个人信息保护与泄漏系列报道之二:
三问通信运营商 如何加强个人信息保护?
3月15日,央视3·15晚会又用一场黑色幽默的情景剧揭露了个人信息泄露、电信诈骗等消费者关心的社会问题。日前,中国消费网曾就个人信息泄露的社会现状进行了相关报道(详见3月11日本网报道《个人信息泄漏乱象横生 威胁生命财产安全》)。精准化的电信诈骗和网络个人信息买卖,也将通信运营商推到了风口浪尖。
近日,针对用户个人信息保管与使用的情况,记者三问江苏移动、江苏联通、江苏电信三家运营商,同时也就如何减少个人信息泄露等问题咨询了江苏省通信管理局。
一问:运营商现有哪些用户信息保护措施?如何做到防信息泄漏?
江苏移动:3月9日,江苏移动网络与信息安全管理中心专家时镇军和市场经营部张静向记者介绍,公司从制度、管理、技术等方面多措并举,来加强消费者个人信息保护。
首先,在制度方面,早在十几年前,移动公司就制定了《客户信息安全保护管理规定》,且该规定每隔几年就进行修订,以最大限度保护个人信息安全,同时,自2009年7月1日起,移动公司实行客户服务五项“禁令”,对泄露客户信息的行为予以处罚。
其次,从管理层面来讲,主要分事前、事中、事后三步来保护客户信息。事前访问系统实行最小化权限,依据工作内容为员工开通权限。事中需审批和授权,例如接到消费者投诉后,需要查询其个人信息就必须有工单授权或者上级领导审批。事后由专业审计人员对员工具体操作进行审计,判断其所有查询是否有相应依据。
最后,从技术层面来说,移动公司用户数据均专门放在互联网无法访问的公司内网,实施包括金库模式在内的多种数据手段,定期扫描系统,同时,所有数据加密的前提下依级别对员工实行模糊化处理。
江苏联通:3月10日,江苏联通市场营销部孙经理在书面回复中表示,针对信息保护和防止信息泄漏,联通公司除了采用访问权限控制和事后审计外,还将敏感信息纳入黑名单拒绝访问;同时,集团、省、市三级联动关注网络舆情,及时发现信息泄露线索,配合公安打击治理网上泄露贩卖个人用户信息;而在公司内部,对涉及用户数据信息管理的敏感岗位员工,加强法律、法规和保密条例的学习,所有关联的员工都签订了《保密承诺书》。
江苏电信:3月16日,江苏电信综合办盛主任也给记者回复邮件中称,江苏电信在业务运营过程中,在严格执行国家相关法律法规的前提下,注重加强自身业务规范管理。通过对访问控制与溯源能力、重要数据与用户信息安全进行管理,严格控制风险;定期进行监察审计,完善安全事件应急响应机制,平台负责人7×24小时开机。
二问:运营商对营业厅用户查找个人信息的管理方法?
江苏移动:据江苏移动网络与信息安全管理中心专家介绍,信息安全关键还是人员的管理。江苏移动公司在全省有3万多名员工,营业厅人员的流动性又较大,因此,移动公司新员工入职时,会专门开一门名为网络信息安全培训的课程,为新员工介绍公司规章制度的同时,加强信息安全知识的教育,而且,每年公司都会开展定期培训;而作为营业厅工作人员,只可以看到业务需要范围内的用户信息,且公司会派专人每天对话务员做信息安全的审查。如果员工违反“五项禁令”,公司将会及时派专人进行核查或直接上报公安机关调查。此外,公司还会在淘宝做一些信息购买测试,来倒追信息泄露源头。
江苏联通:营业厅是江苏联通接触公众用户的重要窗口,营业系统除了对用户的敏感信息进行了屏蔽,营业员不能看到、拷贝外,个人用户只能凭本人身份证亲自到营业厅办理有关业务、查询自己的通信业务使用信息,不能查找其他用户的信息。
江苏电信:严格控制风险,规范现场安全操作和维护管理,严格执行五管理:严格规范作业计划;落实现场随工管理;执行风险操作管理;重要数据的访问控制;数据配置授权管理。
三问:运营商在与第三方合作时“用户信息共享”的管理措施?
江苏移动:移动在与第三方合作时,比如增值服务运营商,首先,合作前双方会签订合同,在合同中有专门的信息安全保密条款或者直接签订信息安全承诺书。其次,对增值服务的运营商也做最小化权限管理,其只能看到某个号码订购某项业务,看不到用户其他个人信息,包括姓名、身份证号等。最后,会通过关键字检测和客户投诉来监控第三方,防止其向用户发送垃圾短信。平时也会对增值服务进行拨测,模拟用户订购业务,发订购指令来查询业务是否正常及收费合理、内容是否非法等是否没有按约定办理。如果存在违法违规行为,将会举报公安或者依照合同进行处理。
在信息安全保护和信息泄露防范方面,江苏移动每年都会邀请工信部国家安全中心专家通过模拟黑客攻击的方式对其内网进行评测,且近年来均是90分以上。
江苏联通:用户在入网时,入网协议中明确:联通公司不得将用户信息用作他途,仅限于为建立与客户沟通渠道、改善服务工作质量或电信业务营销等用途,并依法负有保密义务。除了与第三方签订用户个人信息安全保护协议外,还由省公司信息安全部牵头成立风险评估小组,对合作方进行风险评估,如果合作中会造成用户信息泄露,则终止合作。同时,对合作方共享的用户信息全部进行了脱敏处理,隐藏了敏感信息。
江苏电信:在业务合作过程中,数据采集前进行数据脱敏工作,在签订对外合作协议中,明确约定第三方的数据安全和保密方面的法律责任,同时与合作方管理签订包含入网信息安全责任书、用户信息保密协议、考核细则在内的网络与信息安全协议,合作方人员调动或离职时,必须及时进行帐号、密码及资料的删除和销毁。
号百:对用户个人信息保管与使用问题不作回应
值得一提的是,针对消费者的个人信息保管与使用问题,记者还分别联系了江苏号百信息服务有限公司和南京号百公司,均无果而终。
南京号百公司综合传媒部顾主任向记者表示,此事需要联系综合部俞经理。记者联系俞经理后被告知,他们无权回答,需找南京电信公司办公室。而南京电信有关人员表示,关于用户信息相关的内容主导运营管理统一由省号百负责,市公司不熟悉;对于省级媒体的采访,南京电信也无权回复,只能由省号百公司回答。
而江苏号百公司前台唐小姐告诉记者,公司传真机有问题,无法接收记者的采访提纲。同时,也不方便告知办公室主任的相关电话。后经记者多方坚持,才将采访提纲发至对方邮箱。随后,唐小姐表示,已收到采访提纲,并转交至办公室。时隔数日,没有回复,记者再次联系,唐小姐表示,他们最近都忙,只能再次转达意见。然而,至今没有任何回复。
管局:完善诈骗电话拦截系统和用户安全系统建设
据了解,在打击诈骗专项活动中,江苏省通信管理局与省公安部门联合建立了江苏省诈骗电话智能拦截平台,截止到2016年底,已累计拦截505万次。同时,还建立了防境外诈骗电话拦截平台,据统计,该平台日均拦截境外诈骗电话超4万次,期间境外冒充公检法诈骗发案下降73%,效果显著。
江苏省通信管理局市场监管处许主任对此表示,根据工信部《关于进一步加强防范和打击信息通讯诈骗工作实施意见》等有关要求,省通管局持续推进400、语音专线等重点业务规范化管理和整顿;完善诈骗电话拦截系统、用户安全提示服务系统等建设,着力解决垃圾短信、骚扰电话等热点难点问题。
作为运营商,应当重点关注通信产品与服务质量提升,促进江苏省通信行业良性发展。此外,个人信息泄漏原因众多,也提醒广大消费者,在日常生活加强个人信息的保护。(孙婉婉 刘军)