在网上理财，如何避免个人隐私被泄露？

据新闻报道，近期黑市上出现一份数据，称是“趣店学生用户数据”，包含了百万的学生信息。该数据维度极细，除学生借款金额、滞纳金等金融数据外，甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。

这个事，再次对所有的互联网金融从业者、对个人投资者，敲响了警钟。

数据安全与客户隐私的保护，是新金融企业的立身之本，马虎不得。

没有出现安全问题的，不代表自己的制度、流程和技术措施就已经很到位了，只是没有碰到而已。

纵观以往见诸于报道的各种数据泄露事件，其原因无法以下四种：

1、内部人窃取数据

这种是比较常见的，也是性质最恶劣的。内部的人员，最有机会接触企业的重要业务数据，而且层级越高、接触的机密越多。一旦有人为利益或者怨恨所驱，就很容易在数据上做文章。

例如这次的趣店的泄密事件，按照多位趣店离职员工的说法，“很多员工都可导出数据，这极可能是内鬼外泄”。

窃取的方式也多种多样，能够批量导出当然最好；不能导出或者怕留下痕迹，可以拍照；也可以内外勾结，植入病毒。

最近热播的胡歌主演的电视剧《猎场》，其中一幕就是胡歌作为第三方的卧底入职到一家外资银行，然后借机打开主管的电脑，调出理财客户的名单，准备用手机拍照，盗取数据。

内部有人要作恶，是防不胜防的。

2、网站存在安全漏洞，被外部人侵入

作者认识的一家电商网站，就曾经因为SQL注入（通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令），被人从数据库盗取了大量数据。

尤其初创的互联网企业，各方面都是刚起步，在安全防护的软硬件设施、代码规范上，都还比较粗糙的，此类问题更为严重，一旦被人盯上，很容易出现数据安全事件。

3、管理疏忽，暴露于外

其实所有的安全问题，最终都可以归结为管理的问题。

管理的问题，又包括意识的问题、制度和流程设计的问题、执行的问题等等。安全意识淡漠、对客户隐私保护的觉悟不高，又是管理问题的根源。

例如，对互联网金融企业来说，如果操作后台，随便一个人都能查看客户列表，客户列表可以直接显示手机号，那说明根本没有任何的安全管理。

4、被第三方机构截取

曾经有公司号称可以获得各大P2P平台的精准用户手机号，并进行定向推送，例如某金所的用户定向短信推送。深入了解，实际上也并不算太精准，大致是知道某个手机号访问过哪些网站或者App。要做到这点，必须基于电信或移动的网络，进行用户行为的跟踪。这种不是一般人能够搞得的定的。

现在很多金融科技企业也都会使用第三方提供的反欺诈服务，在使用时，比如会需要向服务商提供用户的手机号信息，这里也涉及数据安全的问题。如果选择了一个技术实力不强、管理不严格的服务商，同样也存在数据泄露的风险。

要有效地对企业数据尤其是客户信息，进行有效的保护，必须从理念、人员、制度、流程、技术、绩效等多个方面入手，形成严密的体系，否则，任何一个环节的疏忽，都会导致全局的溃败。

第一，观念先行，必须将数据安全提高到关系企业生死的高度。

企业中的每个部门、每个岗位、每个员工，都要有安全意识，都要重视对客户的信息安全的保护。贯彻安全意识，不能光靠口号，而要通过具体的事例来传达。可以是围绕某个排查出来的安全隐患，进行奖惩，对补救措施进行大范围讨论等等。具体生动的实例，在企业内部流传、激发最大程度的参与，最能有效地将一种观念植入人心。

其次，选对人，安全的问题就解决了一大半。

对会接触重要数据的岗位，其人员招募、选拔，非常关键。只有具有良好品行、专业自律的团队成员，才能查询或者操作有关数据。

第三，数据安全的管理制度和内部控制体系需要建立和健全。

权限管理制度、保密制度、数据备份制度、安全审计制度等基本的制度体系，必须建立起来。

企业应设立数据安全与保护的专岗，定期对整个安全体系进行审视，排查隐患，建立控制节点，持续地改进。

CEO，就应该是最大的安全管理员，审视内部的数据安全管理规程、推动各项措施的落地。例如，关于数据导出，一个非常基本的原则，就是无特殊情况，各个列表均不应设置导出按钮；必须要用到导出的，权限只给特定的管理员，要进行脱敏处理，且导出的数据不得拷贝。

又比如，金融科技企业，很多用户会涉及到更换银行卡，一般都要提交很多个人资料，例如身份证正反面照片、手持身份证的照片，这些都是敏感数据。除了权限控制，也需要建立定期的销毁机制，对已经过了时效，及时清除，这也是对用户隐私的一种保护。

第四，做好定期的安全测评。

公安部的“等保三级”测评和工信部的安全防护测评，各有侧重，是非常有效的安全保护和改进机制。按照监管的要求，实际上对网贷平台来说，要备案、要申请ICP，这些都是必须经历的程序。

这样从一个侧面说明，监管落地后的网络借贷企业，确实在各个方面都更加规范和可信赖了。

第五，规范与第三方的合作机制。

在与外部机构合作时，首先要选择专业的、具有公信力的品牌机构，不能因为价格原因，而降低供应商的选择标准，因小失大。

合作过程中，对数据提供的范围要进行严格的限定，不能把非必要的数据都提供给对方；

同时，进行有效的监控，一旦发生数据泄露事件，可以快速地定位到泄露的源头。

对在互联网上理财投资的个人而言，也要非常注意个人信息的保护。

与其寄托于别人，不然先把自己的工作做到位。

1、不要轻易“出售”自己的个人信息。

现在各种商家，都会在营业网点、微信朋友圈、今日头条广告等各个地方，以红包、抵扣券等等方式，诱导个人关注微信公众号、留下个人手机号，甚至身份信息。

实际上，这就是一种交易。

你领到一个红包5元，掂量了一下，决定输入手机号领取，说明你愿意“出售”自己手机号的价格，就是5元。

如果这5元要提现，还需绑定银行卡，你可能会放弃；

但如果是20元，你可能就愿意绑卡了。

这说明，你愿意交出自己身份信息和银行信息的价格，是20元。

当然，这里的交易是有前提的，你是假设商家会严格保护你的隐私，否则给200元你也不一定愿意。

这就要求，在面对各种羊毛时，我们要谨慎地评估对方是否是可信赖的，是否会遵守基本的商业道德，只选择靠谱的参加，或者干脆不参加。

2、保持必要的安全敏感度。

在手机上进行某个操作前，要仔细想想，这里面是不是有什么坑？会不会被App运营方获得隐私数据？是不是一定要给？

例如，前段时间浏览新闻时，会经常出来广告，说提供“公积金查询”工具，然后你去查询了，公积金账号、数据实际上都给了某个放贷公司。

还有你的通讯录权限，也不要轻易点击同意，一旦同意对方就可以获得通讯录中的所有手机号和姓名。

有了安全意识，隐私暴露的风险也会减小很多。

这个年代，对个人信息的保护，整体上是非常槽糕的。

立足长远发展的企业，必须从起步阶段，就要重视数据安全，高度自律，并建立配套的制度、流程和技术措施，让客户可信赖。

而对这些互联网产品的用户而言，除了提高安全意识外，关键还是在于选择，不短视、不轻信，把信息托付给可以托付的企业。

标签：