美国征信信息泄露事件对中国个人征信信息保护的启示

何 珊，马小林，李昕儒

(1.辽东学院 经济学院， 辽宁 丹东 118001；2.中国人民银行丹东市中心支行，辽宁 丹东 118000)

在美国，每年都有数以亿计的征信主体的信用记录被泄露，数据泄露事件数百起。在这些事件中，即使在数据泄露过程中没有任何涉及金融方面的信息被盗，不法分子依然可以利用社会保障号码和其他消费记录开立新的欺诈性金融账户，并从金融机构窃取资金，直接对公众的征信信息、财产安全以及金融机构和征信机构的信誉造成极大的不良影响。

IBM在2019年发布的全球数据泄露成本报告显示，近3年全球有超过117亿条征信数据遭到泄露，平均每次泄露事件造成的成本损失高达392万美元[1]。国家互联网应急中心2019年发布的《2019年中国互联网网络安全报告》显示，我国大量数据库存在数据泄露隐患，共涉及20 720个数据表、1 330 TB数据量、1.78万亿余条数据[2]。个人征信信息遭到泄露之后，将对个人的隐私、财产安全以及人身安全带来不利影响，因此，保障征信信息安全成为各国政府以及征信监管部门重点研究的问题之一。

一、美国南卡罗来纳州征信信息泄露事件及后续解决措施

(一)事件回顾

2012年10月26日，南卡罗来纳州财政部发表声明，称其数据库信息遭到攻击，造成该州380万个纳税人的社会保障号码被曝光、330万个银行账户信息遭到窃取。这起网络攻击是一位不知名的黑客发起的，其通过网络钓鱼技术获取工作人员的登录凭证，侵入数据库中的44个系统，窃取了75 GB的个人身份信息和持卡人数据。这是南卡罗来纳州发生的最大一起信息泄露事件，对南卡罗来纳州81%的居民造成不良影响。在该事件中，大多数居民的个人信息被泄露，部分居民的银行卡、信用卡信息也被泄露，少数居民由于银行信息被泄露造成了一定额度的资金损失。

(二)解决措施

该征信信息泄露事件发生之后，南卡罗来纳州财政部立即启动了一项行动，向信息被盗的居民提供信息查询服务，以降低居民因征信信息泄露而导致的任何潜在的身份被盗的可能性。除此之外，在美国，凡是1998年之后提交纳税申报单的居民都有资格通过益佰利的“身份保护”警报享受1年的免费信用监控。“身份保护”警报旨在检测、保护和解决潜在的身份盗用案件，并包括对益佰利、环联、艾可飞等3家征信机构的日常监控。通过注册“身份保护”警报，居民可以免费获得一份益佰利个人信用报告副本、每日信用监控以及高达100万美元的身份盗用保险，同时可以咨询欺诈解决专家。在1年免费期结束之后，南卡罗来纳州财政部建议受害居民在2013年1月1日之前通过访问益百利官方网站，或拨打专门为南卡罗来纳州征信信息泄露受害者指定的电话号码来申请“身份保护”警报将其纳入覆盖范围。截至2012年11月7日，益佰利呼叫中心已收到72.9万个求助电话，拥有69.3万个注册用户。南卡罗来纳州财政部还向居民介绍了其他保护身份的方法，包括定期审查信用报告和银行对账单、更换信用卡和借记卡、向3大信用机构之一提交警报和冻结信贷。在此期间，南卡罗来纳州财政部还将申请免费益百利信用监控的截止日期延长至2013年3月31日。从2013年10月24日开始，南卡罗来纳州财政部宣布将通过一家名为CSID的公司开始额外1年的免费信用监控，该产品只提供给电子报税人(因为后通过纸质方式提交纳税申报表的消费者不受影响)，之后，CSID信用监测计划的免费注册时间延长至2017年10月31日[3]。

二、我国个人征信信息泄露的原因

(一)不法黑客外部入侵

在中国，很多数据运营商的网络系统经常遭到不明黑客的恶意攻击，黑客通过解码、植入病毒、远程操控等方式向被攻击的计算机内植入木马，以获取系统的操控权，进而盗取系统内的机密文件、用户的资金账户、个人信息等数据。因此，黑客入侵是征信数据泄露的重要原因之一[4]。《腾讯安全 2019年度互联网安全报告》显示，截至2019年12月底，仍有79%的数据运营单位服务器终端上存在1个以上的高危漏洞未修复[2]。同时，目前仍有大量的数据运营单位资产开放了高危端口，除了22、3389等高危端口之外，还有较大比重的邮件服务、数据库服务等端口也暴露在公网上，给网络黑客带来可乘之机。2019年平均每周约有40%的数据运营单位发生过终端木马感染事件[2]。

(二)征信从业人员操作失误、职业道德缺失

互联网技术的高速发展使个人信息数据在互联网平台呈现互联、共享、开放等特点[5]。个人征信数据泄露的主要原因是公众在使用电商、电信、金融和教育等网络平台时，平台的从业人员在工作的过程中由于操作失误或为了谋取个人利益而恶意泄露用户的个人信息[6]。数据运营单位的从业人员在从事征信数据的采集、加工、处理和存储等过程中，可能由于工作失误，造成数据丢失、被外人拷贝、留存单据没有妥善处理等情况，使公众的个人信息遭到泄露。而征信从业人员因为个人利益，恶意将本单位的客户个人信息批量下载、贩卖，从中谋取巨额利益，这不仅会给个人信息安全和征信行业发展造成恶劣影响，而且属于违法行为，犯罪人员要接受法律的制裁[7]。

(三)公民个人信息保护意识不强

除了黑客恶意窃取信息和工作人员人为泄露信息之外，很多个人征信信息泄露事件是由于个人缺乏信息保护意识。中国互联网络信息中心(CNNIC)在2019年发布的第44次《中国互联网络发展状况统计报告》显示，截至2019年6月，我国网民规模达8.54亿，较2018年底增长2 598万，互联网普及率达61.2%，而目前我国网民的学历以中等教育水平为主，其中初中、高中(技校、中专)占比分别为37.8%和24.5%，受过大专、本科及以上教育的网民仅占8.7%和9.9%[8]。受教育水平偏低导致很多用户对于个人征信信息缺乏保护意识。用户身份证丢失而没有及时补办、银行卡丢失没有及时挂失、浏览不安全的网站导致计算机被植入病毒、点击违规平台发送的短信链接、在非官方网站下载应用软件等行为都有可能导致个人信息泄露。由于许多个人用户受教育水平较低，网络技术应用能力较弱，导致他们对于个人信用信息泄露可能产生的危害没有深刻的认识，缺乏信息保护的意识[9]。

三、个人征信信息泄露产生的不良影响

(一)隐私遭受侵犯

由于个人隐私具有极强的排他性，因此个人隐私权是公民人格权利中最基本也是最重要的权利之一。近年来，数据泄露事件频繁发生，对公众个人隐私带来极大危害[10]。例如2016年，某电商平台数千万用户的注册用户名、邮箱地址、身份证号码、手机号、QQ号等重要用户信息在黑市流通，信息内容高达12G。某集团旗下多家连锁酒店泄露其客户官网注册资料信息，包括1.23亿条客户入住身份登记信息以及开房记录[6]。中国互联网协会对外公布的《中国网民权益保护调查报告(2019)》显示，78.2%的网民个人身份信息(姓名、学历、家庭住址、身份证号及工作单位等)被泄露；63.4%的网民个人网上活动信息(通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等)被泄露；近半数的网民个人通信信息(即时通信记录、手机短信等)被泄露[11]。这些行为都严重侵犯公民的个人隐私。公民的个人隐私受到法律保护，不能随意被采集、利用、侵扰和公开，一旦个人信息被泄露，在互联网技术高速发展的今天，个人信息将会以几何形式迅速传播扩散。个人信息如果被泄露，将会对其人身安全造成极大威胁，在一些情况下，容易引发网络暴力，对社会的安全稳定产生不良影响。

(二)财产安全受到严重威胁

2020年，受新冠疫情影响，居家办公、网络授课、外卖点餐、社区采购逐渐成为居民生活的一部分，这就使电商平台、物流公司有机会掌握更多公众基础信息以及财务信息，而这些信息一旦泄露，将会给居民的财产安全带来极大威胁。不法分子利用个人征信信息窃取个人资产主要有两种方式：一是通过发送信息或者拨打电话的方式，使用病毒链接或钓鱼网站窃取银行账户及密码，达到盗取资金的目的；二是利用黑客技术直接侵入个人银行网络账户，盗取或转移账户内资产[12]。2019年，中国网民因个人信息泄露造成的经济损失高达805亿元人民币[11]，一些用户因无法承担过大压力而死亡，这对社会的和谐稳定带来很大影响。

(三)日常生活遭受侵扰

由于个人信息遭到泄露，诈骗信息、诈骗电话、垃圾短信、恶意软件、钓鱼网站、木马链接等给公民的正常生活带来极大困扰，导致公民对当前的个人信息安全、网络安全保护状况产生极大质疑。《中国网民权益保护调查报告(2019)》显示，恶意软件是网民最反感的骚扰来源，其次是骚扰电话和网络弹窗。82.3%的网民认为个人信息泄露已经对其日常生活造成极大影响，近50%的网民认为个人信息泄露情况已经非常严重，70%的网民认为恶意软件、非法窗口、手机电脑木马病毒对个人的生活安宁权造成严重影响[11]。

(四)公众对征信市场丧失信心

根据美国支付结算统计中心2012年的调查，数据泄露和相关新闻媒体的宣传报道会削弱消费者对美国支付系统的信心。如果大量消费者放弃使用电子支付，转而使用其他效率较低的支付方式，数据泄露可能会给美国信用卡支付系统带来巨大的信用危机[2]。除此之外，关于信息泄露和信息安全的额外报道也可能促使消费者采取一定的预防措施或改变支付方式，如果消费者认为某些金融机构比其他金融机构更具安全性，消费者可能会转向另一家金融机构。这种趋势会导致信用卡新卡的增加，也会导致消费者不再依附信贷市场，停止支付信用卡账单、产生信用卡违约。由此可见，数据泄露会使公众质疑征信机构或征信数据持有平台，从而减少消费者对征信产品的使用，降低信贷市场的借贷效率，阻碍征信市场的有效发展。

四、我国个人征信信息保护存在的问题

(一)法律体系不完善

随着信息技术的快速发展，居民对网络的依赖程度日益增加，生活也日趋智能化，众多互联网平台上每天都会产生大量的信息。这些平台掌握了大量个人信息，但这些信息的归属问题目前依然没有得到明确判定，对个人信息的掌控及使用、信息主体具有哪些权益并没有进行明确的法律约束。除了信用数据的归属问题之外，近年来，网络侵权问题也屡禁不止。根据相关学者的研究，截至2016年我国共有150多部法律法规的相关内容涉及维护网络信息安全、打击网络信息侵权行为[4]。然而，由于这些法律法规笼统分散、形式抽象，既没有明确界定信用主体的信用信息归属权问题，也没有对信用主体的征信信息进行保护的具体措施，没有明确监管机构的权责和义务，同时还缺少针对网络应用平台在搜集、整理、保存、传输用户个人信息数据方面的规范性指导意见，因此无法有效解决征信信息泄露以及侵权问题。

(二)监管体系不健全

政府作为社会治理的主体，对网络空间负有监管职责，然而，在很多情况下，政府相关部门并没有有效承担起保护网络信息安全的责任，信息安全的维护并没达到预期效果。首先，政府相关部门所采取的监管措施相对于互联网发展的速度往往滞后。当前，负责网络信息安全监管的主要包括公安、工商、工业和信息化等部门，这些政府职能部门维护个人网络信息安全的措施主要有两种。一是提高网络平台准入资质的门槛，设置严格的准入许可；二是公众在使用网络平台前要进行实名登记注册，使用网络平台要进行全过程操作监控，为事后追责提供有利条件。窃取个人网络征信信息一般属于高科技犯罪，不法分子通常使用较为高端、隐蔽的手段窃取用户个人信息，且违法成本较低，他们一旦获取用户的征信信息，在非法数据交易市场，可谋取巨额利益。同时，由于危害人数众多、覆盖区域较广，受害人取证难、维权难，使得相关部门现有的监管手段很难维护信息主体的实际利益。不法黑客窃取、非法买卖个人征信信息，并利用这些信息从事电信诈骗、金融犯罪等非法活动获取巨大利益。其次，政府相关部门内部监管体系不完善。多数政府相关部门内部存有大量公民、企业、政府的数据信息，由于政府内部对于信息的搜集、整理、保存、传输等环节操作规范缺乏严格的监管标准，致使少数政府部门工作人员由于缺乏常规操作技能或是在利益诱惑下，间接或有意地将政府内部数据泄露给非法搜集信息的商业平台或机构，使信息主体的信息安全受到巨大威胁。近年来，个人信息泄露问题已经引起政府的高度重视，相关部门已着手制定一部和个人信息保护相关的法律，来保护信息主体的信息安全。

(三)信息主体的保护意识和能力不足

在大数据背景下，人工智能、云计算等新技术的出现，人们的数据处理能力有了质的提升，同时信息主体越来越多地将个人数据留存在网络上，而部分信息主体并没有意识到数据信息泄露所带来的危害，有的甚至愿意以贡献数据的形式来获取网络使用的便利，这些行为都为不法分子窃取个人信息提供了便利条件。

首先，信息主体缺乏信息安全防范意识。例如，一些人在公共场所随意连接不安全的WiFi，却并没有意识到这些WiFi可能存在隐患，有些人即使知道不安全也并不在意。一些居民在接到骚扰电话时，在不知情的情况下泄露了自己的身份信息，或在某些不知名的平台或机构填写详细的个人身份和财务信息。这些错误的行为都可能导致个人信息的泄露，给自己的生活造成极大困扰，同时也有可能给个人的经济利益带来严重损害。

其次，信息主体缺乏维权意识。造成信息主体维权意识缺失的原因主要是网络上留存的个人信息数据是虚拟的，而大多数网民虽然可以熟练使用电脑，但是对于互联网技术相对而言还是比较陌生。当个人信息在互联网上被窃取后，多数人对如何取证、如何维权的知识了解较少，甚至无法及时发现自己的个人信息已经被窃取，也就难以追踪找回个人信息，更不知道应该向什么部门投诉，从而放弃维权。部分信息被泄露的用户虽然具备一定的维权意识，但因为信息泄露并没有给自己带来太多实质性的损害而主动放弃维权。某种程度上，由于个人的维权意识不强，也使不法分子得以大肆窃取、非法传递和交易个人征信信息。

五、美国个人数据保护措施对我国个人征信信息保护的启示

(一)完善个人征信信息保护相关的法律法规

从美国南卡罗来纳州居民个人征信信息泄露事件及其后续处理过程可以看出，在美国，个人征信信息有严格的法律法规保障体系。居民或消费者可以使用“消费者欺诈保护服务”来保护自己的权益免受侵害，同时相关征信机构和管理机构会给出完善的事后安抚措施，维护消费者对征信市场的信心。美国的《公平信用报告法》明确提出了5种信息泄露后的欺诈保护服务：初始欺诈报警、扩展欺诈报警、信用观察、信用冻结和信用选择退出。这些服务可以为消费者提供贷款人额外身份验证、欺诈保险范围、完整的信用档案冻结以及从预先筛选的信贷或保险服务中退出等服务，能够在消费者的个人信息、银行信息被窃取后，使消费者的个人财产得到最大程度的保障。而目前在我国，《征信业管理条例》中关于数据保护的相关内容并不完善，公民个人信息遭泄露后面临举证难、维权难、诉讼难等问题。因此多年来，我国政府一直致力于制定一部保护个人信息的法律来保护公民的个人信息。2021年11月1日，全国人民代表大会正式通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)[13]。《个人信息保护法》的出台为中国的个人信息保护提供了强大的法律支持。有了这部法律，过去在数据的采集、处理、存储等方面存在的个人信息泄露问题及其处理、解决都具有了法律依据。《个人信息保护法》的出台将极大地降低个人信息泄露给信息主体带来的损失，对维护个人信息安全、个人财产和社会稳定具有重要意义。

(二)多部门监管，明确分工、职责

《征信业管理条例》明确指出，征信业的监管部门为中国人民银行及其下派机构[14]。然而，中国人民银行作为征信业的监管单位，主要监管对象集中在商业银行所进行的征信业务，对于近年来新兴的以电商为代表的网络数据运营单位的管理少之又少。 在美国，加利福尼亚州于2018年6月出台了《加州消费者隐私法案》(CCPA)，该法案强化了信息主体对个人信息数据的控制，也规范了企业收集处理数据的方式，在概念、权利、制度等方面受到《个人数据泄露法》的影响，相关规定趋于严格，或将被美国其他州及域外所借鉴[15]。因此，我国央行征信管理中心应尽快联合国家网信办、国家发改委、商务部等部门，研究建立关于个人征信信息的搜集、处理、保存、共享的机制，明确各部门的权利和义务，要严格监管掌握大量用户个人信息的征信机构或平台，重点是在数据的采集、处理以及保存等直接关系到用户个人隐私及财产安全的环节 。

(三)提高公民的信息保护与维权意识

个人是数据信息保护的第一道“防火墙”，政府各相关部门及媒体要加强对个人信息安全与个人信息保护的宣传教育。《个人信息保护法》第六十五条中提到“任何组织或个人对于违法个人信息处理活动有权进行投诉和举报”，但并没有明确指出投诉的方式和维权渠道。鉴于此，政府可以通过媒体或与相关机构合作，加强宣传力度，提高公民的信息保护与维权意识。例如，相关金融监管机构可以定期到校园进行有关个人征信信息方面的宣传、普及活动，重点介绍当前常见的信息窃取方式，在技术上提高公民的信息保护方式；还可以通过新闻媒体等渠道加强宣传，普及与个人征信相关的法律法规，从思想上提高公民的个人征信信息保护意识。