企业如何有效地保护各类客户信息 (1)

　　证券公司中直接和股民打交道的是经纪业务部门，股民在营业部开户时填写的资料信息会被输入到交易系统，证券公司会根据业务需要将交易系统中的客户信息同步到其他的系统，比如客服系统，营销系统等。这样客户信息就被扩散到公司的各个部门，如果各部门对于这些信息没有进行有效的管控，信息就有可能被从各个渠道泄露出去。比如我本人参与过的证券行业某个公司的项目，这个公司在行业内综合排名属于比较靠前的，但是竟然没有公司层面的内部控制体系，这样对于客户资料的保护完全是被动式了，虽然采取了一些措施，制定了一些管理制度，但是无法有效的保护客户信息，客户信息泄露的情况屡次发生，给公司的声誉带来不良的影响。这个客户的管理层对于客户信息的保护是很重视的，反复强调对于客户信息保护的重要性，但是不知道具体该怎么做才能有效保护这些信息，因为可能泄露这些信息的渠道太多了。对此，我们的建议是：

　　一、法律方面，应根据该行业特点，在员工入职时需签订保密协议，保密协议中应明确员工对于公司客户信息保密的法律义务。

　　二、管理方面，应建立公司层面的内控体系，将对客户信息的保护纳入整个公司的内控体系范围内；梳理客户信息从登记、流转，分发、到使用的数据流向及其对应的业务流程，建立相应的控制措施，明确每个环节数据保护的责任人，如果确定信息从某个环节泄露，应对该责任人进行问责；根据客户资金量，将客户信息进行分类，对于不同类型的客户信息进行分级授权，授权原则依据“知必所需”的最小化原则，这样能够看到高价值客户信息的人的范围就会缩小的最小。由公司的审计部门或者聘请外部第三方专业机构定期对公司以及营业部的内控情况进行检查，发现漏洞及时弥补。

　　三、技术方面，对业务人员通过技术手段限制对于客户信息的批量查询，限制客户信息的导出，同时禁止拷屏；通过终端安全系统禁用U盘，移动硬盘等移动存储设备，限制工作电脑安装的工具软件类型；同时利用技术手段，将办公网和业务网物理隔离，确保业务数据只保留在业务操作用的电脑上，而不会被员工带走。对IT人员，特别是对负责维护含有客户信息的数据库的IT人员的后台系统和数据库的权限进行严格控制，对其操作进行严格实时监控和审计，防止IT人员通过技术手段对客户信息进行未授权操作或者将客户信息拿走。

　　四、在与第三方的合作中，也应特别注意保护公司客户信息的安全性。由于证券公司IT人员技术水平和能力的限制，交易系统以及其他重要的信息系统大多采用外包的方式进行开发，在系统上线前，开发商由于要对系统进行测试，因此需要部分生产数据。那么IT部门在把生产数据交给开发商之前，必须经过严格的数据脱敏过程，确保开发商拿到的数据里不包含客户的真实信息和交易记录。

　　这些控制措施的综合运用使得能够看到高价值客户信息的人很少，即使因工作需要拥有查询这些客户信息权限的岗位，也会对其操作进行严格控制，使其无法将数据带走。这样通过技术和管理手段的综合运用，可以有效防止客户信息的泄露。但是如果客户信息最终还是被泄露出去，公司还可以利用技术手段收集泄露客户信息的证据，比如交易系统操作行为的审计记录等，然后根据这些证据，通过法律手段对信息泄露人进行起诉。

　　我国颁布的《中华人民共和国刑法修正案》只是对个人信息的泄密方和购买方明确了相应的罚则，但是对于信息的传播方并没有规定具体的罚则，对于个人信息的传播方，我认为可以通过完善相关的法律体系来对其进行严厉的制裁。另外，被泄露的个人信息主要通过互联网进行传播，交易，有关部门可以通过在网络上采取将出售个人信息的网站、论坛等纳入不良网站，进行强制关闭，同时鼓励广大网民积极举报出售个人信息的网站等多种方式切断个人隐私信息的传播路径，这样可以有效的切断这个产业链，进而保护公民的个人隐私。

　　那么国外是如何保护个人信息的呢？欧美各国将对于个人信息的保护视为保护人权的具体表现。拿美国为例，美国将个人信息作为隐私的一项重要内容以专门立法予以保护。如1974年联邦《隐私权法》主要内容就是保护个人信息。该法全面规范了联邦、州政府对个人信息的收集、使用、处理。除联邦《隐私法》外其他各州也制订了类似的隐私保护法。欧洲各国虽然也多采取专门立法的形式保护个人信息。但并不称之为隐私法，而多以信息法、资料法命名。如德国1976年颁布《联邦资料保护法》英国《数据保护法》等，并且欧洲国家以缔结条约形式对个人信息予以保护，如1980年经济合作与发展组织向其成员国发布一份《关于保护隐私与个人数据之跨国界流动指南》。欧美等发达国家都已经建立了完善的对于个人信息保护的法律体系，并且严格的执行。另外，欧美国家的整体公司治理环境也较好，例如美国证监会对于在美国上市的不论是国内公司还是国外公司的内部控制体系有着非常严格的要求，例如着名的萨班斯法案，这样公司的内部管理就比较规范，相应的对于公司客户信息的保护也就比较到位。因此这些发达国家可以有效的保护公民个人信息不受侵犯。

　　对于广大个人信息被泄露的普通老百姓，应该增加自己的维权意识，当发现自己的个人信息被泄露时，应及时向有关部门，甚至监管机构进行投诉，这样才能引起有关方面的足够重视。并积极配合相关部门的调查，维护自己的合法权益。

　　总之，对于个人信息的保护不是一个部门，一个单位的事情，它需要相关的方面进行通力合作。国家把对个人信息的保护写入刑法，足见国家对于个人信息安全的高度重视，因此我们应有信心，将来的某一天，现在这种个人隐私信息满天飞的情况会得到明显的改善。

 

上一页  [1] [2] [3]