大数据文摘出品熟悉脱口秀的朋友一定对池子不陌生。他习惯用快节奏的语速和节奏撑起整个脱口秀,笑料密集,信息量大。《吐槽大会》早期,他最接近美国脱口秀的黑人风格,很快就形成了自己鲜明的风格,同时也拥有了一批自己的粉丝。这个来自北京的95后,很快在脱口秀市场上占有一席之地,产生了很多经典段子。虽然最后和老东家笑果文化的交手并不愉快,但脱口秀期间积累的粉丝还是为他收获了不小的关注度。自带流量体质的他最近频频上热搜,和他有关的事件总能引起大众的关注和讨论。其中,闹了一大堆,就是银行泄露了池子的个人资料。《幸运》受害人事件起源于脱口秀演员池子与上海笑果文化传媒有限公司解约,池子在个人微博发文称,他发现笑果文化违约,因为公司拖欠了很多本应支付的绩效报酬,公司也没有按照合同给池子账单明细。在他提出异议后,公司试图停止所有工作。池子多次提出和平解约,公司不同意,只能申请仲裁,希望公司能赔钱。不过,上海笑果文化传媒有限公司也提起仲裁,要求池子赔偿公司3000万余元。“上海笑果文化传媒有限公司拿到了池子近两年的银行对账单,这还没有拿到他的银行卡、身份证和司法调查令。”池子说,在公司发给他的案子中在材料中,我发现了我在银行的个人账户的交易明细,这真是出乎意料,对此,中信银行回应称:“这是为了满足大客户的要求。””消息一经泄露,就受到了广泛关注。毫无疑问,凭借脱口秀演员的身份和节目的热度《脱口秀大会》,银行泄露池子隐私数据的事件迅速引起了广泛关注,但通过一次意外事件揭露,其实中国的数据安全问题隐藏已久,而这背后还有更多“沉默”的受害者,那些在聚光灯下躲在阴影里,站在风口浪尖上的人天平一端倾斜,遭遇数据泄露,他们一直不被重视,在舆论影响下,银保监会随后介入。银保监会消费者权益保护局委托:2020年3月,中信银行未经客户本人授权,向第三方提供个人银行账户交易明细,违反保密原则存款人的生活。我局将依据相关法律法规启动调查程序,严格依法依规开展调查。您联系的销售和服务人员是否遵守数据保护法?个人银行账户交易明细属于重要的个人隐私,法律规定银行不得将个人账户交易明细交给第三方。中信银行的这起事件,已经触及了法律问题。虽然银行方面表示,银行对账单是工作人员泄露的,但依然逃不过责任。由于与存款人存在合同关系,银行应当依法履行义务妥善保管客户的流水、存款余额等个人信息。《商业银行法》、《消费者权益保护法》等法律规定,因管理漏洞或技术漏洞导致存款人个人信息泄露的,银行需要承担相应的行政和民事责任。如果银行工作人员利用职务上的便利,私自提供客户的银行对账单,这种情况虽然不是银行的主动行为,但却是工作人员的违规行为。但是,银行应履行相关管理职责,并应违反其员工的规定。行为是负责任的。而如果银行对账单被泄露,没有履行个人信息安全义务,银行的行为不仅构成民事侵权,还可能涉及刑事犯罪。刑法第253条规定,违反国家有关规定,出售或者向他人提供公民个人信息,情节严重的,处三年以下有期徒刑或者刑事处罚。拘留,并处罚款;处一年以下有期徒刑,并处罚金。不管是银行故意泄露,还是工作人员利用职务便利故意泄露,都可能涉嫌构成侵犯公民个人信息罪。我国银行和信用合作社开展储蓄业务的基本原则是存款自愿、取款自由、存款有息、为存款人保密。银行必须遵守所有存款。员工失职导致数据泄露的现象,从侧面反映出公司培训不到位,员工职业道德监管不到位。失去银行最基本的信誉和客户的信任,得不偿失。此外,个人也应注意自身原因导致的数据泄露。办理贷款、出国等相关事宜打印出本人银行对账单时,应妥善保管,防止银行对账单外泄等数据安全风险。错误的身份验证方式导致的数据泄露有很多种。本书从政府、法律和实践的角度分析了我们身边的数据泄露风险。作者在书中也指出了这样的问题。员工从银行数据库中查询客户的详细信息:员工:“先生,您的名字是×××吗?”顾客:“是的!”员工:“你的身份证号码是××××××××?”顾客:“是的!”员工:“你的生日是×××××年?”顾客:“是的!”这样的验证方式很吓人,那么银行员工应该如何进行身份验证呢?笔者相信《数据安全实操指南》,其实反问一下就可以了:“先生,您叫什么名字?”“您的ID是什么?”电话号码?”“你的生日是几号?”保护客户隐私,保障客户资料安全。根据店员初步查询方式,会给不法分子带来可乘之机。银行卡被不法分子拿到银行卡后,去银行时申请更换新银行卡,可以通过这种查询方式了解卡主的具体信息,不需要知道卡是谁,直接访问银行账户,然后取款!同时,由于银行缺人而导致员工得不到培训的情况也时有发生。组织应该知道,人往往是整个安全系统中最薄弱的环节。组织应该确保所有员工正在训练d关于适当的身份验证流程,以避免未经授权访问客户个人数据或无意中将客户数据泄露给错误的人。正确的认证方式在《数据安全实操指南》笔者发现,最近银行和信用卡发卡行都收紧了认证流程。他认为他们意识到获取一个人的信息是多么容易。(例如,人们经常在抽奖或注册期间自愿提供此信息。)银行和信用卡发行商现在经常询问一个额外的问题来验证客户的身份。比如“你在我们这里开了多少个账户”、“这个账户关联了多少张附属卡”、“你在我们银行有多少张银行卡”等等。他在书中举了一个例子:有一次,当我拨通银行热线激活一张银行寄到我家的新银行卡时,我真的被难住了。客服问我:“你是哪一年在我们银行开户的?”我试着跟客服讲道理,我的账户是很多年前开的,实在想不起来是哪一年了。客服耐心的帮我记了下来,她问:“你们有这方面的记录吗?”我说不行,客服继续说:“先生,我无法通过电话卡激活您的新银行,您需要携带银行卡和身份证到我们银行进行身份验证,卡只能是验证成功后激活。”对于花时间去银行完成这个简单的步骤,他并没有感到不快,相反,他相信银行会妥善处理客户的个人资料。因为它使用严格的程序来验证客户的身份,甚至拒绝在电话中为客户提供相关服务。这家银行在个人数据保护方面赢得了作者的信任,它已采取必要的保障措施和验证程序来保护其手中的个人数据。更重要的是,祖赫认为银行有训练有素的工作人员,知道如何拒绝为未能通过严格身份验证程序的客户提供服务。组织应根据数据保护法要求的保护原则,采取合理的安全措施来保护其拥有或控制的个人数据。作者指出,通常,当他询问一个组织其行为是否符合数据保护法时,答案是他们的律师已经审查了该组织的文件并且他们已经培训了他们的员工。然而,这些措施只能让组织实现合法合规,不一定能实现运营合规。如果组织拥有适当的信息安全策略和实践并将其嵌入其操作流程中,则它们只能在操作上合规。让员工知道什么是数据保护法并不意味着教他们如何遵守数据安全法,这也包括信息安全政策的执行。组织应对数据保护操作进行现场检查,以确保组织的信息安全策略得到相应修订,并确保组织的信息安全漏洞得到解决。写在最后目前全球约有90个国家和地区制定了个人信息保护法,而中国的《中华人民共和国数据安全法(草案)》已于2020年7月公开征求意见,所有企业和个人迟早要面对数据保护法,做出遵守数据保护法是他们日常生活和工作的一部分。在数据保护和隐私领域,组织和个人往往会忽视很多领域。有些问题在实践中很容易被我们忽略,尤其是在我们很忙的时候。其他的就不太明显了,比如很多人不知道多功能设备,比如办公室里的打印机,里面有硬盘,而且硬盘上的数据在使用时需要处理掉。机器被处理掉。有些解决方案可以很容易地融入日常流程,例如在接待处安装倾斜的电脑屏幕和闭路电视监视器,以防止路人看到它们。还有一些解决方案需要培训,让所有员工自觉地发挥自己的作用,比如员工需要知道如何安全地传输机密文件,定期清理邮箱以删除他们不再需要的个人数据。不管怎样,只有认识到合规经营在数据保护中的重要性,具备数据安全意识,掌握一定的数据保护方法,才能更好地融入这个大数据时代。【本文为栏目组织大数据文摘原创翻译,微信公众号“大数据文摘(id:BigDataDigest)”】点此查看作者更多好文
