“大數據和人工智能時代，大家都在做開放銀行，我擔心的是，銀行系統的安全能不能得到保障。此前公安部已經組織了‘護網’、‘凈網’的行動，為了安全考慮我們已經關掉了很多系統。不然都開放了，把安全放在哪里？”一位國有大行信息科技部門負責人對21世紀經濟報道記者表示。

開放銀行涉及了作為數據提供方的銀行和第三方機構，任何一方在數據保護方面存在缺陷，即會導致數據泄露的風險劇增。不僅僅是銀行面臨這樣的風險，在金融業態中數據保護意識淡薄的現象并不罕見。

中國信通院云計算與大數據研究所金融科技部副主任何陽在8月31日在上海舉辦的2019世界人工智能大會“信息安全的AI時代”論壇中表示，金融本身是一個跟數據密切相關的行業，所有的業務基本基于數據應用。因此金融安全、數據安全和信息安全是不可割裂的。然而在很多金融業務進行過程中，底層數據面臨越來越多的安全風險。

券商的遭遇

何陽講了一個真實的案例：信通院屬于工信部直屬單位，因此內設國家電信反欺詐平臺。而目前手機用戶經常遭遇短信、電話騷擾，這個平臺主要負責在用戶投訴的基礎上，將一些標記用戶放進黑名單。但前段時間，信通院去幾家券商調研，發現一個共通的嚴重問題。即有些用戶在一些券商APP上一注冊，就會立馬收到“是不是要買股票、是不是要炒股”的信息。但這些券商營業部對此毫不知情，反而問：“我們的用戶信息是怎么被泄露的？”

自查過程中，券商們懷疑，一種可能是運營商、渠道商泄露了信息，另外一種可能是手機終端的問題。因為智能手機短信與傳統的功能機不同，短信也是智能接口，通過短信可以加載很多智能應用。APP本身也很有可能存在漏洞，不法分子會通過手段截取。甚至有券商反饋給信通院，稱有人在暗網兜售用戶信息。

“從一系列事件中，可以看出當前信息安全形勢非常嚴峻?！焙侮柋硎?。

信息安全問題已經阻礙了部分金融機構把數據遷到“云端”。前微軟人工智能首席科學家、Citadel首席人工智能官鄧力在圓桌討論中透露，一些金融公司不愿意把數據放到云端，癥結在于云端對于信息的保護沒有特別完善。因此，云服務提供商應當保證信息泄露的可能性降到幾乎沒有，才能避免客戶流失。

合合信息聯合創始人、啟信寶CEO陳青山表示，物理層的數據中心可能發生泄漏的意外，網絡層或是PC主機，乃至應用層的移動端APP和網頁端業務都可能產生類似問題，“由于國內、國外網絡連通的復雜性，網絡對抗信息安全威脅的攻防戰會越來越激烈?！?/p>

據其介紹，金融行業APP的應用層一旦有漏洞，外來攻擊者可以從這個漏洞鉆進去，泄露整個系統的信息。整個系統的安全性是由各個部分的安全性決定的，這一點有些類似于“木桶理論”。

有時候，應用層開發考慮到用戶體驗，或者開發人員的習慣，又或者是測試不到位，那么APP的某個API接口一旦有問題，系統風險非常大。這對于整個開發團隊的質素和技能，以及開發整個流程的安全性保證，都提出了挑戰。

善用“白帽子”

陳青山在接受21世紀經濟報道記者采訪時表示，互聯網行業發展太快，監管往往跟不上形勢，而互聯網企業網絡安全人才儲備和人員安全意識都遠遠跟不上迅猛發展的勢頭。陳青山稱，互聯網公司應當加強自身安全機制，或合作第三方安全公司，提高相關預算，并采用“白帽子”機制來演練網絡攻擊，來提高內部人員安全素養和警惕性。

所謂“白帽子”，是黑客中的正面角色，他們會發現互聯網公司的漏洞，以通知攻擊為手段，并做恢復性備份，提交給存在漏洞的平臺。

這幫“白帽子”如此作為，不是為了企業的感謝費，主要是為了展示自己的技術，獲得成就感。

不僅僅是外部攻擊，APP可能本身存在隱私政策問題，對用戶的個人信息不當獲取并留存會觸及法律紅線。今年7月，工信部通報10款APP無隱私政策，20款違規收集個人信息。

與此同時，工信部正式印發《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》，將在行業內部署開展為期一年的提升網絡數據安全保護能力專項行動，并明確提出在今年10月底前，完成全部基礎電信企業、50家重點互聯網企業以及200款主流APP的數據安全檢查。

又比如，剛剛橫空出世獲得市場劇烈反應的“ZAO”換臉APP，隱私協議中強制用戶授權，也并未保證用戶人臉信息的安全性。雖然，其自稱不存儲客戶人像信息，支付寶也表示不能用于支付環節，但也許依舊存在信息安全隱患。

“政府監管最離不開的是標準，標準其實是第一位的。產業可能在最開始發展可以有各種各樣的技術，當真正到了要產業化實現應用的時候，標準是非常重要的。我去年也參加了央行專門面向人工智能的標準制定，當時選的一個領域是面向支付領域生物識別的標準，現在覺得這個領域非常具有預見性?！焙侮柋硎?。

去年歐盟出臺了GDPR（《通用數據保護條例》），中國已經出臺了網絡安全法，但數據安全保護、個人信息安全方面的相關法律則還在路上。

“在當前的市場環境下，需要有新的標準。雖然可能歐盟的GDPR的確給企業的運營造成一些麻煩，但之所以采取這樣的一個動作，的確是到了必須先規范再發展的階段。在國內，現在人工智能的發展，特別是在人臉識別、人臉支付這一塊，也已經到了必須有相應的標準和規范出來了。如果沒有這樣的標準和規范出來，我們每個人在享受人工智能帶來便利的同時，也會面臨著巨大的安全風險?！焙侮柗Q。

責任編輯：王超