客户资料安全　警惕过犹不及

|Larry Ponemon|2006-10-10

　　当谈论客户信息收集过程中涉及的隐私侵犯及信息安全隐患时，我们建议CIO要警惕过犹不及情况发生。

　　我们的生活似乎天天都充斥着关于个人资料丢失或窃取的消息。

　　在一些频频曝光的数据外泄案例中，包括了收集并存放于公司内部网络上的那些个人资料被窃取的大量案例。最近黑客从BJ’s Wholesale Club的客户数据库中盗取了其银行借贷信息。在发生的另外一件案子中，黑客造访了一家鞋业折扣店DSW公司的数据库，盗取利用了140万名客户的信用卡和借记卡信息及结算帐户信息。

　　这个问题的发生并不仅仅限于私人企业。像Acxiom, ChoicePoint 和 LexisNexis这样的数据公司正在搜集和销售几乎每个美国人的私人信息。他们每个都曾经有过这样的经历——发生数据窃取案件时，公司不得不向全美通报其个人信息在未经授权的情况下被某些个人使用的情况。最近联邦贸易委员会(Federal Trade Commission，FTC，美国负责处理有关欺诈性或不正当商业行为投诉的机构)对ChoicePoint公司作出1500万美元罚款的决定。因为公司涉及将个人敏感信息出售给一些怀有欺诈目的的行骗者。

　　尽管人们对个人信息的隐秘性和安全性的担心正在加剧，大部份美国公司依然从他们的客户那里收集了过多的私人信息，而且并没给客户提供如何使用、共享、出售和保留这些信息的选择权。

　　你可以选择退出，也可以选择加入——但殊途同归

　　事实上，据一份来自Ponemon Institute(作者所建立的公司)的新近研究表明，仅有超过半数的美国公司向其消费者提供了行使退出个人信息搜集的决定权。甚至更少的约23%公司按照“退出或加入”的机制来运行。(在这个机制下，公司只有在得到消费者的明确同意或决定参与的前提下才能进行私人信息的搜集，给予了客户最大限度的自主配合决定权。)

　　即使公司提供了选择退出的机制，这仍可能是一段令人痛苦的经历，到时候发生的情况就好想在你自己开的电话公司打电话给客服部抱怨账单错误。与此同时，各大个人信息产品公司还没有明确的保障措施可以使客户把个人信息真正地从公司客户联系资料库中删除。美国人不仅日益担心他们的个人数据可能会落入贼手，同时也更加担忧政府监视由此将渗透进其个人生活。在一月份，Ponemon Institute进行了一项调查，内容有关搜索引擎公司Google是否应将互联网的搜索信息向联邦政府公开。超过56%的被访者认为Google不应对政府公开网络搜索信息。

　　最近的一些调查显示，在目前的平稳时期，大部份隐私忧患意识产生于进行网上银行交易的客户。而隐私专家也表明，他们预计客户因个人资料被盗而一怒之下起诉公司的案件数量将不断上升。近来，政府申请强制执行判决的诉讼为公司设置了障碍。公平贸易委员会(Fair Trade Commission)在对DSW一案的裁决中，要求这家鞋业零售店制定一个囊括管理维护、技术保护、人身保护在内的综合信息安全流程。

　　这是CIO能够如鱼得水的领域

　　对于美国公司而言，关心并与客户和雇员利害相关的隐私保持敏锐感觉是一件好事，更是一种良好的商业行为。毕竟，当一个公司成功地建立起与客户彼此信任的关系时，许多客户事实上会十分感激这种市场讯息个人定制化的做法，因为提供私人数据使客户有可能甚或乐意分享更多关于他们购物习性和生活方式的信息。

　　作为公司的重要信息的负责人，CIO有机会在这方面发挥领头羊的作用。毕竟，在公司内外，当你的公司进行信息收集服务外包时，你是最有希望制定强力数据保护策略的主管人员。你和其他高层管理人员要确保:你们所有的商业合伙人在对委托给他们的信息处理工作方面要和你们保持同等的警惕性，CIO作用的准确发挥也取决于此。

　　为保护数据尽你所能

　　我们可以从最近被大肆宣扬的数据泄密事件中得到的一个教训:如果无法正当保护好个人信息，就会在诉讼、罚款、身败名裂以及客户急剧流失等方面付出昂贵的代价。因此，开诚布公地对待那些个人数据托付者，对公司而言不失为一个聪明的做法。这意味着公司要张贴明示简单易懂的隐私措施。要记住，并不是所有人都具有法律学位。透明度还要求公司清楚地解释个人信息如何被使用，以及可能被共享的原因是什么。

　　CIO还应考虑设置高科技装备，以方便对消费者隐私参数选择进行管理，对非法数据运行动作进行追踪。对高科技的有效运用能够强化组织的保密意识，从而实现对客户隐私保护的承诺，进而维护你所在组织的品牌或声誉。当安装好这些科技产品后，你应切记:谈到潜在敏感度的时候，并非所有的私人信息都是同等关键的。CIO应当清楚组织中最为敏感的几类私人信息(如参加社会保障的人数、信用卡账目和医疗病历等)的存放处，并且保证这些数据资料得到最为严实的加密保护。

　　信息技术管理人员还应确保他们的公司没有搜集过多的私人信息。过多信息将会导致你陷入棘手的局面，因为市场营销部门常常对目标客户群施展咄咄逼人的攻势来实现销售收入增加。而这种做法，又会导致在强大业绩压力之下对信息进行最大程度的搜集。然而，在这个隐私游戏中，有一个游戏规则是——少一点总要比多一点好。更关键之处在于搜集到恰到好处的信息量。此外，CIO应采取措施以确保公司搜集的信息是准确而实时的。提高准确度的一个方法就是让消费者能够接触到这部分关于他们信息，并在必要的时候进行修改。当个人数据和业务分析及开展不再有相关性时(或有法律规定上的要求的时候)，公司应当废弃它们。大量陈旧过时的私人信息的存储对隐私保护是个威胁。

　　当提到组织对隐私和数据的保护义务时，CIO必须确定组织能够实行向客户做出承诺。虽然这是一个艰巨并有政治风险的任务，但是最终你会赢得公司对你所担任的信息领导角色的致谢。

责编：admin

转载请注明来源：客户资料安全　警惕过犹不及

本文链接地址：http://www.ccmw.net/article/12448.html