征信數(shù)據(jù)作為金融體系乃至整個(gè)社會(huì)信用體系的基石，其安全問(wèn)題不僅直接關(guān)系到信息主體合法權(quán)益，還可能影響國(guó)家金融和社會(huì)經(jīng)濟(jì)秩序的穩(wěn)定。本文通過(guò)梳理新形勢(shì)下征信數(shù)據(jù)安全風(fēng)險(xiǎn)的主要表現(xiàn)形式和現(xiàn)實(shí)案例，介紹美、英兩國(guó)防范征信數(shù)據(jù)安全風(fēng)險(xiǎn)的有關(guān)做法，思考并提出相關(guān)建議。

    一、新形勢(shì)下征信數(shù)據(jù)安全風(fēng)險(xiǎn)的主要表現(xiàn)形式 

    隨著數(shù)據(jù)量的不斷積累，數(shù)據(jù)庫(kù)整體的某項(xiàng)屬性與偏差可能被放大至與事實(shí)相悖的情況，導(dǎo)致評(píng)價(jià)結(jié)果出現(xiàn)歧視性?xún)?nèi)容，對(duì)征信數(shù)據(jù)庫(kù)造成污染。

    1.數(shù)據(jù)泄露風(fēng)險(xiǎn)

    數(shù)據(jù)泄露是征信領(lǐng)域最常見(jiàn)的數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題，包括被動(dòng)泄露和主動(dòng)泄露兩種。前者指征信機(jī)構(gòu)或信息提供者、信息使用者因內(nèi)控制度不健全、信息系統(tǒng)軟硬件安防措施不齊全、人員管理不到位、業(yè)務(wù)檔案保存不妥當(dāng)?shù)葐?wèn)題，導(dǎo)致外界通過(guò)非正當(dāng)途徑獲取征信數(shù)據(jù)。

    例如，2017年艾可飛核心業(yè)務(wù)系統(tǒng)出現(xiàn)嚴(yán)重安全漏洞，超過(guò)1.45億美國(guó)公民的個(gè)人信息遭泄露，引發(fā)了全球公眾對(duì)征信機(jī)構(gòu)數(shù)據(jù)安全問(wèn)題的擔(dān)憂(yōu)，艾可飛為此支付了7億美元的賠償金和罰款。而后者，主要為征信從業(yè)人員利用其職務(wù)特殊性和便利性，非法查詢(xún)征信信息或直接拷貝系統(tǒng)內(nèi)存儲(chǔ)的征信數(shù)據(jù)，并批量對(duì)外提供或出售。

    2.數(shù)據(jù)污染風(fēng)險(xiǎn)

    AI作為現(xiàn)今最前沿的信息技術(shù)，受到國(guó)際征信機(jī)構(gòu)的大力追捧，征信機(jī)構(gòu)紛紛將其運(yùn)用到信用評(píng)分、風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)畫(huà)像等業(yè)務(wù)模型中。但新技術(shù)的背后，也潛藏著其特有的數(shù)據(jù)污染風(fēng)險(xiǎn)：

    AI計(jì)算的原始數(shù)據(jù)來(lái)源于多個(gè)渠道，每個(gè)渠道的數(shù)據(jù)都存在獨(dú)特的屬性和偏差,且各渠道數(shù)據(jù)規(guī)模和權(quán)重不一致。隨著數(shù)據(jù)量的不斷積累，數(shù)據(jù)庫(kù)整體的某項(xiàng)屬性與偏差可能被放大至與事實(shí)相悖的情況，導(dǎo)致評(píng)價(jià)結(jié)果出現(xiàn)歧視性?xún)?nèi)容，對(duì)征信數(shù)據(jù)庫(kù)造成污染。

    例如，2022年，艾可飛在客戶(hù)數(shù)據(jù)遷移過(guò)程中發(fā)生技術(shù)編碼問(wèn)題，某些渠道的數(shù)據(jù)出現(xiàn)較大的偏差和失衡，致使30多萬(wàn)特定身份的消費(fèi)者信用評(píng)分被AI模型無(wú)故扣除25分，大量用戶(hù)的借貸申請(qǐng)被駁回，引發(fā)了針對(duì)該公司的集體訴訟和經(jīng)濟(jì)索賠。

    3.數(shù)據(jù)篡改風(fēng)險(xiǎn)

    即信息提供者或征信機(jī)構(gòu)為達(dá)成特定目的，人為改寫(xiě)信息主體身份、信貸交易等信息的情況。例如，因業(yè)務(wù)糾紛接入機(jī)構(gòu)非法篡改征信數(shù)據(jù)。近年來(lái)征信維權(quán)黑灰產(chǎn)唆使信息主體濫用訴權(quán)，逼迫接入機(jī)構(gòu)刪改征信信息的情況也屢見(jiàn)不鮮。若涉事接入機(jī)構(gòu)為“息事寧人”或掩蓋其他違規(guī)問(wèn)題，可能私下妥協(xié)而篡改征信數(shù)據(jù)。

    4.數(shù)據(jù)竊取風(fēng)險(xiǎn)

    出于謀利、炫技等目的，黑客組織或個(gè)人會(huì)利用軟硬件安全漏洞，通過(guò)木馬植入、釣魚(yú)攻擊、爬蟲(chóng)軟件等技術(shù)手段，非法入侵存儲(chǔ)、對(duì)接征信數(shù)據(jù)的相關(guān)系統(tǒng)以盜取數(shù)據(jù)，且黑客攻擊事件一旦發(fā)生，往往導(dǎo)致海量數(shù)據(jù)被竊取并濫用。
例如，2022年，巴西黑客組織攻破環(huán)聯(lián)南非分部服務(wù)器，竊取了南非5400萬(wàn)人的身份信息、信用評(píng)分、電話(huà)號(hào)碼等數(shù)據(jù)，并對(duì)環(huán)聯(lián)實(shí)施勒索，對(duì)環(huán)聯(lián)造成了嚴(yán)重的經(jīng)濟(jì)和聲譽(yù)損失。

    5.數(shù)據(jù)非法獲取、非法利用風(fēng)險(xiǎn)

    常見(jiàn)有3類(lèi)表現(xiàn)形式：一是未經(jīng)信息主體授權(quán)或通過(guò)非法途徑獲取、提供、利用征信數(shù)據(jù)。二是具有合法資質(zhì)的主體獲取、利用了法律法規(guī)禁止采集、使用的數(shù)據(jù)。例如，即使經(jīng)過(guò)個(gè)人信息“授權(quán)”，征信機(jī)構(gòu)采集其基因、家族遺傳病、指紋、血型等信息的行為，依然屬于非法獲取數(shù)據(jù)。三是不具備合法資質(zhì)的主體，獲取、利用了征信數(shù)據(jù)。

    二、美、英強(qiáng)化征信數(shù)據(jù)安全保護(hù)的主要做法 

    美、英兩國(guó)分別由美國(guó)全國(guó)信用管理協(xié)會(huì)、鄧白氏、英格蘭銀行、英國(guó)信用管理學(xué)院等權(quán)威機(jī)構(gòu)面向全球提供信用管理經(jīng)理短期培訓(xùn)、資格認(rèn)證、征信職業(yè)教育等服務(wù)。

    1.健全法律體系，夯實(shí)制度基礎(chǔ)

    美國(guó)通過(guò)漸進(jìn)式完善《公平信用報(bào)告法》等征信業(yè)法律法規(guī)，逐步建立了“權(quán)責(zé)清晰+多元救濟(jì)”的征信數(shù)據(jù)安全保護(hù)架構(gòu)，通過(guò)嚴(yán)格限定信用信息的采集范圍、使用目的和傳播條件，從源頭防止個(gè)人信用隱私受侵犯；明確信息提供者和征信機(jī)構(gòu)在確保信息來(lái)源合法、真實(shí)準(zhǔn)確、及時(shí)更新和糾正等方面的法律責(zé)任；賦予消費(fèi)者在信用報(bào)告被非法手段獲取或使用、因錯(cuò)誤信息導(dǎo)致權(quán)益受損等情況下的知情權(quán)、異議權(quán)和救濟(jì)權(quán)等。

    英國(guó)則以《消費(fèi)信用法》《數(shù)據(jù)保護(hù)法》實(shí)現(xiàn)征信數(shù)據(jù)的全流程防護(hù)。全面禁止非持證機(jī)構(gòu)從事信用信息服務(wù)，細(xì)化了防范征信數(shù)據(jù)安全風(fēng)險(xiǎn)的要求，詳細(xì)規(guī)定禁止采集的個(gè)人敏感數(shù)據(jù)，強(qiáng)制要求征信機(jī)構(gòu)必須采取有效措施防止征信數(shù)據(jù)被篡改或惡意銷(xiāo)毀等。

    2.嚴(yán)格機(jī)構(gòu)監(jiān)管，壓實(shí)行業(yè)責(zé)任

    近年來(lái)，美國(guó)主要由消費(fèi)者金融保護(hù)局加強(qiáng)對(duì)信用評(píng)分模型中數(shù)據(jù)運(yùn)用的監(jiān)管，防止AI算法偏見(jiàn)導(dǎo)致的歧視問(wèn)題。同時(shí)，通過(guò)在執(zhí)法過(guò)程中開(kāi)具額外的“天價(jià)”罰單用于成立“受害者救濟(jì)基金”，促使征信機(jī)構(gòu)和數(shù)據(jù)使用者將數(shù)據(jù)安全保護(hù)提升至最高優(yōu)先級(jí)。作為補(bǔ)充，美國(guó)征信業(yè)自律組織在消費(fèi)者金融保護(hù)局的指導(dǎo)下，具體推動(dòng)征信市場(chǎng)主體開(kāi)展數(shù)據(jù)和算法相關(guān)安全審計(jì)、建立健全應(yīng)急預(yù)案、舉辦安全演練活動(dòng)等工作，進(jìn)一步夯實(shí)數(shù)據(jù)安全保障。

    英國(guó)由信息專(zhuān)員辦公室負(fù)責(zé)征信數(shù)據(jù)安全及隱私保護(hù)的監(jiān)管，提出了“授權(quán)合法、最小化采數(shù)、保障數(shù)據(jù)準(zhǔn)確性和更新及時(shí)性、強(qiáng)化技防建設(shè)、限制訪(fǎng)問(wèn)權(quán)限、保護(hù)數(shù)據(jù)跨境傳輸安全”6項(xiàng)征信數(shù)據(jù)安全保護(hù)措施。

    3.強(qiáng)化科技賦能，加固安全防線(xiàn)

    益博睿研發(fā)了個(gè)人信息保護(hù)系統(tǒng)、數(shù)據(jù)對(duì)接API監(jiān)測(cè)等數(shù)據(jù)安全模塊，支持實(shí)時(shí)人臉識(shí)別登錄認(rèn)證，監(jiān)控、分析用戶(hù)操作軌跡，智能識(shí)別被病毒感染設(shè)備、可疑模擬器和異常外網(wǎng)VPN鏈接，及時(shí)阻斷非法登錄，防止征信數(shù)據(jù)被竊取。

    艾可飛在發(fā)生AI“數(shù)據(jù)污染”問(wèn)題后，積極推動(dòng)數(shù)據(jù)安全保護(hù)的新技術(shù)與新專(zhuān)利研發(fā)，推出了糾正AI算法歧視的輔助程序、檢測(cè)虛假身份登錄的識(shí)別系統(tǒng)、防篡改數(shù)據(jù)的自動(dòng)化防護(hù)軟件等安全產(chǎn)品。

    4.普及職業(yè)教育，提高應(yīng)對(duì)能力

    美、英兩國(guó)分別由美國(guó)全國(guó)信用管理協(xié)會(huì)、鄧白氏、英格蘭銀行、英國(guó)信用管理學(xué)院等權(quán)威機(jī)構(gòu)面向全球提供信用管理經(jīng)理短期培訓(xùn)、資格認(rèn)證、征信職業(yè)教育等服務(wù)。以幫助征信從業(yè)人員全面掌握征信業(yè)和數(shù)據(jù)安全相關(guān)法律法規(guī)知識(shí)并提高守法意識(shí)，增強(qiáng)識(shí)別各類(lèi)征信數(shù)據(jù)安全風(fēng)險(xiǎn)和應(yīng)對(duì)新型威脅的能力；指導(dǎo)征信機(jī)構(gòu)完善內(nèi)控制度，優(yōu)化數(shù)據(jù)處理流程和操作規(guī)范，提升征信數(shù)據(jù)安全管理水平。

    三、強(qiáng)化國(guó)內(nèi)征信數(shù)據(jù)安全保護(hù)的啟示 

    1.細(xì)化補(bǔ)充專(zhuān)項(xiàng)監(jiān)管制度，阻斷新技術(shù)運(yùn)用的伴生風(fēng)險(xiǎn)

    針對(duì)現(xiàn)行征信制度體系對(duì)新技術(shù)運(yùn)用監(jiān)管適配的空缺之處，建議圍繞AI算法治理、隱私計(jì)算、跨機(jī)構(gòu)和跨境數(shù)據(jù)融合安全等新技術(shù)、新領(lǐng)域，研究制定征信業(yè)數(shù)據(jù)安全管理相關(guān)專(zhuān)項(xiàng)辦法，進(jìn)一步明確、細(xì)化監(jiān)管規(guī)則與技術(shù)標(biāo)準(zhǔn)，界定新技術(shù)在征信領(lǐng)域的應(yīng)用場(chǎng)景與合規(guī)邊界。

    同時(shí)，可參考國(guó)際經(jīng)驗(yàn)，對(duì)新技術(shù)在信用評(píng)價(jià)模型中的使用做出規(guī)范，要求征信機(jī)構(gòu)對(duì)AI計(jì)算模型定期開(kāi)展數(shù)據(jù)清洗、算法審計(jì)并提交風(fēng)險(xiǎn)報(bào)告，防范和糾正因數(shù)據(jù)偏差與AI算法歧視帶來(lái)的征信數(shù)據(jù)污染風(fēng)險(xiǎn)。

    2.注重優(yōu)化監(jiān)管隊(duì)伍結(jié)構(gòu)，強(qiáng)健基層征信監(jiān)管保障

    目前，地市級(jí)人行征信監(jiān)管隊(duì)伍多以經(jīng)濟(jì)、金融、法律學(xué)歷背景為主，在應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)、參與需要處理和分析海量業(yè)務(wù)數(shù)據(jù)的征信合規(guī)監(jiān)管工作時(shí)，存在專(zhuān)業(yè)不足等短板弱項(xiàng)。

    建議優(yōu)化征信監(jiān)管隊(duì)伍結(jié)構(gòu)，著重培養(yǎng)熟練掌握征信業(yè)務(wù)、計(jì)算機(jī)與網(wǎng)絡(luò)通信技能、法律知識(shí)的復(fù)合型人才，全面增強(qiáng)基層人行對(duì)征信領(lǐng)域新科技應(yīng)用、征信數(shù)據(jù)安全及合規(guī)等方面的監(jiān)管保障。

    3.指導(dǎo)加強(qiáng)征信技防建設(shè)，筑牢征信數(shù)據(jù)安全源頭防線(xiàn)

    監(jiān)管實(shí)踐中發(fā)現(xiàn)，地方法人、中小銀行及村鎮(zhèn)銀行接入機(jī)構(gòu)的征信技防建設(shè)滯后問(wèn)題相對(duì)明顯，諸如征信前置系統(tǒng)數(shù)據(jù)緩存時(shí)間過(guò)長(zhǎng)、用戶(hù)管理限制性功能不多、防病毒軟件未強(qiáng)制更新等問(wèn)題，使得征信數(shù)據(jù)泄露風(fēng)險(xiǎn)增加。

    建議重點(diǎn)指導(dǎo)中小接入機(jī)構(gòu)完善征信前置系統(tǒng)功能，著重加強(qiáng)與本機(jī)構(gòu)人事管理系統(tǒng)對(duì)接，從技術(shù)上杜絕非授權(quán)訪(fǎng)問(wèn)和用戶(hù)管理違規(guī)問(wèn)題；引導(dǎo)和鼓勵(lì)有條件的接入機(jī)構(gòu)、征信機(jī)構(gòu)探索基于AI的用戶(hù)身份認(rèn)證、異常行為實(shí)時(shí)監(jiān)測(cè)、隱私數(shù)據(jù)保護(hù)等新型應(yīng)用場(chǎng)景，構(gòu)建智能化的征信數(shù)據(jù)安全防護(hù)體系。

    4.研發(fā)升級(jí)跨境傳輸技術(shù)，實(shí)施數(shù)據(jù)出境分類(lèi)監(jiān)管策略

    跨境數(shù)據(jù)傳輸由于線(xiàn)路長(zhǎng)、環(huán)節(jié)多，通信節(jié)點(diǎn)、跨國(guó)光纜、編程接口、終端設(shè)備等均可能成為黑客攻擊目標(biāo)，加之云存儲(chǔ)和分布式架構(gòu)技術(shù)的運(yùn)用，征信數(shù)據(jù)傳輸至境外后的存儲(chǔ)物理位置分散，數(shù)據(jù)被竊取、篡改、泄露等風(fēng)險(xiǎn)顯著提高。

    因此，建議結(jié)合區(qū)塊鏈技術(shù)研發(fā)跨境聯(lián)網(wǎng)核查模式，核心數(shù)據(jù)不在境外落地，引入數(shù)字水印技術(shù)，確保征信數(shù)據(jù)跨境傳輸過(guò)程的可追溯并支持事后審計(jì)。同時(shí)，可針對(duì)征信數(shù)據(jù)出境制定更細(xì)化的分類(lèi)標(biāo)準(zhǔn)，可按用途劃分為“核心征信數(shù)據(jù)”“一般征信數(shù)據(jù)”“敏感征信數(shù)據(jù)”等，對(duì)不同類(lèi)別征信數(shù)據(jù)適用差異化的出境監(jiān)管強(qiáng)度，平衡數(shù)據(jù)出境安全保護(hù)與征信業(yè)務(wù)的合法跨境交流共享。

    5.逐步健全職業(yè)教育體系，加強(qiáng)征信從業(yè)人員素質(zhì)培育

    國(guó)內(nèi)尚未建立征信從業(yè)人員系統(tǒng)性教育、能力測(cè)驗(yàn)和資格認(rèn)證體系，征信職業(yè)教育機(jī)構(gòu)稀少，高校開(kāi)設(shè)的征信專(zhuān)業(yè)選修課也較難滿(mǎn)足征信在職從業(yè)人員的實(shí)際需要。

    對(duì)此，建議持續(xù)建好、用好“征信中心遠(yuǎn)程業(yè)務(wù)推廣系統(tǒng)”，以及發(fā)揮征信行業(yè)協(xié)會(huì)的作用，進(jìn)一步豐富征信數(shù)據(jù)安全保護(hù)相關(guān)的培訓(xùn)內(nèi)容和培訓(xùn)形式，提升從業(yè)人員專(zhuān)業(yè)素養(yǎng)；建議各地基層人行加強(qiáng)與地方高校合作，推動(dòng)開(kāi)設(shè)面向征信從業(yè)人員的脫產(chǎn)培訓(xùn)課程和專(zhuān)業(yè)化的征信業(yè)務(wù)培訓(xùn)，幫助征信從業(yè)人員提高合規(guī)履職水平和征信數(shù)據(jù)安全風(fēng)險(xiǎn)應(yīng)急處置能力。

    來(lái)源：《中國(guó)征信》