根据网络安全法,企业对个人信息数据担负着保护责任。个人隐私数据保护不能沦为一纸空谈。对企业来讲,需要“软硬兼施”,树立安全意识,加强与专业网络安全厂商的合作,并建立相应的数据保护制度,对有可能造成数据泄露的不安全操作要“令行禁止”
近日,华住酒店集团5亿条用户个人信息被黑客以8比特币叫卖的消息引发舆论关注。这不仅是因为华住旗下桔子、全季、汉庭等酒店是众多消费者的消费选择,也不仅因为这些个人信息中包括用户的姓名、手机号、身份证号码、住址等隐私,人们更想知道的是,从携程到洲际酒店,个人隐私数据泄露为何如此频繁发生?
消费者关注个人数据保护,并非仅仅源于隐私泄露导致的不快。网络诈骗、电信诈骗等黑灰产业链,如今已不像从前那样“漫天撒网”,你买了机票,就可能会收到短信通知说“航班取消”;网购退货诈骗,电话那边可以准确地说出你刚刚购买的商品和你的地址……基于个人隐私信息实行的精准诈骗,让骗子们屡屡得手,消费者不断遭受经济损失。
诈骗手段的变化多端,让获得个人隐私数据变得“有利可图”。此次华住酒店集团个人数据泄露事件表明,拥有大量用户数据的企业不得不面对更多黑客窃取个人数据的风险,以及“内鬼”泄露个人数据的隐患,但这并非是相关企业可以推卸责任的理由。根据网络安全法,企业对个人信息数据担负着包括网络运行安全保护、个人信息保护、协助和报告等在内的保护责任,个人隐私数据保护不能沦为一纸空谈。
加强对个人隐私数据的保护,对企业来说需要“软硬兼施”。
从“软”的方面看,企业需要树立安全意识。从大处说,企业需要建立起与专业网络安全厂商合作的意识,不断发现问题、解决问题,保持对数据安全持续和稳定的投入,同时关注网络安全形势的发展,不断为用户数据加上“安全锁”。从小处说,企业要加强对员工的网络安全培训,不断提高他们的数据保护意识和技能,同时定期开展网络攻防演练,让他们在遇到安全问题时能够及时处理。
从“硬”的方面看,企业需要建立相应的数据保护制度。比如,针对内部人员,为不同职位设立不同的数据调取权限,同时所有员工对数据的调取应该是可以记录和追溯的,以避免“内鬼”窃取数据。要对有可能造成数据泄露的不安全操作做到“令行禁止”。比如,此次华住酒店集团的数据泄露,目前判断是因为酒店网络开发工程师将公司的程序代码上传到了公开平台,这本身就是极不安全的行为。此外,还要建立专业网络安全技术人员使用网络安全产品的制度,不专业的使用同样会让网络安全防护形同虚设。
从监管的角度来看,在加强打击违法犯罪活动,从源头上消除窃取用户个人隐私数据利益驱动行为的同时,对造成用户数据泄露的企业也要采取更为强硬的处罚措施,建立严格的赔付补偿机制,以此督促他们对保护个人隐私数据真正重视起来,而不是一次又一次的“真诚道歉”和“亡羊补牢”。
随着大数据时代来临,我们必须用严厉的法律管住个人信息安全问题。谁不重视保护个人隐私数据,谁就必须承担用户“用脚投票”的后果。