时间:2023-10-11 10:16:08
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇关于个人信息安全范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
论文关键词 个人信息 立法模式 法律保护
伴随着信息技术的不断提高,各种新型利益不断出现,个人信息作为一项无形资产已成为现代信息社会的一种重要资源。然而最近几年我国个人信息泄露情况严重,尚无一部完整的关于个人信息安全保护的法律且目前相关法律不完善,难以对个人信息起到有效的保护作用,因此完善个人信息安全保护的法律制度显得尤为迫切。
一、国外个人信息安全的立法评析
现今国际大约存在以美国、德国、日本为代表的三种立法模式。美国模式大体可以总结为分散立法与行业自律相结合,在公领域制定单行法进行分类保护,如1998年的《儿童网上隐私保护法》;在私领域则采取行业自律模式,在政府主导下制定行业准则,通过自我约束保护公民的个人隐私。德国模式则是在公私领域对个人资料采取统一立法模式进行保护,其于1977年制定《联邦数据保护法》对公私领域进行统一规范,同时又制定了适用于所有洲个人资料保护的法律即《洲数据保护法》,并设立独立的监督机构。日本关于个人信息的法律保护模式是建立在美、德模式之上,兼具统一立法规制与行业自律特点,即采用综合性的保护模式。日本于2005年实施《个人信息安全保护法》并将其作为个人信息安全保护的基本法律对公私领域进行统一保护。除此以外,还分别针对不同部门、特殊行业制定个法,形成以《个人信息安全保护法》为基本法,各部门单行法为补充的法律体系。同时,在行业规范方面,日本吸收美国的行业自律模式,如采用P—MARK认证机制,替代争端解决机制。
以上三种模式侧重点不同,但都有其合理性。美国模式相对来说较为灵活,在保护个人隐私的同时又能够促进信息的流通。分散立法与行业自律均为针对特定行业制定具体规则,因此更具体和可操作。德国模式则将个人信息安全置于国家的统一保护下,具有规范性与强制性,有利于对个人信息安全的全面保护。但是,强调保护的单一性则相应的会引起弊端。美国模式将个人隐私保护的主导权交予企业促进市场发展的同时,企业也可能为追求利益最大化而采取规避政策的手段侵犯个人信息安全且分散立法易造成司法的不统一。而德国的统一立法模式难以避免僵化的问题,在一定程度上导致个人资料无法充分流动从而影响企业和社会的发展。同时由于各国的保护原则不同,个人资料进行跨国转移时易引起国与国之间的分歧。日本的综合保护模式同时兼具美、德特色,但又与之有所区别。没有一味迎合德国的对个人信息的全面保护又注意到行业自律的不足,客观的说是两者的折中,具有宽泛性和适用性特点。但是,日本对于个人信息的保护也有一定局限性,《个人信息保护法》对于保护对象和规制对象定义不够严谨使很大一部分日本民众对于个人信息的保护问题过于敏感,反而影响了正常的信息交流活动。如在这部基础性法律中对个人信息的处理者的定义规定不够充分,其规制对象为5000件以上的个人信息的持有者,即对数量做出限制而不是规定对个人信息的持有必须合法,以数量为规定易将个人信息的保护范围扩大化使得有益的个人信息采集变得困难。
二、我国个人信息安全法律保护的现状
由于历史等诸多原因,我国目前没有出台一部专门的关于个人信息安全保护的法律,直接保护个人信息安全的法律数量很少,现有法律对其的保护主要为间接方式,即在个人信息相关的范畴给予局部立法。主要见于以下几个方面:在民事法律方面:《民法通则》规定:公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒等;在刑事法律方面,《刑法修正案(七)》规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;在行政法律方面《行政诉讼法》规定人民法院审判涉及个人隐私的案件可以不公开审理等;宪法方面,《宪法》规定:公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利等。
现有法律制度并不能很好的保护个人信息的安全。主要存在以下几个方面的问题。首先,相关概念界定不清。如对于“个人信息”范围未加明确规定从而易造成信息泄露案件取证及责任认定困难,司法实践时可操作性差等。其次,惩罚力度过小,难以起到警示作用。如我国刑法修正案(七)处以非法获取公民罪三年以下有期徒刑或者拘役,并处或者单处罚金,同犯罪分子丰厚的经济收益和巨大的社会危害相比,处以三年以下有期徒刑显得惩罚力度过小,难以对犯罪分子起到有利打击与警示世人的作用。再次,没有建立相应的民事补偿制度。对于滥用个人信息的责任仅仅停留在刑事责任和行政责任上,忽视个人信息泄露后对权力主体可能造成的经济损失,没有建立一套完整的民事补偿机制。最后,现有法律还存在效力层次低、系统性差的缺陷。现行法律多为地方性、行政性法律,层次效用较低且往往是针对特定的部门、地方以及个人信息的某一方面,缺乏系统性。
三、结合国外立法经验对我国个人信息安全保护立法所做的思考
(一)立法模式
鉴于我国具体国情和历史背景,笔者认为我国应当借鉴德国的统一立法模式,在公私领域制定一部基础法律对个人信息安全进行统一立法保护。首先,从我国法律自身特点来看,我国法律文化深受大陆法系的影响,对大陆法系的接受相对容易。其次,从我国现实国情来看,现阶段个人信息安全受到威胁的来源主要在两个方面,即政府机关内部及其他个人信息处理者,因此出台一部既适用于政府内部,又适用于其他个人信息处理者的法律显得尤为迫切。美国的行业组织经过长期发展已相当发达,为了保护市场的发展不受政府约束的限制而对行业组织不进行特别立法转而采取行业自律的方式符合美国国情,而我国市场经济不够完善,行业自我约束的意识等尚存在很大不足,单靠行业自律很难保护个人信息的安全,因此需国家统一立法做出规范。最后,从国际相关发展趋势来看,虽然美国排斥统一立法而更在意市场的自我调节,但其于2000年与欧盟签署的“安全港”协议可视为以美国为代表的行业自律与分散立法模式向以德国为代表的统一立法模式做出的一次让步,因此从整个国际发展趋势来看采用德国的统一立法模式将对我国同欧美国家关于个人信息的交流提供便利,从而有利于促进我国同国际社会的交流与合作。 (二)立法目的
美、德、日三种模式的一个共同点就在于其个人信息安全法律的立法目的兼顾了保证公民基本权利和促进个人信息流通与有效利用。因此除了显而易见的保障公民的基本权利的同时,我们也必须注意到个人信息的流动对于社会经济、政治等发展的重要意义。尤其是加入WTO后,中国与国际接轨,更加需要信息的安全、充分的流动。因此,个人信息的立法目的应当兼具以上两个方面。
(三)立法原则
对于我国个人信息保护的立法原则问题,一些学者认为可以参考OECD②所规定的8条原则作为基本标准,即:限制收集原则、资料品质原则、目的明确原则、限制利用原则、安全保护原则、公开原则、个人参与原则、责任原则,笔者表示赞同。因其经过长期的司法实践检验,具有科学性并被许多国家广泛采纳,使用范围广。以其为基本原则有利于与国际统一个人信息保护标准,有利于促进个人信息在国际上的充分流动从而便于国际交流。
(四)个人信息安全法律保护中的权力与义务
个人信息权是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利,从性质上讲是人格权的一种派生权利,其权利主体为个人信息指向的、可由个人信息被识别的自然人,其权利客体为个人信息权利义务共同指向的对象,即个人信息。
1.个人信息主体的权力
个人信息主体即可由个人信息直接或间接被识别的自然人。作为个人信息主体的自然人应当享有以下权力:(1)信息决定权,即个人信息主体有权决定个人信息能否、如何、何时、何目的被利用与处理等所有直接或者间接可以控制信息的权力。(2)信息更正权,是指个人信息主体有权对个人信息进行更正的权力,以维护个人信息的完整、真实。(3)信息查询权,即个人信息主体有权查询个人信息以及要求个人信息使用者告知信息的使用等的权力。(4)报酬请求权,个人信息主体有权向个人信息使用者请求因商业使用其个人信息而相应应当获得报酬的权力。(5)损害赔偿请求权,即由于个人信息使用者的不当利用导致个人信息主体的利益遭到侵害并遭到损失时,个人信息主体有权索求经济、精神赔偿的权力。
2.个人信息使用者的义务
个人信息使用者即为了达到一定的目的而使用个人信息的组织或个人。按性质划分可分为国家机关与非国家机关,其应当承担的义务包括:(1)资格限定,非国家机关出于特定目的需要收集个人信息的,需向主管部门申请以获取处理个人信息的资格。(2)告知义务,个人信息使用者在使用个人信息前应当告知个人信息主体使用的目的、时间等,并接受其监督。(3)安全保护义务,个人信息使用者有义务采取必要的技术手段等来保证个人信息的安全。(4)变更义务,个人信息使用者应当接受个人信息主体对其错误信息的更正与信息变化时的更新等。(5)赔偿义务,对因不当使用个人信息而造成个人信息主体的信息安全遭到侵害时承担相应的法律责任。
关键词:社交网络;信息生命周期;个人信息;信息安全
随着物联网、云计算、移动互联网等新技术发展以及智能终端、数字城市等信息体的普及,全球数据呈现出爆炸式增长,我们已经迈进了大数据时代。社交网络在大数据的推动下,孕育出新的发展商机和新的发展模式。据中国互联网络信息中心的第36次《中国互联网络发展状况统计报告》显示,截止2015年6月,网民中即时通讯用户规模达6.06亿,较去年底增长了1850万人,占网民总体的90.8%;微博客用户规模为2.04亿,占网民总体的30.6%,社交网络已成为大数据解决和应用的引领者。同时,社交网络中个人信息也成为大数据时代商家博弈的焦点。在大数据环境下,信息安全事件频发,社交网络个人信息安全已成为我们亟待关注与解决的问题。
一、基本概念界定
(一)社交网络。社交网络即社交网络服务(Social Net
working Service,SNS),是以一定社会关系或共同兴趣为纽带,通过各种形式,为在线聚合用户提供沟通、交互服务的互联网应用,这些互联网应用包括狭义的社交网站(如Facebook、QQ空间、人人网、豆瓣网)、微博、博客、即时通讯工具(如微信、易信、QQ)、论坛等。
(二)个人信息。人作为社会活动的主体,在其生产、生活过程中会产生各种信息,其中关于其自身的记录就是个人信息。马克思在《关于费尔巴哈的提纲》中曾指出“人是一切社会关系的总和”,即每个个体都与其他个体或事物有着这样或那样的联系。因此,作为反映个体情况的个人信息不仅包括可以识别特定个体的基本信息,也包括个人与其他事物相联系的社会的、经济的、文化的、家庭的等方面的信息。齐爱民在《拯救信息社会中的人格:个人信息保护法总论》中将个人信息定义为:“与个人有关的,可以直接或间接识别本人的信息”。个人的姓名、性别、出身日期、身份证号、手机号、指纹、特征、婚姻、家庭、教育、职业、爱好、健康、病历、财务情况、社会活动等都属于个人信息。
社交网络环境下,个人信息即反映在互联网上的上述所有信息。此外,还包括个人的电子邮件地址、账号及其对应密码、IP地址、域名、统一资源定位器、cookies等互联网特有信息。因此,社交网络中个人注册信息、个人分享信息、人际关系信息1、数据挖掘信息2都属于个人信息范畴。
(三)社交网络个人信息安全。社交网络个人信息安全,即社交网络中个人信息的认证性(或可靠性)、保密性、完整性、可用性、可控性。认证性(Authenticity),是指用户的个人信息是真实可靠的,信息是由可确认的主体的。认证性一定程度上是为了保障其他信息主体的权益,防止恶意用户盗取、假冒他人名义进行欺诈等;保密性(Confidentiality),即确保特定个人信息只能被特定的授权者看到或使用,未经本人同意,不得随意公开或泄露他人信息;完整性(Integrity),即保证个人信息及其处理方法的正确性和一致性,保护用户个人信息不被非法删除、修改、伪造等;可用性(Availability),即用户本人及授权者可以按需获取、使用特定个人信息;可控性(Controllability),是指用户个人信息处于安全监控状态,未经用户本人同意不得随意使用其个人信息。
二、社交网络中个人信息安全性分析
(一)信息产生阶段。个人信息的产生是一个持续、长久的过程,伴随用户网络行为的始终。信息产生阶段的安全性主要是指信息的认证性和保密性。
(1)认证性分析。社交网络中个人信息的认证性,是指要保证个人信息内容的真实可靠和信息主体的可认证、可信任。内容的真实可靠和主体的可认证、可信任是防止网络假冒、网络欺骗的第一步。主体认证是保证个人信息真实性的关键,是社交网络环境下保护个人信息安全的首要环节。目前,国内大多数社交网络注册时都要求实名认证,即用户要提交姓名、身份证号、手机号等信息才能完成注册。但是,用户出于隐私安全的考虑,会伪造自己的注册信息,网站对此并不能进行真实准确性的认证。据美国《消费者报告》调查显示,1/4的
Facebook用户在注册时会说谎,包括填写不真实个人资料,如伪造生日、所在地、身份等。2011年11月,新浪也被爆出“认证信息造假门事件”,相关人士称新浪微博“有漏洞”,只要有名片、邮件,就可以托熟人认证(微博加V)。这些都说明社交网络中个人信息的安全认证仍存在问题,并亟待解决。
(2) 保密性分析。保密性即个人信息的私密、非公开性。信息产生阶段,个人信息的保密性主要受用户个人和社交网络的功能影响,用户在注册、信息时产生的信息种类越多、开放性越高,其信息保密性就相对越小。
根据中国互联网络信息中心的第36次《中国互联网络发展状况统计报告》显示,截止2015年6月,网民中即时通讯用户规模达6.06亿,较去年底增长了1850万人,占网民总体的90.8%;微博客用户规模为2.04亿,占网民总体的30.6%,论坛/BBS用户规模达1.2万人,占网民总体的18%。总之,社交网络用户已成为网络的主要用户。社交网络中用户不仅会填写姓名、性别、年龄、所在地、学校、工作、联系方式、生日等信息,还会上传头像、照片、视频,生成状态、位置、标签等信息。社交网络中用户生成的信息不仅数量巨大而且种类繁多,是大数据时代重要的数据财富。根据2015年7月的《中国网民权益保护调查报告》显示,78.2%的网民个人身份信息被泄露,包括网民的姓名、学历、家庭住址、身份证号、工作单位等;63.4%的网民个人网上活动被泄露,包括通话记录、软件使用痕迹、地理位置等。社交网络中个人信息的保密性问题依然是信息安全的短板。
(二)信息收集阶段。信息收集主要针对非信息生产者的第三方个体或组织对用户个人信息的搜索、收集行为。信息收集阶段的安全性主要是指信息的可控性,其安全性威胁主要是第三方在用户不知情的状况下过度收集其个人信息。
随着移动网络、云计算、云服务等的产生与发展,用户个人信息面临着前所未有的挑战,网络服务商、第三方团体在利益的驱动下,随意搜集用户个人信息已经成为一种司空见惯的事情。以微博、大众点评为代表的移动社交应用开始借助GPS定位技术广泛收集用户的实时位置信息,以米聊、微信、陌陌等为代表的即时通讯软件随时可能将用户的手机通讯录、邮件地址等存入云端,用户完全无法掌控自己信息的去向及使用范围。2012年3月,美国Facebook、Twitter、Yelp、苹果等十三家社交媒体被相继告上法庭,方指控这些公司侵犯了用户隐私。2013年6月,英国《卫报》和美国《华盛顿邮报》披露的美国“棱镜门事件”――美国国家安全局(NSA)和联邦调查局(FBI)通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。这些事件都暴露了社交网络用户个人信息被随意收集和过度使用的问题,但是我国依然没有相应的法律及行业规范来制约网络服务商或其他组织的不道德行为。
(三)信息组织阶段。社交网络个人信息组织就是将个人零散的、片段式的信息以某种特定的方式组织起来,实现分类序化管理的过程。社交网络中个人信息的有序呈现就是信息组织的结果,主要包括用户主页信息的分类呈现和好友分类管理。社交网络中大部分的好友信息是公开的。信息组织阶段,个人信息安全性主要是指好友列表和关注/粉丝列表对用户人际关系信息的泄露,以及由此导致的数据挖掘、网络欺骗等行为。
社会化推荐系统、好友推荐算法库、好友亲密度模型、好友智能分组算法等都是基于用户生成的信息和好友关系信息产生的。大量研究已经证明利用用户好友关系以及群关系不仅可以推测出用户的其他基本信息还可以推测用户的隐私信息。因此,信息组织阶段增加对好友列表、关注/粉丝列表等用户关系信息的隐私保护及隐私设置是十分必要的事情。
(四)信息利用阶段。社交网络个人信息利用是指用户信息被他人查看、获取并使用的过程,信息利用包含信息获取、信息提供、信息二次开发和交易等。利用阶段,个人信息安全主要是指个人信息的泄露与滥用问题,涉及个人信息的保密性、完整性、可用性、可控性。信息利用阶段,影响个人信息安全的因素主要有:网站的隐私功能,用户隐私保护意识,个人信息的可检索性。
(1)网站隐私功能。社交网络的隐私设置是控制用户信息传播范围、保证个人隐私的重要手段。网站有无隐私设置、隐私设置完备与否,都是判断社交网络个人信息安全性的重要指标。笔者通过对国内社交网络的调查统计,发现大部分社交网络都设有访问限制、信息可见度设置等功能,但有些社交网络依然存在不完善的地方,如新浪微博没有主页访问权限设置;微博的@功能、关注/粉丝列表公开对所有人可见;微信默认可以让陌生人查看用户的十张照片等等。这些隐私功能的缺陷一定程度上都是导致个人信息安全事件发生的原因。
(2 )用户隐私保护意识。用户个人的隐私保护意识和隐私保护行为是影响用户个人信息安全的另一重要因素。根据《洛杉矶时报》刊登的一份调查显示,超52%的人承认自己从未在下载软件之前读过隐私政策,35%的人则会从不受信任的来源下载软件。国外对Facebook的相关调查显示,大约有1300万用户表示从不设置、或者根本就不知道Facebook有隐私工具。用户对社交网络应用隐私设置的漠视是导致个人信息安全的重要原因。
(3)个人信息可检索性。目前,国外的OneRiot、Google、
Collecta和Scoopler等搜索引擎可以实现对Twitter、Facebook、
Digg等社交网络的实时检索,国内的有道可以实现对网易微博和新浪微博的实时搜索。社交网络和搜索引擎的融合,允许搜索引擎对社交网络信息的检索,实际上是将用户的个人信息推向了公共领域,一定程度上对用户个人信息的保密性、可控性产生了威胁。
(五)信息清理阶段。个人信息清理就是暂时或者永久地移除社交网络中保存的个人信息。有时用户并不希望网站保存他们的特定数据,希望退出登录后,网站将这部分数据删除(部分删除);或者是用户不想再继续使用网站,想删除所有数据(账户删除)。个人信息清理或销毁是个人信息安全保护的内在要求,是社交网络应该提供的功能。
笔者通过对国内几家社交网络的调查,发现社交网络基本上都提供了如“停用账号”、“账号锁定”、“关闭微信”等功能。如人人网的“账号停用”,停用期间用户的个人信息不会被删除,账号激活后其信息依然显示在主页上,但是人人网并没有明确用户个人信息的永久删除问题。新浪微博的“账号锁定”功能可以防止账号被盗后的恶意登录和恶意操作等,锁定期限为15天,到期自动解锁,但是新浪微博没有提供任何账号注销功能,也没有明确个人信息的删除问题。因此,个人信息的清理依然是一个尚待解决的问题,对个人信息安全性会产生一定威胁。
三、结论
通过对社交网络中个人信息生命周期各阶段的安全性分析,可以看出,个人信息安全面临的威胁主要有:①信息产生阶段,个人信息安全面临的主要威胁是信息认证和信息保密问题,影响个人信息安全的因素主要是网站的信息认证能力和认证水平以及网络用户个人的信息纰漏状况;②信息收集阶段,个人信息安全面临的威胁主要是网络服务商及第三方组织对个人信息的过度、不合理收集问题,影响个人信息安全的因素主要是相关法律政策及行业规范的缺失;③信息组织阶段,个人信息安全面临的威胁主要是恶意用户对好友信息的恶意挖掘行为,影响个人信息安全的因素主要是网络服务商的隐私设置及相关法律规范的缺失;④信息利用阶段,个人信息安全面临的威胁主要是信息泄露与信息滥用问题,影响个人信息安全的因素包括网站隐私设置、用户隐私保护意识以及个人信息的可检索性等;⑤信息清理阶段,个人信息安全面临的主要问题是个人信息永久删除问题,影响其个人信息安全的因素主要是社交网络的功能设置。通过对上述各阶段信息安全问题的剖析,分析问题产生的原因,以期针对原因提出具有针对性的措施。
参考文献:
[1] 张艳欣,康旭冉.大数据时代社交网络个人信息安全问题研究[J].兰台世界,2014(5):24-25.
[2] 孙毅,郎庆斌,杨莉.个人信息安全[M].大连:东北财经大学出版社,2010.
[3] 罗力.社交网络中用户个人信息安全保护研究[J].图书馆学研究,2012(14):38-40.
“在网站上注册时,我有个习惯。要求填写姓名时,注册Sina的用户我就填张新浪,注册Yahoo我就叫张雅虎,注册Baidu我就写张百度,注册Mop我就用张猫扑,注册Google我就改叫张谷歌。今天接到个电话,问:是张建设小姐吗?我一听就知道,这回是银行把我的个人资料泄露了……”如今,愈演愈烈的个人信息泄露事件,已经让张小姐的这个“小窍门”广为流传,不少网民正在利用这类方法发现个人信息泄露的源头。
伴随网上金融交易和网上购物等互联网应用的兴起,个人的重要信息变成了网络中流动的数据,非法收集、利用、公开个人信息的机会之门也由此大开。近年来,信息和网络的迅速发展,使个人信息保护越来越受到网民的关注与重视。随着信息泄露案件的频繁出现,个人信息的保护已成为各国关注的重要问题。然而,作为一个网民人口大国,中国网民个人信息保护现状却令人忧虑。
2011年12月21日,开发者社区CSDN遭黑客攻击,600万用户账号及明文密码泄露,用户资料被大量传播。几天之后,乌云漏洞平台又爆出天涯社区遭黑客攻击,导致4000万用户资料被泄露的消息。此后,京东商城、当当网、支付宝等多家网站纷纷陷入“漏洞门”, 被指因网站安全漏洞而存在数据泄露的风险……2011年底,中国互联网遭遇的史上最大规模的用户信息泄露事件,直接导致了网民对主流网站的信任危机。由此可见,中国互联网产业的发展已经走到了不得不关注、重视个人信息保护的时代。
个人信息安全保护的中国进程
有关个人信息保护的原则,最重要的是国际经合组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家都以此为据制定了本国的个人信息保护法。这些原则包括:收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。个人信息的保护原则,体现了对人的尊重和对个人信息的规范管理。它的目的实际是在保护个人信息的同时,让个人信息能真正实现自身价值,更好地为公众服务。
互联网行业是一个时刻需要创新和变化的行业。曾有部分企业认为:强调对个人信息的保护,会制约互联网行业的创新精神,阻碍行业的发展。这说明,一些互联网企业对个人信息安全保护的理解,还存在误区。专家指出,对个人信息的保护并不是为了限制个人信息的流动,而是对个人信息的流动进行正规的管理和规范,以保证符合让信息主体同意的目的,保持信息的正确、有效和安全,最终确保个人信息能够在合理、合法的状态下流动。
到目前为止,国际上已经有50多个国家和组织建立了个人信息保护的相关法规和标准,如欧盟理事会《有关个人数据自动化处理的个人保护协定》、国际经合组织《关于保护隐私和个人数据跨国流通指导原则》、欧盟《1995年个人数据保护指南》、《瑞典个人数据法》、欧盟《2002年隐私和电子通信指令》、《美国隐私权法》、《加拿大个人数据保护法》、英国《数据保护法》、美国《电子通信隐私法》、美国《互联网保护个人隐私的政策》、日本《个人信息保护法》等。
与一些发达国家相比,我国在信息安全保护意识与规范制定方面存在一些弱项。特别是个人信息保护意识不足的问题,还曾经直接导致国际市场在选择外包企业时对中国企业的不信任,严重影响了我国软件及信息服务外包业务的发展。
2008年,个人信息保护被纳入工业和信息化部重点工作范畴。2009年,为了消除国际影响,提升国内企业在国际软件与信息服务外包业务中的竞争力,我国成立了首个个人信息保护管理委员会并建立了个人信息保护的评价制度。工业和信息化部信息安全协调司副司长欧阳武告诉记者,这套评价制度启用效果非常明显,它不仅得到了境外相关机构的认可,也为国内企业承接境外业务提供了基本保障。此后,这套评价体系的建立,也确实为个人信息安全保护工作的开展起到了旗帜性的作用。
2011年初,为了全面推动我国信息服务产业个人信息保护体系的建立,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、全国信息安全标准化技术委员会2011年国家标准编制计划(编号:TC260-BZZXD-WG7-2011018)。在“指南”的基础上,信息系统个人信息保护标准体系中其他技术、管理和行业标准也已进入计划制定阶段。
《指南》制定完成后,伴随一些第三方评测平台的努力,如今标准落实工作已出现实质性进展。2011年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心力邀个人信息保护相关专家,组成评测专家组,并根据《指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标。历经六个月,专家组对电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,正式将《指南》通过科学的个人信息安全相关评级机制落实。同时,针对移动互联网带来的个人信息泄露问题,中国软件评测中心还与北京大学互联网安全技术实验室合作,选取了安卓手机各类热门软件对其个人信息安全状况进行了测试评估。
而相关评测报告显示,个人信息安全防护的主战场,正在伴随移动设备和Wi-Fi网络的普及不断蔓延扩大,个人信息安全防护各项工作的开展已刻不容缓。
个人信息保卫战出现第二战场
十年前,地铁里最常见的人群是手拿报纸的上班族。但是今天,手握手机的上网族成了主流。搜索、游戏、阅读、音乐、互动社区,手机支付、手机电视……层出不穷的移动互联网应用在吸引大量用户的同时,也把个人信息安全保卫战推向了更广阔的战场。
2012年1月,中国互联网信息中心(CNNIC)了《第29次中国互联网络发展情况统计报告》。该报告显示,截至2011年12月底,手机网民数量超过3.5亿。艾瑞咨询预计,中国手机应用商店2012年和2013年的用户规模将有望分别达1.82亿、2.75亿。手机应用软件商店正在成为各大IT巨头发力的焦点。
但是,在移动互联网应用发展势头一片大好的背后,却暗藏着个人信息泄露的巨大风险。美国标枪战略研究公司(Javelin Strategy & Research)近期公布的的一份报告显示,2011年美国有近1200万人沦为身份盗窃的牺牲品,较2010年增长了13%。主要原因正是智能手机和社交媒体使用的增加。日本的KDDI研究所在调查了400种智能手机热门免费应用软件后发现,约6%的软件会将电话号码、终端ID、位置信息及使用软件一览表在用户不知情的情况下向外部发送。据国外媒体报道,安全厂商Dasient对1万款安卓应用进行了研究,发现逾8%的应用会向没有获得授权的计算机传输用户的个人资料。
360安全中心日前的《2011年中国手机安全状况报告》指出,2011年全年新增手机恶意软件及木马8714个,被感染智能手机用户数超过2753万人次。其中,安卓手机操作系统成为安全问题最为严重的平台。根据360手机云安全中心统计,2011年是Android平台恶意软件及木马的“井喷年”,相较2010年全年共发现12个木马样本相比,今年捕获新增安卓木马样本4722个,被感染手机用户数超过498万人次。从2011年8月起,安卓平台每月新增木马数量开始连续4个月超过塞班平台,在新增安全威胁的增速与增量上全面居首。
2011年10月到2012年3月,中国软件评测中心与北京大学互联网安全技术实验室针对Android手机软件的个人信息安全评测结果显示,基于安卓平台的应用存在严重的信息泄露风险。这次评测在中国移动应用商城、中国联通沃商店、中国电信天翼空间、机锋网等应用商店中随机选择了几百个测试样本,测试指标选取的原则为信息泄露造成危害程度、用户对信息的敏感性、利益相关方对个人信息的关注点。结果显示:IMEI号码泄露问题最为严重,其次为手机号码泄露,再次为地理位置和SIM卡序列号泄露。而在优亿市场、宝软网、安卓在线、数熊游戏软件等手机软件电子市场采样测试的结果则显示“数熊游戏软件”泄露手机号码情况较为严重。
这些数据显示,移动互联网已经变成了安全攻防的第二个主战场。面对移动互联网的发展和Wi-Fi普及带来的个人信息泄露风险,360总裁齐向东认为只有通过在移动终端上安装安全软件,才能实现有效的防御。在他看来,互联网应用的高速发展正在显示一种趋势――未来人们势必会将更多的个人信息、隐私信息放在互联网中,保护个人信息安全会变成互联网的头等大事。但当前人们对移动设备安全防护的认识还远远不足,比如安卓这类开源操作系统平台在安全性方面要远比Windows系统薄弱,基于这类平台开发的应用在安全机制方面的考虑也远远不够,这些问题会造成安全风险,很多用户对此还没有清醒的认识。和传统的终端相比,移动终端安全防护产品在个人信息安全防护的战场上所起到的作用将更为突出。如何构建多维防线
欧阳武指出,只有把个人信息保护纳入法制化的轨道,才能实现对个人信息的最好保护。在他看来,只有通过法律,才能明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,明确侵害他人隐私的责任和行政处罚制度。其次,由行业组织依据行业信息保护规则,在照顾行业发展特点的同时,制定出行业信息保护规范,通过行业自律的方式进一步完善事后承接机制,约束行业滥用信息也是非常关键的工作。此外,由于目前个人信息保护的国家标准还没有正式出台,企业的个人信息保护政策的落实的相关措施还没有相应的监督机制,对企业的个人信息保护能力还无法做到客观的评价,广大网络用户对相关的措施和安全管理工作还缺乏认知,实现个人信息保护也需要做大量的细致工作,所以目前根据标准的内容制定测评指标体系,建立第三方测评评估机制非常重要。第三方测评不仅能为行业自律提供可借鉴的标准,还能对提高全社会的个人信息保护意识起到推动作用。
关键词:大数据;网络借贷;个人信息安全;法律保护
中图分类号:D923 文献标志码:A 文章编号:1002-2589(2015)15-0076-02
近年来,大数据时代的到来使得网络借贷这一借贷模式得到了快速的发展。但由于网络借贷依托于互联网平台,且互联网本身具有虚拟性,使得借贷客户的个人信息在互联网中被不特定的人群所传播和非法利用的风险不断增加。
一、背景概况
(一)大数据下网络借贷的兴起
“大数据”这一概念是由全球知名咨询公司麦肯锡提出。本文中的大数据是指依托互联网、云计算等新技术产生的大量数据,其在金融、计算机、信息管理等领域发挥了巨大的作用并具有重要的地位和战略价值。通过对大规模数据的分析利用,如收集分析网络借贷平台的交易信息和个人信息等,从而进一步了解客户的资金需求,分析客户群体的共性与个性等以实现一定的经济价值与社会价值。
随着大数据时代的迅速发展,网络借贷作为一种新型的民间借贷模式在互联网间扩展开来。网络借贷是一种依托互联网产生的为放贷人和借款人提供借贷信息,按照一定流程在网络上自动达成借款合同生成电子借条从而完成借贷融资的一种模式。2007年我国第一家民间借贷网络平台“拍拍贷”于上海成立并开始正式运营,这意味着网络借贷模式正在悄悄走入我国民众的生活。经过几年的运营实践,目前我国已形成以上海“拍拍贷”、北京“宜信”为代表的一定数量的民间网络借贷平台。它凭借网络突破了时间和地域的限制,扩大了民间借贷的范围,同时更加充分满足了个人及中小企业的资金需求。网络借贷平台的运营模式采用竞投标的方式,要求借款人进行注册并如实填写具体相关个人信息,如身份信息、家庭住址、联系电话、工作证明、收入状况、银行卡号等,在注册登录后便可在网站上自己的借款需求,包括借款金额、借款期限、借款理由、利率、还款方式等。同时,放贷人可根据借款人的具体需求,通过竞标方式进行放贷活动,通过不断竞价借贷双方最终达成借款协议。在网站对借款人信用报告审查通过后,资金将会流入借款人的账户,网站也将自动生成电子借条,通过电子邮箱、手机短信等方式送达借款人和放贷人。
(二)网络借贷中个人信息安全问题的表现
个人信息的泄露是个人信息安全问题的主要表现之一,是指通过将个人信息进行大范围公开,以实现主体对于自身的信息失去控制的状态。网络借贷不同于其他借贷方式,由于其依托于互联网,非常透明化,需要通过网络了解借贷双方的个人信息,并且网络借贷平台为借贷双方提供“一站式”服务,从信息、审核资料到转账借款等都是由网站进行专门的服务,借贷客户只需要进行会员注册登录,并将自己的个人信息提供给平台,就能进行借贷活动,没有十分严格的准入机制,这就要求平台自身对用户的个人信息尽到保密义务。然而,在借贷平台为客户提供高效便捷的服务外,由于交易完全依赖于网络,其虚拟性和开放性也导致了客户个人信息泄露方面的风险,如客户身份账号等个人信息在交易时被非法盗取、网络借贷平台利用客户个人信息非法获利等。个人信息具有人格权的属性,其不仅具备了精神价值,也包含着巨大的经济价值。2012年某借贷网站就发生了因借款人未及时还款便将用户个人信息张贴在网上公之于众的事件,其中个人信息甚至详细到手机号码和个人照片等,该网站这一行为不仅泄露了用户的个人信息,而且侵害了用户的隐私权。
二、个人信息安全问题的分析
大数据的运行要求大量的数据收集作为运作基础,在网络借贷中,借贷双方需要填写完整准确的个人信息作为借贷的信誉保证,由此网络借贷平台掌握着大量的客户详细资料。并且,便利的数据收集再加之互联网本身的虚拟性,由此在网络借贷中,引发最突出的问题是借贷客户的个人信息能否得到安全保障而不外泄。
(一)平台行业自律问题
大数据时代对于数据本身所拥有的经济价值的追求达到历史的新高度,数据拥有者为了获得相关经济利益而向个人或组织非法出售他人个人信息,这种行为不仅造成个人信息的外泄,更侵犯了借贷客户的个人信息安全的权益。网络借贷平台第三人对于大数据拥有者的恶意进攻会造成他人个人信息的外泄或者传播。目前我国网络借贷行业还没有一个统一的行业标准,因此对用户个人信息的保护存在较大的风险。
(二)相关法律法规的不完善
就目前我国的法律法规而言,网络借贷平台的形式和法律属性还没有得到正式的认定,现阶段针对网络借贷平台出台的相关官方文件仅仅局限于我国银监会的《关于人人贷有关风险提示通知》,且该行业针对网络借贷平台的法律监管问题并未提及。由于对于网络借贷平台的监管力度的缺失,监管门槛特别低,网络借贷平台的监管不力,这就导致第三人对平台的个人信息进行随意的进攻和外泄,对于恶意侵犯者得不到及时有力的惩处。其次,对于网络的发展和个人的信息安全缺乏相关的法律明文规定,在此次的《刑法修正案(九)》(草案)中,七大亮点之一是对于出售或非法提供个人信息,网络虚假信息都将写入刑法中,为了加强对于公民个人信息的保护,扩大犯罪主体的范围,增加出售或者非法提供个人信息安全的犯罪的规定。但是该法律草案并没有将犯罪的危害程度和危害方式得以进一步明确,对于打击恶意侵犯者没有强有力的保障措施。
(三)用户信息安全意识薄弱
个人信息主要包含以下两方面,一是自然属性的信息,即记述个人自然情况的信息,如性别、身高、患病情况等信息。二是社会属性的信息,即自然人在参与社会实践中形成的信息,如婚姻状况、工作单位、通讯记录、银行账号等信息。由于个人信息的人格权属性其同时具备精神价值和一定的经济价值,但部分人对个人信息的经济价值以及网络的安全性缺乏一定认识,对于信息的保密安全意识较为薄弱,因此往往在网络活动中不会对自己的个人信息加以保护,造成个人信息被泄露或非法利用等后果。
(四)网络技术安全指数达不到要求
由于网络本身的虚拟性和透明性,加之网络的数据系统和安全系统也存在一定的漏洞,则大大增加了网站被恶意进攻的危险性,降低了网络的安全指数,造成了个人信息的泄露和非法利用等严重后果。
三、国外网络信息安全保护方式
针对大数据时代的发展对个人信息安全带来的巨大威胁,许多国家在加强网络信息安全的法律保护方面已取得共识。根据“任何对互联网的规制都不应阻碍其发展”这一基本原则,由于不同国家对收集使用网络个人信息对电子商务、网络发展造成的影响的估计不同,因此对依托网络产生的个人信息安全问题的法律保护、救济的模式不同。总体来说,有关国外网络信息安全保护方式可以分为立法规制与行业自律两类,分别以欧盟和美国为代表。
欧盟主要通过完善法律的手段来保护个人信息安全。为了保障个人自由和基本人权,并确保个人信息资料在欧盟成员国之间的自由流通,欧盟议会在1995年10月24日通过了《欧盟个人资料保护指令》。在该指令中,资料控制者存在以下义务:保证资料的品质、资料处理合法、敏感资料的禁止处理与告知当事人等。资料当事人则享有接触权利与反对权利,并有权更正删除或封存其个人资料。
与欧盟相比,对于网络上的个人数据及隐私保护,美国更注重行业自律的保护方式。FTC就该问题制定了四项“公平信息准则”:要求网站搜集个人信息时须发出通知;允许用户选择信息并自由使用信息;允许用户查看有关自己的信息并检查其真实性;要求网站采取安全措施保护未经授权的信息。
四、完善网络借贷信息安全体系的建议
(一)建立健全个人信息保护立法
一方面,加快互联网金融的个人信息法律保护,尽快建立健全相应的个人信息保护立法,在法律上确认个人信息的商业价值,将具有法律上的隐私性质的个人信息加以重点保护,应当将非法买卖和滥用个人信息行为定位为财产侵权的犯罪行为,将他人信息泄露和传播的行为定位为权益侵犯的犯罪,对于影响范围较广,损害程度较深的行为,加大刑事处罚责任,震慑犯罪行为。另一方面,《隐私权保护法》应规定网络借贷平台负有为客户保护个人信息不被泄露的义务,不得侵害客户隐私权,网络借贷平台在法律规定的范围内使用客户个人信息,不得靠泄露客户个人信息获取非法收益。网络借贷平台如未尽保密义务,必须承担一定的法律责任,应进一步明确完善网络借贷平台的责任内容、处罚手段、赔偿标准等。
(二)强化网络技术手段的保护
网络借贷平台涵盖了大量的用户个人信息,一旦网站被恶意进攻,后果不堪设想。因此,要加强网络借贷平台数据库以及应用层面安全体系的建设,采用多种网络技术手段,使用各种程序和安全技术来保护借贷客户的个人信息免受未经授权的访问或使用,努力开发更先进的网络方式和手段,降低信息泄露风险的发生,保障客户个人信息安全,增加网络借贷的安全性。
(三)健全网络借贷平台的行政监管
要明确监管主体,根据我国《银行业监督管理法》的相关规定,银监会主要职责之一是承办对非银行金融机构的监管工作。同时,银监会对网络借贷行业的发展已经掌握了大量的行业资料,并对其风险已有足够认识,因此,可以确定银监会作为监管主体的地位。另外,基于网络借贷平全网络化的运营特点,可以由银监会联合工信部对于网络平台进行必要的审查和管理,并完善两者之间分工。还要完善监管规范,完善市场的准入和退出机制,由于网络和金融在创新方面的快速不断发展,就应当加强对网络借贷平台业务范围的有效控制,防止网络数据拥有者对于他人个人信息的非法操作和泄露。加强网络借贷平台的内部控制制度的完善,对关键岗位的关键操作人员进行监督,加强内部监管制度建设。
(四)加强网络借贷行业自律
对于网络借贷行业,加强自身的建设,履行保护借贷客户的个人信息安全的义务,对于客户的个人信息进行保密。网络借贷商不断完善网站的保密体系,需有关部门进行软件等级检测和认证,测评通过以后才可以在互联网上进行使用,保证在借贷运行过程中不存在威胁个人信息安全的软件。还要履行自身的告知义务,在借贷客户进行个人信息注册时,应当事先告知客户存在的风险,其个人信息将在何种范围内进行公开,并承诺在该范围外不予信息公开和泄露。如果有需要进行客户信息泄露的情况下,应当得到客户的同意,并在其允许的范围内进行信息的公开。
目前,例如“人人贷”“速贷帮”等网络借贷机构自发成立了小额贷款服务中介机构联合委员会,并对参与进来的机构,签署行业自律公约,更多的网络借贷平台应当参与进来,共同维护网络的客户信息安全。
(五)提高个人信息安全的保护意识
法律手段和技术手段的完善能够降低信息安全泄露的发生,但作为网络借贷的客户,应当提高自身的安全保护意识,在借贷行为过程中,对于相关的网站和信息,加强自身的甄别能力,明确哪些个人信息是需要填写和审核的,及时清理上网痕迹,清除个人信息,注意私人信息的保护,避免由于自身行为操作的不当而造成信息的泄露,平时多关注信息安全问题,掌握信息泄露的措施。为保障个人信息安全,应当对个人信息进行密码保护,个人切勿泄露密码以及本人的个人资料给他人,对此造成的损失应当由借贷客户自付。
参考文献:
[1]吴晓光,曹一.论加强P2P网络借贷平台的监管[J].南方金融,2011(4).
[2]黄震,何璇.P2P网络借贷平台的法律风险及防范[J].金融电子化,2013(2).
[3]王艳,陈小辉,邢增艺.网络借贷中的监管空白及完善[J].当代经济,2009(24).
[4]齐日光,于立志,高永泉.网络信贷平台监管缺失应予关注[J].吉林金融研究,2010(10).
[5]李爱君.民间借贷网络平台法律制度的完善[J].福州大学学报,2011(6).
[6]艾金娣.P2P网络借贷平台风险防范[J].中国金融,2012(14).
[7]陈宋阳.我国民间借贷法律监管研究[D].重庆:西南政法大学,2010.
[8]官大彪.我国P2P网络借贷发展存在的风险及其监管对策[J].台湾农业探讨,2012(5).
关键词:网购;消费者;信息安全
这些年来,诸多电商平台如雨后芦笋,发展迅速。网购平台的消费者也不仅仅局限于年轻人群,越来越受到不同年龄层次的诸多人群的青睐。我们可以随时购买到我们需要的商品,这是互联网给我们带来的便利。然而,在获取便利时我们需要注意的是,消费者的信息安全也在网购的同时受到了威胁,值得我们深思。
1网购消费者信息安全案例分析
1.1“假客服”网上支付事件分析
2015年10月9日,中央电视台《法治在线》报道:辽宁省沈阳市的王女士,于2015年8月31日在某购物网站上买了一套化妆品,在网上填好了信息并作了线上交易。在第二天则收到了自称该化妆品店“客服”的电话,该“客服”称前一日网站系统正在进行升级维护,订单无法生效,须取消订单及退款后再次购买。本来还有所疑虑的王女士在“客服”能准确道出她的订单信息、个人信息之后,打开了“客服”发来的退款链接,并按照该链接相应地输入了银行卡号、绑定的电话号码、身份证以及交易密码,多次提交申请但页面显示交易不成功后,相信了“客服”的提醒更换使用银行卡,经过几次的提交,王女士银行卡被支付了6000元,信用卡被支付了8000元。当她知道整个过程其实是一场信息泄露的网络骗局后,为时已晚。至今,发生在王女士身上的网购消费者诈骗该事件还有很多,对其分析主要由两部分原因构成:首先是消费者在网购时信息的保密性不足,进行网上在线交易时没有谨慎对待,让盗取密码者有了可趁之机。其次是没有做好银行卡的交易保护工作,采取有力措施,例如大额交易短信认证,限定每日消费额度等等。
1.2“免费WIFI购物”事件分析
随着智能手机的普遍使用,越来越多的公共场所都提供了免费WIFI无线上网功能,为人们带来便利的同时,也出现了新的网络消费诈骗事件。2015年十一期间,北京市的李先生在咖啡馆休息时,使用该店内提供的免费WIFI进行网络购物,刚完成在线支付不久,就收到了网银密码被更改,且余额不足的短信。李先生在使用公共场所的无线网时,疏忽了该免费网络的“可用性”,没有确保它的安全就进行线上支付活动;另外,有关部门及该场所负责人没有对该网络进行严格监管,也是造成此次损失的原因之一。公共的网络环境,需要的是消费者较高的自我保护意识以及大家对安全的网络环境的维护意识。不法分子的手段高明而又简单,只要消费者更强烈的安全意识即能瓦解。
1.3“计算机病毒”事件分析
提起“熊猫烧香”,可能大家都不会陌生,这是在2006年,李某为盗取网络消费者的信息所编的网络病毒。据报道统计,该病毒盗取网络消费者信息及钱财总计800多万元,金额之高令人咋舌。出现该问题的原因主要是消费者对网络病毒的认识匮乏,相关人员的网络维护以及消费者没有养成健康良好的网络消费习惯。
2我国网购消费者信息安全存在的主要问题
2.1消费者自身保护意识不足
许多消费者没有主动学习网络保护、网络环境辨别等意识,在网上购物需要填写个人信息时,因为处在虚拟的网络空间,没有与人进行面对面的接触,对个人信息的保护意识逐渐降低,不会辨别网购环境的安全性,甚至在填写重要信息时无所顾忌。另外,在线上与线下的衔接过程也是如此。举个简单的例子,在收到网购商品时,很少部分人有意识地去消除快递包装上的个人信息,以至于许多隐私被轻易地泄露。
2.2电商卖家和网络维护管理不足
1)电商卖家的条款设立不合理
网上购物之前,消费者无法避免线上与卖家签署一些条款,然而这些条款通常都可能对消费者的信息安全产生不利的影响,降低了消费者个人信息安全的可控制性。其中一个比较普遍的例子就是在网购前注册账号时,会看到诸如以下的条款:关于所有您提供的信息资料及其他数据,本公司拥有独家、无时间限制、无地点限制和永久免费的读取及使用权利等等。消费者通常会忽略掉这些条款,不愿意去仔细品读,假若不同意条款则无法继续进行下一步操作。消费者在相信网站的正规性,图简单便捷地完成购物,完全没有意识到自己的信息可能会在网上公布使用。2)网络行业监管不足一个安全的网络环境,是消费者信息安全的前提。目前在许多网站上,以广告、弹窗、链接和插件等形式侵入,盗取消费者信息的情况比比皆是,防不胜防。有些网络病毒,用了很多防火墙软件也很难阻止,这意味着需要互联网行业的相关专业部门,加大对网络环境的监管及改善。
2.3相关法律法规还不成熟
目前来说,对于处理网购过程中的问题和纠纷,主要参照《消费者权益保护法》与相关《合同法》,这些法律条款自身是没有问题的,但如果用来维护网购环境的安全问题,无论是消费者与商家应承担的责任义务,还是出现问题是的执法部门,都尚不明确透明。互联网电商今年来飞速发展,相关法律法规的出台和修订需要一定的过程去发现问题,完善解决方案,两者很难达成同步;另外,人们对法律法规的认知与遵守,需要相关人员的不断普及,并且和大量的努力和相应的时间过渡,不断在实践中探索,才能达到成熟。
3保护网购消费者信息安全的建议
3.1从消费者自身出发
在网上购物过程中,假若消费者可以不断提高信息安全自我保护意识,养成安全健康的线上购物习惯,并适当地学习和采用相应的信息安全保护方法,会一定程度地降低信息被盗用的可能性。因此从消费者自身出发,在网购时应该增强相关认知与技能的学习,培养自己的保护能力,这需要消费者具备一定的主动性与自觉性,提高自己信息安全的保护意识,养成良好的习惯。3.1.1提高信息安全保护意识现如今处于大数据时代,个人信息的泄露受到了威胁。为此,提出以下建议:1)在网购过程中填写购买信息时,除必要填写外,尽量避免使用个人敏感的信息,例如收货地址可以填写住宅附近的菜鸟驿站,收货人可填写昵称等等,减少私密信息的泄露,从而避免因信息泄露产生的不利影响。2)消费者应主动了解商家关于客户信息保护采用的措施,相关负责人等,出现问题及时反馈,甚至投诉,勇敢地保护自身的权益。3)网购时尽量选择正规的商家,可以根据其他消费者的评价及反馈,帮助自己做出合理的判断,切忌贪图便宜的行为。3.1.2养成良好的网购习惯不好的上网习惯是消费者信息安全问题出现的原因之一,它威胁到了消费者自己的利益,从而对信息安全的保密性产生了不利的影响。以下是对如何养成良好的网购习惯,提出的几条建议:1)确保每次网购时的网络环境安全,掌握电脑的防火墙设置,不使用及安装不安全的系统软件和插件,经常定期检查维护电脑,避免电脑病毒及木马,并避免在公共设备及网络中进行网上注册,线上购物交易等,以免不当的网络环境泄露了个人的隐秘信息。2)网购时消费者应避免访问和点击不当弹窗和不明网站,使用正规浏览器,并对不明网页进行屏蔽,以此确保网购环境处于安全状态。另外,对于不明商家发来的未知链接,也应拒绝点击。3.1.3采取相应的信息安全措施仅靠简单的提防和注意是远远不够的,与此同时,还需要采用适当的信息安全防护措施:1)增强密码的安全性。消费者切忌图方便使用同一密码或者简单易解的密码,尽量使用复杂的字符及数量,并定期修改更换密码,增强密码的安全性。2)防火墙设置。选择正规的防火墙软件,并使其对电脑进行时刻防护,谨慎对待需要关闭防火墙的软件安装,有效利用防火墙来保护我们的上网环境。3)合理选择网购快递。网购时选择正规、风评良好、诚信的快递公司,正规、专业的快递公司不仅会保障物流速度,还会严格保护客户的个人信息,减少消费者对个人信息泄露的忧虑。4)主动销毁个人信息,必要时合理虚拟。网购时尽量不使用住宅地址作为收货地址,例如可以使用菜鸟驿站等免费代取服务点,这不仅为消费者取件时间提供了便利,也保证了家庭住址不被泄露。收到包裹时,应及时妥善对快递包装上的个人信息进行销毁,以免让不法分子有可乘之机。5)交易二次验证和保护。线上交易时尽量使用手机短信等二次验证,这不仅对线上交易加以保护,当密码被盗取时也可以及时发现并采取相应措施。
3.2加强电商行业本身管理
对于消费者信息以及隐私的安全防护,电商行业具有无法推卸的责任和义务。电商行业应当加强自身的监督与管理,为消费者提供安全的网购环境。3.2.1电商行业自律为主体1)未经消费者允许,电商商家不可擅自对其信息进行贩卖和交易。对消费者的信息的必要使用和存储时,也应遵守合法规定并获得当事人同意。2)提醒消费者注意与店家在线上交易过程中签署的协议,个人信息条款部分应明确指出。3)自觉约束并严格对网店内部的管理,杜绝内部员工非法贩卖买家信息的行为。3.2.2电商内部管控为辅助电商卖家内部,对消费者的信息安全维护应严格明确,合法使用消费者个人信息,做到严谨、透明、公开。
3.3设立相关法律法规
1)加快制定我国的《网购消费者信息安全法》在电商与消费者共同建立与维护安全的网购环境的同时,还需要国家法律的维护。日前我国互联网技术及网购平台快速发展,但相关的法律法规仍然不够完善,因此,制定出符合我国网络现状的相关法律法规刻不容缓。2)加快完善配套法律法规由于电商行业的更新频率快、开放性高、特殊性强,在加快制定相应法律法规的同时,需要对法律法规进行不断地更新与完善,以此配合不断发展的电商平台,保证问题出现时有法可证,有法可依。
4结论
现如今,科技在不断发展,互联网在不断地更新进步。我们需求的服务变得更加便利,信息获取也更为简单,因此消费者在网购过程中的信息安全使我们必须重视,也是急需去解决的问题。本文从整体出发,研究出现信息不安全的原因,以及相对应的解决措施。在此呼吁广大消费者,重视个人信息安全问题,养成良好购物习惯,享受科技发展为我们带来的便利。
参考文献:
[1]吴林飞,长青.制造型企业ERP与电子商务集成体系的绩效评价指标研究[J].科技管理研究,2013(21).
[2]新策.质量数据管理:制造业信息化发展之路[J].上海信息化,2008(11).
[3]刘坚,刘承焕.数据挖掘技术在制造型企业信息化中的应用[J].商场现代化,2008(9).
[4]郭秀英.制造型企业产品数据管理方案研究[J].辽宁师专学报:自然科学版,2005(4).
[5]雷金溪.推进制造型中小企业质量管理信息化[J].发展研究,2007(8).
信息技术从上世纪开始在我国逐渐普及,从学校到企业,从国家机关到百姓家庭,各种信息系统随处可见。计算机以及各种信息系统已经遍布中国社会的各个行业、领域,为人们的生活和工作带来了巨大的便利,使社会活动、经济发展的节奏逐渐加快,百姓生活品质也逐步提升。但在这些繁荣景象的背后,也隐藏着各种弊端,个人信息被盗取、信息系统被攻击、甚至国家秘密的泄露等事件时有发生。信息安全逐渐引起全社会的关注。
关键词:
信息安全;信息系统;影响因素
一、信息安全现状
(一)政务信息安全现状,随着网络的普及以政务效率要求的提升,电子政务、政务信息化已在全国范围逐渐普及,越来越多的政务系统上线运营,方便了群众办事,提高了办事效率,受到了群众的普遍欢迎。然而政务信息系统普遍存在的漏洞也得到相当的关注。不法分子利用黑客技术、木马技术对政务信息系统进行攻击的案例呈逐年增加的趋势。我国政府部门计算机管理系统曾经遭受过黑客的攻击、篡改,系统遭到破坏,甚至计算机网络出现整体瘫痪,造成巨大的损失。政府部门的信息泄露事件对国家安全也造成了极为不利影响。
(二)企业信息安全现状,越来越多的企业建设了OA、ERP等信息系统,这些系统的建设大大降低了企业的运营成本,提高了企业运营效率,互联网的普及、信息系统的建设使企业信息交互变得更加流畅。但随着商业竞争的愈发激烈,企业信息系统安全隐患也逐渐暴露。企业云服务信息泄露、企业信息系统遭破坏、企业核心机密遭窃取等案件也层出不穷,企业信息安全遭到破坏极大地损害了企业利益,提高企业信息系统安迫在眉睫。
(三)个人信息安全现状,个人信息安全威胁主要来自互联网。目前绝大多数PC计算机系统、智能移动电话系统都已接入互联网,公民个人所持有的PC计算机系统、智能移动电话等信息系统中的个人信息、个人财产等也备受不法分子的“青睐”。木马程序编辑者将伪装后的木马程序通过网页、邮件、系统漏洞、QQ、远程控制植入木马等方式进行传播的,一旦时机成熟木马程序就会肆意的扰乱用户的计算机系统,控制、篡改、窃取计算机系统中重要的信息。据相关部门统计,在我国的网民中,百分之七十的人都遭受过信息泄露带来的影响,骚扰电话和短信以及大量的垃圾邮件使人们不胜其烦。
二、影响信息安全的因素
(一)信息系统漏洞普遍存在,各种信息系统从诞生之时起就存在各种漏洞,它们只是最初没有被发现和利用。在CVEDetails公布公布的2016年各种系统漏洞数量统计中,我们熟知的Android系统以523处漏洞高居榜首。第二名则是DebianLinux共319处漏洞,MacOSX发现215处漏洞,而Windows10则发现172处漏洞。不法分子时刻都在研究、发现这些漏洞,利用这些漏洞,不法分子对系统发起攻击,从而获取巨额利益。
(二)用户信息安全意识差,操作不规范,普通用户信息安全意识薄弱,对使用的各种系统没有深入了解,使用过程中操作不规范。目前普遍应用的网上支付和移动支付已经深入到千家万户,支付安全问题也屡屡出现,多数移动用户设置的支付密码较简单,而且没有定期更换密码,造成密码泄露隐患。腾讯安全的《2015年度互联网安全报告》显示80.21%的网民随意连接公共免费WiFi,38.96%的网民使用无密码WiFi进行网络支付。在各类企业、政务应用系统使用过程中,用户操作不规范,使用任意载体交换数据等行为也为信息系统安全增加了风险。
(三)信息安全相关法律法规不健全,不法分子有可乘之机,目前针对保护各类信息系统安全不受侵犯的法律法规还不健全,存在对恶意破坏行为难以追溯,对不法分子惩戒难以量刑等问题。利用法律漏洞及技术优势,不法分子肆无忌惮对各类信息系统进行破坏,对个人信息进行窃取、诈骗等以获取巨额利益。
(四)黑客、病毒等破坏技术层出不穷,信息技术的飞速发展使我们的生活更加便捷,黑客、病毒、木马等破坏信息安全的技术也在极速发展,越来越多的新技术给我们的信息系统带来更多挑战。国外也在加强破坏技术的投入,试图掌握我国各个领域的信息数据。360互联网安全中心的《2016年中国互联网安全报告》显示2016年截获PC端新增恶意程序样本1.9亿个,Android平台新增恶意程序样本1403.3万个。
三、应对策略
(一)加大立法保护力度。法律是正确引导公民行为、规范社会个体和群体活动的准则和要求,只有在法律规定之下进行的活动,才是安全有效的。当前我国关于计算机信息系统安全方面的法律规范并不多,扔缺少必要的法律作为支撑。2016年《中华人民共和国网络安全法》的出台,让网络信息安全有法可依,相信在相关部门及全社会的关心重视下,我国在信息安全方面的法律法规会逐步健全,为我国信息系统安全保驾护航。
(三)提高全社会信息安全意识,创造良好信息系统运行环境的政府、媒体等社会组织应加强信息安全法律法规宣传力度,科普信息安全防护规范,引导公众树立信息安全意识,使信息系统用户能够识别信息安全风险。广大信息系统用户也应自觉提高安全意识,规范管理操作方法,加强信息系统主动防御能力,不受网络虚假信息诱惑,保障信息系统安全。
(四)提升信息安全防御技术。相关信息安全科研、生产单位应加强防御技术的研发、升级,提升防病毒、木马能力,探索新的信息安全防御技术,主动发现各类信息系统漏洞并加以修正。国家相关部门应加大信息安全防御技术的支持和投入力度,鼓励科研、企业研发拥有自主知识产权的信息安全产品,提升我国整体信息安全防护能力,保障国家和公民的权益不受侵犯。
四、结论
信息安全与人们的生产生活息息相关,与国家利益密不可分,是关乎国计民生的大事,也是社会稳定运行的基石。维护信息安全,合法保障信息安全,不应仅仅是一两个组织、个人的事务,这需要全社会的共同努力、积极参与。相信在全社会参与下,我国信息安全前景一定愈发光明,助力我国早日实现“中国梦”。
作者:于子淳 单位:长春市政协机关服务中心(信息中心)
参考文献:
[论文关键词]个人信息 立法模式 行业自律
一、个人信息内涵
个人信息作为一个法律概念,是随着信息社会的发展而出现的,一方面作为识别个人的资料被广泛需求,另一方面又遭到严重滥用。个人信息是指个人姓名、住址、出生年月、身份证号码、医疗记录、人身记录、照片、工作单位等,单独或与其他信息对照可以识别特定个人的信息数据资料。从法律角度,个人信息具有以下基本属性。
(一)个人信息代表主体的特定性
个人信息是现实生活中和个人有关的一切信息,包括范围广泛:个人身份认定资料、个人背景及其他资料等。这些信息能反映个人的很多方面,通过多种社交方式以不同形式记载在多种媒介上。通过考察记载于各种媒介上的个人资料,及结合其他相关信息,便可以描绘出一个人的某一方面特征或某一社会状态。这些个人信息具有在众多群体中识别特定主体的功能。
(二)个人信息内容具有多样性
个人信息既包括个人隐私,又包括可公开或已公开的个人信息。隐私的特点是具有一定的秘密性,权利主体主动采取措施进行保护,他人只要不进行主动侵犯,个人隐私就能得到保证。隐私权是个人对其私生活安宁、私生活秘密等享有的权利。而个人信息是指能够识别个人的一切信息,包括未公开的和已公开的。在信息社会中,有些个人信息通过多种社交方式必然是公开流通于社会中的,比如,个人身份证号、家庭住址、手机号码等。所以,个人信息中既包括未公开的隐私部分,也包括已公开的其他信息。
(三)个人信息具有人身性和财产性
个人信息的人身性,主要体现在人格利益。个人信息表面上记载着公民个人识别性和个人背景材料,但这些信息实际上承载着人格利益。体现为公民个人希望对个人信息的独占,享有未经主体同意就不能被他人知晓和利用的权力。在生活中,泄露的个人信息一旦被滥用及非法使用,往往会给当事人造成一定的心理恐慌和精神困惑,这将严重妨碍日常生活。同时,个人信息作为一种被商业需求的信息,可以通过允许他人使用信息获得一定的利益,因而具有一定财产属性。
二、我国个人信息保护的法律现状
我国现有的一些法律虽然涉及对个人信息的保护,但比较零散,尚未形成完整的法律体系。现有法律法规中涉及个人信息保护的内容有200多个条文,分散在37部法律、15部司法解释、124部行政法规和部门规章中。现行法律未将个人信息作为直接的保护对象,对个人信息的保护散落在各部门法及行业规范中。首先,在隐私权保护方面中,仅提供了有限和间接的保护名誉权的规定中,《宪法》和《民法通则》都有对隐私权的间接保护。其次,在通信领域、居民身份证个人信息保护方面、储户个人信息保护方面、公民医疗信息保护方面、个人档案保护方面,主要通过在《邮政法》、《居民身份证法》、《传染病防治法》、《执业医师法》、《护照法》、《档案法》等单行法中设置专门条款对公民的个人信息加以保护。在个人信息的保护手段上,主要依靠行业内部规范或信息持有人、控制人的单方承诺,如《中国工商银行员工行为守则》、《医务人员医德规范及实施办法》、《医疗机构病例管理规定》等,但由于目前金融、电信、房地产等行业目前还没有稳定的、具有约束力的个人信息管理规范,所以,个人信息管理和保护仍很不到位。除了上述对不同领域的个人信息的规制外,法律也加大了对侵犯个人信息的处罚力度。尤其《刑法修正案(七)》新增加了“出售或非法提供公民个人信息罪”和“非法获取公民个人信息罪”,加大了个人信息犯罪的刑法打击力度。
2013年,2月1日起,国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)正式实施。该《指南》属国家标准“指导性技术文件”类,对利用信息系统处理个人信息的活动起指导和规范作用,目的是提高企业个人信息保护技术水平,促进个人信息的合理利用。《指南》的出台将对后续个人信息保护的相关工作起到指导性的作用,相关监管部门可以依据国家标准的技术支撑,规范企业对个人信息的使用。
从目前我国的立法来看,虽然《指南》出台,标志着我国针对个人信息处理行为将“有标可依”,使公民对个人信息保护的诉求得到有效解决。但是这个标准仅具有指导性,没有强制执行力。而目前我国的个人信息保护主要是个人隐私信息,但在隐私保护方面,也仅仅只是提供了有限的、间接的隐私保护。与国外相比,远未达到提供有效保护的程度。
三、国外个人信息保护的立法借鉴
目前,国外有关个人信息保护的立法模式有两种:一种为欧盟模式,即制定一个统一的个人信息保护法来规范个人信息的收集、处理和利用,并设置一个综合监管部门集中监管。另一种为美国模式,即分散立法和行业自律相结合的模式。分散立法和行业自律分别体现在公领域和私领域,监管部门也是根据个人信息的具体不同内容来分别设置。
(一)欧盟模式——统一立法
欧盟在个人信息保护方面采取了以国家立法为主导的模式,主要通过综合立法来实现对个人信息的保护。其特征体现在:1.通过综合立法对个人信息进行保护。其对个人信息的法律保护要经过两个层面:首先,由欧盟“指令”,为各成员国制定数据保护的法律框架提供依据。《数据保护指令》、《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于在信息高速公路上收集和传递个人数据的保护指令》、《隐私与电子通讯指令》等一系列条约或指令,对欧盟各成员国制定个人信息保护法起到了宏观指导作用。其次,欧盟成员国在统一指令框架下,根据指令的内容和本国实际情况制定了个人信息保护法。如德国的《通信法案》、《多媒体法》以及《联邦数据保护法》等。2.欧盟模式在内容上更关注对私人领域的个人信息保护。欧洲国家认为个人信息权利是公民的一项基本权利,公民有权自主决定其个人信息是否公开。欧盟成员国对于政府权力的限制较少,主要通过国家综合立法来确立个人信息保护的原则、具体制度和措施。
欧盟的这种统一立法模式使得对个人信息的保护更加具体全面,但这种保护模式也有缺点,如欧盟委员会等机构缺乏执行能力,欧盟本身对于相关违法行为无力处罚,需要依赖成员国的数据保护机构来进行制裁,而欧盟成员国内部对此类行为的监督又受到很多因素的制约。此外,全面细致的规定可能会阻碍个人信息的正常流通,限制企业的自由发展。
(二)美国模式——分散立法和行业自律相结合
美国的行业自律模式是普通法系国家个人信息法律保护模式的代表,其核心内容是:1.立法方式上表现为行业自律和单行法规相结合。因为基于政府权力应受到限制和保护公民个人自由的思想,美国对于隐私权的保护更关注个人自由免受公权力的侵犯。一部统一的个人信息保护立法很难被各个公共组织一致接受。其对个人隐私权的保护实际上是由个体消费者通过个人行为来实现的,政府对个人隐私的保护只是起到一种协助和指导作用,并不直接介入干涉。尽管美国制定了普遍适用于整个联邦的《隐私权法》、《电话消费者保护法》等一系列法律,但其中多数是针对某些特定情形、某些特定商业部门有可能滥用公民隐私权等的立法。2.保护内容的二分性。保护领域从内容上看,对个人隐私权的法律保护主要划分为公、私两个领域,并采用不同的保护方式:在公领域,美国政府制定了大量的单行法规来规范政府行为,保护公民隐私权;在私领域,主要通过从业者的自我约束和相关协会的监督管理来保护公民的个人隐私安全。
这种针对不同领域采取不同分散立法的方式,有效避免了国家立法对个人信息正常流动的干预,有利于在有限保护个人信息的前提下充分促进信息的自由流通。但该模式的最大弊端是缺乏合理的争端解决机制,行业自律在实践中的效果不佳。同时企业自律模式也可能会导致部分企业采取规避个人信息保护的政策,侵害个人信息隐私权。
四、完善我国个人信息保护的建议
(一)加快立法
目前我国一些法律虽然涉及了对个人信息保护的内容,但比较零散,也缺乏法律位阶较高的法律,没有形成严密的个人信息保护法律网。要实现对个人信息的最佳保护,必须通过立法。对于具体立法模式,欧盟模式更适合我国的国情,即由国家制定专门的个人信息保护法,统一规范个人信息的收集、处理和利用。在具体法律内容上,构建保护个人信息安全的完整法律体系,应建立保护个人信息安全的基本法律制度。包括个人信息处理活动应当遵循的原则、信息主体在个人信息活动中享有的权利、相关组织机构在处理个人信息过程中需承担的义务、非法手段获取个人信息的行为的惩治措施、个人信息保护的监管体制等。只有把个人信息保护纳入到法治化的轨道,才能实现对个人信息的最佳保护。
(二)加强行业自律
鉴于各行业情况千差万别,在完善法律制度的同时,必须同时由行业组织根据行业自身特点,结合个人信息保护的通行原则,制定个人信息保护的标准规范,通过行业自律的方式,开展个人信息保护工作。行业自律是一种事前的预防机制,需要行业内部规范现行发挥作用。我国《指南》的实施,对于各行业建立行业内部约束标准具有很好的指导作用。同时,我们应借鉴国外的经验和教训,权衡保护个人信息同保护其他权利自由之间的关系,在不妨害个人信息自由流通的前提下,尊重和保护个人信息。