在网上理财,如何避免个人隐私被泄露?

来源: 老祝   

金评媒(http://www.jpm.cn) 编者按:数据安全与客户隐私的保护,是新金融企业的立身之本,马虎不得。

据新闻报道,近期黑市上出现一份数据,称是“趣店学生用户数据”,包含了百万的学生信息。该数据维度极细,除学生借款金额、滞纳金等金融数据外,甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。 

这个事,再次对所有的互联网金融从业者、对个人投资者,敲响了警钟。 

数据安全与客户隐私的保护,是新金融企业的立身之本,马虎不得。 

没有出现安全问题的,不代表自己的制度、流程和技术措施就已经很到位了,只是没有碰到而已。 

纵观以往见诸于报道的各种数据泄露事件,其原因无法以下四种: 

1、内部人窃取数据 

这种是比较常见的,也是性质最恶劣的。内部的人员,最有机会接触企业的重要业务数据,而且层级越高、接触的机密越多。一旦有人为利益或者怨恨所驱,就很容易在数据上做文章。 

例如这次的趣店的泄密事件,按照多位趣店离职员工的说法,“很多员工都可导出数据,这极可能是内鬼外泄”。 

窃取的方式也多种多样,能够批量导出当然最好;不能导出或者怕留下痕迹,可以拍照;也可以内外勾结,植入病毒。 

最近热播的胡歌主演的电视剧《猎场》,其中一幕就是胡歌作为第三方的卧底入职到一家外资银行,然后借机打开主管的电脑,调出理财客户的名单,准备用手机拍照,盗取数据。 

内部有人要作恶,是防不胜防的。 

2、网站存在安全漏洞,被外部人侵入 

作者认识的一家电商网站,就曾经因为SQL注入(通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令),被人从数据库盗取了大量数据。 

尤其初创的互联网企业,各方面都是刚起步,在安全防护的软硬件设施、代码规范上,都还比较粗糙的,此类问题更为严重,一旦被人盯上,很容易出现数据安全事件。 

3、管理疏忽,暴露于外 

其实所有的安全问题,最终都可以归结为管理的问题。 

管理的问题,又包括意识的问题、制度和流程设计的问题、执行的问题等等。安全意识淡漠、对客户隐私保护的觉悟不高,又是管理问题的根源。 

例如,对互联网金融企业来说,如果操作后台,随便一个人都能查看客户列表,客户列表可以直接显示手机号,那说明根本没有任何的安全管理。 

4、被第三方机构截取 

曾经有公司号称可以获得各大P2P平台的精准用户手机号,并进行定向推送,例如某金所的用户定向短信推送。深入了解,实际上也并不算太精准,大致是知道某个手机号访问过哪些网站或者App。要做到这点,必须基于电信或移动的网络,进行用户行为的跟踪。这种不是一般人能够搞得的定的。 

现在很多金融科技企业也都会使用第三方提供的反欺诈服务,在使用时,比如会需要向服务商提供用户的手机号信息,这里也涉及数据安全的问题。如果选择了一个技术实力不强、管理不严格的服务商,同样也存在数据泄露的风险。 

要有效地对企业数据尤其是客户信息,进行有效的保护,必须从理念、人员、制度、流程、技术、绩效等多个方面入手,形成严密的体系,否则,任何一个环节的疏忽,都会导致全局的溃败。 

第一,观念先行,必须将数据安全提高到关系企业生死的高度

企业中的每个部门、每个岗位、每个员工,都要有安全意识,都要重视对客户的信息安全的保护。贯彻安全意识,不能光靠口号,而要通过具体的事例来传达。可以是围绕某个排查出来的安全隐患,进行奖惩,对补救措施进行大范围讨论等等。具体生动的实例,在企业内部流传、激发最大程度的参与,最能有效地将一种观念植入人心。 

其次,选对人,安全的问题就解决了一大半。 

对会接触重要数据的岗位,其人员招募、选拔,非常关键。只有具有良好品行、专业自律的团队成员,才能查询或者操作有关数据。 

第三,数据安全的管理制度和内部控制体系需要建立和健全 

权限管理制度、保密制度、数据备份制度、安全审计制度等基本的制度体系,必须建立起来。 

企业应设立数据安全与保护的专岗,定期对整个安全体系进行审视,排查隐患,建立控制节点,持续地改进。 

CEO,就应该是最大的安全管理员,审视内部的数据安全管理规程、推动各项措施的落地。例如,关于数据导出,一个非常基本的原则,就是无特殊情况,各个列表均不应设置导出按钮;必须要用到导出的,权限只给特定的管理员,要进行脱敏处理,且导出的数据不得拷贝。 

又比如,金融科技企业,很多用户会涉及到更换银行卡,一般都要提交很多个人资料,例如身份证正反面照片、手持身份证的照片,这些都是敏感数据。除了权限控制,也需要建立定期的销毁机制,对已经过了时效,及时清除,这也是对用户隐私的一种保护。 

第四,做好定期的安全测评

公安部的“等保三级”测评和工信部的安全防护测评,各有侧重,是非常有效的安全保护和改进机制。按照监管的要求,实际上对网贷平台来说,要备案、要申请ICP,这些都是必须经历的程序。 

这样从一个侧面说明,监管落地后的网络借贷企业,确实在各个方面都更加规范和可信赖了。 

第五,规范与第三方的合作机制

在与外部机构合作时,首先要选择专业的、具有公信力的品牌机构,不能因为价格原因,而降低供应商的选择标准,因小失大。 

合作过程中,对数据提供的范围要进行严格的限定,不能把非必要的数据都提供给对方; 

同时,进行有效的监控,一旦发生数据泄露事件,可以快速地定位到泄露的源头。 

对在互联网上理财投资的个人而言,也要非常注意个人信息的保护。 

与其寄托于别人,不然先把自己的工作做到位。 

1、不要轻易“出售”自己的个人信息

现在各种商家,都会在营业网点、微信朋友圈、今日头条广告等各个地方,以红包、抵扣券等等方式,诱导个人关注微信公众号、留下个人手机号,甚至身份信息。 

实际上,这就是一种交易。 

你领到一个红包5元,掂量了一下,决定输入手机号领取,说明你愿意“出售”自己手机号的价格,就是5元。 

如果这5元要提现,还需绑定银行卡,你可能会放弃; 

但如果是20元,你可能就愿意绑卡了

这说明,你愿意交出自己身份信息和银行信息的价格,是20元。 

当然,这里的交易是有前提的,你是假设商家会严格保护你的隐私,否则给200元你也不一定愿意。 

这就要求,在面对各种羊毛时,我们要谨慎地评估对方是否是可信赖的,是否会遵守基本的商业道德,只选择靠谱的参加,或者干脆不参加。 

2、保持必要的安全敏感度

在手机上进行某个操作前,要仔细想想,这里面是不是有什么坑?会不会被App运营方获得隐私数据?是不是一定要给? 

例如,前段时间浏览新闻时,会经常出来广告,说提供“公积金查询”工具,然后你去查询了,公积金账号、数据实际上都给了某个放贷公司。 

还有你的通讯录权限,也不要轻易点击同意,一旦同意对方就可以获得通讯录中的所有手机号和姓名。 

有了安全意识,隐私暴露的风险也会减小很多。 

这个年代,对个人信息的保护,整体上是非常槽糕的。 

立足长远发展的企业,必须从起步阶段,就要重视数据安全,高度自律,并建立配套的制度、流程和技术措施,让客户可信赖。 

而对这些互联网产品的用户而言,除了提高安全意识外,关键还是在于选择,不短视、不轻信,把信息托付给可以托付的企业。

(编辑:杨少康)

来源: 老祝

苏言
金评媒责任编辑
推荐文章
上一篇:P2P的风险有哪些?P2P借贷需警惕法律风险 下一篇:90后每个月收入多少正常?如何做好理财规划?
最新评论
    查看更多评论

    扫码或搜索 "JPMMedia"
    关注金评媒微信公众号
    互联网金融第一媒体 | www.jpm.cn 关于金评媒 加入我们 订阅 官方微博