窃取用户名和密码相当容易，而有意犯罪的人甚至不必亲自这么做。安全专家和相关研究表明，目前已有近数万个网站专为偷盗和买卖个人信息而设。事实上，窃取个人信息已成为一宗大买卖，大到足以吸引有组织的国际性犯罪集团。

　　资料失窃造成的潜在危害大大超过被窃资料本身的价值。福里斯特市场调查机构（Forrester Research）的市场分析师乔纳森·佩恩（Jonathan Penn）声称，由于担心个人信息失窃，消费者对于在网上开展商务活动的信心正在减弱。他说：“出于安全方面的顾虑，人们正远离网上银行业务。除欺诈造成的损失之外，如果将信息失窃对个人网上金融业务发展的影响也考虑进去，你会突然发现这个问题造成的损失其实高达上万亿美元。”

　　很少有人会认为CFO身处电脑安全防卫的前线，但企业名誉可能遭到的伤害、未能保护敏感资料所致的罚款威胁，以及企业可能蒙受的财务损失，这些都令资料保护成为风险管理的一个重要方面。一些CFO知道这一点，企业也确实不断地投入巨资维护电脑安全，但他们对现实状况的认识还是有些滞后。

　　窃贼采用几种简单、直接的技术来盗取个人信息：从邮件中攫取包含社会保障号码和其他个人资料的文件；偷盗存有身份信息的电脑；侵入企业数据库；从其他窃贼那里购买个人信息；贿赂企业内部人员，让后者提供客户和雇员资料的打印件；翻检垃圾箱，以寻找人事文件；诱骗消费者和雇员把自己的用户名和密码通过电子邮件或链接传到假的网站，这一过程被称为“网页仿冒”（phishing）（见框内文字：网页仿冒）。他们还使用窥探装置来捕获键盘输入的信息，这是一种在人们输入个人数据时进行偷窥的高科技手段。

　　多数企业在遏制个人信息被窥方面做得很少。很多企业甚至为偷盗提供了方便，比如说，把社会保障号码打印在各种容易被盗的文件和身份证上。 “我们必须在要安全还是要便利的问题上有所侧重，”佩恩说，“我们需要重新评估自己的立场。”

　　有人认为，这种重新评估最终将归于财务问题。Entrust Inc.是一家数码个人信息软件及服务供应商，总部位于得克萨斯州艾迪逊，公司总裁、董事长兼首席执行官比尔·康纳（Bill Conner）说：“在处理合规问题上，CFO扮演着关键角色。法律人士掌管合规事务，业务部门的人管理业务，另一块事务也许由首席安全官来负责，但平衡资产负债和盈亏状况，以及涉及萨奥法案的种种合规事务，还是要靠CFO。”

　　在围绕这一话题的所有数据中，美国联邦贸易委员会（Federal Trade Commission）的统计数字也许最令人有紧迫感。据该委员会统计，2003年，个人信息失窃导致美国企业及金融机构损失近480亿美元；同年，近13%的美国消费者（约990万人）的个人信息被滥用。个人信息失窃导致企业在每名受害者身上平均损失达1.02万美元。处理所有这些信息失窃行为导致的后果花了多少时间呢？2003年为近3亿小时。

　　若要拥有另一个人的足够信息以冒充他的身份，就要拥有完全空白的支票。身份窃贼不单利用其他人的信用卡号码来买东西，他们还利用假身份避免识破，从事洗钱、贩毒和非法移民交易，并为恐怖活动提供资金。朱迪思·柯林斯（Judith Collins）是密歇根州大学刑事司法学教授，也是《防止商业活动中的身份被盗》（Preventing Identity Theft in Your Business）一书的作者。他说：“我们恰恰为消费者身份的窃贼提供了各种机会。”梅塔集团的福斯特布洛克补充说，挑战在于“在这件事上你看不到头。你必须不断在新的威胁来临之前提醒员工，并教导他们如何防范。”

　　这类犯罪也因其损害了消费者信心而对企业构成危险。AMIC调查公司（AMIC Research Inc.）是一家面向金融服务行业的安全技术供应商，总部位于新泽西州泽西城。该公司首席技术官理查德·奥康耐尔（Richard O’Connell）说：“尽管网上银行业的发展是大势所趋，但也许在不久的将来这一趋势会暂时陷入停顿，因为人们担心会发生一些可怕的事，这种担心将严重阻碍网上银行业的发展。”消费者调查确实显示，有关身份失窃的顾虑妨碍了网上银行业被更多的人所接受。

　　企业若被人知道已成为窃取个人信息的对象，就会发现难以维持客户、供应商及合作伙伴对其的信任。非赢利性机构个人信息失窃资源中心（Identity Theft Resource Center）的联席执行董事琳达·高曼弗莱（Linda Goldman-Foley）说：“钱可以再赚，但你的声誉值多少钱？”

　　IT服务供应商电子资讯系统有限公司（EDS）的安全及隐私服务主管丽贝卡·惠特纳（Rebecca Whitener）说：“如果你公司的名字和导致特定个人信息泄露的重大安全侵犯事件扯在一起，那真是一场噩梦。”一家为富国银行（Wells Fargo）印制贷款书的公司电脑失窃，这些电脑包含了客户资料，于是富国银行让受害客户免费加入该银行身份保护程序一年，同时在公司网站上增加安全信息，并推出一项免费拨打的电话服务，为客户提供防欺诈的建议。

　　一旦成为身份失窃的受害者，公司也许会发现自己成为被诉讼的对象。例如，加拿大航空公司（Air Canada）和西捷航空公司（WestJet Airlines）正身陷一宗涉嫌窃取个人信息和企业间谍的法律诉讼案。加航指控说，西捷的官员盗用一名加航前雇员的个人身份，成千上万次进入加航的私人网站，收集有关航线和市场的信息。加航在起诉中要求西捷支付400万美元惩罚性赔偿金，并为加航的收入和利润损失支付相关赔偿金。

　　虽然窃取个人信息是近年来才出现的犯罪行为，但联邦和州立法律都提供了一些援救和保护措施，其中包括被广泛宣扬的加州SB1386法案。该法案规定，如果企业的电脑系统遭到入侵，而信息未加密，那么企业必须知会所有受影响的个人。但专家们警告说，其中有些法律为针对企业的集体诉讼提供了机会。

　　尽管大部分有关窃取个人信息的媒体报道都强调消费者个人的角度，但据多数人提供的信息，50%－70%的个人信息失窃发生在工作场所，而且随着窃取个人信息的性质从简单诈骗转变为采取复杂的手段进行欺诈，上述比例可能还会提高。

　　信息在哪里

　　安全专家称，在个别企业内部，最脆弱的部门或职能性环节是人力资源部门。原因何在？套用银行盗贼威利·萨顿（Willie Sutton）的话，因为身份信息就在那里。同时，很多人力资源部门使用临时雇员，而那些人并不总是受到出于安全考虑而进行的筛选。克罗公司（Kroll Inc.）负责欺诈解决方案的副总裁特洛伊·艾伦（Troy Allen）建议说：“任何在人事部门工作的人，或任何能获得私人资料的人，都应受到彻底的背景审查，这种审查要由一家知名公司进行，而不是由一家容易让人蒙混过关的、收费低廉的公司来做。”

　　同样，随着离岸业务日益增加，一些专家认为，应当为外包商设立一项类似的审查程序。密歇根州立大学的柯林斯说：“我们应该要求境外企业采用、贯彻并执行统一的身份安全标准。”

　　另一个问题是社会保障号码的广泛使用（一些人会称之为‘滥用’）。这些由9个数字组合而成的号码在各种公司文件和身份证上出现，而且常常在客户支持电话服务中被用来识别呼叫者。银行、电话公司、公用事业机构，乃至有线电视运营商都例行公事地要求打电话来的人提供其社会保障号码。对消费者而言，这就意味着，他们最容易被盗用的个人身份信息正以他们无法控制的方式、被一些他们无法辨别的人使用和散布。

　　2000年皮尔森出任首席隐私官时，社会保障号码的过多使用是雇员们顾虑最大的问题。作为回应，皮尔森开始在IBM内部发起一场行动，以解决这个问题。该行动规定，在雇员保健计划中，将社会保障号码从人员身份证及其他频繁共享的项目中取消。皮尔森还同政府官员及其他专家接洽，后者告诉她，最好的做法就是干脆停止使用社会保障号码。

　　于是，皮尔森和IBM的人事管理者以及公司的医疗保险供应商合作，将社会保障号码从发给员工及其附属人，还有退休员工的约50万份保健身份证中取消。所有医保供应商都照皮尔森的要求做了。皮尔森平时与IBM的高级领导层交流，她说，她们进行了一项对现状中的不足之处的分析，以确定现行政策是否足以确保既定目标的完成。一旦发现需要进行调整的话，来自高层领导的支持将是关键。