2019（第二屆）中國金融科技產(chǎn)業(yè)峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業(yè)網(wǎng)絡(luò)信息安全”分論壇上舉行了圓桌論壇。

圓桌論壇主持人：中國信通院云大所金融科技部技術(shù)總監(jiān)許一駿。

嘉賓：

安信證券股份有限公司 安全總監(jiān)李維春；

上海工業(yè)控制安全創(chuàng)新科技有限公司蒲戈光；

上海觀安信息技術(shù)股份有限公司CTO胡紹勇；

天融信科集團(tuán)金融行業(yè)安全專家、技術(shù)總監(jiān)肖松。

論壇主持（許一駿）：請各位先介紹一下自己做什么工作、從事哪些領(lǐng)域吧。

肖松：大家好，很高興有機(jī)會參加論壇，我叫肖松，金融行業(yè)從業(yè)快20年。

李維春：我是來自安信證券的李維春，向各位專家同事多請教。

胡紹勇：我來自觀安信息的胡紹勇。

蒲戈光：我是上海工業(yè)控制安全創(chuàng)新科技有限公司的蒲戈光。

論壇主持（許一駿）：我們準(zhǔn)備了幾個問題，首先是關(guān)于個人信息泄露的情況。各位可以介紹一下自己面對這種情況可以怎么去應(yīng)對這樣一些挑戰(zhàn)。

李維春：以前在科技行業(yè)里信息泄露的情況沒有那么敏感，我一進(jìn)金融行業(yè)確實(shí)遇到您所提到的疑似客戶信息泄露的情況發(fā)生，我們也進(jìn)行了調(diào)查，也跟同行做了交流。確實(shí)這個事挺重要的，全國上下呼聲很高，我們在推進(jìn)和解決遇到了一些困惑。我的基本觀點(diǎn)是“治亂象，重點(diǎn)”，下手要快狠準(zhǔn)。

大家都說重視，但是事到臨頭時，除非這件事特別大，否則找不到對口的單位和部門來幫助你解決問題。雖然很重視個人信息安全保護(hù)，但是我個人感覺有九龍治水的現(xiàn)象，各部門都在管，但好像管得都不是特別有成效。個人建議有一個有效協(xié)調(diào)機(jī)制，出了事知道找誰幫助解決問題。

第二，企業(yè)自身要負(fù)相關(guān)責(zé)任。我建議分兩頭，一頭是以往咱們確實(shí)對數(shù)據(jù)保護(hù)不夠重視，企業(yè)自身有缺漏，過去的帳想辦法清掉。另外，后面如果再有新的帳，要下狠手，辦一批大案要案。有些企業(yè)領(lǐng)導(dǎo)如果數(shù)據(jù)保護(hù)不得力，應(yīng)該把他擼掉，要快狠準(zhǔn)、要有效，不能好像大家都在干，但總干得不疼不癢的。

蒲戈光：剛才提到兩個問題，一個是個人信息保護(hù)，另外一個是企業(yè)信息泄露的安全防護(hù)。剛才安信證券的李總監(jiān)側(cè)重了個人信息保護(hù)。

我覺得兩個問題不太一樣，個人信息保護(hù)，工信部、網(wǎng)信辦今年都是針對APP的，APP里有過量采集的個人信息，這是個采集的渠道，為什么有這種情況？因為之前國家法律法規(guī)沒有明確的要求什么該采、什么不該采，有一個條款說只要用戶允許就可以了，但是用戶是個弱勢群體，域名購買，用這些APP就相當(dāng)于被動接受了霸王條款。另外，九龍治水是個真實(shí)情況，各個部門比較重視、都在管，但是目前沒有統(tǒng)一管的渠道，也沒有明確的文。

如果說下重手，前一段時間能夠看到開展爬蟲整頓風(fēng)暴行動后，對涉及爬蟲的公司影響比較大，征信和爬蟲的企業(yè)立馬業(yè)務(wù)就停止了。這說明是有辦法能做一些管理的，只不過現(xiàn)在從法律法規(guī)和監(jiān)管的渠道、管理渠道還沒有定下明確的文。這是個人信息采集渠道，采完以后的保護(hù)主要在企業(yè)這邊?，F(xiàn)在是智能化時代，數(shù)據(jù)必須做交換才有價值，在交換或者使用過程中有很多泄露的渠道和點(diǎn)，這里面如果企業(yè)自身對它的數(shù)據(jù)沒有做好梳理，或者對他數(shù)據(jù)交換的邊界沒有摸清的話，采取的很多安全手段也很難起到原來預(yù)期的效果。

像我們傳統(tǒng)的網(wǎng)絡(luò)安全一樣，不摸清家底，再多防火墻都有不知道的主機(jī)暴露在公網(wǎng)上。所以第一步是先把數(shù)據(jù)清理或者數(shù)據(jù)摸清，針對邊界做鞏固的手段，前面的白皮書提到脫敏或者加密等手段。從多種手段一步步先把數(shù)據(jù)資產(chǎn)摸清之后，逐步針對邊界做些管控，對企業(yè)來說至少是一個行之有效的技術(shù)上的手段。從管理上像剛才提到的，從監(jiān)管的要求明確責(zé)任，立好法規(guī)以后企業(yè)自身就會重視，將這些措施落實(shí)地位。

胡紹勇：我覺得國家對數(shù)字資產(chǎn)不夠重視，沒有把數(shù)據(jù)資產(chǎn)跟個人有實(shí)驗的資產(chǎn)同等重要，在立法上沒有跟進(jìn)。

要解決的話有三個渠道：

第一，行業(yè)定標(biāo)準(zhǔn)，哪些資產(chǎn)不能去碰。

第二，需要有中間檢測機(jī)構(gòu)專門檢測這些APP?，F(xiàn)在很多APP很流氓，如果不給權(quán)限的話它就不讓我安裝，這個就沒有其他選擇余地。