加强电信企业用户信息安全保障

1、加强电信企业用户信息安全保障随着信息爆炸时代的来临和通信技术的快速发展， 用户的个 人信息安全问题日益严重， 信息泄露事件频发。 用户信息一旦遭 到泄露，将面临信息曝光、垃圾短信、骚扰电话、电信欺诈甚至 资金被盗等一系列风险。在此环境下， 2012 年“3.15 ”国际消 费者权益日的主题即为“消费与安全”， 新闻媒体也多次曝光了 个别银行、通信、快递、医院等行业不法人员泄露和出售客户信 息，给公众造成巨大安全隐患的问题。由此可见，用户信息安全 已成为社会化和信息化快速发展进程中的一个重要问题。近年来国家也逐步加大了对个人信息安全的保护力度。 一方 面从立法上逐步加大了对个人信息安全的保障，

2、在民事责任方面 认定用户个人信息属于个人隐私范畴，并在 2009 年通过的侵 权责任法中明确将隐私权写入了法律；在刑事责任方面， 2009 年颁布实施的刑法修正案七也新增了“国家机关或者金融、 电信、交通、教育、医疗等单位的工作人员，违反国家规定，将 本单位在履行职责或者提供服务过程中获得的公民个人信息， 出 售或者非法提供给他人， 情节严重的， 处三年以下有期徒刑或者 拘役，并处罚金。”“窃取或者以其他方法非法获取上述信息， 情节严重的，依照前款的规定处罚。“单位犯前两款罪的，对单 位判处罚金，并对其直接负责的主管人员和其他直接责任人员， 依照各该款的规定处罚。”另一方面，公安部也在北京、河

3、北等20 个省市区开展严厉打击侵害公民个人信息违法犯罪的专项行 动，抓获嫌疑人 1000 余名，挖出信息源头 44个。电信行业一直是客户信息安全保障的重点行业。 作为电信运 营商，掌握着海量的用户信息资源，尤其是 2010 年电话用户实 名登记工作推广以来， 运营商掌握的用户信息从数量和质量上都 得到了进一步提升。 一方面客户信息真实、 完善为电信企业向用 户提供个性化的服务提供了条件， 也为通信安全提供了保障， 但 另一方面对电信运营企业保障用户的信息、 通信安全也提出了更 高的要求。 笔者总结多年的电信企业客户信息管理经验， 借鉴先 进企业的管理方法， 从明确电信用户信鼠的范围、 电信用户

4、信息 泄露的风险途径、 解决电信用户信息安全的措施三个层面来探讨 如何保障电信用户信息安全。一、电信企业用户信息包含的内容 根据电信企业获取客户信息和提供通信服务的特点， 电信用 户信息应是指个人与单位用户的姓名或名称、 有效证件类型及证 件号码、住址（地址）、用户号码、联系方式、缴费账户、通话 清单、终端信息以及单位用户的组织架构等基本信息、 信息网络 建设等非通信的信息内容。二、电信企业用户信息泄露的风险途径 造成电信用户信息泄露的风险主要是人员风险和系统风险。 人员风险是指电信企业内部和外部所有可以接触到用户信息的 众多人员泄露用户信息的风险。 企业内部人员如营业人员、 销售 人员、维护

5、人员、客户信息管理人员等；外部人员包括与电信企 业合作的业务代理商、内容提供商以及第三方维护人员等。从系统风险上来讲，由于电信企业 IT 系统业务网络存在区 域分散、数据分散、系统繁多、环境复杂等特点，建设了包括 BSS客服、CRM等多个业务支撑系统和 0A办公系统，各个系统 上积累了大量的客户信息和生产数据、 运营信息等， 每个系统的 人员根据“使用”和“维护”又分为不同的角色， 这些系统的终 端覆盖了内网和外网、计算机和移动终端等多种形态的终端设 备。由于这些特征的存在， 电信企业客户信息数据面临着内部和 外部网络的多重风险。三、电信企业用户信息安全保护的措施 保护电信客户的信息安全， 让

6、客户享有安全、 放心的通信服 务是电信企业的责任和义务。 笔者从通信行业服务角度来看， 电 信企业信息安全保障的关键需要从加强内部管理、 提升系统防范 能力两个方面得到提升。（一）强化内部管理，提升全员信息安全防范意识 首先作为电信企业要有大局意识，应自觉遵守国家的法律、 法规，严格执行基础电信企业信息安全责任管理办法 （试行）。 将保障用户信息安全纳入企业的保密体系， 建立完善的用户信息 安全管理制度，规范从业务受理、客户服务、运行维护、信息计 费、外部合作等涉及客户信息的各个关键环节的业务操作流程和 规章制度， 构建全面有效的用户个人信息安全保护机制。 比如要 求营业和营销人员不允许私自留

7、存客户信息； 要求维护人员不允 许私自下载和修改客户信息；各系统账号权限严格实施分级管 理，不允许转让和越级使用；规范各类用户信息的存储介质、存 储时限和销毁方式，完善用户资料销毁管理制度和技术保障手 段；针对外部代理商、 合作单位要明确对用户信息保密的业务和 技术要求以及泄密后的相关处罚；定期开展用户信息安全检查， 做到提前防范，最大限度保障用户信息安全等。另一方面企业要加强对企业员工的法制教育和思想政治教 育，营造尊重和保护用户信息安全的企业文化和经营环境， 提高 全员的信息安全意识和法律意识。 尤其是针对能够接触到用户信 息的员工、外包人员、 代理商及合作单位的从业人员要与企业签 订保密

8、责任书，经常性地组织开展案例教育、警示教育、相关法 规和业务规范的考核等，提高从业人员的觉悟和防范意识。（二）提高技术防控手段，提升系统防范能力 完善电信企业 IT 系统业务网络的安全建设，构建用户信息 数据保密体系， 精确定位用户信息泄露风险， 从外部和内部防范 两方面提升系统的防范能力。首先是做好外部防范， 由于电信企业 IT 系统业务平台繁杂， 接入终端种类多， 要保证各类终端和网络安全地接入到业务系统 中，就要不断完善信息系统安全设备如防火墙、入侵检测系统、 病毒防护系统、 认证系统等性能， 对可访问系统的计算机及移动 终端等必须实施安全认证和安全策略防护，实现对用户信息的“区域外保护

9、”，严格防范黑客和外部不法人员窃取用户信息。 其次，由于大部分用户信息泄露案件都是内部人员制造， 加强内 部网络的风险防范更加重要。 一方面要加强系统的认证安全能力 和网络账号权限分级管控体系， 加强对登陆人员的身份和权限核 实，对于无论从业务平台或后台数据库查阅和下载用户的信息情 况系统都要有完整的日志记录； 另一方面， 如果用户信息未经加 密安全处理， 一旦下载存储到计算机上系统将失去监控权， 有可 能会造成信息恣意传播而无法找到源头， 因此系统应自动实现数 据落地加密及权限控制， 同时对下载终端加强安全策略认证， 提 高下载用户信息的安全度。四、加快推动制定个人信息保护法 用户信息安全不仅需要靠行业自律、 运营商加强内部管控和 公安机关的打击， 更亟需以法律的形式规范对个人信息安全的保 护。建议借鉴德国、美国等发达国家个人信息保护制度的经验， 呼吁加快推进我国个人信息保护法的出台，规范个人信息保 护的基本原则， 明确公民对个人信息保护的权力和义务， 以及在 未经个人同意的前提下， 将个人信息泄露给第三方所触犯的民事 和刑事责任， 以一部完整法规的形式提升个人信息安全保护的法 律地位， 协调各部门共同打击个人信