6月23日,国家邮政局市场监管司、公安部十一局、国家网信办网络数据管理局联合召开主要电商平台企业涉邮政快递个人信息安全治理专项行动视频推进会,通报前期专项行动中查办的典型案件和发现的突出问题,进一步厘清思路、统一认识,压紧压实信息安全责任,强化个人信息安全源头治理,切实提升邮政快递个人信息安全防护的能力和水平。
►►►会议要点
1 ► 个人信息保护,是经营管理中不可逾越的红线
会议指出,抓好个人信息保护,中央有决策、人民有期盼、法律有要求,这是国家邮政局、公安部、国家网信办3部门组织专项行动的初衷,也是各类市场主体经营管理中一条不可逾越的红线。各企业要清醒认识到做好这项工作对国家安全、群众利益和企业可持续参与市场竞争的重要意义,切实提升对当前社会安全形势的判断力,贯彻落实国家对个人信息安全各项工作部署和要求,进一步增强法律意识和社会责任感,采取有力有效措施,扎实抓好专项行动各项工作落实。
2 ► 整改问题隐患,加大个人信息安全管理力度
会议要求,要迅速组织抓好问题隐患整改落实。要强化组织保障,各电商平台企业要成立由分管负责人牵头的邮政快递个人信息安全治理专项行动工作专班,强化统筹调度和支持力度。限时整改问题隐患,集中开展信息安全隐患整治。要组织力量全面筛查,准确掌握各类风险隐患点,建立工作台账,明确岗位责任,切实整改到位。要加大信息安全管理力度,按照“谁建设谁负责、谁使用谁负责”的原则,加强对重要信息系统的管理。
3 ► 从源头化解寄递用户信息泄露安全隐患
会议强调,要强化信息安全源头治理。推行隐私面单、虚拟号码等个人信息去标识化技术,从信息源头阻断不法分子实施犯罪的可能性。通过制度约束消除信息安全“真空地带”,从源头化解寄递用户信息泄露安全隐患。要按照“安全可靠、便利服务、上下游贯通”原则,采取切实可行的措施,与寄递企业打通信息瓶颈,及时共享有关数据,配合开展好隐私面单推进工作,努力推动年内基本实现邮政快递面单个人信息隐藏全覆盖目标。
►►►由“快递面单”引发的信息泄露
随着网购普及,快递量大大增加的同时,个人信息安全也可能面临泄露的风险。我们收到的快递包裹上,都会贴有一张“快递面单”。什么是“快递面单”呢?“快递面单”,是快递公司在送货时用来记录发件人、收件人以及货物种类、价格等相关信息的单据,需要贴在快递包裹上。而一些犯罪嫌疑人,就把目光投向了这些快递面单,甚至这些快递面单还在网上被明码标价批量售卖,情况十分猖獗。
目前,快递已经成为继手机、车辆、商品房买卖领域之后新的公民信息泄露“重灾区”,基本所有信息都能在网上买到。
快递员、灰产、电商、小贷机构、金融机构……看似毫无关联的一些个体,构成了一连串的需求供应链。快递运单上的公民个人信息如果泄露,将会对公民个人信息安全带来风险,不仅会使被泄露客户收到推销、贷款等骚扰电话,甚至可能被不法分子获取后用于犯罪活动,危及公民人身、财产安全,侵害社会公共利益。如何保护个人隐私信息的话题再度甚嚣尘上。
►►►如何解决快递中个人信息泄露的问题
1 ► 经营平台严格执行法律法规
《个人信息保护法》11月1日正式施行,在个人信息处理者义务里面也特别提到了,在处理个人信息的时候,应当对这些个人信息进行相关操作,像加密、去标识化,这是基本的安全技术保障措施。所以对于平台来讲,法律特别明确了这是他们的法定义务。
随着法律法规的日益健全,公安机关也不断加大对侵犯个人信息犯罪的打击力度。但是,依然有不法分子铤而走险窃取公民个人信息。不少专家表示,保护快递用户的个人信息,除了要依靠法律,快递企业还要持续加强内部信息安全管理,采取法律管理和技术管控并行的方式,多管齐下才能保护好快递用户个人信息。
2 ► 采取有效的个人信息保护技术
信息安全技术很多平台已经采用,但是效果却差强人意。最常见的情况就是:投入越来越多,系统已经不堪重负,但数据泄露事件却依然层出不穷。因为很多企业的信息安全设备是基于“事后”的,多数企业过度强调事后追朔机制,而不是在事前和事中进行预先判断,主动防护,这样导致的结果就是数据被泄露了之后才知道。然后一连串的审计,追责,但是无法阻止泄露事件的发生。防护的方向错了,越努力就离目标越远,越努力越尴尬。所以,我们才提议要对症下药,采取有效的个人信息防护技术,才能在保障业务正常运转的前提下让数据安全流动和使用。
►►►天空卫士在邮政快递数据安全方面的经验
天空卫士已经成功为多家大型物流企业提供数安全服务,获得了用户的肯定与认可。今天我们以中国品牌百强,总部位于深圳的某国际国内快递服务企业的解决方案为例,来跟大家做一次物流行业的数据安全方案分享。
1 ► 用户需求
当前社会个人信息贩卖情况严重,快递行业数据泄露事件频发,公司决定购置数据安全防护产品,防止公司的敏感信息(消费者数据、运单信息、物流信息)通过邮件出口外泄。经过分析,敏感数据泄露途径主要是邮件,比如内部用户邮件的正文,附件,截图含有敏感信息。
2 ► 解决方案
天空卫士数据防泄露解决方案(SecGator DLP),将集团日常所有运单信息、客户资料、合同数据、财务数据、投资并购数据、人资信息等敏感数据进行分类,并针对重点业务流程以及当前关注点加以实施。DLP检测设备对邮件的内容进行检测,并将邮件内包含的图片信息送往OCR集群对图片内的文字信息进行有效识别。通过预设的DLP检测规则,对于可能存在信息泄露的邮件进行实时告警和事件记录。通过天空卫士数据防泄露解决方案(SecGator DLP),公司安全团队可以监控通过电子邮件共享的数据,从而在邮件监控方面了解企业机密信息泄露的情况和泄露数据的员工,DLP能够快速识别用户带有风险的数据操作,只要一检测到违规电子邮件,DLP就能识别出该通信,并发出警报,可以自动生成通知,该系统还可以帮助该中心找出漏洞及让员工学习漏洞规避措施。
3 ► 方案价值
在使用了DLP系统一段时间后,公司内的可疑违规事件已经有效的降低,敏感数据的泄密风险也得到了有效的控制;
灵活部署,并可在几乎不影响日常业务活动的条件下生成详细的取证报告;
及时监控和防止机密数据丢失,从而保护用户远离诸多风险:经济损失、品牌受损、客户流失、失去竞争优势以及不合规等。
►►►天空卫士与传统安全的不同之处
天空卫士在国内率先提出“以人为中心的数据安全体系”,我们要保护的对象是数据,数据的操作者是人,所以安全的对手是人,小到初出茅庐的黑客,大到国家级安全入侵,还有最难防护的内部人员。
天空卫士的数据安全产品与ITM技术相结合,给个人敏感信息提供更全面的防护。首先我们会对数据内容进行分类分级,标识出哪些是敏感数据,哪些是机密数据,哪些是一般数据,并可以对不同级别的信息执行不同的管控策略,如阻止、告警、加密、打标等,无论敏感数据在云端、邮件、网络、应用、终端都可以被识别到。其次,基于不同的人员、设备可以赋予不同的权限,什么样的人,什么样的设备,可以访问、传输、下载、上传哪些数据都是不同的。最终,将数据内容和行为分析相关联,可以对内部用户的异常行为和内部威胁进行预测,直接以“人”为视角给出判定,发现内部有异常行为特征的用户会主动出击,在数据泄露之前进行阻止,并为安全分析人员提供可靠的依据。