最近，关于国内多家银行的数百万条客户数据资料被暗网标价出售的消息广为流传。 尽管各涉案银行在进行数据比对核查后，均否认了所售数据包的真实性，但涉及面非常广的金融数据，尤其是银行用户相关敏感信息的安全如何得到保障，业内一直备受关注和探讨。

截至2019年底，我国共开设银行账户113.52亿户，全国人均银行账户数达到8.09户。 这些账户的安全由谁来保护？ 特别是随着银行线下业务的上线、与流方边界的拓宽等新的变化，也给银行的数据安全管理带来了新的挑战。

用户资料在以白菜价格打折吗？

银行：与实际数据不一致

涉及国内多家银行的数百万条客户数据资料被暗网定价出售，连日来成为业界关注的焦点。 4月15日，一位金融安全工程师在证券时报记者证上看到过这个被盗信息。

从数据安全人士此前发布的相关截图来看，被售信息包括大型金融机构客户数据，其中上海银行80.3155万家、浦发银行10万家、招商银行上海分行6.3万家、中国农业银行90万家、兴业银行46万家泄露的资料包括存款账户、信用卡账户和私人理财账户，客户名称、客户类型、性别、年龄、手机号码、开户账号、地址邮政编码、存款数据等信息。

“46万笔银行信用卡客户数据标价低于100美元，90万笔数据标价仅售3999美元(折合人民币约2.8万元)。 简直就是“白菜价格”。 如果是实际数据，如此海量数据量的实际售价至少在10倍以上。 ”一位大数据行业的FCO向记者评价说，尽管截图上显示的样本数据非常详细，但这种数据量的价格非常低，被盗数据是真的吗？ 可靠性可能会被打上问号。

为了核实上述情况，证券时报记者也表示，首先，时间联系了涉事银行，兴业银行、招商银行、浦发银行的态度相对一致。 经过核查比对，与真实数据信息不一致。 不排除不法分子把来路不明的数据冠以金融机构的名义出卖，牟取非法利益。

上海银行相关负责人表示，“经过详细比对，发现所谓客户信息中没有我行账户信息，与我行实际客户信息的关键要素不一致。 认定该销售信息系我行未泄露数据，不排除不法分子为牟取不正当利益伪造、拼凑、销售客户信息(称为银行)。 ”

十三亿五千万银行账户

谁在保护安全？

尽管数百万销售的数据包的真实性遭到反驳，如何保障海量金融数据，特别是银行用户参与敏感信息的安全？ 这充分引起业界和监管的重视。

据央行统计，我国银行账户数稳步增长，截至2019年底，全国共开立113.52亿户，同比增长12.07%。 其中，全国开设公司银行账户6836.87万户，同比增长11.73%； 个人银行账户112.84亿户，同比增长12.07%，全国人均银行账户数达到8.09户。

“对银行业信息科技监管要求较高，需要符合国内外风险管理要求，包括商业银行信息科技风险管理指引、巴萨协议、塞班法案等。 ”腾讯安全数据安全团队负责人彭思翔告诉记者。

杭州一家大型技术公司金融事业部总经理负责银行物联网解决方案，从事数据服务采集工作。 他向记者举例说：“设备采集的信息一般存储在当地银行机构，在信息存储和传输安全方面，银行自身设有专用网，内网、外网隔离，硬件设施方面设有防火墙另一方面，各银行内部对各级安全认证有严格的复核管理。 ”

“银行的IT系统不会大规模向外部泄露数据。 ”某股份制银行风险管理部门总监向记者表示，“根据银监会相关规定，银行业IT系统基本分为生产域、测试域、互联网域等，三个域之间的数据传输受到严格限制。 只有在生产域才能看到数据的全貌，测试域只是用于测试的数据，对数据量和脱敏有要求，互联网域几乎没有客户信息。 从技术和系统上看，大规模的数据泄露是行不通的。 ”

流量安全新挑战：泄露到前端

最新发布的国有六大年报显示，其中4家公司2019年科技投入总额突破百亿元，最高建设银行投入176.33亿元。 截至2019年底，工商银行金融科技人员规模达到3.48万人，全员达到7.82%，建设银行、交通银行、中国银行、农业银行金融科技人员比例分别为2.75%、4.05%、2.58%、1.58%。

银行加大科技投入，科技人员扩张规模空前。 但是，银行的数据与各个阶段密切相关，尽管有最高风险的保护，但很难确保万无一失。

首先，金融机构之间、金融机构内部之间的安全能力存在差异。 “大中型金融机构风险较高，但部分分支机构风险能力较弱，账户密码保护可能不充分。 部分地下灰黑产业有组织、有目的地攻击，抓住部分系统平台存在的漏洞。 ”周君桢介绍。

“银行的风控水平并不是杯水车薪，”上述股份制银行智能风控中心总监直言。 “某银行风控水平高、某银行风控水平低、实力强的银行所有模式都是行内专家建模。 但是一些地方，比如偏远的银行，缺乏高端的数据专家，只能通过外包建立模型。 一些没有技术能力的银行直接拿来，使用包含认证三要素和部分行为特征的第三方企业的流量数据，但在很多情况下，这样的数据在使用前可能会被泄露。 ”

在数字金融巨头金融机构高管看来，随着近几年银行线下业务的上线，“泄密环节”——将是应对风险方面值得业界关注的新变化。

彭思翔表示，银行可能出现数据泄露，除了信息科技运行领域访问控制策略不当、开发、测试、维护三个环节分离或不分离后，数据没有脱敏，以及信息安全领域的系统漏洞之外生产暴露、数据库许可过多会导致数据泄露。 ”

“由于行业业务属性不同，银行的IT系统和互联网公司之间往往存在代际差异。 ”前述股份有限公司智能表格控制中心总监向记者举例表示，“比如，针对某互联网流量平台，采用流量分发模式，100万客户分发到几十家不同的银行，以此应对自然地，这两种模式之间是对抗关系，进入模式想更多地进入，分发模式想更多地筛选。 现实中，银行IT系统的灵活性、可用工具、覆盖的行动数据数量等与互联网公司相比相对不利。 ”

"今后，银行的数据风险管理将会变得严格吧. "

“为了促进金融业健康发展和风险控制，监管层已经发布了监管指引，通过数据管理与监管评估相结合的方式，提高银行业高度重视数据管理工作。 无论是否发生此次事件，银行今后在数据风险管理上将会变得更加严格。 ”数字银行业内人士认为，此次被盗数据的真实性值得怀疑，但此后仍会影响业务水平。

2018年5月，银保监会发布《银行业金融机构数据治理指引》，旨在引导银行业金融机构加强数据管理。 去年12月，金融业移动金融APP首批试点启动，首批23家试点申报名单共16家银行，包括5家国有大行、5家股份制银行、3家城商行、2家农商行、1家农信联社，提升安全防护，加强个人金融信息保护010-330

事实上，银行数据管理趋严的背后，是国家层面对个人信息数据管理业务的系统性出击。 去年下半年，工信部等多次公开点名批评百余家APP及运营企业，涉及未经用户同意超出范围、不需要使用个人信息等违规情况。

请注意，去年5月至8月，监管部门密集发布了数据安全管理办法、APP违规收集使用个人信息行为认定办法等多项征求意见稿和草案。 这也符合上述数字银行人士的判断，目前央行对银行数据管理的指导已经非常详尽，未来的变化在相关立法层面将更多见。

“在数据确权、数据管理方面，中国具有绝对优势，将成为全球数据资产大国。 ”京东数科数字技术中心数据资产部总经理张旭表示，数据资产是银行的核心资产，是除了政府安全数据之外最可靠的数据，今后数据要向前发展的确权，在拥有海量数据之后，如何用人工智能等新技术进行深度挖掘

苏宁金融研究院院长助理薛洪言在接受记者采访时表示，从大环境方向看，业内普遍认同的是，监管层仍然鼓励在合规前提下推动金融机构数据高质量发展。 例如，互联互通各类政务数据、建立区域数据融合APP等。 (记者段久惠) ) ) )。