客户信息泄露,对于金融行业来说,相当敏感。银监会及央行等主管机构,也曾下文强调这方面的工作。但“3.15”上曝光的事件,仍旧让相关单位蒙受了声誉上的损失,更是让其股价应声下跌。事实再一次说明,要有效保护客户信息,就要将信息安全审计工作落到实处,强化体制、预防为先。
暴利滋生,个人信息黑色产业链
我们认为正是存在恶意利用个人信息的不正当行为,才导致该产业存在着一个环环相扣的利益链条。而其中的暴利,就诱使少数个人铤而走险,从组织内部非法获取信息,进行牟利。在这一黑色产业链中存在诸多利益活动,并涉及到各方面的利益团体。下图是简要的利益链条活动关系图:
从该图中,我们看到不同活动中的利益团体是不同的,一般包括:
客户信息的持有者,例如:银行、保险、房地产、汽车经销商等大中型企业。
非法获得信息者,例如:网络黑客、各企业从业人员、外包客服企业、中介企业等,如利益链条中的。
利用收集、传播信息牟利者,例如:xx公司等从事网上、线下营销的团体。
恶意利用信息实施犯罪者,例如:发垃圾邮件诈骗集团、网络钓鱼者、盗取网银账号犯罪集团、网络水军等。
上述利益团体分工明确,传播手段多样,其中典型的传播谋利活动,例如:
直复营销:反馈式邮件销售、手机广告销售、电话营销、企业名录销售、在线信息销售、在线商业资料库销售
数字营销:电子邮件销售、网络销售、移动销售、公关活动
综上,这一系列利益链条、利益团体、典型的信息传播谋利活动的出现,导致个人信息泄露事件不断爆发,可见,个人信息保护形势日趋严重,个人信息保护行动已经迫在眉睫。
防范泄露,业务和系统双管齐下
针对个人信息泄露的事件,中国人民银行和中国银监会已经出台了多项管理政策,加强行业内的安全管理与自查,根据主管机构的相关精神,绿盟科技经过长期实践和总结,推出了一套针对金融行业的个人信息保护安全建设咨询服务。在服务体系的建制过程中,安全专家提出信息安全中的攻与防、泄露与保护、破坏与建设是一对长期存在,魔道相争的关系,从理论的层面上讲,是应当要建立长效的、纵深的、持续提升的、基于风险的安全体系保障各行业、各系统的信息安全。
所以,从金融行业资金运作环节方面,我们建议:
最终用户:应提高个人信息安全保护意识,积极防范各类信息泄露和欺诈,特别需加强网上购物及交易安全防范意识;
企业经营者:应加快建设企业内部个人隐私保护、敏感信息防护、数据防泄密等数据安全体系,担负起企业应尽义务,承担企业社会责任;
