江苏龙网

  1. 首页 > 资讯 > 科技 > >

信息|从账户被泄事件,看ISO 27701隐私信息的必要性


北京联盟_本文原题:从账户被泄事件 , 看ISO 27701隐私信息的必要性
导读
从池子银行账户被泄事件看个人信息保护 。
【信息|从账户被泄事件,看ISO 27701隐私信息的必要性】池子 , 原名王越池 , 因参加《吐槽大会》而成名 。 在今年5月初 , 池子称其与上海笑果文化传媒有限公司产生合约纠纷 , 双方均提出了仲裁 , 在笑果文化寄给王越池的案件材料里面 , 竟然发现了他在银行的个人账户交易明细 。
1、银行面临高额惩罚
此次事件 , 银行已经致歉并将该支行行长撤职 , 并称是“个别员工未严格按照制度操作” , 与此同时银保监会已经提出立案调查 。 但是 , 业内人士表示 , 银行将面临顶格处罚 , 并且公司高管及相关责任人将面临法律风险 。
但是我想这并不是银行高层想要看到的 。
信息|从账户被泄事件,看ISO 27701隐私信息的必要性
本文插图

2、很难说是“个别员工”造就的意外
客户不分大小 , 隐私权都是绝对平等的 。
《商业银行法》第29条就明确规定 , “对个人储蓄存款 , 商业银行有权拒绝任何单位或者个人查询、冻结、扣划” 。
除了公安机关、法院等经过法定程序的调取外 , 银行没有任何权利将交易记录泄露给第三方 。 而且值得一提的是 , 这并不是银行第一次陷入隐私泄露风波 。
前几年 , 因下属分行工作人员涉嫌泄露倒卖个人征信信息 , 银行就曾被央行点名通报 。
根据公开数据 , 央行2017年到2019年间针对征信违规的193期处罚里关于内部人员越权查询个人或企业征信的处罚就有88起 。
因此 , 这次风波很难说是“个别员工”造就的意外 。
信息|从账户被泄事件,看ISO 27701隐私信息的必要性
本文插图

3、银行个人信息管理中到底有哪些问题
首先 , 我们从各路媒体的公开报道中可以知道 , 银行支行员工是在支行行长的授权下将池子的银行流水打印出来提交给的 。 在这段信息里 , 我们可以提炼下有用的信息:池子的个人信息不属于高级别权限 , 谁都能看 。 换言之 , 这个行长是有授权权限的 。
众所周知 , 银行也是要赚钱的 , 各大支行的业绩压力那是一点都不小 , 那么不可避免的 , 一家支行会对一家公司客户存在多少依赖 , 那么与分支业绩相关的行长很难不受到大客户裹挟 。 这里隐藏的信息是:与第三方利益相关的人在参与授权 , 这其实是制度缺陷 。
另外 , 不论是该支行具体操作员工还是支行行长对个人信息安全保护的意识显然是不足的 。
这暴露出 , 银行虽然有制度 , 但是依然存在很大的执行缺陷和管理漏洞 。 针对此点 , 国际上有个标准(ISO/IEC 27701:2019隐私信息管理体系)就能够有效进行规避 。 该标准对 PII (个人可识别身份信息)提出专门的要求(例如:要求组织需要根据自身角色配置响应的PII管理专职人员;分别对PII控制者和处理者的评估增加了额外指导 , 包括收集和处理PII的条件等控制域) 。
信息|从账户被泄事件,看ISO 27701隐私信息的必要性
本文插图

4、如何通过标准化管理避免个人隐私管理违规
去年以来 , 监管部门密集出台关于数据安全管理办法、APP 违规收集使用个人信息行为认定方法等多项征求意见稿及草案 。 可以看到 , 国家层面对个人信息数据管理的系统性整治规范是大势所趋 。 眼下该股份行事件暴露出的流程漏洞 , 势必将加速监管方面对金融机构个人信息安全的排查监管 。 各家银行如何有效将锅补上 , 规避未来发生此类事件的风险将成为今年银行工作的重中之重 。 之前我们提到的ISO/IEC 27701隐私信息管理体系或许能够给各方一点启发 。


推荐阅读


上一篇:分众传媒|分众传媒回应深交所问询:不存在配合瑞幸咖啡虚增广告费用

下一篇:vivo|5月份即将结束!盘点6月份将发布的3款最美国产全面屏手机