企業(yè)如何有效地保護各類客戶信息

申請免費試用、咨詢電話：400-8352-114

相信大多數人都有過類似的經歷，如果你是股民，經常會有陌生的電話打過來向你推薦股票；如果你是業(yè)主，會有陌生的電話問你的房子是否打算出售或者出租；如果你是剛生完小孩的母親，會收到推銷嬰兒用品的電話等等。他們對你的家庭詳細情況，包括家里幾口人，收入情況，住宅詳細地址等等個人信息了如指掌。但是你根本不認識打電話的這個人，更不知道他如何知道你的電話和家庭詳細情況。為此，很多人都會非常困惑甚至氣憤，我的個人信息到底到底是怎么被泄露出去的？熟不知，在網絡上，類似新開樓盤業(yè)主信息、車主信息、孕婦信息、股民信息、各公司高管的信息等等各種各樣的個人隱私信息正在被明碼標價的販賣，非法傳播。

針對個人信息被廣泛泄露的情況，近日，十一屆全國人大常委會第七次會議通過了《中華人民共和國刑法修正案（七）》，自公布之日起正式施行，就此我國對個人信息的保護已經有法可依。以下是其中關于個人信息安全的條文：

國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，將本單位在履行職責或提供服務過程中獲得的公民個人信息，出售或非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或單處罰金。

“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰?！?/P>

“單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！?/P>

這意味著，隨意出售個人隱私信息，將可能觸犯刑法。另外，還有一部《個人信息保護法》已經提交國務院審批，對于如何有效的保護個人信息做出了更加細節(jié)性的規(guī)定。

以下，我來從多個方面整體的分析如何有效的保護個人信息。

從法律方面，值得慶幸的是，對于個人信息的非法泄露，《中華人民共和國刑法修正案（七）》已經明確了正式的罰則，隨著日后《個人信息保護法》的出臺，對于個人信息的保護已經有法可依，不再是以前沒人管的狀態(tài)。但是僅有這兩部法律是遠遠不夠的，刑法作為最嚴厲的法律處于整個法律體系的后端，是保護個人合法權利的最后一道防線。目前，在法律體系的前端，比如民法，行政法以及各行業(yè)內部的法律法規(guī)等并沒有針對個人信息泄露方面做出明確的規(guī)定，這樣，從法律體系的角度來看，就存在一個脫節(jié)的問題。在我國，針對個人信息安全的保護是這兩年的一個新生事物，相關配套的法律體系的完善也需要一個過程，我們應該有信心，國家已經非常重視個人信息泄露的問題，也一定會盡快的完善相關的法律法規(guī)，形成 完整的法律體系，在法律上，有效的維護個人信息的安全。

另外，我們從個人信息被非法傳遞的鏈條方面進行分析。目前，幾乎每個行業(yè)都存在嚴重的個人信息被泄露的情況，造成這種情況的原因是因為背后已經形成一條龐大的產業(yè)鏈，個人信息被明碼標價，便宜的一分錢一條，貴的幾元錢一條，只要出錢，任何人都可以輕易的得到他人的私人信息。下面，我們將對這個產業(yè)鏈條進行詳細的分析。

源頭是誰？就是我們自己，有人可能質疑，難道我自己的信息被泄露我還需要承擔責任么？我覺得答案是肯定的，因為很多普通老百姓根本沒有對自己個人信息保護的意識，很輕易的在公開的場合透露自己的信息。舉個例子，很多年輕人很喜歡用QQ特別喜歡QQ的一項功能，QQ空間，在里面寫日志，發(fā)照片、視頻等等。我們經?？梢钥吹竭@樣的報道，某人把自己的裸照放在QQ空間里，以為設置了密碼別人就看不到了，沒想到某一天，發(fā)現自己的裸照竟然出現在網上某個論壇里被公開瀏覽，原來，自己QQ相冊的密碼被破解了。試想，如果當初這個人不把照片上傳到QQ空間里，也許就不會發(fā)生后面一系列的事情，也就可以避免自己的生活陷入被動。說到底還是一個安全意識的問題。因為安全意識的原因導致個人信息被泄露的案例太多了，當然，缺乏個人信息保護意識最典型的例子就是艷照門事件了，記者采訪陳冠希的時候，他說他認為把照片放到回收站里就等于徹底刪除了。在信息化如此發(fā)達的今天，增強個人信息安全保護意識，學習一些基本的安全常識，可以有效的避免個人信息的泄露。

泄密方是誰？因為生活需要，我們不得不在多種場合登記自己的個人信息，那么，保存這些信息的這些機構單位就很有可能成為我們個人信息的泄密方。象前面提到的業(yè)主信息泄密方一般是物業(yè)或者開發(fā)商內部人員；車主信息泄密方一般是車管所內部人員；孕婦信息泄密方一般是醫(yī)院內部人員；股民信息泄密方一般是證券公司內部人員等等；這些“內部人員”可以輕易的收集并帶走這些客戶的信息，并由于利益的驅使，出售這些信息，這樣才導致了個人信息被廣泛的傳播。這些大家可能都知道，大家更關心的是如何盡量的避免這種情況的發(fā)生。如果避免不了，如何確定到底是哪些“內部人員”泄露了這些信息。如果解決不了這兩個問題，談個人信息的保護就是空談。那么到底能不能解決這兩個問題呢，我覺得完全可以，而且別的國家已經做的很好了，我們也可以做到。下面我們具體分析如何來解決這兩個問題。

我覺得各個行業(yè)的情況是不同的，不能一概而論，沒有一個解決方案適用于所有的行業(yè)，應該根據每個行業(yè)的具體特點提供相應的解決方案。大的方面來講，我覺得首先各行業(yè)的監(jiān)管部門，比如證監(jiān)會、銀監(jiān)會、保監(jiān)會等應該出臺行業(yè)內的針對客戶信息保護的規(guī)定，在這方面要對行業(yè)內的公司提出明確要求，并對規(guī)定的執(zhí)行情況進行檢查。具體到行業(yè)內的某個公司，應結合公司的現狀，通過管理手段、技術手段和法律手段并用的方式加強公司的內部控制來解決這兩個問題。下面，我就兩個行業(yè)的情況做出具體的分析。

電信行業(yè)，經過行業(yè)重組后，目前主要形成三大電信運營商，這三大電信運營商都是在美國上市的公司，均通過了美國薩班斯法案的審計，有著比較完善的公司內部控制體系。這些公司普遍采用的國際上比較成熟的COSO控制模型來加強對公司的內部控制。

COSO控制模型

COSO模型利用多個維度協助公司建立起有效的內部控制體系。這些運營商聘請國際著名的咨詢公司協助它們設計符合它們實際情況的內控體系，運營商們通過業(yè)務流程重組，設計合理的管理控制流程，明確每個業(yè)務的控制點和責任人，并采購了大量的設備通過技術手段對信息在系統(tǒng)傳遞的整個過程進行保護和實時審計，最終建立了一套有效的內部控制體系。相比內控體系建立之前，公司的內控情況已經有了明顯的改善，而且得到了國際上的認可。當然，如果建立起這樣一套完整的公司內部控制體系，需要花費較大的成本和時間。一般的中小型企業(yè)可能無力承擔這樣的成本，其實國內已經成長起來一批咨詢公司，他們已經積累了多個行業(yè)的成功經驗，具備擁有國際專業(yè)資質和豐富項目實施經驗的咨詢顧問，完全有能力在中小企業(yè)可以接受的成本前提下，協助它們建立起符合它們自己實際情況的有效的內控體系。

也許有人會問，既然這些大的電信運營商已經花費這么大的成本建立了這樣一套比較成熟的內部控制體系，那為什么還存在泄露個人信息的情況呢？因為即使是國際上比較成熟的內控體系也只能為企業(yè)提供內部控制的合理保證，不能提供絕對保證，世界上并不存在完美的內部控制體系。但是我要強調的是，有和沒有這套內控體系，對于企業(yè)和企業(yè)的客戶來說是有著巨大的差異的。就好像在流感暴發(fā)的時候，一個人打了流感疫苗雖然不能完全避免得流感，但是在絕大多數情況下，是不會得流感的，因為疫苗可以為這個人建立起有效的防護體系。但是如果一個人不打疫苗，得流感的概率就要大的多了。如果企業(yè)沒有建立起有效的內部控制體系，對于客戶的信息沒有有效的管理控制措施，企業(yè)內部人員誰都可以輕易拿到客戶信息，再加上利益的驅使，那么客戶個人信息的泄露就不是偶然而會成為一種必然。

相比電信行業(yè)，金融行業(yè)的內控情況就參差不齊了，大的銀行特別是在美國或者香港上市的銀行在內控方面做的就比較好，而保險公司、證券公司、基金公司等在內控建設方面和電信運營商以及大的銀行比起來就有非常明顯的差距了。以證券公司為例，證券公司的核心業(yè)務之一是經紀業(yè)務，經紀業(yè)務賺錢的唯一方式是券商的傭金，客戶交易量越大，證券公司的傭金就越高，因此營業(yè)部的中戶、大戶、私募機構戶和機構戶等就是各個券商爭奪的重點。有些證券公司甚至有專門的團隊通過金錢收買等方式來要求其他公司內部員工收集其所在公司的高價值客戶信息，一旦得到這些客戶的信息后，便對其進行重點營銷，通過各種方式，比如降低傭金等條件來拉攏這些客戶到他們的公司開戶交易。目前，證券行業(yè)對于這種行為缺乏有效的監(jiān)管，再加上我國證券行業(yè)發(fā)展處于初級階段，公司之間競爭激烈，這種行為在行業(yè)內普遍存在。

證券公司中直接和股民打交道的是經紀業(yè)務部門，股民在營業(yè)部開戶時填寫的資料信息會被輸入到交易系統(tǒng)，證券公司會根據業(yè)務需要將交易系統(tǒng)中的客戶信息同步到其他的系統(tǒng)，比如客服系統(tǒng)，營銷系統(tǒng)等。這樣客戶信息就被擴散到公司的各個部門，如果各部門對于這些信息沒有進行有效的管控，信息就有可能被從各個渠道泄露出去。比如我本人參與過的證券行業(yè)某個公司的項目，這個公司在行業(yè)內綜合排名屬于比較靠前的，但是竟然沒有公司層面的內部控制體系，這樣對于客戶資料的保護完全是被動式了，雖然采取了一些措施，制定了一些管理制度，但是無法有效的保護客戶信息，客戶信息泄露的情況屢次發(fā)生，給公司的聲譽帶來不良的影響。這個客戶的管理層對于客戶信息的保護是很重視的，反復強調對于客戶信息保護的重要性，但是不知道具體該怎么做才能有效保護這些信息，因為可能泄露這些信息的渠道太多了。對此，我們的建議是：

一、法律方面，應根據該行業(yè)特點，在員工入職時需簽訂保密協議，保密協議中應明確員工對于公司客戶信息保密的法律義務。

二、管理方面，應建立公司層面的內控體系，將對客戶信息的保護納入整個公司的內控體系范圍內；梳理客戶信息從登記、流轉，分發(fā)、到使用的數據流向及其對應的業(yè)務流程，建立相應的控制措施，明確每個環(huán)節(jié)數據保護的責任人，如果確定信息從某個環(huán)節(jié)泄露，應對該責任人進行問責；根據客戶資金量，將客戶信息進行分類，對于不同類型的客戶信息進行分級授權，授權原則依據“知必所需”的最小化原則，這樣能夠看到高價值客戶信息的人的范圍就會縮小的最小。由公司的審計部門或者聘請外部第三方專業(yè)機構定期對公司以及營業(yè)部的內控情況進行檢查，發(fā)現漏洞及時彌補。

三、技術方面，對業(yè)務人員通過技術手段限制對于客戶信息的批量查詢，限制客戶信息的導出，同時禁止拷屏；通過終端安全系統(tǒng)禁用U盤，移動硬盤等移動存儲設備，限制工作電腦安裝的工具軟件類型；同時利用技術手段，將辦公網和業(yè)務網物理隔離，確保業(yè)務數據只保留在業(yè)務操作用的電腦上，而不會被員工帶走。對IT人員，特別是對負責維護含有客戶信息的數據庫的IT人員的后臺系統(tǒng)和數據庫的權限進行嚴格控制，對其操作進行嚴格實時監(jiān)控和審計，防止IT人員通過技術手段對客戶信息進行未授權操作或者將客戶信息拿走。

四、在與第三方的合作中，也應特別注意保護公司客戶信息的安全性。由于證券公司IT人員技術水平和能力的限制，交易系統(tǒng)以及其他重要的信息系統(tǒng)大多采用外包的方式進行開發(fā)，在系統(tǒng)上線前，開發(fā)商由于要對系統(tǒng)進行測試，因此需要部分生產數據。那么IT部門在把生產數據交給開發(fā)商之前，必須經過嚴格的數據脫敏過程，確保開發(fā)商拿到的數據里不包含客戶的真實信息和交易記錄。

這些控制措施的綜合運用使得能夠看到高價值客戶信息的人很少，即使因工作需要擁有查詢這些客戶信息權限的崗位，也會對其操作進行嚴格控制，使其無法將數據帶走。這樣通過技術和管理手段的綜合運用，可以有效防止客戶信息的泄露。但是如果客戶信息最終還是被泄露出去，公司還可以利用技術手段收集泄露客戶信息的證據，比如交易系統(tǒng)操作行為的審計記錄等，然后根據這些證據，通過法律手段對信息泄露人進行起訴。

我國頒布的《中華人民共和國刑法修正案（七）》只是對個人信息的泄密方和購買方明確了相應的罰則，但是對于信息的傳播方并沒有規(guī)定具體的罰則，對于個人信息的傳播方，我認為可以通過完善相關的法律體系來對其進行嚴厲的制裁。另外，被泄露的個人信息主要通過互聯網進行傳播，交易，有關部門可以通過在網絡上采取將出售個人信息的網站、論壇等納入不良網站，進行強制關閉，同時鼓勵廣大網民積極舉報出售個人信息的網站等多種方式切斷個人隱私信息的傳播路徑，這樣可以有效的切斷這個產業(yè)鏈，進而保護公民的個人隱私。

那么國外是如何保護個人信息的呢？歐美各國將對于個人信息的保護視為保護人權的具體表現。拿美國為例，美國將個人信息作為隱私的一項重要內容以專門立法予以保護。如1974年聯邦《隱私權法》主要內容就是保護個人信息。該法全面規(guī)范了聯邦、州政府對個人信息的收集、使用、處理。除聯邦《隱私法》外其他各州也制訂了類似的隱私保護法。歐洲各國雖然也多采取專門立法的形式保護個人信息。但并不稱之為隱私法，而多以信息法、資料法命名。如德國1976年頒布《聯邦資料保護法》英國《數據保護法》等，并且歐洲國家以締結條約形式對個人信息予以保護，如1980年經濟合作與發(fā)展組織向其成員國發(fā)布一份《關于保護隱私與個人數據之跨國界流動指南》。歐美等發(fā)達國家都已經建立了完善的對于個人信息保護的法律體系，并且嚴格的執(zhí)行。另外，歐美國家的整體公司治理環(huán)境也較好，例如美國證監(jiān)會對于在美國上市的不論是國內公司還是國外公司的內部控制體系有著非常嚴格的要求，例如著名的薩班斯法案，這樣公司的內部管理就比較規(guī)范，相應的對于公司客戶信息的保護也就比較到位。因此這些發(fā)達國家可以有效的保護公民個人信息不受侵犯。

對于廣大個人信息被泄露的普通老百姓，應該增加自己的維權意識，當發(fā)現自己的個人信息被泄露時，應及時向有關部門，甚至監(jiān)管機構進行投訴，這樣才能引起有關方面的足夠重視。并積極配合相關部門的調查，維護自己的合法權益。

總之，對于個人信息的保護不是一個部門，一個單位的事情，它需要相關的方面進行通力合作。國家把對個人信息的保護寫入刑法，足見國家對于個人信息安全的高度重視，因此我們應有信心，將來的某一天，現在這種個人隱私信息滿天飛的情況會得到明顯的改善。（IT專家網）