严查个人信息泄露,抓“内鬼”更要堵漏洞

【“内鬼”侵犯个人信息现象频发,除了当事人见利忘义、职业道德缺失外,更重要的是一些掌握公民个人信息的企事业单位保护意识薄弱】

据《新京报》报道,近年来,电信网络诈骗犯罪高发频发,而网络侵犯公民个人信息犯罪为诈骗分子实施诈骗提供了更加便利的条件。记者25日从公安部获悉,5个月来全国公安机关打击整治网络侵犯公民个人信息犯罪,共抓获犯罪嫌疑人3300余人,其中包括行业“内鬼”270余人。

正应了那句老话,“最坚固的堡垒都是从内部攻破的”,即使我们的个人信息保护体系再完善,行业“内鬼”总让人防不胜防。相比之下,抵御黑客入侵窃取信息,可以借助技术手段筑牢“防火墙”；避免钓鱼网站骗取信息,可以通过宣传增强公众自我保护意识,而防范“内鬼”侵犯个人信息,尚缺乏有效的应对措施。近年来,全国公安机关对网络侵犯公民个人信息犯罪进行了多次集中打击,一批行业“内鬼”纷纷落网,在一定程度上遏制了信息泄露的高发态势,但这些都属于治标之举。从长远来看,相关部门、行业信息安全管理亟待亡羊补牢,尽快补上责任漏洞。

“内鬼”侵犯个人信息现象频发,除了当事人见利忘义、职业道德缺失外,更重要的还在于一些掌握公民个人信息的企事业单位,对公民个人信息的保护意识薄弱。公民个人信息以数据形式存在,多存储在相关系统或平台中,如何保护它的安全以及正确的被使用,需要审计等更多的制度来实现,谁查询了、复制了这些信息,应该有相应的记录。但在现实中企业的内控责任制度不完善,审计制度落实不到位,导致公民的个人信息很容易被窃取。

近年来,银行的银行卡部和财富管理中心成为信息泄露的重灾区。对此,某国有银行高管指出,在银行内部对于“内鬼”并没有太多有效的办法,基本上靠道德约束。虽然银行有一些制度约束,比如设定权限、不通过邮件传输数据等,但相关业务主管或统计人员仍可以轻松拿到客户信息数据。此外,一些单位领导碍于情面,不愿家丑外扬,即使发生了网络安全事件,也大多采取内部解决的方式,“大事化小、小事化了”,导致内鬼愈发有恃无恐。

造成这一现象的主要原因,在于信息安全管理责任不明确,导致一些部门和行业重视程度不够,缺乏加强管理的积极性和主动性。刑法中虽然设立有侵犯公民个人信息罪,但其针对的是单位和个人违规向他人出售或者提供公民个人信息的行为。“内鬼”侵犯个人信息,其所在单位应该承担何种责任,相关法律并没有明确。公安部网络安全保卫局负责人坦言,“近年来破获了这么多行业内鬼泄露信息的案子,对单位领导的责任很少追究。”

保护公民个人信息,不能止于对窃取贩卖公民个人信息犯罪活动的严打,更要从制度层面堵塞漏洞,切实保护公民合法权益不受侵犯。据介绍,全国公安机关下一步将重点整治侵犯公民个人信息的相关渠道,督促信息服务商和相关部门行业严格落实安全管理责任,加大自查自纠力度。如何督促,显然不能靠循循善诱,必须明确单位主体的连带责任。手下出了“内鬼”,单位及其负责人难辞其咎,只有追究其管理失范的连带责任,才能倒逼其加强内部管理,杜绝监守自盗。