美章网 资料文库 如何开展电信用户个人信息保护工作范文

如何开展电信用户个人信息保护工作范文

时间:2022-09-25 02:41:27

如何开展电信用户个人信息保护工作

摘要:移动互联网、云计算、大数据等新技术、新业务的发展,给人们生活带来了便捷高效,同时个人信息泄漏事件时有发生,个人信息保护面临挑战。文章阐述了对个人信息定义、泄露主要途径,发达国家如何保护个人隐私,探讨了新形势下我国个人信息保护面临的主要问题并提出当前电信用户个人信息保护应对措施。

关键词:个人信息;隐私泄漏;电信用户个人信息保护

0引言

“徐玉玉电话诈骗案”背后,暴漏出个人信息正在面临严重的泄露危机,2016年4月“山东省2016年高考网上报名信息系统”网站因安全漏洞被黑客攻击,60多万条高考考生信息被非法出售,徐玉玉的个人信息就这样流入骗子手中。2017年美国Dun&Bradstreet52G数据库被黑,超过3300万用户信息遭泄露、印度麦当劳WEB应用McDellivery因漏洞泄露220W用户信息、58同城全国简历泄露、黑产团伙泄露贩卖公民信息50亿条等。大量个人信息泄露严重损害了公民财产安全和社会的秩序,并且个人信息已成为精准诈骗的关键资源。作为电信运营商,用户个人信息分布在通信网络、支撑网络、各类业务平台的设备与系统中,全面实现用户个人信息保护将面临极大挑战。

1个人信息保护概述

1.1个人信息概念个人信息,是指在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。包括但不限于以下5类:用户基本信息,如用户姓名、出生日期、身份证号码、住址、电话号码等;用户账号密码信息,如客服账号密码、业务账号密码、ADSL账号密码等;用户通信信息,如账单、详单、位置信息、通话记录、短信记录、上网记录等;用户业务信息,如消费信息、订购信息、积分信息;其他能够单独或者组合识别用户的信息[1]。

1.2个人信息泄露的主要途径现实中可以合法掌握或保存个人信息的机构很多:公安司法机关保存当事人的隐私信息、医院保存病患者的病历档案;学校保留学生的学籍档案,电信保存用户的通信信息,银行保存用户的资产、信用等信息等。几乎各个行业都存在个人信息被泄露的情况,个人信息泄露主要存在以下三种途径。

1.2.1黑客入侵有“漏洞”网站或平台非法获得互联网各类网购、虚拟社区、社交网站、招聘网站、招生网站等登记大量个人信息,游戏平台以及电信、政府、银行系统等存储了大量个人注册信息或身份信息。据2017年3月补天平台的《2016年网站泄露个人信息形势分析报告》称,2016年有超过一半的网站漏洞会导致泄露实名信息和行为信息,分别占58.5%和62.4%(某些漏洞可能同时泄露2类信息),可能泄露的数量多达42.3亿条和40.1亿条。黑客用技术手段入侵一些安全防范不是很高的网站,取得大量的用户注册名和密码数据,该网站登录名如是手机号、邮箱甚至身份证号,就可以与其他网站关联上,是信息泄露的载体,信息贩子掌握这些信息后,可以用‘撞库’方式尝试登录其他网站。

1.2.2企业“内鬼”倒卖信息移动互联与大数据时代,越来越多的机构(如滴滴、快递公司、房地产中介等)积极搜集公民个人信息,由于机构内部管理制度的不严谨,企业“内鬼”频频出现,一些丧失道德底线的员工受利益引诱,大肆贩卖个人信息。电信运营商内部及一些合作公司,不排除有员工出卖用户信息为谋利的可能。

1.2.3智能手机泄密目前,智能手机的功能日益增多,利用智能手机的操作系统漏洞、应用软件后门开发的恶意代码抓取用户隐私数据越来越多。360互联网安全中心2016全年监测的Android平台恶意程序的分类统计,对2016年全年数据中抽样分析:盗取个人信息的手机恶意程序样本9.8万个。其中67.4%的样本会窃取短信信息,34.8%的样本会窃取手机银行信息,10.0%的样本会窃取手机联系人信息,3.7%的样本会窃取手机通话记录,2.0%的样本会窃取社交软件(例如微信、QQ等)聊天记录,1.8%的样本会窃取手机录音信息,0.1%的样本会窃取手机照片信息[2]。而IDC一份调查显示,60%的企业员工会将商业机密数据储存在其智能手机中。这就意味着,一旦发生企业核心数据或个人信息泄密,对企业用户、对移动办公平台都是巨大的灾难。另外还存在二手手机交易过程中用户隐私信息被非法恢复、窃取。

1.3国外如何保护个人隐私据不完全统计,已有70多个国家和地区制定了个人信息保护相关法规和标准,目前国际上有三种主要个人信息保护模式。

1.3.1美国模式1974年,美国《隐私权保护法》通过生效。之后采取分散的立法模式,依靠联邦和州政府的各类条例来保护个人信息安全。美国同时非常重视行业自律政策,在政府引导下由行业协会制定行业标准来规范行业内个人信息处理规则。通过建议性的行业指示、网络隐私认证、技术保护模式等鼓励企业参与到公民信息保护当中。

1.3.2欧盟模式欧盟将个人信息保护上升到人权高度的保护,保护模式是由国家主导的立法模式。采用统一立法和各成员国国内立法两个层次的立法模式。欧盟制定了一系列严格、完善、规范的个人信息保护法律框架,提供清晰的、可遵循的保护个人数据安全的基本原则,规范个人数据收集、处理、利用的行为,规定欧盟各成员国必须依此制定本国的个人数据保护法,以保障个人数据资料在成员国间的自由流动,在欧盟各成员国内建立统一的个人数据安全法律体系。并要求向第三国跨境传输个人数据,必须通过欧盟的保护标准。这条规定被称为欧盟的“充分保护”标准,这限制了在欧盟开展业务的美国企业。为此,欧盟和美国于2000年达成了《安全港协定》,目标是在确保美国企业达到欧盟的较高保护标准的同时,维持美国一直采用的自律机制。然而斯诺登事件摧毁了欧州对美方在个人数据保护上的信任,加速了安全港协议的废除。2016年2月29日,公开“隐私盾牌(Privacyshield)”协议[3]。该协议要求美国给予欧洲个人数据类似于在欧洲的保护标准。美国已经开始对其批量收集的欧盟公民数据在使用上进行限制,并将在国务院设立“监察专员”职位,处理欧盟数据保护机构转交的投诉及查询。欧美双方将建立由欧盟委员会和美国商务部联合实施的年度联合审查机制,用来监督该协定的实施情况。改变此前欧盟方面单方面推进而美方监管不力的状态[4]。为了适应欧盟的要求,许多非欧盟国家也纷纷制定个人信息保护相关法律、法规。

1.3.3日本模式日本外形参考欧盟的立法模式,实质更多采纳了美国的保护规制,通过政府立法和行业自律实现个人信息保护。确定了适用于公共部门和非公共部门个人信息保护的基本原则,制定特殊领域的个别法,鼓励非公共部门实施行业自律的个人信息保护机制。1999年制定了日本工业标准《个人信息保护管理体系-要求事项》,开始实施个人信息保护审核、认证工作(P-MARK认证)。通过资质认证,推广和促进标准的实施。2003年,出台了包含具体细则的《个人信息保护法关联五法》,构建起相对完善的个人信息保护体系。对没有采取有效地防范个人信息流失的措施的企业,将依法进行刑事惩罚后,个人信息泄露和买卖行为得以约束。

1.4我国保护个人信息的相关法律依据我国个人信息安全相关的法条散布于约近40部法律、30余部法规及近200部规章中,内容分散、体系庞杂。针对用户个人信息被广泛泄露的情况,网络安全法于6月1日起实施,对保护个人信息作出了规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。网络安全法作为网络领域的基础性法律聚焦个人信息泄露,不仅明确了网络产品服务提供者、运营者的责任,而且严厉打击出售贩卖个人信息的行为,对于保护公众个人信息安全,将起到积极作用。最高人民法院、最高人民检察院联合的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高司法解释”)也于6月1日起实施。“两高司法解释”对“公民个人信息”作出了具体界定,行踪轨迹等也被纳入公民个人信息范围。规定了侵犯公民个人信息罪入罪的10种情形,非法获取、出售公民个人信息超50条的将入罪。2017年10月1日起实施的民法总则将首次从民事基本法律层面提出个人信息权,明确了个人信息保护的基本行为规范。

1.5对中国的启示中国现有的个人信息保护模式似乎更类似于美国,零散分布在不同的法律法规中。近年来虽对“个人信息”加强了保护。但无论在立法还是在司法实践中,中国的个人信息保护都属于摸索阶段。立法部门应尽快出台个人信息保护的专门法。在法律层面明确线上线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准,并严格规范各类数据采集及使用主体在信息处理方面的细则,完善个人信息安全方面的保障要求与信息披露义务,以及针对个人信息权层面的相关权益保障要求,充分保障用户在信息层面的知情权、选择权、救济权、受尊重权及信息安全权在内的各项基础性权利。为监管部门提供有效的法律依据。同时借鉴其他国家先进的经验,探索适应时代需求的信息保护路径。如将个人信息保护提升到数据主权与国家安全的新高度。引入场景为主导[5]、数据外泄通知[6]、隐私影响评估[7]、第三方认证等个人信息保护新机制、新理念。加强各国政府之间的交流合作,共同保护区域及全球信息安全等。

1.6新形势下我国个人信息保护面临的主要问题1.6.1个人信息防护意识不强我国网民对信息泄露的危害性认识不足,随意下载应用软件、街头扫码领奖、随手扔掉有个人地址信息的快递外包装、更换手机对原有手机不做处理、参加商家的登记会员、参加问卷调查等会泄露个人敏感信息。个人信息保护意识的匮乏客观上导致了源头上个人信息的泄露发生。

1.6.2个人信息保护缺乏统一立法我国目前没有专门的个人信息安全保护的法律,缺乏统一主管机构,统一的法定标准,对信息主体的财产及非财产损失不能提供实质性的补偿。1.6.3新技术新业务的应用使个人信息保护面临新挑战移动互联网、多媒体技术、大数据、云计算、物联网等技术的发展应用,使得个人信息具有来源多样性、量级巨大性、覆盖范围广泛性等新特征[8],能够形成完整的个人画像和实时追踪,使人们无处遁形。数据挖掘能从海量个人信息中挖掘出新结论,不仅增加暴露个人信息的风险,还影响个人权益的决策,个人信息保护面临严峻威胁。

2新形势下如何开展电信用户个人信息保护工作

当前网络个人信息买卖,将电信运营商推到了风口浪尖,加强电信用户个人信息保护迫在眉睫。加强电信用户个人信息保护,首先要提高用户个人信息防范意识,其次要建立健全电信用户个人信息保护管理体系、技术防范体系。

2.1加大电信用户个人信息保护公众宣传、加强企业内部培训,形成用户个人信息保护文化政府及电信企业应利用各类新媒体、营业厅窗口、门户网站等通过厅外LED屏、厅内宣传海报、宣传手册、公告、社区服务等多触点对公众进行了宣传,同时畅通举报受理力度,提高公众个人信息保护、维权意识。电信企业要重视企业内及第三方人员管理,加强对涉密人员法律意识培训的力度,防止他们铤而走险。对接触用户信息的人员进行相关知识、技能、用户信息安全保障应急预案和安全责任培训,形成用户个人信息保护共识和文化。

2.2完善电信用户个人信息保护管理体系立法部门为监管部门提供个人信息保护的有效法律依据,同时监管部门,比如通管局、工信部应该出台、完善适应时展的电信行业的针对用户个人信息保护的规定,对行业内的公司提出明确要求,并对规定的执行情况进行检查。电信行业公司应从数据源头开始,梳理用户个人信息分布情况,明确用户个人信息分类分级要求,明确不同用户个人信息保护要求。对涉及用户信息的主要平台、系统,从数据源头、账号分布、数据流向、流程管控、安全加固等环节梳理、归结问题及风险点,建立公司层面内控体系。完善公司、部门内部相关管理制度,控制措施,监督考核制度。明确不同类别不同级别的信息在账号授权、操作使用、存储备份、安全审核和泄露处罚等方面的具体要求。如与涉及用户敏感信息的员工签订了保密协议,明确责任和义务;查询、操作有授权、审批;禁止批量导出;采用分级、最小化授权;操作与授权分离;事后监察审计等,确保所有敏感操作都有严格的控制。

2.3推进安全技术手段建设,建立健全技术防范体系有效保护电信用户个人信息安全。要求电信行业公司适应业务现状和新技术趋势,从信息系统和信息网络的不同层面保证信息的机密性、完整性、可用性、可控性,提高信息系统及网络的防御能力。电信企业用户个人信息泄露的风险来源主要有两种:内部的恶意人员的泄露和外部黑客攻击导致。对内部恶意人员的泄露,可通过应用登陆手机随机码验证、终端安全管理技术、终端数据泄露防护技术、网关数据泄露防护技术、虚拟桌面技术、抑制电磁泄漏、网络隔离等物理安全防护、文档加密、数据加密、数据脱敏技术、数据库防火墙技术、数据库审计等,实现对数据库管理员、数据工程师、业务运营人员的高危数据操作风险的管理。通过这些技术手段限制对于客户信息的导出、拷屏、下载、外传、批量查询、限制工作电脑安装的工具软件类型;对负责维护含有客户信息的数据库的IT人员的后台系统和数据库的权限进行严格控制,对其操作进行实时监控和审计,防止IT人员通过技术手段对营帐系统、客服系统等重要信息系统的客户信息进行未授权操作或者将客户信息拿走。针对黑客攻击,需要我们采应用防火墙技术、入侵侦测技术、数据泄露防护技术、数据库防火墙技术、数据库审计、数据库加密技术以建立不同的数据防护机制,试图对可能发生的黑客入侵行为进行预警、阻断和追溯。除被动防御之外,还需要建立主动漏洞排查、优化机制。定期针对平台安全目标、功能配置、脆弱性分析等多个方面的排查和优化,验证平台以及系统的保密性和安全性程度。新形势下,电信行业内应当利用大数据更高更广的视角来判断和监测系统与网络安全,将大数据技术与安全技术有机融合,尽可能地提前发现存在的安全隐患。此外,电信业界要努力寻找更专业的算法来完善匿名技术,以解决数据分析应用与用户隐私之间的矛盾。

3结语

电信运营商系统承载了大量的客户资料,随着大数据、云计算等新技术、新业务的应用,用户敏感信息数据泄漏安全事件频繁发生。电信运营商依据有关法律法规和标准,制定并完善适合本行业的个人信息保护标准和规范,发挥行业自律,完善个人信息保护的管理体系、技术防范体系,全面落实数据安全管理、防范外部攻击和内部人员违规获取数据、安全审计等,保证电信用户个人数据安全。

作者:张震 单位:中国联合网络通信有限公司呼和浩特市分公司

被举报文档标题:如何开展电信用户个人信息保护工作

被举报文档地址:

https://www.meizhang.comhttps://www.meizhang.com/kejizazhi/gdtxjszz/720252.html
我确定以上信息无误

举报类型:

非法(文档涉及政治、宗教、色情或其他违反国家法律法规的内容)

侵权

其他

验证码:

点击换图

举报理由:
   (必填)