如何開展電信用戶個人信息保護工作范文

本站小編為你精心準備了如何開展電信用戶個人信息保護工作參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：移動互聯網、云計算、大數據等新技術、新業務的發展，給人們生活帶來了便捷高效，同時個人信息泄漏事件時有發生，個人信息保護面臨挑戰。文章闡述了對個人信息定義、泄露主要途徑，發達國家如何保護個人隱私,探討了新形勢下我國個人信息保護面臨的主要問題并提出當前電信用戶個人信息保護應對措施。

關鍵詞：個人信息；隱私泄漏；電信用戶個人信息保護

0引言

“徐玉玉電話詐騙案”背后，暴漏出個人信息正在面臨嚴重的泄露危機，2016年4月“山東省2016年高考網上報名信息系統”網站因安全漏洞被黑客攻擊，60多萬條高考考生信息被非法出售，徐玉玉的個人信息就這樣流入騙子手中。2017年美國Dun＆Bradstreet52G數據庫被黑，超過3300萬用戶信息遭泄露、印度麥當勞WEB應用McDellivery因漏洞泄露220W用戶信息、58同城全國簡歷泄露、黑產團伙泄露販賣公民信息50億條等。大量個人信息泄露嚴重損害了公民財產安全和社會的秩序,并且個人信息已成為精準詐騙的關鍵資源。作為電信運營商，用戶個人信息分布在通信網絡、支撐網絡、各類業務平臺的設備與系統中，全面實現用戶個人信息保護將面臨極大挑戰。

1個人信息保護概述

1.1個人信息概念個人信息，是指在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。包括但不限于以下5類：用戶基本信息，如用戶姓名、出生日期、身份證號碼、住址、電話號碼等；用戶賬號密碼信息，如客服賬號密碼、業務賬號密碼、ADSL賬號密碼等；用戶通信信息，如賬單、詳單、位置信息、通話記錄、短信記錄、上網記錄等；用戶業務信息，如消費信息、訂購信息、積分信息；其他能夠單獨或者組合識別用戶的信息[1]。

1.2個人信息泄露的主要途徑現實中可以合法掌握或保存個人信息的機構很多：公安司法機關保存當事人的隱私信息、醫院保存病患者的病歷檔案；學校保留學生的學籍檔案，電信保存用戶的通信信息，銀行保存用戶的資產、信用等信息等。幾乎各個行業都存在個人信息被泄露的情況，個人信息泄露主要存在以下三種途徑。

1.2.1黑客入侵有“漏洞”網站或平臺非法獲得互聯網各類網購、虛擬社區、社交網站、招聘網站、招生網站等登記大量個人信息，游戲平臺以及電信、政府、銀行系統等存儲了大量個人注冊信息或身份信息。據2017年3月補天平臺的《2016年網站泄露個人信息形勢分析報告》稱，2016年有超過一半的網站漏洞會導致泄露實名信息和行為信息，分別占58.5%和62.4%（某些漏洞可能同時泄露2類信息），可能泄露的數量多達42.3億條和40.1億條。黑客用技術手段入侵一些安全防范不是很高的網站，取得大量的用戶注冊名和密碼數據，該網站登錄名如是手機號、郵箱甚至身份證號，就可以與其他網站關聯上，是信息泄露的載體，信息販子掌握這些信息后，可以用‘撞庫’方式嘗試登錄其他網站。

1.2.2企業“內鬼”倒賣信息移動互聯與大數據時代，越來越多的機構（如滴滴、快遞公司、房地產中介等）積極搜集公民個人信息，由于機構內部管理制度的不嚴謹，企業“內鬼”頻頻出現，一些喪失道德底線的員工受利益引誘，大肆販賣個人信息。電信運營商內部及一些合作公司，不排除有員工出賣用戶信息為謀利的可能。

1.2.3智能手機泄密目前，智能手機的功能日益增多，利用智能手機的操作系統漏洞、應用軟件后門開發的惡意代碼抓取用戶隱私數據越來越多。360互聯網安全中心2016全年監測的Android平臺惡意程序的分類統計，對2016年全年數據中抽樣分析：盜取個人信息的手機惡意程序樣本9.8萬個。其中67.4%的樣本會竊取短信信息，34.8%的樣本會竊取手機銀行信息，10.0%的樣本會竊取手機聯系人信息，3.7%的樣本會竊取手機通話記錄，2.0%的樣本會竊取社交軟件（例如微信、QQ等）聊天記錄，1.8%的樣本會竊取手機錄音信息，0.1%的樣本會竊取手機照片信息[2]。而IDC一份調查顯示，60%的企業員工會將商業機密數據儲存在其智能手機中。這就意味著，一旦發生企業核心數據或個人信息泄密，對企業用戶、對移動辦公平臺都是巨大的災難。另外還存在二手手機交易過程中用戶隱私信息被非法恢復、竊取。

1.3國外如何保護個人隱私據不完全統計，已有70多個國家和地區制定了個人信息保護相關法規和標準，目前國際上有三種主要個人信息保護模式。

1.3.1美國模式1974年，美國《隱私權保護法》通過生效。之后采取分散的立法模式，依靠聯邦和州政府的各類條例來保護個人信息安全。美國同時非常重視行業自律政策,在政府引導下由行業協會制定行業標準來規范行業內個人信息處理規則。通過建議性的行業指示、網絡隱私認證、技術保護模式等鼓勵企業參與到公民信息保護當中。

1.3.2歐盟模式歐盟將個人信息保護上升到人權高度的保護，保護模式是由國家主導的立法模式。采用統一立法和各成員國國內立法兩個層次的立法模式。歐盟制定了一系列嚴格、完善、規范的個人信息保護法律框架，提供清晰的、可遵循的保護個人數據安全的基本原則，規范個人數據收集、處理、利用的行為，規定歐盟各成員國必須依此制定本國的個人數據保護法，以保障個人數據資料在成員國間的自由流動，在歐盟各成員國內建立統一的個人數據安全法律體系。并要求向第三國跨境傳輸個人數據，必須通過歐盟的保護標準。這條規定被稱為歐盟的“充分保護”標準，這限制了在歐盟開展業務的美國企業。為此，歐盟和美國于2000年達成了《安全港協定》，目標是在確保美國企業達到歐盟的較高保護標準的同時，維持美國一直采用的自律機制。然而斯諾登事件摧毀了歐州對美方在個人數據保護上的信任，加速了安全港協議的廢除。2016年2月29日，公開“隱私盾牌（Privacyshield）”協議[3]。該協議要求美國給予歐洲個人數據類似于在歐洲的保護標準。美國已經開始對其批量收集的歐盟公民數據在使用上進行限制，并將在國務院設立“監察專員”職位，處理歐盟數據保護機構轉交的投訴及查詢。歐美雙方將建立由歐盟委員會和美國商務部聯合實施的年度聯合審查機制，用來監督該協定的實施情況。改變此前歐盟方面單方面推進而美方監管不力的狀態[4]。為了適應歐盟的要求，許多非歐盟國家也紛紛制定個人信息保護相關法律、法規。

1.3.3日本模式日本外形參考歐盟的立法模式，實質更多采納了美國的保護規制，通過政府立法和行業自律實現個人信息保護。確定了適用于公共部門和非公共部門個人信息保護的基本原則，制定特殊領域的個別法，鼓勵非公共部門實施行業自律的個人信息保護機制。1999年制定了日本工業標準《個人信息保護管理體系-要求事項》，開始實施個人信息保護審核、認證工作（P-MARK認證）。通過資質認證，推廣和促進標準的實施。2003年，出臺了包含具體細則的《個人信息保護法關聯五法》，構建起相對完善的個人信息保護體系。對沒有采取有效地防范個人信息流失的措施的企業，將依法進行刑事懲罰后，個人信息泄露和買賣行為得以約束。

1.4我國保護個人信息的相關法律依據我國個人信息安全相關的法條散布于約近40部法律、30余部法規及近200部規章中，內容分散、體系龐雜。針對用戶個人信息被廣泛泄露的情況，網絡安全法于6月1日起實施，對保護個人信息作出了規定：網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；網絡運營者不得泄露、篡改、毀損其收集的個人信息；任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息，并規定了相應法律責任。網絡安全法作為網絡領域的基礎性法律聚焦個人信息泄露，不僅明確了網絡產品服務提供者、運營者的責任，而且嚴厲打擊出售販賣個人信息的行為，對于保護公眾個人信息安全，將起到積極作用。最高人民法院、最高人民檢察院聯合的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱“兩高司法解釋”）也于6月1日起實施。“兩高司法解釋”對“公民個人信息”作出了具體界定，行蹤軌跡等也被納入公民個人信息范圍。規定了侵犯公民個人信息罪入罪的10種情形，非法獲取、出售公民個人信息超50條的將入罪。2017年10月1日起實施的民法總則將首次從民事基本法律層面提出個人信息權，明確了個人信息保護的基本行為規范。

1.5對中國的啟示中國現有的個人信息保護模式似乎更類似于美國，零散分布在不同的法律法規中。近年來雖對“個人信息”加強了保護。但無論在立法還是在司法實踐中，中國的個人信息保護都屬于摸索階段。立法部門應盡快出臺個人信息保護的專門法。在法律層面明確線上線下及跨境數據傳輸過程中的各類個人信息采集及使用的方式、范圍及標準，并嚴格規范各類數據采集及使用主體在信息處理方面的細則，完善個人信息安全方面的保障要求與信息披露義務，以及針對個人信息權層面的相關權益保障要求，充分保障用戶在信息層面的知情權、選擇權、救濟權、受尊重權及信息安全權在內的各項基礎性權利。為監管部門提供有效的法律依據。同時借鑒其他國家先進的經驗，探索適應時代需求的信息保護路徑。如將個人信息保護提升到數據主權與國家安全的新高度。引入場景為主導[5]、數據外泄通知[6]、隱私影響評估[7]、第三方認證等個人信息保護新機制、新理念。加強各國政府之間的交流合作，共同保護區域及全球信息安全等。

1.6新形勢下我國個人信息保護面臨的主要問題1.6.1個人信息防護意識不強我國網民對信息泄露的危害性認識不足，隨意下載應用軟件、街頭掃碼領獎、隨手扔掉有個人地址信息的快遞外包裝、更換手機對原有手機不做處理、參加商家的登記會員、參加問卷調查等會泄露個人敏感信息。個人信息保護意識的匱乏客觀上導致了源頭上個人信息的泄露發生。

1.6.2個人信息保護缺乏統一立法我國目前沒有專門的個人信息安全保護的法律，缺乏統一主管機構，統一的法定標準，對信息主體的財產及非財產損失不能提供實質性的補償。1.6.3新技術新業務的應用使個人信息保護面臨新挑戰移動互聯網、多媒體技術、大數據、云計算、物聯網等技術的發展應用，使得個人信息具有來源多樣性、量級巨大性、覆蓋范圍廣泛性等新特征[8]，能夠形成完整的個人畫像和實時追蹤，使人們無處遁形。數據挖掘能從海量個人信息中挖掘出新結論，不僅增加暴露個人信息的風險，還影響個人權益的決策,個人信息保護面臨嚴峻威脅。

2新形勢下如何開展電信用戶個人信息保護工作

當前網絡個人信息買賣，將電信運營商推到了風口浪尖，加強電信用戶個人信息保護迫在眉睫。加強電信用戶個人信息保護，首先要提高用戶個人信息防范意識，其次要建立健全電信用戶個人信息保護管理體系、技術防范體系。

2.1加大電信用戶個人信息保護公眾宣傳、加強企業內部培訓，形成用戶個人信息保護文化政府及電信企業應利用各類新媒體、營業廳窗口、門戶網站等通過廳外LED屏、廳內宣傳海報、宣傳手冊、公告、社區服務等多觸點對公眾進行了宣傳，同時暢通舉報受理力度，提高公眾個人信息保護、維權意識。電信企業要重視企業內及第三方人員管理，加強對涉密人員法律意識培訓的力度，防止他們鋌而走險。對接觸用戶信息的人員進行相關知識、技能、用戶信息安全保障應急預案和安全責任培訓，形成用戶個人信息保護共識和文化。

2.2完善電信用戶個人信息保護管理體系立法部門為監管部門提供個人信息保護的有效法律依據，同時監管部門，比如通管局、工信部應該出臺、完善適應時展的電信行業的針對用戶個人信息保護的規定，對行業內的公司提出明確要求，并對規定的執行情況進行檢查。電信行業公司應從數據源頭開始，梳理用戶個人信息分布情況，明確用戶個人信息分類分級要求，明確不同用戶個人信息保護要求。對涉及用戶信息的主要平臺、系統，從數據源頭、賬號分布、數據流向、流程管控、安全加固等環節梳理、歸結問題及風險點，建立公司層面內控體系。完善公司、部門內部相關管理制度，控制措施，監督考核制度。明確不同類別不同級別的信息在賬號授權、操作使用、存儲備份、安全審核和泄露處罰等方面的具體要求。如與涉及用戶敏感信息的員工簽訂了保密協議，明確責任和義務；查詢、操作有授權、審批；禁止批量導出；采用分級、最小化授權；操作與授權分離；事后監察審計等，確保所有敏感操作都有嚴格的控制。

2.3推進安全技術手段建設,建立健全技術防范體系有效保護電信用戶個人信息安全。要求電信行業公司適應業務現狀和新技術趨勢，從信息系統和信息網絡的不同層面保證信息的機密性、完整性、可用性、可控性，提高信息系統及網絡的防御能力。電信企業用戶個人信息泄露的風險來源主要有兩種：內部的惡意人員的泄露和外部黑客攻擊導致。對內部惡意人員的泄露，可通過應用登陸手機隨機碼驗證、終端安全管理技術、終端數據泄露防護技術、網關數據泄露防護技術、虛擬桌面技術、抑制電磁泄漏、網絡隔離等物理安全防護、文檔加密、數據加密、數據脫敏技術、數據庫防火墻技術、數據庫審計等，實現對數據庫管理員、數據工程師、業務運營人員的高危數據操作風險的管理。通過這些技術手段限制對于客戶信息的導出、拷屏、下載、外傳、批量查詢、限制工作電腦安裝的工具軟件類型；對負責維護含有客戶信息的數據庫的IT人員的后臺系統和數據庫的權限進行嚴格控制，對其操作進行實時監控和審計，防止IT人員通過技術手段對營帳系統、客服系統等重要信息系統的客戶信息進行未授權操作或者將客戶信息拿走。針對黑客攻擊，需要我們采應用防火墻技術、入侵偵測技術、數據泄露防護技術、數據庫防火墻技術、數據庫審計、數據庫加密技術以建立不同的數據防護機制，試圖對可能發生的黑客入侵行為進行預警、阻斷和追溯。除被動防御之外，還需要建立主動漏洞排查、優化機制。定期針對平臺安全目標、功能配置、脆弱性分析等多個方面的排查和優化，驗證平臺以及系統的保密性和安全性程度。新形勢下，電信行業內應當利用大數據更高更廣的視角來判斷和監測系統與網絡安全，將大數據技術與安全技術有機融合，盡可能地提前發現存在的安全隱患。此外，電信業界要努力尋找更專業的算法來完善匿名技術，以解決數據分析應用與用戶隱私之間的矛盾。

3結語

電信運營商系統承載了大量的客戶資料，隨著大數據、云計算等新技術、新業務的應用，用戶敏感信息數據泄漏安全事件頻繁發生。電信運營商依據有關法律法規和標準，制定并完善適合本行業的個人信息保護標準和規范，發揮行業自律，完善個人信息保護的管理體系、技術防范體系，全面落實數據安全管理、防范外部攻擊和內部人員違規獲取數據、安全審計等，保證電信用戶個人數據安全。

作者：張震 單位：中國聯合網絡通信有限公司呼和浩特市分公司