時間:2023-10-15 09:54:23
序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇關于個人信息安全范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
2011年深圳警方抓獲了一名販賣嬰兒信息的女子,其販賣的信息當中記載了深圳15萬名新生嬰兒的詳細資料,還搜查出深圳樓盤業(yè)主、車主名單等數(shù)十萬份個人信息。
2012年3月20日,北京警方宣布成功破獲CSDN網站用戶數(shù)據泄露案,被公開的疑似泄露數(shù)據庫26個,涉及賬號、密碼信息2.78億條,嚴重威脅互聯(lián)網用戶的合法權益。在2009年刑法修正案(七)中,雖然確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名,首次將公民個人信息納入刑法保護范疇,但未明確該罪的具體界定標準,且追究的犯罪主體只是“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”,法律對信息泄露者的懲罰機制還遠遠不夠。
據國家互聯(lián)網應急中心《2011年我國互聯(lián)網網絡安全態(tài)勢綜述》顯示,近年來以用戶信息泄露為代表的與網民利益密切相關的事件頻發(fā)高發(fā),“輕傷”者被垃圾信息“攻擊”,“重傷”者財物、名譽雙雙受損,引起公眾對網絡安全的廣泛關注。
“三律”加強個人信息安全防御
面對垃圾短信和洗錢、詐騙等違法違規(guī)信息推送以及網絡上辦假身份證騙取銀行信用卡惡意透資、盜取他人賬戶資金等種種亂象,如何全面加以防范和打擊已經迫在眉睫。
針對個人信息泄露的三種主要渠道:一是用戶的電腦或手機被木馬軟件劫持;二是個人信息在互聯(lián)網傳輸?shù)倪^程中,經過一些傳輸路由時被他人控制;三是網站運營或信息管理機構對個人信息沒有盡到妥善保管的義務,在使用過程當中把個人信息泄露出去。與技術因素相比,網站運營或信息管理機構泄露用戶信息已經成為侵犯個人信息安全更為重要的原因。必須從源頭加以治理,堅持法律、他律與自律三律并施的原則,切實加強個人信息安全防護。
健全法律。工業(yè)和信息化部副部長楊學山日前在“2012中國個人信息保護大會”上指出:“個人信息安全已成為目前網絡發(fā)展的重要問題,加強相關法律法規(guī)建設具有重要意義”、“個人信息安全是重要的問題,與網絡秩序、社會的穩(wěn)定與安定均息息相關,個人信息在網絡上的集中度越來越高,法律建設的相關環(huán)節(jié)也就更加具有重要的地位”。立法保護個人信息,是國際上通常的做法。目前世界上已有50多個國家和組織制定了個人信息保護的相關法規(guī)和標準。而在我國,雖有近40部法律、30余部法規(guī)和近200部規(guī)章涉及個人信息保護,2009年《刑法》將泄露個人信息入罪,《民法通則》中也有關于個人隱私的條例,但這些法律法規(guī)條例零散、抽象,在現(xiàn)實中普遍缺乏可操作性。《個人信息保護法》初稿已出臺6年,但至今未進入正式立法程序。加快推動個人信息保護立法進程,成為社會共識。
加強他律。掌握公民信息的,往往是具備政府管理職能和提供公共服務的機構及社會團體組織,他們掌握著80%以上的個人信息,80%以上的個人信息往往也經由他們泄露出去。因為單憑個人沒有如此強大的信息收集能力,只有這些單位趁著工作上留存公民信息的需要而使工作人員有違規(guī)操作的可能。因此,各級信息安全工作主管部門必須切實加強對政府機關、公共事業(yè)單位和社會團體等組織的信息安全監(jiān)管,督促其在做好信息系統(tǒng)等級保護和風險評估工作的基礎上,切實加強對員工的信息安全管理,促其管束好工作人員遵守職業(yè)道德,不趁職務之便而謀利。
嚴格自律。網民在利用即時通訊工具聊天、在電子商城購物或在交友開博過程中,不知不覺中已經將個人信息存儲在網站運營商的服務器中,這些個人信息不僅涉及個人姓名、性別、身份證、電話、郵箱等內容,甚至包括個人銀行卡、支付密碼、家庭住址等更為私密的內容,而公眾所熟悉的殺毒軟件重點在保護用戶端的電腦安全,對于存儲在運營商服務器上的數(shù)據安全鞭長莫及。新近提交審批的《信息安全技術、公共及商用服務信息系統(tǒng)個人信息保護指南》,提出個人信息在收集、加工、轉移、刪除4個主要環(huán)節(jié)中所要遵循的基本原則、注意事項,應引起個人信息提供者與使用者的高度重視并嚴格執(zhí)行。作為個人,要做到不該上的網站不上、不該提供的信息不提供;作為機構,要做到不該征集的信息不征集、使用后不該存儲的信息不留存。
“三建議”提升個人信息防護對策
個人信息安全防護是一項系統(tǒng)工程,政府部門作為公民個人信息最大的擁有者,首先應高度重視在個人信息應用方面的管理,為公民網上活動和互聯(lián)網產業(yè)發(fā)展提供良好的法律環(huán)境。同時,相關企業(yè)要加強技術管理,條件成熟時還可設立企業(yè)首席隱私官,專門負責處理與用戶隱私權相關事宜。而普通大眾也要提高個人信息安全保護的意識和能力,防范網絡行為可能帶來的潛在風險。筆者結合從事信息化與信息安全工作的實踐,提出以下建議:
加強學習,強化意識。首先要認真學習修訂后的《保守國家秘密法》,深刻領會并全面掌握結果論為行為論的核心要義,嚴守12條禁令,不碰紅線、高壓線;按照“四個不得危及、三個不得公開”的原則,處理政務信息公開工作;其次要做好網絡技術防范管理,嚴格遵照《江蘇省信息化條例》要求,在信息化規(guī)劃與建設、信息資源共享與開發(fā)利用、信息產業(yè)發(fā)展與技術推廣應用、信息安全保障及其相關管理活動中,逐一落實到位。尤其是信息安全保障系統(tǒng)應當與信息化工程項目同步規(guī)劃、同步建設、同步運行,使用財政性資金建設的信息網絡和信息系統(tǒng)投入使用前,應當進行信息安全登基保護和信息安全風險評估。
一、信息管理相關課程教學改革的現(xiàn)狀
目前,國內院校《安全信息管理》課程是以管理信息系統(tǒng)為主體,以安全信息為輔構成的教學內容體系。與本課程有關的教改項目都是圍繞《管理信息系統(tǒng)》在不同專業(yè)的適用性和應用性展開。已有的研究主要分為兩類:
(一)信管專業(yè)的教改研究。該類研究大多以項目引領、任務驅動、CDIO教學模式等方式,通過學生對專項任務的自主研習與開發(fā)實訓,提高項目開發(fā)能力,如秦麗萍[1];賴克勤[2];王小霞[3];王建華[4]等。
(二)非信管專業(yè)的教改研究。該類教改項目紛紛指出《管理信息系統(tǒng)》授課過程存在教學目標針對性差、教材無法適應學生特點、理論教學與實踐教學分離等問題,并紛紛基于能力本位以及專業(yè)背景的視角研究如何通過課程改革提高教學效果,其主要教改集中在以下幾點:明確不同于信管專業(yè)的教學目標;根據專業(yè)更改教學內容與學時;針對專業(yè)實際合理選用教材;進入專業(yè)化案例教學;加強實踐教學等;但已有研究成果,主要集中在工商管理[5]、市場營銷[6]、飯店管理[7]等行業(yè),其研究結果對于公共事業(yè)管理專業(yè)的安全信息管理課程教學并不適用。
目前,在實際教學過程中,中國民航大學《安全信息管理》的教學,不僅存在非信管類課程教學的普遍問題,更因為行業(yè)限制,各類民航安全信息管理的資料及教學實踐軟件非常有限,該門課程還存在課程定位與社會需求脫節(jié)、教學內容研究滯后、實踐教學嚴重不足、缺乏與民航單位的互動等嚴重問題,從而導致學生學習該課的積極性不高,整體的教學效果不盡如人意。
二、《安全信息管理》教學改革的實施過程
《安全信息管理》教學改革的實施過程如圖1所示。
三、《安全信息管理》教學改革研究的實施
(一)明確“培養(yǎng)學生安全信息管理工作能力”的教學目標
明確“培養(yǎng)學生安全信息管理工作能力”的教學目標,主要體現(xiàn)在:(1)變“傳授知識”為“培養(yǎng)能力”。突出工作能力的培養(yǎng),而非基本知識講授。(2)變“系統(tǒng)開發(fā)”為“系統(tǒng)應用”。弱化管理信息系統(tǒng)開發(fā)內容,突出用戶如何配合開發(fā)及使用系統(tǒng)。
(二)優(yōu)化與整合教學內容,圍繞“如何提高安全信息管理水平”形成八個專題
通過對民航單位、員工能力、最新成果、相關院校及學生的調研,優(yōu)化整合教學內容,弱化安全信息管理系統(tǒng)內容,增加民航安全信息管理流程及評價等內容,并圍繞著“如何提高民航安全信息管理水平”的主線,形成表1中的八個教學專題。
(三)改革教學方法和手段,激發(fā)學生對安全信息管理的學習興趣
教學手段改革主要有兩點:(1)情景教學。對于抽象理論,通過民航單位調研分析,形成工作情景案例。授課時先剖出工作情景案例,再引導學生討論,之后再講解教學內容。(2)優(yōu)化課件。對于重點及難點,通過動畫及視頻的形式反應出來。
(四)完善實踐教學,培養(yǎng)學生對民航安全信息管理的實踐認識能力
實踐教學主要有兩點:(1)實驗教學。鑒于民航安全信息系統(tǒng)的私密性,本課題將開發(fā)一套民航安全信息管理仿真系統(tǒng),模擬民航安全信息管理的運行流程,使學生直觀感受該套軟件的運行,提高對民航安全信息系統(tǒng)的實踐認識水平。(2)理論教學。通過對民航單位的調研,開發(fā)教學案例,使學生通過工作案例來學習和掌握知識點,提高學生對民航安全信息管理業(yè)務的實踐認識水平。
(五)改進課程考核方法,引導學生提升安全信息管理綜合業(yè)務能力
課程考核改革有兩點:(1)理論環(huán)節(jié)。期末考核以民航安全信息管理實際工作內容的案例分析為主,改變原有基本知識點的考核方式。(2)實驗環(huán)節(jié)。重點強調新系統(tǒng)的目標和需求分析,而非原有的系統(tǒng)設計。以此,增加學生對安全信息需求的敏感性,提高信息化的配合能力。
四、結論
1.圍繞培養(yǎng)民航安全信息管理應用型人才的目標,以“如何提高安全信息管理水平”為主線,形成“民航安全信息管理含義、法規(guī)、流程、分析、SCASS、評價、信息系統(tǒng)、趨勢”專題。
伴隨著信息技術的不斷提高,各種新型利益不斷出現(xiàn),個人信息作為一項無形資產已成為現(xiàn)代信息社會的一種重要資源。然而最近幾年我國個人信息泄露情況嚴重,尚無一部完整的關于個人信息安全保護的法律且目前相關法律不完善,難以對個人信息起到有效的保護作用,因此完善個人信息安全保護的法律制度顯得尤為迫切。
一、國外個人信息安全的立法評析
現(xiàn)今國際大約存在以美國、德國、日本為代表的三種立法模式。美國模式大體可以總結為分散立法與行業(yè)自律相結合,在公領域制定單行法進行分類保護,如1998年的《兒童網上隱私保護法》;在私領域則采取行業(yè)自律模式,在政府主導下制定行業(yè)準則,通過自我約束保護公民的個人隱私。德國模式則是在公私領域對個人資料采取統(tǒng)一立法模式進行保護,其于1977年制定《聯(lián)邦數(shù)據保護法》對公私領域進行統(tǒng)一規(guī)范,同時又制定了適用于所有洲個人資料保護的法律即《洲數(shù)據保護法》,并設立獨立的監(jiān)督機構。日本關于個人信息的法律保護模式是建立在美、德模式之上,兼具統(tǒng)一立法規(guī)制與行業(yè)自律特點,即采用綜合性的保護模式。日本于2005年實施《個人信息安全保護法》并將其作為個人信息安全保護的基本法律對公私領域進行統(tǒng)一保護。除此以外,還分別針對不同部門、特殊行業(yè)制定個法,形成以《個人信息安全保護法》為基本法,各部門單行法為補充的法律體系。同時,在行業(yè)規(guī)范方面,日本吸收美國的行業(yè)自律模式,如采用P—MARK認證機制,替代爭端解決機制。
以上三種模式側重點不同,但都有其合理性。美國模式相對來說較為靈活,在保護個人隱私的同時又能夠促進信息的流通。分散立法與行業(yè)自律均為針對特定行業(yè)制定具體規(guī)則,因此更具體和可操作。德國模式則將個人信息安全置于國家的統(tǒng)一保護下,具有規(guī)范性與強制性,有利于對個人信息安全的全面保護。但是,強調保護的單一性則相應的會引起弊端。美國模式將個人隱私保護的主導權交予企業(yè)促進市場發(fā)展的同時,企業(yè)也可能為追求利益最大化而采取規(guī)避政策的手段侵犯個人信息安全且分散立法易造成司法的不統(tǒng)一。而德國的統(tǒng)一立法模式難以避免僵化的問題,在一定程度上導致個人資料無法充分流動從而影響企業(yè)和社會的發(fā)展。同時由于各國的保護原則不同,個人資料進行跨國轉移時易引起國與國之間的分歧。日本的綜合保護模式同時兼具美、德特色,但又與之有所區(qū)別。沒有一味迎合德國的對個人信息的全面保護又注意到行業(yè)自律的不足,客觀的說是兩者的折中,具有寬泛性和適用性特點。但是,日本對于個人信息的保護也有一定局限性,《個人信息保護法》對于保護對象和規(guī)制對象定義不夠嚴謹使很大一部分日本民眾對于個人信息的保護問題過于敏感,反而影響了正常的信息交流活動。如在這部基礎性法律中對個人信息的處理者的定義規(guī)定不夠充分,其規(guī)制對象為5000件以上的個人信息的持有者,即對數(shù)量做出限制而不是規(guī)定對個人信息的持有必須合法,以數(shù)量為規(guī)定易將個人信息的保護范圍擴大化使得有益的個人信息采集變得困難。
二、我國個人信息安全法律保護的現(xiàn)狀
由于歷史等諸多原因,我國目前沒有出臺一部專門的關于個人信息安全保護的法律,直接保護個人信息安全的法律數(shù)量很少,現(xiàn)有法律對其的保護主要為間接方式,即在個人信息相關的范疇給予局部立法。主要見于以下幾個方面:在民事法律方面:《民法通則》規(guī)定:公民享有姓名權,有權決定、使用和依照規(guī)定改變自己的姓名,禁止他人干涉、盜用、假冒等;在刑事法律方面,《刑法修正案(七)》規(guī)定:國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國家規(guī)定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;在行政法律方面《行政訴訟法》規(guī)定人民法院審判涉及個人隱私的案件可以不公開審理等;憲法方面,《憲法》規(guī)定:公民的人格尊嚴不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的權利等。
現(xiàn)有法律制度并不能很好的保護個人信息的安全。主要存在以下幾個方面的問題。首先,相關概念界定不清。如對于“個人信息”范圍未加明確規(guī)定從而易造成信息泄露案件取證及責任認定困難,司法實踐時可操作性差等。其次,懲罰力度過小,難以起到警示作用。如我國刑法修正案(七)處以非法獲取公民罪三年以下有期徒刑或者拘役,并處或者單處罰金,同犯罪分子豐厚的經濟收益和巨大的社會危害相比,處以三年以下有期徒刑顯得懲罰力度過小,難以對犯罪分子起到有利打擊與警示世人的作用。再次,沒有建立相應的民事補償制度。對于濫用個人信息的責任僅僅停留在刑事責任和行政責任上,忽視個人信息泄露后對權力主體可能造成的經濟損失,沒有建立一套完整的民事補償機制。最后,現(xiàn)有法律還存在效力層次低、系統(tǒng)性差的缺陷。現(xiàn)行法律多為地方性、行政性法律,層次效用較低且往往是針對特定的部門、地方以及個人信息的某一方面,缺乏系統(tǒng)性。
三、結合國外立法經驗對我國個人信息安全保護立法所做的思考
(一)立法模式
鑒于我國具體國情和歷史背景,筆者認為我國應當借鑒德國的統(tǒng)一立法模式,在公私領域制定一部基礎法律對個人信息安全進行統(tǒng)一立法保護。首先,從我國法律自身特點來看,我國法律文化深受大陸法系的影響,對大陸法系的接受相對容易。其次,從我國現(xiàn)實國情來看,現(xiàn)階段個人信息安全受到威脅的來源主要在兩個方面,即政府機關內部及其他個人信息處理者,因此出臺一部既適用于政府內部,又適用于其他個人信息處理者的法律顯得尤為迫切。美國的行業(yè)組織經過長期發(fā)展已相當發(fā)達,為了保護市場的發(fā)展不受政府約束的限制而對行業(yè)組織不進行特別立法轉而采取行業(yè)自律的方式符合美國國情,而我國市場經濟不夠完善,行業(yè)自我約束的意識等尚存在很大不足,單靠行業(yè)自律很難保護個人信息的安全,因此需國家統(tǒng)一立法做出規(guī)范。最后,從國際相關發(fā)展趨勢來看,雖然美國排斥統(tǒng)一立法而更在意市場的自我調節(jié),但其于2000年與歐盟簽署的“安全港”協(xié)議可視為以美國為代表的行業(yè)自律與分散立法模式向以德國為代表的統(tǒng)一立法模式做出的一次讓步,因此從整個國際發(fā)展趨勢來看采用德國的統(tǒng)一立法模式將對我國同歐美國家關于個人信息的交流提供便利,從而有利于促進我國同國際社會的交流與合作。 (二)立法目的
美、德、日三種模式的一個共同點就在于其個人信息安全法律的立法目的兼顧了保證公民基本權利和促進個人信息流通與有效利用。因此除了顯而易見的保障公民的基本權利的同時,我們也必須注意到個人信息的流動對于社會經濟、政治等發(fā)展的重要意義。尤其是加入WTO后,中國與國際接軌,更加需要信息的安全、充分的流動。因此,個人信息的立法目的應當兼具以上兩個方面。
(三)立法原則
對于我國個人信息保護的立法原則問題,一些學者認為可以參考OECD②所規(guī)定的8條原則作為基本標準,即:限制收集原則、資料品質原則、目的明確原則、限制利用原則、安全保護原則、公開原則、個人參與原則、責任原則,筆者表示贊同。因其經過長期的司法實踐檢驗,具有科學性并被許多國家廣泛采納,使用范圍廣。以其為基本原則有利于與國際統(tǒng)一個人信息保護標準,有利于促進個人信息在國際上的充分流動從而便于國際交流。
(四)個人信息安全法律保護中的權力與義務
個人信息權是指個人信息本人依法對其個人信息所享有的支配、控制并排除他人侵害的權利,從性質上講是人格權的一種派生權利,其權利主體為個人信息指向的、可由個人信息被識別的自然人,其權利客體為個人信息權利義務共同指向的對象,即個人信息。
1.個人信息主體的權力
個人信息主體即可由個人信息直接或間接被識別的自然人。作為個人信息主體的自然人應當享有以下權力:(1)信息決定權,即個人信息主體有權決定個人信息能否、如何、何時、何目的被利用與處理等所有直接或者間接可以控制信息的權力。(2)信息更正權,是指個人信息主體有權對個人信息進行更正的權力,以維護個人信息的完整、真實。(3)信息查詢權,即個人信息主體有權查詢個人信息以及要求個人信息使用者告知信息的使用等的權力。(4)報酬請求權,個人信息主體有權向個人信息使用者請求因商業(yè)使用其個人信息而相應應當獲得報酬的權力。(5)損害賠償請求權,即由于個人信息使用者的不當利用導致個人信息主體的利益遭到侵害并遭到損失時,個人信息主體有權索求經濟、精神賠償?shù)臋嗔Α?/p>
2.個人信息使用者的義務
中圖分類號:G206 文獻標識碼:A 文章編號:1672-8122(2014)08-0033-02
伴隨著科技進步,互聯(lián)網及移動互聯(lián)網的快速發(fā)展,云計算大數(shù)據時代的到來,人們的生活正在被數(shù)字化,被記錄,被跟蹤,被傳播,大量數(shù)據產生的背后隱藏著巨大的經濟和政治利益。大數(shù)據猶如一把雙刃劍,它給予我們社會及個人的利益是不可估量的,但同時其帶來個人信息安全及隱私保護方面的問題也正成為社會關注的熱點。今年兩會期間,維護網絡安全被首次寫入政府工作報告。全國政協(xié)委員、聯(lián)想集團董事長兼CEO楊元慶也在會議上呼吁“政府對個人信息安全立法,加強監(jiān)管,并在整個社會中樹立起誠信文化”。大數(shù)據時代下維護個人安全成為重中之重。
一、大數(shù)據時代下個人信息受到侵犯的表現(xiàn)
(一)數(shù)據采集過程中對隱私的侵犯
大數(shù)據這一概念是伴隨著互聯(lián)網技術發(fā)展而產生的,其數(shù)據采集手段主要是通過計算機網絡。用戶在上網過程中的每一次點擊,錄入行為都會在云端服務器上留下相應的記錄,特別是在現(xiàn)今移動互聯(lián)網智能手機大發(fā)展的背景下,我們每時每刻都與網絡連通,同時我們也每時每刻都在被網絡所記錄,這些記錄被儲存就形成了龐大的數(shù)據庫。從整個過程中我們不難發(fā)現(xiàn),大數(shù)據的采集并沒有經過用戶許可而是私自的行為。很多用戶并不希望自己行為所產生的數(shù)據被互聯(lián)網運營服務商采集,但又無法阻止。因此,這種不經用戶同意私自采集用戶數(shù)據的行為本身就是對個人隱私的侵犯。
(二)數(shù)據存儲過程中對隱私的侵犯
互聯(lián)網運營服務商往往把他們所采集的數(shù)據放到云端服務器上,并運用大量的信息技術對這些數(shù)據進行保護。但同時由于基礎設施的脆弱和加密措施的失效會產生新的風險。大規(guī)模的數(shù)據存儲需要嚴格的訪問控制和身份認證的管理,但云端服務器與互聯(lián)網相連使得這種管理的難度加大,賬戶劫持、攻擊、身份偽造、認證失效、密匙丟失等都可能威脅用戶數(shù)據安全。近些年來,受到大數(shù)據經濟利益的驅使,眾多網絡黑客對準了互聯(lián)網運營服務商,使得用戶數(shù)據泄露事件時有發(fā)生,大量的數(shù)據被黑客通過技術手段竊取,給用戶帶來巨大損失,并且極大地威脅到了個人信息安全。
(三)數(shù)據使用過程中對隱私的侵犯
互聯(lián)網運營服務商采集用戶行為數(shù)據的目的是為了其自身利益,因此基于對這些數(shù)據分析使用在一定程度上也會侵犯用戶的權益。近些年來,由于網購在我國的迅速崛起,用戶通過網絡購物成為新時尚也成為了眾多人的選擇。但同時由于網絡購物涉及到的很多用戶隱私信息,比如真實姓名、身份證號、收貨地址、聯(lián)系電話,甚至用戶購物的清單本身都被存儲在電商云服務器中,因此電商成為大數(shù)據的最大儲存者同時也是最大的受益者。電商通過對用戶過往的消費記錄以及有相似消費記錄用戶的交叉分析能夠相對準確預測你的興趣愛好,或者你下次準備購買的物品,從而把這些物品的廣告推送到用戶面前促成用戶的購買,難怪有網友戲稱“現(xiàn)在最了解你的不是你自己,而是電商”。當然我們不能否認大數(shù)據的使用為生活所帶來的益處,但同時也不得不承認在電商面前普通用戶已經沒有隱私。當用戶希望保護自己的隱私,行使自己的隱私權時會發(fā)現(xiàn)這已經相當困難。
(四)數(shù)據銷毀過程中對隱私的侵犯
由于數(shù)字化信息低成本易復制的特點,導致大數(shù)據一旦產生很難通過單純的刪除操作徹底銷毀,它對用戶隱私的侵犯將是一個長期的過程。大數(shù)據之父維克托?邁爾-舍恩伯格(Viktor Mayer-Schonberger)認為“數(shù)字技術已經讓社會喪失了遺忘的能力,取而代之的則是完美的記憶”[1]。當用戶的行為被數(shù)字化并被存儲,即便互聯(lián)網運營服務商承諾在某個特定的時段之后會對這些數(shù)據進行銷毀,但實際是這種銷毀是不徹底的,而且為滿足協(xié)助執(zhí)法等要求,各國法律通常會規(guī)定大數(shù)據保存的期限,并強制要求互聯(lián)網運營服務商提供其所需要的數(shù)據,公權力與隱私權的沖突也威脅到個人信息的安全。
二、大數(shù)據時代下個人信息安全保護的措施
(一)將個人信息保護納入國家戰(zhàn)略資源的保護和規(guī)范范疇
大數(shù)據時代個人信息是構成現(xiàn)代商業(yè)服務以及網絡社會管理的基礎,對任何國家而言由眾多個人信息組成的大數(shù)據都是研究社會,了解民情的重要戰(zhàn)略資源。近年來大數(shù)據運用已經不再局限于商業(yè)領域而逐步擴展到政治生活等方方面面。國家也越來越重視通過對大數(shù)據的分析運用從而了解這個社會的變化以及人民的想法,甚至從中能夠發(fā)現(xiàn)很多社會發(fā)展過程中的問題和現(xiàn)象,這比過去僅僅依靠國家統(tǒng)計部門的數(shù)據來的更真實全面,成本也相對較小,比如淘寶公布的收貨地址變更數(shù)據在一定程度上揭示了我國人口的遷移,這些信息對于我國的發(fā)展都是至關重要的。
因此將個人信息保護納入國家戰(zhàn)略資源的保護和規(guī)劃范疇具有重要的意義。2014年政府工作報告首次提出了“維護網絡安全”這一表述意味著網絡安全已上升國家戰(zhàn)略。這是我國在大數(shù)據時代下對個人信息保護的重要事件,也具有里程碑的意義。
(二)加強個人信息安全的立法工作
大數(shù)據時代對個人信息安全保護僅僅依靠技術是遠遠不夠的,關鍵在于建立維護個人信息安全的法律法規(guī)和基本原則。這方面立法的缺失目前在我國是非常嚴重,需要積極推動關于個人信息安全的法律法規(guī)的建立,加大打擊侵犯個人信息安全的行為。2014年兩會期間全國政協(xié)委員、聯(lián)想集團董事長兼CEO楊元慶呼吁政府加強對個人信息安全的立法和監(jiān)督,引起了社會各界廣泛關注和重視,這充分說明這個問題已經成為一個重要的社會問題。我本人對個人信息安全立法工作有以下幾點建議:第一,必須在立法上明確個人信息安全的法律地位。個人信息安全與隱私權“考慮到法律在一般隱私權上的缺乏,要對網絡隱私權加以規(guī)范就有必要先完善一般隱私權的規(guī)定,因此首先應通過憲法明確規(guī)定公民享有隱私權。[2]”第二,必須從法律上明確采集數(shù)據的權利依據。由于在數(shù)據采集過程中經常發(fā)生對個人信息的侵害,因此無論是政府還是互聯(lián)網運營服務商都必須遵循一定的原則和依據。政府采集數(shù)據的行為應該符合憲法的要求,而互聯(lián)網運營服務商采集數(shù)據必須要經過當事人同意。第三,制定關于個人信息安全的專門法律。2003年國務院信息辦就委托中國社科院法學所個人數(shù)據保護法研究課題組承擔《個人數(shù)據保護法》比較研究課題及草擬一份專家建議稿。2005年,最終形成了近8萬字的《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》。但到目前為止我國的個人信息保護法仍沒有立法,因此加快這個立法過程是當務之急。
(三)加強對個人信息的行政監(jiān)管
大數(shù)據時代下個人信息及隱私都具有很高的經濟價值,許多商業(yè)機構利用這些都能夠謀取很高的商業(yè)利益,因此政府對于個人信息的監(jiān)管就顯得尤為重要,具體來說就是應該制定關于大數(shù)據的個人信息安全標準。
我國已于2013年2月1日起實施首個個人信息保護國家標準――《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》。該標準最顯著的特點是規(guī)定個人敏感信息在收集和利用之前,必須首先獲得個人信息主體明確授權。這充分標志著我國對個人信息行政監(jiān)管上了一個新臺階。
(四)加強對個人信息的技術保護
技術手段是對個人信息最直接的保護方式,也是法律手段的重要補充。在法律法規(guī)還沒有完善的情況下,技術保護成為個人信息保護最主要的方式。但是我們看到現(xiàn)代技術發(fā)展非常迅速,侵權者們的水平也迅速提高,過去的許多技術保護手段都已被一一破解,這給我國的信息產業(yè)界提出了很高的要求。為此國家和社會各界應該充分重視信息技術的創(chuàng)新開發(fā),培養(yǎng)技術人才,提高我國信息技術水平從而為個人信息保護提供保障。
(五)加強行業(yè)自律與監(jiān)管
行業(yè)自身的相互監(jiān)管監(jiān)督是個人信息安全保護最有效也是成本最低的方法。因此相關部門應該組織涉及大數(shù)據的企業(yè)成立相關的行業(yè)組織了,并制定行業(yè)內部的標準或公約,以及相互監(jiān)督的權利和義務,并為這些行業(yè)組織提供相應的資金和政策的支持。
大數(shù)據時代的到來極大地促進整個社會的發(fā)展。大數(shù)據在各行各業(yè)中的運用,使我們精確地了解到過去通過抽樣調查很難了解的許多東西,讓我們更深刻地認識了這個社會,從而更進一步改善這個社會。我們不應該否認大數(shù)據帶來的益處,同樣我們應該使這種益處最大化。但大數(shù)據帶來的對個人信息安全的威脅我們也應該有著充分的認識。保護個人信息不僅是對社會每個成員的保護,更是對國家安全以及社會長期持續(xù)健康發(fā)展的保護。
參考文獻:
[1] (英)維克托?邁爾-舍恩伯格著.袁杰譯.刪除――大數(shù)據取舍之道[M].杭州:浙江人民出版社,2013.
網絡個人信息泄露,是指網民在互聯(lián)網上提供的個人信息沒有得到良好的保密,而導致某些不法分子得以對其進行收集、倒賣以獲利的現(xiàn)象。2014年12月25日第三方漏洞平臺“烏云”曝出12306網站現(xiàn)用戶數(shù)據泄露漏洞,包括用戶賬號、明文密碼、身份證、郵箱等個人信息。對此,中國鐵路客戶服務中心回應稱,網上泄露的用戶信息系是經由其他網站或渠道流出。
當前,網上個人信息泄露事件頻發(fā),信息安全問題較以往顯得更為突出,網上個人信息成為不法分子爭搶的“香餑餑”,或被直接出賣非法獲利,或被犯罪分子利用進行電信詐騙、非法討債甚至綁架勒索等犯罪活動。網上信息泄漏事件嚴重損害了社會和個人的利益,也讓更多的網民對信息安全有了更直接、更深刻的認識,因此網絡信息安全建設與維護日顯重要[1]。
二、網上信息泄露現(xiàn)狀及原因
我國網民數(shù)量急劇增長,網絡購物發(fā)展迅速,互聯(lián)網在給人們的生活帶來便利的同時也帶來了很多安全隱患。近年來,泄露和侵害公民個人信息包括隱私的事件頻頻發(fā)生,個人信息成了隨意買賣的“商品”,近年來,兜售房主信息、股民信息、商務人士信息、車主信息、患者信息等似乎已形成了新的產業(yè)。
網絡信息技術的發(fā)展也方便了對個人信息的監(jiān)控和搜索,大型數(shù)據庫使得搜集、整理、傳輸、加工信息等過程變得更加簡單,幾乎可以永久保存,不斷再現(xiàn)。因此,一些商業(yè)公司具備了大規(guī)模收集個人和企業(yè)信息的技術條件,若安全機制不完善,其所收集的用戶信息被泄露或濫用,后果不堪設想。隨著全社會對信息安全的日益關注,信息安全刻不容緩。
個人安全意識薄弱。目前,我國手機網民用戶規(guī)模達5億。與傳統(tǒng)通信工具、社交網站相比,以社交為基礎的綜合服務平臺不僅擁有著更強的通信功能,還為用戶提供了諸如支付、金融等內容的綜合服務,增加了信息分享等社交類應用。同時也增加了個人信息泄露的潛在危險,特別是在問卷調查、就醫(yī)、求職、買房、買保險、買車、辦理各種會員卡或銀行卡時缺乏個人信息安全意識[2]。網絡填寫個人信息的非正常退出,微博、QQ空間等社交網絡成為泄露日常信息的主要原因。
個人信息保護機制不健全。對個人信息保護的立法研究從上世紀70年代開始,在上世紀末達到一個研究和立法保護的加速階段[3]。美國,澳大利亞,加拿大,以色列等國家將個人信息歸入本國隱私法“Privacy Act”的保護范圍,通過《隱私權法》來保護個人信息[4]。我國的個人信息保護法自2003年起已部署起草,但一直未能進入正式的立法程序。據統(tǒng)計,我國目前有近40部法律、30余部法規(guī),以及近200部規(guī)章涉及個人信息保護,然而法律界人士認為,這些針對個人信息的法律法規(guī)內容較為分散、法律法規(guī)層級偏低,約束力明顯不足。單從網站用戶個人信息保護安全而言,刑法修正案、侵權責任法乃至居民身份證法等相關內容均有涉及,但相關規(guī)定條款過于分散,可操作性差,時效性低。對于“個人信息”、“違反規(guī)定”等關鍵概念的界定尚不清楚,故執(zhí)法過程易形成執(zhí)法困境。尤其是對信息泄露案件,在追究責任的時也存在舉證難等問題,訴訟成本高、收益低,受害人依法維權。
網絡實名制從某種程度而言,也加大了個人信息泄漏的風險。例如不法分子收集實名制火車票或手機辦理的登記信息,可從中獲取當事人的身份信息制作假身份證,或者辦理信用卡、設計欺詐活動等。
監(jiān)管存在漏洞。 在信息高度發(fā)達的現(xiàn)代社會,某些個人信息時刻處于被泄露的狀態(tài)。由于個人網上信息安全保護機制的不完善,導致執(zhí)法過程沒有堅實的盾牌。某些網站的服務商對個人信息沒有盡到妥善保管的義務,在使用過程當中泄露了個人隱私。機動車銷售、房產中介、醫(yī)院、通信等行業(yè)及其從業(yè)人員往往有機會接觸、掌握大量公民個人信息,這些行業(yè)雖均有系統(tǒng)內部出臺的關于個人信息的查詢規(guī)范、查詢電子信息備案及保護工作意見,但由于部分從業(yè)人員法律意識不強,且內部管理執(zhí)行不到位,利用公民個人信息管理上存在的漏洞,因此這些行業(yè)成為個人信息泄露的“重災區(qū)”。
三、建立個人信息安全機制的對策
堵住個人信息泄露的缺口,完善相關法律法規(guī)。我國首個關于個人信息保護國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》于2013年2月1日起正式實施,個人信息保護工作正式進入“有標可依”階段,指導和規(guī)范利用信息系統(tǒng)處理個人信息的活動。但國家標準、行業(yè)標準的法律效力遠遠不能保護群眾個人信息安全,而針對信息安全保護的相關規(guī)定已難以滿足信息安全的需求,同時維權過程法律依據較少[5]。
因此,我國應盡快完善在個人信息安全方面的相關法律法規(guī),加強行業(yè)監(jiān)管力度,嚴厲打擊不法行為,建立以民法保護為重心,其他法律為輔助的完善的法律體系,具體來說:應在民法典中確立隱私權獨立人格權的法律地位[6]。加快立法,加強執(zhí)法,依法保護個人信息安全,跟上信息高速發(fā)展及安全的潮流。對竊取、多次泄露他人信息的個人和單位,要制訂嚴厲的追責和處罰措施,增大違法成本。
加大網絡信息安全監(jiān)管力度,加強行業(yè)自律,從源頭預防和遏制對個人信息的侵害。社會輿論的監(jiān)督作用一向對違法行為具有強大的震懾力,因此要充分發(fā)揮社會輿論的監(jiān)督作用,及時曝光侵害行為,廣泛地引起民眾的注意,使其迅速提高警覺性,自覺加強對個人網絡信息的管理。行政執(zhí)法部門應加大執(zhí)法力度,及時監(jiān)督制止侵權行為。當然,這種行政監(jiān)管必須以維護網絡的健康發(fā)展為前提、以保護公民個人隱私權等人身權利為目的。這種社會輿論與行政監(jiān)管共同作用的方式,也能在一定程度上保護公民的網絡隱私權,促進網絡健康發(fā)展。
企業(yè)行業(yè)應加強自律,完善對企業(yè)、行業(yè)的管理,設立相應的企業(yè)安全制度,采取相應的監(jiān)管措施,加大違規(guī)處罰的力度,保障客戶信息的安全性。通過崗位、行業(yè)培訓,提升員工的職業(yè)操守,自覺保護客戶個人資料。
(3)不斷加強公民對網絡隱私的自我保護意識
網絡隱私權與公民的利益息息相關,因此要培養(yǎng)網絡用戶形成隱私權自我保護的意識,能促其采取積極的防范措施。一旦用戶有效利用相關技術加強對網絡環(huán)境下個人信息的管理,就會在很大程度上降低成本,更有效的保護網絡隱私權。
網民個人應主動接受信息安全教育,安裝殺毒軟件或防火墻,定期進行木馬程序的掃描,及時更新安全軟件。仔細閱讀社交網絡運營商的安全隱私協(xié)議,熟悉相應的隱私設置方式,主動防護自身的信息安全,定期更改網站密碼。使用微博、微信等網絡應用時勿上傳有關自己及親友的個人信息,盡量不要使用定位功能,定期刪除瀏覽器上的cookies信息[7]。網絡、電視、報紙等媒介應該肩負社會責任,對個人信息安全的重要性和信息泄露的危害性宣教,宣傳維護個人信息安全的方法,使廣大民眾得到個人信息安全保護方面的教育。
中國軟件評測中心也將繼續(xù)以國家信息安全標準體系為基礎,建立個人信息保護標準體系。在參考國際相關研究成果的基礎上,結合我國實際需求,對信息系統(tǒng)個人信息保護管理辦法和技術手段進行專項研究,研究制定體系框架中急需的關鍵標準,對標準進行驗證以支持標準的進一步修訂和改進。
我國2013年2月1日起實施的《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》[8],標志著我國將告別針對個人信息處理行為“無標可依”的歷史,公民對個人信息保護的訴求將得到有效解決。相關監(jiān)管部門可以依據國家標準引導企業(yè)進行個人信息保護自律,并對企業(yè)個人信息處理行為進行監(jiān)督規(guī)范,逐步形成以“企業(yè)自律為主導,聯(lián)盟約束為輔助,政府監(jiān)督配合”的我國個人信息保護模式。
同時,目前我國個人網絡信息安全存在很多安全隱患,尤其是個人數(shù)據信息的泄漏造成的影響十分廣泛,主要由于個人安全意識薄弱、個人信息保護機制不健全、監(jiān)管存在漏洞等原因造成的。因此,構建安全穩(wěn)定的網絡環(huán)境顯得日益重要。政府、企業(yè)及公民個人應加強網絡信息安全意識,在新興保護技術的廣泛應用下,推動安全保護技術的開發(fā)與應用,較好的保護個人信息安全。
(作者單位:湖北城市建設職業(yè)技術學院)
作者簡介:劉志(1981-),男,碩士,湖北城市建設職業(yè)技術學院講師,主要從事計算機及相關專業(yè)教學
作者聯(lián)系方式:
地址:武漢市東湖新技術開發(fā)區(qū)藏龍島科技園區(qū)藏龍大道28號
湖北城市建設職業(yè)技術學院
隨著物聯(lián)網、云計算、移動互聯(lián)網等新技術發(fā)展以及智能終端、數(shù)字城市等信息體的普及,全球數(shù)據呈現(xiàn)出爆炸式增長,我們已經邁進了大數(shù)據時代。社交網絡在大數(shù)據的推動下,孕育出新的發(fā)展商機和新的發(fā)展模式。據中國互聯(lián)網絡信息中心的第36次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示,截止2015年6月,網民中即時通訊用戶規(guī)模達6.06億,較去年底增長了1850萬人,占網民總體的90.8%;微博客用戶規(guī)模為2.04億,占網民總體的30.6%,社交網絡已成為大數(shù)據解決和應用的引領者。同時,社交網絡中個人信息也成為大數(shù)據時代商家博弈的焦點。在大數(shù)據環(huán)境下,信息安全事件頻發(fā),社交網絡個人信息安全已成為我們亟待關注與解決的問題。
一、基本概念界定
(一)社交網絡。社交網絡即社交網絡服務(Social Net
working Service,SNS),是以一定社會關系或共同興趣為紐帶,通過各種形式,為在線聚合用戶提供溝通、交互服務的互聯(lián)網應用,這些互聯(lián)網應用包括狹義的社交網站(如Facebook、QQ空間、人人網、豆瓣網)、微博、博客、即時通訊工具(如微信、易信、QQ)、論壇等。
(二)個人信息。人作為社會活動的主體,在其生產、生活過程中會產生各種信息,其中關于其自身的記錄就是個人信息。馬克思在《關于費爾巴哈的提綱》中曾指出“人是一切社會關系的總和”,即每個個體都與其他個體或事物有著這樣或那樣的聯(lián)系。因此,作為反映個體情況的個人信息不僅包括可以識別特定個體的基本信息,也包括個人與其他事物相聯(lián)系的社會的、經濟的、文化的、家庭的等方面的信息。齊愛民在《拯救信息社會中的人格:個人信息保護法總論》中將個人信息定義為:“與個人有關的,可以直接或間接識別本人的信息”。個人的姓名、性別、出身日期、身份證號、手機號、指紋、特征、婚姻、家庭、教育、職業(yè)、愛好、健康、病歷、財務情況、社會活動等都屬于個人信息。
社交網絡環(huán)境下,個人信息即反映在互聯(lián)網上的上述所有信息。此外,還包括個人的電子郵件地址、賬號及其對應密碼、IP地址、域名、統(tǒng)一資源定位器、cookies等互聯(lián)網特有信息。因此,社交網絡中個人注冊信息、個人分享信息、人際關系信息1、數(shù)據挖掘信息2都屬于個人信息范疇。
(三)社交網絡個人信息安全。社交網絡個人信息安全,即社交網絡中個人信息的認證性(或可靠性)、保密性、完整性、可用性、可控性。認證性(Authenticity),是指用戶的個人信息是真實可靠的,信息是由可確認的主體的。認證性一定程度上是為了保障其他信息主體的權益,防止惡意用戶盜取、假冒他人名義進行欺詐等;保密性(Confidentiality),即確保特定個人信息只能被特定的授權者看到或使用,未經本人同意,不得隨意公開或泄露他人信息;完整性(Integrity),即保證個人信息及其處理方法的正確性和一致性,保護用戶個人信息不被非法刪除、修改、偽造等;可用性(Availability),即用戶本人及授權者可以按需獲取、使用特定個人信息;可控性(Controllability),是指用戶個人信息處于安全監(jiān)控狀態(tài),未經用戶本人同意不得隨意使用其個人信息。
二、社交網絡中個人信息安全性分析
(一)信息產生階段。個人信息的產生是一個持續(xù)、長久的過程,伴隨用戶網絡行為的始終。信息產生階段的安全性主要是指信息的認證性和保密性。
(1)認證性分析。社交網絡中個人信息的認證性,是指要保證個人信息內容的真實可靠和信息主體的可認證、可信任。內容的真實可靠和主體的可認證、可信任是防止網絡假冒、網絡欺騙的第一步。主體認證是保證個人信息真實性的關鍵,是社交網絡環(huán)境下保護個人信息安全的首要環(huán)節(jié)。目前,國內大多數(shù)社交網絡注冊時都要求實名認證,即用戶要提交姓名、身份證號、手機號等信息才能完成注冊。但是,用戶出于隱私安全的考慮,會偽造自己的注冊信息,網站對此并不能進行真實準確性的認證。據美國《消費者報告》調查顯示,1/4的
Facebook用戶在注冊時會說謊,包括填寫不真實個人資料,如偽造生日、所在地、身份等。2011年11月,新浪也被爆出“認證信息造假門事件”,相關人士稱新浪微博“有漏洞”,只要有名片、郵件,就可以托熟人認證(微博加V)。這些都說明社交網絡中個人信息的安全認證仍存在問題,并亟待解決。
(2) 保密性分析。保密性即個人信息的私密、非公開性。信息產生階段,個人信息的保密性主要受用戶個人和社交網絡的功能影響,用戶在注冊、信息時產生的信息種類越多、開放性越高,其信息保密性就相對越小。
根據中國互聯(lián)網絡信息中心的第36次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示,截止2015年6月,網民中即時通訊用戶規(guī)模達6.06億,較去年底增長了1850萬人,占網民總體的90.8%;微博客用戶規(guī)模為2.04億,占網民總體的30.6%,論壇/BBS用戶規(guī)模達1.2萬人,占網民總體的18%。總之,社交網絡用戶已成為網絡的主要用戶。社交網絡中用戶不僅會填寫姓名、性別、年齡、所在地、學校、工作、聯(lián)系方式、生日等信息,還會上傳頭像、照片、視頻,生成狀態(tài)、位置、標簽等信息。社交網絡中用戶生成的信息不僅數(shù)量巨大而且種類繁多,是大數(shù)據時代重要的數(shù)據財富。根據2015年7月的《中國網民權益保護調查報告》顯示,78.2%的網民個人身份信息被泄露,包括網民的姓名、學歷、家庭住址、身份證號、工作單位等;63.4%的網民個人網上活動被泄露,包括通話記錄、軟件使用痕跡、地理位置等。社交網絡中個人信息的保密性問題依然是信息安全的短板。
(二)信息收集階段。信息收集主要針對非信息生產者的第三方個體或組織對用戶個人信息的搜索、收集行為。信息收集階段的安全性主要是指信息的可控性,其安全性威脅主要是第三方在用戶不知情的狀況下過度收集其個人信息。
隨著移動網絡、云計算、云服務等的產生與發(fā)展,用戶個人信息面臨著前所未有的挑戰(zhàn),網絡服務商、第三方團體在利益的驅動下,隨意搜集用戶個人信息已經成為一種司空見慣的事情。以微博、大眾點評為代表的移動社交應用開始借助GPS定位技術廣泛收集用戶的實時位置信息,以米聊、微信、陌陌等為代表的即時通訊軟件隨時可能將用戶的手機通訊錄、郵件地址等存入云端,用戶完全無法掌控自己信息的去向及使用范圍。2012年3月,美國Facebook、Twitter、Yelp、蘋果等十三家社交媒體被相繼告上法庭,方指控這些公司侵犯了用戶隱私。2013年6月,英國《衛(wèi)報》和美國《華盛頓郵報》披露的美國“棱鏡門事件”――美國國家安全局(NSA)和聯(lián)邦調查局(FBI)通過進入微軟、谷歌、蘋果、雅虎等九大網絡巨頭的服務器,監(jiān)控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。這些事件都暴露了社交網絡用戶個人信息被隨意收集和過度使用的問題,但是我國依然沒有相應的法律及行業(yè)規(guī)范來制約網絡服務商或其他組織的不道德行為。
(三)信息組織階段。社交網絡個人信息組織就是將個人零散的、片段式的信息以某種特定的方式組織起來,實現(xiàn)分類序化管理的過程。社交網絡中個人信息的有序呈現(xiàn)就是信息組織的結果,主要包括用戶主頁信息的分類呈現(xiàn)和好友分類管理。社交網絡中大部分的好友信息是公開的。信息組織階段,個人信息安全性主要是指好友列表和關注/粉絲列表對用戶人際關系信息的泄露,以及由此導致的數(shù)據挖掘、網絡欺騙等行為。
社會化推薦系統(tǒng)、好友推薦算法庫、好友親密度模型、好友智能分組算法等都是基于用戶生成的信息和好友關系信息產生的。大量研究已經證明利用用戶好友關系以及群關系不僅可以推測出用戶的其他基本信息還可以推測用戶的隱私信息。因此,信息組織階段增加對好友列表、關注/粉絲列表等用戶關系信息的隱私保護及隱私設置是十分必要的事情。
(四)信息利用階段。社交網絡個人信息利用是指用戶信息被他人查看、獲取并使用的過程,信息利用包含信息獲取、信息提供、信息二次開發(fā)和交易等。利用階段,個人信息安全主要是指個人信息的泄露與濫用問題,涉及個人信息的保密性、完整性、可用性、可控性。信息利用階段,影響個人信息安全的因素主要有:網站的隱私功能,用戶隱私保護意識,個人信息的可檢索性。
(1)網站隱私功能。社交網絡的隱私設置是控制用戶信息傳播范圍、保證個人隱私的重要手段。網站有無隱私設置、隱私設置完備與否,都是判斷社交網絡個人信息安全性的重要指標。筆者通過對國內社交網絡的調查統(tǒng)計,發(fā)現(xiàn)大部分社交網絡都設有訪問限制、信息可見度設置等功能,但有些社交網絡依然存在不完善的地方,如新浪微博沒有主頁訪問權限設置;微博的@功能、關注/粉絲列表公開對所有人可見;微信默認可以讓陌生人查看用戶的十張照片等等。這些隱私功能的缺陷一定程度上都是導致個人信息安全事件發(fā)生的原因。
(2 )用戶隱私保護意識。用戶個人的隱私保護意識和隱私保護行為是影響用戶個人信息安全的另一重要因素。根據《洛杉磯時報》刊登的一份調查顯示,超52%的人承認自己從未在下載軟件之前讀過隱私政策,35%的人則會從不受信任的來源下載軟件。國外對Facebook的相關調查顯示,大約有1300萬用戶表示從不設置、或者根本就不知道Facebook有隱私工具。用戶對社交網絡應用隱私設置的漠視是導致個人信息安全的重要原因。
(3)個人信息可檢索性。目前,國外的OneRiot、Google、
Collecta和Scoopler等搜索引擎可以實現(xiàn)對Twitter、Facebook、
Digg等社交網絡的實時檢索,國內的有道可以實現(xiàn)對網易微博和新浪微博的實時搜索。社交網絡和搜索引擎的融合,允許搜索引擎對社交網絡信息的檢索,實際上是將用戶的個人信息推向了公共領域,一定程度上對用戶個人信息的保密性、可控性產生了威脅。
(五)信息清理階段。個人信息清理就是暫時或者永久地移除社交網絡中保存的個人信息。有時用戶并不希望網站保存他們的特定數(shù)據,希望退出登錄后,網站將這部分數(shù)據刪除(部分刪除);或者是用戶不想再繼續(xù)使用網站,想刪除所有數(shù)據(賬戶刪除)。個人信息清理或銷毀是個人信息安全保護的內在要求,是社交網絡應該提供的功能。
筆者通過對國內幾家社交網絡的調查,發(fā)現(xiàn)社交網絡基本上都提供了如“停用賬號”、“賬號鎖定”、“關閉微信”等功能。如人人網的“賬號停用”,停用期間用戶的個人信息不會被刪除,賬號激活后其信息依然顯示在主頁上,但是人人網并沒有明確用戶個人信息的永久刪除問題。新浪微博的“賬號鎖定”功能可以防止賬號被盜后的惡意登錄和惡意操作等,鎖定期限為15天,到期自動解鎖,但是新浪微博沒有提供任何賬號注銷功能,也沒有明確個人信息的刪除問題。因此,個人信息的清理依然是一個尚待解決的問題,對個人信息安全性會產生一定威脅。
三、結論
通過對社交網絡中個人信息生命周期各階段的安全性分析,可以看出,個人信息安全面臨的威脅主要有:①信息產生階段,個人信息安全面臨的主要威脅是信息認證和信息保密問題,影響個人信息安全的因素主要是網站的信息認證能力和認證水平以及網絡用戶個人的信息紕漏狀況;②信息收集階段,個人信息安全面臨的威脅主要是網絡服務商及第三方組織對個人信息的過度、不合理收集問題,影響個人信息安全的因素主要是相關法律政策及行業(yè)規(guī)范的缺失;③信息組織階段,個人信息安全面臨的威脅主要是惡意用戶對好友信息的惡意挖掘行為,影響個人信息安全的因素主要是網絡服務商的隱私設置及相關法律規(guī)范的缺失;④信息利用階段,個人信息安全面臨的威脅主要是信息泄露與信息濫用問題,影響個人信息安全的因素包括網站隱私設置、用戶隱私保護意識以及個人信息的可檢索性等;⑤信息清理階段,個人信息安全面臨的主要問題是個人信息永久刪除問題,影響其個人信息安全的因素主要是社交網絡的功能設置。通過對上述各階段信息安全問題的剖析,分析問題產生的原因,以期針對原因提出具有針對性的措施。
參考文獻:
[1] 張艷欣,康旭冉.大數(shù)據時代社交網絡個人信息安全問題研究[J].蘭臺世界,2014(5):24-25.
[2] 孫毅,郎慶斌,楊莉.個人信息安全[M].大連:東北財經大學出版社,2010.
數(shù)字經濟時代,公民個人信息的保護顯得尤為重要,不僅關系到公民人身安全,也關系到整個國家社會經濟的發(fā)展。2021年11月1日《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)的施行為我們提供了新的觀察點和制度基礎,在這部法律的指導下,我們對個人信息有了新的更深刻的認識。本文立足當前大數(shù)據時代下的信息傳遞與發(fā)展狀況,從公共管理層面研究政府對個人信息保護過程中出現(xiàn)的問題,針對公民切實關注的個人信息保護問題提出建議措施。
一、問題的提出
近年來,隨著網絡信息傳播的速度日益加快以及數(shù)字經濟整體規(guī)模的擴大,社會的資源配置效率得到顯著提高,一定程度上拉動了區(qū)域協(xié)調發(fā)展,逐漸形成高質量發(fā)展的新格局。但從微觀層面看,公民個人信息安全存在著巨大的隱患,容易被不法分子的利用。面對這種社會現(xiàn)象,國家立法和政府在個人信息監(jiān)督管理中存在哪些問題?立法和行政機關對個人信息應給予哪些保護措施?筆者將從“數(shù)字經濟”和“個人信息”的闡釋出發(fā),對這些問題加以思考。
二、數(shù)字經濟和個人信息的相關闡釋
(一)關于數(shù)字經濟的闡釋
數(shù)字經濟,從廣義上看是一種經濟現(xiàn)象,也是市場信息在新時代所呈現(xiàn)的新的運作方式;從狹義上看,是由大數(shù)據發(fā)展而來,具有大數(shù)據信息傳遞的特征,即快捷性、高滲透性和自我膨脹性。筆者認為,數(shù)字經濟是指人們通過對數(shù)字化的知識和信息的使用,推動社會經濟的持續(xù)發(fā)展,具有優(yōu)化市場配置資源的功能。所謂快捷性,指數(shù)據一旦被網絡獲取,數(shù)據本身就會很快被傳遞,從而突破時間和地域的限制;高滲透性指隨著社會生產力水平的日漸提高以及市場經濟的不斷完善,加之網絡技術的迅猛發(fā)展,數(shù)字經濟很容易從第一產業(yè)滲透到第二、三產業(yè),從對物的管理滲透到對人的管理;自我膨脹性指伴隨信息的多樣化和普遍化,網絡帶來的效益會隨著用戶的增加而呈現(xiàn)更大的優(yōu)勢。
(二)關于個人信息的闡釋
結合《民法典》①和《個人信息保護法》②中關于個人信息的解釋,個人信息實質上是指以電子產品為主要媒介,結合其他方式手段(比如線下的個人信息調查收集等)識別自然人的近乎全面的、系統(tǒng)性信息。客戶上網瀏覽商品、購買商品時,經常出現(xiàn)一些“是否允許訪問位置信息”“是否允許訪問手機通訊錄”等請求,客戶會習慣性地點擊“允許”,減少不必要的麻煩;如果客戶選擇“不允許”,有時就會被限制某些權限。歸根結底,這些權限訪問大部分都在要求客戶必須“允許訪問”。當客戶越來越多地瀏覽相同類型的物品時,這類型物品本身出現(xiàn)的頻率會相應地增加,也就是說應用軟件可以“習得”客戶的興趣和習慣,它會自動地推出客戶傾向的那類物品。這是網購中極常出現(xiàn)的現(xiàn)象,也是個人信息被侵犯的典型的事例。
三、數(shù)字經濟時代政府在個人信息管理中存在的問題
(一)國家立法的歷史和現(xiàn)狀分析
《憲法》①雖有個人信息的相關定義,但法律層面缺乏對個人信息保護的專門立法。2021年11月1日起施行的《個人信息保護法》針對數(shù)字經濟時代個人信息受侵的現(xiàn)象,做出了法律性保護,該法明確了個人信息的概念和處理規(guī)則,對敏感性的個人信息做出了規(guī)定。與以往關于個人信息的立法相比,《個人信息保護法》具有一定的進步意義,此法的成效需要實踐加以檢驗。但就法律內容而言,筆者認為立法仍然存在某些方面的缺陷,具體解釋如下:第一,法律沒有針對公民個人信息受侵犯后提出專門性的應對條例,法律仍然存在第三方不法侵犯的漏洞;第二,法律對個人信息跨境流動應該添加細化的規(guī)定,仍需出臺相應的配套措施;第三,法律中有關履行個人信息保護職責的部門,應出臺各自具體的行為規(guī)范;第四,缺乏統(tǒng)一的權利救濟體系[1],公民個人信息受到侵害后,通常找不到相應的法律法規(guī),無法訴之相應的法律部門,容易出現(xiàn)個人信息保護的需求“旺盛”、法律保護的供給“缺乏”的現(xiàn)象。因此,《個人信息保護法》尚需完善,以形成全方位的、多方面的法律救濟體系。
(二)行政機關需增強保護公民個人信息安全的意識和責任
1.行政機關對公民個人信息的保護缺乏責任意識政府在政務公開的情況下,容易涉及個人信息的公開,危及到個人信息的安全。2020年7月14日針對“某省文理學院學生身份信息被冒用”的事件,公安部門對該事件進行初步核實調查并進行通報,證實了某省文理學院部分學生身份信息在政府行政審批服務局系統(tǒng)數(shù)據批量上傳過程中發(fā)生冒用的情況。在政務信息公開的今天,政府的每一項活動都受到公民的監(jiān)督,并接受著人民的反饋,因此,政府工作人員應該加強責任意識,立足政府工作的政治方面,給予公民充足的安全感[2]。2.監(jiān)督管理主體單一《個人信息保護法》②具體規(guī)定了各部門履行的個人信息保護職責和采取的措施,并指出了相關的法律責任,是適應信息化和經濟社會持續(xù)深度融合的重要舉措,有利于實現(xiàn)好、維護好、發(fā)展好廣大人民群眾的個人信息權益,促進社會和諧與穩(wěn)定,同時更好地保障網絡信息安全。但是,該法對于對侵害公民個人信息的行政監(jiān)督管理方面存在欠缺,對個人信息保護的監(jiān)督管理機構仍有待加強,落實各個部門的具體職責,構建多元化、全方位的行政監(jiān)督管理主體。3.缺乏對個人信息保護的懲治措施《個人信息保護法》中關于個人信息保護的職責,對履行個人信息保護職責的部門提出了相關措施,側重的是取證和調查方面,而不是懲治。例如,該法③中履職部門對個人信息保護職責的部分措施體現(xiàn)出政府的行政處罰措施不夠有力。
(三)公民缺乏保護個人信息和他人信息的意識
在我國,公民是國家的主人,因此,公民既是個人信息的所有者、傳播者,也可能是他人隱私信息的泄露者[3]。面對數(shù)字經濟時代良莠不齊的信息,公民難以做出正確的判斷,沒有較強的維護個人信息和他人信息的意識。《個人信息保護法》對敏感個人信息做出了相關解釋和處理規(guī)則,指出了個人在信息處理活動中的權利和義務,有助于公民形成保護個人信息的意識,進一步落實防范措施。但政府和社會團體還需要在群眾中加強宣傳,促進公民知法、懂法、守法。
四、數(shù)字經濟時代保護個人信息的措施建議
(一)從立法層面,加強第三方權利救濟
對比歐盟頒布的《個人數(shù)據保護指令》與英國的《數(shù)據保護法》,這些國家對于個人信息被侵犯時擁有救濟權。就歐盟的《數(shù)據留存指令》而言,增加了數(shù)據保護主體的通知義務,確立了個人數(shù)據的傳播規(guī)則等;在英國的公司企業(yè)中均設有專門的個人信息保護職位,負責對數(shù)據的監(jiān)控,能夠更好地使員工的合法權利得到救濟。目前我國施行了《個人信息保護法》,因此筆者不做過多闡釋,但我們也應該完善相關救濟措施[4],在政府信息公開的過程中加強對第三方的權利救濟,保護個人信息安全。
(二)從政府層面,規(guī)范行政行為
政府作為行政執(zhí)法的一個重要主體,對體系內部人員的行政措施應該加以規(guī)范,順應廉政建設的時代潮流,促進政府科學執(zhí)法、廉潔高效,提高行政執(zhí)法的運行效率。1.強化政府對個人信息的責任意識合理的政府行政人員的責任設置,有利于提高行政執(zhí)法的效率,因此有必要明晰政府數(shù)據開放的法律責任[5]。在當前社會,我們強調廉政建設的同時,也強調轉變政府職能,但這并不意味著減少政府的職責,而是指國家行政機關在一定時期內,根據國家和社會發(fā)展的需要,對其應擔負的職責和所發(fā)揮的功能、作用的范圍、內容、方式的轉移和變化。政府對哪些事務負有管理權責,管什么、管多少、管到什么程度,這都是政府需要轉變和思考的問題。因此,在個人信息保護方面,政府行政人員更應該增強責任意識,完善內部責任分配體系,對公民個人信息的監(jiān)管進行科學管理。2.形成多元監(jiān)督主體,建立完善的公民個人信息行政監(jiān)管機制筆者根據完善對監(jiān)管的監(jiān)督機制[6],結合行政機關對信息的監(jiān)管責任,得出應該建立完善的公民個人信息行政監(jiān)管機制。首先,建立全面的監(jiān)管體制和專門性的監(jiān)管機構,在政府內部和政府外部統(tǒng)籌規(guī)劃,通過法律指導規(guī)范,輔之必要的監(jiān)督管理措施,加強政府對法律的執(zhí)行和實施效果;其次,加強評估治理機制,發(fā)揮政府各部門的評估作用,通過監(jiān)督運營商和第三方APP平臺關于個人信息的收集問題,分析其中對個人信息的處理程序是否得當,從而針對第三方機構和平臺提出指導性建議,倡導個人信息保護合作治理模式[7];最后,政府尤其應該發(fā)揮公安機關的作用,幫助個人信息受侵害的被害者調查取證,協(xié)助被害者維護其個人利益。政府在這些活動中,應該將責任落實到底,切實保障公民信息安全。3.加大對侵犯個人信息的不法行為的懲治力度這里所說的懲治力度不在于懲治的嚴酷性,而在于它的不可避免性[8]。2019年江蘇淮安出現(xiàn)7家涉嫌侵犯公民個人信息的公司,網民對此深感不滿,警方深入調查此案,最終將20余名涉案人員抓獲。2021年11月1日起施行的《個人信息保護法》第七章提出有關法律責任,對違法處理個人信息的應用程序責令停止服務,且對情節(jié)嚴重的處以罰款。在此法的基礎上,政府等行政機關應當加大懲治力度,規(guī)范執(zhí)法措施,讓每一個違法者和不法分子無處可逃。
(三)公民增強維護個人信息安全的意識
1.增強公民法律意識,維護個人信息安全法律對于公民個人信息保護提出的權利和義務規(guī)范是必要的,此外,公民個人也要自覺意識到保護個人信息安全的重要性。社會各界應該積極向公民宣傳個人信息保護的措施,幫助公民學習法律,自覺提高防范風險的意識;社區(qū)團體、學校也應該開展法律進社區(qū)、法律進學校的活動,宣傳法律知識。同時,借助新聞媒體、輿論力量,增強公民的法律意識,促進公民學法、知法、守法。2.提高公民自律意識,保護他人合法信息任何個人不可能脫離社會而存在,是在社會環(huán)境、政治、經濟、文化等各種因素相互作用下生存發(fā)展的,因此,公民不僅對自身信息負有責任,而且承擔著維護他人信息安全的義務。良好的網絡安全秩序有賴于公民的共創(chuàng)共建,公民需要自覺融入社會生產生活中,順應時展潮流,助力數(shù)字經濟時代的個人信息安全保護。
五、結語
隨著我國社會主義法治的健全和數(shù)字經濟的迅猛發(fā)展,《個人信息保護法》的施行為我國的個人信息保護拓寬了新視野。行政機關的行政行為逐漸有法可依,公民對個人信息安全的保護意識也逐漸增強,但具體成效還有待檢驗。隨著我國法律體系的日漸健全,公民的個人信息會得到更有效、更切實的保障,我國社會主義現(xiàn)代化建設的新征程也能得到更好地推進。
參考文獻
[1]鄧明理.大數(shù)據背景下個人數(shù)據的監(jiān)管保護[J].北京郵電大學學報(社會科學報),2019(1):19-25.
[2]李余丹.我國公民個人信息保護與網絡法治保障研究[J].電腦采購,2021(3):118-119.
[3]李超凡.新時期背景下我國個人信息行政法保護問題的思考[J].百家論壇,2021(11):206.
[4]劉利紅.政府信息公開中個人隱私保護研究[J].知識窗,2020(2):113.
[5]劉權.政府數(shù)據開放的立法路徑[J].暨南學報(哲學社會科學版),2021(1):92-102.
[6]趙丹寧.個人信息的行政法保護研究[J].法制與社會,2020(11):113-114.
1引言
據相關數(shù)據顯示,智能手機已經占據了移動互聯(lián)網市場的大半壁江山,而且這一趨勢一定時期內還會繼續(xù)和強化。智能手機綜合集成了移動通信技術、計算機技術和多媒體技術的最新成果,給人們帶來了豐富多彩的客戶體驗[1]。伴隨著智能化及網絡高速化的趨勢,智能手機執(zhí)行了大量的數(shù)據處理、傳輸和存儲,其中既包括在使用過程中生成的個人隱私數(shù)據,也包括主動存儲的用戶個人信息。這些存儲在智能手機中的敏感信息,面臨著嚴峻的安全挑戰(zhàn)[2]。可以說,智能手機為我們生活帶來便利和效率的同時,其信息安全更值得注意。
2移動智能手機信息安全技術現(xiàn)狀
智能手機安全威脅主要來自通信網絡和網絡智能終端兩個方面。一方面來自通信網絡方面,包括病毒、黑客、漏洞等等給人們的生活增添了很多隱患。黑客利用高速智能網絡的資源共享功能,植入病毒于手機系統(tǒng)進行隱私惡意竊取,往往給用戶造成財產和精神的雙重損失。另一方面,來自于網絡智能終端。主要是開放的安卓系統(tǒng)自身存在的一些安全隱患。還有,就是制造商將惡意程序寫入系統(tǒng)。在調查時發(fā)現(xiàn),有很多惡意應用程序是在用戶不知情的情況下進行了安裝,同時該程序也將用戶的敏感信息暴露于網絡。鑒于智能手機信息安全面臨的新形勢,工信部2013年頒布了《關于加強移動智能終端管理的通知》,此通知從根本上約束了終端生產商對于內置軟件的安裝,一定程度上保障了用戶的信息安全。此后又了《聯(lián)網軟件安全行為規(guī)范》,進一步規(guī)范網絡運營企業(yè)對于網上的軟件運行機制、安全檢測、行為方式的監(jiān)管。但是,目前仍有相當一部分用戶的安全風險意識不強、專業(yè)知識水平不足,使得這些智能手機用戶的個人私密信息處于容易暴露的危險狀態(tài)。
3個人信息安全的關鍵技術分析
隨著通訊技術的快速發(fā)展,智能手機承擔了越來越多的新功能,其中部分新功能涉及到信息安全,這也就給用戶帶來新的安全技術隱患。如集成定位功能的智能手機可隨時獲得自身的地理位置信息;又如集成生物識別技術的智能手機的緩存上也會存儲著用戶的生物識別信息,因此智能手機對信息安全性往往有著特殊的技術要求。筆者認為可從以下幾個方面來提升智能手機的個人信息安全性:(1)控制應用程序權限。在應用程序安裝階段,確認該應用程序僅使用必需的最小權限,則受到惡意軟件攻擊的可能性必將大大降低。但基于普通用戶的相關認知水平,需要應用程序開發(fā)者在設定權限時,嚴格遵循最小權限原則。(2)強化權威機構認證。權威機構認證,即對應用程序的測試以及相關代碼的審查在一定程度上可防范惡意程序,也是目前較為有效的手段之一。(3)加強數(shù)據保護力度。數(shù)據加密是保護隱私數(shù)據的最佳手段[3],即使隱私數(shù)據失竊,個人信息的安全仍然得到一定程度的保障。同時在調用私有數(shù)據時,應增加某些特定防范程序,保障用戶私有數(shù)據的安全。
4建議
面對嚴峻的信息安全形勢,建議在以下三個方面開展工作,保障智能手機的個人信息安全。(1)提高智能手機操作系統(tǒng)的安全能力。提升個人信息安全技術相關標準,明確和細化智能手機個人信息安全能力的監(jiān)管技術要求,支持和促進制造商在智能手機操作系統(tǒng)層面對個人信息安全增強技術的研發(fā)和應用,確保個人信息安全。(2)加強智能手機入網安全評估機制。嚴格執(zhí)行智能手機終端入網監(jiān)測和評估流程,對應用程序信息內容、代碼和開發(fā)者資質等進行嚴格的評估,特別是對應用程序的權限設置和API調用等提出安全標準,確保智能手機達到入網的“安全門檻”。(3)提高用戶的自我安全防范意識和能力。加強用戶信息安全意識的宣傳,普及信息安全常識,不連接不明的網絡和終端設備、安裝防病毒軟件等,從而實現(xiàn)智能手機的個人信息安全。
參考文獻
[1]李鋼,王棟,李魯湘,等.移動智能終端的安全問題研究[J].信息通信技術,2014(02):26-32.
伴隨網上金融交易和網上購物等互聯(lián)網應用的興起,個人的重要信息變成了網絡中流動的數(shù)據,非法收集、利用、公開個人信息的機會之門也由此大開。近年來,信息和網絡的迅速發(fā)展,使個人信息保護越來越受到網民的關注與重視。隨著信息泄露案件的頻繁出現(xiàn),個人信息的保護已成為各國關注的重要問題。然而,作為一個網民人口大國,中國網民個人信息保護現(xiàn)狀卻令人憂慮。
2011年12月21日,開發(fā)者社區(qū)CSDN遭黑客攻擊,600萬用戶賬號及明文密碼泄露,用戶資料被大量傳播。幾天之后,烏云漏洞平臺又爆出天涯社區(qū)遭黑客攻擊,導致4000萬用戶資料被泄露的消息。此后,京東商城、當當網、支付寶等多家網站紛紛陷入“漏洞門”, 被指因網站安全漏洞而存在數(shù)據泄露的風險……2011年底,中國互聯(lián)網遭遇的史上最大規(guī)模的用戶信息泄露事件,直接導致了網民對主流網站的信任危機。由此可見,中國互聯(lián)網產業(yè)的發(fā)展已經走到了不得不關注、重視個人信息保護的時代。
個人信息安全保護的中國進程
有關個人信息保護的原則,最重要的是國際經合組織在1980年頒布的《關于保護隱私和個人數(shù)據跨國流通指導原則》中有關個人信息保護的八項原則,許多國家都以此為據制定了本國的個人信息保護法。這些原則包括:收集限制原則、數(shù)據質量原則、列明目的原則、使用限制原則、安全保護原則、公開原則、個人參與原則和責任原則。個人信息的保護原則,體現(xiàn)了對人的尊重和對個人信息的規(guī)范管理。它的目的實際是在保護個人信息的同時,讓個人信息能真正實現(xiàn)自身價值,更好地為公眾服務。
互聯(lián)網行業(yè)是一個時刻需要創(chuàng)新和變化的行業(yè)。曾有部分企業(yè)認為:強調對個人信息的保護,會制約互聯(lián)網行業(yè)的創(chuàng)新精神,阻礙行業(yè)的發(fā)展。這說明,一些互聯(lián)網企業(yè)對個人信息安全保護的理解,還存在誤區(qū)。專家指出,對個人信息的保護并不是為了限制個人信息的流動,而是對個人信息的流動進行正規(guī)的管理和規(guī)范,以保證符合讓信息主體同意的目的,保持信息的正確、有效和安全,最終確保個人信息能夠在合理、合法的狀態(tài)下流動。
到目前為止,國際上已經有50多個國家和組織建立了個人信息保護的相關法規(guī)和標準,如歐盟理事會《有關個人數(shù)據自動化處理的個人保護協(xié)定》、國際經合組織《關于保護隱私和個人數(shù)據跨國流通指導原則》、歐盟《1995年個人數(shù)據保護指南》、《瑞典個人數(shù)據法》、歐盟《2002年隱私和電子通信指令》、《美國隱私權法》、《加拿大個人數(shù)據保護法》、英國《數(shù)據保護法》、美國《電子通信隱私法》、美國《互聯(lián)網保護個人隱私的政策》、日本《個人信息保護法》等。
與一些發(fā)達國家相比,我國在信息安全保護意識與規(guī)范制定方面存在一些弱項。特別是個人信息保護意識不足的問題,還曾經直接導致國際市場在選擇外包企業(yè)時對中國企業(yè)的不信任,嚴重影響了我國軟件及信息服務外包業(yè)務的發(fā)展。
2008年,個人信息保護被納入工業(yè)和信息化部重點工作范疇。2009年,為了消除國際影響,提升國內企業(yè)在國際軟件與信息服務外包業(yè)務中的競爭力,我國成立了首個個人信息保護管理委員會并建立了個人信息保護的評價制度。工業(yè)和信息化部信息安全協(xié)調司副司長歐陽武告訴記者,這套評價制度啟用效果非常明顯,它不僅得到了境外相關機構的認可,也為國內企業(yè)承接境外業(yè)務提供了基本保障。此后,這套評價體系的建立,也確實為個人信息安全保護工作的開展起到了旗幟性的作用。
2011年初,為了全面推動我國信息服務產業(yè)個人信息保護體系的建立,在信息安全標準委員會的指導下,由中國軟件評測中心牽頭制定了國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)、全國信息安全標準化技術委員會2011年國家標準編制計劃(編號:TC260-BZZXD-WG7-2011018)。在“指南”的基礎上,信息系統(tǒng)個人信息保護標準體系中其他技術、管理和行業(yè)標準也已進入計劃制定階段。
《指南》制定完成后,伴隨一些第三方評測平臺的努力,如今標準落實工作已出現(xiàn)實質性進展。2011年5月,受工業(yè)和信息化部信息安全協(xié)調司委托,中國軟件評測中心力邀個人信息保護相關專家,組成評測專家組,并根據《指南》內容,研究制定了2011年互聯(lián)網網站個人信息保護政策測評方案和測評指標。歷經六個月,專家組對電子商務、論壇博客、銀行、保險、婚戀、招聘、游戲七類共105家網站進行了個人信息保護政策測評,正式將《指南》通過科學的個人信息安全相關評級機制落實。同時,針對移動互聯(lián)網帶來的個人信息泄露問題,中國軟件評測中心還與北京大學互聯(lián)網安全技術實驗室合作,選取了安卓手機各類熱門軟件對其個人信息安全狀況進行了測試評估。
而相關評測報告顯示,個人信息安全防護的主戰(zhàn)場,正在伴隨移動設備和Wi-Fi網絡的普及不斷蔓延擴大,個人信息安全防護各項工作的開展已刻不容緩。
個人信息保衛(wèi)戰(zhàn)出現(xiàn)第二戰(zhàn)場
十年前,地鐵里最常見的人群是手拿報紙的上班族。但是今天,手握手機的上網族成了主流。搜索、游戲、閱讀、音樂、互動社區(qū),手機支付、手機電視……層出不窮的移動互聯(lián)網應用在吸引大量用戶的同時,也把個人信息安全保衛(wèi)戰(zhàn)推向了更廣闊的戰(zhàn)場。
2012年1月,中國互聯(lián)網信息中心(CNNIC)了《第29次中國互聯(lián)網絡發(fā)展情況統(tǒng)計報告》。該報告顯示,截至2011年12月底,手機網民數(shù)量超過3.5億。艾瑞咨詢預計,中國手機應用商店2012年和2013年的用戶規(guī)模將有望分別達1.82億、2.75億。手機應用軟件商店正在成為各大IT巨頭發(fā)力的焦點。
但是,在移動互聯(lián)網應用發(fā)展勢頭一片大好的背后,卻暗藏著個人信息泄露的巨大風險。美國標槍戰(zhàn)略研究公司(Javelin Strategy & Research)近期公布的的一份報告顯示,2011年美國有近1200萬人淪為身份盜竊的犧牲品,較2010年增長了13%。主要原因正是智能手機和社交媒體使用的增加。日本的KDDI研究所在調查了400種智能手機熱門免費應用軟件后發(fā)現(xiàn),約6%的軟件會將電話號碼、終端ID、位置信息及使用軟件一覽表在用戶不知情的情況下向外部發(fā)送。據國外媒體報道,安全廠商Dasient對1萬款安卓應用進行了研究,發(fā)現(xiàn)逾8%的應用會向沒有獲得授權的計算機傳輸用戶的個人資料。
360安全中心日前的《2011年中國手機安全狀況報告》指出,2011年全年新增手機惡意軟件及木馬8714個,被感染智能手機用戶數(shù)超過2753萬人次。其中,安卓手機操作系統(tǒng)成為安全問題最為嚴重的平臺。根據360手機云安全中心統(tǒng)計,2011年是Android平臺惡意軟件及木馬的“井噴年”,相較2010年全年共發(fā)現(xiàn)12個木馬樣本相比,今年捕獲新增安卓木馬樣本4722個,被感染手機用戶數(shù)超過498萬人次。從2011年8月起,安卓平臺每月新增木馬數(shù)量開始連續(xù)4個月超過塞班平臺,在新增安全威脅的增速與增量上全面居首。
2011年10月到2012年3月,中國軟件評測中心與北京大學互聯(lián)網安全技術實驗室針對Android手機軟件的個人信息安全評測結果顯示,基于安卓平臺的應用存在嚴重的信息泄露風險。這次評測在中國移動應用商城、中國聯(lián)通沃商店、中國電信天翼空間、機鋒網等應用商店中隨機選擇了幾百個測試樣本,測試指標選取的原則為信息泄露造成危害程度、用戶對信息的敏感性、利益相關方對個人信息的關注點。結果顯示:IMEI號碼泄露問題最為嚴重,其次為手機號碼泄露,再次為地理位置和SIM卡序列號泄露。而在優(yōu)億市場、寶軟網、安卓在線、數(shù)熊游戲軟件等手機軟件電子市場采樣測試的結果則顯示“數(shù)熊游戲軟件”泄露手機號碼情況較為嚴重。
這些數(shù)據顯示,移動互聯(lián)網已經變成了安全攻防的第二個主戰(zhàn)場。面對移動互聯(lián)網的發(fā)展和Wi-Fi普及帶來的個人信息泄露風險,360總裁齊向東認為只有通過在移動終端上安裝安全軟件,才能實現(xiàn)有效的防御。在他看來,互聯(lián)網應用的高速發(fā)展正在顯示一種趨勢――未來人們勢必會將更多的個人信息、隱私信息放在互聯(lián)網中,保護個人信息安全會變成互聯(lián)網的頭等大事。但當前人們對移動設備安全防護的認識還遠遠不足,比如安卓這類開源操作系統(tǒng)平臺在安全性方面要遠比Windows系統(tǒng)薄弱,基于這類平臺開發(fā)的應用在安全機制方面的考慮也遠遠不夠,這些問題會造成安全風險,很多用戶對此還沒有清醒的認識。和傳統(tǒng)的終端相比,移動終端安全防護產品在個人信息安全防護的戰(zhàn)場上所起到的作用將更為突出。如何構建多維防線
中圖分類號:D92 文獻標志碼:A 文章編號:1673-291X(2012)12-0232-03
一、個人信息安全面臨的風險
一般認為,個人信息是指包括姓名、性別、年齡、血型、健康狀況、人種等可以直接或間接識別該個人的資料。網絡條件下的個人信息同時具有人格權和財產權的雙重屬性。
隨著數(shù)字技術的發(fā)展,人們收集、處理和利用信息的能力急劇加強;而在網絡中,不同電腦的連接可以實現(xiàn)信息的即時取得。計算機網絡技術在處理與傳遞信息方面所表現(xiàn)出來的巨大能力,把個人信息置于危險境地。個人信息在計算機網絡條件下主要面臨著以下風險:
(一)個人信息的非法收集
1.侵犯通信自由。電子郵件已成為一種重要的通信方式。無論是公務、商務還是私人性質的電子郵件在傳輸?shù)倪^程中,都存在被攔截的可能。2006年8月,浙江律師郭力由于所發(fā)送郵件地址非正常外泄導致其郵件內容被鏈接,在百度上搜索可以看到其向某單位電子郵箱發(fā)送的私人求職郵件,包括其所帶附件的全文[1]。
2.被要求填寫過于詳細的個人信息。目前各網站或其他服務性行業(yè)很普遍的做法,就是消費者在上網瀏覽或者購物以及辦理銀行卡等的時候,需要填寫含有大量的個人信息的一系列表格,而這些表格中的個人信息過于詳盡,而且所收集的個人信息是不是已經超過了需要的范圍,對于經營者收集個人信息的目的及對收集到的個人信息采用何種安全保障,都是消費者難以知悉和控制。
3.惡意跟蹤、收集個人信息。人們在上網時,網站運營商運用軟件,可以輕松地跟蹤網絡用戶,收集并記錄其興趣愛好,用戶瀏覽的網站、消費習慣、閱讀習慣、通訊記錄甚至信用記錄等,再經過整理、信息比對,可以形成詳細的個人信息檔案。這些個人信息經過收集者的加工,可能被用于信息主體提供個人信息目的之外的用途。
4.侵入計算機系統(tǒng)獲取個人信息。網絡上存在著通過黑客和病毒等形式進行的非法個人信息收集。這種情況下個人信息面臨著更大的風險。雖然各種安全措施大量使用,侵入計算機系統(tǒng)的事件仍然層出不窮。2011年7月19日,中國互聯(lián)網絡信息中心(CNNIC)了《第28次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示,2011年上半年,有過賬號或密碼被盜經歷的網民達到1.21億人,占24.9%,較2010年增加3.1個百分點。刪除、修改、竊取個人數(shù)據不但針對網絡用戶的個人電腦,而且以儲存在政府、企業(yè)或者私人資料庫中的個人數(shù)據為主要目標。
(二)個人信息的非法利用
1.不當泄露。經營者在向消費者收集個人信息的時候,往往會保證對個人數(shù)據的安全負責。但是,網絡環(huán)境下存在太多的未知因素,導致消費者的個人信息不當泄露,就可能導致意想不到的后果。
2.惡意傳播。計算機網絡為惡意傳播提供了比傳統(tǒng)條件下更加通暢的渠道和更為有效的武器。利用傳播個人隱私,吸引人們的關注,提高網站點擊率,是一些網站增加經濟效益的慣用方式。
3.為商業(yè)目的而使用。商家把網上收集到的個人信息經過數(shù)據加工、數(shù)據挖掘等方法得到有商業(yè)價值的信息。經營者希望通過對消費者的個人數(shù)據分析,有針對性地為消費者提供服務,進一步開拓市場,是無可指責的。但關鍵在于消費者這種服務往往既不知情,更無法選擇是否接受該服務。
(三)個人信息的非法交易
電子商務中的個人信息不但具有價值,更有成為商品的可能。充斥網絡的出售個人信息的廣告提醒網民個人信息的非法交易已經形成了一個產業(yè)。一旦個人數(shù)據的交易完成,消費者的隱私權以及其他相關利益都將受到進一步嚴重侵犯。2011年曝光了一起北京最大的非法出售、提供、獲取個人信息案,揭開個人信息交易這一隱秘市場的冰山一角。電信公司的工作人員利用工作之便,將手機用戶的定位信息、電話清單、姓名和家庭地址等個人信息非法出賣給私家偵探,導致手機用戶在不知情的情況下被定位跟蹤,嚴重侵害了信息主體的權益[2]。
面對信息技術的廣泛應用、面對強大的收集和處理主體,個人權利陷入岌岌可危的境地,個人信息的保護也越發(fā)困難。
二、個人信息保護存在的困難
中國目前個人信息安全問題嚴峻,消費者維權難問題突出,個人信息保護存在以下困難:
1.法律法規(guī)的制約缺位。目前,世界上已有許多國際組織、國家和地區(qū)進行了個人信息安全立法。各國對個人信息的名稱有所不同,主要有“個人隱私”、“個人資料”和“個人信息”等,但都是為了保護個人信息上所承載的人格利益或隱私利益。中國的個人信息安全立法關于個人信息保護條款散見于《刑法修正案(七)》、《互聯(lián)網信息服務管理辦法》、《計算機信息網絡國際聯(lián)網安全保護管理辦法》、《侵權責任法》等法律法規(guī)中,《個人信息保護法》的立法工作在2003年曾一度啟動,此后數(shù)次傳出該法即將出臺的消息,但如今仍處于擱置中。而在目前有關案例中,涉及個人信息侵權問題主要只能依據有關隱私權保護的法律條文尋求法律的救濟,但個人信息與傳統(tǒng)隱私權存在著較大差異,而在訴訟中個人信息侵權也存在著舉證等方面的困難。因此,在司法實踐中因個人信息泄漏而導致的損失很難得到相應賠償。
2.網站存在著大量安全漏洞。建立各種安全機制需要投入大量資金,在缺乏一個有效立法制度的情況下,互聯(lián)網企業(yè)并不愿花大量資金投入到網絡安全。很多大網站并沒有安全防護措施,因為他們認為網站服務是第一位的,即使丟失個人信息也不是自己的責任。根據國際數(shù)據公司(IDC)2010的數(shù)據,對12個國家2 850家公司開展的一項調查結果顯示,目前國外信息安全投入占整體IT信息投入的比例為14.5%,但在中國這一數(shù)字僅為6.5% [3]。
3.個人信息保護的專門機構缺失。在監(jiān)管機關層面,中國缺乏明確的專門的個人信息保護機構,而以歐盟為例,27個成員國每個國家都有一個專門的信息保護機構。
4.自我個人信息保護意識薄弱。中國在傳統(tǒng)上對個人信息保護的重視程度不夠,而由于目前人數(shù)眾多的網民在個人信息安全方面的知識欠缺和意識薄弱,這也加大了個人信息泄露的風險。
5.個人信息泄露的渠道較多。除了在網絡交易過程中個人信息泄露外,企事業(yè)單位更掌握著其員工和客戶的大量個人信息,而有關行政機關在執(zhí)行其職能過程中也掌握了大量的個人信息。由于法律監(jiān)管的缺失導致這些企業(yè)和單位存在著個人信息泄露的嚴重風險,而在曝光的案例中,很多大規(guī)模的個人信息泄露的源頭正是這些企業(yè)和單位。
三、中國建立個人信息保護制度的建議
電子商務的發(fā)展依賴于商業(yè)機構對個人信息資源的開發(fā)利用。從事電子商務的商家一般必須要收集個人信息才能進行交易 [4]。但是,個人信息所體現(xiàn)的是公民的人格利益,個人信息的收集、處理或利用直接關系到個人信息主體的人格尊嚴。同時,信息主體如果對個人信息安全存在疑慮也會對其參與電子商務的帶來消極影響。因此只有在個人信息保護和信息自由流動帶來的利益之間取得平衡,建立起完善的個人信息利用和保護制度,電子商務才能得到長遠發(fā)展。
1.加快《個人信息法》立法進程。首先,該法的基本原則是平衡個人信息權與國家利益、行業(yè)利益之間的關系。即既要考慮到個人信息安全,又要保障信息的正常流動。其次,要明確個人信息的內容。應納入保護范圍的個人信息主要包括:特定個人信息(姓名、性別、出生日期、身份證號碼)、敏感信息(包括、婚姻、家庭、職業(yè)、病歷、收入、個人經歷)、郵件地址、IP 地址、賬號與密碼、網頁瀏覽習慣、消費記錄等等凡是能夠直接或間接識別個人的資料均應納入。第三,必須在立法上明確個人信息的法律地位,并對網絡經營者和消費者在保護個人信息安全方面的權利和義務做出詳細規(guī)定。 一方面,應該根據國際組合和其他國家的立法經驗,明確信息主體享有對個人信息的控制權,他人收集、使用其個人信息必須經本人同意,本人有權掌控信息的用途,并可以及時更正及刪除信息,當個人利益遭受損失時,能夠通過各種正當?shù)耐緩将@得救濟。另一方面,要明確網絡經營者有在網站表明有關個人信息收集、利用和處理規(guī)則的義務,明確告知消費者收集的目的所在,并且保證按照該目的使用個人信息;采取適當?shù)牟襟E和技術措施保護消費者個人信息的安全;除非法律另有規(guī)定,未經信息主體的明確同意,經營者不得向第三方提供個人信息。
2.建立經營者行業(yè)自律制度。要建立網站經營者行業(yè)自律組織,行業(yè)自律組織要制定行業(yè)標準加強對行業(yè)的監(jiān)管,完善工作人員的從業(yè)規(guī)范,制定嚴格統(tǒng)一的行業(yè)保密規(guī)定,定期對行業(yè)企業(yè)的信息保護工作進行檢查,形成有力的常態(tài)監(jiān)督機制。這樣做的目的也是為了加強個人信息保護,促進個人信息的有序流動,促進電子商務的健康發(fā)展。
3.明確個人信息保護的機構職能。國家設立專門的個人信息保護機構負責個人信息的保護工作以及對侵犯個人信息權的違法行為進行監(jiān)管和及時處理。個人信息保護機構應該通過制定有關個人信息安全政策,加強對信息管理者的監(jiān)督,以促進個人信息的保護。
4.建立網站信息安全準入、評級和報備制度。非法侵犯消費者個人信息安全的各種技術手段層出不窮,個人信息安全在技術層面面臨著巨大的風險,應此鼓勵保護個人信息安全的技術發(fā)展也是個人信息保護的重要一環(huán)。對各類網站應該設立較高的網絡信息安全門檻,并實行安全等級的評定公示和定期的報告?zhèn)浒钢贫龋约訌妼W站信息安全的監(jiān)督管理。
5.提高消費者個人信息保護意識。歐盟 ENISA(European Network and Information Security Agency歐洲網絡與信息安全局)在一份題為《提高信息安全意識(Awareness Raising)》的文件中指出:“大量的研究報告表明,在所有的信息安全系統(tǒng)框架中,人這個要素往往是其最薄弱的環(huán)節(jié)。只有革新人們陳舊的安全觀念和認知文化,才能真正減少信息安全可能存在的隱患。”“具備高度信息安全意識的個人和有效的安全措施,被視作信息系統(tǒng)和網絡安全的第一道防線。因此,信息安全體系的所有參與者,包括信息技術業(yè)內人士、與信息安全攸關的利益方以及信息系統(tǒng)的最終用戶群乃至用戶個體,都應擔負起提高安全意識,維護信息安全的責任。”因此,政府有關機構及消費者協(xié)會應當通過宣傳樹立捍衛(wèi)公民的個人信息安全的觀念,使公民認識到自己的權利,懂得保護自己權利的方法。
6.加強對掌握個人信息的企事業(yè)單位及有關行政機關的內部管理和外部監(jiān)督。企業(yè)應做好教育培訓工作,增強企事業(yè)員工特別是有機會接觸用戶個人信息的關鍵崗位員工以及企業(yè)經營管理人員、有關行政機關工作人員的信息安全意識,完善信息安全保護措施,嚴格規(guī)范信息的查詢、修改程序,并對重點崗位的電腦進行嚴密的安全設置和全程的技術監(jiān)控,形成預防與打擊泄露客戶信息行為的有效機制;政府有關部門要加強對重點企事業(yè)單位和行政機關的信息安全的監(jiān)督和監(jiān)控。
參考文獻:
[1] gb.省略/18964/2008/01/14/1545@1911931.htm.
