劉小青

個人信息保護國家標(biāo)準(zhǔn)出臺背景

去年315晚會兩大央企泄露個人信息事件的曝光，讓很多人意識到在飛速發(fā)展的網(wǎng)絡(luò)信息時代個人信息安全正在面臨空前的威脅。我們經(jīng)常收到的垃圾短信、詐騙信息、陌生推銷電話大多跟“個人信息”從一些特定渠道泄露有關(guān)。這些信息在一些特定渠道不但疏于監(jiān)管，甚至還被監(jiān)管者作為謀利工具私下交易，在不同渠道內(nèi)擴散傳播。雖然我國在2009年頒布的刑法修正案中對出售、非法提供公民個人信息罪、非法獲取公民個人信息罪等罪名作出了規(guī)定，但由于缺乏相關(guān)罪名的司法解釋，在法律適用和定罪量刑上難度較大，不足以形成警示；同時由于缺乏行業(yè)標(biāo)準(zhǔn)從企業(yè)管理層面進行有效約束，使得這種公然侵權(quán)行為愈演愈烈。

315晚會之后，關(guān)于個人信息安全保護的呼吁成為各社交媒體網(wǎng)站的熱點。在民意推動和迫切期待下，由公信部頒布的我國首個個人信息保護國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》于2012年11月出臺，并于2013年2月1日起正式實施。該指南最突出的特點是將個人信息分為個人一般信息和個人敏感信息，提出了默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎(chǔ)上，只要個人信息主體沒有明確表示反對，便可收集和利用。但對于個人敏感信息，則需要建立在明示同意的基礎(chǔ)上，在收集和利用之前必須首先獲得個人信息主體明確的授權(quán)。指南對貫穿于收集、加工、轉(zhuǎn)移和刪除等四個環(huán)節(jié)的個人信息處理進行了詳細規(guī)定并提出個人信息保護的“目的明確、最少夠用、公開告知、個人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確”等八項原則。

隨著公信部新標(biāo)準(zhǔn)的頒布，全社會自上而下地形成了一系列聯(lián)動響應(yīng)：2012年12月5日，公安部成立“12·5”專案指揮部，根據(jù)前期摸排掌握的犯罪線索部署了北京等21個省區(qū)市公安機關(guān)打擊侵害公民個人信息的統(tǒng)一行動；中國軟件評測中心牽頭組建個人信息保護推進聯(lián)盟，開始籌備建立統(tǒng)一測評標(biāo)準(zhǔn)體系，該測評體系將通過對企業(yè)個人信息保護水平進行評價并頒發(fā)標(biāo)識的方式為公眾提供參考。12月28日，第十一屆全國人民代表大會常務(wù)委員會第三十次會議通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，該文件在保護公民個人信息、治理垃圾電子信息、網(wǎng)絡(luò)身份管理等方面做出了具體規(guī)定。

根據(jù)公安機關(guān)偵破的非法買賣個人信息案中顯示，這些信息的源頭包括政府機關(guān)、移動、聯(lián)通、郵政、醫(yī)院、銀行、保險公司、快遞公司、樓盤開發(fā)商等單位、這些單位的員工以及互聯(lián)網(wǎng)黑客。在眾多的信息輸出源頭中，政府機關(guān)、大型國有企業(yè)占據(jù)了絕對多數(shù)。而瑞星公司新近公布的《瑞星2012年中國信息安全綜合報告》則指出，目前個人信息安全最主要的威脅來自黑客入侵和網(wǎng)絡(luò)欺詐。互聯(lián)網(wǎng)企業(yè)遭受APT攻擊以及公共事業(yè)網(wǎng)站因第三方外包公司內(nèi)網(wǎng)信息安全管理不嚴(yán)使得大規(guī)模個人信息泄密事件頻發(fā)；新型的釣魚軟件層出不窮，甚至可以直接攻擊銀行帳戶的動態(tài)口令密碼，瞬間洗空帳戶。

呼叫中心的客戶信息安全管理

呼叫中心作為企業(yè)接觸客戶信息最多的渠道，每天都有大量客戶數(shù)據(jù)流入，同時也產(chǎn)出大量數(shù)據(jù)，而客戶數(shù)據(jù)的管理是企業(yè)客戶關(guān)系管理的重要內(nèi)容。在首個個人信息保護標(biāo)準(zhǔn)指南實施之際，我們對部分敏感行業(yè)的呼叫中心客戶信息的獲得、使用和監(jiān)管現(xiàn)狀進行了調(diào)查。

保險行業(yè)的電話行銷一直以來飽受公眾詬病，雖然近年來越來越多的保險公司使用一些公眾認可度較高的短號碼進行呼出，但老百姓在接到銷售電話后的第一個反應(yīng)總是“你們從哪里得到的我的信息？”對此，我們咨詢了一家知名保險企業(yè)電銷中心的負責(zé)人。

她說，電銷行業(yè)自03年在國內(nèi)發(fā)展到現(xiàn)在十年的時間，由于搶占市場的原因，實際已經(jīng)形成一套制式的東西，比如客戶信息的獲取來源，但目前多數(shù)保險行業(yè)并不是依據(jù)這些信息直接給客戶打電話推銷保險，而是一般采取贈險的方式進行銷售。自09年以來，保監(jiān)會陸續(xù)推出了若干項保險電銷的相關(guān)規(guī)定和規(guī)范，這些規(guī)定的要求要高于公信部最新出臺的標(biāo)準(zhǔn)，但在這種情況下仍可能會有違規(guī)情況發(fā)生，主要是由于成本原因保險公司給出的贈險名單可能會比較少，銷售人員使用了違規(guī)的銷售手段。針對這些行為，保監(jiān)會明令做出禁止，同時要求各保險公司對拒絕或投訴的用戶做禁拔登記。

據(jù)了解，保監(jiān)會近期連續(xù)下達了一系列規(guī)范電銷市場的文件，在2012年底下達的《關(guān)于盡快遏制電銷擾民有關(guān)事項的通知》中明確規(guī)定：“電銷座席人員必須按正常渠道獲得的名單進行銷售，嚴(yán)禁任何機構(gòu)和個人泄露在保險業(yè)務(wù)活動中知悉的客戶的商業(yè)秘密和相關(guān)信息，嚴(yán)禁通過商業(yè)手段購買使用其他單位或個人提供的社會公眾信息，嚴(yán)禁將保險消費者信息資料與其他單位或個人交換使用，嚴(yán)禁其他任何非法管理和使用社會公眾和保險消費者信息?！蓖瑫r指出，“各保險公司應(yīng)建立完善電銷電話號碼屏蔽制度，電銷核心業(yè)務(wù)系統(tǒng)中必須具有號碼屏蔽功能模塊。對于表示拒絕繼續(xù)接聽、明確要求請勿再次撥打的客戶，電銷人員應(yīng)禮貌結(jié)束通話并在號碼屏蔽系統(tǒng)登記，同時設(shè)定不少于1年的禁撥時限?！痹诮衲?月最新出臺的《關(guān)于規(guī)范財產(chǎn)保險公司電話營銷業(yè)務(wù)市場秩序禁止電話營銷擾民有關(guān)事項的通知》中也明確規(guī)定，對續(xù)?？蛻舻暮舫鰰r間不得早于保單到期日前40天。

個人信息泄露最嚴(yán)重的后果是銀行帳戶被盜， 2012年315晚會曝光的招商銀行信用卡中心及中國工商銀行的工作人員利用職務(wù)之便監(jiān)守自盜出售客戶重要信息，造成多名客戶財產(chǎn)的直接損失。

通過銀行信用卡中心運營人員我們了解到，如果客戶在銀行開戶，那么他的基本信息如手機號碼、賬戶余額、銀行交易記錄等本行信息，銀行呼叫中心的員工基本都能看到或查詢到，而信息泄露有可能的途徑主要是手機拍攝、手寫記錄或者病毒侵入。目前銀行呼叫中心明令禁止手機、移動存貯設(shè)備、錄音攝影設(shè)備的入場，同時規(guī)定呼叫中心設(shè)備不能連接外網(wǎng)。同時對于某些崗位會有更嚴(yán)格的安全要求。新員工在入職時都會接受嚴(yán)格培訓(xùn)，包括思想意識以及辦公現(xiàn)場的各項管理制度。

去年315晚會之后，CC-CMM國際組織曾在新浪微博組織探討“呼叫中心如何防止客戶信息泄露”，該討論引起行業(yè)強烈反響。一年之后我們再度回到這個話題，我們聯(lián)系到CCCMM國際標(biāo)準(zhǔn)組織總監(jiān)葛舜卿先生，請他談?wù)労艚兄行膽?yīng)如何在新標(biāo)準(zhǔn)的指導(dǎo)下完善安全體系建設(shè)，他從以下角度給出了具體意見：

1） 流程角度。呼叫中心要建立信息安全管理流程，內(nèi)容包括員工通過什么步驟或者考核才能接觸到客戶個人信息，在使用客戶個人信息的時候如何被監(jiān)督；萬一發(fā)生客戶個人信息泄露，管理層如何第一時間采取行動減小影響和受眾群數(shù)量；第三方人員來呼叫中心現(xiàn)場參觀交流如何申請、如何管理等。

2） 人員角度。呼叫中心要確保員工遵循信息安全管理流程進行日常工作，在接觸客戶個人信息以前參加并通過相關(guān)信息安全培訓(xùn)并簽署保密協(xié)議。第三方人員在現(xiàn)場交流時嚴(yán)格遵守相關(guān)規(guī)定，不能隨意拍照或者攜帶留有客戶個人信息的資料離開現(xiàn)場等。

3） 系統(tǒng)角度。呼叫中心要提高系統(tǒng)的安全系數(shù)，建立安全維護策略（面向?qū)ο蟀ㄒ苿咏橘|(zhì)、軟件安全、網(wǎng)絡(luò)安全等），同時要通過日志記錄所有訪問客戶個人信息的行為并且通過系統(tǒng)限制員工不能將客戶個人信息轉(zhuǎn)存到業(yè)務(wù)系統(tǒng)以外等。

同時，呼叫中心還應(yīng)設(shè)計相應(yīng)的懲罰制度，明確告訴員工一旦被發(fā)現(xiàn)泄漏客戶個人信息，無論是否給客戶或者企業(yè)帶來損失，都將受到公司的嚴(yán)懲。

他認為：標(biāo)準(zhǔn)本身對電信、銀行、醫(yī)院等服務(wù)機構(gòu)提出了管理要求，而真正要達到標(biāo)準(zhǔn)的要求，需要企業(yè)中的每個部門都積極配合、嚴(yán)格把控，才能避免企業(yè)客戶信息的泄露。

《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》目前只是一套推薦性技術(shù)標(biāo)準(zhǔn)，用于指導(dǎo)企業(yè)對個人信息進行正確的使用和管理，而個人信息安全保護作為一個全社會的課題，不僅僅是在企業(yè)內(nèi)部、企業(yè)之間加強管理舉措，更需要在全社會高度重視、共同推動下才能取得成效。我們期待在未來的時日里，通過法律建設(shè)、企業(yè)內(nèi)部制度自律、信息系統(tǒng)建設(shè)、個人防范意識提高等全方位的提升，使得這一安全危機得到良好控制和防范。