這篇證券投資論文發(fā)表了證券公司實(shí)現(xiàn)個(gè)人信息保護(hù)面臨的挑戰(zhàn)����,大數(shù)據(jù)時(shí)代的到來,通過海量數(shù)據(jù)的挖掘��,為用戶提供了定制化服務(wù)���,對于證券公司來說,保護(hù)個(gè)人信息是很重要的����,關(guān)系到企業(yè)和用戶的安全,那么證券公司在面對個(gè)人信息時(shí)有哪些應(yīng)對策略呢?
關(guān)鍵詞:證券投資論文,信息分類,生命周期,安全意識
引言
隨著社交平臺�����、電子商務(wù)和移動(dòng)互聯(lián)網(wǎng)的發(fā)展�,數(shù)據(jù)正充斥著現(xiàn)代生活的每個(gè)角落。企業(yè)在對用戶提供服務(wù)的同時(shí)�,也擁有了各種各樣的用戶數(shù)據(jù)。“大數(shù)據(jù)”時(shí)代���,證券公司對用戶的個(gè)人信息不再只限于單純的收集�,我們對海量數(shù)據(jù)的匯集、挖掘和運(yùn)用使得個(gè)人信息潛在的價(jià)值得到二次開發(fā)��,并在此基礎(chǔ)上得以創(chuàng)新利用�,為用戶提供定制化的服務(wù)。與此同時(shí)�,這也不可避免地加大了用戶個(gè)人信息泄露的風(fēng)險(xiǎn)。
1證券公司實(shí)現(xiàn)個(gè)人信息保護(hù)面臨的挑戰(zhàn)
結(jié)合企業(yè)在個(gè)人信息保護(hù)工作上的實(shí)際情況����,可以將目前存在的問題歸納為:個(gè)人信息“海量化”、泄露途徑“多樣化”�、企業(yè)及用戶安全意識薄弱等。這些問題給企業(yè)的個(gè)人信息保護(hù)工作帶來了挑戰(zhàn)�。
1.1個(gè)人信息“海量化”
隨著互聯(lián)網(wǎng)金融的迅猛發(fā)展,證券公司不再局限于傳統(tǒng)的經(jīng)紀(jì)業(yè)務(wù)�,產(chǎn)品多元化、渠道多樣化���,使得證券公司掌握著客戶的各類基本信息����、交易數(shù)據(jù)及后臺服務(wù)信息等����,且數(shù)據(jù)呈現(xiàn)爆炸式增長��。據(jù)統(tǒng)計(jì)�����,在2006年至2015年的這十年間����,證券行業(yè)總計(jì)新增股東賬戶數(shù)近1.5億�����,每年新增股東賬戶數(shù)最少也接近500萬戶�����。證券公司僅在開戶期間所收集的個(gè)人信息量就非常巨大�,當(dāng)然這還不包括在用戶經(jīng)辦其他業(yè)務(wù)以及進(jìn)行各類交易時(shí)被收集的信息���,例如���,銀行三方存管信息�����、股票交易信息等等�����。每天��,有數(shù)以萬計(jì)的個(gè)人信息被記錄到企業(yè)的數(shù)據(jù)庫中���,我們根據(jù)這些信息為用戶提供各類服務(wù)。然而��,企業(yè)的管理和運(yùn)維成本始終有限�����,如果對所有的個(gè)人信息采取“一刀切”的方式進(jìn)行保護(hù)����,將導(dǎo)致信息保護(hù)力度不夠或者企業(yè)耗費(fèi)成本過高。
1.2泄露途徑“多樣化”
近年來���,個(gè)人信息泄露事件時(shí)有發(fā)生:12306用戶信息泄露���、社保信息泄露����、支付寶“安全門”事件��、“棱鏡門”事件以及最近的蘋果XCodeGhost后門事件等��。Verizon《2014年度數(shù)據(jù)泄露調(diào)查報(bào)告》中指出����,在調(diào)查采樣的10萬次數(shù)據(jù)泄露安全事件中,92%的攻擊手段都屬于以下九大攻擊手段范疇:人為失誤�����,例如把郵件發(fā)給了錯(cuò)誤的人;犯罪軟件(各種以控制系統(tǒng)為目的的惡意軟件);內(nèi)部人員/權(quán)限濫用;物理失竊/丟失;Web應(yīng)用攻擊;DoS拒絕服務(wù)攻擊;網(wǎng)絡(luò)間諜;POS入侵;支付卡信息竊取��。企業(yè)網(wǎng)絡(luò)所處的環(huán)境越來越復(fù)雜�,安全威脅不斷發(fā)展變化���,黑客通過應(yīng)用漏洞�����、內(nèi)部�、以及第三方受信接入來侵入企業(yè)內(nèi)部,傳統(tǒng)的邊界防御體系架構(gòu)已經(jīng)無法抵御多維度的攻擊威脅�,企業(yè)勢必存在用戶個(gè)人信息泄露的風(fēng)險(xiǎn)。
1.3安全意識薄弱
企業(yè)缺乏個(gè)人信息保護(hù)方面的主動(dòng)性����,而用戶自身對個(gè)人信息保護(hù)意識的淡薄,這些都是導(dǎo)致個(gè)人信息的流失原因���。
2證券公司個(gè)人信息面臨挑戰(zhàn)的應(yīng)對策略
對于企業(yè)個(gè)人信息保護(hù)工作中面臨的挑戰(zhàn)�,可以通過個(gè)人信息分類�����、基于全生命周期的個(gè)人信息保護(hù)�����、強(qiáng)化企業(yè)安全意識以及完善法規(guī)制度等措施進(jìn)行應(yīng)對����。
2.1個(gè)人信息分類
對于個(gè)人信息“海量化”所帶來的問題,我們可以從隱私安全與保護(hù)成本的角度出發(fā)�,對用戶個(gè)人信息進(jìn)行分類���,進(jìn)而根據(jù)不同需要,對關(guān)鍵信息進(jìn)行重點(diǎn)防護(hù)�。我們首先要識別用戶個(gè)人信息。目前證券公司用戶個(gè)人信息類別��,見表1�����。其次���,根據(jù)信息敏感程度����,對證券公司用戶個(gè)人信息進(jìn)行分類�����。(如表2所示):信息分類是為了根據(jù)信息的損失���、泄露或無效的敏感程度來組織信息。一旦根據(jù)敏感程度對信息分類�,企業(yè)就能夠決定保護(hù)各類信息所需要的安全控制手段����。這樣可以確保信息資產(chǎn)得到適當(dāng)級別的保護(hù)����,同時(shí)分類會指明安全保護(hù)的優(yōu)先順序。
2.2基于全生命周期的個(gè)人信息保護(hù)
企業(yè)在個(gè)人信息保護(hù)方面投入了大量的資金��、人力和時(shí)間����,然而,我們發(fā)現(xiàn)個(gè)人信息泄露事件的發(fā)生并沒有減少���,反而逐年上升�。根據(jù)統(tǒng)計(jì)數(shù)據(jù)表明�����,信息泄露途徑不再只局限于來自外部的惡意攻擊���,而是呈現(xiàn)“多樣化”趨勢��,這就意味著企業(yè)需要超越惡意軟件�,識別信息泄露的所有階段,建立全方位的個(gè)人信息保護(hù)體系��。
2.2.1個(gè)人信息生命周期個(gè)人信息的本質(zhì)就是數(shù)據(jù)��,它存在于企業(yè)各個(gè)業(yè)務(wù)流程當(dāng)中��。和企業(yè)所擁有的其他數(shù)據(jù)一樣���,它是不斷流動(dòng)的����,個(gè)人信息泄露的風(fēng)險(xiǎn)存在于其生命周期的每個(gè)環(huán)節(jié)���。參照數(shù)據(jù)生命周期�,我們把個(gè)人信息生命周期劃分為5個(gè)階段:信息收集����、信息傳輸、信息存儲�、信息使用以及最后的信息銷毀。
2.2.2個(gè)人信息保護(hù)機(jī)制企業(yè)個(gè)人信息保護(hù)機(jī)制是基于個(gè)人信息的全生命周期來實(shí)現(xiàn)的���,每個(gè)階段的實(shí)現(xiàn)措施具體如下:第一階段:個(gè)人信息收集階段��。個(gè)人信息收集是指對個(gè)人信息進(jìn)行獲取并記錄���,這個(gè)階段的個(gè)人信息基本是由用戶本人或企業(yè)內(nèi)部員工手工錄入。在此階段:企業(yè)要具有特定�、明確、合法的收集目的����。收集前,企業(yè)應(yīng)遵從“個(gè)人同意”和“公開告知”的原則��。特別是針對個(gè)人敏感信息和個(gè)人隱私信息的收集�,要獲得用戶明確授權(quán)。增強(qiáng)用戶個(gè)人安全意識�,避免將個(gè)人信息泄露給非授權(quán)人員。在信息錄入時(shí)���,系統(tǒng)應(yīng)具有合法性驗(yàn)證的功能�����,防止個(gè)人信息的泄露或篡改��。例如�����,對用戶輸入的信息過濾“&���,%����,$”等字符�����,防止SQL注入���。
第二階段:個(gè)人信息傳輸階段���。企業(yè)應(yīng)制定相應(yīng)管理制度,規(guī)定只允許個(gè)人信息通過特定方式與證券服務(wù)和信息服務(wù)商之間進(jìn)行維護(hù)�,例如,交易所�、銀行等。應(yīng)明確個(gè)人信息傳輸?shù)纳暾埡蛯徟鞒?,明確個(gè)人信息接受方�,傳輸內(nèi)容以及傳輸期限等����。企業(yè)應(yīng)根據(jù)個(gè)人信息傳輸?shù)牟煌A段��,需要選擇不同的加密方式��。例如�,在傳輸前可通過身份認(rèn)證(口令或數(shù)字證書)的方式對參與通信的雙方進(jìn)行身份鑒別;信息傳輸時(shí),可通過數(shù)字簽名的方式對傳輸中的數(shù)據(jù)流加密���,以防止通信線路上的竊聽��、泄露�、篡改和破壞����。針對個(gè)人信息的不同分類,選擇不同的加密措施�����。例如���,按照個(gè)人信息的敏感程度不同可采用不同的加密方式�����,甚至對于個(gè)人一般信息可以采用明文傳輸?shù)姆绞?����。對網(wǎng)絡(luò)出口處流量進(jìn)行監(jiān)聽�����,根據(jù)信息敏感級別制定相應(yīng)的告警機(jī)制��,防止企業(yè)敏感信息外傳���。
第三階段:個(gè)人信息存儲階段�。個(gè)人信息會存儲在網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和設(shè)備上���,例如���,服務(wù)器、數(shù)據(jù)庫�����、磁盤、存儲設(shè)備等�����,也會以非電子的形式存儲�,例如��,紙質(zhì)的用戶業(yè)務(wù)申請表等�。在此階段,企業(yè)應(yīng)確保存儲信息的可用性�、完整性和機(jī)密性。制定個(gè)人信息備份的管理制度�。例如,對不同級別的信息采取分級存儲的方式;根據(jù)個(gè)人信息所在責(zé)任部門的要求定期進(jìn)行備份;對備份的數(shù)據(jù)定期進(jìn)行恢復(fù)測試���,確保個(gè)人信息的完整性和可用性���。通過網(wǎng)絡(luò)分段、周邊安全�、計(jì)算機(jī)控制、工作區(qū)隔離以及系統(tǒng)訪問控制�、網(wǎng)絡(luò)架構(gòu)�����、網(wǎng)絡(luò)訪問���、加密等措施確保企業(yè)個(gè)人信息的機(jī)密性。例如���,對進(jìn)入核心區(qū)的人員進(jìn)行審批���,建立出入登記制度;在企業(yè)內(nèi)部對存放在數(shù)據(jù)庫中的敏感信息進(jìn)行加密;第四階段:個(gè)人信息使用階段企業(yè)內(nèi)部員工、第三方供應(yīng)商以及用戶本身都可能會使用企業(yè)的用戶個(gè)人信息�,因此在此階段:制定企業(yè)個(gè)人信息使用的管理制度,以規(guī)范企業(yè)內(nèi)部員工和第三方供應(yīng)商的信息使用行為����。
制定嚴(yán)格的訪問控制,防止未授權(quán)的訪問����。例如:業(yè)務(wù)部門制定基于角色的訪問控制,并定期進(jìn)行權(quán)限回顧�����。針對企業(yè)內(nèi)部人員和第三方供應(yīng)商制定個(gè)人信息使用的申請及審批流程,并在申請中注明使用目標(biāo)�、使用范圍以及使用的期限。對于企業(yè)內(nèi)部員工�,通過終端數(shù)據(jù)防泄密產(chǎn)品,防止員工有意或無疑的信息泄露行為����。對企業(yè)在測試時(shí)使用的個(gè)人信息,應(yīng)進(jìn)行變形����、脫敏處理。在用戶終端上����,對臨時(shí)留存敏感信息的本地cookies或內(nèi)存中的內(nèi)容進(jìn)行加密���,且使用完畢后�,本地不保留用戶個(gè)人信息等���。第五階段:個(gè)人信息銷毀階段企業(yè)應(yīng)基于個(gè)人信息的分類進(jìn)行信息銷毀工作:企業(yè)應(yīng)制訂相應(yīng)的個(gè)人信息銷毀的管理制度���,例如���,在到達(dá)個(gè)人信息使用期限后,及時(shí)回收;對于超過留存期限的電子和非電子化個(gè)人信息通過專用技術(shù)進(jìn)行可靠銷毀等�。根據(jù)策略明確個(gè)人信息銷毀的申請和審批流程,并進(jìn)行完整記錄����,以供追溯。采取技術(shù)手段對剩余信息進(jìn)行處理�。例如,對于要送出外部修理的設(shè)備或待報(bào)廢的設(shè)備�����,需在送修或報(bào)廢前其上所存在的對個(gè)人信息進(jìn)行可靠銷毀;用戶個(gè)人信息所在的存儲空間(硬盤�����、內(nèi)存)被釋放或再分配給其他用戶前得到完全清除����。
2.3加強(qiáng)安全意識
企業(yè)應(yīng)建立有效的內(nèi)部管控機(jī)制,通過技術(shù)手段���、管理手段以及行政手段�����,對個(gè)人信息的收集���、傳輸����、存儲�、使用以及銷毀的全生命周期實(shí)施有效地保護(hù),確保用戶個(gè)人信息安全���。此外�����,加強(qiáng)企業(yè)員工安全意識培訓(xùn),建立保護(hù)用戶個(gè)人信息的企業(yè)文化��,制訂相應(yīng)的獎(jiǎng)懲制度�,提高內(nèi)部員工的積極性。同時(shí)�,開展用戶個(gè)人安全意識宣導(dǎo)工作。通過營業(yè)網(wǎng)點(diǎn)、微信�����、網(wǎng)站等各類發(fā)布平臺���,進(jìn)行用戶個(gè)人信息保護(hù)意識的宣傳��。在此過程中���,適當(dāng)增加趣味性,互動(dòng)性�����,提高用戶的安全防范意識�。
3總結(jié)和展望
本文對證券公司在進(jìn)行個(gè)人信息保護(hù)工作中遇到的問題進(jìn)行了總結(jié),并對這些問題的對應(yīng)方法進(jìn)行了一番探索和研究��。當(dāng)然���,若要將這些設(shè)想進(jìn)行落實(shí)�����,需要會經(jīng)歷一個(gè)漫長而又艱巨的過程����,在此過程中我們還應(yīng)考慮如下問題:(1)制度的強(qiáng)制落實(shí)。個(gè)人信息是證券公司重要的資產(chǎn)�����,它的泄露將會給企業(yè)造成嚴(yán)重影響����,甚至威脅到企業(yè)的生存。證券公司應(yīng)將個(gè)人信息保護(hù)納入整個(gè)企業(yè)信息安全治理工作范疇中��,制定明確的個(gè)人信息保護(hù)的方針��、政策�����,并貫徹落實(shí)到日常管理工作中����。
(2)封閉體系的打破隨著互聯(lián)網(wǎng)金融����、第三方支付等業(yè)務(wù)的興起����,證券公司不再局限于原有的三方存管封閉體系��。個(gè)人信息的開放程度越來越高���,信息泄露影響的范圍也隨之增大���,因此保護(hù)個(gè)人信息尤為重要。(3)明確信息保護(hù)的責(zé)任業(yè)務(wù)部門是用戶個(gè)人信息的所有者和使用人�����,有責(zé)任保護(hù)這些信息����。因此,企業(yè)內(nèi)部對個(gè)人信息分類����、制度規(guī)劃、流程制定等工作應(yīng)由業(yè)務(wù)部門完成���。IT部門作為個(gè)人信息的保管者���,基于業(yè)務(wù)部門的個(gè)人信息分類���,負(fù)責(zé)信息的保護(hù)和維護(hù)工作。IT部門應(yīng)實(shí)施和維護(hù)安全控制措施���,執(zhí)行數(shù)據(jù)的常規(guī)備份����,定期驗(yàn)證數(shù)據(jù)的完整性以及實(shí)現(xiàn)企業(yè)個(gè)人信息安全策略����、標(biāo)準(zhǔn)所制定的需求等。
(4)應(yīng)急機(jī)制的完善再嚴(yán)密的安全體系也不可能保證個(gè)人信息的絕對安全����,企業(yè)應(yīng)針對個(gè)人信息泄露事件應(yīng)建立完善的應(yīng)急機(jī)制。當(dāng)發(fā)生個(gè)人信息泄露事件后�����,除了對外的公關(guān)工作外��,更應(yīng)注重安全事件的追溯,評估事件影響和危害����,避免擴(kuò)大或再次發(fā)生�。
參考文獻(xiàn):
[1]曹樹金.王志紅.古婷驊.智慧城市環(huán)境下個(gè)人信息安全保護(hù)問題分析及立法建議.圖書館情報(bào)知識,2015.
[2]張劍寒.聶元銘.數(shù)據(jù)中心安全防護(hù)技術(shù)分析.信息網(wǎng)絡(luò)安全��,2012.
[3]董紀(jì)昌���,焦丹曉等.大數(shù)據(jù)金融背景下商業(yè)銀行客戶信息保護(hù)研究.工程研究-跨學(xué)科視野中的工程���,2014.
作者:崔毅然 單位:上海證券有限責(zé)任公司
推薦閱讀:量化統(tǒng)計(jì)證券投資風(fēng)險(xiǎn)
本篇金融論文研究統(tǒng)計(jì)方法在證券投資風(fēng)險(xiǎn)中的應(yīng)用,隨著經(jīng)濟(jì)的不斷發(fā)展�����,科技的不斷進(jìn)步��,證券投資行業(yè)的發(fā)展也是一日千里�。證券投資在我國的經(jīng)濟(jì)影響中也起了相當(dāng)顯著的作用。
期刊VIP網(wǎng)