感谢您致电Equifax您的业务对我们并不重要 - 彭博社

Pat Regnier, Suzanne Woolley

2017-09-14

摄影师：Getty Images

你不应该需要做任何事情来保护你的信用信息安全。

我们都习惯于管理个人财务的繁琐工作。你检查你的401(k)退休账户，确保你的投资组合得到妥善平衡。你不时扫描你的银行和信用卡账单以核实费用。这些都是负责任的人所做的事情。

但你很可能最近花时间在一项你并没有报名参加的工作上：查找黑客是否可能盗取了关于你的信息，这些信息来自 Equifax Inc.，这是美国三大消费者信用报告公司之一。9月7日，它宣布了一次数据泄露，可能使大约143万美国人面临风险，暴露了姓名、地址、出生日期和社会安全号码等细节，这些信息可能帮助身份盗窃者以你的名义申请贷款、申请信用卡或购买新衣服。（Equifax对此报道没有评论。）该公司已建立一个网页，你可以在这里查看自己是否可能受到影响。如果答案是肯定的，你就需要决定该怎么做。你应该注册Equifax提供的免费一年信用监控吗？在你的账户上设置欺诈警报？激活一种叫做安全冻结的东西吗？这些事情真的有帮助吗？

特色在 彭博商业周刊，2017年9月18日。立即订阅。摄影师：Mait Juriado/Getty Images使情况特别糟糕的是，你从来没有太多选择进入与Equifax的关系。“这并不像你可以选择你的银行，或选择你的信用卡，”美国公共利益研究集团（U.S. PIRG）的消费者项目倡导者Mike Litt说，该组织致力于更严格的消费者保护法。没有人特别要求Equifax或其竞争对手 Experian Plc 和 TransUnion 收集关于他们的数据。但除非你想过上无金融生活，否则你必须接受这些你可能了解不多的公司正在关注你和你在债权人面前的声誉。

这种设置不仅令人愤怒——它部分解释了为什么仅仅一家公司的黑客攻击会让如此多人变得脆弱。信用报告公司主要是为了服务银行和信用卡公司，而不是他们监控的消费者。但正如贷方从快速访问信用报告和评分中受益，这使他们能够向完全陌生人授予信用，来寻求开设账户的冒名顶替者也是如此。

消费者也从信用报告业务中受益：维护一个良好的档案使得获得贷款或信用卡变得容易。你可以在获得20%折扣的Gap结账时申请。而贷款方与消费者一样希望不被欺诈。但这并不意味着他们面临的风险是相同的。对贷款方来说，未支付的欺诈信用卡账单只是庞大投资组合中的一笔坏账——做生意的成本。另一方面，你只有一个身份和声誉。

最终问题不是金融服务行业是否关心欺诈。真正的问题是控制权。谁应该掌握解锁你数据的钥匙，是他们还是你？

1.43亿：在5月中旬到7月期间，可能在Equifax泄露中暴露的美国人个人信息

考虑安全冻结，这是任何对Equifax黑客感到焦虑的人保护自己的最有效方法。如果你联系一家信用报告公司并请求冻结，你可以在每家公司的官方网站上进行，你是在告诉它在贷款方联系它开设账户时不要提供任何信息。这意味着如果有人试图使用你的名字和社会安全号码申请一张新的万事达卡，申请可能会被拒绝，从而防止虚假的信用卡和随之而来的未支付账单出现在你的报告上并损害你的信用。当你决定需要贷款时，你可以联系信用机构并解除冻结。这种方法相当于抓住你数据的钥匙并不再归还。

这在理论上是一个优雅的解决方案，而信用报告行业不得不被迫接受。在2000年代初，包括美国公共利益研究集团、消费者联盟和美国退休人员协会在内的团体游说州立法机构强制实施冻结。最终，足够多的州通过了法律，使得这三家公司在全国范围内提供冻结服务。冻结的费用取决于州法律。对于身份盗窃的受害者来说，通常是免费的，而那些只是出于谨慎的人可能需要支付3到10美元来设置冻结，并在解除冻结时支付类似的费用。9月12日，Equifax暂时免除了冻结费用。

这一收费突显了整个过程对消费者的不友好。您需要在每个信用报告公司单独设置冻结。（尽管是Equifax遭到黑客攻击，但身份盗贼可能会使用任何这些服务向贷款机构申请信用。）然后您会收到一个PIN码，当您想要解除冻结时需要使用——再次强调，每个公司一个。要在线设置冻结，您需要通过输入您的社会安全号码来验证您的身份，如果您是因为刚发现您的社会安全号码可能被盗而设置冻结，这可能会让人感到害怕。正如 纽约时报 报道的那样，在泄露事件后立即在Equifax设置冻结的人发现，他们的 PIN码是由他们设置冻结的日期和时间组成的——而不是您希望用于防止小偷的随机、不可猜测的数字。（Equifax此后已对此进行了更改。）一旦冻结生效，您必须记住您存放PIN码的位置，然后才能申请抵押贷款——或者，实际上，申请工作或租赁公寓。

Equifax的大规模数据泄露考验特朗普和国会

信用报告公司的官方网站往往推动其他安全修复措施，这些措施的关闭方式没有冻结那么剧烈。其中一种是欺诈警报，它不是锁定您的档案，而是警告贷款人，在接下来的90天内，他们应该采取额外措施来验证任何声称是您的人的身份。还有信用监控，这是一项让您查看信用报告的服务，以便您能够发现潜在问题。您确实可能会看到一些东西：联邦贸易委员会的一项2012年研究发现，大约20%的消费者在被要求审查他们的报告时发现了一个错误，在他们提出异议后得到了修复，超过10%的人发现了一个足以影响他们信用评分的错误。监控还会在以您的名义申请新账户时提醒您。

Equifax、Experian和TransUnion已将监控变成了一项业务，收取高达每月25美元的“高级”服务费用，包括来自三家公司的报告。这个价格还可以涵盖“锁定”信用的能力，正如这些公司所描述的，这听起来类似于州政府强制的冻结。（TransUnion有一项免费的监控和锁定服务，仅适用于其自己的报告。）在宣布数据泄露后，Equifax为受影响者提供了一年的免费服务。但是，真的有人想花钱确保不良信息不会进入这些公司的数据库吗？您在餐馆里不会额外支付费用以确保食物中没有老鼠药。（为了让整个事件更加令人恼火：正如彭博新闻在9月14日报道的那样，黑客利用了一个自3月以来广为人知的软件漏洞，当时Apache软件基金会提供了修复。）“他们花了所有时间开发产品来销售给消费者，而不是让他们的系统更准确，”国家消费者法律中心的工作人员律师Chi Chi Wu说。

吴说，如果监控是免费的，那可能没问题，但她建议冻结。根据法律，您还可以通过annualcreditreport.com每年向每家公司请求一份免费的信用报告，这也是值得做的。如果有1.43亿人受到影响，吴说，那大约是所有拥有信用报告的人的四分之三。如果所有潜在受影响的人都请求冻结，这将等同于一些消费者倡导者希望看到的情况：将冻结作为信用档案的默认设置，除非消费者另有说明，否则每个人的信用数据基本上都是禁止访问的。就目前而言，冻结的麻烦可能使这一解决方案不太吸引人，但如果它成为常态，公司可能会想出更好的方法来实现。例如，一个免费的智能手机应用程序可能允许您随时开启和关闭对您所有三个信用档案的访问。加州大学伯克利分校的隐私法教授克里斯·杰伊·霍夫纳格尔曾主张，这样的转变可能会改变消费者与信用报告公司之间的关系。您将不再只是他们跟踪的另一个档案，而是他们需要合作和取悦的人。

实现这样的系统安全性面临技术挑战，但克服这些挑战可能会带来附带好处。如果信用行业开始优先考虑消费者信用档案的安全性，它也可能有助于减少社会安全号码的作用。目前，社会安全号码是金融系统用于跟踪和验证消费者的关键工具，而今天它似乎显得格外低科技。比如，在新电脑上登录Facebook可能需要您提供唯一密码和发送到您手机的验证码，而获取新信用卡可能只需提供您的姓名、一些个人信息和一个由1936年设立的系统生成的九位数字，该系统旨在帮助管理老年退休福利。

209,000：在此次黑客攻击中，信用卡号码被访问的消费者数量

社会安全号码并不是为了促进安全而建立的。直到2011年，它甚至不是随机生成的，而是部分基于你发放时居住的地方。这个号码逐渐变得至关重要。在1930年代，它巧妙地解决了困扰消费者的问题——所有那些同名的人。一个历史页面在社会安全网站上提到了一篇1937年的出版物，称“纽约市的弗雷德·史密斯们在被债权人、法院甚至朋友识别时遇到了如此多的麻烦，以至于他们联合成立了‘弗雷德·史密斯公司’。”在1943年，联邦机构被要求在建立新记录系统时使用该号码作为标识符，但它的使用真正开始于1960年代，随着计算机的出现。到1973年，政府报告警告说，社会安全号码不应成为国家标识符，但新的法规和立法促进了它在包括金融服务在内的广泛领域的使用。

很长一段时间以来，人们对分享他们的号码很随意。大学将社会安全号码用作学生身份证，而一家制造商曾在其在沃尔沃斯出售的钱包中包含了一张社会安全卡的样本——一张公司秘书实际卡的复制品。但随着社会安全号码的传播，相关的风险也在增加。一旦你的社会安全号码被泄露，解决这个问题就很困难，部分原因是许多系统依赖于它。虽然在身份盗窃或滥用的情况下，或者如果你是家庭暴力的受害者，你可以获得一个新号码，但这并不是一个简单的过程。在身份盗窃的情况下，你必须提供号码被滥用的证据，以及它如何对你造成持续的重大伤害。

解决社会安全号码（SSN）问题的终极方案可能既不是一种新类型的号码，也不是一个单一的魔法密码。“答案是层次，”身份盗窃资源中心的首席执行官埃娃·维拉斯奎兹（Eva Velasquez）说，这是一家帮助遭受欺诈的消费者的非营利组织。因此，除了SSN之外，您可能会开始看到更多现在标准的互联网安全协议的使用，例如安全问题的组合和通过电子邮件或短信发送的一次性安全代码。这些系统可能与某种默认冻结相辅相成——在您申请商店信用的同时，您可能还会收到有人想查看您的信用档案的警报，并且您需要在手机上进行身份验证过程。

31%：从9月7日到9月13日，Equifax股票价值下降

但这样的措施回到了系统中的基本紧张关系——在您试图以分期付款方式购买那款999美元的新iPhone时，额外的步骤可能会减慢进程。“当我与身份盗窃受害者交谈时，他们非常愿意放弃一些便利，”维拉斯奎兹说。“因为他们知道后果是什么。我们在经历这些大规模数据泄露时能看到的少数几个好处之一是，它确实将其带到了我们国家意识的前沿，我们开始讨论在身份和数据方面我们的优先事项是什么。”

这些对话现在正在华盛顿进行。当Equifax泄露的消息传出时，众议院的一个委员会正在听取证词，讨论一项将限制对信用报告公司的某些诉讼损害赔偿的法案。此次泄露可能会减缓这种法案的势头，并可能使事情朝相反的方向发展。目前至少有六个国会委员会正在审查Equifax。

看起来很明显的问题是，这个问题已经变得太大，无法将如此多的责任归咎于消费者。外面有太多的数据可以被窃取——在今年夏天的Equifax泄露之前，已经发生了Yahoo!、Home Depot、Target，甚至政府的数据盗窃。当然，谨慎对待你的社会安全号码是个好主意，设置欺诈警报或安全冻结更是明智之举。但你真正需要的是对你的数据使用方式有更多的控制——默认情况下。—与卡伦·韦斯和**伊丽莎白·德克海默