相信大多数人都有过类似的经历,如果你是股民,经常会有陌生的电话打过来向你推荐股票;如果你是业主,会有陌生的电话问你的房子是否打算出售或者出租;如果你是刚生完小孩的母亲,会收到推销婴儿用品的电话等等。他们对你的家庭详细情况,包括家里几口人,收入情况,住宅详细地址等等个人信息了如指掌。但是你根本不认识打电话的这个人,更不知道他如何知道你的电话和家庭详细情况。为此,很多人都会非常困惑甚至气愤,我的个人信息到底到底是怎么被泄露出去的?熟不知,在网络上,类似新开楼盘业主信息、车主信息、孕妇信息、股民信息、各公司高管的信息等等各种各样的个人隐私信息正在被明码标价的贩卖,非法传播。
针对个人信息被广泛泄露的情况,近日,十一届全国人大常委会第七次会议通过了《中华人民共和国刑法修正案(七)》,自公布之日起正式施行,就此我国对个人信息的保护已经有法可依。以下是其中关于个人的条文:
国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金。
“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”
“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
这意味着,随意出售个人隐私信息,将可能触犯刑法。另外,还有一部《个人信息保护法》已经提交国务院审批,对于如何有效的保护个人信息做出了更加细节性的规定。
以下,我来从多个方面整体的分析如何有效的保护个人信息。
从法律方面,值得庆幸的是,对于个人信息的非法泄露,《中华人民共和国刑法修正案(七)》已经明确了正式的罚则,随着日后《个人信息保护法》的出台,对于个人信息的保护已经有法可依,不再是以前没人管的状态。但是仅有这两部法律是远远不够的,刑法作为最严厉的法律处于整个法律体系的后端,是保护个人合法权利的最后一道防线。目前,在法律体系的前端,比如民法,行政法以及各行业内部的法律法规等并没有针对个人信息泄露方面做出明确的规定,这样,从法律体系的角度来看,就存在一个脱节的问题。在我国,针对个人信息安全的保护是这两年的一个新生事物,相关配套的法律体系的完善也需要一个过程,我们应该有信心,国家已经非常重视个人信息泄露的问题,也一定会尽快的完善相关的法律法规,形成 完整的法律体系,在法律上,有效的维护个人信息的安全。
另外,我们从个人信息被非法传递的链条方面进行分析。目前,几乎每个行业都存在严重的个人信息被泄露的情况,造成这种情况的原因是因为背后已经形成一条庞大的产业链,个人信息被明码标价,便宜的一分钱一条,贵的几元钱一条,只要出钱,任何人都可以轻易的得到他人的私人信息。下面,我们将对这个产业链条进行详细的分析。
源头是谁?就是我们自己,有人可能质疑,难道我自己的信息被泄露我还需要承担责任么?我觉得答案是肯定的,因为很多普通老百姓根本没有对自己个人信息保护的意识,很轻易的在公开的场合透露自己的信息。举个例子,很多年轻人很喜欢用QQ特别喜欢QQ的一项功能,QQ空间,在里面写日志,发照片、视频等等。我们经常可以看到这样的报道,某人把自己的裸照放在QQ空间里,以为设置了密码别人就看不到了,没想到某一天,发现自己的裸照竟然出现在网上某个论坛里被公开浏览,原来,自己QQ相册的密码被破解了。试想,如果当初这个人不把照片上传到QQ空间里,也许就不会发生后面一系列的事情,也就可以避免自己的生活陷入被动。说到底还是一个安全意识的问题。因为安全意识的原因导致个人信息被泄露的案例太多了,当然,缺乏个人信息保护意识最典型的例子就是艳照门事件了,记者采访陈冠希的时候,他说他认为把照片放到回收站里就等于彻底删除了。在如此发达的今天,增强个人信息安全保护意识,学习一些基本的安全常识,可以有效的避免个人信息的泄露。
泄密方是谁?因为生活需要,我们不得不在多种场合登记自己的个人信息,那么,保存这些信息的这些机构单位就很有可能成为我们个人信息的泄密方。象前面提到的业主信息泄密方一般是物业或者开发商内部人员;车主信息泄密方一般是车管所内部人员;孕妇信息泄密方一般是医院内部人员;股民信息泄密方一般是证券公司内部人员等等;这些“内部人员”可以轻易的收集并带走这些客户的信息,并由于利益的驱使,出售这些信息,这样才导致了个人信息被广泛的传播。这些大家可能都知道,大家更关心的是如何尽量的避免这种情况的发生。如果避免不了,如何确定到底是哪些“内部人员”泄露了这些信息。如果解决不了这两个问题,谈个人信息的保护就是空谈。那么到底能不能解决这两个问题呢,我觉得完全可以,而且别的国家已经做的很好了,我们也可以做到。下面我们具体分析如何来解决这两个问题。
我觉得各个行业的情况是不同的,不能一概而论,没有一个解决适用于所有的行业,应该根据每个行业的具体特点提供相应的解决方案。大的方面来讲,我觉得首先各行业的监管部门,比如、银监会、保监会等应该出台行业内的针对客户信息保护的规定,在这方面要对行业内的公司提出明确要求,并对规定的执行情况进行检查。具体到行业内的某个公司,应结合公司的现状,通过管理手段、技术手段和法律手段并用的方式加强公司的内部控制来解决这两个问题。下面,我就两个行业的情况做出具体的分析。
电信行业,经过行业重组后,目前主要形成三大电信运营商,这三大电信运营商都是在美国上市的公司,均通过了美国萨班斯法案的审计,有着比较完善的公司内部控制体系。这些公司普遍采用的国际上比较成熟的COSO控制模型来加强对公司的内部控制,以下是这个模型:
COSO模型利用多个维度协助公司建立起有效的内部控制体系。这些运营商聘请国际著名的咨询公司协助它们设计符合它们实际情况的内控体系,运营商们通过业务流程重组,设计合理的管理控制流程,明确每个业务的控制点和责任人,并采购了大量的设备通过技术手段对信息在系统传递的整个过程进行保护和实时审计,最终建立了一套有效的内部控制体系。相比内控体系建立之前,公司的内控情况已经有了明显的改善,而且得到了国际上的认可。当然,如果建立起这样一套完整的公司内部控制体系,需要花费较大的成本和时间。一般的中小型可能无力承担这样的成本,其实国内已经成长起来一批咨询公司,他们已经积累了多个行业的成功经验,具备拥有国际专业资质和丰富项目实施经验的咨询顾问,完全有能力在可以接受的成本前提下,协助它们建立起符合它们自己实际情况的有效的内控体系。