据悉此案中形成倒卖个人信息的产业链由电信员工、中间人及各种形形色色的调查公司、侦探公司等各个环节构成,环环相扣,分工明确,其中在23名被告中,有7人分别来自移动、电信、联通公司内部,或其他公司派驻电信公司的职员,他们是个人信息泄密的源头。在本案涉及的公民个人信息种类中更是有座机和手机通话记录、短信清单、手机定位信息、机主信息、户籍信息、银行账户信息、车辆档案信息、房产登记信息等,种类十分繁杂。说到此案已经造成的巨大社会危害,承办此案的北京市检察院第二分院检察官坦言,“这个案件涉及多个单位保管的公民个人信息,其中电信公司保管的信息占绝大部分,远远大于国家机关、金融等单位保存的公民个人信息,占全部涉案的公民个人信息的95%以上。”
事实上不光是大量掌握有公民个人信息的电信部门,像保险商、地产商、律师行、中介机构、车行、银行、医院等这些公民个人信息比较集中的行业,都有可能造成大面积公民个人信息的外泄。近些年与之类似的案件和被媒体暴光的各类涉及公民个人信息泄密事件可以说更是层出不穷,生活中有许多不堪回首的经历:当你刚买一套房子,推介房产的短信,装修公司的电话,甚至问你卖不卖房的电话就让你足以应接不暇;而当你家刚生下宝宝,卖婴幼儿用品的人、推销婴幼儿保险的人,甚至是幼儿园招生都能找上门来,难怪有不少行业专家深刻指出,现在倒卖公民个人信息的行径已经到了肆无忌惮和无孔不入的程度!
据承办以上迄今北京最大非法获取公民个人信息案的北京市检察院第二分院检察官介绍,电信部门内部内控不严是最终导致公民个人信息泄露并被多次倒卖的一个重要原因,其中这种大型国企内控不严又主要表现在以下四个方面:
一是查询权限过低,致使最低层级的业务员也可以接触到海量的机主信息、通话记录;
二是查询过程没有进行监管、记录,电信单位工作人员查询公民个人信息后,系统没有进行相应记录,以备核查;
三是没有履行告知义务,电信单位工作人员查询公民个人信息之前、之后都没有告知被查询人;
四是对合作伙伴缺乏约束,电信单位业务繁多,与多个单位具有合作关系,这些单位工作人员也有机会接触到公民个人信息,电信单位疏于防范,致使公民个人信息泄露。
业界安全专家曾多次撰文指出,像电信、供电、供水、金融服务机构、医疗及社保等大量掌握有公民个人信息的国企(这里暂且将其称之为“公众服务类国企”),他们对于保护公众的个人信息安全、捍卫公民隐私权,应该肩负更多的社会责任。针对部分大型国企内控不严的状况,不少安全专家也给出了相关安全应对策略和近乎完美的安全解决方案。
应对策略一:加强公众服务类国企员工保密教育
对于收集并大量存放有公众个人信息的公众服务类国企,要在企业员工内特别是对于新进员工加强安全保密教育和以职业道德为基础的员工诚信教育,要让公众服务类国企每一个员工知晓公众个人信息资料泄密所可能要承担的巨大风险,如果条件许可甚至还可以让公众个人信息资料是否泄密与内部员工的工作绩效建立“挂钩”,让员工的防泄密保护意识转化为规范的工作习惯、让员工知道一旦造成公众个人信息资料泄密,他们不仅会被问责,而且甚至会丢工作丢饭碗。
应对策略二:在公众服务类国企部署防泄密系统
这是公众服务类国企能够从技术层面保障公众个人信息资料不被泄密的重要渠道和措施。现阶段国内的许多重点行业企业以及部分政府部门都部署有“铁卷”,其防泄密效果的确非常出众且是一劳永逸的安全解决方案。“铁卷”由国内终端与数据安全产品的领先企业深圳大成天下自主研发,集成了包括驱动级核心加密、透明加密、细分化分级审核等在内的多项目前全球最先进的电子文档加密技术,可以针对各商业企业及公共服务行业内部整个内部网络进行全方位的电子文档加密和实时保护。“铁卷”专业的企业级电子文档保护优势在于:软件能够让脱离对应内网环境的所有机密电子文档自动无法使用或在未经合法授权打开时呈现出一堆无法阅读的乱码,也就是说即便是黑客攻击或公众服务类的国企员工通过多种手段窃取了企业服务器中的公众个人信息资料,但是由于脱离了对应的内网环境且没有被赋于离线使用授权,所以客户的个人信息资料根本打不开或者就是一堆杂乱无章的乱码字符。
同时“铁卷”还是目前国内功能最全和最先进的全透明化电子文档专业保护工具,对机密电子文档的保护能够贯穿其存储、使用和传输的整个生命周期,通过全面整合访问控制,将电子文档机密性保护和应用权限细分式应用直接集成到所有需要保护的电子文档中,也就是说其在访问保护和使用控制策略时能够将机密电子文档的应用权限准确细分给不同的用户,从而彻底避免机密电子文档被泄密、窃取或恶意修改。目前“铁卷”已经与国内的上百家知名企业集团和众多涉及公共服务的行业企业建立了电子信息安全保护合作。
“铁卷”的安全防御机制并不是将所有涉密电子文档给锁起来,而是通过完全透明化的加密技术将所有涉密电子文档给保护起来,用户可以在被赋予权限后阅读和使用指定的电子文档,可以通过相关申请及报批的电子化手续外发指定的电子文档,但是公众服务类国企员工的所有操作均需要受到“铁卷”的严格控制和全程监控。
应对策略三:期待国家加大涉密保护方向的立法
我国可以广泛借鉴在公众个人信息资料保护制度建设和立法建设较为发达的一些国家的先进经验,逐步建立和完善符合我们本国国情的公众个人信息资料保护法律法规体系,进而加大公众个人信息资料泄密的问责成本。在美国,有一系列法律强化对公众个人信息资料的保护,如《隐私权法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》、《反网络欺诈法》和《社会安全号码保护法》等,对触犯公众个人信息资料保护的行为制裁是非常严厉的,这些我国可以加以借鉴,公众服务类国企也可以参考并制订相应的行业自律条例和相关规范文本。
铁卷官网:http://www.unnoo.com/ 铁卷论坛:http://bbs.unnoo.com/
本文来源:天空软件 作者:佚名