科技日報記者 付麗麗
不用跑銀行排隊等候,只需在手機上下載個APP,輸入相關個人資訊,就能查詢個人征信,並在24小時內出具報告……這是很多手機APP宣稱的內容。確實挺方便的,但殊不知,背後卻存在嚴重的資訊安全隱患。
日前,中國人民銀行發布《關於進一步加強征信資訊安全管理的通知》(簡稱《通知》)指出,運行機構和接入機構要健全征信資訊查詢管理,嚴格授權查詢機制,嚴禁未經授權認可的APP接入征信系統。
只是中介 APP無法與央行直連
某第三方征信查詢APP
“市場上的第三方APP本身無法與央行直連,查詢的方法其實是用戶在APP上填寫自己的個人資訊,APP通過抓取技術幫助用戶進入央行征信中心的個人信用資訊服務平台進行查詢,並在收到征信報告後為用戶有重點地在APP上展示出來。”近日,賽迪顧問數字經濟研究中心高級分析師樊凱在接受科技日報記者採訪時說。
樊凱表示,整個過程對於用戶來說都是在APP上完成的,但實質上是APP利用用戶提供的資訊在征信中心的平台上進行查詢,與用戶本人在征信中心平台上查詢無異,APP在這個過程中充當了中介的角色。
確實,據記者了解,目前能夠查詢個人征信、接入央行征信系統的只有符合條件的銀行和小額貸款公司、融資性擔保公司、村鎮銀行等金融機構。
風險巨大 “經濟身份證”或被泄露
不管是辦信用卡,還是貸款買房買車,每一項都跟央行征信有關,個人征信查詢的需求越來越多。
樊凱認為,對於用戶來說,個人信用報告是個人信用歷史的客觀記錄,包含了個人借債還錢、合約履行、遵紀守法等資訊,在個人貸款、信用卡審批、任職資格審查、員工錄用等方面擁有巨大的作用,堪稱是個人的“經濟身份證”。
利用APP查詢一般使用的是央行征信中心的個人信用資訊服務平台的銀行卡驗證或者問題驗證方式,需要通過手機和驗證碼注冊,還要提供身份證、銀行卡等個人資訊進行身份驗證,這些資訊和隨後查詢到的個人征信報告(記錄了個人身份、職業、借債還錢、電信繳費負債、社保公積金等)的資訊都可以輕易被APP留存甚至使用,將為用戶留下極大的安全隱患,一旦被人非法使用將造成難以預料的後果。
的確,通常情況下,用戶征信都是為了從事貸款等金融活動,征信活動背後具有很明確的目的性。北京理工大學電腦學院網絡安全等級保護國家工程實驗室副教授閆懷志表示,多數征信代理APP跟央行征信中心並無合作關係,而用戶又大多未對APP征信代理查詢協定認真閱讀,更重要的是,個人征信資訊具有特殊重要價值,因此,這種代查行為存在著巨大的資訊泄露以及被非法利用的風險。
“在APP系統中清除這些資訊,技術上並不難實現,但‘天底下沒有免費的午餐’,部分代查APP運營商為用戶代查的初衷就是要獲取用戶資訊,來實現其他商業目的。”閆懷志說,比如獲知某些用戶在央行征信記錄不良的情況下,可以向該類用戶定向推銷其他金融貸款業務。
頻繁查詢 可能影響銀行貸款審批
不只是資訊泄露,網絡查詢征信報告雖然很方便,但是個人和機構查詢征信報告都會留下痕跡,短時間內被個人或銀行多次查詢還可能會影響銀行對貸款的審批。
央行征信中心表示,中國人民銀行征信中心只是提供個人信用報告,供商業銀行在審批個人的貸款申請時參考,最終能否得到貸款,取決於商業銀行貸款審批的結果。
有銀行工作人員就表示,短時間內頻繁地查詢,同時沒有放款記錄,可能會讓銀行認為你急需資金但卻處處碰壁,因此會對你的借款申請更為謹慎。“現實中確實有這樣的問題,用戶頻繁查詢自己的個人征信,將會影響個人信用,在遇到購房、購車真正需要貸款的時候有可能會受到影響。”樊凱提醒說。
規範管理 數據平台應加密更新
目前,中國人民銀行征信中心尚未提供APP征信服務。就APP規範管理問題,央行已經要求“嚴格授權查詢機制,未經授權嚴禁查詢征信報告,規範內部人員和國家機構查詢辦理流程,嚴禁未經授權認可的APP接入征信系統”。
征信行為既與資訊安全有關,更面臨較高的金融風險。因此,就普通用戶來講,閆懷志表示,既要有資訊安全意識,更要有金融風險防範意識。
建議用戶通過人民銀行分支機構現場查詢、央行授權代理機構現場查詢,也可以直接登錄人民銀行征信中心官網等正規管道查詢,慎重使用各類社會APP,以免造成不必要的損失。
在央行征信中心官網首頁,有紅色字樣聲明:“安全提示:征信中心未授權任何第三方應用程式(APP)提供個人信用報告查詢服務,敬請廣大用戶注意。”樊凱也強調,對於普通用戶而言,一定選擇官方管道進行個人征信查詢。
APP該如何規範管理?樊凱表示,從央行層面講,建議對數據平台進行加密更新,增加資訊反抓取功能,從技術角度杜絕第三方APP的違規操作;而從規範角度來說,由於用戶資訊泄露呈現管道多、竊取違法行為成本低、追查難度大等特點,用戶個人資訊保護工作形勢嚴峻,建議監管部門盡快制定個人資訊安全法,加大對個人資訊的保護力度。
來源:科技日報
編輯:劉義陽
審核:王小龍
香港九龍灣馬來街興發大廈15樓D室