PCCM 海外征信小组 2020-09-21

益博睿南非（South Africa Experian）是南非最大的征信公司之一。2020年8月19日，该公司披露了一宗大规模数据泄漏事件。该征信机构承认，误将其南非部分个人和企业客户的详细资料移交给了冒充客户的欺诈者。

虽然益博睿南非未透露受影响用户数量，但来自反欺诈和银行业非营利性机构南非银行风险中心（South African Banking Risk Centre，SABRIC）的一份报告称，此次数据泄露影响了2400万南非人（南非目前人口为5900万，此次个人数据泄漏事件占比为40%）和793,749家当地企业。这次事件既是南非本年度四大数据泄漏事件之一；也是南非有史以来最严重的数据泄露事件；更是2017年9月艾克飞（Equifax）美国数据泄漏事件以来，征信领域乃至个人征信领域最大的数据泄漏事件。

益博睿南非与法律及监管部门的互动

   南非新版《个人信息保护法（Protection of Personal Information Act，POPIA）》的其他条款已于6月经过流程确认，并将于2021年生效。新法规旨在确保公司处理私人信息时采取适当的安全措施。该法案赋予监管者的执法权力包括：征收超过1000万南非兰特（折合人民币约400万）的罚款和追究罚款的权利，以及刑事起诉的权利。

     南非信息监管部门负责人Pansy Tlakula先生表示，监管机构已经多次与管理层会面，并与网络法医分析师（Forensic Analyst）签约，以开展对该公司违规行为的内部调查。

     益博睿南非表示，已将事件报告给地方当局追踪事件的幕后黑手。之后，益博睿南非表示已获得法院命令，“该肇事者的硬件被扣押，盗用的数据得到保护和删除。”益博睿南非认为，在数据删除之前，所有数据都没有遭到欺诈者滥用，欺诈者也未损害益博睿南非的基础架构、系统或客户数据库。

益博睿南非在一份声明中说：“调查表明，一位南非人声称代表合法客户，以欺诈方式要求益博睿南非提供服务。犯罪嫌疑人曾打算利用这些数据来创建营销线索，以提供保险和信贷相关服务。”根据益博睿南非的说法，此次数据泄露事件仅公开了个人基本信息，没有涉及财务或信用方面的信息。益博睿南非将共享数据描述为“在日常业务过程中提供的公开可用信息”。尽管如此，这些数据足够私人化，南非信息监管部门可以就此事件提起诉讼。

评论（来自PCCM）：

  （1）益博睿南非数据泄漏事件虽然发生在征信机构中，但是涉及的问题是基本的个人信息和企业信息，这些问题在许多大数据公司和金融科技公司发生过，因此PCCM研究团队将继续深入剖析该事件背后的问题、包裹利益各方的反应以及对国内个人数据行业发展的启示。

  （2）这次大规模数据泄漏事件发生在南非，远离欧美的核心地区，再加上欧美的政治斗争，疫情肆虐，主流的媒体并无暇顾及。但是南非是新兴市场国家，法治、金融和市场环境和中国类似，该事件的出现和处理方式对国内数字经济建设具有借鉴意义。

    （3）时至《中国人民银行金融消费者权益保护实施办法出台》于2020年9月18日出台，并在11月正式实施，消费者信息保护备受社会各界关注，对该案件的深入剖析，有助于加强网络安全风险防范和个人信息保护。

益博睿南非简介：

益博睿南非作为消费者、企业和信用信息服务机构，成立于2006年，员工约为240人，是南非规模比较大的征信机构之一，主要有个人征信业务和企业征信业务。和与TransUnion、Compuscan和XDS报告同为南非的四大征信机构。

南非的征信体系：

南非征信业已有100余年的历史，征信体系比较成熟。南非征信业协会（Credit Bureau Association，CBA）由11家征信机构组成,全球知名征信机构益博睿南非和环联（TransUnion）在南非都有分公司。2005年南非议会通过了《国家信用法（National Credit Act）》，并于2008年，2014年和2019年进行过三次修改。根据2005年第34号《国家信用法》及其相关规定修正案，所有征信机构均由国家信贷监管机构监管。

参考资料：

 [1] 徐欣彦, 南非征信体系对我国征信业发展的启示，《征信》，2010（3），pp.53-56. 

 [2] https://www.enca.com/business/credit-bureau-data-breach-probed

[3] https://www.zdnet.com/article/experian-south-africa-discloses-data-breach-impacting-24-million-customers/

欢迎转载，请注明“PCCM-国际征信观察”