淺談證券公司在個人信息保護中的挑戰與應對

◆崔毅然

（上海證券有限責任公司 上海 200002）

淺談證券公司在個人信息保護中的挑戰與應對

◆崔毅然

（上海證券有限責任公司 上海 200002）

互聯網和大數據時代給證券公司帶來機遇的同時，也給企業所擁有的用戶個人信息帶來風險。本文結合自身企業實際情況，對個人信息保護過程中存在的問題進行了深入地探討與研究，并對實際工作中開展用戶個人信息保護工作，提出了應對方法。

信息分類；生命周期；安全意識

0 引言

隨著社交平臺、電子商務和移動互聯網的發展，數據正充斥著現代生活的每個角落。企業在對用戶提供服務的同時，也擁有了各種各樣的用戶數據。“大數據”時代，證券公司對用戶的個人信息不再只限于單純的收集，我們對海量數據的匯集、挖掘和運用使得個人信息潛在的價值得到二次開發，并在此基礎上得以創新利用，為用戶提供定制化的服務。與此同時，這也不可避免地加大了用戶個人信息泄露的風險。

1 證券公司實現個人信息保護面臨的挑戰

結合企業在個人信息保護工作上的實際情況，可以將目前存在的問題歸納為：個人信息“海量化”、泄露途徑“多樣化”、企業及用戶安全意識薄弱等。這些問題給企業的個人信息保護工作帶來了挑戰。

1.1 個人信息“海量化”

隨著互聯網金融的迅猛發展，證券公司不再局限于傳統的經紀業務，產品多元化、渠道多樣化，使得證券公司掌握著客戶的各類基本信息、交易數據及后臺服務信息等，且數據呈現爆炸式增長。

據統計，在2006年至2015年的這十年間，證券行業總計新增股東賬戶數近1.5億，每年新增股東賬戶數最少也接近500萬戶。證券公司僅在開戶期間所收集的個人信息量就非常巨大，當然這還不包括在用戶經辦其他業務以及進行各類交易時被收集的信息，例如，銀行三方存管信息、股票交易信息等等。

每天，有數以萬計的個人信息被記錄到企業的數據庫中，我們根據這些信息為用戶提供各類服務。然而，企業的管理和運維成本始終有限，如果對所有的個人信息采取“一刀切”的方式進行保護，將導致信息保護力度不夠或者企業耗費成本過高。

1.2 泄露途徑“多樣化”

近年來，個人信息泄露事件時有發生：12306用戶信息泄露、社保信息泄露、支付寶“安全門”事件、“棱鏡門”事件以及最近的蘋果XCodeGhost后門事件等。

Verizon《2014年度數據泄露調查報告》中指出，在調查采樣的 10萬次數據泄露安全事件中，92%的攻擊手段都屬于以下九大攻擊手段范疇：

人為失誤，例如把郵件發給了錯誤的人；犯罪軟件（各種以控制系統為目的的惡意軟件）；內部人員/權限濫用；物理失竊/丟失；Web應用攻擊；DoS拒絕服務攻擊；網絡間諜；POS入侵；支付卡信息竊取。

企業網絡所處的環境越來越復雜，安全威脅不斷發展變化，黑客通過應用漏洞、內部、以及第三方受信接入來侵入企業內部，傳統的邊界防御體系架構已經無法抵御多維度的攻擊威脅，企業勢必存在用戶個人信息泄露的風險。

1.3 安全意識薄弱

企業缺乏個人信息保護方面的主動性，而用戶自身對個人信息保護意識的淡薄，這些都是導致個人信息的流失原因。

2 證券公司個人信息面臨挑戰的應對策略

對于企業個人信息保護工作中面臨的挑戰，可以通過個人信息分類、基于全生命周期的個人信息保護、強化企業安全意識以及完善法規制度等措施進行應對。

2.1 個人信息分類

對于個人信息“海量化”所帶來的問題，我們可以從隱私安全與保護成本的角度出發，對用戶個人信息進行分類，進而根據不同需要，對關鍵信息進行重點防護。

我們首先要識別用戶個人信息。目前證券公司用戶個人信息類別，見表1。

表1 用戶個人信息類別

其次，根據信息敏感程度，對證券公司用戶個人信息進行分類。（如表2所示）：

表2 信息分類

信息分類是為了根據信息的損失、泄露或無效的敏感程度來組織信息。一旦根據敏感程度對信息分類，企業就能夠決定保護各類信息所需要的安全控制手段。這樣可以確保信息資產得到適當級別的保護，同時分類會指明安全保護的優先順序。

2.2 基于全生命周期的個人信息保護

企業在個人信息保護方面投入了大量的資金、人力和時間，然而，我們發現個人信息泄露事件的發生并沒有減少，反而逐年上升。根據統計數據表明，信息泄露途徑不再只局限于來自外部的惡意攻擊，而是呈現“多樣化”趨勢，這就意味著企業需要超越惡意軟件，識別信息泄露的所有階段，建立全方位的個人信息保護體系。

2.2.1 個人信息生命周期

個人信息的本質就是數據，它存在于企業各個業務流程當中。和企業所擁有的其他數據一樣，它是不斷流動的，個人信息泄露的風險存在于其生命周期的每個環節。

參照數據生命周期，我們把個人信息生命周期劃分為5個階段：信息收集、信息傳輸、信息存儲、信息使用以及最后的信息銷毀。

2.2.2 個人信息保護機制

企業個人信息保護機制是基于個人信息的全生命周期來實現的，每個階段的實現措施具體如下：

第一階段：個人信息收集階段。

個人信息收集是指對個人信息進行獲取并記錄，這個階段的個人信息基本是由用戶本人或企業內部員工手工錄入。在此階段：

企業要具有特定、明確、合法的收集目的。收集前，企業應遵從“個人同意”和“公開告知”的原則。特別是針對個人敏感信息和個人隱私信息的收集，要獲得用戶明確授權。增強用戶個人安全意識，避免將個人信息泄露給非授權人員。在信息錄入時，系統應具有合法性驗證的功能，防止個人信息的泄露或篡改。例如，對用戶輸入的信息過濾“&，%，$”等字符，防止SQL注入。

第二階段：個人信息傳輸階段。

企業應制定相應管理制度，規定只允許個人信息通過特定方式與證券服務和信息服務商之間進行維護，例如，交易所、銀行等。應明確個人信息傳輸的申請和審批流程，明確個人信息接受方，傳輸內容以及傳輸期限等。企業應根據個人信息傳輸的不同階段，需要選擇不同的加密方式。例如，在傳輸前可通過身份認證（口令或數字證書）的方式對參與通信的雙方進行身份鑒別；信息傳輸時，可通過數字簽名的方式對傳輸中的數據流加密，以防止通信線路上的竊聽、泄露、篡改和破壞。針對個人信息的不同分類，選擇不同的加密措施。例如，按照個人信息的敏感程度不同可采用不同的加密方式，甚至對于個人一般信息可以采用明文傳輸的方式。對網絡出口處流量進行監聽，根據信息敏感級別制定相應的告警機制，防止企業敏感信息外傳。

第三階段：個人信息存儲階段。

個人信息會存儲在網絡內部的系統和設備上，例如，服務器、數據庫、磁盤、存儲設備等，也會以非電子的形式存儲，例如，紙質的用戶業務申請表等。在此階段，企業應確保存儲信息的可用性、完整性和機密性。

制定個人信息備份的管理制度。例如，對不同級別的信息采取分級存儲的方式；根據個人信息所在責任部門的要求定期進行備份；對備份的數據定期進行恢復測試，確保個人信息的完整性和可用性。

通過網絡分段、周邊安全、計算機控制、工作區隔離以及系統訪問控制、網絡架構、網絡訪問、加密等措施確保企業個人信息的機密性。例如，對進入核心區的人員進行審批，建立出入登記制度；在企業內部對存放在數據庫中的敏感信息進行加密；

第四階段：個人信息使用階段

企業內部員工、第三方供應商以及用戶本身都可能會使用企業的用戶個人信息，因此在此階段：

制定企業個人信息使用的管理制度，以規范企業內部員工和第三方供應商的信息使用行為。制定嚴格的訪問控制，防止未授權的訪問。例如：業務部門制定基于角色的訪問控制，并定期進行權限回顧。針對企業內部人員和第三方供應商制定個人信息使用的申請及審批流程，并在申請中注明使用目標、使用范圍以及使用的期限。對于企業內部員工，通過終端數據防泄密產品，防止員工有意或無疑的信息泄露行為。對企業在測試時使用的個人信息，應進行變形、脫敏處理。在用戶終端上，對臨時留存敏感信息的本地 cookies或內存中的內容進行加密，且使用完畢后，本地不保留用戶個人信息等。

第五階段：個人信息銷毀階段

企業應基于個人信息的分類進行信息銷毀工作：

企業應制訂相應的個人信息銷毀的管理制度，例如，在到達個人信息使用期限后，及時回收；對于超過留存期限的電子和非電子化個人信息通過專用技術進行可靠銷毀等。根據策略明確個人信息銷毀的申請和審批流程，并進行完整記錄，以供追溯。采取技術手段對剩余信息進行處理。例如，對于要送出外部修理的設備或待報廢的設備，需在送修或報廢前其上所存在的對個人信息進行可靠銷毀；用戶個人信息所在的存儲空間（硬盤、內存）被釋放或再分配給其他用戶前得到完全清除。

2.3 加強安全意識

企業應建立有效的內部管控機制，通過技術手段、管理手段以及行政手段，對個人信息的收集、傳輸、存儲、使用以及銷毀的全生命周期實施有效地保護，確保用戶個人信息安全。此外，加強企業員工安全意識培訓，建立保護用戶個人信息的企業文化，制訂相應的獎懲制度，提高內部員工的積極性。

同時，開展用戶個人安全意識宣導工作。通過營業網點、微信、網站等各類發布平臺，進行用戶個人信息保護意識的宣傳。在此過程中，適當增加趣味性，互動性，提高用戶的安全防范意識。

3 總結和展望

本文對證券公司在進行個人信息保護工作中遇到的問題進行了總結，并對這些問題的對應方法進行了一番探索和研究。當然，若要將這些設想進行落實，需要會經歷一個漫長而又艱巨的過程，在此過程中我們還應考慮如下問題：

（1）制度的強制落實。

個人信息是證券公司重要的資產，它的泄露將會給企業造成嚴重影響，甚至威脅到企業的生存。證券公司應將個人信息保護納入整個企業信息安全治理工作范疇中，制定明確的個人信息保護的方針、政策，并貫徹落實到日常管理工作中。

（2）封閉體系的打破

隨著互聯網金融、第三方支付等業務的興起，證券公司不再局限于原有的三方存管封閉體系。個人信息的開放程度越來越高，信息泄露影響的范圍也隨之增大，因此保護個人信息尤為重要。

（3）明確信息保護的責任

業務部門是用戶個人信息的所有者和使用人，有責任保護這些信息。因此，企業內部對個人信息分類、制度規劃、流程制定等工作應由業務部門完成。

IT部門作為個人信息的保管者，基于業務部門的個人信息分類，負責信息的保護和維護工作。IT部門應實施和維護安全控制措施，執行數據的常規備份，定期驗證數據的完整性以及實現企業個人信息安全策略、標準所制定的需求等。

（4）應急機制的完善

再嚴密的安全體系也不可能保證個人信息的絕對安全，企業應針對個人信息泄露事件應建立完善的應急機制。當發生個人信息泄露事件后，除了對外的公關工作外，更應注重安全事件的追溯，評估事件影響和危害，避免擴大或再次發生。

[1]曹樹金．王志紅．古婷驊．智慧城市環境下個人信息安全保護問題分析及立法建議．圖書館情報知識，2015．

[2]張劍寒．聶元銘．數據中心安全防護技術分析．信息網絡安全，2012．

[3]董紀昌，焦丹曉等．大數據金融背景下商業銀行客戶信息保護研究．工程研究-跨學科視野中的工程，2014．