郵政客戶個人信息保護淺談

摘要：近期媒體報道客戶資料外泄事件頻發(fā)，作為連系千家萬戶的郵政企業(yè)，自當(dāng)加強對客戶個人信息的保護。本文從客戶個人信息保護的法理角度，結(jié)合郵政行業(yè)客戶個人信息的表現(xiàn)形式和特點，就郵政企業(yè)如何管理和保護好客戶個人信息，有針對性地提出工作建議，以求拋磚引玉。

關(guān)鍵詞：郵政客戶 個人信息 內(nèi)部控制

近期媒體報道客戶資料外泄事件頻頻發(fā)生，銀行、電信經(jīng)營商、游戲服務(wù)商、汽車制造銷售商、大型酒店、第三方支付運營商等行業(yè)企業(yè)均發(fā)生此類惡性事件，所涉行業(yè)范圍之廣、客戶資料外泄數(shù)量之多，令人觸目驚心，這些企業(yè)或面臨持久的司法控訴和天價索賠，企業(yè)聲譽也將因此而大受影響。通過分析案例發(fā)現(xiàn)，發(fā)生此類事件，主要是由企業(yè)內(nèi)部控制制度執(zhí)行不到位或制度和網(wǎng)絡(luò)存在漏洞而引發(fā)，其表現(xiàn)可歸結(jié)為以下三種類型：一是基層營銷行為失范，內(nèi)部員工職業(yè)道德缺失，利用工作之便盜用客戶身份資料另作他用；二是上層經(jīng)營行為失范，合規(guī)經(jīng)營意識缺失，未經(jīng)客戶許可擅自將掌握的客戶信息資料轉(zhuǎn)移至第三方作推廣用途；三是客戶信息資料保管不善，信息系統(tǒng)存在網(wǎng)絡(luò)安全漏洞被黒客利用，導(dǎo)致客戶信息資料被竊取，或客戶信息資料隨意丟棄，被人非法利用。

前車之鑒，教訓(xùn)深刻，郵政企業(yè)作為公益性服務(wù)行業(yè)，行使著普遍服務(wù)職能，在履行職責(zé)或提供服務(wù)過程中接觸和掌握了大量有用的客戶個人信息，如何管理好和保護好這些海量信息，已經(jīng)成為一個不可回避的的問題。

一、個人信息的定義和表現(xiàn)形式

2011年2月10日，我國工業(yè)和信息化部發(fā)布《信息安全技術(shù)個人信息保護指南》，對個人信息如此定義：所謂個人信息，即能夠被知曉和處理、與具體自然人相關(guān)、能夠單獨或與其他信息結(jié)合識別該具體自然人的任何信息。從此可以看出，個人信息是指一切可以識別出信息主體的信息的總和，包括了信息主體生理、心理、智力等方面信息以及有關(guān)信息主體個體的信息，社會、經(jīng)濟、文化、家庭的信息等等。

美國聯(lián)邦貿(mào)易委員曾對個人信息的表現(xiàn)形式進行闡釋：個人信息包括個人身份信息和非身份信息，個人身份信息包括姓名、身份證號碼、住址、電話號碼、電子郵箱、電子指紋、基因數(shù)據(jù)等，特指可以單獨識別具體自然人的信息。非個人身份信息是指人口統(tǒng)計信息，包括年齡、性別、職業(yè)、教育和/或收入、個人愛好和興趣等。

對于個人身份信息，絕大多數(shù)人都不愿意向不相關(guān)的他人透露，其作為不愿為他人公開或知悉的秘密，相對于他人來講應(yīng)屬于個人隱私范疇，具體自然人有權(quán)對其進行支配，并依法享有被保護權(quán)。而在一定場合，具體自然人自愿公開的非個人身份信息和私密性不高的個人身份信息如個人電子郵箱等則不屬于個人隱私。

二、目前我國有關(guān)個人信息權(quán)利保護的法理依據(jù)

（一）《中華人民共和國刑法修正案(七)》第二百五十三條：

國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。

單位犯前兩款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各款的規(guī)定處罰。

（二）《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》第二十八條規(guī)定：金融機構(gòu)應(yīng)采取必要管理措施和技術(shù)措施，防止客戶身份資料和交易記錄的缺失、損毀，防止泄漏客戶身份信息和交易信息。

（三）《儲蓄管理條例》第五條規(guī)定： 國家保護個人合法儲蓄存款的所有權(quán)及其他合法權(quán)益，鼓勵個人參加儲蓄。儲蓄機構(gòu)辦理儲蓄業(yè)務(wù)，必須遵循“存款自愿，取款自由，存款有息，為儲戶保密”的原則。

第三十七條規(guī)定： 儲蓄機構(gòu)違反國家有關(guān)規(guī)定，侵犯儲戶合法權(quán)益，造成損失的，應(yīng)當(dāng)依法承擔(dān)賠償責(zé)任。

另外，我國《民法通則》有關(guān)侵權(quán)行為的規(guī)定中對個人信息提供的保護僅限于可由姓名權(quán)、名譽權(quán)和肖像權(quán)或其他民事權(quán)利所能輻射到的個人信息，大多通過對“人格尊嚴(yán)”、“個人隱私”、“個人秘密”等與個人信息相關(guān)的范疇進行保護，進而引申出對個人信息的保護。例如我國的《民法通則》第一百條規(guī)定：“公民享有肖像權(quán)，未經(jīng)本人同意，不得以獲利為目的使用公民的肖像?！钡谝话倭阋粭l規(guī)定：“公民、法人享有名譽權(quán)，公民的人格尊嚴(yán)受到法律保護，禁止用侮辱、誹謗等方式損害公民、法人的名譽”。此外，在《未成年人保護法》、《婦女權(quán)益保障法》、《民事訴訟法》中也有對未成年人、婦女的個人隱私進行保護的類似規(guī)定?！吨腥A人民共和國郵政法（2009）》第三條對公民的通信自由和通信秘密權(quán)利保護進行了規(guī)定，將通信內(nèi)容、通信對象、通信時間、通信方式作為公民隱私納入了通信自由和通訊秘密權(quán)所保障的范圍之內(nèi)。

三、郵政客戶個人信息種類

郵政企業(yè)經(jīng)營業(yè)務(wù)種類較多，目前共分為三大塊，一是郵務(wù)類，包括函件、報刊發(fā)行、集郵、機要等；二是代理金融類，主要有郵政儲蓄、匯兌、中間業(yè)務(wù)代理等；三是速遞物流類，包括快件、普包和大宗物流等。在生產(chǎn)經(jīng)營的過程中，不可避免地要接觸和保存大量的客戶個人信息，這些信息主要可分為以下四種類型：

（一）客戶通信信息，這類信息主要是指工作人員在郵件收寄、處理、投遞過程中所接觸到的客戶通信秘密，包括寄遞方和收件人的客戶姓名、具體通信地址、聯(lián)系電話等等，大多以郵件原始檔案為載體。

（二）客戶個人身份信息，這類信息的來源，主要是經(jīng)辦業(yè)務(wù)時規(guī)定客戶須提供有效身份證件進行登記或影印件留存所產(chǎn)生的信息資料，以客戶信息登記表和身份證影印件的形式而存在。

（三）客戶個人賬戶信息，這類信息主要是客戶辦理賬戶開戶、存取、轉(zhuǎn)賬（含網(wǎng)上銀行、電話銀行交易）時所產(chǎn)生的系統(tǒng)信息數(shù)據(jù)，包括賬戶號碼（含虛擬賬戶）、賬戶登陸和交易密碼、賬戶戶主姓名、賬戶戶主身份證號、交易金額、交易對象等，以電子信息的表現(xiàn)形式保留在系統(tǒng)內(nèi)。

（四）自己加工后的客戶個人信息，也可稱為自有經(jīng)營類客戶信息，主要指企業(yè)因自身生產(chǎn)經(jīng)營活動的需要而主動收集、加工、保存的客戶個人信息，如用于商業(yè)信函的個人名址信息庫、用于大客戶維護的客戶聯(lián)系錄等等，這些信息對于企業(yè)而言應(yīng)屬商業(yè)秘密。

四、郵政客戶個人信息的保護

工信部2011年2月份發(fā)布的《信息安全技術(shù)個人信息保護指南》要求，對個人信息的處理要堅持八大原則，其中，公開透明和知情同意原則規(guī)定，個人信息管理者處理個人信息時應(yīng)履行告知義務(wù)，未經(jīng)個人信息主體同意，不得處理個人信息。并要求在個人信息處理的過程中，為個人信息主體保障其權(quán)利提供必要的信息、途徑和手段；安全保障原則規(guī)定，個人信息管理者應(yīng)采取必要的管理措施和技術(shù)手段，保護個人信息安全，防止未經(jīng)授權(quán)檢索、公開及丟失、泄露、損毀和篡改個人信息。該《指南》同時從個人信息采集、加工和委托加工、轉(zhuǎn)移、使用、屏蔽和刪除及個人信息管理等方面對個人信息的保護進行詳細(xì)規(guī)范。依照該《指南》和《商業(yè)銀行信息科技風(fēng)險管理指引》，筆者認(rèn)為，對郵政客戶個人信息的保護應(yīng)從企業(yè)內(nèi)部控制入手把好三道關(guān)。

（一）把好從業(yè)人員關(guān)。人做為管理活動中最活躍的因素，既有著非凡的創(chuàng)造力，也有令人難以想像的破壞力，所以加強人員的管理是企業(yè)管理活動中最重要的的環(huán)節(jié)。一是要加強員工思想動態(tài)管理，通過強化人生觀教育、職業(yè)道德和法制教育，引導(dǎo)和督促從業(yè)人員規(guī)范行為，嚴(yán)守行業(yè)服務(wù)紀(jì)律，構(gòu)筑思想意識形態(tài)“安全防波堤”；二是要建立保密制度，并依照制度與接觸業(yè)務(wù)檔案和信息系統(tǒng)的內(nèi)部人員簽定保密協(xié)議，加強員工行為約束；三是加強對關(guān)鍵或敏感崗位的雙重控制和關(guān)鍵崗位信息科技員工流失的防范，員工崗位發(fā)生變化應(yīng)及時檢查、更新或注銷用戶身份。四是推行從業(yè)人員政審排查和異常行為舉報制度，采取積極措施及時扼殺和消除事故苗頭。

（二）把好經(jīng)營合規(guī)關(guān)。合規(guī)只是企業(yè)責(zé)任的底線，但也是護航企業(yè)可持續(xù)發(fā)展的保障制度。在保護客戶個人信息方面，郵政企業(yè)合規(guī)經(jīng)營要做到“四堅持”：一是堅持客戶許可原則，在已履行告知義務(wù)的前提下，合規(guī)采集、使用、修改客戶信息；二是堅持行業(yè)自律，自覺合規(guī)經(jīng)營，嚴(yán)格執(zhí)行信息保密制度，防止出現(xiàn)貪圖利益主動外泄客戶信息資料的惡性違規(guī)行為；三是堅持謹(jǐn)慎合作原則，對合作商的資質(zhì)和信息用途進行嚴(yán)格審核，確保提供給合作方的客戶個人信息或自有經(jīng)營類客戶信息能得到善意使用，防止客戶受騙上當(dāng)或生活上受到騷擾而責(zé)難、起訴郵局。四是堅持“安全第一”原則，制定相關(guān)制度和流程，嚴(yán)格客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀程序，防止客戶信息被人為遺棄或丟失、受損、外泄。

（三）把好訪問控制關(guān)。郵政企業(yè)接觸和保存的客戶個人信息，無論屬個人隱私還是商業(yè)秘密，從安全的角度上來講，都應(yīng)列入訪問控制的范圍，具體來說要從以下四個方面著手進行嚴(yán)格控制。

1.在業(yè)務(wù)檔案管理方面，要堅持查（調(diào)）閱授權(quán)和登記管理制度，嚴(yán)格執(zhí)行《國內(nèi)郵件處理規(guī)則》和《中國郵政儲蓄銀行儲蓄業(yè)務(wù)制度》有關(guān)業(yè)務(wù)檔案管理的規(guī)定，禁止無權(quán)限人員查（調(diào)）閱檔案，防止檔案信息外泄。

2.在信息網(wǎng)絡(luò)安全建設(shè)方面，要堅持“沒有明確允許的就是禁止的”原則，采用屏蔽子網(wǎng)型防火墻技術(shù)封鎖內(nèi)部網(wǎng)（內(nèi)部網(wǎng)絡(luò)只允許訪問團堡壘主機），有效隔離外部網(wǎng)，屏蔽非法用戶，禁止外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)。同時要加強對網(wǎng)絡(luò)攻擊的檢測和預(yù)警工作，定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅，及時補漏，確保信息網(wǎng)絡(luò)的絕對安全。

3.在電腦監(jiān)控管理方面，要落實計算機設(shè)備專用管理制度。嚴(yán)格執(zhí)行內(nèi)網(wǎng)計算機不準(zhǔn)接外網(wǎng)，外網(wǎng)計算機也不得接入內(nèi)網(wǎng)，專用的計算機不準(zhǔn)串網(wǎng)使用的規(guī)定，以防止內(nèi)網(wǎng)數(shù)據(jù)外泄或系統(tǒng)崩潰。

4.在用戶身份和權(quán)限管理方面，要運用加密技術(shù)和數(shù)字認(rèn)證技術(shù)來加強對信息系統(tǒng)管理者（授權(quán)人）和訪問者身份驗證管理，防止外人假冒身份進入系統(tǒng)竊取和篡改客戶信息。同時要堅持“必需知道”和“最小授權(quán)”的訪問授權(quán)原則，明確定義不同用戶組的訪問權(quán)限，實時監(jiān)控權(quán)限用戶的操作活動。

參考文獻：

1. 全國人民代表大會常務(wù)委員會.中華人民共和國主席令第十號《中華人民共和國刑法修正案（七）》，http://www.gov.cn/flfg/2009-02/28/content_1246438.htm，2009-02/28

2. 中華人民共和國國務(wù)院.中華人民共和國國務(wù)院令第107號《儲蓄管理條例》，http://www.chinabaike.com/law/zy/xz/gwy/1332858.html，1992-12-11

3. 中國人民銀行 、中國銀行業(yè)監(jiān)督管理委員會、中國 證券業(yè)監(jiān)督管理委員會、中國 保險業(yè)監(jiān)督管理委員會. 中國人民銀行 、中國銀行業(yè)監(jiān)督管理委員會、中國 證券業(yè)監(jiān)督管理委員會、 中國保險業(yè)監(jiān)督管理委員會〔2007〕第 2 號令《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》，http://www.gov.cn/gongbao/content/2008/content_901306.htm，2007-06-21

4. 全國人民代表大會常務(wù)委員會. 中華人民共和國主席令第十二號《中華人民共和國郵政法》，http://www.chinapost.gov.cn/folder2/folder13/2009/04/2009-04-2528456.html2009-04- 24

5. 全國人民代表大會. 中華人民共和國主席令第37號《中華人民共和國民法通則》，http://www.lawyee.net/Act/Act_Display.asp?Lang=1RID=27201 ， 1986-4-12

6. 中華人民共和國工業(yè)和信息化部.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處《信息安全技術(shù)個人信息保護指南》草案，http://www.miit.gov.cn/n11293472/n11293832/n11293907/n11368223/13590447.html ， 2011-02-10

7. 中國銀行業(yè)監(jiān)督管理委員會. 中國銀行業(yè)監(jiān)督管理委員會銀監(jiān)發(fā)[2009]19號《商業(yè)銀行信息科技風(fēng)險管理指引》，http://code.fabao365.com/law_74901.html，2009-03-03