时间:2023-10-15 09:54:23
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇关于个人信息安全范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
2011年深圳警方抓获了一名贩卖婴儿信息的女子,其贩卖的信息当中记载了深圳15万名新生婴儿的详细资料,还搜查出深圳楼盘业主、车主名单等数十万份个人信息。
2012年3月20日,北京警方宣布成功破获CSDN网站用户数据泄露案,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益。在2009年刑法修正案(七)中,虽然确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,但未明确该罪的具体界定标准,且追究的犯罪主体只是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,法律对信息泄露者的惩罚机制还远远不够。
据国家互联网应急中心《2011年我国互联网网络安全态势综述》显示,近年来以用户信息泄露为代表的与网民利益密切相关的事件频发高发,“轻伤”者被垃圾信息“攻击”,“重伤”者财物、名誉双双受损,引起公众对网络安全的广泛关注。
“三律”加强个人信息安全防御
面对垃圾短信和洗钱、诈骗等违法违规信息推送以及网络上办假身份证骗取银行信用卡恶意透资、盗取他人账户资金等种种乱象,如何全面加以防范和打击已经迫在眉睫。
针对个人信息泄露的三种主要渠道:一是用户的电脑或手机被木马软件劫持;二是个人信息在互联网传输的过程中,经过一些传输路由时被他人控制;三是网站运营或信息管理机构对个人信息没有尽到妥善保管的义务,在使用过程当中把个人信息泄露出去。与技术因素相比,网站运营或信息管理机构泄露用户信息已经成为侵犯个人信息安全更为重要的原因。必须从源头加以治理,坚持法律、他律与自律三律并施的原则,切实加强个人信息安全防护。
健全法律。工业和信息化部副部长杨学山日前在“2012中国个人信息保护大会”上指出:“个人信息安全已成为目前网络发展的重要问题,加强相关法律法规建设具有重要意义”、“个人信息安全是重要的问题,与网络秩序、社会的稳定与安定均息息相关,个人信息在网络上的集中度越来越高,法律建设的相关环节也就更加具有重要的地位”。立法保护个人信息,是国际上通常的做法。目前世界上已有50多个国家和组织制定了个人信息保护的相关法规和标准。而在我国,虽有近40部法律、30余部法规和近200部规章涉及个人信息保护,2009年《刑法》将泄露个人信息入罪,《民法通则》中也有关于个人隐私的条例,但这些法律法规条例零散、抽象,在现实中普遍缺乏可操作性。《个人信息保护法》初稿已出台6年,但至今未进入正式立法程序。加快推动个人信息保护立法进程,成为社会共识。
加强他律。掌握公民信息的,往往是具备政府管理职能和提供公共服务的机构及社会团体组织,他们掌握着80%以上的个人信息,80%以上的个人信息往往也经由他们泄露出去。因为单凭个人没有如此强大的信息收集能力,只有这些单位趁着工作上留存公民信息的需要而使工作人员有违规操作的可能。因此,各级信息安全工作主管部门必须切实加强对政府机关、公共事业单位和社会团体等组织的信息安全监管,督促其在做好信息系统等级保护和风险评估工作的基础上,切实加强对员工的信息安全管理,促其管束好工作人员遵守职业道德,不趁职务之便而谋利。
严格自律。网民在利用即时通讯工具聊天、在电子商城购物或在交友开博过程中,不知不觉中已经将个人信息存储在网站运营商的服务器中,这些个人信息不仅涉及个人姓名、性别、身份证、电话、邮箱等内容,甚至包括个人银行卡、支付密码、家庭住址等更为私密的内容,而公众所熟悉的杀毒软件重点在保护用户端的电脑安全,对于存储在运营商服务器上的数据安全鞭长莫及。新近提交审批的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,提出个人信息在收集、加工、转移、删除4个主要环节中所要遵循的基本原则、注意事项,应引起个人信息提供者与使用者的高度重视并严格执行。作为个人,要做到不该上的网站不上、不该提供的信息不提供;作为机构,要做到不该征集的信息不征集、使用后不该存储的信息不留存。
“三建议”提升个人信息防护对策
个人信息安全防护是一项系统工程,政府部门作为公民个人信息最大的拥有者,首先应高度重视在个人信息应用方面的管理,为公民网上活动和互联网产业发展提供良好的法律环境。同时,相关企业要加强技术管理,条件成熟时还可设立企业首席隐私官,专门负责处理与用户隐私权相关事宜。而普通大众也要提高个人信息安全保护的意识和能力,防范网络行为可能带来的潜在风险。笔者结合从事信息化与信息安全工作的实践,提出以下建议:
加强学习,强化意识。首先要认真学习修订后的《保守国家秘密法》,深刻领会并全面掌握结果论为行为论的核心要义,严守12条禁令,不碰红线、高压线;按照“四个不得危及、三个不得公开”的原则,处理政务信息公开工作;其次要做好网络技术防范管理,严格遵照《江苏省信息化条例》要求,在信息化规划与建设、信息资源共享与开发利用、信息产业发展与技术推广应用、信息安全保障及其相关管理活动中,逐一落实到位。尤其是信息安全保障系统应当与信息化工程项目同步规划、同步建设、同步运行,使用财政性资金建设的信息网络和信息系统投入使用前,应当进行信息安全登基保护和信息安全风险评估。
一、信息管理相关课程教学改革的现状
目前,国内院校《安全信息管理》课程是以管理信息系统为主体,以安全信息为辅构成的教学内容体系。与本课程有关的教改项目都是围绕《管理信息系统》在不同专业的适用性和应用性展开。已有的研究主要分为两类:
(一)信管专业的教改研究。该类研究大多以项目引领、任务驱动、CDIO教学模式等方式,通过学生对专项任务的自主研习与开发实训,提高项目开发能力,如秦丽萍[1];赖克勤[2];王小霞[3];王建华[4]等。
(二)非信管专业的教改研究。该类教改项目纷纷指出《管理信息系统》授课过程存在教学目标针对性差、教材无法适应学生特点、理论教学与实践教学分离等问题,并纷纷基于能力本位以及专业背景的视角研究如何通过课程改革提高教学效果,其主要教改集中在以下几点:明确不同于信管专业的教学目标;根据专业更改教学内容与学时;针对专业实际合理选用教材;进入专业化案例教学;加强实践教学等;但已有研究成果,主要集中在工商管理[5]、市场营销[6]、饭店管理[7]等行业,其研究结果对于公共事业管理专业的安全信息管理课程教学并不适用。
目前,在实际教学过程中,中国民航大学《安全信息管理》的教学,不仅存在非信管类课程教学的普遍问题,更因为行业限制,各类民航安全信息管理的资料及教学实践软件非常有限,该门课程还存在课程定位与社会需求脱节、教学内容研究滞后、实践教学严重不足、缺乏与民航单位的互动等严重问题,从而导致学生学习该课的积极性不高,整体的教学效果不尽如人意。
二、《安全信息管理》教学改革的实施过程
《安全信息管理》教学改革的实施过程如图1所示。
三、《安全信息管理》教学改革研究的实施
(一)明确“培养学生安全信息管理工作能力”的教学目标
明确“培养学生安全信息管理工作能力”的教学目标,主要体现在:(1)变“传授知识”为“培养能力”。突出工作能力的培养,而非基本知识讲授。(2)变“系统开发”为“系统应用”。弱化管理信息系统开发内容,突出用户如何配合开发及使用系统。
(二)优化与整合教学内容,围绕“如何提高安全信息管理水平”形成八个专题
通过对民航单位、员工能力、最新成果、相关院校及学生的调研,优化整合教学内容,弱化安全信息管理系统内容,增加民航安全信息管理流程及评价等内容,并围绕着“如何提高民航安全信息管理水平”的主线,形成表1中的八个教学专题。
(三)改革教学方法和手段,激发学生对安全信息管理的学习兴趣
教学手段改革主要有两点:(1)情景教学。对于抽象理论,通过民航单位调研分析,形成工作情景案例。授课时先剖出工作情景案例,再引导学生讨论,之后再讲解教学内容。(2)优化课件。对于重点及难点,通过动画及视频的形式反应出来。
(四)完善实践教学,培养学生对民航安全信息管理的实践认识能力
实践教学主要有两点:(1)实验教学。鉴于民航安全信息系统的私密性,本课题将开发一套民航安全信息管理仿真系统,模拟民航安全信息管理的运行流程,使学生直观感受该套软件的运行,提高对民航安全信息系统的实践认识水平。(2)理论教学。通过对民航单位的调研,开发教学案例,使学生通过工作案例来学习和掌握知识点,提高学生对民航安全信息管理业务的实践认识水平。
(五)改进课程考核方法,引导学生提升安全信息管理综合业务能力
课程考核改革有两点:(1)理论环节。期末考核以民航安全信息管理实际工作内容的案例分析为主,改变原有基本知识点的考核方式。(2)实验环节。重点强调新系统的目标和需求分析,而非原有的系统设计。以此,增加学生对安全信息需求的敏感性,提高信息化的配合能力。
四、结论
1.围绕培养民航安全信息管理应用型人才的目标,以“如何提高安全信息管理水平”为主线,形成“民航安全信息管理含义、法规、流程、分析、SCASS、评价、信息系统、趋势”专题。
伴随着信息技术的不断提高,各种新型利益不断出现,个人信息作为一项无形资产已成为现代信息社会的一种重要资源。然而最近几年我国个人信息泄露情况严重,尚无一部完整的关于个人信息安全保护的法律且目前相关法律不完善,难以对个人信息起到有效的保护作用,因此完善个人信息安全保护的法律制度显得尤为迫切。
一、国外个人信息安全的立法评析
现今国际大约存在以美国、德国、日本为代表的三种立法模式。美国模式大体可以总结为分散立法与行业自律相结合,在公领域制定单行法进行分类保护,如1998年的《儿童网上隐私保护法》;在私领域则采取行业自律模式,在政府主导下制定行业准则,通过自我约束保护公民的个人隐私。德国模式则是在公私领域对个人资料采取统一立法模式进行保护,其于1977年制定《联邦数据保护法》对公私领域进行统一规范,同时又制定了适用于所有洲个人资料保护的法律即《洲数据保护法》,并设立独立的监督机构。日本关于个人信息的法律保护模式是建立在美、德模式之上,兼具统一立法规制与行业自律特点,即采用综合性的保护模式。日本于2005年实施《个人信息安全保护法》并将其作为个人信息安全保护的基本法律对公私领域进行统一保护。除此以外,还分别针对不同部门、特殊行业制定个法,形成以《个人信息安全保护法》为基本法,各部门单行法为补充的法律体系。同时,在行业规范方面,日本吸收美国的行业自律模式,如采用P—MARK认证机制,替代争端解决机制。
以上三种模式侧重点不同,但都有其合理性。美国模式相对来说较为灵活,在保护个人隐私的同时又能够促进信息的流通。分散立法与行业自律均为针对特定行业制定具体规则,因此更具体和可操作。德国模式则将个人信息安全置于国家的统一保护下,具有规范性与强制性,有利于对个人信息安全的全面保护。但是,强调保护的单一性则相应的会引起弊端。美国模式将个人隐私保护的主导权交予企业促进市场发展的同时,企业也可能为追求利益最大化而采取规避政策的手段侵犯个人信息安全且分散立法易造成司法的不统一。而德国的统一立法模式难以避免僵化的问题,在一定程度上导致个人资料无法充分流动从而影响企业和社会的发展。同时由于各国的保护原则不同,个人资料进行跨国转移时易引起国与国之间的分歧。日本的综合保护模式同时兼具美、德特色,但又与之有所区别。没有一味迎合德国的对个人信息的全面保护又注意到行业自律的不足,客观的说是两者的折中,具有宽泛性和适用性特点。但是,日本对于个人信息的保护也有一定局限性,《个人信息保护法》对于保护对象和规制对象定义不够严谨使很大一部分日本民众对于个人信息的保护问题过于敏感,反而影响了正常的信息交流活动。如在这部基础性法律中对个人信息的处理者的定义规定不够充分,其规制对象为5000件以上的个人信息的持有者,即对数量做出限制而不是规定对个人信息的持有必须合法,以数量为规定易将个人信息的保护范围扩大化使得有益的个人信息采集变得困难。
二、我国个人信息安全法律保护的现状
由于历史等诸多原因,我国目前没有出台一部专门的关于个人信息安全保护的法律,直接保护个人信息安全的法律数量很少,现有法律对其的保护主要为间接方式,即在个人信息相关的范畴给予局部立法。主要见于以下几个方面:在民事法律方面:《民法通则》规定:公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒等;在刑事法律方面,《刑法修正案(七)》规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;在行政法律方面《行政诉讼法》规定人民法院审判涉及个人隐私的案件可以不公开审理等;宪法方面,《宪法》规定:公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利等。
现有法律制度并不能很好的保护个人信息的安全。主要存在以下几个方面的问题。首先,相关概念界定不清。如对于“个人信息”范围未加明确规定从而易造成信息泄露案件取证及责任认定困难,司法实践时可操作性差等。其次,惩罚力度过小,难以起到警示作用。如我国刑法修正案(七)处以非法获取公民罪三年以下有期徒刑或者拘役,并处或者单处罚金,同犯罪分子丰厚的经济收益和巨大的社会危害相比,处以三年以下有期徒刑显得惩罚力度过小,难以对犯罪分子起到有利打击与警示世人的作用。再次,没有建立相应的民事补偿制度。对于滥用个人信息的责任仅仅停留在刑事责任和行政责任上,忽视个人信息泄露后对权力主体可能造成的经济损失,没有建立一套完整的民事补偿机制。最后,现有法律还存在效力层次低、系统性差的缺陷。现行法律多为地方性、行政性法律,层次效用较低且往往是针对特定的部门、地方以及个人信息的某一方面,缺乏系统性。
三、结合国外立法经验对我国个人信息安全保护立法所做的思考
(一)立法模式
鉴于我国具体国情和历史背景,笔者认为我国应当借鉴德国的统一立法模式,在公私领域制定一部基础法律对个人信息安全进行统一立法保护。首先,从我国法律自身特点来看,我国法律文化深受大陆法系的影响,对大陆法系的接受相对容易。其次,从我国现实国情来看,现阶段个人信息安全受到威胁的来源主要在两个方面,即政府机关内部及其他个人信息处理者,因此出台一部既适用于政府内部,又适用于其他个人信息处理者的法律显得尤为迫切。美国的行业组织经过长期发展已相当发达,为了保护市场的发展不受政府约束的限制而对行业组织不进行特别立法转而采取行业自律的方式符合美国国情,而我国市场经济不够完善,行业自我约束的意识等尚存在很大不足,单靠行业自律很难保护个人信息的安全,因此需国家统一立法做出规范。最后,从国际相关发展趋势来看,虽然美国排斥统一立法而更在意市场的自我调节,但其于2000年与欧盟签署的“安全港”协议可视为以美国为代表的行业自律与分散立法模式向以德国为代表的统一立法模式做出的一次让步,因此从整个国际发展趋势来看采用德国的统一立法模式将对我国同欧美国家关于个人信息的交流提供便利,从而有利于促进我国同国际社会的交流与合作。 (二)立法目的
美、德、日三种模式的一个共同点就在于其个人信息安全法律的立法目的兼顾了保证公民基本权利和促进个人信息流通与有效利用。因此除了显而易见的保障公民的基本权利的同时,我们也必须注意到个人信息的流动对于社会经济、政治等发展的重要意义。尤其是加入WTO后,中国与国际接轨,更加需要信息的安全、充分的流动。因此,个人信息的立法目的应当兼具以上两个方面。
(三)立法原则
对于我国个人信息保护的立法原则问题,一些学者认为可以参考OECD②所规定的8条原则作为基本标准,即:限制收集原则、资料品质原则、目的明确原则、限制利用原则、安全保护原则、公开原则、个人参与原则、责任原则,笔者表示赞同。因其经过长期的司法实践检验,具有科学性并被许多国家广泛采纳,使用范围广。以其为基本原则有利于与国际统一个人信息保护标准,有利于促进个人信息在国际上的充分流动从而便于国际交流。
(四)个人信息安全法律保护中的权力与义务
个人信息权是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利,从性质上讲是人格权的一种派生权利,其权利主体为个人信息指向的、可由个人信息被识别的自然人,其权利客体为个人信息权利义务共同指向的对象,即个人信息。
1.个人信息主体的权力
个人信息主体即可由个人信息直接或间接被识别的自然人。作为个人信息主体的自然人应当享有以下权力:(1)信息决定权,即个人信息主体有权决定个人信息能否、如何、何时、何目的被利用与处理等所有直接或者间接可以控制信息的权力。(2)信息更正权,是指个人信息主体有权对个人信息进行更正的权力,以维护个人信息的完整、真实。(3)信息查询权,即个人信息主体有权查询个人信息以及要求个人信息使用者告知信息的使用等的权力。(4)报酬请求权,个人信息主体有权向个人信息使用者请求因商业使用其个人信息而相应应当获得报酬的权力。(5)损害赔偿请求权,即由于个人信息使用者的不当利用导致个人信息主体的利益遭到侵害并遭到损失时,个人信息主体有权索求经济、精神赔偿的权力。
2.个人信息使用者的义务
中图分类号:G206 文献标识码:A 文章编号:1672-8122(2014)08-0033-02
伴随着科技进步,互联网及移动互联网的快速发展,云计算大数据时代的到来,人们的生活正在被数字化,被记录,被跟踪,被传播,大量数据产生的背后隐藏着巨大的经济和政治利益。大数据犹如一把双刃剑,它给予我们社会及个人的利益是不可估量的,但同时其带来个人信息安全及隐私保护方面的问题也正成为社会关注的热点。今年两会期间,维护网络安全被首次写入政府工作报告。全国政协委员、联想集团董事长兼CEO杨元庆也在会议上呼吁“政府对个人信息安全立法,加强监管,并在整个社会中树立起诚信文化”。大数据时代下维护个人安全成为重中之重。
一、大数据时代下个人信息受到侵犯的表现
(一)数据采集过程中对隐私的侵犯
大数据这一概念是伴随着互联网技术发展而产生的,其数据采集手段主要是通过计算机网络。用户在上网过程中的每一次点击,录入行为都会在云端服务器上留下相应的记录,特别是在现今移动互联网智能手机大发展的背景下,我们每时每刻都与网络连通,同时我们也每时每刻都在被网络所记录,这些记录被储存就形成了庞大的数据库。从整个过程中我们不难发现,大数据的采集并没有经过用户许可而是私自的行为。很多用户并不希望自己行为所产生的数据被互联网运营服务商采集,但又无法阻止。因此,这种不经用户同意私自采集用户数据的行为本身就是对个人隐私的侵犯。
(二)数据存储过程中对隐私的侵犯
互联网运营服务商往往把他们所采集的数据放到云端服务器上,并运用大量的信息技术对这些数据进行保护。但同时由于基础设施的脆弱和加密措施的失效会产生新的风险。大规模的数据存储需要严格的访问控制和身份认证的管理,但云端服务器与互联网相连使得这种管理的难度加大,账户劫持、攻击、身份伪造、认证失效、密匙丢失等都可能威胁用户数据安全。近些年来,受到大数据经济利益的驱使,众多网络黑客对准了互联网运营服务商,使得用户数据泄露事件时有发生,大量的数据被黑客通过技术手段窃取,给用户带来巨大损失,并且极大地威胁到了个人信息安全。
(三)数据使用过程中对隐私的侵犯
互联网运营服务商采集用户行为数据的目的是为了其自身利益,因此基于对这些数据分析使用在一定程度上也会侵犯用户的权益。近些年来,由于网购在我国的迅速崛起,用户通过网络购物成为新时尚也成为了众多人的选择。但同时由于网络购物涉及到的很多用户隐私信息,比如真实姓名、身份证号、收货地址、联系电话,甚至用户购物的清单本身都被存储在电商云服务器中,因此电商成为大数据的最大储存者同时也是最大的受益者。电商通过对用户过往的消费记录以及有相似消费记录用户的交叉分析能够相对准确预测你的兴趣爱好,或者你下次准备购买的物品,从而把这些物品的广告推送到用户面前促成用户的购买,难怪有网友戏称“现在最了解你的不是你自己,而是电商”。当然我们不能否认大数据的使用为生活所带来的益处,但同时也不得不承认在电商面前普通用户已经没有隐私。当用户希望保护自己的隐私,行使自己的隐私权时会发现这已经相当困难。
(四)数据销毁过程中对隐私的侵犯
由于数字化信息低成本易复制的特点,导致大数据一旦产生很难通过单纯的删除操作彻底销毁,它对用户隐私的侵犯将是一个长期的过程。大数据之父维克托・迈尔-舍恩伯格(Viktor Mayer-Schonberger)认为“数字技术已经让社会丧失了遗忘的能力,取而代之的则是完美的记忆”[1]。当用户的行为被数字化并被存储,即便互联网运营服务商承诺在某个特定的时段之后会对这些数据进行销毁,但实际是这种销毁是不彻底的,而且为满足协助执法等要求,各国法律通常会规定大数据保存的期限,并强制要求互联网运营服务商提供其所需要的数据,公权力与隐私权的冲突也威胁到个人信息的安全。
二、大数据时代下个人信息安全保护的措施
(一)将个人信息保护纳入国家战略资源的保护和规范范畴
大数据时代个人信息是构成现代商业服务以及网络社会管理的基础,对任何国家而言由众多个人信息组成的大数据都是研究社会,了解民情的重要战略资源。近年来大数据运用已经不再局限于商业领域而逐步扩展到政治生活等方方面面。国家也越来越重视通过对大数据的分析运用从而了解这个社会的变化以及人民的想法,甚至从中能够发现很多社会发展过程中的问题和现象,这比过去仅仅依靠国家统计部门的数据来的更真实全面,成本也相对较小,比如淘宝公布的收货地址变更数据在一定程度上揭示了我国人口的迁移,这些信息对于我国的发展都是至关重要的。
因此将个人信息保护纳入国家战略资源的保护和规划范畴具有重要的意义。2014年政府工作报告首次提出了“维护网络安全”这一表述意味着网络安全已上升国家战略。这是我国在大数据时代下对个人信息保护的重要事件,也具有里程碑的意义。
(二)加强个人信息安全的立法工作
大数据时代对个人信息安全保护仅仅依靠技术是远远不够的,关键在于建立维护个人信息安全的法律法规和基本原则。这方面立法的缺失目前在我国是非常严重,需要积极推动关于个人信息安全的法律法规的建立,加大打击侵犯个人信息安全的行为。2014年两会期间全国政协委员、联想集团董事长兼CEO杨元庆呼吁政府加强对个人信息安全的立法和监督,引起了社会各界广泛关注和重视,这充分说明这个问题已经成为一个重要的社会问题。我本人对个人信息安全立法工作有以下几点建议:第一,必须在立法上明确个人信息安全的法律地位。个人信息安全与隐私权“考虑到法律在一般隐私权上的缺乏,要对网络隐私权加以规范就有必要先完善一般隐私权的规定,因此首先应通过宪法明确规定公民享有隐私权。[2]”第二,必须从法律上明确采集数据的权利依据。由于在数据采集过程中经常发生对个人信息的侵害,因此无论是政府还是互联网运营服务商都必须遵循一定的原则和依据。政府采集数据的行为应该符合宪法的要求,而互联网运营服务商采集数据必须要经过当事人同意。第三,制定关于个人信息安全的专门法律。2003年国务院信息办就委托中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿。2005年,最终形成了近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但到目前为止我国的个人信息保护法仍没有立法,因此加快这个立法过程是当务之急。
(三)加强对个人信息的行政监管
大数据时代下个人信息及隐私都具有很高的经济价值,许多商业机构利用这些都能够谋取很高的商业利益,因此政府对于个人信息的监管就显得尤为重要,具体来说就是应该制定关于大数据的个人信息安全标准。
我国已于2013年2月1日起实施首个个人信息保护国家标准――《信息安全技术公共及商用服务信息系统个人信息保护指南》。该标准最显著的特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。这充分标志着我国对个人信息行政监管上了一个新台阶。
(四)加强对个人信息的技术保护
技术手段是对个人信息最直接的保护方式,也是法律手段的重要补充。在法律法规还没有完善的情况下,技术保护成为个人信息保护最主要的方式。但是我们看到现代技术发展非常迅速,侵权者们的水平也迅速提高,过去的许多技术保护手段都已被一一破解,这给我国的信息产业界提出了很高的要求。为此国家和社会各界应该充分重视信息技术的创新开发,培养技术人才,提高我国信息技术水平从而为个人信息保护提供保障。
(五)加强行业自律与监管
行业自身的相互监管监督是个人信息安全保护最有效也是成本最低的方法。因此相关部门应该组织涉及大数据的企业成立相关的行业组织了,并制定行业内部的标准或公约,以及相互监督的权利和义务,并为这些行业组织提供相应的资金和政策的支持。
大数据时代的到来极大地促进整个社会的发展。大数据在各行各业中的运用,使我们精确地了解到过去通过抽样调查很难了解的许多东西,让我们更深刻地认识了这个社会,从而更进一步改善这个社会。我们不应该否认大数据带来的益处,同样我们应该使这种益处最大化。但大数据带来的对个人信息安全的威胁我们也应该有着充分的认识。保护个人信息不仅是对社会每个成员的保护,更是对国家安全以及社会长期持续健康发展的保护。
参考文献:
[1] (英)维克托・迈尔-舍恩伯格著.袁杰译.删除――大数据取舍之道[M].杭州:浙江人民出版社,2013.
网络个人信息泄露,是指网民在互联网上提供的个人信息没有得到良好的保密,而导致某些不法分子得以对其进行收集、倒卖以获利的现象。2014年12月25日第三方漏洞平台“乌云”曝出12306网站现用户数据泄露漏洞,包括用户账号、明文密码、身份证、邮箱等个人信息。对此,中国铁路客户服务中心回应称,网上泄露的用户信息系是经由其他网站或渠道流出。
当前,网上个人信息泄露事件频发,信息安全问题较以往显得更为突出,网上个人信息成为不法分子争抢的“香饽饽”,或被直接出卖非法获利,或被犯罪分子利用进行电信诈骗、非法讨债甚至绑架勒索等犯罪活动。网上信息泄漏事件严重损害了社会和个人的利益,也让更多的网民对信息安全有了更直接、更深刻的认识,因此网络信息安全建设与维护日显重要[1]。
二、网上信息泄露现状及原因
我国网民数量急剧增长,网络购物发展迅速,互联网在给人们的生活带来便利的同时也带来了很多安全隐患。近年来,泄露和侵害公民个人信息包括隐私的事件频频发生,个人信息成了随意买卖的“商品”,近年来,兜售房主信息、股民信息、商务人士信息、车主信息、患者信息等似乎已形成了新的产业。
网络信息技术的发展也方便了对个人信息的监控和搜索,大型数据库使得搜集、整理、传输、加工信息等过程变得更加简单,几乎可以永久保存,不断再现。因此,一些商业公司具备了大规模收集个人和企业信息的技术条件,若安全机制不完善,其所收集的用户信息被泄露或滥用,后果不堪设想。随着全社会对信息安全的日益关注,信息安全刻不容缓。
个人安全意识薄弱。目前,我国手机网民用户规模达5亿。与传统通信工具、社交网站相比,以社交为基础的综合服务平台不仅拥有着更强的通信功能,还为用户提供了诸如支付、金融等内容的综合服务,增加了信息分享等社交类应用。同时也增加了个人信息泄露的潜在危险,特别是在问卷调查、就医、求职、买房、买保险、买车、办理各种会员卡或银行卡时缺乏个人信息安全意识[2]。网络填写个人信息的非正常退出,微博、QQ空间等社交网络成为泄露日常信息的主要原因。
个人信息保护机制不健全。对个人信息保护的立法研究从上世纪70年代开始,在上世纪末达到一个研究和立法保护的加速阶段[3]。美国,澳大利亚,加拿大,以色列等国家将个人信息归入本国隐私法“Privacy Act”的保护范围,通过《隐私权法》来保护个人信息[4]。我国的个人信息保护法自2003年起已部署起草,但一直未能进入正式的立法程序。据统计,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,然而法律界人士认为,这些针对个人信息的法律法规内容较为分散、法律法规层级偏低,约束力明显不足。单从网站用户个人信息保护安全而言,刑法修正案、侵权责任法乃至居民身份证法等相关内容均有涉及,但相关规定条款过于分散,可操作性差,时效性低。对于“个人信息”、“违反规定”等关键概念的界定尚不清楚,故执法过程易形成执法困境。尤其是对信息泄露案件,在追究责任的时也存在举证难等问题,诉讼成本高、收益低,受害人依法维权。
网络实名制从某种程度而言,也加大了个人信息泄漏的风险。例如不法分子收集实名制火车票或手机办理的登记信息,可从中获取当事人的身份信息制作假身份证,或者办理信用卡、设计欺诈活动等。
监管存在漏洞。 在信息高度发达的现代社会,某些个人信息时刻处于被泄露的状态。由于个人网上信息安全保护机制的不完善,导致执法过程没有坚实的盾牌。某些网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中泄露了个人隐私。机动车销售、房产中介、医院、通信等行业及其从业人员往往有机会接触、掌握大量公民个人信息,这些行业虽均有系统内部出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见,但由于部分从业人员法律意识不强,且内部管理执行不到位,利用公民个人信息管理上存在的漏洞,因此这些行业成为个人信息泄露的“重灾区”。
三、建立个人信息安全机制的对策
堵住个人信息泄露的缺口,完善相关法律法规。我国首个关于个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》于2013年2月1日起正式实施,个人信息保护工作正式进入“有标可依”阶段,指导和规范利用信息系统处理个人信息的活动。但国家标准、行业标准的法律效力远远不能保护群众个人信息安全,而针对信息安全保护的相关规定已难以满足信息安全的需求,同时维权过程法律依据较少[5]。
因此,我国应尽快完善在个人信息安全方面的相关法律法规,加强行业监管力度,严厉打击不法行为,建立以民法保护为重心,其他法律为辅助的完善的法律体系,具体来说:应在民法典中确立隐私权独立人格权的法律地位[6]。加快立法,加强执法,依法保护个人信息安全,跟上信息高速发展及安全的潮流。对窃取、多次泄露他人信息的个人和单位,要制订严厉的追责和处罚措施,增大违法成本。
加大网络信息安全监管力度,加强行业自律,从源头预防和遏制对个人信息的侵害。社会舆论的监督作用一向对违法行为具有强大的震慑力,因此要充分发挥社会舆论的监督作用,及时曝光侵害行为,广泛地引起民众的注意,使其迅速提高警觉性,自觉加强对个人网络信息的管理。行政执法部门应加大执法力度,及时监督制止侵权行为。当然,这种行政监管必须以维护网络的健康发展为前提、以保护公民个人隐私权等人身权利为目的。这种社会舆论与行政监管共同作用的方式,也能在一定程度上保护公民的网络隐私权,促进网络健康发展。
企业行业应加强自律,完善对企业、行业的管理,设立相应的企业安全制度,采取相应的监管措施,加大违规处罚的力度,保障客户信息的安全性。通过岗位、行业培训,提升员工的职业操守,自觉保护客户个人资料。
(3)不断加强公民对网络隐私的自我保护意识
网络隐私权与公民的利益息息相关,因此要培养网络用户形成隐私权自我保护的意识,能促其采取积极的防范措施。一旦用户有效利用相关技术加强对网络环境下个人信息的管理,就会在很大程度上降低成本,更有效的保护网络隐私权。
网民个人应主动接受信息安全教育,安装杀毒软件或防火墙,定期进行木马程序的扫描,及时更新安全软件。仔细阅读社交网络运营商的安全隐私协议,熟悉相应的隐私设置方式,主动防护自身的信息安全,定期更改网站密码。使用微博、微信等网络应用时勿上传有关自己及亲友的个人信息,尽量不要使用定位功能,定期删除浏览器上的cookies信息[7]。网络、电视、报纸等媒介应该肩负社会责任,对个人信息安全的重要性和信息泄露的危害性宣教,宣传维护个人信息安全的方法,使广大民众得到个人信息安全保护方面的教育。
中国软件评测中心也将继续以国家信息安全标准体系为基础,建立个人信息保护标准体系。在参考国际相关研究成果的基础上,结合我国实际需求,对信息系统个人信息保护管理办法和技术手段进行专项研究,研究制定体系框架中急需的关键标准,对标准进行验证以支持标准的进一步修订和改进。
我国2013年2月1日起实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》[8],标志着我国将告别针对个人信息处理行为“无标可依”的历史,公民对个人信息保护的诉求将得到有效解决。相关监管部门可以依据国家标准引导企业进行个人信息保护自律,并对企业个人信息处理行为进行监督规范,逐步形成以“企业自律为主导,联盟约束为辅助,政府监督配合”的我国个人信息保护模式。
同时,目前我国个人网络信息安全存在很多安全隐患,尤其是个人数据信息的泄漏造成的影响十分广泛,主要由于个人安全意识薄弱、个人信息保护机制不健全、监管存在漏洞等原因造成的。因此,构建安全稳定的网络环境显得日益重要。政府、企业及公民个人应加强网络信息安全意识,在新兴保护技术的广泛应用下,推动安全保护技术的开发与应用,较好的保护个人信息安全。
(作者单位:湖北城市建设职业技术学院)
作者简介:刘志(1981-),男,硕士,湖北城市建设职业技术学院讲师,主要从事计算机及相关专业教学
作者联系方式:
地址:武汉市东湖新技术开发区藏龙岛科技园区藏龙大道28号
湖北城市建设职业技术学院
随着物联网、云计算、移动互联网等新技术发展以及智能终端、数字城市等信息体的普及,全球数据呈现出爆炸式增长,我们已经迈进了大数据时代。社交网络在大数据的推动下,孕育出新的发展商机和新的发展模式。据中国互联网络信息中心的第36次《中国互联网络发展状况统计报告》显示,截止2015年6月,网民中即时通讯用户规模达6.06亿,较去年底增长了1850万人,占网民总体的90.8%;微博客用户规模为2.04亿,占网民总体的30.6%,社交网络已成为大数据解决和应用的引领者。同时,社交网络中个人信息也成为大数据时代商家博弈的焦点。在大数据环境下,信息安全事件频发,社交网络个人信息安全已成为我们亟待关注与解决的问题。
一、基本概念界定
(一)社交网络。社交网络即社交网络服务(Social Net
working Service,SNS),是以一定社会关系或共同兴趣为纽带,通过各种形式,为在线聚合用户提供沟通、交互服务的互联网应用,这些互联网应用包括狭义的社交网站(如Facebook、QQ空间、人人网、豆瓣网)、微博、博客、即时通讯工具(如微信、易信、QQ)、论坛等。
(二)个人信息。人作为社会活动的主体,在其生产、生活过程中会产生各种信息,其中关于其自身的记录就是个人信息。马克思在《关于费尔巴哈的提纲》中曾指出“人是一切社会关系的总和”,即每个个体都与其他个体或事物有着这样或那样的联系。因此,作为反映个体情况的个人信息不仅包括可以识别特定个体的基本信息,也包括个人与其他事物相联系的社会的、经济的、文化的、家庭的等方面的信息。齐爱民在《拯救信息社会中的人格:个人信息保护法总论》中将个人信息定义为:“与个人有关的,可以直接或间接识别本人的信息”。个人的姓名、性别、出身日期、身份证号、手机号、指纹、特征、婚姻、家庭、教育、职业、爱好、健康、病历、财务情况、社会活动等都属于个人信息。
社交网络环境下,个人信息即反映在互联网上的上述所有信息。此外,还包括个人的电子邮件地址、账号及其对应密码、IP地址、域名、统一资源定位器、cookies等互联网特有信息。因此,社交网络中个人注册信息、个人分享信息、人际关系信息1、数据挖掘信息2都属于个人信息范畴。
(三)社交网络个人信息安全。社交网络个人信息安全,即社交网络中个人信息的认证性(或可靠性)、保密性、完整性、可用性、可控性。认证性(Authenticity),是指用户的个人信息是真实可靠的,信息是由可确认的主体的。认证性一定程度上是为了保障其他信息主体的权益,防止恶意用户盗取、假冒他人名义进行欺诈等;保密性(Confidentiality),即确保特定个人信息只能被特定的授权者看到或使用,未经本人同意,不得随意公开或泄露他人信息;完整性(Integrity),即保证个人信息及其处理方法的正确性和一致性,保护用户个人信息不被非法删除、修改、伪造等;可用性(Availability),即用户本人及授权者可以按需获取、使用特定个人信息;可控性(Controllability),是指用户个人信息处于安全监控状态,未经用户本人同意不得随意使用其个人信息。
二、社交网络中个人信息安全性分析
(一)信息产生阶段。个人信息的产生是一个持续、长久的过程,伴随用户网络行为的始终。信息产生阶段的安全性主要是指信息的认证性和保密性。
(1)认证性分析。社交网络中个人信息的认证性,是指要保证个人信息内容的真实可靠和信息主体的可认证、可信任。内容的真实可靠和主体的可认证、可信任是防止网络假冒、网络欺骗的第一步。主体认证是保证个人信息真实性的关键,是社交网络环境下保护个人信息安全的首要环节。目前,国内大多数社交网络注册时都要求实名认证,即用户要提交姓名、身份证号、手机号等信息才能完成注册。但是,用户出于隐私安全的考虑,会伪造自己的注册信息,网站对此并不能进行真实准确性的认证。据美国《消费者报告》调查显示,1/4的
Facebook用户在注册时会说谎,包括填写不真实个人资料,如伪造生日、所在地、身份等。2011年11月,新浪也被爆出“认证信息造假门事件”,相关人士称新浪微博“有漏洞”,只要有名片、邮件,就可以托熟人认证(微博加V)。这些都说明社交网络中个人信息的安全认证仍存在问题,并亟待解决。
(2) 保密性分析。保密性即个人信息的私密、非公开性。信息产生阶段,个人信息的保密性主要受用户个人和社交网络的功能影响,用户在注册、信息时产生的信息种类越多、开放性越高,其信息保密性就相对越小。
根据中国互联网络信息中心的第36次《中国互联网络发展状况统计报告》显示,截止2015年6月,网民中即时通讯用户规模达6.06亿,较去年底增长了1850万人,占网民总体的90.8%;微博客用户规模为2.04亿,占网民总体的30.6%,论坛/BBS用户规模达1.2万人,占网民总体的18%。总之,社交网络用户已成为网络的主要用户。社交网络中用户不仅会填写姓名、性别、年龄、所在地、学校、工作、联系方式、生日等信息,还会上传头像、照片、视频,生成状态、位置、标签等信息。社交网络中用户生成的信息不仅数量巨大而且种类繁多,是大数据时代重要的数据财富。根据2015年7月的《中国网民权益保护调查报告》显示,78.2%的网民个人身份信息被泄露,包括网民的姓名、学历、家庭住址、身份证号、工作单位等;63.4%的网民个人网上活动被泄露,包括通话记录、软件使用痕迹、地理位置等。社交网络中个人信息的保密性问题依然是信息安全的短板。
(二)信息收集阶段。信息收集主要针对非信息生产者的第三方个体或组织对用户个人信息的搜索、收集行为。信息收集阶段的安全性主要是指信息的可控性,其安全性威胁主要是第三方在用户不知情的状况下过度收集其个人信息。
随着移动网络、云计算、云服务等的产生与发展,用户个人信息面临着前所未有的挑战,网络服务商、第三方团体在利益的驱动下,随意搜集用户个人信息已经成为一种司空见惯的事情。以微博、大众点评为代表的移动社交应用开始借助GPS定位技术广泛收集用户的实时位置信息,以米聊、微信、陌陌等为代表的即时通讯软件随时可能将用户的手机通讯录、邮件地址等存入云端,用户完全无法掌控自己信息的去向及使用范围。2012年3月,美国Facebook、Twitter、Yelp、苹果等十三家社交媒体被相继告上法庭,方指控这些公司侵犯了用户隐私。2013年6月,英国《卫报》和美国《华盛顿邮报》披露的美国“棱镜门事件”――美国国家安全局(NSA)和联邦调查局(FBI)通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。这些事件都暴露了社交网络用户个人信息被随意收集和过度使用的问题,但是我国依然没有相应的法律及行业规范来制约网络服务商或其他组织的不道德行为。
(三)信息组织阶段。社交网络个人信息组织就是将个人零散的、片段式的信息以某种特定的方式组织起来,实现分类序化管理的过程。社交网络中个人信息的有序呈现就是信息组织的结果,主要包括用户主页信息的分类呈现和好友分类管理。社交网络中大部分的好友信息是公开的。信息组织阶段,个人信息安全性主要是指好友列表和关注/粉丝列表对用户人际关系信息的泄露,以及由此导致的数据挖掘、网络欺骗等行为。
社会化推荐系统、好友推荐算法库、好友亲密度模型、好友智能分组算法等都是基于用户生成的信息和好友关系信息产生的。大量研究已经证明利用用户好友关系以及群关系不仅可以推测出用户的其他基本信息还可以推测用户的隐私信息。因此,信息组织阶段增加对好友列表、关注/粉丝列表等用户关系信息的隐私保护及隐私设置是十分必要的事情。
(四)信息利用阶段。社交网络个人信息利用是指用户信息被他人查看、获取并使用的过程,信息利用包含信息获取、信息提供、信息二次开发和交易等。利用阶段,个人信息安全主要是指个人信息的泄露与滥用问题,涉及个人信息的保密性、完整性、可用性、可控性。信息利用阶段,影响个人信息安全的因素主要有:网站的隐私功能,用户隐私保护意识,个人信息的可检索性。
(1)网站隐私功能。社交网络的隐私设置是控制用户信息传播范围、保证个人隐私的重要手段。网站有无隐私设置、隐私设置完备与否,都是判断社交网络个人信息安全性的重要指标。笔者通过对国内社交网络的调查统计,发现大部分社交网络都设有访问限制、信息可见度设置等功能,但有些社交网络依然存在不完善的地方,如新浪微博没有主页访问权限设置;微博的@功能、关注/粉丝列表公开对所有人可见;微信默认可以让陌生人查看用户的十张照片等等。这些隐私功能的缺陷一定程度上都是导致个人信息安全事件发生的原因。
(2 )用户隐私保护意识。用户个人的隐私保护意识和隐私保护行为是影响用户个人信息安全的另一重要因素。根据《洛杉矶时报》刊登的一份调查显示,超52%的人承认自己从未在下载软件之前读过隐私政策,35%的人则会从不受信任的来源下载软件。国外对Facebook的相关调查显示,大约有1300万用户表示从不设置、或者根本就不知道Facebook有隐私工具。用户对社交网络应用隐私设置的漠视是导致个人信息安全的重要原因。
(3)个人信息可检索性。目前,国外的OneRiot、Google、
Collecta和Scoopler等搜索引擎可以实现对Twitter、Facebook、
Digg等社交网络的实时检索,国内的有道可以实现对网易微博和新浪微博的实时搜索。社交网络和搜索引擎的融合,允许搜索引擎对社交网络信息的检索,实际上是将用户的个人信息推向了公共领域,一定程度上对用户个人信息的保密性、可控性产生了威胁。
(五)信息清理阶段。个人信息清理就是暂时或者永久地移除社交网络中保存的个人信息。有时用户并不希望网站保存他们的特定数据,希望退出登录后,网站将这部分数据删除(部分删除);或者是用户不想再继续使用网站,想删除所有数据(账户删除)。个人信息清理或销毁是个人信息安全保护的内在要求,是社交网络应该提供的功能。
笔者通过对国内几家社交网络的调查,发现社交网络基本上都提供了如“停用账号”、“账号锁定”、“关闭微信”等功能。如人人网的“账号停用”,停用期间用户的个人信息不会被删除,账号激活后其信息依然显示在主页上,但是人人网并没有明确用户个人信息的永久删除问题。新浪微博的“账号锁定”功能可以防止账号被盗后的恶意登录和恶意操作等,锁定期限为15天,到期自动解锁,但是新浪微博没有提供任何账号注销功能,也没有明确个人信息的删除问题。因此,个人信息的清理依然是一个尚待解决的问题,对个人信息安全性会产生一定威胁。
三、结论
通过对社交网络中个人信息生命周期各阶段的安全性分析,可以看出,个人信息安全面临的威胁主要有:①信息产生阶段,个人信息安全面临的主要威胁是信息认证和信息保密问题,影响个人信息安全的因素主要是网站的信息认证能力和认证水平以及网络用户个人的信息纰漏状况;②信息收集阶段,个人信息安全面临的威胁主要是网络服务商及第三方组织对个人信息的过度、不合理收集问题,影响个人信息安全的因素主要是相关法律政策及行业规范的缺失;③信息组织阶段,个人信息安全面临的威胁主要是恶意用户对好友信息的恶意挖掘行为,影响个人信息安全的因素主要是网络服务商的隐私设置及相关法律规范的缺失;④信息利用阶段,个人信息安全面临的威胁主要是信息泄露与信息滥用问题,影响个人信息安全的因素包括网站隐私设置、用户隐私保护意识以及个人信息的可检索性等;⑤信息清理阶段,个人信息安全面临的主要问题是个人信息永久删除问题,影响其个人信息安全的因素主要是社交网络的功能设置。通过对上述各阶段信息安全问题的剖析,分析问题产生的原因,以期针对原因提出具有针对性的措施。
参考文献:
[1] 张艳欣,康旭冉.大数据时代社交网络个人信息安全问题研究[J].兰台世界,2014(5):24-25.
[2] 孙毅,郎庆斌,杨莉.个人信息安全[M].大连:东北财经大学出版社,2010.
数字经济时代,公民个人信息的保护显得尤为重要,不仅关系到公民人身安全,也关系到整个国家社会经济的发展。2021年11月1日《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的施行为我们提供了新的观察点和制度基础,在这部法律的指导下,我们对个人信息有了新的更深刻的认识。本文立足当前大数据时代下的信息传递与发展状况,从公共管理层面研究政府对个人信息保护过程中出现的问题,针对公民切实关注的个人信息保护问题提出建议措施。
一、问题的提出
近年来,随着网络信息传播的速度日益加快以及数字经济整体规模的扩大,社会的资源配置效率得到显著提高,一定程度上拉动了区域协调发展,逐渐形成高质量发展的新格局。但从微观层面看,公民个人信息安全存在着巨大的隐患,容易被不法分子的利用。面对这种社会现象,国家立法和政府在个人信息监督管理中存在哪些问题?立法和行政机关对个人信息应给予哪些保护措施?笔者将从“数字经济”和“个人信息”的阐释出发,对这些问题加以思考。
二、数字经济和个人信息的相关阐释
(一)关于数字经济的阐释
数字经济,从广义上看是一种经济现象,也是市场信息在新时代所呈现的新的运作方式;从狭义上看,是由大数据发展而来,具有大数据信息传递的特征,即快捷性、高渗透性和自我膨胀性。笔者认为,数字经济是指人们通过对数字化的知识和信息的使用,推动社会经济的持续发展,具有优化市场配置资源的功能。所谓快捷性,指数据一旦被网络获取,数据本身就会很快被传递,从而突破时间和地域的限制;高渗透性指随着社会生产力水平的日渐提高以及市场经济的不断完善,加之网络技术的迅猛发展,数字经济很容易从第一产业渗透到第二、三产业,从对物的管理渗透到对人的管理;自我膨胀性指伴随信息的多样化和普遍化,网络带来的效益会随着用户的增加而呈现更大的优势。
(二)关于个人信息的阐释
结合《民法典》①和《个人信息保护法》②中关于个人信息的解释,个人信息实质上是指以电子产品为主要媒介,结合其他方式手段(比如线下的个人信息调查收集等)识别自然人的近乎全面的、系统性信息。客户上网浏览商品、购买商品时,经常出现一些“是否允许访问位置信息”“是否允许访问手机通讯录”等请求,客户会习惯性地点击“允许”,减少不必要的麻烦;如果客户选择“不允许”,有时就会被限制某些权限。归根结底,这些权限访问大部分都在要求客户必须“允许访问”。当客户越来越多地浏览相同类型的物品时,这类型物品本身出现的频率会相应地增加,也就是说应用软件可以“习得”客户的兴趣和习惯,它会自动地推出客户倾向的那类物品。这是网购中极常出现的现象,也是个人信息被侵犯的典型的事例。
三、数字经济时代政府在个人信息管理中存在的问题
(一)国家立法的历史和现状分析
《宪法》①虽有个人信息的相关定义,但法律层面缺乏对个人信息保护的专门立法。2021年11月1日起施行的《个人信息保护法》针对数字经济时代个人信息受侵的现象,做出了法律性保护,该法明确了个人信息的概念和处理规则,对敏感性的个人信息做出了规定。与以往关于个人信息的立法相比,《个人信息保护法》具有一定的进步意义,此法的成效需要实践加以检验。但就法律内容而言,笔者认为立法仍然存在某些方面的缺陷,具体解释如下:第一,法律没有针对公民个人信息受侵犯后提出专门性的应对条例,法律仍然存在第三方不法侵犯的漏洞;第二,法律对个人信息跨境流动应该添加细化的规定,仍需出台相应的配套措施;第三,法律中有关履行个人信息保护职责的部门,应出台各自具体的行为规范;第四,缺乏统一的权利救济体系[1],公民个人信息受到侵害后,通常找不到相应的法律法规,无法诉之相应的法律部门,容易出现个人信息保护的需求“旺盛”、法律保护的供给“缺乏”的现象。因此,《个人信息保护法》尚需完善,以形成全方位的、多方面的法律救济体系。
(二)行政机关需增强保护公民个人信息安全的意识和责任
1.行政机关对公民个人信息的保护缺乏责任意识政府在政务公开的情况下,容易涉及个人信息的公开,危及到个人信息的安全。2020年7月14日针对“某省文理学院学生身份信息被冒用”的事件,公安部门对该事件进行初步核实调查并进行通报,证实了某省文理学院部分学生身份信息在政府行政审批服务局系统数据批量上传过程中发生冒用的情况。在政务信息公开的今天,政府的每一项活动都受到公民的监督,并接受着人民的反馈,因此,政府工作人员应该加强责任意识,立足政府工作的政治方面,给予公民充足的安全感[2]。2.监督管理主体单一《个人信息保护法》②具体规定了各部门履行的个人信息保护职责和采取的措施,并指出了相关的法律责任,是适应信息化和经济社会持续深度融合的重要举措,有利于实现好、维护好、发展好广大人民群众的个人信息权益,促进社会和谐与稳定,同时更好地保障网络信息安全。但是,该法对于对侵害公民个人信息的行政监督管理方面存在欠缺,对个人信息保护的监督管理机构仍有待加强,落实各个部门的具体职责,构建多元化、全方位的行政监督管理主体。3.缺乏对个人信息保护的惩治措施《个人信息保护法》中关于个人信息保护的职责,对履行个人信息保护职责的部门提出了相关措施,侧重的是取证和调查方面,而不是惩治。例如,该法③中履职部门对个人信息保护职责的部分措施体现出政府的行政处罚措施不够有力。
(三)公民缺乏保护个人信息和他人信息的意识
在我国,公民是国家的主人,因此,公民既是个人信息的所有者、传播者,也可能是他人隐私信息的泄露者[3]。面对数字经济时代良莠不齐的信息,公民难以做出正确的判断,没有较强的维护个人信息和他人信息的意识。《个人信息保护法》对敏感个人信息做出了相关解释和处理规则,指出了个人在信息处理活动中的权利和义务,有助于公民形成保护个人信息的意识,进一步落实防范措施。但政府和社会团体还需要在群众中加强宣传,促进公民知法、懂法、守法。
四、数字经济时代保护个人信息的措施建议
(一)从立法层面,加强第三方权利救济
对比欧盟颁布的《个人数据保护指令》与英国的《数据保护法》,这些国家对于个人信息被侵犯时拥有救济权。就欧盟的《数据留存指令》而言,增加了数据保护主体的通知义务,确立了个人数据的传播规则等;在英国的公司企业中均设有专门的个人信息保护职位,负责对数据的监控,能够更好地使员工的合法权利得到救济。目前我国施行了《个人信息保护法》,因此笔者不做过多阐释,但我们也应该完善相关救济措施[4],在政府信息公开的过程中加强对第三方的权利救济,保护个人信息安全。
(二)从政府层面,规范行政行为
政府作为行政执法的一个重要主体,对体系内部人员的行政措施应该加以规范,顺应廉政建设的时代潮流,促进政府科学执法、廉洁高效,提高行政执法的运行效率。1.强化政府对个人信息的责任意识合理的政府行政人员的责任设置,有利于提高行政执法的效率,因此有必要明晰政府数据开放的法律责任[5]。在当前社会,我们强调廉政建设的同时,也强调转变政府职能,但这并不意味着减少政府的职责,而是指国家行政机关在一定时期内,根据国家和社会发展的需要,对其应担负的职责和所发挥的功能、作用的范围、内容、方式的转移和变化。政府对哪些事务负有管理权责,管什么、管多少、管到什么程度,这都是政府需要转变和思考的问题。因此,在个人信息保护方面,政府行政人员更应该增强责任意识,完善内部责任分配体系,对公民个人信息的监管进行科学管理。2.形成多元监督主体,建立完善的公民个人信息行政监管机制笔者根据完善对监管的监督机制[6],结合行政机关对信息的监管责任,得出应该建立完善的公民个人信息行政监管机制。首先,建立全面的监管体制和专门性的监管机构,在政府内部和政府外部统筹规划,通过法律指导规范,辅之必要的监督管理措施,加强政府对法律的执行和实施效果;其次,加强评估治理机制,发挥政府各部门的评估作用,通过监督运营商和第三方APP平台关于个人信息的收集问题,分析其中对个人信息的处理程序是否得当,从而针对第三方机构和平台提出指导性建议,倡导个人信息保护合作治理模式[7];最后,政府尤其应该发挥公安机关的作用,帮助个人信息受侵害的被害者调查取证,协助被害者维护其个人利益。政府在这些活动中,应该将责任落实到底,切实保障公民信息安全。3.加大对侵犯个人信息的不法行为的惩治力度这里所说的惩治力度不在于惩治的严酷性,而在于它的不可避免性[8]。2019年江苏淮安出现7家涉嫌侵犯公民个人信息的公司,网民对此深感不满,警方深入调查此案,最终将20余名涉案人员抓获。2021年11月1日起施行的《个人信息保护法》第七章提出有关法律责任,对违法处理个人信息的应用程序责令停止服务,且对情节严重的处以罚款。在此法的基础上,政府等行政机关应当加大惩治力度,规范执法措施,让每一个违法者和不法分子无处可逃。
(三)公民增强维护个人信息安全的意识
1.增强公民法律意识,维护个人信息安全法律对于公民个人信息保护提出的权利和义务规范是必要的,此外,公民个人也要自觉意识到保护个人信息安全的重要性。社会各界应该积极向公民宣传个人信息保护的措施,帮助公民学习法律,自觉提高防范风险的意识;社区团体、学校也应该开展法律进社区、法律进学校的活动,宣传法律知识。同时,借助新闻媒体、舆论力量,增强公民的法律意识,促进公民学法、知法、守法。2.提高公民自律意识,保护他人合法信息任何个人不可能脱离社会而存在,是在社会环境、政治、经济、文化等各种因素相互作用下生存发展的,因此,公民不仅对自身信息负有责任,而且承担着维护他人信息安全的义务。良好的网络安全秩序有赖于公民的共创共建,公民需要自觉融入社会生产生活中,顺应时展潮流,助力数字经济时代的个人信息安全保护。
五、结语
随着我国社会主义法治的健全和数字经济的迅猛发展,《个人信息保护法》的施行为我国的个人信息保护拓宽了新视野。行政机关的行政行为逐渐有法可依,公民对个人信息安全的保护意识也逐渐增强,但具体成效还有待检验。随着我国法律体系的日渐健全,公民的个人信息会得到更有效、更切实的保障,我国社会主义现代化建设的新征程也能得到更好地推进。
参考文献
[1]邓明理.大数据背景下个人数据的监管保护[J].北京邮电大学学报(社会科学报),2019(1):19-25.
[2]李余丹.我国公民个人信息保护与网络法治保障研究[J].电脑采购,2021(3):118-119.
[3]李超凡.新时期背景下我国个人信息行政法保护问题的思考[J].百家论坛,2021(11):206.
[4]刘利红.政府信息公开中个人隐私保护研究[J].知识窗,2020(2):113.
[5]刘权.政府数据开放的立法路径[J].暨南学报(哲学社会科学版),2021(1):92-102.
[6]赵丹宁.个人信息的行政法保护研究[J].法制与社会,2020(11):113-114.
1引言
据相关数据显示,智能手机已经占据了移动互联网市场的大半壁江山,而且这一趋势一定时期内还会继续和强化。智能手机综合集成了移动通信技术、计算机技术和多媒体技术的最新成果,给人们带来了丰富多彩的客户体验[1]。伴随着智能化及网络高速化的趋势,智能手机执行了大量的数据处理、传输和存储,其中既包括在使用过程中生成的个人隐私数据,也包括主动存储的用户个人信息。这些存储在智能手机中的敏感信息,面临着严峻的安全挑战[2]。可以说,智能手机为我们生活带来便利和效率的同时,其信息安全更值得注意。
2移动智能手机信息安全技术现状
智能手机安全威胁主要来自通信网络和网络智能终端两个方面。一方面来自通信网络方面,包括病毒、黑客、漏洞等等给人们的生活增添了很多隐患。黑客利用高速智能网络的资源共享功能,植入病毒于手机系统进行隐私恶意窃取,往往给用户造成财产和精神的双重损失。另一方面,来自于网络智能终端。主要是开放的安卓系统自身存在的一些安全隐患。还有,就是制造商将恶意程序写入系统。在调查时发现,有很多恶意应用程序是在用户不知情的情况下进行了安装,同时该程序也将用户的敏感信息暴露于网络。鉴于智能手机信息安全面临的新形势,工信部2013年颁布了《关于加强移动智能终端管理的通知》,此通知从根本上约束了终端生产商对于内置软件的安装,一定程度上保障了用户的信息安全。此后又了《联网软件安全行为规范》,进一步规范网络运营企业对于网上的软件运行机制、安全检测、行为方式的监管。但是,目前仍有相当一部分用户的安全风险意识不强、专业知识水平不足,使得这些智能手机用户的个人私密信息处于容易暴露的危险状态。
3个人信息安全的关键技术分析
随着通讯技术的快速发展,智能手机承担了越来越多的新功能,其中部分新功能涉及到信息安全,这也就给用户带来新的安全技术隐患。如集成定位功能的智能手机可随时获得自身的地理位置信息;又如集成生物识别技术的智能手机的缓存上也会存储着用户的生物识别信息,因此智能手机对信息安全性往往有着特殊的技术要求。笔者认为可从以下几个方面来提升智能手机的个人信息安全性:(1)控制应用程序权限。在应用程序安装阶段,确认该应用程序仅使用必需的最小权限,则受到恶意软件攻击的可能性必将大大降低。但基于普通用户的相关认知水平,需要应用程序开发者在设定权限时,严格遵循最小权限原则。(2)强化权威机构认证。权威机构认证,即对应用程序的测试以及相关代码的审查在一定程度上可防范恶意程序,也是目前较为有效的手段之一。(3)加强数据保护力度。数据加密是保护隐私数据的最佳手段[3],即使隐私数据失窃,个人信息的安全仍然得到一定程度的保障。同时在调用私有数据时,应增加某些特定防范程序,保障用户私有数据的安全。
4建议
面对严峻的信息安全形势,建议在以下三个方面开展工作,保障智能手机的个人信息安全。(1)提高智能手机操作系统的安全能力。提升个人信息安全技术相关标准,明确和细化智能手机个人信息安全能力的监管技术要求,支持和促进制造商在智能手机操作系统层面对个人信息安全增强技术的研发和应用,确保个人信息安全。(2)加强智能手机入网安全评估机制。严格执行智能手机终端入网监测和评估流程,对应用程序信息内容、代码和开发者资质等进行严格的评估,特别是对应用程序的权限设置和API调用等提出安全标准,确保智能手机达到入网的“安全门槛”。(3)提高用户的自我安全防范意识和能力。加强用户信息安全意识的宣传,普及信息安全常识,不连接不明的网络和终端设备、安装防病毒软件等,从而实现智能手机的个人信息安全。
参考文献
[1]李钢,王栋,李鲁湘,等.移动智能终端的安全问题研究[J].信息通信技术,2014(02):26-32.
伴随网上金融交易和网上购物等互联网应用的兴起,个人的重要信息变成了网络中流动的数据,非法收集、利用、公开个人信息的机会之门也由此大开。近年来,信息和网络的迅速发展,使个人信息保护越来越受到网民的关注与重视。随着信息泄露案件的频繁出现,个人信息的保护已成为各国关注的重要问题。然而,作为一个网民人口大国,中国网民个人信息保护现状却令人忧虑。
2011年12月21日,开发者社区CSDN遭黑客攻击,600万用户账号及明文密码泄露,用户资料被大量传播。几天之后,乌云漏洞平台又爆出天涯社区遭黑客攻击,导致4000万用户资料被泄露的消息。此后,京东商城、当当网、支付宝等多家网站纷纷陷入“漏洞门”, 被指因网站安全漏洞而存在数据泄露的风险……2011年底,中国互联网遭遇的史上最大规模的用户信息泄露事件,直接导致了网民对主流网站的信任危机。由此可见,中国互联网产业的发展已经走到了不得不关注、重视个人信息保护的时代。
个人信息安全保护的中国进程
有关个人信息保护的原则,最重要的是国际经合组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家都以此为据制定了本国的个人信息保护法。这些原则包括:收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。个人信息的保护原则,体现了对人的尊重和对个人信息的规范管理。它的目的实际是在保护个人信息的同时,让个人信息能真正实现自身价值,更好地为公众服务。
互联网行业是一个时刻需要创新和变化的行业。曾有部分企业认为:强调对个人信息的保护,会制约互联网行业的创新精神,阻碍行业的发展。这说明,一些互联网企业对个人信息安全保护的理解,还存在误区。专家指出,对个人信息的保护并不是为了限制个人信息的流动,而是对个人信息的流动进行正规的管理和规范,以保证符合让信息主体同意的目的,保持信息的正确、有效和安全,最终确保个人信息能够在合理、合法的状态下流动。
到目前为止,国际上已经有50多个国家和组织建立了个人信息保护的相关法规和标准,如欧盟理事会《有关个人数据自动化处理的个人保护协定》、国际经合组织《关于保护隐私和个人数据跨国流通指导原则》、欧盟《1995年个人数据保护指南》、《瑞典个人数据法》、欧盟《2002年隐私和电子通信指令》、《美国隐私权法》、《加拿大个人数据保护法》、英国《数据保护法》、美国《电子通信隐私法》、美国《互联网保护个人隐私的政策》、日本《个人信息保护法》等。
与一些发达国家相比,我国在信息安全保护意识与规范制定方面存在一些弱项。特别是个人信息保护意识不足的问题,还曾经直接导致国际市场在选择外包企业时对中国企业的不信任,严重影响了我国软件及信息服务外包业务的发展。
2008年,个人信息保护被纳入工业和信息化部重点工作范畴。2009年,为了消除国际影响,提升国内企业在国际软件与信息服务外包业务中的竞争力,我国成立了首个个人信息保护管理委员会并建立了个人信息保护的评价制度。工业和信息化部信息安全协调司副司长欧阳武告诉记者,这套评价制度启用效果非常明显,它不仅得到了境外相关机构的认可,也为国内企业承接境外业务提供了基本保障。此后,这套评价体系的建立,也确实为个人信息安全保护工作的开展起到了旗帜性的作用。
2011年初,为了全面推动我国信息服务产业个人信息保护体系的建立,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、全国信息安全标准化技术委员会2011年国家标准编制计划(编号:TC260-BZZXD-WG7-2011018)。在“指南”的基础上,信息系统个人信息保护标准体系中其他技术、管理和行业标准也已进入计划制定阶段。
《指南》制定完成后,伴随一些第三方评测平台的努力,如今标准落实工作已出现实质性进展。2011年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心力邀个人信息保护相关专家,组成评测专家组,并根据《指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标。历经六个月,专家组对电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,正式将《指南》通过科学的个人信息安全相关评级机制落实。同时,针对移动互联网带来的个人信息泄露问题,中国软件评测中心还与北京大学互联网安全技术实验室合作,选取了安卓手机各类热门软件对其个人信息安全状况进行了测试评估。
而相关评测报告显示,个人信息安全防护的主战场,正在伴随移动设备和Wi-Fi网络的普及不断蔓延扩大,个人信息安全防护各项工作的开展已刻不容缓。
个人信息保卫战出现第二战场
十年前,地铁里最常见的人群是手拿报纸的上班族。但是今天,手握手机的上网族成了主流。搜索、游戏、阅读、音乐、互动社区,手机支付、手机电视……层出不穷的移动互联网应用在吸引大量用户的同时,也把个人信息安全保卫战推向了更广阔的战场。
2012年1月,中国互联网信息中心(CNNIC)了《第29次中国互联网络发展情况统计报告》。该报告显示,截至2011年12月底,手机网民数量超过3.5亿。艾瑞咨询预计,中国手机应用商店2012年和2013年的用户规模将有望分别达1.82亿、2.75亿。手机应用软件商店正在成为各大IT巨头发力的焦点。
但是,在移动互联网应用发展势头一片大好的背后,却暗藏着个人信息泄露的巨大风险。美国标枪战略研究公司(Javelin Strategy & Research)近期公布的的一份报告显示,2011年美国有近1200万人沦为身份盗窃的牺牲品,较2010年增长了13%。主要原因正是智能手机和社交媒体使用的增加。日本的KDDI研究所在调查了400种智能手机热门免费应用软件后发现,约6%的软件会将电话号码、终端ID、位置信息及使用软件一览表在用户不知情的情况下向外部发送。据国外媒体报道,安全厂商Dasient对1万款安卓应用进行了研究,发现逾8%的应用会向没有获得授权的计算机传输用户的个人资料。
360安全中心日前的《2011年中国手机安全状况报告》指出,2011年全年新增手机恶意软件及木马8714个,被感染智能手机用户数超过2753万人次。其中,安卓手机操作系统成为安全问题最为严重的平台。根据360手机云安全中心统计,2011年是Android平台恶意软件及木马的“井喷年”,相较2010年全年共发现12个木马样本相比,今年捕获新增安卓木马样本4722个,被感染手机用户数超过498万人次。从2011年8月起,安卓平台每月新增木马数量开始连续4个月超过塞班平台,在新增安全威胁的增速与增量上全面居首。
2011年10月到2012年3月,中国软件评测中心与北京大学互联网安全技术实验室针对Android手机软件的个人信息安全评测结果显示,基于安卓平台的应用存在严重的信息泄露风险。这次评测在中国移动应用商城、中国联通沃商店、中国电信天翼空间、机锋网等应用商店中随机选择了几百个测试样本,测试指标选取的原则为信息泄露造成危害程度、用户对信息的敏感性、利益相关方对个人信息的关注点。结果显示:IMEI号码泄露问题最为严重,其次为手机号码泄露,再次为地理位置和SIM卡序列号泄露。而在优亿市场、宝软网、安卓在线、数熊游戏软件等手机软件电子市场采样测试的结果则显示“数熊游戏软件”泄露手机号码情况较为严重。
这些数据显示,移动互联网已经变成了安全攻防的第二个主战场。面对移动互联网的发展和Wi-Fi普及带来的个人信息泄露风险,360总裁齐向东认为只有通过在移动终端上安装安全软件,才能实现有效的防御。在他看来,互联网应用的高速发展正在显示一种趋势――未来人们势必会将更多的个人信息、隐私信息放在互联网中,保护个人信息安全会变成互联网的头等大事。但当前人们对移动设备安全防护的认识还远远不足,比如安卓这类开源操作系统平台在安全性方面要远比Windows系统薄弱,基于这类平台开发的应用在安全机制方面的考虑也远远不够,这些问题会造成安全风险,很多用户对此还没有清醒的认识。和传统的终端相比,移动终端安全防护产品在个人信息安全防护的战场上所起到的作用将更为突出。如何构建多维防线
中图分类号:D92 文献标志码:A 文章编号:1673-291X(2012)12-0232-03
一、个人信息安全面临的风险
一般认为,个人信息是指包括姓名、性别、年龄、血型、健康状况、人种等可以直接或间接识别该个人的资料。网络条件下的个人信息同时具有人格权和财产权的双重属性。
随着数字技术的发展,人们收集、处理和利用信息的能力急剧加强;而在网络中,不同电脑的连接可以实现信息的即时取得。计算机网络技术在处理与传递信息方面所表现出来的巨大能力,把个人信息置于危险境地。个人信息在计算机网络条件下主要面临着以下风险:
(一)个人信息的非法收集
1.侵犯通信自由。电子邮件已成为一种重要的通信方式。无论是公务、商务还是私人性质的电子邮件在传输的过程中,都存在被拦截的可能。2006年8月,浙江律师郭力由于所发送邮件地址非正常外泄导致其邮件内容被链接,在百度上搜索可以看到其向某单位电子邮箱发送的私人求职邮件,包括其所带附件的全文[1]。
2.被要求填写过于详细的个人信息。目前各网站或其他服务性行业很普遍的做法,就是消费者在上网浏览或者购物以及办理银行卡等的时候,需要填写含有大量的个人信息的一系列表格,而这些表格中的个人信息过于详尽,而且所收集的个人信息是不是已经超过了需要的范围,对于经营者收集个人信息的目的及对收集到的个人信息采用何种安全保障,都是消费者难以知悉和控制。
3.恶意跟踪、收集个人信息。人们在上网时,网站运营商运用软件,可以轻松地跟踪网络用户,收集并记录其兴趣爱好,用户浏览的网站、消费习惯、阅读习惯、通讯记录甚至信用记录等,再经过整理、信息比对,可以形成详细的个人信息档案。这些个人信息经过收集者的加工,可能被用于信息主体提供个人信息目的之外的用途。
4.侵入计算机系统获取个人信息。网络上存在着通过黑客和病毒等形式进行的非法个人信息收集。这种情况下个人信息面临着更大的风险。虽然各种安全措施大量使用,侵入计算机系统的事件仍然层出不穷。2011年7月19日,中国互联网络信息中心(CNNIC)了《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿人,占24.9%,较2010年增加3.1个百分点。删除、修改、窃取个人数据不但针对网络用户的个人电脑,而且以储存在政府、企业或者私人资料库中的个人数据为主要目标。
(二)个人信息的非法利用
1.不当泄露。经营者在向消费者收集个人信息的时候,往往会保证对个人数据的安全负责。但是,网络环境下存在太多的未知因素,导致消费者的个人信息不当泄露,就可能导致意想不到的后果。
2.恶意传播。计算机网络为恶意传播提供了比传统条件下更加通畅的渠道和更为有效的武器。利用传播个人隐私,吸引人们的关注,提高网站点击率,是一些网站增加经济效益的惯用方式。
3.为商业目的而使用。商家把网上收集到的个人信息经过数据加工、数据挖掘等方法得到有商业价值的信息。经营者希望通过对消费者的个人数据分析,有针对性地为消费者提供服务,进一步开拓市场,是无可指责的。但关键在于消费者这种服务往往既不知情,更无法选择是否接受该服务。
(三)个人信息的非法交易
电子商务中的个人信息不但具有价值,更有成为商品的可能。充斥网络的出售个人信息的广告提醒网民个人信息的非法交易已经形成了一个产业。一旦个人数据的交易完成,消费者的隐私权以及其他相关利益都将受到进一步严重侵犯。2011年曝光了一起北京最大的非法出售、提供、获取个人信息案,揭开个人信息交易这一隐秘市场的冰山一角。电信公司的工作人员利用工作之便,将手机用户的定位信息、电话清单、姓名和家庭地址等个人信息非法出卖给私家侦探,导致手机用户在不知情的情况下被定位跟踪,严重侵害了信息主体的权益[2]。
面对信息技术的广泛应用、面对强大的收集和处理主体,个人权利陷入岌岌可危的境地,个人信息的保护也越发困难。
二、个人信息保护存在的困难
中国目前个人信息安全问题严峻,消费者维权难问题突出,个人信息保护存在以下困难:
1.法律法规的制约缺位。目前,世界上已有许多国际组织、国家和地区进行了个人信息安全立法。各国对个人信息的名称有所不同,主要有“个人隐私”、“个人资料”和“个人信息”等,但都是为了保护个人信息上所承载的人格利益或隐私利益。中国的个人信息安全立法关于个人信息保护条款散见于《刑法修正案(七)》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《侵权责任法》等法律法规中,《个人信息保护法》的立法工作在2003年曾一度启动,此后数次传出该法即将出台的消息,但如今仍处于搁置中。而在目前有关案例中,涉及个人信息侵权问题主要只能依据有关隐私权保护的法律条文寻求法律的救济,但个人信息与传统隐私权存在着较大差异,而在诉讼中个人信息侵权也存在着举证等方面的困难。因此,在司法实践中因个人信息泄漏而导致的损失很难得到相应赔偿。
2.网站存在着大量安全漏洞。建立各种安全机制需要投入大量资金,在缺乏一个有效立法制度的情况下,互联网企业并不愿花大量资金投入到网络安全。很多大网站并没有安全防护措施,因为他们认为网站服务是第一位的,即使丢失个人信息也不是自己的责任。根据国际数据公司(IDC)2010的数据,对12个国家2 850家公司开展的一项调查结果显示,目前国外信息安全投入占整体IT信息投入的比例为14.5%,但在中国这一数字仅为6.5% [3]。
3.个人信息保护的专门机构缺失。在监管机关层面,中国缺乏明确的专门的个人信息保护机构,而以欧盟为例,27个成员国每个国家都有一个专门的信息保护机构。
4.自我个人信息保护意识薄弱。中国在传统上对个人信息保护的重视程度不够,而由于目前人数众多的网民在个人信息安全方面的知识欠缺和意识薄弱,这也加大了个人信息泄露的风险。
5.个人信息泄露的渠道较多。除了在网络交易过程中个人信息泄露外,企事业单位更掌握着其员工和客户的大量个人信息,而有关行政机关在执行其职能过程中也掌握了大量的个人信息。由于法律监管的缺失导致这些企业和单位存在着个人信息泄露的严重风险,而在曝光的案例中,很多大规模的个人信息泄露的源头正是这些企业和单位。
三、中国建立个人信息保护制度的建议
电子商务的发展依赖于商业机构对个人信息资源的开发利用。从事电子商务的商家一般必须要收集个人信息才能进行交易 [4]。但是,个人信息所体现的是公民的人格利益,个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严。同时,信息主体如果对个人信息安全存在疑虑也会对其参与电子商务的带来消极影响。因此只有在个人信息保护和信息自由流动带来的利益之间取得平衡,建立起完善的个人信息利用和保护制度,电子商务才能得到长远发展。
1.加快《个人信息法》立法进程。首先,该法的基本原则是平衡个人信息权与国家利益、行业利益之间的关系。即既要考虑到个人信息安全,又要保障信息的正常流动。其次,要明确个人信息的内容。应纳入保护范围的个人信息主要包括:特定个人信息(姓名、性别、出生日期、身份证号码)、敏感信息(包括、婚姻、家庭、职业、病历、收入、个人经历)、邮件地址、IP 地址、账号与密码、网页浏览习惯、消费记录等等凡是能够直接或间接识别个人的资料均应纳入。第三,必须在立法上明确个人信息的法律地位,并对网络经营者和消费者在保护个人信息安全方面的权利和义务做出详细规定。 一方面,应该根据国际组合和其他国家的立法经验,明确信息主体享有对个人信息的控制权,他人收集、使用其个人信息必须经本人同意,本人有权掌控信息的用途,并可以及时更正及删除信息,当个人利益遭受损失时,能够通过各种正当的途径获得救济。另一方面,要明确网络经营者有在网站表明有关个人信息收集、利用和处理规则的义务,明确告知消费者收集的目的所在,并且保证按照该目的使用个人信息;采取适当的步骤和技术措施保护消费者个人信息的安全;除非法律另有规定,未经信息主体的明确同意,经营者不得向第三方提供个人信息。
2.建立经营者行业自律制度。要建立网站经营者行业自律组织,行业自律组织要制定行业标准加强对行业的监管,完善工作人员的从业规范,制定严格统一的行业保密规定,定期对行业企业的信息保护工作进行检查,形成有力的常态监督机制。这样做的目的也是为了加强个人信息保护,促进个人信息的有序流动,促进电子商务的健康发展。
3.明确个人信息保护的机构职能。国家设立专门的个人信息保护机构负责个人信息的保护工作以及对侵犯个人信息权的违法行为进行监管和及时处理。个人信息保护机构应该通过制定有关个人信息安全政策,加强对信息管理者的监督,以促进个人信息的保护。
4.建立网站信息安全准入、评级和报备制度。非法侵犯消费者个人信息安全的各种技术手段层出不穷,个人信息安全在技术层面面临着巨大的风险,应此鼓励保护个人信息安全的技术发展也是个人信息保护的重要一环。对各类网站应该设立较高的网络信息安全门槛,并实行安全等级的评定公示和定期的报告备案制度,以加强对网站信息安全的监督管理。
5.提高消费者个人信息保护意识。欧盟 ENISA(European Network and Information Security Agency欧洲网络与信息安全局)在一份题为《提高信息安全意识(Awareness Raising)》的文件中指出:“大量的研究报告表明,在所有的信息安全系统框架中,人这个要素往往是其最薄弱的环节。只有革新人们陈旧的安全观念和认知文化,才能真正减少信息安全可能存在的隐患。”“具备高度信息安全意识的个人和有效的安全措施,被视作信息系统和网络安全的第一道防线。因此,信息安全体系的所有参与者,包括信息技术业内人士、与信息安全攸关的利益方以及信息系统的最终用户群乃至用户个体,都应担负起提高安全意识,维护信息安全的责任。”因此,政府有关机构及消费者协会应当通过宣传树立捍卫公民的个人信息安全的观念,使公民认识到自己的权利,懂得保护自己权利的方法。
6.加强对掌握个人信息的企事业单位及有关行政机关的内部管理和外部监督。企业应做好教育培训工作,增强企事业员工特别是有机会接触用户个人信息的关键岗位员工以及企业经营管理人员、有关行政机关工作人员的信息安全意识,完善信息安全保护措施,严格规范信息的查询、修改程序,并对重点岗位的电脑进行严密的安全设置和全程的技术监控,形成预防与打击泄露客户信息行为的有效机制;政府有关部门要加强对重点企事业单位和行政机关的信息安全的监督和监控。
参考文献:
[1] gb.省略/18964/2008/01/14/1545@1911931.htm.