新世纪认证|27701隐私信息的必要性,从账户被泄事件,看ISO

_本文原题为:从账户被泄事件 , 看ISO27701隐私信息的必要性
导读
从池子银行账户被泄事件看个人信息保护 。
池子 , 原名王越池 , 因参加《吐槽大会》而成名 。 在今年5月初 , 池子称其与上海笑果文化传媒有限公司产生合约纠纷 , 双方均提出了仲裁 , 在笑果文化寄给王越池的案件材料里面 , 竟然发现了他在银行的个人账户交易明细 。
1、银行面临高额惩罚
此次事件 , 银行已经致歉并将该支行行长撤职 , 并称是“个别员工未严格按照制度操作” , 与此同时银保监会已经提出立案调查 。 但是 , 业内人士表示 , 银行将面临顶格处罚 , 并且公司高管及相关责任人将面临法律风险 。
但是我想这并不是银行高层想要看到的 。
新世纪认证|27701隐私信息的必要性,从账户被泄事件,看ISO
文章图片
2、很难说是“个别员工”造就的意外
客户不分大小 , 隐私权都是绝对平等的 。
《商业银行法》第29条就明确规定 , “对个人储蓄存款 , 商业银行有权拒绝任何单位或者个人查询、冻结、扣划” 。
除了公安机关、法院等经过法定程序的调取外 , 银行没有任何权利将交易记录泄露给第三方 。 而且值得一提的是 , 这并不是银行第一次陷入隐私泄露风波 。
前几年 , 因下属分行工作人员涉嫌泄露倒卖个人征信信息 , 银行就曾被央行点名通报 。
根据公开数据 , 央行2017年到2019年间针对征信违规的193期处罚里关于内部人员越权查询个人或企业征信的处罚就有88起 。
因此 , 这次风波很难说是“个别员工”造就的意外 。
新世纪认证|27701隐私信息的必要性,从账户被泄事件,看ISO
文章图片
3、银行个人信息管理中到底有哪些问题
首先 , 我们从各路媒体的公开报道中可以知道 , 银行支行员工是在支行行长的授权下将池子的银行流水打印出来提交给的 。 在这段信息里 , 我们可以提炼下有用的信息:池子的个人信息不属于高级别权限 , 谁都能看 。 换言之 , 这个行长是有授权权限的 。
众所周知 , 银行也是要赚钱的 , 各大支行的业绩压力那是一点都不小 , 那么不可避免的 , 一家支行会对一家公司客户存在多少依赖 , 那么与分支业绩相关的行长很难不受到大客户裹挟 。 这里隐藏的信息是:与第三方利益相关的人在参与授权 , 这其实是制度缺陷 。
另外 , 不论是该支行具体操作员工还是支行行长对个人信息安全保护的意识显然是不足的 。
这暴露出 , 银行虽然有制度 , 但是依然存在很大的执行缺陷和管理漏洞 。 针对此点 , 国际上有个标准(ISO/IEC27701:2019隐私信息管理体系)就能够有效进行规避 。 该标准对PII(个人可识别身份信息)提出专门的要求(例如:要求组织需要根据自身角色配置响应的PII管理专职人员;分别对PII控制者和处理者的评估增加了额外指导 , 包括收集和处理PII的条件等控制域) 。
新世纪认证|27701隐私信息的必要性,从账户被泄事件,看ISO
文章图片
4、如何通过标准化管理避免个人隐私管理违规
去年以来 , 监管部门密集出台关于数据安全管理办法、APP违规收集使用个人信息行为认定方法等多项征求意见稿及草案 。 可以看到 , 国家层面对个人信息数据管理的系统性整治规范是大势所趋 。 眼下该股份行事件暴露出的流程漏洞 , 势必将加速监管方面对金融机构个人信息安全的排查监管 。 各家银行如何有效将锅补上 , 规避未来发生此类事件的风险将成为今年银行工作的重中之重 。 之前我们提到的ISO/IEC27701隐私信息管理体系或许能够给各方一点启发 。
首先 , 我们都知道银行由于其特殊性在信息安全方面的技术手段应该是最严、最高精尖的 。 这也是公众对此次个人信息泄露表露强烈不满的关键所在 , 强烈的反差反而突显了个人信息安全保护漏洞的严重性 。 信息安全保护的技术性手段主要应用场景还是在外部攻击 , 反而在内部管理上显示出了脆弱性 , 因此 , 强大的内部管理机制才是解决这也是隐私泄露问题频发的关键所在 。 信息安全管理体系是国际通用的信息安全管理手段 , 管理体系持续改进的管理方法能够在问题发生的初次就进行有效的系统性修复 , 对制度本身进行升级和优化 , 有效规避风险的再次发生 。