當你苦於廣告騷擾電話響個不停卻找不到原因時,不被注意的快遞可能正在成為個人信息泄露的新渠道。
新京報貝殼財經記者獨家獲悉,近日在邯鄲市警方的一起部督案件中,不法分子與圓通快遞多位“內鬼”勾結,通過有償租用圓通員工系統賬號盜取公民個人信息,再層層倒賣公民個人信息至不同下游犯罪人員。對此,圓通方面回應稱,已報案,相關嫌疑人於9月落網,堅決配合打擊非法售賣和使用快遞用户信息的行為。未來歡迎客户發郵件或撥打熱線電話舉報涉嫌信息安全違法的線索。
個人信息安全問題其實已經算是“老生常談”。在移動互聯網時代,當日常生活的時時處處都需要“刷臉”、留手機號驗證碼、註冊個人信息時,個人信息泄露幾乎已經成為了大家不得不接受的生活日常,儘管深惡痛絕,但卻幾乎沒有什麼辦法應對,甚至要核實信息泄露的源頭,也是一件相當困難的事情。在這種情況下,圓通所提出的依靠用户主動舉報,顯然是個人信息防控的“下下之策”。
要知道的是,在用户選擇快遞下單的那一刻,契約關係也即時形成。而保護用户個人信息安全可以説是圓通公司本應遵守的基本底線和分內之責。儘管圓通方面表示,公司核心業務系統均通過了信息安全等級保護三級測評,從技術層面和管理層面着力保障信息系統的安全性。但需要看到的是,技術層面的“防火牆”只是用户信息保護的第一道關口,更為重要的防線其實還是在企業管理內部控制層面。如果企業制度上不能對員工泄露用户信息形成有效的約束,那麼即使再多的保護測評,也擋不住想要從中牟利的“內鬼”。
近期,備受關注的個人信息保護法草案首次提請人大常委會審議,這意味着,個人信息保護法離最終出台又邁進了一步。這也是在繼《網絡安全法》之後,進一步規定了企業經營者在促進經濟社會信息化健康發展、維護人民羣眾基本權利方面的管理責任和義務。不僅如此,在此之前,《民法典》設立專章規範隱私權和個人信息保護,《刑法修正案》增加“侵犯公民個人信息罪”等罪名,《消費者權益保護法》明確“商品和服務提供者”對消費者個人信息的保護義務。
也就是説,即使當前《個人信息保護法》還未曾出台,但對於個人信息保護已經是在法律中早已經明確的商業行為應有之底線。
在監管的大網已經開始不斷完善的當下,企業的自律不可或缺。近年來,時有快遞單信息泄露發生,但作為快遞行業的領軍龍頭企業,圓通本應該在這一領域成為示範和榜樣。對於內鬼,依靠警方“嚴懲不貸”自然是法理情理之中,但如果企業在內部風險把控時能夠防患於未然,讓“內鬼”在進行違法犯罪行為之前就能夠意識到其中的違法違規成本,從而杜絕行為的發生,才是企業更需要努力的方向。
個人信息安全保護,在數字時代已經成為了市場中各個主體所面對的共同課題。但作為安全守衞的第一條防線,在交易行為中的“商品和服務提供者”其實承擔的是第一順位的責任。儘管在企業實際運營過程中,用户個人信息難免需要在多個部門流轉,比如需要調動客服、運營以及IT等多個部門配合,但也正因此,建立制度化的合規保護機制體系,既確保數據自由流動以滿足商業需求,又能履行企業保障公民合法權利的法律義務,從而徹底杜絕“內鬼”的生存空間,才是企業保護個人信息安全的最核心任務所在。
沸雪(財經評論人) 編輯 陳莉 校對 劉軍