首页 首页 人工智能 查看内容

企业如何有效保护客户信息

木马童年 2019-5-27 14:55 66 0

相信大多数人都有过类似的经历,如果你是股民,经常会有陌生的电话打过来向你推荐股票;如果你是业主,会有陌生的电话问你的房子是否打算出售或者出租;如果你是刚生完小孩的母亲,会收到推销婴儿用品的电话等等。他 ...

相信大多数人都有过类似的经历,如果你是股民,经常会有陌生的电话打过来向你推荐股票;如果你是业主,会有陌生的电话问你的房子是否打算出售或者出租;如果你是刚生完小孩的母亲,会收到推销婴儿用品的电话等等。他们对你的家庭详细情况,包括家里几口人,收入情况,住宅详细地址等等个人信息了如指掌。但是你根本不认识打电话的这个人,更不知道他如何知道你的电话和家庭详细情况。为此,很多人都会非常困惑甚至气愤,我的个人信息到底到底是怎么被泄露出去的?熟不知,在网络上,类似新开楼盘业主信息、车主信息、孕妇信息、股民信息、各公司高管的信息等等各种各样的个人隐私信息正在被明码标价的贩卖,非法传播。

针对个人信息被广泛泄露的情况,近日,十一届全国人大常委会第七次会议通过了《中华人民共和国刑法修正案(七)》,自公布之日起正式施行,就此我国对个人信息的保护已经有法可依。以下是其中关于个人信息安全的条文:

国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金。

“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”

“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

这意味着,随意出售个人隐私信息,将可能触犯刑法。另外,还有一部《个人信息保护法》已经提交国务院审批,对于如何有效的保护个人信息做出了更加细节性的规定。

 以下,我来从多个方面整体的分析如何有效的保护个人信息。

从法律方面,值得庆幸的是,对于个人信息的非法泄露,《中华人民共和国刑法修正案(七)》已经明确了正式的罚则,随着日后《个人信息保护法》的出台,对于个人信息的保护已经有法可依,不再是以前没人管的状态。但是仅有这两部法律是远远不够的,刑法作为最严厉的法律处于整个法律体系的后端,是保护个人合法权利的最后一道防线。目前,在法律体系的前端,比如民法,行政法以及各行业内部的法律法规等并没有针对个人信息泄露方面做出明确的规定,这样,从法律体系的角度来看,就存在一个脱节的问题。在我国,针对个人信息安全的保护是这两年的一个新生事物,相关配套的法律体系的完善也需要一个过程,我们应该有信心,国家已经非常重视个人信息泄露的问题,也一定会尽快的完善相关的法律法规,形成 完整的法律体系,在法律上,有效的维护个人信息的安全。

另外,我们从个人信息被非法传递的链条方面进行分析。目前,几乎每个行业都存在严重的个人信息被泄露的情况,造成这种情况的原因是因为背后已经形成一条庞大的产业链,个人信息被明码标价,便宜的一分钱一条,贵的几元钱一条,只要出钱,任何人都可以轻易的得到他人的私人信息。下面,我们将对这个产业链条进行详细的分析。

源头是谁?就是我们自己,有人可能质疑,难道我自己的信息被泄露我还需要承担责任么?我觉得答案是肯定的,因为很多普通老百姓根本没有对自己个人信息保护的意识,很轻易的在公开的场合透露自己的信息。举个例子,很多年轻人很喜欢用QQ特别喜欢QQ的一项功能,QQ空间,在里面写日志,发照片、视频等等。我们经常可以看到这样的报道,某人把自己的裸照放在QQ空间里,以为设置了密码别人就看不到了,没想到某一天,发现自己的裸照竟然出现在网上某个论坛里被公开浏览,原来,自己QQ相册的密码被破解了。试想,如果当初这个人不把照片上传到QQ空间里,也许就不会发生后面一系列的事情,也就可以避免自己的生活陷入被动。说到底还是一个安全意识的问题。因为安全意识的原因导致个人信息被泄露的案例太多了,当然,缺乏个人信息保护意识最典型的例子就是艳照门事件了,记者采访陈冠希的时候,他说他认为把照片放到回收站里就等于彻底删除了。在信息化如此发达的今天,增强个人信息安全保护意识,学习一些基本的安全常识,可以有效的避免个人信息的泄露。

泄密方是谁?因为生活需要,我们不得不在多种场合登记自己的个人信息,那么,保存这些信息的这些机构单位就很有可能成为我们个人信息的泄密方。象前面提到的业主信息泄密方一般是物业或者开发商内部人员;车主信息泄密方一般是车管所内部人员;孕妇信息泄密方一般是医院内部人员;股民信息泄密方一般是证券公司内部人员等等;这些“内部人员”可以轻易的收集并带走这些客户的信息,并由于利益的驱使,出售这些信息,这样才导致了个人信息被广泛的传播。这些大家可能都知道,大家更关心的是如何尽量的避免这种情况的发生。如果避免不了,如何确定到底是哪些“内部人员”泄露了这些信息。如果解决不了这两个问题,谈个人信息的保护就是空谈。那么到底能不能解决这两个问题呢,我觉得完全可以,而且别的国家已经做的很好了,我们也可以做到。下面我们具体分析如何来解决这两个问题。

我觉得各个行业的情况是不同的,不能一概而论,没有一个解决方案适用于所有的行业,应该根据每个行业的具体特点提供相应的解决方案。大的方面来讲,我觉得首先各行业的监管部门,比如证监会、银监会、保监会等应该出台行业内的针对客户信息保护的规定,在这方面要对行业内的公司提出明确要求,并对规定的执行情况进行检查。具体到行业内的某个公司,应结合公司的现状,通过管理手段、技术手段和法律手段并用的方式加强公司的内部控制来解决这两个问题。下面,我就两个行业的情况做出具体的分析。

电信行业,经过行业重组后,目前主要形成三大电信运营商,这三大电信运营商都是在美国上市的公司,均通过了美国萨班斯法案的审计,有着比较完善的公司内部控制体系。这些公司普遍采用的国际上比较成熟的COSO控制模型来加强对公司的内部控制。

 COSO控制模型

  COSO模型利用多个维度协助公司建立起有效的内部控制体系。这些运营商聘请国际着名的咨询公司协助它们设计符合它们实际情况的内控体系,运营商们通过业务流程重组,设计合理的管理控制流程,明确每个业务的控制点和责任人,并采购了大量的设备通过技术手段对信息在系统传递的整个过程进行保护和实时审计,最终建立了一套有效的内部控制体系。相比内控体系建立之前,公司的内控情况已经有了明显的改善,而且得到了国际上的认可。当然,如果建立起这样一套完整的公司内部控制体系,需要花费较大的成本和时间。一般的中小型企业可能无力承担这样的成本,其实国内已经成长起来一批咨询公司,他们已经积累了多个行业的成功经验,具备拥有国际专业资质和丰富项目实施经验的咨询顾问,完全有能力在中小企业可以接受的成本前提下,协助它们建立起符合它们自己实际情况的有效的内控体系。

也许有人会问,既然这些大的电信运营商已经花费这么大的成本建立了这样一套比较成熟的内部控制体系,那为什么还存在泄露个人信息的情况呢?因为即使是国际上比较成熟的内控体系也只能为企业提供内部控制的合理保证,不能提供绝对保证,世界上并不存在完美的内部控制体系。但是我要强调的是,有和没有这套内控体系,对于企业和企业的客户来说是有着巨大的差异的。就好像在流感暴发的时候,一个人打了流感疫苗虽然不能完全避免得流感,但是在绝大多数情况下,是不会得流感的,因为疫苗可以为这个人建立起有效的防护体系。但是如果一个人不打疫苗,得流感的概率就要大的多了。如果企业没有建立起有效的内部控制体系,对于客户的信息没有有效的管理控制措施,企业内部人员谁都可以轻易拿到客户信息,再加上利益的驱使,那么客户个人信息的泄露就不是偶然而会成为一种必然。

相比电信行业,金融行业的内控情况就参差不齐了,大的银行特别是在美国或者香港上市的银行在内控方面做的就比较好,而保险公司、证券公司、基金公司等在内控建设方面和电信运营商以及大的银行比起来就有非常明显的差距了。以证券公司为例,证券公司的核心业务之一是经纪业务,经纪业务赚钱的唯一方式是券商的佣金,客户交易量越大,证券公司的佣金就越高,因此营业部的中户、大户、私募机构户和机构户等就是各个券商争夺的重点。有些证券公司甚至有专门的团队通过金钱收买等方式来要求其他公司内部员工收集其所在公司的高价值客户信息,一旦得到这些客户的信息后,便对其进行重点营销,通过各种方式,比如降低佣金等条件来拉拢这些客户到他们的公司开户交易。目前,证券行业对于这种行为缺乏有效的监管,再加上我国证券行业发展处于初级阶段,公司之间竞争激烈,这种行为在行业内普遍存在。

证券公司中直接和股民打交道的是经纪业务部门,股民在营业部开户时填写的资料信息会被输入到交易系统,证券公司会根据业务需要将交易系统中的客户信息同步到其他的系统,比如客服系统,营销系统等。这样客户信息就被扩散到公司的各个部门,如果各部门对于这些信息没有进行有效的管控,信息就有可能被从各个渠道泄露出去。比如我本人参与过的证券行业某个公司的项目,这个公司在行业内综合排名属于比较靠前的,但是竟然没有公司层面的内部控制体系,这样对于客户资料的保护完全是被动式了,虽然采取了一些措施,制定了一些管理制度,但是无法有效的保护客户信息,客户信息泄露的情况屡次发生,给公司的声誉带来不良的影响。这个客户的管理层对于客户信息的保护是很重视的,反复强调对于客户信息保护的重要性,但是不知道具体该怎么做才能有效保护这些信息,因为可能泄露这些信息的渠道太多了。对此,我们的建议是:

一、法律方面,应根据该行业特点,在员工入职时需签订保密协议,保密协议中应明确员工对于公司客户信息保密的法律义务。

二、管理方面,应建立公司层面的内控体系,将对客户信息的保护纳入整个公司的内控体系范围内;梳理客户信息从登记、流转,分发、到使用的数据流向及其对应的业务流程,建立相应的控制措施,明确每个环节数据保护的责任人,如果确定信息从某个环节泄露,应对该责任人进行问责;根据客户资金量,将客户信息进行分类,对于不同类型的客户信息进行分级授权,授权原则依据“知必所需”的最小化原则,这样能够看到高价值客户信息的人的范围就会缩小的最小。由公司的审计部门或者聘请外部第三方专业机构定期对公司以及营业部的内控情况进行检查,发现漏洞及时弥补。

三、技术方面,对业务人员通过技术手段限制对于客户信息的批量查询,限制客户信息的导出,同时禁止拷屏;通过终端安全系统禁用U盘,移动硬盘等移动存储设备,限制工作电脑安装的工具软件类型;同时利用技术手段,将办公网和业务网物理隔离,确保业务数据只保留在业务操作用的电脑上,而不会被员工带走。对IT人员,特别是对负责维护含有客户信息的数据库的IT人员的后台系统和数据库的权限进行严格控制,对其操作进行严格实时监控和审计,防止IT人员通过技术手段对客户信息进行未授权操作或者将客户信息拿走。

四、在与第三方的合作中,也应特别注意保护公司客户信息的安全性。由于证券公司IT人员技术水平和能力的限制,交易系统以及其他重要的信息系统大多采用外包的方式进行开发,在系统上线前,开发商由于要对系统进行测试,因此需要部分生产数据。那么IT部门在把生产数据交给开发商之前,必须经过严格的数据脱敏过程,确保开发商拿到的数据里不包含客户的真实信息和交易记录。

这些控制措施的综合运用使得能够看到高价值客户信息的人很少,即使因工作需要拥有查询这些客户信息权限的岗位,也会对其操作进行严格控制,使其无法将数据带走。这样通过技术和管理手段的综合运用,可以有效防止客户信息的泄露。但是如果客户信息最终还是被泄露出去,公司还可以利用技术手段收集泄露客户信息的证据,比如交易系统操作行为的审计记录等,然后根据这些证据,通过法律手段对信息泄露人进行起诉。

我国颁布的《中华人民共和国刑法修正案(七)》只是对个人信息的泄密方和购买方明确了相应的罚则,但是对于信息的传播方并没有规定具体的罚则,对于个人信息的传播方,我认为可以通过完善相关的法律体系来对其进行严厉的制裁。另外,被泄露的个人信息主要通过互联网进行传播,交易,有关部门可以通过在网络上采取将出售个人信息的网站、论坛等纳入不良网站,进行强制关闭,同时鼓励广大网民积极举报出售个人信息的网站等多种方式切断个人隐私信息的传播路径,这样可以有效的切断这个产业链,进而保护公民的个人隐私。

那么国外是如何保护个人信息的呢?欧美各国将对于个人信息的保护视为保护人权的具体表现。拿美国为例,美国将个人信息作为隐私的一项重要内容以专门立法予以保护。如1974年联邦《隐私权法》主要内容就是保护个人信息。该法全面规范了联邦、州政府对个人信息的收集、使用、处理。除联邦《隐私法》外其他各州也制订了类似的隐私保护法。欧洲各国虽然也多采取专门立法的形式保护个人信息。但并不称之为隐私法,而多以信息法、资料法命名。如德国1976年颁布《联邦资料保护法》英国《数据保护法》等,并且欧洲国家以缔结条约形式对个人信息予以保护,如1980年经济合作与发展组织向其成员国发布一份《关于保护隐私与个人数据之跨国界流动指南》。欧美等发达国家都已经建立了完善的对于个人信息保护的法律体系,并且严格的执行。另外,欧美国家的整体公司治理环境也较好,例如美国证监会对于在美国上市的不论是国内公司还是国外公司的内部控制体系有着非常严格的要求,例如着名的萨班斯法案,这样公司的内部管理就比较规范,相应的对于公司客户信息的保护也就比较到位。因此这些发达国家可以有效的保护公民个人信息不受侵犯。

对于广大个人信息被泄露的普通老百姓,应该增加自己的维权意识,当发现自己的个人信息被泄露时,应及时向有关部门,甚至监管机构进行投诉,这样才能引起有关方面的足够重视。并积极配合相关部门的调查,维护自己的合法权益。

总之,对于个人信息的保护不是一个部门,一个单位的事情,它需要相关的方面进行通力合作。国家把对个人信息的保护写入刑法,足见国家对于个人信息安全的高度重视,因此我们应有信心,将来的某一天,现在这种个人隐私信息满天飞的情况会得到明显的改善。

关于作者:

  葛吉虎,谷安天下咨询顾问,CISA、CIA。主要从事SOX404、 IT内部控制、IT治理、IT审计、信息安全管理体系(ISO27001)咨询等方面工作,曾全程参与中国移动萨班斯合规审计项目,在电信、证券等行业具有丰富的项目实施经验。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

个人隐私 信息安全 信息泄露 产业链 信息保护 信息化
0