企業(yè)如何有效保護(hù)客戶信息

申請免費試用、咨詢電話：400-8352-114

相信大多數(shù)人都有過類似的經(jīng)歷，如果你是股民，經(jīng)常會有陌生的電話打過來向你推薦股票；如果你是業(yè)主，會有陌生的電話問你的房子是否打算出售或者出租；如果你是剛生完小孩的母親，會收到推銷嬰兒用品的電話等等。他們對你的家庭詳細(xì)情況，包括家里幾口人，收入情況，住宅詳細(xì)地址等等個人信息了如指掌。但是你根本不認(rèn)識打電話的這個人，更不知道他如何知道你的電話和家庭詳細(xì)情況。為此，很多人都會非常困惑甚至氣憤，我的個人信息到底到底是怎么被泄露出去的？熟不知，在網(wǎng)絡(luò)上，類似新開樓盤業(yè)主信息、車主信息、孕婦信息、股民信息、各公司高管的信息等等各種各樣的個人隱私信息正在被明碼標(biāo)價的販賣，非法傳播。

針對個人信息被廣泛泄露的情況，近日，十一屆全國人大常委會第七次會議通過了《中華人民共和國刑法修正案（七）》，自公布之日起正式施行，就此我國對個人信息的保護(hù)已經(jīng)有法可依。以下是其中關(guān)于個人信息安全的條文：

國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，將本單位在履行職責(zé)或提供服務(wù)過程中獲得的公民個人信息，出售或非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或單處罰金。

“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。”

“單位犯前兩款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！边@意味著，隨意出售個人隱私信息，將可能觸犯刑法。另外，還有一部《個人信息保護(hù)法》已經(jīng)提交國務(wù)院審批，對于如何有效的保護(hù)個人信息做出了更加細(xì)節(jié)性的規(guī)定。

以下，我來從多個方面整體的分析如何有效的保護(hù)個人信息。

從法律方面，值得慶幸的是，對于個人信息的非法泄露，《中華人民共和國刑法修正案（七）》已經(jīng)明確了正式的罰則，隨著日后《個人信息保護(hù)法》的出臺，對于個人信息的保護(hù)已經(jīng)有法可依，不再是以前沒人管的狀態(tài)。但是僅有這兩部法律是遠(yuǎn)遠(yuǎn)不夠的，刑法作為最嚴(yán)厲的法律處于整個法律體系的后端，是保護(hù)個人合法權(quán)利的最后一道防線。目前，在法律體系的前端，比如民法，行政法以及各行業(yè)內(nèi)部的法律法規(guī)等并沒有針對個人信息泄露方面做出明確的規(guī)定，這樣，從法律體系的角度來看，就存在一個脫節(jié)的問題。在我國，針對個人信息安全的保護(hù)是這兩年的一個新生事物，相關(guān)配套的法律體系的完善也需要一個過程，我們應(yīng)該有信心，國家已經(jīng)非常重視個人信息泄露的問題，也一定會盡快的完善相關(guān)的法律法規(guī)，形成    完整的法律體系，在法律上，有效的維護(hù)個人信息的安全。

另外，我們從個人信息被非法傳遞的鏈條方面進(jìn)行分析。目前，幾乎每個行業(yè)都存在嚴(yán)重的個人信息被泄露的情況，造成這種情況的原因是因為背后已經(jīng)形成一條龐大的產(chǎn)業(yè)鏈，個人信息被明碼標(biāo)價，便宜的一分錢一條，貴的幾元錢一條，只要出錢，任何人都可以輕易的得到他人的私人信息。下面，我們將對這個產(chǎn)業(yè)鏈條進(jìn)行詳細(xì)的分析。

源頭是誰？就是我們自己，有人可能質(zhì)疑，難道我自己的信息被泄露我還需要承擔(dān)責(zé)任么？我覺得答案是肯定的，因為很多普通老百姓根本沒有對自己個人信息保護(hù)的意識，很輕易的在公開的場合透露自己的信息。舉個例子，很多年輕人很喜歡用QQ特別喜歡QQ的一項功能，QQ空間，在里面寫日志，發(fā)照片、視頻等等。我們經(jīng)?？梢钥吹竭@樣的報道，某人把自己的裸照放在QQ空間里，以為設(shè)置了密碼別人就看不到了，沒想到某一天，發(fā)現(xiàn)自己的裸照竟然出現(xiàn)在網(wǎng)上某個論壇里被公開瀏覽，原來，自己QQ相冊的密碼被破解了。試想，如果當(dāng)初這個人不把照片上傳到QQ空間里，也許就不會發(fā)生后面一系列的事情，也就可以避免自己的生活陷入被動。說到底還是一個安全意識的問題。因為安全意識的原因?qū)е聜€人信息被泄露的案例太多了，當(dāng)然，缺乏個人信息保護(hù)意識最典型的例子就是艷照門事件了，記者采訪陳冠希的時候，他說他認(rèn)為把照片放到回收站里就等于徹底刪除了。在信息化如此發(fā)達(dá)的今天，增強個人信息安全保護(hù)意識，學(xué)習(xí)一些基本的安全常識，可以有效的避免個人信息的泄露。

泄密方是誰？因為生活需要，我們不得不在多種場合登記自己的個人信息，那么，保存這些信息的這些機構(gòu)單位就很有可能成為我們個人信息的泄密方。象前面提到的業(yè)主信息泄密方一般是物業(yè)或者開發(fā)商內(nèi)部人員；車主信息泄密方一般是車管所內(nèi)部人員；孕婦信息泄密方一般是醫(yī)院內(nèi)部人員；股民信息泄密方一般是證券公司內(nèi)部人員等等；這些“內(nèi)部人員”可以輕易的收集并帶走這些客戶的信息，并由于利益的驅(qū)使，出售這些信息，這樣才導(dǎo)致了個人信息被廣泛的傳播。這些大家可能都知道，大家更關(guān)心的是如何盡量的避免這種情況的發(fā)生。如果避免不了，如何確定到底是哪些“內(nèi)部人員”泄露了這些信息。如果解決不了這兩個問題，談個人信息的保護(hù)就是空談。那么到底能不能解決這兩個問題呢，我覺得完全可以，而且別的國家已經(jīng)做的很好了，我們也可以做到。下面我們具體分析如何來解決這兩個問題。

我覺得各個行業(yè)的情況是不同的，不能一概而論，沒有一個解決方案適用于所有的行業(yè)，應(yīng)該根據(jù)每個行業(yè)的具體特點提供相應(yīng)的解決方案。大的方面來講，我覺得首先各行業(yè)的監(jiān)管部門，比如證監(jiān)會、銀監(jiān)會、保監(jiān)會等應(yīng)該出臺行業(yè)內(nèi)的針對客戶信息保護(hù)的規(guī)定，在這方面要對行業(yè)內(nèi)的公司提出明確要求，并對規(guī)定的執(zhí)行情況進(jìn)行檢查。具體到行業(yè)內(nèi)的某個公司，應(yīng)結(jié)合公司的現(xiàn)狀，通過管理手段、技術(shù)手段和法律手段并用的方式加強公司的內(nèi)部控制來解決這兩個問題。下面，我就兩個行業(yè)的情況做出具體的分析。

電信行業(yè)，經(jīng)過行業(yè)重組后，目前主要形成三大電信運營商，這三大電信運營商都是在美國上市的公司，均通過了美國薩班斯法案的審計，有著比較完善的公司內(nèi)部控制體系。這些公司普遍采用的國際上比較成熟的COSO控制模型來加強對公司的內(nèi)部控制，以下是這個模型：

COSO模型利用多個維度協(xié)助公司建立起有效的內(nèi)部控制體系。這些運營商聘請國際著名的咨詢公司協(xié)助它們設(shè)計符合它們實際情況的內(nèi)控體系，運營商們通過業(yè)務(wù)流程重組，設(shè)計合理的管理控制流程，明確每個業(yè)務(wù)的控制點和責(zé)任人，并采購了大量的設(shè)備通過技術(shù)手段對信息在系統(tǒng)傳遞的整個過程進(jìn)行保護(hù)和實時審計，最終建立了一套有效的內(nèi)部控制體系。相比內(nèi)控體系建立之前，公司的內(nèi)控情況已經(jīng)有了明顯的改善，而且得到了國際上的認(rèn)可。當(dāng)然，如果建立起這樣一套完整的公司內(nèi)部控制體系，需要花費較大的成本和時間。一般的中小型企業(yè)可能無力承擔(dān)這樣的成本，其實國內(nèi)已經(jīng)成長起來一批咨詢公司，他們已經(jīng)積累了多個行業(yè)的成功經(jīng)驗，具備擁有國際專業(yè)資質(zhì)和豐富項目實施經(jīng)驗的咨詢顧問，完全有能力在中小企業(yè)可以接受的成本前提下，協(xié)助它們建立起符合它們自己實際情況的有效的內(nèi)控體系。

也許有人會問，既然這些大的電信運營商已經(jīng)花費這么大的成本建立了這樣一套比較成熟的內(nèi)部控制體系，那為什么還存在泄露個人信息的情況呢？因為即使是國際上比較成熟的內(nèi)控體系也只能為企業(yè)提供內(nèi)部控制的合理保證，不能提供絕對保證，世界上并不存在完美的內(nèi)部控制體系。但是我要強調(diào)的是，有和沒有這套內(nèi)控體系，對于企業(yè)和企業(yè)的客戶來說是有著巨大的差異的。就好像在流感暴發(fā)的時候，一個人打了流感疫苗雖然不能完全避免得流感，但是在絕大多數(shù)情況下，是不會得流感的，因為疫苗可以為這個人建立起有效的防護(hù)體系。但是如果一個人不打疫苗，得流感的概率就要大的多了。如果企業(yè)沒有建立起有效的內(nèi)部控制體系，對于客戶的信息沒有有效的管理控制措施，企業(yè)內(nèi)部人員誰都可以輕易拿到客戶信息，再加上利益的驅(qū)使，那么客戶個人信息的泄露就不是偶然而會成為一種必然。

相比電信行業(yè)，金融行業(yè)的內(nèi)控情況就參差不齊了，大的銀行特別是在美國或者香港上市的銀行在內(nèi)控方面做的就比較好，而保險公司、證券公司、基金公司等在內(nèi)控建設(shè)方面和電信運營商以及大的銀行比起來就有非常明顯的差距了。以證券公司為例，證券公司的核心業(yè)務(wù)之一是經(jīng)紀(jì)業(yè)務(wù)，經(jīng)紀(jì)業(yè)務(wù)賺錢的唯一方式是券商的傭金，客戶交易量越大，證券公司的傭金就越高，因此營業(yè)部的中戶、大戶、私募機構(gòu)戶和機構(gòu)戶等就是各個券商爭奪的重點。有些證券公司甚至有專門的團(tuán)隊通過金錢收買等方式來要求其他公司內(nèi)部員工收集其所在公司的高價值客戶信息，一旦得到這些客戶的信息后，便對其進(jìn)行重點營銷，通過各種方式，比如降低傭金等條件來拉攏這些客戶到他們的公司開戶交易。目前，證券行業(yè)對于這種行為缺乏有效的監(jiān)管，再加上我國證券行業(yè)發(fā)展處于初級階段，公司之間競爭激烈，這種行為在行業(yè)內(nèi)普遍存在。

證券公司中直接和股民打交道的是經(jīng)紀(jì)業(yè)務(wù)部門，股民在營業(yè)部開戶時填寫的資料信息會被輸入到交易系統(tǒng)，證券公司會根據(jù)業(yè)務(wù)需要將交易系統(tǒng)中的客戶信息同步到其他的系統(tǒng)，比如客服系統(tǒng)，營銷系統(tǒng)等。這樣客戶信息就被擴散到公司的各個部門，如果各部門對于這些信息沒有進(jìn)行有效的管控，信息就有可能被從各個渠道泄露出去。比如我本人參與過的證券行業(yè)某個公司的項目，這個公司在行業(yè)內(nèi)綜合排名屬于比較靠前的，但是竟然沒有公司層面的內(nèi)部控制體系，這樣對于客戶資料的保護(hù)完全是被動式了，雖然采取了一些措施，制定了一些管理制度，但是無法有效的保護(hù)客戶信息，客戶信息泄露的情況屢次發(fā)生，給公司的聲譽帶來不良的影響。這個客戶的管理層對于客戶信息的保護(hù)是很重視的，反復(fù)強調(diào)對于客戶信息保護(hù)的重要性，但是不知道具體該怎么做才能有效保護(hù)這些信息，因為可能泄露這些信息的渠道太多了。對此，我們的建議是：

一、法律方面，應(yīng)根據(jù)該行業(yè)特點，在員工入職時需簽訂保密協(xié)議，保密協(xié)議中應(yīng)明確員工對于公司客戶信息保密的法律義務(wù)。

二、管理方面，應(yīng)建立公司層面的內(nèi)控體系，將對客戶信息的保護(hù)納入整個公司的內(nèi)控體系范圍內(nèi)；梳理客戶信息從登記、流轉(zhuǎn)，分發(fā)、到使用的數(shù)據(jù)流向及其對應(yīng)的業(yè)務(wù)流程，建立相應(yīng)的控制措施，明確每個環(huán)節(jié)數(shù)據(jù)保護(hù)的責(zé)任人，如果確定信息從某個環(huán)節(jié)泄露，應(yīng)對該責(zé)任人進(jìn)行問責(zé)；根據(jù)客戶資金量，將客戶信息進(jìn)行分類，對于不同類型的客戶信息進(jìn)行分級授權(quán)，授權(quán)原則依據(jù)“知必所需”的最小化原則，這樣能夠看到高價值客戶信息的人的范圍就會縮小的最小。由公司的審計部門或者聘請外部第三方專業(yè)機構(gòu)定期對公司以及營業(yè)部的內(nèi)控情況進(jìn)行檢查，發(fā)現(xiàn)漏洞及時彌補。

三、 技術(shù)方面，對業(yè)務(wù)人員通過技術(shù)手段限制對于客戶信息的批量查詢，限制客戶信息的導(dǎo)出，同時禁止拷屏；通過終端安全系統(tǒng)禁用U盤，移動硬盤等移動存儲設(shè)備，限制工作電腦安裝的工具軟件類型；同時利用技術(shù)手段，將辦公網(wǎng)和業(yè)務(wù)網(wǎng)物理隔離，確保業(yè)務(wù)數(shù)據(jù)只保留在業(yè)務(wù)操作用的電腦上，而不會被員工帶走。對IT人員，特別是對負(fù)責(zé)維護(hù)含有客戶信息的數(shù)據(jù)庫的IT人員的后臺系統(tǒng)和數(shù)據(jù)庫的權(quán)限進(jìn)行嚴(yán)格控制，對其操作進(jìn)行嚴(yán)格實時監(jiān)控和審計，防止IT人員通過技術(shù)手段對客戶信息進(jìn)行未授權(quán)操作或者將客戶信息拿走。

四、另外，在與第三方的合作中，也應(yīng)特別注意保護(hù)公司客戶信息的安全性。由于證券公司IT人員技術(shù)水平和能力的限制，交易系統(tǒng)以及其他重要的信息系統(tǒng)大多采用外包的方式進(jìn)行開發(fā)，在系統(tǒng)上線前，開發(fā)商由于要對系統(tǒng)進(jìn)行測試，因此需要部分生產(chǎn)數(shù)據(jù)。那么IT部門在把生產(chǎn)數(shù)據(jù)交給開發(fā)商之前，必須經(jīng)過嚴(yán)格的數(shù)據(jù)脫敏過程，確保開發(fā)商拿到的數(shù)據(jù)里不包含客戶的真實信息和交易記錄。

這些控制措施的綜合運用使得能夠看到高價值客戶信息的人很少，即使因工作需要擁有查詢這些客戶信息權(quán)限的崗位，也會對其操作進(jìn)行嚴(yán)格控制，使其無法將數(shù)據(jù)帶走。這樣通過技術(shù)和管理手段的綜合運用，可以有效防止客戶信息的泄露。但是如果客戶信息最終還是被泄露出去，公司還可以利用技術(shù)手段收集泄露客戶信息的證據(jù)，比如交易系統(tǒng)操作行為的審計記錄等，然后根據(jù)這些證據(jù)，通過法律手段對信息泄露人進(jìn)行起訴。

我國頒布的《中華人民共和國刑法修正案（七）》只是對個人信息的泄密方和購買方明確了相應(yīng)的罰則，但是對于信息的傳播方并沒有規(guī)定具體的罰則，對于個人信息的傳播方，我認(rèn)為可以通過完善相關(guān)的法律體系來對其進(jìn)行嚴(yán)厲的制裁。另外，被泄露的個人信息主要通過互聯(lián)網(wǎng)進(jìn)行傳播，交易，有關(guān)部門可以通過在網(wǎng)絡(luò)上采取將出售個人信息的網(wǎng)站、論壇等納入不良網(wǎng)站，進(jìn)行強制關(guān)閉，同時鼓勵廣大網(wǎng)民積極舉報出售個人信息的網(wǎng)站等多種方式切斷個人隱私信息的傳播路徑，這樣可以有效的切斷這個產(chǎn)業(yè)鏈，進(jìn)而保護(hù)公民的個人隱私。

那么國外是如何保護(hù)個人信息的呢？歐美各國將對于個人信息的保護(hù)視為保護(hù)人權(quán)的具體表現(xiàn)。拿美國為例，美國將個人信息作為隱私的一項重要內(nèi)容以專門立法予以保護(hù)。如1974年聯(lián)邦《隱私權(quán)法》主要內(nèi)容就是保護(hù)個人信息。該法全面規(guī)范了聯(lián)邦、州政府對個人信息的收集、使用、處理。除聯(lián)邦《隱私法》外其他各州也制訂了類似的隱私保護(hù)法。歐洲各國雖然也多采取專門立法的形式保護(hù)個人信息。但并不稱之為隱私法，而多以信息法、資料法命名。如德國1976年頒布《聯(lián)邦資料保護(hù)法》英國《數(shù)據(jù)保護(hù)法》等，并且歐洲國家以締結(jié)條約形式對個人信息予以保護(hù)，如1980年經(jīng)濟合作與發(fā)展組織向其成員國發(fā)布一份《關(guān)于保護(hù)隱私與個人數(shù)據(jù)之跨國界流動指南》。

歐美等發(fā)達(dá)國家都已經(jīng)建立了完善的對于個人信息保護(hù)的法律體系，并且嚴(yán)格的執(zhí)行。另外，歐美國家的整體公司治理環(huán)境也較好，例如美國證監(jiān)會對于在美國上市的不論是國內(nèi)公司還是國外公司的內(nèi)部控制體系有著非常嚴(yán)格的要求，例如著名的薩班斯法案，這樣公司的內(nèi)部管理就比較規(guī)范，相應(yīng)的對于公司客戶信息的保護(hù)也就比較到位。因此這些發(fā)達(dá)國家可以有效的保護(hù)公民個人信息不受侵犯。

對于廣大個人信息被泄露的普通老百姓，應(yīng)該增加自己的維權(quán)意識，當(dāng)發(fā)現(xiàn)自己的個人信息被泄露時，應(yīng)及時向有關(guān)部門，甚至監(jiān)管機構(gòu)進(jìn)行投訴，這樣才能引起有關(guān)方面的足夠重視。并積極配合相關(guān)部門的調(diào)查，維護(hù)自己的合法權(quán)益。

總之，對于個人信息的保護(hù)不是一個部門，一個單位的事情，它需要相關(guān)的方面進(jìn)行通力合作。國家把對個人信息的保護(hù)寫入刑法，足見國家對于個人信息安全的高度重視，因此我們應(yīng)有信心，將來的某一天，現(xiàn)在這種個人隱私信息滿天飛的情況會得到明顯的改善。