摘要:笔者回忆了近期涉及个人信息的事项,想起来注册了一家网贷平台。会不会这家网贷平台泄露了号码?
作者:李利军
先来看一则令人哭笑不得的新闻。
据媒体报道,南宁的谢先生近日向当地食药监部门举报“吃旺旺雪饼运气没有变旺”,认为对方“虚假宣传”。可是这封举报函却莫名泄露到网上,一并泄露的还有他在举报函中留下的个人信息和联系方式。之后不断有人发短信嘲笑谢先生,而且身边人很多也都知道他写了这样的举报函,他的生活被嘲笑和戏弄笼罩着。
数据泄露让谢先生着实苦恼。这样的事儿在生活中不少见,中国互联网协会发布的《网民权益保护调查报告(2015)》显示,78.2%的网民个人身份信息被泄露过、63.4%的网民个人网上活动信息被泄露过。笔者也曾和一位打来骚扰电话的“工作人员”聊电得知,自己的电话号码是他们在网上购买的,而笔者的号码最近刚刚更新到他们的名单上。
笔者回忆了近期涉及个人信息的事项,想起来注册了一家网贷平台。会不会这家网贷平台泄露了号码?
这两天,一篇署名作者为互联网金融千人会联合创始人,原翼龙贷副总裁蔡凯龙的《P2P平台客户资料打包价95万互联网金融信息安全现状堪忧》文章引发关注。信息泄露的社会毒瘤,已经蔓延到互联网金融领域。
蔡凯龙在文中称,一位陌生人微信向他说,“打包价95万元, 上海第一阵容互联网金融公司数据,超百万份客户资料。”“知名的上海P2P平台,数据都是9月初最新的”“姓名,id,身份证,电话,成交所有数据等”。这让他感到担忧。
而他的担忧不无道理。8月19日,移动互联网系统与应用安全国家工程实验室发布了《移动互联网金融APP信息安全现状白皮书》。参与白皮书撰写的作者朱易翔表示,测试发现,参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。
对于这样的测试结果,曾经的行来从业者蔡凯龙并不意外。他表示,很多一线平台在技术上投入不够,管理层对信息安全重视严重不足。中小平台在安全技术上更加薄弱,很多都是购买通用开源代码模板或者外包。互联网金融业漠视信息安全的现状埋下了众多隐患。
在大数据时代,“数据是核心竞争力”已经成为互金企业之共识。然而,个人隐私数据的保护也容不得半年马虎。几个月前,年轻的徐玉玉因为个人信息被不法分子盗窃,导致被骗学费而失去宝贵生命,引发全社会广泛关注。
但反观当下的互金公司,其管理数据的能力还有待提升。中国信息通信研究院信息产业通信软件评测中心在今年8月公布的《2015-2016移动互联网金融APP信息安全现状白皮书》显示,互联网金融APP普遍存在加密算法的误用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄露等几个方面的问题。这些问题极易被网络黑客利用,而导致用户信息的大面积泄露。
除了黑客攻击,内部人员离职后泄露客户信息的现象也对用户隐私构成威胁。据澎湃新闻报道,一位网络炒股软件公司员工称,曾有多位该软件用户向公司举报遭到同类产品推销电话骚扰。经查证后发现,原因是一位内部销售员在离职后,将自己负责的用户通讯录卖给对手公司,后来该软件公司作报警处理。
数据管理是互金行业成长中必须夯实的一个基础。除了数据泄露风险外,个人数据采集工作也让这些公司接受着考验。
一面是目前国内征信体系还不完善,央行征信系统还未正式接入互联网金融行业,而基于社交网络信息、网购信息等集合而成的征信信息将越来越多地应用到征信进程中,依靠大数据多维度交叉验证便成为消费金融机构降低业务风险的有效方式。
而另一面是,如何合法合理地采集和应用这些数据,并且避免将这些采用来的数据随意转移和泄露,也考验着平台的实力和管理。
对于如何看待抓取或者催收数据的合法性,在近日融360举办的第二届普惠金融CRO全球峰会“行业合规与数据安全论坛”上,汇法网、催天下创始人邱靖认为,目前国内个人隐私的保护的规定,是散落在相应的一些法律规范当中。现在的法律只是说会禁止非法获取数据以及说禁止非法的使用数据,但界定是不是合法,以及存不存在非法还有待明确。
平安集团合规部副总经理雷志凌表示,呼吁立法规范数据的应用及采集。
至于怎么把隐私泄露的可能性降到最低?百融金服副总裁熊薇认为,企业要从三层面来进行设计:
首先应该用技术手段,包括物理环境、系统架构等方面;第二是ISO等各种认证体系方面的搭建;第三是制度层面,一些数据要分层,即使出现数据泄露,泄露出去的数据也是支离破碎的,很难拼成完整的数据信息。
北京大成律师事务所高级律师肖飒撰文称,保护公民信息制度化是破解公民信息泄露引发合规纠纷的关键所在。
肖飒表示,互金企业应依照国家质量监督检验检疫总局、国家标准化管理委员会颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》、工信部颁布的《电信和互联网用户个人信息保护规定》制定用户信息保护制度。必要时,可以聘用律师制定相关制度以确保合规性。同时,保护公民信息制度化既是互金企业经营行为的合规标志,也是互金企业陷入侵犯公民个人信息指控之时的免责证据之一。
关心数据安全,也离不开我们每一位个体,不要随意留下自己的私人信息也十分重要,倒霉的谢先生可能是下一个你我,不要只想着他举报“旺旺”雪饼没有让运气变旺的事儿,当地食品监管局是怎么回应的?
据财新
网9月28日报道,工信部相关权威人士表示,P2P平台在电信部门需要办理《增值电信业务经营许可证》,在许可证的各项业务形态中,P2P对应的是确实是“在线数据处理与交易处理”一项,但该许可并不等同于此前纷传的EDI证(在线数据与交易处理许可证);此外,工信部尚未排除申请“互联网信息服务业务经营许可”,也即“ICP许可证”的可能性。
网络内容服务商英文为Internet Content Provider 简写为ICP。ICP证是指各地通信管理部门核发的《中华人民共和国电信与信息服务业务经营许可证》。国家对提供互联网信息服务的经营性ICP实行许可证制度(经营性ICP主要是指利用网上广告、代制作网页、出租服务器内存空间、主机托管、有偿提供特定信息内容、电子商务及其它网上应用服务等方式获得收入的ICP)。
自8月24日四部委联合发布《关于网络借贷信息中介业务管理暂行办法》(以下简称《暂定办法》)以来,主流舆论普遍认为P2P面前有三座大山:ICP认证、金融备案、资金银行存管。
目前P2P行业中已经获取ICP许可证的平台还不多,据不完全统计,在全国正常运营的2000多家平台中,有ICP经营许可证仅为5.73%,在已经与银行签订存管协议或联合存管协议的平台中也仅有40多家拿到了ICP证。之后有报道称,《暂行办法》颁布后,ICP认证的价格就开始水涨船高,中介价格甚至达到了100万元以上。
《北京商报》报道,苏宁金融研究院高级研究员薛洪言表示,相对ICP许可证,行业内获得EDI证的平台很少,基于合规的恐惧,行业内掀起了EDI牌照热不足为奇。不过,毕竟目前还没有正式渠道确认P2P运营究竟需要哪个证。EDI证的热度高涨,不排除有炒作的成分。
网贷之家分析师张天华向野马财经表示,监管细则是谈到要办相关的证件,但是目前还没有明确。
此前,澎湃新闻报道称,根据网贷监管细则,需要办理EDI认证,而不是此前传得沸沸扬扬的ICP认证。而此证的发放还要等银监会先下发《网络借贷资金存管业务指引》。这让已经花了大价钱求人办证的平台傻了眼。
分析来看,在《暂行办法》中明确提到“网络借贷信息中介机构完成地方金融监管部门备案登记后,应当按照通信主管部门的相关规定申请相应的电信业务经营许可;未按规定申请电信业务经营许可的,不得开展网络借贷信息中介业务。”
各家平台正是看到了这一条之后,开始争相办理ICP认证,可实际上,电信业务许可证是一个统称,里面还有很多不同的分类,ICP和EDI都属其中的分类。可两者意义截然不同:ICP是针对信息服务业务中的互联网信息服务,而EDI针对在线数据处理与交易处理业务。
在8月24日的举办的《网络借贷信息中介机构业务活动管理暂行办法》新闻发布会上,工信部在解读监管条例时表示网贷平台需要电信业务的经营许可。如,工信总信息通信管理局互联网处副处长现场表示,“事前,我们要做好电信业务的经营许可准入工作”,平台方在完成地方金融监管部门的备案登记后,要申请相应的电信业务经营许可,未按规定申请电信业务经营许可的,不得开展网络接待信息中介业务。工信部也没有明确说到底要办理哪个证件。
金投手董事长马俊湖向野马财经称,办理ICP许可证,或成为了网贷平台发展的一个分水岭。“许可证的申请程序比较严格,对企业资质要求较高,势必会有一大批企业在监管划定的硬性要求下,无法获得或达不到要求而选择退出。”
马俊湖称,ICP许可证是淘汰机制开启前的预警和信号。也就是说不符合这一要求,在规定期内没有拿到ICP的平台或面临清场出局,行业新一轮洗牌在即。
P2P的模式到底该办哪个证书呢?
据财
新网报道,工信部权威人士表示,办理“EDI的说法肯定是不准确的”,而且此前的市场解读存在着两个层面的误读。
第一个误读是,目前工信部尚未排除ICP许可的可能性,具体判断要等银监会下发《网络借贷备案登记指引》。该人士表示,在完成地方金融监管部门的等级备案后,P2P平台需要向地方通信管理局申请的许可证只有一个,即《增值电信业务经营许可证》;在许可证的各项业务形态中,P2P平台对应的应是“在线数据处理与交易处理”一项;但是,目前尚未排除申请“互联网信息服务业务经营许可”,也即“ICP证”的可能性。
第二个误读是,不能将“在线数据处理与交易处理”等同于EDI。据《电信业务分类目录(2015年版)》,EDI对应的“电子数据交换”,属于在线数据处理与交易处理业务中的一种。除了EDI,在线数据处理与交易助理业务还包括了交易处理业务、网络/电子设备数据处理等另外两项业务内容。该人士表示,P2P平台的业务形态更加倾向于其中的“交易处理业务”,而EDI一般对应的是海关、税务等处于国际标准数据格式的报表、保单业务,“跟P2P没有任何关系”。
此外,该人士建议平台到地方金融监管当局补办备案登记,再去地方信管局进行服务项目的变更。
目前,一些业内资深和知名的平台如人人贷、积木盒子、易通贷、宜人贷、爱钱进已经获得了ICP证。
签约平台的ICP经营性许可证情况
ICP许可证是对外合作的主要资质之一,在与银行谈存管等核心业务时,银行会要求P2P平台提供ICP经营许可证。
由此可知,P2P要越过ICP认证、金融备案、资金银行存管三座大山的顺序是,先办理金融备案,再办理ICP认证,最后再办理资金银行存管。
附:工信部发言现场的文字实录。
[主持人]:请工业和信息化部信息通信管理局互联网处徐强副处长跟大家介绍相关的情况。[15:59]
[徐强]:谢谢主持人,各位媒体朋友下午好![16:02]
[徐强]:网络借贷信息中介是和金融融合的产物,也是一个新的产业业态,它具备了线上与线下紧密结合的特点,这种产业监管的模式,不同于传统的互联网,政府部门都在鼓励创新的同时在进行探索规范管理。工信部是负责互联网行业管理的部门,之前与银监会这边密切配合,还有相关部委密切配合,参与起草了这个《办法》,并且充分征求和采纳了社会各界的意见。下一步我们也将继续与相关部门共同构建互联网+金融的多部门联合监管模式,促进行业持续健康发展。[16:02]
[徐强]:我这边简要的对《办法》当中涉及到工信部相关职责的条款进行一下说明。工信部在这项工作当中主要有三项工作:[16:02]
[徐强]:第一是事前,我们要做好电信业务的经营许可准入工作。《办法》第五条规定,网络借贷信息中介机构完成地方金融监管部门的备案登记后,应当按照通信主管部门的相关规定申请相应的电信业务经营许可,未按规定申请电信业务经营许可的,不得开展网络接待信息中介业务,工信部这边将组织各省、自治区、直辖市的通信管理局,具体的审批是在各地的管局,按照互联网信息服务管理办法,电信业务经营许可管理办法,等等这样的规定,来开展电信业务许可的审批。并且开展电信业务和信息安全的形势审查和实地抽查。二是落实网络实名制,加强中介机构的互联网基础管理。在相关的IP地址使用、域名注册、网站备案、电信业务许可等环节,进一步落实实名制登记,并要求提高实名制信息的准确率。[16:03]
[徐强]:第二部分事中过程当中我们要做好电信业务行业监管工作。一是做好网络安全和用户信息保护的监管工作。《办法》第18条、第31条都明确要求中介机构要遵守国家网络安全的相关规定,具备健全的安全设施和制度,定期开展安全评估工作。《办法》的第9条、第23条、第27条,要求中介机构确保用户及交易信息采集、处理、保存及使用等合法性和安全性,不得删除、篡改非法买卖或泄露用户信息。结合职能工信部将依据网络安全及用户信息保护的相关法律法规及相关的标准,指导并监管中介机构保障网络信息安全,对中介机构系统及网络进行安全定级备案,并开展风险评估,指导中介机构加强网络和系统的安全防护,强化网络数据安全和用户个人信息保护。[16:03]
[徐强]:第二部分提升技术支撑能力,按照国务院领导同志的要求,工信部正在建设国家互联网金融风险分析技术平台,并且将于近期成立技术专家委员会,通过加强监测、预警、取证、曝光等技术手段建设,提高数据分析能力,密切跟踪网络舆情及网站动态,为加强互联网行业管理提供技术支撑。[16:03]
[徐强]:第三要推进数据的协同共享。加强政府部门间的协调配合,进一步强化在数据共享、系统对接和信用体系建设等方面的合作,前期我们跟银监会这边也进行了探索和尝试,已经通过系统平台向银监会这边共享了两千余家“网贷”平台的主要信息。[16:03]
[徐强]:第三部分在事后,事后我们要做好违法违规的处置工作,工信部将结合相关的职责,配合相关部门做好违法违规中介机构的事后处置工作。一是对网络借贷引发的规模较大、影响较广的网络与数据安全事件,组织开展严重调查,依法处罚违法违规行为。二是对相关部门认定存在违法违规行为的中介机构平台网站和APP依法予以处置。[16:03]
来源:野马财经
