文 李乐
防止个人信息泄露应多方协作
文 李乐
个人信息泄露带来的麻烦可不止是被各种推销电话骚扰那么简单,人们的个人信息正在以难以想象的方式、速度被泄露。而要有效保护个人信息安全在明确对泄露、买卖个人行为强势打击的态度之外,还应从泄露途径入手,寻求多方协同合作。
此前,最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会六部门联合发布《防范和打击电信网络诈骗犯罪的通告》,其中强调严禁任何单位和个人非法获取、非法出售、非法向他人提供公民个人信息。对泄露、买卖个人信息的违法犯罪行为,坚决依法打击。对互联网上发布的贩卖信息、软件、木马病毒等要及时监控、封堵、删除,对相关网站和网络账号要依法关停,构成犯罪的依法追究刑事责任。
日前,中国人民银行发布了《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(以下简称《通知》)。
《通知》实施后,个人可以更好地保护自身信息安全和资金安全。个人使用的银行结算账户将形成以Ⅰ类户为主,Ⅱ、Ⅲ类户为辅的账户体系。
Ⅰ类户是全功能账户,可以办理存款、转账、消费缴费、购买投资理财产品等,使用范围和金额不受限制。个人的工资收入、大额转账、银证转账,以及缴纳和支付医疗保险、社会保险、养老金、公积金等业务应当通过I类户办理。Ⅱ类户需与Ⅰ类户绑定使用,资金来源于Ⅰ类户,可以办理存款、购买银行投资理财产品、消费缴费等。Ⅲ类户主要用于网络支付、线下手机支付等小额支付,可以办理消费缴费。
Ⅰ类银行账户与Ⅱ、Ⅲ类银行账户的关系就像是“钱箱”与“钱包”的关系。个人大额资金可以存储在Ⅰ类户中并通过Ⅰ类户办理业务,而个人日常网上支付、移动支付以及其他小额、高频支付,则尽量通过Ⅱ、Ⅲ类户办理。
同时,鉴于个人在一家银行只能开立一个Ⅰ类户,为方便个人异地生产生活需要,《通知》要求银行对本行行内异地存取现、转账等业务,收取异地手续费的,应当自《通知》下发之日起三个月内实现免费,以降低个人支付成本。
上述制度设计,涉及对以前相关制度的调整和完善,为此,人民银行近期将下发通知,对《关于改进个人银行账户服务加强账户管理的通知》规定的Ⅱ、Ⅲ类户的功能进行进一步明确和改进。
2015年5月至7月,肖某利用在中国联通公司工作之便,非法获取公民个人信息129400条,后在北京市丰台区丰管路家中利用互联网向他人出售非法获取的公民个人信息,牟利8至10万元。
肖某这起案件并非孤案,电信运营商“内鬼”倒卖公民个人信息,也早已不是新鲜事。从媒体过往的报道来看,移动、联通、电信三家无一幸免。而每次案件曝光后,电信运营商们均会“认错”,表示将从完善制度、健全技术手段等多个方面,切实保护用户信息安全。
但从肖某这起案件来看,运营商们的举措仍是形同虚设。十数万条个人信息,肖某轻松拿回家在QQ上批量兜售,防护技术措施到底在哪儿?肖某不过是一个负责数据挖掘的普通工作人员而已,那到底还有多少“经手人”可以不设防地拿到用户信息等核心数据?
电信运营商保护用户隐私不力,也凸显出外部监管缺失。目前,主管部门对于运营商的考核,主要在于效益上,对用户信息安全保护等问题,并未进行有效考核监督。一旦出现“内鬼”,大多追究相关个人,对企业无严厉的责任追究。从这个角度来说,每个“内鬼”被公安机关揪出来之后,不妨考虑以刚性制度追究企业部门的疏于监管等连带之责。
目前而言,用户个人信息有两大泄露渠道,最主要的是商业银行,其次便是电商领域。所谓电商领域是指从下单、发货到物流配送的整个产业链条,其中的各个环节均有泄露风险。
不管是入驻商家、电商平台,还是物流公司都可能出现“内鬼”,为谋求私利出卖用户个人信息。如电商平台“内鬼”主要出现在客服、技术、数据平台、前端等可以接触到用户订单的岗位中。一旦发生泄露,很有可能是大批量的泄露。此外,系统漏洞也是信息泄露的重要途径。电商平台的正常运营通常需要很多系统来支撑,出现的漏洞也是五花八门,如果不及时修复,信息泄露的可能性很大。快递企业则有可能其官方系统出现漏洞后被黑客攻击导致客户信息泄露。而在外包服务中,也可能存在两方面的泄漏情况。一方面,外包开发的应用系统存在漏洞、基础架构维护不到位等,容易被突破致信息泄露。另一方面,外包员工也可能存在信息倒卖的情况。
因此,对于个人信息的保护,是万万不能缺了电商领域这一关键的环节。