池子銀行隱私泄露事件始末,個人數據怎么才能保證不被侵犯?
大數據文摘出品
熟悉脫口秀的朋友們,對池子肯定不陌生。
他慣以快節奏的語速和節奏撐起整篇脫口秀,段子密集,信息量大。在早期的《吐槽大會》中,他是最接近美式脫口秀黑人風格的,由此很快形成了自己鮮明的風格,同時也擁有了一批屬于自己的粉絲。這個來自北京的95后很快在脫口秀市場占據了一席之地,也出了很多經典的段子。
雖然最后與老東家笑果文化鬧得并不愉快,但是講脫口秀時期積攢的粉絲還是為他獲得了超高的關注。 自帶流量體質的他,近期也沒少上熱搜,和他相關的事件總能引發大眾的關注與討論。 在其中,有一件事鬧得沸沸揚揚,就是銀行泄露了池子的個人數據。
“幸運”的受害者
事件起因于脫口秀演員池子與上海笑果文化傳媒有限公司的解約。
池子在個人微博中寫到指出其發現笑果文化存在違約行為,因為公司拖欠了很多原本應付的演藝相關報酬,并且公司沒有按照合同給池子賬單明細。在他提出異議后,公司試圖停止其一切工作,池子多次提出了和平解約,但是公司不同意,因此他只能提出仲裁,希望公司可以付清其報酬。但是上海笑果文化傳媒有限公司也提出了仲裁,讓池子賠償公司3000余萬。”
上海笑果文化傳媒有限公司取得了池子在銀行近兩年的流水,而這還是在未取得他銀行卡、身份證以及司法機關調查令的情況下。池子稱,在公司寄給他的案件材料里面,竟然發現了自己在銀行中的個人賬戶交易明細。這著實讓人措手不及。
對此,中信銀行回復:“這是配合大客戶要求。”
消息一經流出,得到廣泛關注。
毋庸置疑,憑借脫口秀演員的身份以及通過節目《脫口秀大會》所取得的知名度,池子隱私數據遭銀行泄露一事可迅速取得高關注度,但通過一次偶然事件揭露出的數據安全問題實則掩藏已久,這背后的是更多“沉默”的受害者,那些處于聚光燈之外的陰影中、立在傾斜天平翹起的一端深受數據泄露之害的群體,他們是不曾被關注的。
在輿論的影響下,銀保監會隨后介入。
銀保監會消費者權益保護局:2020年3月,中信銀行在未經客戶本人授權的情況下,向第三方提供個人銀行賬戶交易明細,違背為存款人保密的原則。我局將按照相關法律法規,啟動立案調查程序,嚴格依法依規進行查處。
你接觸的銷售和服務人員遵守數據保護法嗎?
個人銀行賬戶交易明細是重要的個人隱私,法律規定銀行不能把個人賬戶交易明細交給第三方。中信銀行此次事件已經觸及到法律問題,雖然銀行表示這份銀行流水是由工作人員泄露出去的,其依舊難逃責任。
由于與儲戶之間存在合同關系,銀行依法應當履行義務,妥善保管客戶的個人信息,如流水、存款余額等。
《商業銀行法》、《消費者權益保護法》等法律規定,由于管理漏洞或技術漏洞導致儲戶的個人信息泄露的情況,銀行需要承擔相應的行政責任和民事責任。
如果由銀行工作人員利用職務之便私下提供客戶銀行流水,這種情況雖然不屬于銀行主動作為,而是屬于員工違規操作行為,但是銀行應該盡到相關的管理責任,應當對其銀行的員工違規行為進行負責。而如果銀行流水由銀行泄露,未盡到個人信息安全保障義務,則銀行的行為不僅構成民事侵權,還可能涉嫌刑事犯罪。
刑法第253條規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
不管是銀行故意泄露出去,或者員工個人利用職務之便故意泄露,都可能涉嫌構成侵犯公民個人信息罪。
我國銀行和信用社開展儲蓄業務的基本原則是存款自愿、取款自由、存款有息、為儲戶保密,銀行吸收所有存款都必須堅持。因員工工作失職造成的數據泄露現象從側面反映出企業培訓不到位,對員工職業道德規范的督查不力,這導致中信銀行受到了因被一時得失所蒙蔽而“丟了西瓜”的慘痛教訓,喪失作為銀行最基本的信譽以及客戶的信任,而這是得不償失的。
此外,個人也應注意因自身原因導致的數據泄露,在辦理貸款、出國等相關事宜自行打印了銀行流水時,應做到妥善保管,防止銀行流水泄露等數據安全隱患發生。
錯誤的身份驗證方式
數據泄露多種多樣,《數據安全實操指南》這本書從政府、法律、實踐多角度剖析了我們身邊的數據泄露風險,作者在書中也指出了此類問題。
員工從銀行的數據庫中調出客戶的詳細資料進行核對:
員工:“先生,您的名字是 ××× 嗎?”
客戶:“是的!”
員工:“您的身份證號碼是 ×××××××× 嗎?”
客戶:“是的!”
員工:“您的生日是 × 年 × 月 × 日嗎?”
客戶:“是的!”
這樣的的驗證方式讓人驚慌,那么銀行員工應該如何進行身份驗證呢? 作者在《數據安全實操指南》認為,其實反過來問即可:
“先生,您的姓名是?”
“您的身份證號碼是?”
“您的生日是?”
這樣提問可以更好保護客戶的隱私,保障其數據安全。按照店員最初的詢問方式會給不法分子帶來可乘之機。在銀行卡被不法分子取得后,其到銀行辦理該卡的替換新銀行卡時,可通過這種詢問方式來了解卡主具體信息,而他根本不用知道這張卡到底是誰的,就可訪問該銀行賬戶,繼而拿走其中的存款!
同時,因銀行缺少人而未對員工進行太多培訓就安排其上崗的情況也時有發生。組織應該知道,在整個安全系統中,人通常是最薄弱的那一環。
組織應該確保所有的員工受到培訓,知道正確的身份驗證流程,避免對客戶個人數據進行未經授權地訪問,或無意間向錯誤的人披露客戶的數據。
正確的身份驗證方式
在《數據安全實操指南》中作者發現,最近,銀行和信用卡發行商加強了身份驗證過程。他認為他們意識到,要獲得一個人的信息實在是很容易。(比如,人們經常在抽獎或注冊時主動提供這些信息。)
銀行和信用卡發行商現在經常會多問一個問題來驗證客戶的身份。比如,“您在我們這里開了幾個賬戶”“這個賬戶上掛了幾張副卡”“您在我行有幾張銀行卡”等。
他在書中舉了一個例子:
有一次,我撥打某銀行的熱線,準備激活該銀行寄到我家中的一張新的銀行卡時,真的被難住了。客服問我:“您是哪一年在我行開戶的?”我試著和客服理論,我這個賬戶是很多年前開的,我實在記不清是哪一年了。客服很耐心地幫我回憶,她問道:“您是不是在什么地方有這方面的記錄呢?”我說沒有,客服接著說:“抱歉,先生,我沒法通過電話激活您的新銀行卡。您需要帶著您的銀行卡和身份證到我們銀行進行身份驗證,驗證成功之后才能激活這張卡。”
他并沒有因為要抽出時間跑去銀行來完成這一簡單的步驟而感到不滿,相反,他相信這家銀行會妥善地處理客戶的個人數據。
因為它用嚴格的程序來驗證客戶的身份,甚至在電話中拒絕為客戶提供相關服務。這家銀行在個人數據保護方面贏得了作者的信任,它采取了必要的保護措施和驗證程序來保護它掌控的個人數據。
此外,作何認為銀行還對員工進行了良好的培訓:員工知道在客戶沒能通過嚴格的身份驗證程序時,如何拒絕為之繼續提供服務。
根據數據保護法要求的保護原則,組織應采取合理的安全措施來保護他們擁有或者控制的個人數據。作者指出通常情況下,當他問一個組織其行為是否合乎數據保護法時,得到的回答多是他們的律師對組織的文件進行了審核,他們也已經對員工進行了培訓。
但是,這樣的措施只是讓組織做到法律合規,而不一定是操作合規。只有實行了信息安全政策和措施,并將其嵌入運營流程,組織才能做到操作合規。
讓員工知道什么是數據保護法,并不等于教會他們如何遵守數據安全法,后者還包括對信息安全政策的強制執行。組織應該進行數據保護操作現場檢查,保證組織的信息安全政策得到了相應的修訂,組織的信息安全漏洞得到了處理。
寫在最后
目前全球已有約 90 個國家和地區制定了個人信息保護法,而中國的《中華人民共和國數據安全法(草案)》已于 2020 年 7月公開征求大眾的意見。所有的公司和個人都將或早或晚地面對數據保護法,并把遵守數據保護法當作日常生活和工作的一部分。
在數據保護和隱私領域,組織和個人有許多容易忽視的地方。
有些問題在實踐中很容易被我們忽視,特別是在我們很忙碌的時候。其他一些問題則不那么明顯,比如很多人不知道多功能設備,如辦公室中的打印機中有一個硬盤,在機器被棄置時要處理好硬盤里的數據。
有些解決方法可以很輕易地植入日常流程中,比如將前臺的電腦屏幕和閉路電視監視器轉個角度,不讓路過的人看到。
還有一些解決方法需要訓練,讓所有員工有意識地扮演自己的角色,比如員工需要知道如何安全地傳輸機密文件,以及定期清理郵箱,刪除自己不再需要的個人數據。
不論如何,只有認識到在數據保護中操作合規的重要性,具有數據安全意識以及掌握一定的數據保護方法才能更好融入這個大數據時代。
【本文是51CTO專欄機構大數據文摘的原創譯文,微信公眾號“大數據文摘( id: BigDataDigest)”】
