“一直以为自己是厨子,后来发现自己是道菜”。被笑果文化“移出群聊”后,沉寂许久的池子再度活跃在大众视野中,只不过这次他和笑果文化的纠纷战火烧至中信银行。
事情要从昨天池子发布的一篇起诉笑果文化侵权的长文说起。池子在文中控诉道,中信银行股份有限公司虹口支行在未经其授权、未经任何司法机关合法调查程序的情况下,将其个人银行账户交易明细提供给与其发生经济纠纷的笑果文化,侵犯了个人隐私。对此,中信银行给出的解释称,这是配合大客户的要求。
中信银行这一公然泄露客户隐私的行文引发网友齐声讨伐。虽然中信银行已向池子郑重道歉,并按制度规定对支行行长予以撤职,相关员工予以处分,但谁该为池子的隐私负责?谁又会成为下一个池子?个人隐私泄漏几时能休?
01 “浓眉大眼“的银行店大欺客?
上世纪90年代,互联网刚刚兴起,《纽约客》的一句俚语闻名全球:在互联网上,没有人知道你是一条狗。然而,时过境迁,如今的个人隐私已经变得“无处可藏“,互联网平台都知道你家养了几只狗。
以瑞士银行为例,曾几何时,我们在追剧时会看到这样一幕,走私的黑帮大佬们在费尽心思得到大笔钱后,在瑞士银行开户存进去。为什么会选择瑞士银行呢?其实,这和瑞士银行的保密制度有关。1934年,瑞士通过《联邦银行法》(俗称瑞士银行业保密法)来保护客户隐私,严禁泄露客户资料。这使得数百年来,瑞士银行靠着这种全球闻名的严格保密制度,成为全球最大的金融离岸中心。
直到2018年10月,瑞士开始自动与数十个国家税务机关共享客户数据,“银行保密时代”正式宣告结束。如今随着技术的深入发展,这个即便使用“密码”的保密时代却再也找不到当初的信任感了。
2020年3月,央行公布的数据显示,截至2019年末,全国共开立银行账户113.52亿户,同比增长12.07%,增速较上年末上升2.24个百分点。其中单位银行户6 836.87万户,同比增长11.73%,增速较上年末上升0.15个百分点;个人银行账户112.84亿户,同比增长12.07%,增速较上年末上升2.25个百分点。
这些数字背后究竟存在多少隐患?类似中信给大客户打印员工流水的事件还有多少?今年年初,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测就曾发现,民生银行、兴业银行等多家银行存在“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”的现象。
同时,据之前社交媒体@Bank Security发布的消息显示,大量国内银行的数据正在被出售,被售卖信息里包含了大规模的金融机构客户数据,其中涉及上海银行80万条、浦发银行10万条、中国农业银行90万条、兴业银行46万条。泄露数据包括姓名、地址、年龄、身份证号、手机号码、存款数据等。虽然事后,多家银行均否认了这些数据,称是有人恶意假冒。
对于这种现象,业内人士指出两种可能性,一种可能是用技术从后台数据库导出,另一种是业务人员从前台导出。实际上,诸如给大客户打印员工流水的事情非常常见,只需进入后台系统,仅凭银行卡号便可查询交易明细。
而据媒体调查,在提供流水查询的黑市,2000元查一个月流水,4000元查一个月流水,5000元可查全部流水。
大量数据流向势必会导致市场“失控”。根据现行《中华人民共和国商业银行法》中第29条,商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。
即便有明确的法律法规,但从一条条浮出水面的黑色产业链来看,个人隐私早已成为“皇帝的新衣”。如果一条鱼病了,可能是鱼的问题。如果一池子的鱼病了,那就是水的问题。在公众对传统银行系统的信任大打折扣下,如何通过技术从源头上解决用户隐私泄露的担忧?去中心化是答案之一。
02 如何让数据由用户掌握?
对于去中心化,技术思想家凯文·凯利在《必然》曾举例上个世纪九十年代的一次计算机图形学大会,在会场上,有大约5000名与会者集体操作这个电脑飞行模拟器。“大家和我一样,都被这分散的、无中心的控制力深深折服。”凯文·凯利写道。
在传统银行中,即便看似一切有迹可循,公开透明,但客户在其治理或贷款等过程中是没有发言权的。那么,去中心化的银行是什么样子的?去中心化账本可让个人数据掌控权从银行转移到用户自己手中,用户个人数据可以与个人数字身份证相关联,用户可自由选择数字身份证是匿名或公开。这就保证了数据的安全性,也大大排除了出现内鬼售卖数据和滥用数据的可能性。
当然,去中心化带来的改变不仅仅在于数据隐私这一方面。现阶段,越来越多的传统银行对去中心化饶有兴趣,并尝试转型。原因在于,去中心化的引入不仅可以让银行实现原有业务基础上的降本提效,还可以吸纳更多客户,达到双赢局面。麦肯锡在对银行高管的调研显示,约有一半的高管认为三年内区块链将产生实质性影响,一些人甚至认为18个月内就会发生。
据多家银行披露2019年年报显示,银行机构在区块链的应用场景目前已涵盖资产证券化、产业链金融、国内信用证、福费廷等多个领域。例如,瑞士银行瑞银(UBS)和英国巴克莱银行(Barclays)尝试使用区块链作为加快后台功能和结算的一种方式;中信银行上线基于区块链的国内信用证信息传输系统;中国招商银行(CMB)旗下的子公司招银国际(CMBI)周宣布将从传统金融领域跨足去中心化金融(DeFi);建设银行发布了BCTrade2.0区块链贸易金融平台,上线了国内信用证、福费廷、国际保理、再保理等功能……
可以预见的是,区块链成为各大银行创新发展的“重头戏”。据麦肯锡统计,目前全球各国银行采取的策略不一,大致可分为三类:一是组建区块链大联盟,制订行业标准;二是携手金融科技公司,发展核心业务区块链应用;三是银行内部推进局部领域的应用,快速实施试点。
然而,从中信等银行们的区块链布局及业务来看,大都是业务应用层面的,在用户的身份管理和数据掌握方面,却鲜有涉及。
在银行业金融机构在业务快速发展过程中,数据已然成为了银行的重要资产和核心竞争力。为了引导银行业金融机构加强数据治理,提高数据质量,银监会发布的《银行业金融机构数据治理指引(征求意见稿)》明确指出,银行业金融机构将数据治理纳入公司治理范畴,并将数据治理情况与公司治理评价和监管评级挂钩。例如,银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求。
显然,银行级的信息安全保护和加密已经是金融领域最高的安全等级了。然而,外神好躲,内鬼难防。安全公司迈克菲的调查显示,43% 的数据泄露都来自内鬼。同样,Information Security Forum 的调查结果也表明,内鬼泄密其实已经成为信息泄露的主要原因。
个人信息数据不能再在“内鬼”的操纵下“裸奔”了。在去中心化金融领域,Code is law,可以用代码来防止作恶。那么在中心化的金融领域,在用真正的法律来捍卫隐私的同时,也应该探索用技术真正保障用户的隐私,让用户的数据真正由用户自己所掌握。