2019（第二屆）中國金融科技產業峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業網絡信息安全”分論壇上舉行了圓桌論壇。

圓桌論壇主持人：中國信通院云大所金融科技部技術總監許一駿。

嘉賓：

安信證券股份有限公司 安全總監李維春；

上海工業控制安全創新科技有限公司蒲戈光；

上海觀安信息技術股份有限公司CTO胡紹勇；

天融信科集團金融行業安全專家、技術總監肖松。

論壇主持（許一駿）：請各位先介紹一下自己做什么工作、從事哪些領域吧。

肖松：大家好，很高興有機會參加論壇，我叫肖松，金融行業從業快20年。

李維春：我是來自安信證券的李維春，向各位專家同事多請教。

胡紹勇：我來自觀安信息的胡紹勇。

蒲戈光：我是上海工業控制安全創新科技有限公司的蒲戈光。

論壇主持（許一駿）：我們準備了幾個問題，首先是關于個人信息泄露的情況。各位可以介紹一下自己面對這種情況可以怎么去應對這樣一些挑戰。

李維春：以前在科技行業里信息泄露的情況沒有那么敏感，我一進金融行業確實遇到您所提到的疑似客戶信息泄露的情況發生，我們也進行了調查，也跟同行做了交流。確實這個事挺重要的，全國上下呼聲很高，我們在推進和解決遇到了一些困惑。我的基本觀點是“治亂象，重點”，下手要快狠準。

大家都說重視，但是事到臨頭時，除非這件事特別大，否則找不到對口的單位和部門來幫助你解決問題。雖然很重視個人信息安全保護，但是我個人感覺有九龍治水的現象，各部門都在管，但好像管得都不是特別有成效。個人建議有一個有效協調機制，出了事知道找誰幫助解決問題。

第二，企業自身要負相關責任。我建議分兩頭，一頭是以往咱們確實對數據保護不夠重視，企業自身有缺漏，過去的帳想辦法清掉。另外，后面如果再有新的帳，要下狠手，辦一批大案要案。有些企業領導如果數據保護不得力，應該把他擼掉，要快狠準、要有效，不能好像大家都在干，但總干得不疼不癢的。

蒲戈光：剛才提到兩個問題，一個是個人信息保護，另外一個是企業信息泄露的安全防護。剛才安信證券的李總監側重了個人信息保護。

我覺得兩個問題不太一樣，個人信息保護，工信部、網信辦今年都是針對APP的，APP里有過量采集的個人信息，這是個采集的渠道，為什么有這種情況？因為之前國家法律法規沒有明確的要求什么該采、什么不該采，有一個條款說只要用戶允許就可以了，但是用戶是個弱勢群體，域名購買，用這些APP就相當于被動接受了霸王條款。另外，九龍治水是個真實情況，各個部門比較重視、都在管，但是目前沒有統一管的渠道，也沒有明確的文。

如果說下重手，前一段時間能夠看到開展爬蟲整頓風暴行動后，對涉及爬蟲的公司影響比較大，征信和爬蟲的企業立馬業務就停止了。這說明是有辦法能做一些管理的，只不過現在從法律法規和監管的渠道、管理渠道還沒有定下明確的文。這是個人信息采集渠道，采完以后的保護主要在企業這邊。現在是智能化時代，數據必須做交換才有價值，在交換或者使用過程中有很多泄露的渠道和點，這里面如果企業自身對它的數據沒有做好梳理，或者對他數據交換的邊界沒有摸清的話，采取的很多安全手段也很難起到原來預期的效果。

像我們傳統的網絡安全一樣，不摸清家底，再多防火墻都有不知道的主機暴露在公網上。所以第一步是先把數據清理或者數據摸清，針對邊界做鞏固的手段，前面的白皮書提到脫敏或者加密等手段。從多種手段一步步先把數據資產摸清之后，逐步針對邊界做些管控，對企業來說至少是一個行之有效的技術上的手段。從管理上像剛才提到的，從監管的要求明確責任，立好法規以后企業自身就會重視，將這些措施落實地位。

胡紹勇：我覺得國家對數字資產不夠重視，沒有把數據資產跟個人有實驗的資產同等重要，在立法上沒有跟進。

要解決的話有三個渠道：

第一，行業定標準，哪些資產不能去碰。

第二，需要有中間檢測機構專門檢測這些APP。現在很多APP很流氓，如果不給權限的話它就不讓我安裝，這個就沒有其他選擇余地。