全球个人征信机构的挑战（1）：信息安全和数据源

【财新网】（专栏作家 刘新海）由于新兴市场、商业领域和大数据技术带来的新机遇，全球个人征信机构继续蓬勃发展。同时个人征信机构作为金融和IT技术高度融合的特殊服务机构，其目前的发展还面临着来自信息安全、个人隐私、法律监管合规、数据源和全球金融与经济环境等多方面的挑战。由于征信系统是以IT信息技术为核心的金融基础设施，数据是个人征信机构赖以生存之本，所以信息安全和数据源是个人征信机构首当其冲的挑战。

　　信息安全

　　个人征信机构，以个人消费者为信息主体的风险和信息产品的供应商，拥有大量的敏感且机密的消费者信息，包括个人身份信息、金融信息、财务信息和受保护的医疗信息。个人征信机构收集、存储和传送超过十亿的消费者文件，这些数据通常可在公共或专用网络的安全传输中获得。尽管征信机构采取了大量安全措施保证物理安全、技术控制、合同预防（contractual precautions）来识别、检测和防止未授权的访问、篡改、泄露数据，个人征信机构仍无法保证服务和数据库不会受到影响或破坏，杜绝不了数据安全漏洞，未经授权的人员试图进入系统、获得数据或抑制产品提供能力的事件很有可能发生，其方式可能是犯罪行为、DDoS（distributed denial of service，分布式拒绝服务，攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力）攻击或恶意行为者（包括黑客、恐怖组织和其他犯罪分子）的高水平的持续性攻击、员工的错误（渎职）或其他违规中断事件（包括升级更换计算机软件或硬件、断电、电脑病毒、电信或基础设施故障或自然灾害等）。擅自披露、丢失或毁坏数据使消费者无法访问系统等做法将会损害个人征信机构的业务，需承担严重的法律责任，造成大额的业务损失，对声誉极恶劣影响。

　　信息安全的事故在各大征信机构中屡有发生。在2013年3月，一些诈骗分析首先与全球第三大征信机构环联（TransUnion）无关的渠道中获得了大量与几位名人相关的非公开个人信息，这一行为属于非法访问个人资料库。用这些信息，盗用者模仿这些名人建立网络联系，诈骗获得其信用报告（主要来自AnnualCreditReport.com，这一网站由环联和其他全国性消费者征信机构维护，通过该网站消费者可以从任何一家全国性的消费者征信公司获得每年一次的免费信用报告）。经过这次信息安全事件，环联和其它征信机构不得不加大了对身份验证参数额外控制。在2014年第四季度，环联服务北美客户的网络连通环节受到了DDoS攻击，企图通过许多个人电脑同时发送泛滥数据使计算机网络瘫痪。由于环联采取了及时措施，使得其影响被最小化，个人征信系统并没有遭受损失。

　　全球第一大个人征信机构益博睿（Experian）也把电子渠道的攻击和数据安全列为首要的挑战。益博睿还认为这种电子渠道的攻击不仅仅包括对征信系统本身，而且还包括征信机构的合作伙伴以及第三方合同方。2007年至2013年间，益博睿的子公司和数据集成商Court Ventures将将近2亿的身份信息出售给一个在越南的名叫吴孝明（Hieu Minh NGO）的人。在购买益博睿中的个人身份信息的过程中，吴孝明成功地利用了益博睿在管理和技术方面的漏洞。他又通过身份欺诈网站Superget.info 和Findget.me再次出售信息，这些在上述网站匿名销售的信息包括个人姓名、地址、社会保障号、出生日期、工作地点、工作时间，驾驶号码、母亲的婚前姓氏、银行账号、电子邮件账号和其它账号密码。美国司法部称，吴孝明之后把这些窃得的信息出售给其他互联网犯罪嫌疑人，并获利超过200万美元。美国全国广播公司报道，来自全球超过1300名“顾客”从吴孝明手中购买这些个人信息。美国国内税收署说，多个互联网犯罪嫌疑人使用大约1.3万个从吴孝明处购买的身份信息填写虚假个人所得税申报，涉案金额超过6500万美元。吴孝明2013年2月入境美国时遭到逮捕，2015年7月被美国的法院以身份欺诈、存储设备诈骗和互联网诈骗等罪名判处13年监禁。

　　个人征信系统的信息安全也引起了个人征信监管当局和研究人员的重视，制定了相应的规范和措施。世界银行联合多个国家的征信专家制定的《征信通则》的原则二规定：征信系统必须有严格的安全和可靠性标准。保证数据安全是征信机构和其合作伙伴数据提供商的工作重点，因为它们管理着极为隐私的个人信息。安全系统保护着个人数据和信用报告，并藉此保证了征信机构的可靠性和社会声誉。保证数据安全是征信机构一直要承担的义务，需要对数据安全措施进行定期检查和更新，确保能有效应对任何新出现的数据安全问题和隐患。

　　由于对数据的安全性和完整性的关注，越来越多的立法和监管机构在出现消费者信息被未授权人员访问事件时，要求征信机构通知消费者，有关于确保数据的使用、访问、准确性和安全性的额外规定。在美国，联邦和各州的法律提供了40种以上的相关法规制度，个人征信机构受所有制度的管理，未能遵守这些法规个人征信机构可能会受到美国监管机构的审查，需要承担额外的责任。

　　作为中国个人征信的监管部门——中国人民银行2014年也颁布了《征信机构信息安全规范》作为金融行业标准，重点规范征信机构的信息安全，适用范围为从事个人或企业征信业务的征信机构。《安全规范》要求征信机构应当按照法律法规和中国人民银行的规定对个人征信系统进行信息系统安全等保护；《安全规范》还对征信机构的安全管理、安全技术和业务运作三个方面提出了具体要求，为征信机构建设征信系统，保障征信信息安全提供了指引。

　　针对来自信息安全的挑战，个人征信机构必须不断监控和发展征信系统的信息技术网络和基础设施以预防、发现、解决和减少未经授权的访问、误用、计算机病毒和其他可能产生安全影响事件。

　　数据来源的稳定性

　　数据是个人征信机构的生命之源，个人征信机构的服务依赖于外部数据源供应商提供的可持续访问和获得的数据，包括从消费者、战略合作者和各种政府获得的数据及公共记录。无法获得数据将妨碍个人征信机构服务的提供。即使全球个人征信机构发展的很完善，获得稳定、鲜活的数据源还是一大挑战。世界三大的征信机构中的益博睿和环联都在年报中将数据提供商不提供数据、收回数据以及制定新的数据价格体系视为潜在的商业威胁。

　　数据提供商（Data Provider）是指主动以结构化模式向征信机构提供信用信息的信贷机构或其他商业机构。数据提供商在征信机构的成功运营中起关键作用，因为征信机构依赖于它们积极提供数据。传统的数据提供商包括商业银行、其它金融机构和信用卡发行机构。非传统的数据提供商包括零售商和公用事业机构等。此外，所有搜集消费者信用信息的私人和公共机构都是征信机构的潜在数据源。比如，它们可以通过与数据库的行政管理部门签署协议的方式采集法院判决信息、债务拖欠信息、个人身份记录、汽车或房产等担保物登记信息，以及企业注册等相关信息。数据提供商和其它数据源通常都是独立的法人机构，会受到其他商业要求和法规的约束，特别是有关消费者隐私保护的相关规定。在一些国家，数据提供商对客户信息的共享方式受到有关法律的限制。因此，它们必须与征信机构签署协议并制定条款来明确数据所有权，数据主体授权同意其与征信机构进行信息共享，发生信息不准确、安全漏洞、身份盗窃等不利情况时的责任分担等问题。

　　从提供数据服务的角度来说，个人征信机构与数据供应商也是竞争对手。所以数据供应商会出现停止提供数据、提供不及时数据或用各种借口提高数据价格的情况，例如怀疑个人征信系统的不安全会泄露信息、预算限制、欲赚取额外收入或由于其它管理和竞争的原因等情况。个人征信机构业务受与数据收集、披露和使用相关的各种政府法规法律、管理规范、司法条文及命令的管理，还会出现数据供应商提供的数据不允许个人征信机构合法使用的情况。如果个人征信机构无法保证和外部数据供应商始终保持良好的关系，有可能不能够实现以合理的条款获得数据。这些情况都会导致个人征信机构失去了对外部数据的访问权、受限访问或访问的成本提高，个人征信机构提供服务的能力将受到不利影响，如果通常的数据不可获得，个人征信机构也不可能迅速找到合适的替代数据来源，就可能影响个人征信机构的声誉、业务、财务状况和经营成果。

　　大数据技术和公共数据开放的政策带来可以获得更加廉价数据的趋势，在某种程度上免费或相对便宜的消费者数据来源使得对个人征信机构的一些信息服务的需求下降。这种消费者信息免费的趋势将会越来越普遍而且预期这种趋势将持续，包括一些行业领先企业和银行提供的免费或低成本的消费者信用信息可能会减少对个人征信机构服务的需求。在这种情况上，传统个人征信机构的客户就可能选择不从个人征信机构，而是依靠从很少或根本没有成本的公共或商业数据源处获得信息。目前这种向社会大众免费或低成本提供消费者信息的趋势虽然还形不成气候，但几大征信机构也都意识到这个问题，因为这种趋势未来可能会对个人征信机构产生颠覆性的影响。

　　结论

　　数据的安全性和完整性是对个人征信机构业务至关重要，违背安全性、未经授权访问或泄露机密信息、破坏（包括分布式拒绝服务攻击）或机密信息不安全，可能导致个人征信机构的大量的业务流失、声誉的危害甚至严重的法律责任。随着信息技术的发展，网络攻击和信息盗用的技术也在突飞猛进，信息安全的威胁防不胜防，所以在信息安全的投入和加强技术跟踪的确是个人征信系统建设的重中之重。

　　数据源是整个征信体系价值链的起点，由于行业的分工不同，征信机构不可能做到既是数据的生产者（数据供应商），也做数据的分析使用者。即使作为“百年老店”的全球三大个人征信机构也不能保证全部数据的可获得性，不过这些征信巨头居安思危，时时提防数据源不能及时更新等问题。他们数十年如一日地将与时俱进地更新数据源、加强研发和寻找替代数据、并购和控股数据代理商和数据代理商保持稳定和互惠的关系作为其的常规工作。

　　作者为某大型金融机构高级研究员，本文仅代表个人观点，不代表任何单位意见。研究助理财政部财政科学研究所硕士生曲丹阳对此文也有贡献。

【转载于财新网 作者：刘新海】