大数据文摘产品
熟悉脱口秀的朋友对池子并不陌生。
他习惯于以快节奏的速度和节奏支持整个脱口秀节目,有密集的笑话和大量的信息。在早期的嘲笑会议中,他最接近美国脱口秀节目的黑人风格,因此他很快形成了自己独特的风格,但也有一群自己的粉丝。来自北京的95年代后很快在脱口秀市场占据了一席之地,并发表了许多经典笑话。
虽然他最终与老俱乐部果文化不愉快,但脱口秀时期积累的粉丝们仍然引起了他的高度关注。 他有自己的流量体质,最近也很热门,他的相关事件总是能引起公众的关注和讨论。其中,有一件事很吵,那就是银行泄露了池的个人数据。
“幸运”的受害者
脱口秀演员池子与上海笑果文化传媒有限公司解约。
池子在个人微博上写道,他发现小果文化违约,因为公司拖欠了大量与演艺相关的报酬,公司没有按照合同给池子账单明细。他提出异议后,公司试图停止所有工作。池子多次提出和平终止合同,但公司不同意,只能提出仲裁,希望公司能支付报酬。但上海小果文化传媒有限公司也提出仲裁,要求池子赔偿公司3000多万元。”
上海小国文化传媒有限公司在银行取得了池子近两年的流量,但仍未取得其银行卡、身份证和司法机关的调查令。池子说,在公司寄给他的案件材料中,他发现了自己在银行的个人账户交易细节。这真是出乎意料。
中信银行回复:“这符合大客户的要求。”
消息一出,就引起了广泛关注。
毫无疑问,随着脱口秀演员的身份和脱口秀节目的人气,银行泄露的池隐私数据可以迅速获得高度关注,但通过意外事件披露的数据安全问题实际上隐藏了很长一段时间,背后更多“沉默”受害者,那些在聚光灯外的阴影中,站在倾斜天平的一端,深受数据泄露的伤害,从未关注。
在舆论的影响下,银监会随后介入。
中国银行业和保险监督管理委员会消费者权益保护局:2020年3月,中信银行未经客户授权,向第三方提供个人银行账户交易细节,违反为存款人保密的原则。我局将按照有关法律法规启动立案调查程序,严格按照法律法规进行调查处罚。
销售和服务人员是否遵守数据保护法?
个人银行账户交易细节是一个重要的个人隐私。法律规定,银行不得将个人账户交易细节交给第三方。中信银行的事件涉及法律问题。虽然银行表示银行的流量是由员工泄露的,但它仍然无法逃避责任。
银行应当依法履行与储户的合同关系,妥善保管客户的个人信息,如流水、存款余额等。
《商业银行法》、《消费者权益保护法》等法律规定,银行应当承担相应的行政和民事责任。
如果银行工作人员利用职务私下提供客户银行流量,虽然这种情况不是银行的主动行为,而是员工的非法经营行为,但银行应履行相关的管理责任,并对银行员工的非法行为负责。银行流量由银行泄露,未履行个人信息安全义务的,银行行为不仅构成民事侵权,还可能涉嫌刑事犯罪。
刑法第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息的,处三年以下有期徒刑或者拘役,并处三年以上七年以下有期徒刑,并处罚金。
无论是银行故意泄露,还是员工利用职务故意泄露,都可能涉嫌侵犯公民个人信息。
中国银行和信用社开展储蓄业务的基本原则是自愿存款、自由取款、有息存款和为储户保密。银行必须坚持吸收所有存款。员工失职造成的数据泄露反映了企业培训不到位,对员工职业道德的监督不力,导致中信银行被暂时的得失蒙蔽了双眼“丢了西瓜”惨痛的教训,失去了银行最基本的信誉和客户的信任,得不偿失。
此外,个人还应注意自身原因造成的数据泄露。在办理贷款、出国等相关事宜时,应妥善保管,防止银行泄露等数据安全风险。
身份验证方法错误
数据泄露有很多种。《数据安全实践指南》从政府、法律和实践的角度分析了我们周围的数据泄露风险。作者还在书中指出了这些问题。
员工从银行数据库中转移客户的详细信息进行检查:
员工:“先生,你的名字是 ××× 吗?”
客户:“是的!”
员工:“你的身份证号码是 ×××××××× 吗?”
客户:“是的!”
员工:“你的生日是 × 年 × 月 × 日吗?”
客户:“是的!”
这种验证方法令人恐慌,那么银行员工应该如何进行身份验证呢? 作者在《数据安全实践指南》中认为,反过来可以问:
“先生,你的名字是先生。”
“你的身份证号码是吗?”
“你的生日是生日”
这样的问题可以更好地保护客户的隐私,确保他们的数据安全。根据店员最初的询问方式,会给罪犯带来机会。银行卡被罪犯取得后,当他去银行更换新银行卡时,他可以通过这种询问方式了解卡主的具体信息,他可以访问银行账户,然后拿走存款,而不知道卡是谁!
与此同时,由于银行缺乏人才,没有对员工进行太多的培训,也时有安排。组织应该知道,人通常是整个安全系统中最薄弱的环节。
组织应该确保所有的员工受到培训,知道正确的身份验证流程,避免对客户个人数据进行未经授权地访问,或无意间向错误的人披露客户的数据。
正确的身份验证方法
在《数据安全实践指南》中,作者发现银行和信用卡发行商最近加强了身份验证过程。他认为他们很容易意识到获得一个人的信息。(例如,人们在抽奖或注册时经常主动提供这些信息。
银行和信用卡发行商现在经常问更多的问题来验证客户的身份。“你在这里开了几个账户”“这个账户挂了几张副卡”“你在我行有多少张银行卡?”等。
他在书中举了一个例子:
有一次,当我拨打一家银行的热线激活银行寄给我的新银行卡时,我真的很困惑。客服问我:“你在我年在我行开户?”我试着和客服理论。我的账户是多年前开的。我真的不记得是哪一年了。客服耐心地帮我回忆,她问:“你在哪里有记录?”我说不,客服接着说:“对不起,先生,我不能通过电话激活你的新银行卡。您需要将您的银行卡和身份证带到我行进行身份验证。验证成功后,您可以激活此卡。”
他并没有因为花时间去银行完成这个简单的步骤而感到不满。相反,他相信银行会妥善处理客户的个人数据。
因为它使用严格的程序来验证客户的身份,甚至拒绝在电话中为客户提供相关服务。银行赢得了作者对个人数据保护的信任,并采取了必要的保护措施和验证程序来保护其控制的个人数据。
此外,银行还对员工进行了良好的培训:当客户未能通过严格的身份验证程序时,员工知道如何拒绝继续提供服务。
根据《数据保护法》要求的保护原则,组织应采取合理的安全措施,保护其拥有或控制的个人数据。作者指出,通常当他问一个组织的行为是否符合《数据保护法》时,答案主要是他们的律师审查组织文件,他们也培训了员工。
但是,这样的措施只是让组织做到法律合规,而不一定是操作合规。只有实行了信息安全政策和措施,并将其嵌入运营流程,组织才能做到操作合规。
让员工知道什么是数据保护法并不意味着教他们如何遵守数据安全法,包括强制执行信息安全政策。组织应进行数据保护操作现场检查,确保相应修订组织的信息安全政策,处理组织的信息安全漏洞。
写在最后
目前,世界上约有90个国家和地区制定了《个人信息保护法》,中国的《中华人民共和国数据安全法(草案)》于2020年7月公开征求公众意见。所有公司和个人都将或早或晚面临数据保护法,并将遵守数据保护法作为日常生活和工作的一部分。
在数据保护和隐私领域,组织和个人容易被忽视。
有些问题在实践中很容易被忽视,尤其是在我们很忙的时候。其他问题并不那么明显。例如,许多人不知道多功能设备。例如,办公室里的打印机里有一个硬盘。当机器被抛弃时,他们应该处理硬盘中的数据。
有些解决方案可以很容易地植入到日常过程中,比如将前台的电脑屏幕和闭路电视监控器转向角度,防止路人看到。
还有一些解决方案需要培训,让所有员工都能有意识地发挥自己的作用,比如员工需要知道如何安全地传输期清理电子邮件,删除他们不再需要的个人数据。
无论如何,只有认识到数据保护中操作合规的重要性,有数据安全意识,掌握一定的数据保护方法,才能更好地融入这个大数据时代。
【本文是51CTO专栏机构大数据文摘原译,微信微信官方账号“大数据文摘(id: BigDataDigest)”】
戳这里,看作者更好的文章