企業(yè)應(yīng)建立有效內(nèi)控機制
其實,目前被公開報道的�����,出現(xiàn)用戶信息泄露且滋生詐騙風(fēng)險的電商平臺���,并非京東商城一家��。
2015年5月�����,蘇寧易購也出現(xiàn)用戶訂單信息大范圍泄露事件�����,致使很多用戶被騙����,近日趙占領(lǐng)也將代理部分用戶對蘇寧易購提起民事賠償訴訟;今年3月���,電商特賣平臺唯品會也被媒體爆出���,其平臺用戶訂單信息在一些QQ群被肆意買賣。
梳理目前被公開報道的用戶信息泄露事件���,記者發(fā)現(xiàn)電商等互聯(lián)網(wǎng)企業(yè)用戶信息泄露主要源于出現(xiàn)“內(nèi)鬼”泄露�、系統(tǒng)漏洞���、黑客撞庫這幾種情形。
公開資料顯示�,泄露用戶個人信息的源頭大多是相關(guān)企事業(yè)或部門的“內(nèi)鬼”,但一些收集��、保存大量用戶個人信息的電商等互聯(lián)網(wǎng)企業(yè)�����,卻沒有建立起完善的內(nèi)部制度和保護機制,這也給用戶信息泄露埋下了隱患�����。
以該案為例����,賈虹杰對記者表示,據(jù)他了解�����,該涉案企業(yè)內(nèi)部也有相應(yīng)的用戶個人信息保障制度����,比如物流部門由于掌握著包括客戶姓名、電話�、地址、何時下單�、所購貨物等詳細個人信息,系統(tǒng)登錄權(quán)限只掌握在相關(guān)主管部門手中�,但可能由于企業(yè)每天24小時需要接受用戶訂單,為了做好商品配送�,物流部門的員工需要“三班倒”���,為了開展工作便利,登錄權(quán)限就會被其他工作人員使用���。
“客戶信息系統(tǒng)的登錄ID和密碼一旦被‘共享’�����,就會存有漏洞����。如果物流部門實行的是‘三班倒’輪班制度����,那么應(yīng)該在每個班次都安排一個相應(yīng)職級的主管人員,負責(zé)用戶信息的查驗調(diào)取�,而且每次的操作行為,系統(tǒng)應(yīng)當(dāng)進行記錄�����,以便于后續(xù)追溯�。”賈虹杰說���。
那么���,大范圍用戶信息泄露事件發(fā)生后�����,京東是否對其內(nèi)部工作制度進行了調(diào)整和優(yōu)化�?京東相關(guān)負責(zé)人對法治周末記者表示���,案發(fā)后��,公司已經(jīng)第一時間采取了相應(yīng)的防范措施����,同時加強了內(nèi)部管理���,杜絕類似事件的再次發(fā)生����。
“京東一貫高度重視用戶信息安全����,有最嚴格的公司政策和規(guī)定��,決不允許任何人以任何方式泄露用戶信息�,一經(jīng)發(fā)現(xiàn)絕不姑息��。”該負責(zé)人表示��,根據(jù)京東的內(nèi)部調(diào)查�����,冒充客服進行詐騙的案例中���,絕大部分是犯罪分子通過撞庫攻擊等手段獲取用戶信息����。
2012年底����,全國人大常委會頒布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》明確提出,網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施�����,確保信息安全,防止在業(yè)務(wù)活動中收集的公民個人電子信息泄露���、毀損、丟失�����。
趙占領(lǐng)對記者表示�,企業(yè)應(yīng)依照全國人大常委會的決定,對用戶個人信息的收集�、傳輸、存儲���、使用和銷毀等環(huán)節(jié)和流程進行梳理��,對員工權(quán)限進行合理的設(shè)定�,防范個人信息泄露���。
記者注意到����,自去年京東商城爆出信息泄露事件以來�,京東逐步強化了對用戶的風(fēng)險提示,當(dāng)用戶訂單提交成功后,網(wǎng)絡(luò)頁面�、手機會收到謹防詐騙的提示信息。
張亞東告訴記者��,盡管后來京東維權(quán)群內(nèi)的人數(shù)還在增加����,不過增速明顯放緩,這也從側(cè)面說明平臺的提示起到了一定作用�。
|
