企业不得到教训 信息安全口号喊再响也没用

　　近日，两条关于公民信息安全的新闻引发社会关注。

　　据《新京报》报道，在由邯郸市公安局经办的一起案件中，不法分子与圆通快递多名“内鬼”勾结，通过有偿租用圆通员工系统账号盗取公民个人信息，再层层倒卖至不同下游犯罪人员。经测算，此次被泄露信息数量实际超40万条。

　　另外，据《南方都市报》报道，T3出行App因“违规收集个人信息，App强制、频繁、过度索取个人权限”，曾在10月被工信部点名要求整改。11月10日，由于仍未完成整改，T3出行App被工信部第二次点名通报并责令下架。近日，T3出行App悄然重新上架于各应用市场。

　　圆通快递公司40万条信息泄露事件，主要是快递公司有内鬼作祟。内外勾结，偷取以及贩卖用户个人信息，甚至形成一条严密黑色产业链。虽然现在内鬼已经被抓住，但相关公司还要反思：为什么会出现“内鬼”？为什么“内鬼”能轻易套取信息并不被及时发觉？

　　至于T3出行App违规收集个人信息，在工信部强令下架后不久就重新上架，令人担心其是否彻底完成整改。

　　这两起事件都是对公民个人信息安全的刺痛。在此类事件中，与外部勾结的“内鬼”，违规收集个人信息行为，都是表象，相关企业保护用户信息安全的意识与机制缺失，才是症结所在。

　　一心只想从用户身上获利，而不顾及用户的正当合法权益，是当下很多企业的通病。在保护个人信息安全方面，企业责任压不实，关键还是越轨成本太低。虽然这几年立法步伐加快，惩戒力度逐步加大，但从实际情况来看，一些违规企业所接受的处罚还是太轻，比如通报批评和要求整改等。企业不受到真正的教训，保护个人信息的口号喊得再响，都缺乏实际价值和意义。

　　无论是严防“内鬼”，还是通报批评、要求整改，都不能流于表面，还是需要更长久长效的精细化治理来应对。

　　比如，对于企业存在侵害用户隐私以及放大信息泄露风险的行为，要加重惩戒；对出现严重信息泄露事件的企业，要严苛问责，倒逼整改。还可以用信息安全指数为企业评级，企业的信息安全指数越低，用户对其信任度也越低。只有企业真正被法律震慑，被规则束缚，才会真正重视用户信息安全，补足监管漏洞。