首页 > 专栏

【专栏】史上最大征信泄露,Equifax深陷危机,中国同行怕了吗?

董云峰 · 零壹财经 2017-09-15 09:07:05 阅读:12527

关键词:Equifax大数据征信牌照风险

在早前的文章《无现金社会的黑镜:一场大数据圈地运动》里,我表达了对当下信息安全和隐私保护的深深忧虑。但愿此次Equifax事件,能让国人更关心这个问题,更希望能够警示国内征信机构守住底线。 文|董云峰 本文首发于零壹财经网 很显然,Equifax(艾克飞)因黑客入侵...

在早前的文章《无现金社会的黑镜:一场大数据圈地运动》里,我表达了对当下信息安全和隐私保护的深深忧虑。但愿此次Equifax事件,能让国人更关心这个问题,更希望能够警示国内征信机构守住底线。

文|董云峰

本文首发于零壹财经网


很显然,Equifax(艾克飞)因黑客入侵而导致的大规模数据泄露事件,在国内并没有引起太大的关注度。

Equifax是美国三大征信局之一,而这是全球征信行业史上最严重的一次信息泄露事件。受此影响,8年来股价一直上扬的Equifax,在过去一周里股价跌幅超过30%。

目前,Equifax在全球24个国家开展业务,共拥有约9900名员工。据公开信息,Equifax掌握了全球8.2亿消费者和超过9100万商户的数据。

个人征信是目前中国新金融领域备受瞩目的行业,尤其是一些巨头公司争夺的焦点。此次Equifax事件,对中国征信业又有什么启示?

1、Equifax事件始末

9月7日,Equifax公布,该公司遭遇了一起因黑客入侵而导致大规模数据泄露事件,约有1.43亿人的个人信息被泄露。目前美国人口为3.23亿人,这意味着近半美国人很可能陷入危险之中。

从涉及人数来说,这并非史上受害者最多的一次信息泄露事件。在此之前,雅虎曾经出过两起类似事件,其中一次涉及10亿个账户,另一次涉及5亿账户,聚友网(Myspace)亦曾发生过一次涉及3.6亿账户的信息泄露事件。

然而,与雅虎和Myspace不同的是,作为美国三大征信局之一,Equifax掌握的用户数据的数量和质量,绝不是门户网站或者社交网络可以比拟的。

据Equifax公布的信息显示,被泄露的用户信息包括姓名、社会安全号码、出生日期、地址以及数量不详的驾照号码。黑客们还偷走了20.9万张信用卡号和18.2万份包含个人身份信息的文件。

Equifax声称,信息泄露发生于今年5月中旬和七月之间,该公司在7月29日发现,但直到9月7日才将这一消息公之于众。

9月12日,36名美国参议员联名上书,要求司法部、证券交易委员会和联邦贸易委员会联手调查Equifax高管在泄密发生后出售股权的操作;联邦调查局已宣布正在调查数据泄露事件。

这进一步加剧了公众的愤懑情绪,根据上述指控:Equifax于7月29日发现数据泄露,之后在9月7日公布消息,在此期间该公司三名高管出售了总值大约180万美元的股权,涉嫌内幕交易。

不仅如此,目前纽约总检察长Eric Schneiderman对此案展开正式调查;国会议员Ted Lieu致信众议院司法委员会呼吁召开听证会;众议院金融服务委员会主席Jeb Hensarling表示该委员会将举行听证会;美国消费者金融保护局也在调查这起事件。

最新进展是,9月13日,Equifax CEO被要求参加10月3日的国会听证会,接受众议院能源和商务委员会成员的问询;9月14日,联邦贸易委员会宣布正在调查这起大规模的数据泄露。

这件事情何以在美国引发轩然大波?据CNN报道,黑客制造出了可以让诈骗犯模仿你本人的工具,这将威胁到成百上千万美国人的安全。

该专家称,如果被盗取的信息落到坏人手中,他们可以打开你的银行账户,使用你的信用卡乃至开办新卡,甚至用你的名字申请驾照。他们可以在马路上为所欲为,反正都是你去承担罚单,他们还能盗取你的返税款,甚至刷爆你的社保账户,让你连处方药都没法买。

在美国国内,一些愤怒的Equifax用户要求赔偿,如果按照受害者人数计算,这笔赔偿金额将是天文数字。另据法新社消息,9月12日,在此次事件中受害的Equifax加拿大用户,发起了一起诉讼,要求该公司赔偿5500亿加元(约合4500亿美元)。

市场分析人士认为,最终的赔偿金额很可能在3亿美元到10亿美元之间。毕竟,对Equifax这类轻资产公司来说,哪怕实施破产清算,也没有多少钱可以用来赔偿消费者。

2、Equifax事件警示了什么?

此次Equifax事件,对中国征信同行,难道不是一记警钟吗?黑客攻击、信息泄露,对我们每一个人来说并不遥远。

美国征信巨头益博睿(Experian)早前的一份报告显示,中国是目前全球互联网风险最大的国家之一,网络犯罪导致的损失占GDP的比例为0.63%,这一数字仅次于美国的0.64%。

令人欣慰的是,有关监管部门对个人征信业务一直保持高度审慎的态度。

尽管早在2015年初,央行就下发《关于做好个人征信业务准备工作的通知》,同意芝麻信用腾讯征信等8家社会机构开展个人征信业务,但至今未下发相关牌照。

今年4月21日,在个人信息保护与征信管理国际研讨会上,央行征信管理局局长万存知表示,之所以迟迟不发牌照,主要有三个“没想到”:

第一是发完通知对8家机构进行个人征信业务准备,刚起步就碰上互联网金融整顿,到现在还没结束。换句话说,互联网金融业态到现在也不稳定,也不定型,在这个领域做征信业务怎么做?是需要研究的。

第二是社会公众对个人信息保护的意识空前高涨,对8家机构要求更高了。

第三是8家机构实际开业准备的情况离市场需求和监管要求差距较大。

万存知表示,综合判断,8家进行个人征信开业准备的机构目前没有一家合格,在达不到监管标准情况下不能把牌照发出去。

这8家机构到底有什么问题?万存知将把共性的问题列为三个方面:

第一,每一家机构都想追求依托互联网形成自己的业务的闭环,这样在客观上就分割了市场的信息链,而且每一家的信息覆盖范围都受到限制,因为信息不广、不全面,这样带来产品的有效性不足,不利于信息共享。

第二,这8家机构各自依托某一个企业或者企业集团发起创建,在业务或者公司治理结构上不具备或者不具有第三方征信独立性,存在比较严重的利益冲突。

第三,这8家机构对征信的基本理念和基本规则了解不够,而且也不太遵守,在没有以信用登记为基础的情况下,在数据极为有限的情况下,根据各自掌握的有限的信息进行不同形式的信用评分并对外进行使用,存在信息误采误用问题。

今年5月,万存知在《中国金融杂志》撰文指出,征信业是对个人信用信息依法进行产业化共享的行业。个人信息权益保护构成个人征信监管的核心内容。因此,在个人征信市场准入和业务活动开展中,应坚持三个原则:第三方征信的独立性原则、征信活动中的公正性原则、个人信息隐私权益保护原则。

在上述文章中,万存知并称,由于个人征信与个人信息保护密切相关,所以个人征信市场绝对不能走“先乱后治”的道路。对个人征信准入的态度,实际上是对个人信息保护的态度,是对人民群众切身利益的态度,也是对维护社会稳定的态度。

另一个背景是,6月1日,《中国人民共和国网络安全法》正式生效,作为国内第一部系统性提出网络空间治理的法律法规,特别加强和明确了个人信息保护方面的要求。同日,最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式实施

如果征信机构不能在信息安全和隐私保护上作出令人满意的安排,个人征信牌照的下发,依然很遥远。

3、Equifax的前世今生

点击蓝字阅读零壹财经2016年9月发表的《征信局Equifax:杂货铺起家、8亿人数据、百亿市值……》一文,作者为零壹财经分析师孙爽。

零壹智库推出“金融毛细血管系列策划”,通过系列文章、系列视频、系列报告、系列研讨会和专著,系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。
 

相关文章


用户评论

游客

自律公约

所有评论


资讯排行

  • 48h
  • 7天


专题推荐

more

第四届中国零售金融发展峰会(共15篇)

《陆家嘴》交流会第6期(共14篇)

2022第一届中国数字科技投融资峰会(共43篇)

2019年数字信用与风控年会(共15篇)



耗时 236ms