央行封杀代查个人征信App 将严厉处罚征信信息泄露
李海霞/人民网
作为每个人的“经济身份证”,个人征信记录至关重要。小到办理一张信用卡,大到贷款买房、买车,都是靠个人信用报告来获得。
目前,一些第三方应用程序(App)号称可以“直连央行征信系统”,只要在手机上下载软件就能查询个人征信记录,看起来似乎方便又快捷。
然而,近期央行的一则“102号文”,彻底让这些代查征信App现出了“原形”:原来这些App属于未经授权认可的,央行严禁接入征信系统。用户在使用这些App的过程中,可能已经泄露了最需要保护的个人隐私。
“直连央行征信系统”是假 盗走隐私是真
打开苹果手机的App商店,用“征信”关键字搜索,就可以跳出十多条号称可以“直连央行征信系统”,进行个人征信查询的App。
截图来自苹果App商店 本文图均为 人民网 图
比如,一款由杭州某信息技术公司开发的名为“征信-个人征信查询”的App,介绍自己称“直连央行征信,征信报告免费领取”。用户在使用这些App时,要通过手机和验证码注册,随后还要进行身份验证。在身份验证的过程中,用户需要输入身份证、姓名等个人信息。同时,还要回答一些问题甚至还可能被要求输入银行卡等信息。
事实上,以上述App为例的众多代查个人征信App会要求获取用户手机多项隐私权限,包括位置、电话号码、访问摄像头,甚至包括读取短信和通讯记录等。有用户称,在用手机号注册后,第二天就接到各种贷款电话。
通过这些涉及个人信息的操作,确实可以查询到的央行征信报告。这份征信报告记载了个人通讯方式、住址、婚姻状况、职业信息、银行贷款记录、信用卡透支记录等详细信息。这些最需要保护的个人隐私,却被App轻而易举地留存使用。
而所谓的“直连央行征信系统”,也只是App通过用户自己的信息在后台去央行征信系统查询,App也仅仅是充当了中介的作用。一来一往中,个人隐私已经被这些App盗走。
央行未授权任何App提供征信查询服务
事实上对于个人征信行业,监管机构从一开始就采取“高门槛、严要求”。与这些App所标榜“直连”不同的是,作为个人征信报告主管单位的央行,从未授权任何App提供个人信用报告查询服务。
事实上,个人征信信息以银行信贷信息为核心,金融机构主动申报,会先由业务发生行汇总上报给总行,总行按月定期将信息报送征信中心。此外,还包括社保、公积金、环保、欠税、民事裁决与执行等公共信息。
根据央行征信中心数据,目前,企业和个人征信系统只是接入商业银行、农村信用社、信托公司、财务公司、汽车金融公司、小额贷款公司等各类放贷机构。
截图来自中国人民银行征信中心官网
记者在央行征信中心官网看到,首页正中间就是一行醒目的加粗红字:“安全提示:征信中心未授权任何第三方应用程序(App)提供个人信用报告查询服务,敬请广大用户注意。”
近日,央行下发《关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号文,简称“102号文”),进一步加强对企业和个人征信系统运行机构和接入机构征信信息安全管理。
102号文要求,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的App接入征信系统。
5月4日,央行征信工作会议强调,以零容忍态度严肃查处征信领域违法违规行为。此外,加快建立覆盖全社会的征信系统,积极构建互联网信用体系,合理引导市场化机构规范发展。
央行将严厉处罚征信信息泄露
据了解,央行将严厉处罚征信信息泄露情况,牢牢守住不发生征信信息安全风险的底线。
据102号文,央行将对企业和个人征信系统的接入机构实行考核、评级管理。依据考核计分情况,将接入机构评为A、B、C、D四个等级。根据102号文附件《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法》,若存在以下情况,评级将下调一级:因征信违规案件导致多起投诉、诉讼,或者引发社会群体性事件;在新闻媒体、网络引发持续性重大负面舆情;瞒报、迟报、漏报重大风险事件或者违规事件;自评时存在重大隐瞒情形,报送存在虚假记载、误导性陈述或者重大遗漏的文件、资料等。
值得注意的是,102号文规定,接入机构存在下列任一情形的考核评级结果直接定为0分。包括:发生涉及征信信息犯罪的案件,相关机构或者人员被依法追究刑事责任;发生征信信息泄露、买卖征信信息等事件,相关人员被依法采取刑事强制措施;发生征信信息泄露、非法查询等违规案件等;未经批准擅自开展征信机构业务的。
保护个人信息安全任重道远
在中国政法大学互联网金融法律研究院院长李爱君看来,进入大数据时代,如何保护个人信息安全成为大数据今后发展需要注意的重中之重。
李爱君认为,“从我国个人信息的法律保护现状可以看出,我国对个人信息保护尚未出台专门立法,对于泄露个人信息的处罚缺乏统一性和系统性,尚未形成统一的关于个人信息保护方面的基本法,而是散见于相关的法律法规中,且量刑偏轻。”
记者梳理发现,我国民法总则第一百一十一条、刑法第二百五十三条都涉及了公民的个人信息不受侵犯以及相关的处罚措施。
最高人民法院和最高人民检察院2017年5月9日联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及于当年6月1日起施行的《网络安全法》,对涉及用户个人信息的,进行了相关规定。
除此之外,消费者权益保护法、居民身份证法、商业银行法、未成年人保护法、电信条例以及《互联网电子公告服务管理规定》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律法规也都对涉及个人信息作出相关规定。
尽管如此,李爱君表示,目前我国个人信息保护尚无统一立法,现有规定内容分散,个人信息泄露维权举证困难重重。“相关部门应建构统一的立法框架,加大司法打击力度,顺畅维权渠道。与此同时,通过产业界的自律和他律,促进形成健康有序的市场规范。” (原题为《个人隐私被“盗走” 央行"封杀"代查个人征信App》)