2012年5月,“1号店”员工内外勾结,泄露客户信息。
2013年3月,支付宝漏洞导致用户信息泄露。
在互联网如此发达的今天,人们切切实实感受到了网络的便利。但同时,网络环境下个人信息的泄露、丢失也让不少人内心直打颤。在大数据时代,互联网企业如何加强用户信息质量安全管理,保护用户的个人信息和防止个人信息被滥用,是多领域共同关注的热点。
保护难点在哪里
近日,拥有广大用户的旅行类电商网站携程网曝出系统漏洞事件,致使用户信用卡信息泄露,可能危害到用户的资金安全。这一事件再次暴露了互联网环境下用户信息安全的问题。
为何互联网用户信息泄露事件如此频发?中国电信天翼电子商务有限公司风险管理部张荣燕在接受记者采访时表示,电子商务平台在信息安全方面出现问题,一方面是平台自身安全性重视程度与其业务发展规模不匹配;另一方面,由于平台本身交易量巨大、往来用户数量多,对试图非法获取用户敏感信息的不法分子来说,一旦成功,其获益是巨大的诱惑,互联网的不可追溯性也降低了不法分子的犯罪成本。因此,如何加强信息安全质量管控,就成为了目前业界与民众普遍关心的问题。
面对庞大的互联网环境,现有的个人信息保护相关措施就显得杯水车薪。北京大学法学院互联网法律中心主任张平认为,在电商平台上保护个人信息,其难点在于如何确定“个人信息”的范围。“保护个人信息的重点和难点在于,如何在保护个人权益的情况下,促进互联网产业的发展。二者的关系应当如何权衡,还需要不断探索。”张平说。
企业首要责任
“(客户)信息安全的保障是电商不可推卸的责任。”中国电子商务研究中心助理分析师姚建芳对记者说,在网络时代,电商要对使用平台的客户信息做“高效且严谨的保障”。
姚建芳表示,对电商来说,信息管理质量管控意味着两方面内容:一是信息安全的保障系统,这与电商的投入、技术的高低有着密切联系;二是内部人员的管理,内部人员素质的高低、处理与保护客户信息的水平,在一定程度上决定了客户的信息安全。硬件(保障系统)要好,软件(内部人员)更要过关。只有二者兼顾,才能保证信息安全保障的质量与水平。
“电商企业应在网络上留有备案信息,告知消费者网站的正规性并出具相关监管机构认证,这也能表明对消费者信息安全负责的态度。另外,一旦出现问题,应在第一时间表明观点、改正错误,弥补消费者的损失。相信良好的态度和快速处理会使消费者也以较为积极的姿态处理问题。”姚建芳说。
不过,专家也指出,在电商企业对客户信息进行保护的同时,谁有权利采集、查看、使用这些信息,目前还是一个难以确定的问题。“企业应在个人信息保护政策中写明这些问题。这种政策表述的语言应当较为简洁、通俗,以保障用户的知情权。”张平说。
多手段管控
在信息安全质量管控方面,不同企业的经验值得借鉴。
北京通融通信息技术有限公司信息安全部总监王庆表示,该公司作为第三方支付机构,在客户信息保护方面有一套自成体系的管理模式。“公司作为第三方支付机构,是一个面向公众、为公众服务的平台。如果发生信息泄漏事件,对社会公众的影响将是巨大的,因此我们也在信息保护上深感责任重大。”他说。
据王庆介绍,在信息安全保障方面,该公司首先参考了国际通用的PCIDSS标准(第三方支付行业数据安全标准),加强客户银行卡信息的保密性;从用户登录网站起,全程进入双向加密通道,使用户在互联网上传播信息时不会被监听;而身份的认证方式,则是以预留信息、图画为主。“预留信息的好处在于,即使用户无意识进入了与我域名几乎相同的钓鱼网站,不法分子也无法窃得预留信息,从而保障用户信息安全。”王庆说。
谈到中国电信天翼电子商务有限公司“翼支付”的管控机制时,张荣燕说,除了技术上的努力外,公司内部的各项制度也对信息安全管控起到了重要作用。“公司颁布了《天翼电子商务有限公司信息安全事件管理办法》,明确了信息安全事件报告、响应、评价与惩戒机制,以及信息安全事件的负责部门和管理流程,确保信息安全事件发生后能得到快速反应,从而将信息安全事件造成的损害降到最低程度,并积极追踪和吸取教训,采取纠正措施,减少后续影响。”张荣燕说。
制定相应准则
在电商企业自身的努力之外,来自国家层面上的政策与法律支持,对未来信息安全质量管控也将起到决定性的保障作用。
2014年2月27日,中央网络安全和信息化领导小组宣告成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长,显示出国家在保障网络安全、维护国家利益、推动信息化发展的决心。
今年的全国两会上,也有不少代表提议,应出台个人信息安全保护法。对于这一提议,姚建芳认为,不仅要出台个人信息安全保护相关法律,还应针对电商出台相应信息安全保障法则,从法律层面约束和引导电商对客户信息进行有效保障。“一旦出现问题,能够给消费者更多的参考,而不是出现问题后无处申诉。”姚建芳说。