企業(yè)如何有效地保護(hù)各類客戶信息

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

相信大多數(shù)人都有過類似的經(jīng)歷，如果你是股民，經(jīng)常會(huì)有陌生的電話打過來向你推薦股票；如果你是業(yè)主，會(huì)有陌生的電話問你的房子是否打算出售或者出租；如果你是剛生完小孩的母親，會(huì)收到推銷嬰兒用品的電話等等。他們對(duì)你的家庭詳細(xì)情況，包括家里幾口人，收入情況，住宅詳細(xì)地址等等個(gè)人信息了如指掌。但是你根本不認(rèn)識(shí)打電話的這個(gè)人，更不知道他如何知道你的電話和家庭詳細(xì)情況。為此，很多人都會(huì)非常困惑甚至氣憤，我的個(gè)人信息到底到底是怎么被泄露出去的？熟不知，在網(wǎng)絡(luò)上，類似新開樓盤業(yè)主信息、車主信息、孕婦信息、股民信息、各公司高管的信息等等各種各樣的個(gè)人隱私信息正在被明碼標(biāo)價(jià)的販賣，非法傳播。

針對(duì)個(gè)人信息被廣泛泄露的情況，近日，十一屆全國(guó)人大常委會(huì)第七次會(huì)議通過了《中華人民共和國(guó)刑法修正案（七）》，自公布之日起正式施行，就此我國(guó)對(duì)個(gè)人信息的保護(hù)已經(jīng)有法可依。以下是其中關(guān)于個(gè)人信息安全的條文：

國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，將本單位在履行職責(zé)或提供服務(wù)過程中獲得的公民個(gè)人信息，出售或非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或單處罰金。

“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！?/P>

“單位犯前兩款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！?/P>

這意味著，隨意出售個(gè)人隱私信息，將可能觸犯刑法。另外，還有一部《個(gè)人信息保護(hù)法》已經(jīng)提交國(guó)務(wù)院審批，對(duì)于如何有效的保護(hù)個(gè)人信息做出了更加細(xì)節(jié)性的規(guī)定。

以下，我來從多個(gè)方面整體的分析如何有效的保護(hù)個(gè)人信息。

從法律方面，值得慶幸的是，對(duì)于個(gè)人信息的非法泄露，《中華人民共和國(guó)刑法修正案（七）》已經(jīng)明確了正式的罰則，隨著日后《個(gè)人信息保護(hù)法》的出臺(tái)，對(duì)于個(gè)人信息的保護(hù)已經(jīng)有法可依，不再是以前沒人管的狀態(tài)。但是僅有這兩部法律是遠(yuǎn)遠(yuǎn)不夠的，刑法作為最嚴(yán)厲的法律處于整個(gè)法律體系的后端，是保護(hù)個(gè)人合法權(quán)利的最后一道防線。目前，在法律體系的前端，比如民法，行政法以及各行業(yè)內(nèi)部的法律法規(guī)等并沒有針對(duì)個(gè)人信息泄露方面做出明確的規(guī)定，這樣，從法律體系的角度來看，就存在一個(gè)脫節(jié)的問題。在我國(guó)，針對(duì)個(gè)人信息安全的保護(hù)是這兩年的一個(gè)新生事物，相關(guān)配套的法律體系的完善也需要一個(gè)過程，我們應(yīng)該有信心，國(guó)家已經(jīng)非常重視個(gè)人信息泄露的問題，也一定會(huì)盡快的完善相關(guān)的法律法規(guī)，形成 完整的法律體系，在法律上，有效的維護(hù)個(gè)人信息的安全。

另外，我們從個(gè)人信息被非法傳遞的鏈條方面進(jìn)行分析。目前，幾乎每個(gè)行業(yè)都存在嚴(yán)重的個(gè)人信息被泄露的情況，造成這種情況的原因是因?yàn)楸澈笠呀?jīng)形成一條龐大的產(chǎn)業(yè)鏈，個(gè)人信息被明碼標(biāo)價(jià)，便宜的一分錢一條，貴的幾元錢一條，只要出錢，任何人都可以輕易的得到他人的私人信息。下面，我們將對(duì)這個(gè)產(chǎn)業(yè)鏈條進(jìn)行詳細(xì)的分析。

源頭是誰？就是我們自己，有人可能質(zhì)疑，難道我自己的信息被泄露我還需要承擔(dān)責(zé)任么？我覺得答案是肯定的，因?yàn)楹芏嗥胀ɡ习傩崭緵]有對(duì)自己個(gè)人信息保護(hù)的意識(shí)，很輕易的在公開的場(chǎng)合透露自己的信息。舉個(gè)例子，很多年輕人很喜歡用QQ特別喜歡QQ的一項(xiàng)功能，QQ空間，在里面寫日志，發(fā)照片、視頻等等。我們經(jīng)?？梢钥吹竭@樣的報(bào)道，某人把自己的裸照放在QQ空間里，以為設(shè)置了密碼別人就看不到了，沒想到某一天，發(fā)現(xiàn)自己的裸照竟然出現(xiàn)在網(wǎng)上某個(gè)論壇里被公開瀏覽，原來，自己QQ相冊(cè)的密碼被破解了。試想，如果當(dāng)初這個(gè)人不把照片上傳到QQ空間里，也許就不會(huì)發(fā)生后面一系列的事情，也就可以避免自己的生活陷入被動(dòng)。說到底還是一個(gè)安全意識(shí)的問題。因?yàn)榘踩庾R(shí)的原因?qū)е聜€(gè)人信息被泄露的案例太多了，當(dāng)然，缺乏個(gè)人信息保護(hù)意識(shí)最典型的例子就是艷照門事件了，記者采訪陳冠希的時(shí)候，他說他認(rèn)為把照片放到回收站里就等于徹底刪除了。在信息化如此發(fā)達(dá)的今天，增強(qiáng)個(gè)人信息安全保護(hù)意識(shí)，學(xué)習(xí)一些基本的安全常識(shí)，可以有效的避免個(gè)人信息的泄露。

泄密方是誰？因?yàn)樯钚枰覀儾坏貌辉诙喾N場(chǎng)合登記自己的個(gè)人信息，那么，保存這些信息的這些機(jī)構(gòu)單位就很有可能成為我們個(gè)人信息的泄密方。象前面提到的業(yè)主信息泄密方一般是物業(yè)或者開發(fā)商內(nèi)部人員；車主信息泄密方一般是車管所內(nèi)部人員；孕婦信息泄密方一般是醫(yī)院內(nèi)部人員；股民信息泄密方一般是證券公司內(nèi)部人員等等；這些“內(nèi)部人員”可以輕易的收集并帶走這些客戶的信息，并由于利益的驅(qū)使，出售這些信息，這樣才導(dǎo)致了個(gè)人信息被廣泛的傳播。這些大家可能都知道，大家更關(guān)心的是如何盡量的避免這種情況的發(fā)生。如果避免不了，如何確定到底是哪些“內(nèi)部人員”泄露了這些信息。如果解決不了這兩個(gè)問題，談個(gè)人信息的保護(hù)就是空談。那么到底能不能解決這兩個(gè)問題呢，我覺得完全可以，而且別的國(guó)家已經(jīng)做的很好了，我們也可以做到。下面我們具體分析如何來解決這兩個(gè)問題。

我覺得各個(gè)行業(yè)的情況是不同的，不能一概而論，沒有一個(gè)解決方案適用于所有的行業(yè)，應(yīng)該根據(jù)每個(gè)行業(yè)的具體特點(diǎn)提供相應(yīng)的解決方案。大的方面來講，我覺得首先各行業(yè)的監(jiān)管部門，比如證監(jiān)會(huì)、銀監(jiān)會(huì)、保監(jiān)會(huì)等應(yīng)該出臺(tái)行業(yè)內(nèi)的針對(duì)客戶信息保護(hù)的規(guī)定，在這方面要對(duì)行業(yè)內(nèi)的公司提出明確要求，并對(duì)規(guī)定的執(zhí)行情況進(jìn)行檢查。具體到行業(yè)內(nèi)的某個(gè)公司，應(yīng)結(jié)合公司的現(xiàn)狀，通過管理手段、技術(shù)手段和法律手段并用的方式加強(qiáng)公司的內(nèi)部控制來解決這兩個(gè)問題。下面，我就兩個(gè)行業(yè)的情況做出具體的分析。

電信行業(yè)，經(jīng)過行業(yè)重組后，目前主要形成三大電信運(yùn)營(yíng)商，這三大電信運(yùn)營(yíng)商都是在美國(guó)上市的公司，均通過了美國(guó)薩班斯法案的審計(jì)，有著比較完善的公司內(nèi)部控制體系。這些公司普遍采用的國(guó)際上比較成熟的COSO控制模型來加強(qiáng)對(duì)公司的內(nèi)部控制。

COSO控制模型

COSO模型利用多個(gè)維度協(xié)助公司建立起有效的內(nèi)部控制體系。這些運(yùn)營(yíng)商聘請(qǐng)國(guó)際著名的咨詢公司協(xié)助它們?cè)O(shè)計(jì)符合它們實(shí)際情況的內(nèi)控體系，運(yùn)營(yíng)商們通過業(yè)務(wù)流程重組，設(shè)計(jì)合理的管理控制流程，明確每個(gè)業(yè)務(wù)的控制點(diǎn)和責(zé)任人，并采購(gòu)了大量的設(shè)備通過技術(shù)手段對(duì)信息在系統(tǒng)傳遞的整個(gè)過程進(jìn)行保護(hù)和實(shí)時(shí)審計(jì)，最終建立了一套有效的內(nèi)部控制體系。相比內(nèi)控體系建立之前，公司的內(nèi)控情況已經(jīng)有了明顯的改善，而且得到了國(guó)際上的認(rèn)可。當(dāng)然，如果建立起這樣一套完整的公司內(nèi)部控制體系，需要花費(fèi)較大的成本和時(shí)間。一般的中小型企業(yè)可能無力承擔(dān)這樣的成本，其實(shí)國(guó)內(nèi)已經(jīng)成長(zhǎng)起來一批咨詢公司，他們已經(jīng)積累了多個(gè)行業(yè)的成功經(jīng)驗(yàn)，具備擁有國(guó)際專業(yè)資質(zhì)和豐富項(xiàng)目實(shí)施經(jīng)驗(yàn)的咨詢顧問，完全有能力在中小企業(yè)可以接受的成本前提下，協(xié)助它們建立起符合它們自己實(shí)際情況的有效的內(nèi)控體系。

也許有人會(huì)問，既然這些大的電信運(yùn)營(yíng)商已經(jīng)花費(fèi)這么大的成本建立了這樣一套比較成熟的內(nèi)部控制體系，那為什么還存在泄露個(gè)人信息的情況呢？因?yàn)榧词故菄?guó)際上比較成熟的內(nèi)控體系也只能為企業(yè)提供內(nèi)部控制的合理保證，不能提供絕對(duì)保證，世界上并不存在完美的內(nèi)部控制體系。但是我要強(qiáng)調(diào)的是，有和沒有這套內(nèi)控體系，對(duì)于企業(yè)和企業(yè)的客戶來說是有著巨大的差異的。就好像在流感暴發(fā)的時(shí)候，一個(gè)人打了流感疫苗雖然不能完全避免得流感，但是在絕大多數(shù)情況下，是不會(huì)得流感的，因?yàn)橐呙缈梢詾檫@個(gè)人建立起有效的防護(hù)體系。但是如果一個(gè)人不打疫苗，得流感的概率就要大的多了。如果企業(yè)沒有建立起有效的內(nèi)部控制體系，對(duì)于客戶的信息沒有有效的管理控制措施，企業(yè)內(nèi)部人員誰都可以輕易拿到客戶信息，再加上利益的驅(qū)使，那么客戶個(gè)人信息的泄露就不是偶然而會(huì)成為一種必然。

相比電信行業(yè)，金融行業(yè)的內(nèi)控情況就參差不齊了，大的銀行特別是在美國(guó)或者香港上市的銀行在內(nèi)控方面做的就比較好，而保險(xiǎn)公司、證券公司、基金公司等在內(nèi)控建設(shè)方面和電信運(yùn)營(yíng)商以及大的銀行比起來就有非常明顯的差距了。以證券公司為例，證券公司的核心業(yè)務(wù)之一是經(jīng)紀(jì)業(yè)務(wù)，經(jīng)紀(jì)業(yè)務(wù)賺錢的唯一方式是券商的傭金，客戶交易量越大，證券公司的傭金就越高，因此營(yíng)業(yè)部的中戶、大戶、私募機(jī)構(gòu)戶和機(jī)構(gòu)戶等就是各個(gè)券商爭(zhēng)奪的重點(diǎn)。有些證券公司甚至有專門的團(tuán)隊(duì)通過金錢收買等方式來要求其他公司內(nèi)部員工收集其所在公司的高價(jià)值客戶信息，一旦得到這些客戶的信息后，便對(duì)其進(jìn)行重點(diǎn)營(yíng)銷，通過各種方式，比如降低傭金等條件來拉攏這些客戶到他們的公司開戶交易。目前，證券行業(yè)對(duì)于這種行為缺乏有效的監(jiān)管，再加上我國(guó)證券行業(yè)發(fā)展處于初級(jí)階段，公司之間競(jìng)爭(zhēng)激烈，這種行為在行業(yè)內(nèi)普遍存在。

證券公司中直接和股民打交道的是經(jīng)紀(jì)業(yè)務(wù)部門，股民在營(yíng)業(yè)部開戶時(shí)填寫的資料信息會(huì)被輸入到交易系統(tǒng)，證券公司會(huì)根據(jù)業(yè)務(wù)需要將交易系統(tǒng)中的客戶信息同步到其他的系統(tǒng)，比如客服系統(tǒng)，營(yíng)銷系統(tǒng)等。這樣客戶信息就被擴(kuò)散到公司的各個(gè)部門，如果各部門對(duì)于這些信息沒有進(jìn)行有效的管控，信息就有可能被從各個(gè)渠道泄露出去。比如我本人參與過的證券行業(yè)某個(gè)公司的項(xiàng)目，這個(gè)公司在行業(yè)內(nèi)綜合排名屬于比較靠前的，但是竟然沒有公司層面的內(nèi)部控制體系，這樣對(duì)于客戶資料的保護(hù)完全是被動(dòng)式了，雖然采取了一些措施，制定了一些管理制度，但是無法有效的保護(hù)客戶信息，客戶信息泄露的情況屢次發(fā)生，給公司的聲譽(yù)帶來不良的影響。這個(gè)客戶的管理層對(duì)于客戶信息的保護(hù)是很重視的，反復(fù)強(qiáng)調(diào)對(duì)于客戶信息保護(hù)的重要性，但是不知道具體該怎么做才能有效保護(hù)這些信息，因?yàn)榭赡苄孤哆@些信息的渠道太多了。對(duì)此，我們的建議是：

一、法律方面，應(yīng)根據(jù)該行業(yè)特點(diǎn)，在員工入職時(shí)需簽訂保密協(xié)議，保密協(xié)議中應(yīng)明確員工對(duì)于公司客戶信息保密的法律義務(wù)。

二、管理方面，應(yīng)建立公司層面的內(nèi)控體系，將對(duì)客戶信息的保護(hù)納入整個(gè)公司的內(nèi)控體系范圍內(nèi)；梳理客戶信息從登記、流轉(zhuǎn)，分發(fā)、到使用的數(shù)據(jù)流向及其對(duì)應(yīng)的業(yè)務(wù)流程，建立相應(yīng)的控制措施，明確每個(gè)環(huán)節(jié)數(shù)據(jù)保護(hù)的責(zé)任人，如果確定信息從某個(gè)環(huán)節(jié)泄露，應(yīng)對(duì)該責(zé)任人進(jìn)行問責(zé)；根據(jù)客戶資金量，將客戶信息進(jìn)行分類，對(duì)于不同類型的客戶信息進(jìn)行分級(jí)授權(quán)，授權(quán)原則依據(jù)“知必所需”的最小化原則，這樣能夠看到高價(jià)值客戶信息的人的范圍就會(huì)縮小的最小。由公司的審計(jì)部門或者聘請(qǐng)外部第三方專業(yè)機(jī)構(gòu)定期對(duì)公司以及營(yíng)業(yè)部的內(nèi)控情況進(jìn)行檢查，發(fā)現(xiàn)漏洞及時(shí)彌補(bǔ)。

三、技術(shù)方面，對(duì)業(yè)務(wù)人員通過技術(shù)手段限制對(duì)于客戶信息的批量查詢，限制客戶信息的導(dǎo)出，同時(shí)禁止拷屏；通過終端安全系統(tǒng)禁用U盤，移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備，限制工作電腦安裝的工具軟件類型；同時(shí)利用技術(shù)手段，將辦公網(wǎng)和業(yè)務(wù)網(wǎng)物理隔離，確保業(yè)務(wù)數(shù)據(jù)只保留在業(yè)務(wù)操作用的電腦上，而不會(huì)被員工帶走。對(duì)IT人員，特別是對(duì)負(fù)責(zé)維護(hù)含有客戶信息的數(shù)據(jù)庫(kù)的IT人員的后臺(tái)系統(tǒng)和數(shù)據(jù)庫(kù)的權(quán)限進(jìn)行嚴(yán)格控制，對(duì)其操作進(jìn)行嚴(yán)格實(shí)時(shí)監(jiān)控和審計(jì)，防止IT人員通過技術(shù)手段對(duì)客戶信息進(jìn)行未授權(quán)操作或者將客戶信息拿走。

四、在與第三方的合作中，也應(yīng)特別注意保護(hù)公司客戶信息的安全性。由于證券公司IT人員技術(shù)水平和能力的限制，交易系統(tǒng)以及其他重要的信息系統(tǒng)大多采用外包的方式進(jìn)行開發(fā)，在系統(tǒng)上線前，開發(fā)商由于要對(duì)系統(tǒng)進(jìn)行測(cè)試，因此需要部分生產(chǎn)數(shù)據(jù)。那么IT部門在把生產(chǎn)數(shù)據(jù)交給開發(fā)商之前，必須經(jīng)過嚴(yán)格的數(shù)據(jù)脫敏過程，確保開發(fā)商拿到的數(shù)據(jù)里不包含客戶的真實(shí)信息和交易記錄。

這些控制措施的綜合運(yùn)用使得能夠看到高價(jià)值客戶信息的人很少，即使因工作需要擁有查詢這些客戶信息權(quán)限的崗位，也會(huì)對(duì)其操作進(jìn)行嚴(yán)格控制，使其無法將數(shù)據(jù)帶走。這樣通過技術(shù)和管理手段的綜合運(yùn)用，可以有效防止客戶信息的泄露。但是如果客戶信息最終還是被泄露出去，公司還可以利用技術(shù)手段收集泄露客戶信息的證據(jù)，比如交易系統(tǒng)操作行為的審計(jì)記錄等，然后根據(jù)這些證據(jù)，通過法律手段對(duì)信息泄露人進(jìn)行起訴。

我國(guó)頒布的《中華人民共和國(guó)刑法修正案（七）》只是對(duì)個(gè)人信息的泄密方和購(gòu)買方明確了相應(yīng)的罰則，但是對(duì)于信息的傳播方并沒有規(guī)定具體的罰則，對(duì)于個(gè)人信息的傳播方，我認(rèn)為可以通過完善相關(guān)的法律體系來對(duì)其進(jìn)行嚴(yán)厲的制裁。另外，被泄露的個(gè)人信息主要通過互聯(lián)網(wǎng)進(jìn)行傳播，交易，有關(guān)部門可以通過在網(wǎng)絡(luò)上采取將出售個(gè)人信息的網(wǎng)站、論壇等納入不良網(wǎng)站，進(jìn)行強(qiáng)制關(guān)閉，同時(shí)鼓勵(lì)廣大網(wǎng)民積極舉報(bào)出售個(gè)人信息的網(wǎng)站等多種方式切斷個(gè)人隱私信息的傳播路徑，這樣可以有效的切斷這個(gè)產(chǎn)業(yè)鏈，進(jìn)而保護(hù)公民的個(gè)人隱私。

那么國(guó)外是如何保護(hù)個(gè)人信息的呢？歐美各國(guó)將對(duì)于個(gè)人信息的保護(hù)視為保護(hù)人權(quán)的具體表現(xiàn)。拿美國(guó)為例，美國(guó)將個(gè)人信息作為隱私的一項(xiàng)重要內(nèi)容以專門立法予以保護(hù)。如1974年聯(lián)邦《隱私權(quán)法》主要內(nèi)容就是保護(hù)個(gè)人信息。該法全面規(guī)范了聯(lián)邦、州政府對(duì)個(gè)人信息的收集、使用、處理。除聯(lián)邦《隱私法》外其他各州也制訂了類似的隱私保護(hù)法。歐洲各國(guó)雖然也多采取專門立法的形式保護(hù)個(gè)人信息。但并不稱之為隱私法，而多以信息法、資料法命名。如德國(guó)1976年頒布《聯(lián)邦資料保護(hù)法》英國(guó)《數(shù)據(jù)保護(hù)法》等，并且歐洲國(guó)家以締結(jié)條約形式對(duì)個(gè)人信息予以保護(hù)，如1980年經(jīng)濟(jì)合作與發(fā)展組織向其成員國(guó)發(fā)布一份《關(guān)于保護(hù)隱私與個(gè)人數(shù)據(jù)之跨國(guó)界流動(dòng)指南》。歐美等發(fā)達(dá)國(guó)家都已經(jīng)建立了完善的對(duì)于個(gè)人信息保護(hù)的法律體系，并且嚴(yán)格的執(zhí)行。另外，歐美國(guó)家的整體公司治理環(huán)境也較好，例如美國(guó)證監(jiān)會(huì)對(duì)于在美國(guó)上市的不論是國(guó)內(nèi)公司還是國(guó)外公司的內(nèi)部控制體系有著非常嚴(yán)格的要求，例如著名的薩班斯法案，這樣公司的內(nèi)部管理就比較規(guī)范，相應(yīng)的對(duì)于公司客戶信息的保護(hù)也就比較到位。因此這些發(fā)達(dá)國(guó)家可以有效的保護(hù)公民個(gè)人信息不受侵犯。

對(duì)于廣大個(gè)人信息被泄露的普通老百姓，應(yīng)該增加自己的維權(quán)意識(shí)，當(dāng)發(fā)現(xiàn)自己的個(gè)人信息被泄露時(shí)，應(yīng)及時(shí)向有關(guān)部門，甚至監(jiān)管機(jī)構(gòu)進(jìn)行投訴，這樣才能引起有關(guān)方面的足夠重視。并積極配合相關(guān)部門的調(diào)查，維護(hù)自己的合法權(quán)益。

總之，對(duì)于個(gè)人信息的保護(hù)不是一個(gè)部門，一個(gè)單位的事情，它需要相關(guān)的方面進(jìn)行通力合作。國(guó)家把對(duì)個(gè)人信息的保護(hù)寫入刑法，足見國(guó)家對(duì)于個(gè)人信息安全的高度重視，因此我們應(yīng)有信心，將來的某一天，現(xiàn)在這種個(gè)人隱私信息滿天飛的情況會(huì)得到明顯的改善。（IT專家網(wǎng)）