看出公民个人信息的收集、储存、管理、应用等涉及面广、混乱和严重,对互联网金融安全等造成严重的问题和损害,存在重大的安全隐患。
二、犯罪分子利用各种非法手段窃取的个人信息对互联网金融安全的影响
过去我们对网络是重建设轻应用,近些年注意网络应用,但对网络安全重视不够,网络安全技术是网络应用的伴生和后缀技术,一个网络应用系统由于在开始规划设计时就没有对应用功能和安全做好顶层设计、统筹规划,应用功能不断增加使系统架构成了一个“葡萄串”,应用功能好比葡萄珠,葡萄珠之间出现了缝隙漏洞,这就为犯罪分子提供了攻击的机会,因为打补丁是在漏洞问题出现之后才进行的,属于“亡羊补牢”。互联网金融的安全风险问题特别是利用手机进行第三方支付等,更加催化和加重了互联网金融的安全风险问题。犯罪分子就是利用这些漏洞采取各种非法手段,窃取公民个人身份等信息进行金融盗窃诈骗等违法犯罪活动。
一是给普通pos机中安装能够测录银行卡磁道信息及支付密码的芯片盗取个人信息。在银行卡持有者刷卡时犯罪嫌疑人从而盗取银行卡上的个人数据信息和密码,然后据此制作银行伪卡,甚至在境外制作伪卡。
二是在二维码中植入木马病毒。当用户不加区别随便扫描或者识别二维码时,就可能打开一个木马程序或一个钓鱼网站,犯罪嫌疑人从而利用盗窃的用户个人身份信息进行银行账户转账或从银行卡中提现。由于二维码制作和发布方式简单,没有任何组织或个人审核把关,又容易伪装,使用户很容易上当受骗。
三是利用“撞库”窃取个人身份信息。犯罪分子利用在网上窃取的用户名、密码、邮箱、身份证号、手机号码、邮寄地址等个人数据信息,建成了庞大的数据库,由于许多用户在不同的网站使用相同的账号和密码,不同银行卡却使用相同的密码,犯罪分子利用在某一网站盗取的用户账号和密码去“撞库”攻击登陆用户在另一网站的账户,从而进行互联网金融违法犯罪活动。
四是利用手机木马登录他人微信或支付宝账户窃取个人信息,将资金转入自己账户。嫌疑人在其开办的钓鱼网站以推广微信为名,将木马软件设置在其开办的钓鱼网站的二维码中,在被害人扫描二维码后而中招;或通过手机木马软件将用户获取的手机验证短信自动发送到犯罪嫌疑人特定的手机号码上,从而获取短信验证码,登录被害人微信、支付宝等账户,轻松地将被害人资金转入自己的账户。
五是利用从网上下载的抓包软件或手机模拟器等技术手段将交易价格由高改低后支付。犯罪嫌疑人通过技术手段发现网站平台系统漏洞,通过拦截交易参数后修改交易价格参数,将价格修改低价后交付。如一起案件将售价338元至588元的哈根达斯月饼修改成0.01元而买到,商家损失50多万元; 有的在手机模拟器中打开电话费充值页面,用抓包软件拦截话费充值页面上的数据,将需支付的500元篡改成0.01元,支付成功后即到账话费500元。其中一起案件盗刷51笔,共2万多元电话费。
六是利用“伪基站”发送含钓鱼网站的短信实施银行卡盗用、欺诈等犯罪活动。 伪基站主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的手机卡信息,然后任意冒用他人手机号码强制向用户手机发送诈骗广告、推销钓鱼网站短信实施银行卡盗用等犯罪。“伪基站”由过去车载到现在体积越来越小,公安部在电视台提示大家要注意“背包客”,伪基站就装在犯罪嫌疑人的背包中,有的通过手机APP操作完成短信内容的编辑,在人群密集处向周围人发送大量诈骗短信。
七是利用“猫池”实施同步拨打电话或发短信实施诈骗获取个人信息等。所谓“猫池”,就是与普通路由器相似的黑色盒子,盒子上方有多个可以插入手机SIM卡的卡槽,犯罪嫌疑人将大量SIM卡插进卡槽,随着卡槽上方指示灯闪烁,“猫池”就可以同时向多个手机发送短信和语音呼叫,成功后窃取个人信息进行诈骗等。“猫池”是一种扩充电话通信带宽和目标对象装备的别称,可同步拨打大量用户电话号码,提高拨打环节效率,集群发布,使用方便,成本低廉。
八是利用“改号软件”冒充公安、检察院、法院、银行或信用卡客服进行诈骗获取个人信息,然后把受骗人个人银行资金转移到犯罪嫌疑人指定的账户实施诈骗盗窃犯罪。犯罪嫌疑人主要是通过从网上下载购买的改号软件,可将自己的号码改成110报警或银行客服电话号码等使受害人上当受骗。
九是利用钓鱼网站(已植入木马程序)骗取用户个人身份证、账号密码等信息,通过银行转账、第三方支付、手机充值等方式盗窃用户资金。钓鱼网站主要有:冒充电商网站或品牌官网发布虚假购物信息,冒充单位或某人身份骗取用户个人信息,诱导用户下载木马病毒软件等;如抢红包应用、设置wifi热点引诱用户手机连接并点击银行网站等钓鱼网站,直接窃取用户个人身份信息、支付宝账号、银行卡密码等信息进行犯罪活动。
十是利用在网上购买的公民身份证、银行卡、手机号码等信息,在中国银联等网站批量注册为用户,非法获取网站奖励的银联红包,再将银联红包用于京东商城、国美黄金等购物返现金。
从以上可以看出,犯罪分子进行电信互联网金融诈骗窃取资金的手段方法多种多样,防不胜防,但其中很重要的一条就是大多数都与个人身份证、手机电话号码等信息泄漏有关,最终目的是盗窃骗取受害人的钱,给公民个人和银行金融业造成很大损失危害,以及正常的金融秩序。同时由于互联网金融技术安全保障体系在设计架构和应用程序等方面存在一定的技术漏洞,给不法分子留下可乘之机。
三、侦查取证盗取个人信息的犯罪难对互联网金融安全的影响
面对诈骗盗取个人信息进行互联网金融犯罪严重及呈上升发展趋势,必须加强网络安全技术和安全管理防范保障,同时必须严厉打击此类犯罪,遏制犯罪上升的势头。但在侦查取证打击此类犯罪方面存在很大难度。由于网络犯罪的最大特点是具有隐秘性、匿名性、便捷性、快速性、专业性、组织性、宽域性、跨国境性等,犯罪人员年轻化、知识化、智能化、技术化,犯罪成本低、易聚易散、利用网络勾连,互不见面等,造成了侦查、发现、取证、打击违法犯罪难。
1、发现难:个人信息被盗和银行卡等资金被划转,往往是受害人报案才发现,很少是互联网金融系统从技术上和管理上首先发现犯罪线索、证据,这与银行系统设计的支付程序有很大关系。如用户只要在手机端APP上提交申请所需的身份证和手机号码信息,并绑定银行卡就可开通第三方支付,用手机直接操作交易,实际是用匿名方式进行,很难确定账户实际使用者是否为申请者本人,如被犯罪分子盗用受害人支付账户,侦查发现很难。
2、取证难:对个人信息被盗窃并利用进行互联网金融犯罪,还没有明确规定的犯罪取证标准和程序规范,加上互联网金融都是在网上交易,资金转移快、存证少,用户通过网络支付结算,只有业务流水和分户账,交易记录无纸化,几乎不会像传统金融会留下笔迹、签字证明等纸质材料作为书证、物证,侦查取证难。
3、鉴定难:互联网金融犯罪和盗取个人信息主要是电子数据信息,如果被删除或损坏硬盘等,加上对犯罪电子数据的鉴定技术往往落后于犯罪分子使用的技术手段,同时对犯罪电子数据鉴定材料的运送、保管、鉴定、操作程序、证据获取等缺乏法律规范等。
4、保全难:互联网金融电子犯罪数据、图像等,在取证、运送、鉴定的过程中,操作稍有不慎、不准、不规范,一键即可破坏或删除,甚至被销毁,被转移到不知何处,保护数据信息的原始状态难。
5、处罚难:盗窃、泄露、买卖、使用他人信息并进行互联网金融犯罪,还缺少系统的、具体的能够进行依法处罚的法律法规。今年3月8日全国人大通过的民法总则第111条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖,提供或者公开他人个人信息,这无疑对保护个人信息筑起了法律屏障,以及打击此类犯罪的依据。但哪些组织和个人在什么情况可以收集、使用、买卖、传输个人信息还需制定法律明确,对非法获取个人信息进行互联网金融犯罪等如何依法处罚还需进一步用法律明确规定。
6、国际执法合作难:利用非法获取的个人信息进行互联网金融犯罪,由于犯罪嫌疑人利用国(境)外的服务器、网站进行犯罪或将非法获取的资金通过网络转移到国(境)外,许多犯罪嫌疑人隐身在国(境)之外,甚至游走在数个国家之间,即使抓获犯罪嫌疑人,诈骗窃取的资金也难以从国(境)外追回,因为各国(境)的政治、法律、理念等不同,跨国境侦查取证、合作打击处罚难。
四、加强个人信息保护,建立完善互联网金融安全保障体系
1.建立和完善互联网金融法律法规及内部管理安全保障体系。根据民法总则第111条规定,建议国家制定《个人信息隐私保护法》。依法明确个人信息所有者的权益,哪些组织和个人在什么情况下可以收集、使用、加工、传输个人信息,依法明确组织和个人对采集、收集、使用、储存、加工、传输、管理及发布个人信息的职责权限和法律责任,对违法违规者依法严惩,以保护个人信息的安全,防止和减少被犯罪分子利用进行互联网金融犯罪。制定、修改、完善与互联网金融安全相关的法律法规,建立依法依规保障体系,严历依法依规打击互联网金融违法犯罪,保证互联网金融安全。要制定严格的互联网金融准入标准和条件。明确银行金融、公安、网信、网络运营商等部门、组织在保护个人信息和保障互联网金融安全方面的职责,各负其责,加强协调配合。加强国际合作,建立国家之间的双边、或多边合作机制,充分发挥联合国相关组织特别是国际刑警组织的作用,合作打击跨国(境)的互联网金融犯罪,共同维护互联网金融良好秩序和安全。
2.搞好互联网金融技术安全顶层设计,搭建好技术安全保障体系。根据互联网金融特别是移动网络、手机第三方支付等特点,抓好芯片、操作系统、基础设备设施等核心关键技术的自主创新研发。通过网上异常特征、异常行为轨迹,报警人提供的QQ号码、银行卡号和手机号等留下的网络痕迹和资金流向的痕迹,发现犯罪线索和证据等,从预防保护技术、预警技术、应急处置技术、控制技术等方面建好技术安全保障体系;建立有线、无线网络有机融合的互联网金融安全体系;健全互联网金融内部技术安全监管体系,防止内部人员特别是网管员(“内鬼”)窃取、买卖掌握的个人信息等。不断提高加密技术和电子签名技术水平,加强密钥管理等。加强计算机等级保护规定的落实,及时发现和修补漏洞,及时处置不法损害。建立互联网金融犯罪技术手段方法数据信息库,做好犯罪防护工作。建立“黑名单库”,列入“黑名单者”拒绝其进行互联网金融交易。尽快建立网络社会特别是互联网金融诚信体系,对失信者予以严厉惩处。认真落实好网络和手机实名制,建立身份证、手机电话号码查验识别体系。 建立互联网金融身份证信息与公安部身份证中心个人身份比对识别查验系统,保证个人身份真实性。从技术安全和管理安全上加强对第三方支付特别是利用手机等无线网络进行支付的安全管理,强化个人身份认证、支付限额等;认真落实好六部委联合发布的《关于防范和打击电信网络诈骗犯罪的通告》,根据互联网金融犯罪的新特点,从技术安全和管理安全上进一步提高防范打击的技术水平,完善制度法规等。建立互联网金融信息与技防、物防和人防相结合的综合治理保障体系。
3.加强个人信息保护和保障互联网安全金融安全的宣传教育,提高人们的防范意识和能力。通过各种媒体网络宣传依法保护个人信息的重要性和树立防范个人信息被非法采集、传播等思想意识;宣传互联网金融的特点、优势和不足,让人们了解并学会安全应用;宣传犯罪分子利用诈骗盗取个人信息进行互联网金融犯罪的技术手段和方法,提高人们预防和处理此类犯罪的意识和能力;宣传依法对窃取个人信息及进行互联网金融犯罪的打击处罚案例,起到预防、震慑、减少此类犯罪的作用。将网络安全人人有责、人人负责、从我做起的思想贯彻在人们的思想之中,落实在行动上,共同筑起网络安全的防火墙,保护好个人信息安全,保障互联网金融用户合法权益,保障互联网金融不断创新、繁荣、有序、顺利、健康、安全地发展。