[[379588]]

大數(shù)據(jù)文摘出品

熟悉脫口秀的朋友們，對池子肯定不陌生。

[[379589]]

他慣以快節(jié)奏的語速和節(jié)奏撐起整篇脫口秀，段子密集，信息量大。在早期的《吐槽大會》中，他是最接近美式脫口秀黑人風(fēng)格的，由此很快形成了自己鮮明的風(fēng)格，同時(shí)也擁有了一批屬于自己的粉絲。這個(gè)來自北京的95后很快在脫口秀市場占據(jù)了一席之地，也出了很多經(jīng)典的段子。

[[379590]]

[[379591]]

雖然最后與老東家笑果文化鬧得并不愉快，但是講脫口秀時(shí)期積攢的粉絲還是為他獲得了超高的關(guān)注。 自帶流量體質(zhì)的他，近期也沒少上熱搜，和他相關(guān)的事件總能引發(fā)大眾的關(guān)注與討論。 在其中，有一件事鬧得沸沸揚(yáng)揚(yáng)，就是銀行泄露了池子的個(gè)人數(shù)據(jù)。

“幸運(yùn)”的受害者

事件起因于脫口秀演員池子與上海笑果文化傳媒有限公司的解約。

池子在個(gè)人微博中寫到指出其發(fā)現(xiàn)笑果文化存在違約行為，因?yàn)楣就锨妨撕芏嘣緫?yīng)付的演藝相關(guān)報(bào)酬，并且公司沒有按照合同給池子賬單明細(xì)。在他提出異議后，公司試圖停止其一切工作，池子多次提出了和平解約，但是公司不同意，因此他只能提出仲裁，希望公司可以付清其報(bào)酬。但是上海笑果文化傳媒有限公司也提出了仲裁，讓池子賠償公司3000余萬。”

上海笑果文化傳媒有限公司取得了池子在銀行近兩年的流水，而這還是在未取得他銀行卡、身份證以及司法機(jī)關(guān)調(diào)查令的情況下。池子稱，在公司寄給他的案件材料里面，竟然發(fā)現(xiàn)了自己在銀行中的個(gè)人賬戶交易明細(xì)。這著實(shí)讓人措手不及。

對此，中信銀行回復(fù)：“這是配合大客戶要求。”

消息一經(jīng)流出，得到廣泛關(guān)注。

毋庸置疑，憑借脫口秀演員的身份以及通過節(jié)目《脫口秀大會》所取得的知名度，池子隱私數(shù)據(jù)遭銀行泄露一事可迅速取得高關(guān)注度，但通過一次偶然事件揭露出的數(shù)據(jù)安全問題實(shí)則掩藏已久，這背后的是更多“沉默”的受害者，那些處于聚光燈之外的陰影中、立在傾斜天平翹起的一端深受數(shù)據(jù)泄露之害的群體，他們是不曾被關(guān)注的。

在輿論的影響下，銀保監(jiān)會隨后介入。

銀保監(jiān)會消費(fèi)者權(quán)益保護(hù)局：2020年3月，中信銀行在未經(jīng)客戶本人授權(quán)的情況下，向第三方提供個(gè)人銀行賬戶交易明細(xì)，違背為存款人保密的原則。我局將按照相關(guān)法律法規(guī)，啟動立案調(diào)查程序，嚴(yán)格依法依規(guī)進(jìn)行查處。

你接觸的銷售和服務(wù)人員遵守?cái)?shù)據(jù)保護(hù)法嗎?

個(gè)人銀行賬戶交易明細(xì)是重要的個(gè)人隱私，法律規(guī)定銀行不能把個(gè)人賬戶交易明細(xì)交給第三方。中信銀行此次事件已經(jīng)觸及到法律問題，雖然銀行表示這份銀行流水是由工作人員泄露出去的，其依舊難逃責(zé)任。

由于與儲戶之間存在合同關(guān)系，銀行依法應(yīng)當(dāng)履行義務(wù)，妥善保管客戶的個(gè)人信息，如流水、存款余額等。

《商業(yè)銀行法》、《消費(fèi)者權(quán)益保護(hù)法》等法律規(guī)定，由于管理漏洞或技術(shù)漏洞導(dǎo)致儲戶的個(gè)人信息泄露的情況，銀行需要承擔(dān)相應(yīng)的行政責(zé)任和民事責(zé)任。

如果由銀行工作人員利用職務(wù)之便私下提供客戶銀行流水，這種情況雖然不屬于銀行主動作為，而是屬于員工違規(guī)操作行為，但是銀行應(yīng)該盡到相關(guān)的管理責(zé)任，應(yīng)當(dāng)對其銀行的員工違規(guī)行為進(jìn)行負(fù)責(zé)。而如果銀行流水由銀行泄露，未盡到個(gè)人信息安全保障義務(wù)，則銀行的行為不僅構(gòu)成民事侵權(quán)，還可能涉嫌刑事犯罪。

刑法第253條規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

不管是銀行故意泄露出去，或者員工個(gè)人利用職務(wù)之便故意泄露，都可能涉嫌構(gòu)成侵犯公民個(gè)人信息罪。

我國銀行和信用社開展儲蓄業(yè)務(wù)的基本原則是存款自愿、取款自由、存款有息、為儲戶保密，銀行吸收所有存款都必須堅(jiān)持。因員工工作失職造成的數(shù)據(jù)泄露現(xiàn)象從側(cè)面反映出企業(yè)培訓(xùn)不到位，對員工職業(yè)道德規(guī)范的督查不力，這導(dǎo)致中信銀行受到了因被一時(shí)得失所蒙蔽而“丟了西瓜”的慘痛教訓(xùn)，喪失作為銀行最基本的信譽(yù)以及客戶的信任，而這是得不償失的。

此外，個(gè)人也應(yīng)注意因自身原因?qū)е碌臄?shù)據(jù)泄露，在辦理貸款、出國等相關(guān)事宜自行打印了銀行流水時(shí)，應(yīng)做到妥善保管，防止銀行流水泄露等數(shù)據(jù)安全隱患發(fā)生。

錯誤的身份驗(yàn)證方式

數(shù)據(jù)泄露多種多樣，《數(shù)據(jù)安全實(shí)操指南》這本書從政府、法律、實(shí)踐多角度剖析了我們身邊的數(shù)據(jù)泄露風(fēng)險(xiǎn)，作者在書中也指出了此類問題。

員工從銀行的數(shù)據(jù)庫中調(diào)出客戶的詳細(xì)資料進(jìn)行核對：

員工：“先生，您的名字是 ××× 嗎?”

客戶：“是的!”

員工：“您的身份證號碼是 ×××××××× 嗎?”

客戶：“是的!”

員工：“您的生日是 × 年 × 月 × 日嗎?”

客戶：“是的!”

這樣的的驗(yàn)證方式讓人驚慌，那么銀行員工應(yīng)該如何進(jìn)行身份驗(yàn)證呢? 作者在《數(shù)據(jù)安全實(shí)操指南》認(rèn)為，其實(shí)反過來問即可：

“先生，您的姓名是?”

“您的身份證號碼是?”

“您的生日是?”

這樣提問可以更好保護(hù)客戶的隱私，保障其數(shù)據(jù)安全。按照店員最初的詢問方式會給不法分子帶來可乘之機(jī)。在銀行卡被不法分子取得后，其到銀行辦理該卡的替換新銀行卡時(shí)，可通過這種詢問方式來了解卡主具體信息，而他根本不用知道這張卡到底是誰的，就可訪問該銀行賬戶，繼而拿走其中的存款!

同時(shí)，因銀行缺少人而未對員工進(jìn)行太多培訓(xùn)就安排其上崗的情況也時(shí)有發(fā)生。組織應(yīng)該知道，在整個(gè)安全系統(tǒng)中，人通常是最薄弱的那一環(huán)。

組織應(yīng)該確保所有的員工受到培訓(xùn)，知道正確的身份驗(yàn)證流程，避免對客戶個(gè)人數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)地訪問，或無意間向錯誤的人披露客戶的數(shù)據(jù)。

正確的身份驗(yàn)證方式

在《數(shù)據(jù)安全實(shí)操指南》中作者發(fā)現(xiàn)，最近，銀行和信用卡發(fā)行商加強(qiáng)了身份驗(yàn)證過程。他認(rèn)為他們意識到，要獲得一個(gè)人的信息實(shí)在是很容易。(比如，人們經(jīng)常在抽獎或注冊時(shí)主動提供這些信息。)

銀行和信用卡發(fā)行商現(xiàn)在經(jīng)常會多問一個(gè)問題來驗(yàn)證客戶的身份。比如，“您在我們這里開了幾個(gè)賬戶”“這個(gè)賬戶上掛了幾張副卡”“您在我行有幾張銀行卡”等。

他在書中舉了一個(gè)例子：

有一次，我撥打某銀行的熱線，準(zhǔn)備激活該銀行寄到我家中的一張新的銀行卡時(shí)，真的被難住了?？头栁遥?ldquo;您是哪一年在我行開戶的?”我試著和客服理論，我這個(gè)賬戶是很多年前開的，我實(shí)在記不清是哪一年了。客服很耐心地幫我回憶，她問道：“您是不是在什么地方有這方面的記錄呢?”我說沒有，客服接著說：“抱歉，先生，我沒法通過電話激活您的新銀行卡。您需要帶著您的銀行卡和身份證到我們銀行進(jìn)行身份驗(yàn)證，驗(yàn)證成功之后才能激活這張卡。”

他并沒有因?yàn)橐槌鰰r(shí)間跑去銀行來完成這一簡單的步驟而感到不滿，相反，他相信這家銀行會妥善地處理客戶的個(gè)人數(shù)據(jù)。

因?yàn)樗脟?yán)格的程序來驗(yàn)證客戶的身份，甚至在電話中拒絕為客戶提供相關(guān)服務(wù)。這家銀行在個(gè)人數(shù)據(jù)保護(hù)方面贏得了作者的信任，它采取了必要的保護(hù)措施和驗(yàn)證程序來保護(hù)它掌控的個(gè)人數(shù)據(jù)。

此外，作何認(rèn)為銀行還對員工進(jìn)行了良好的培訓(xùn)：員工知道在客戶沒能通過嚴(yán)格的身份驗(yàn)證程序時(shí)，如何拒絕為之繼續(xù)提供服務(wù)。

根據(jù)數(shù)據(jù)保護(hù)法要求的保護(hù)原則，組織應(yīng)采取合理的安全措施來保護(hù)他們擁有或者控制的個(gè)人數(shù)據(jù)。作者指出通常情況下，當(dāng)他問一個(gè)組織其行為是否合乎數(shù)據(jù)保護(hù)法時(shí)，得到的回答多是他們的律師對組織的文件進(jìn)行了審核，他們也已經(jīng)對員工進(jìn)行了培訓(xùn)。

但是，這樣的措施只是讓組織做到法律合規(guī)，而不一定是操作合規(guī)。只有實(shí)行了信息安全政策和措施，并將其嵌入運(yùn)營流程，組織才能做到操作合規(guī)。

讓員工知道什么是數(shù)據(jù)保護(hù)法，并不等于教會他們?nèi)绾巫袷財(cái)?shù)據(jù)安全法，后者還包括對信息安全政策的強(qiáng)制執(zhí)行。組織應(yīng)該進(jìn)行數(shù)據(jù)保護(hù)操作現(xiàn)場檢查，保證組織的信息安全政策得到了相應(yīng)的修訂，組織的信息安全漏洞得到了處理。

寫在最后

目前全球已有約 90 個(gè)國家和地區(qū)制定了個(gè)人信息保護(hù)法，而中國的《中華人民共和國數(shù)據(jù)安全法(草案)》已于 2020 年 7月公開征求大眾的意見。所有的公司和個(gè)人都將或早或晚地面對數(shù)據(jù)保護(hù)法，并把遵守?cái)?shù)據(jù)保護(hù)法當(dāng)作日常生活和工作的一部分。

在數(shù)據(jù)保護(hù)和隱私領(lǐng)域，組織和個(gè)人有許多容易忽視的地方。

有些問題在實(shí)踐中很容易被我們忽視，特別是在我們很忙碌的時(shí)候。其他一些問題則不那么明顯，比如很多人不知道多功能設(shè)備，如辦公室中的打印機(jī)中有一個(gè)硬盤，在機(jī)器被棄置時(shí)要處理好硬盤里的數(shù)據(jù)。

有些解決方法可以很輕易地植入日常流程中，比如將前臺的電腦屏幕和閉路電視監(jiān)視器轉(zhuǎn)個(gè)角度，不讓路過的人看到。

還有一些解決方法需要訓(xùn)練，讓所有員工有意識地扮演自己的角色，比如員工需要知道如何安全地傳輸機(jī)密文件，以及定期清理郵箱，刪除自己不再需要的個(gè)人數(shù)據(jù)。

不論如何，只有認(rèn)識到在數(shù)據(jù)保護(hù)中操作合規(guī)的重要性，具有數(shù)據(jù)安全意識以及掌握一定的數(shù)據(jù)保護(hù)方法才能更好融入這個(gè)大數(shù)據(jù)時(shí)代。

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文