企业应建立有效内控机制
其实,目前被公开报道的,出现用户信息泄露且滋生诈骗风险的电商平台,并非京东商城一家。
2015年5月,苏宁易购也出现用户订单信息大范围泄露事件,致使很多用户被骗,近日赵占领也将代理部分用户对苏宁易购提起民事赔偿诉讼;今年3月,电商特卖平台唯品会也被媒体爆出,其平台用户订单信息在一些QQ群被肆意买卖。
梳理目前被公开报道的用户信息泄露事件,记者发现电商等互联网企业用户信息泄露主要源于出现“内鬼”泄露、系统漏洞、黑客撞库这几种情形。
公开资料显示,泄露用户个人信息的源头大多是相关企事业或部门的“内鬼”,但一些收集、保存大量用户个人信息的电商等互联网企业,却没有建立起完善的内部制度和保护机制,这也给用户信息泄露埋下了隐患。
以该案为例,贾虹杰对记者表示,据他了解,该涉案企业内部也有相应的用户个人信息保障制度,比如物流部门由于掌握着包括客户姓名、电话、地址、何时下单、所购货物等详细个人信息,系统登录权限只掌握在相关主管部门手中,但可能由于企业每天24小时需要接受用户订单,为了做好商品配送,物流部门的员工需要“三班倒”,为了开展工作便利,登录权限就会被其他工作人员使用。
“客户信息系统的登录ID和密码一旦被‘共享’,就会存有漏洞。如果物流部门实行的是‘三班倒’轮班制度,那么应该在每个班次都安排一个相应职级的主管人员,负责用户信息的查验调取,而且每次的操作行为,系统应当进行记录,以便于后续追溯。”贾虹杰说。
那么,大范围用户信息泄露事件发生后,京东是否对其内部工作制度进行了调整和优化?京东相关负责人对法治周末记者表示,案发后,公司已经第一时间采取了相应的防范措施,同时加强了内部管理,杜绝类似事件的再次发生。
“京东一贯高度重视用户信息安全,有最严格的公司政策和规定,决不允许任何人以任何方式泄露用户信息,一经发现绝不姑息。”该负责人表示,根据京东的内部调查,冒充客服进行诈骗的案例中,绝大部分是犯罪分子通过撞库攻击等手段获取用户信息。
2012年底,全国人大常委会颁布的《关于加强网络信息保护的决定》明确提出,网络服务提供者应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。
赵占领对记者表示,企业应依照全国人大常委会的决定,对用户个人信息的收集、传输、存储、使用和销毁等环节和流程进行梳理,对员工权限进行合理的设定,防范个人信息泄露。
记者注意到,自去年京东商城爆出信息泄露事件以来,京东逐步强化了对用户的风险提示,当用户订单提交成功后,网络页面、手机会收到谨防诈骗的提示信息。
张亚东告诉记者,尽管后来京东维权群内的人数还在增加,不过增速明显放缓,这也从侧面说明平台的提示起到了一定作用。
|
