公民个人信息安全
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇公民个人信息安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
公民个人信息安全范文第1篇
[基金项目]本文为国家社会科学基金(BSH031)阶段性成果。
一 、网络时代的个人信息安全危机
网络时代,随着信息产业的日益发达和互联网的迅猛发展,以计算机为基础的信息技术使得收集、储存、传输、处理和利用个人信息变得易如反掌,个人信息的收集与交换出现了爆炸式发展的态势。科学技术从来都是一把“双刃剑”,网络在使信息流动便捷的同时,也给个人信息安全带来挑战,提高了个人信息保护的难度。近年来,个人信息泄露事件频发,并呈现迅猛发展的态势,人们越来越强烈地感受到个人信息安全危机给生活带来的种种困扰。
网络时代的个人信息危机主要有如下表现:一是个人信息失控的危机。随着信息技术的发展,个人信息有可能在系统安全存在漏洞的情况下被不法访问、使用甚至篡改,信息自决权成为空谈[1]。2011年底中国互联网遭遇了史上最大规模的用户信息泄露事件,多家大型网站的用户数据被泄露,几千万个用户账号和密码被公开,给社会秩序和人民切身利益造成严重危害。二是个人隐私和尊严的危机。在网络环境下,人们越来越多地把自己的生产和生活移到了网络空间,这个空间是由“个人信息”组成的“数字人”的交往空间。大量个人信息在不知不觉中被收集,个体在社会生活中急速“被透明化”,现代人因此而成为“透明人”或“半透明人”,个人毫无隐私可言,尊严难以保证。三是信息利益的危机。个人信息主体的信息收益权被不法商家夺取,个人信息利益丧失,信息主体的财产权因此而受到侵害。更为严重的是,个人信息危机带来的“信息阴影”已经日渐扩散,正常的社会秩序正因此而面临严峻的考验。个人信息安全的危机,将破坏商业秩序,滋长犯罪、危害社会稳定,制约经济发展,甚至引发公共安全危机。鉴于此,公民的个人信息保护势在必行。
目前,我国在个人信息保护领域的行动主要体现在对泄露公民个人信息的行为和当事人进行追究和打击等补救措施上,这实际上属于一种“事后救济”的反馈控制,不仅已经泄露的个人信息“覆水难收”,而且个人维权成本非常之高,根本无法控制已经泄露信息的网络传播,既治不了标,更治不了本。如何应对网络时代对个人信息安全的挑战?我们建议对个人信息保护引入一种新的思想和机制——前馈控制。
二、 前馈控制与个人信息保护的关系
前馈控制(feedforward control)早期是一个工科领域的名词,后来被引申到管理学中,指通过观察情况、收集整理信息、掌握规律、预测趋势,正确预计未来可能出现的问题,提前采取措施,将可能发生的偏差消除在萌芽状态中,为避免在未来不同发展阶段可能出现的问题而事先采取的措施。简而言之,就是事先分析和评估即将输入系统的扰动因素对输出结果的影响,并将期望的管理目标同预测结果加以对照,在出现问题之前就发现问题,事先制订纠偏措施,预控不利扰动因素,将问题解决在萌芽或未萌状态[1]。由此可见,前馈控制是与反馈控制相对而言的。反馈控制是面对结果的控制,旨在亡羊补牢;前馈控制是面向未来的控制,旨在防患于未然。前馈控制的优势在于可以避免反馈控制的“时滞”缺陷。[2]
凡事预则立不预则废。前馈控制立足于“预控”,是对公民个人信息保护的一个新视角、新方法、新技术和新手段。前馈控制将事先分析和评估个人信息传播过程中可能出现的各种问题和困境并对其问题实施超前控制。比如说充分利用法律法规的前馈控制功能制定专门的《个人信息保护法》,对个人信息的收集和使用过程中的违法违规行为进行预测,并做出详细的处罚规定,从而有效防止违法行为的出现。对掌握公民个人信息的单位进行全方位监管,对个人信息的收集、利用、提供和删除等各环节进行严格排查,尽量避免任何环节的纰漏。提高安全管理技术和全民的个人信息保护意识,都能在很大程度上防止个人信息安全危机的发生,使个人信息保护更有效,进步更显著。
总之,前馈控制能使我们在网络时代个人信息保护的过程中掌握更大的主动权,只有前馈控制做好了,才能真正保护好公民个人信息安全。
三、 对个人信息安全保护实施前馈控制的若干建议
对个人信息安全保护实施前馈控制所包含的内容非常广泛,限于目前的认识水平和篇幅,我们主要提出以下建议。
1.建立和完善个人信息安全保护的法律法规
法律是一种社会规范,具有规范作用,法的规范作用表现为指引、评价、教育、预测和强制五个方面。其中,教育作用是指通过法的实施使法律对一般人的行为产生影响。这种作用又具体表现为示警作用和示范作用。预测作用是指凭借法律的存在,可以预先估计到人们相互之间会如何行为,对行为的预期是社会秩序的基础。完善法律法规是对公民个人信息安全危机进行前馈控制的关键环节,充分发挥法律法规“令人知事,明其法禁”[3]的前馈控制功能,用有强制力的条文明确各方的权利与义务关系,能够在很大程度上对个人行为起到规范作用。大多数发达国家都制定了关于个人信息保护的法律,如美国有《信息自由法》和《隐私法》,德国有《联邦资料保护法》,日本和韩国都有专门的《个人信息保护法》,我国香港地区有《个人资料(隐私)条例》等。然而,我国大陆在个人信息立法上却处于滞后状态,专门的个人信息保护法律历经多年却仍然难产。近期通过的《关于加强网络信息保护的决定》(以下简称“决定”)对于我国网络信息保护具有突破性的意义,重点解决了我国网络信息安全立法滞后的问题,体现了国家对于网络信息安全的高度重视,但是《决定》更多的带有宣示性意味,后续仍需要细化工作。
个人信息牵涉每一个人,网络时代最大的特点就是信息的汇聚性,当所有人的信息汇集的时候,信息保护就不是哪个部门的事了,而是在国家层面上需要考虑的战略性问题。从现实看,当前最需要的是加紧推动《个人信息安全保护法》的研究和制订,明确买卖个人信息罪名的界定标准并加大惩罚力度,对擅自披露他人个人信息和未经许可的二次开发利用者给予严厉打击。除了刑事责任外,其他相关的行政责任、民事责任等还应当及时跟进、完善。要保障个人在信息泄露后有获得补偿和救济的权利,明确机构对公民个人信息流失所造成损失的赔偿责任和责任划分原则,比如银行信息泄露后个人账户中的钱被盗,银行需对个人损失进行补偿。继续细化《决定》中的规定,对与《决定》有关的行政法规进行清理,对有些不一致、有冲突的地方,还要进一步加以衔接,同时抓紧制订相关的配套法规。通过法律法规的制订,将公民个人信息保护过程中可能出现的问题进行合理预测,让规定走在行动前面。但是保护个人信息本不应该牺牲信息的流动性,好的立法应该在保证个人信息的合理流动与个人信息的全面保护之间寻找到平衡点,选择吸收各种立法模式的有益经验并结合本国的法律传统和具体国情做出合理的制度设计。
2.建立个人信息安全保护的监管机构
网络时代个人信息泄露的形式多样、手法灵活,应对网络时代的个人信息安全危机,单靠法律不足以解决所有问题,要做到有法必依、执法必严,否则法律不过是纸上谈兵。强有力的行业监管是实施前馈控制的重要手段和有效途径。新通过的《关于加强网络信息保护的决定》明确规定,有关主管部门应当在各自职权范围内依法履行职责,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。在我们国家,个人信息保护目前仍然处于各自为政的状态,某种程度上说,管理者和被管理者并没有严格地区分开,管理部门和被管理对象处在同一个行业,很难完全客观、公正地进行执法。机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息。这些行业虽然有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等,但由于部分从业人员法律意识不强,企业管理、执行不到位等情况,存在制度漏洞。因此,这些行业成为个人信息泄露的“重灾区”。 从其他各国情况来看,建立一个独立、统一、权威、有效的监管机构是普遍经验,比如英国的网络自律协会IWF(Internet Watch Foundation),它能够超出行业的局限,独立公正地执法。公民个人信息安全保护,在法律法规之下,需要政府强化监管,只有完善和加强监管才能让无良者无处遁形。应该设立专门的个人信息保护监管执法机构,加强对信息持有单位的监管,进一步加大监督检查力度,建立预警和预控相结合的前馈控制机制,强化对个人信息的事前管理,包括个人信息的获得、收集、持有和使用各个环节全面监管,不要等信息泄露,危机发生之后才补救。充分重视自律机制在个人信息保护中的作用,拥有个人信息采集权的部门和单位要加强行业管理,用行业制度规范个人信息的处理行为,通过行政执法、刑事执法、民事救济手段配合建立政府引导下的行业自律机制和模式,从源头上预防和遏制对个人信息的侵害行为。拓宽公民监督举报渠道,进一步畅通举报受理机制,鼓励公民个人参与个人信息泄露的监督。
此外,尊重网络用户的个人选择权利。就是说,个人角色选择及隐私设置,想匿名还是实名应该由网络用户自己决定。可以提倡有些商业网站的做法,对用户信息采取“分级查看”的权限设置,除了必要的管理员,一般员工无权从后台查看用户的注册信息,倘若确有必要查看,必须按照严格的程序报批。在互联网上,必要时应明确限制政府的权力,有些数据政府必须得到合法的授权才可以看。
3.建立个人信息安全保护的前馈控制技术支撑体系
前馈控制不仅是方法,某种程度上更是一种技术和手段。对个人信息进行保护,除了法律和监管,还需要安全管理技术的提高。“黑客”的攻击,是一些网站数据库失陷的原因。一些网站的疏于防范,给“黑客”造成了不少可趁之机。通过技术手段可落实安全保障,要加强网络安全防护,依据分区域、按等级、多层次的防护思路进行安全规划、安全评估、安全加固与安全维护,并且对已有的安全技术进行改进与完善。建立信息安全管理体系(ISMS),通过系统、全局的信息安全管理整体规划,确保用户所有信息资源和业务的安全与正常运行[1]。网站要在安全建设方面加大资金投入力度,网络运营商应该尽到自己的保密义务,改变数据库存放策略,在当前技术范围内最大限度保证信息安全。比如我们可以设计一种软件,如果我们把自己的个人信息输入到某个网站之后,该网站三个月之后会自动删除我们输入的信息,不会把我们的个人信息留下,这样的话在技术层面上能够保证个人信息的保护。还可构建信息安全平台,为用户提供保护信息安全的产品。
建立个人信息安全前馈控制系统。研究个人信息所处环境中可能存在的缺陷、漏洞及面临的威胁,通过安全风险评估技术,观察、测试、收集、评估、分析个人信息存在风险的不确定性和可能性等因素,构建预警体系,制订预控策略和方法,最大限度地避免和减少可能的损失。
4.提高公民的个人信息安全保护意识
公民个人信息安全范文第2篇
公民个人信息的概念理解
1、公民个人信息的定义和内容
个人信息是指有关一个可识别的自然人的任何数据信息。不局限于以可以处理形式存在的信息,它包括任何种类的信息,只要这种信息是有关个人的;并且只要这个人是可以识别的,不论是活着的人还是死去的人。
我国公民的个人信息包括以下内容:标识个人自然情况的信息,如性别、出生日期等;标识私人的并且与公共利益无关的活动的数据资料,如日常生活、社会交往、夫妻之间生活、教育背景等;标识私人隐蔽范围的数据资料,如身体的隐蔽部位、个人居所、旅客行李、学生书包、日记、医疗记录等;与自然人上网有关的个人信息资料,如公民个人上网登录时留下的一些相关信息数据;自然人的商业消费、银行保险等方面的记录。
2、个人信息的特征
个人信息的所有权主体是数据的生成者(数据主体)。网络个人信息的所有权主体,应该是该数据生成的主体,即依据该个人信息可以判断和识别的自然人。正常情况下,网络个人信息的提供者就是个人信息的所有者。需要强调的是个人信息的提供者并不一定是个人信息的指向者,可以由他人来提供,但是这并不影响个人信息所有权的界定。
个人信息是可识别主体的个人信息。个人信息也就是有关个人的信息,但是这个个人只能是自然人。个人的概念不仅包括活着的人也包括死去的人。主体上不包括国家的任何组织和其他的机关的信息。个人信息主要是指足以对主体的自然人进行识别的信息,包括个人的身世、健康状况、财产、婚姻、经历、住所等。
个人信息是个人隐私的重要内容。隐私权是公民个人的重要权利,是指公民对其个人生活秘密和个人生活自由享有不受他人干涉的权利,它实际上是一种生活的自由权。在网络时代,公民的个人信息构成了公民隐私的重要内容。
影响民生档案内个人信息安全的隐患
1、个人信息管理软件和数据采集标准缺乏规范性
目前,个人信息的采集、管理是分布在各个单位之中,国家机关、银行、商业企业等都可根据各自的需要来采集、管理个人信息。当前在全国范围内,个人信息的录入、采集、整理所利用的软件并没有统一,针对个人信息采集的数据项、标准也都无法统一。这种不统一,不利于个人信息的利用和长期保管,如果个人信息需要交换时,则更为麻烦,甚至出现个人信息在不同的计算机和不同的软件下无法还原或数据丢失的现象。
2、民生档案信息采集单位的分散性
目前,我国民生档案信息的采集、管理也都是分散在各个单位之中的,这就造成了难以有效控制个人信息的局面。此外,不同单位在区分个人信息的保密程度、个人信息的利用限制方面也都会存在差异。单位分散性直接造成了个人信息采集标准和利用标准无法统一,为个人信息的泄露带来了巨大隐患。
3、民生档案内个人信息采集与利用的准入制度尚未建立
个人信息对国家和个人的影响都非常大,民生档案采集的个人信息往往是公务行为,需要国家法律授权,而对于一些商业机构,国家也必须建立必要的准入制度。国家颁布的相关法律,必须针对个人信息的采集资格和利用范围作出明确规定,同时国家相关机构对采集、利用个人信息的范围和资格也要作出明确限制,以体现国家监管力度。
4、信息管理和利用的保障力度不够
民生档案内的个人信息需要依赖计算机处理数据,计算机的硬盘上都存储了大量的个人信息,必须防御病毒入侵。个人信息的泄露不仅仅指数据被外人所复制,如果被植入病毒,将造成大量数据泄露,也同样会造成巨大危害。此外,还要确保存储个人信息的介质的安全性和可控性。个人信息的内容是不能随意公开的,必须办理审批手续,才可以被公开、复制、查阅,以确保信息安全。
确保民生档案内个人信息安全的措施
1、创立确保民生档案体系内个人信息安全的法律环境
国家要制定法律法规,严格规范民生档案建档单位对个人信息的采集、利用资格和利用范围,制定各种防范措施,明确个人信息的采集、利用方和数据主体人的权利及义务,确保有一个良好的法制环境。民生档案的立档单位要加强自律,强化管理理念,完善措施,确保信息数据的可控性。
2、民生档案管理要统一个人信息管理软件
国家有关部门要实施调研、论证,并依托技术部门开发具体的软件,要确保开发出的个人信息管理软件,具有全国普遍适用和安全的性能。这样,不同社会单位在采集、整理、存储、整合、交换这些数据时,就不需要再进行转换,以确保数据的真实、完整、不缺失。
3、个人信息采集与利用的准入制度和职业资格要求
民生档案内的个人信息采集、利用对国家和个人影响都非常大,虽然国家机关采集的个人信息往往是公务行为,国家法律已经直接授权,不需要专门的准入制度,但是对一些商业机构,国家却需要确定必要的准入制度。可以先审批其是否具备建立个人信息库的资格和安全标准,以确认是否可以准入;再明确准入后的数据使用范围和必要权限。对于一些业务范围大、涉及采集民生档案个人信息量大的单位,国家要建立专门的个人信息管理员职业资格制度,对这些人员进行考核,并对资格单位和资格人进行年审。年审不符合要求的,可以采取取消资格作为惩罚。
4、严格控制民生档案内的个人信息的知悉范围
民生档案管理单位要提高个人信息管理人员的信息安全意识,加强防范措施,从根本上杜绝威胁信息安全的隐患。个人信息的知悉人员应该有严格限制,个人信息的直接管理人员必须严格控制在知悉范围内,要做到:无关人员不接触个人信息,不允许超越职权、利用、复制个人信息。个人信息采集、利用单位,应该按照相应规定做好登记、审批工作,还要定期做好监督、监管工作。
5、严格管理民生档案的各种信息载体
公民个人信息安全范文第3篇
(一)国家法律法规建设情况
我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规定。《民法通则》第99—101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》将侵犯公民个人信息的行为纳入刑事犯罪的范畴,规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第29条则规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密,不得披露。对个人储蓄银存款 ,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求,是商业银行在办理个人存款业务时必须遵循的原则。
(二)部门规章建设情况
人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”;《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第28条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”;银监会《商业银行信息科技风险管理指引》第四章以专章形式规定了信息安全,对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”;《商业银行信用卡业务监督管理办法》第3条规定:“商业银行经营信用卡业务,应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。
二、我国银行客户个人信息保护存在的主要问题
(一)客户个人信息保护法律法规缺失
1.行政法责任缺失。我国尚未制订专门的《个人信息保护法》,对个人信息的保护主要依据《民法通则》中对个人姓名权、肖像权和名誉权的规定,个人信息主体的权利难以得到全面明确和保护。从我国现有法规来看,对侵犯公民个人信息的行为,《民法通则》规定了损害赔偿的民事责任,《刑法》规定了出售、非法提供及非法获取公民个人信息应承担的刑事责任,而在行政法层面,对于侵犯银行客户个人信息但尚未构成犯罪的行为,银行业监管法规没有适用的罚则,监管部门也缺乏对银行违规泄露客户信息的罚则。
2.例外规定缺失。银行对客户个人信息的保密与保密例外是银行保密制度中并行的两大部分,遗憾的是我国法律法规在规定银行负有保密义务的同时,却没有系统地规定保密例外的情形,而仅是为了执法与司法的方便,在《民事诉讼法》、《刑事诉讼法》、《税收征收管理法》等法律法规中,分别赋予人民法院、人民检察院、公安机关、税务机关等机构在特定情形下查询、冻结和划拨银行客户资金的权力。现有法律法规没有将基于当事人授权、社会征信及社会公共利益而进行的信息公开等列为银行保密义务的例外,不利于对银行业和社会公众合法权益的保护。
3.监管法规缺失。一是规定较为零散。现行银行业监管法规仅分别针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定,无法覆盖银行业提供的各类业务全流程。二是针对性不强。如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》虽然对客户信息安全管理做了一些规定,但立法目的是加强反洗钱,不是针对客户个人信息保护。三是原则性规定较多,缺乏具体条款,可操作性不强。
(二)银行客户个人信息保护不力的表现
1.管理架构不健全。目前,部分基层银行业金融机构的管理重点更多的仍倾向于存贷款规模、资产质量、利润等业绩指标和信用风险等常规风险管控,而未将客户信息保护纳入银行整体风险管理框架中。客户信息多头管理,未成立专门的客户信息风险管理领导机构,缺乏有效的制约机制,员工风险意识较为薄弱,基层银行业信息管理漏洞较为突出。
2.尺度标准不一致。由于对客户信息保护缺乏统一的行业标准,银行业间执行情况参差不齐,主要表现在客户信息保护的侧重点不同、客户信息使用管理制度不一致等方面。对客户信息资料处理的执行标准不一加大了外界在政策把握方面的难度,不利于引导客户及时行使保护个人信息安全的权利,在银行内部约束机制引发客户投诉与纠纷,加大了银行经营管理中的操作风险和声誉风险。
公民个人信息安全范文第4篇
政府建立健全个人隐私保护法律
加强网络安全管理,保护公民个人隐私,政府管理部门责无旁贷。
北京邮电大学互联网治理与法律研究中心主任李欲晓提出,应将个人信息保护纳入到国家战略资源的保护和规划范畴内。他说,大数据时代个人隐私构成现代商业服务业和网络社会运行管理的基础,因此对任何国家而言,个人信息都是其发展的战略资源。而目前在我国,从网络的系统、设备、硬件、到操作系统、应用软件、智能终端乃至芯片等核心技术仍处于巨大的安全风险之中,这不仅对国家安全产生威胁,而且对接近一般国民数量的广大网民的个人隐私产生严重威胁,需要从国家层面建立个人信息保护的战略和规划。
事实上,自21世纪以来,我国陆续出台了一系列与信息安全相关的法律法规,将信息安全保障提高到了战略高度;然而,在网络信息安全保障方面,还存在不少漏洞,使得网络黑客和非法牟利的商业机构有机可乘。
反观美国和欧洲的经验,其信息安全的法律保障往往与社会诚信体系建设相一致。美国的信用信息服务产业已经发展成为一个层次分明、各领域深入渗透、覆盖面极广的庞大体系。在该体系下,信用信息与社会法制等基础要素建设产生的“协同效应”,在企业信息监管与个人行为监督中发挥着重要功能。健全的网络空间、信息安全的法律法规,不仅成为惩治网络犯罪的有力武器,也成为政府和民众防范网络攻击的重要保障。
对此,赛迪顾问电子信息产业研究中心总经理韩耀强在接受记者采访时表示,进入大数据时代之后,数据安全与隐私问题从现实社会映射到数字空间,这对现行法律体系是一个新课题,因此必须要对数据的所有权、使用权、知情权等一系列问题给出明确的法律界定。否则,数据的滥用将对企业、个人的安全和利益构成重大侵犯,从而阻碍大数据产业的健康快速发展。
企业从技术层面保障用户隐私
保护大数据时代的个人隐私,既要靠法律,又要靠技术。在技术层面,一方面企业要能提供技术保障,防止不法分子侵入系统,盗取个人信息:另一方面企业间要鼓励行业自律,相互监督。
近两年,国家对信息安全越来越重视,将信息安全产业的发展提高到国家战略的高度,并写入了《十二五规划》,可以看出国家大力加强保护信息安全的决心。但是,企业保护信息安全最重要的还是靠对自身需求的觉悟与坚定。
在此,有关行业专家指出,企业可以通过整体性的策略对自身的数据进行泄密防护:其一,如同木桶原理,防泄密的最终效果完全取决于整个防护环节中最薄弱的地方,因而要对包括服务器、计算机终端、笔记本电脑、U盘外设、网络以及文件外发等在内的数据使用整体环境进行全方位的防护,防止让黑客“钻空子”:其二,以数据为核心,从数据存储、传输、使用环节进行全周期防护。当中,在数据存储与使用过程中可以采用密文的形式进行防护,但是在打开数据的使用过程中,数据必然是处于明文状态的,而此时如何防止数据的泄密,也是一个必须考虑的问题;其三,对数据泄密须提供多层次的防护,单纯地加密是不够的,还应该包括密钥管理、身份认证、访问控制、安全审计等一系列的安全防护手段,增强对数据查看者和使用者的资质审核。
同时,各大企业作为公民个人信息的主要载体,更应该加强员工的道德自律,加大对公民隐私的保护力度。早前,坊间流传的“快递单贩卖”着实让人吃了一惊,印有完整个人信息的快递单竟被作为商品进行买卖,一条售价4毛到1元,买卖双方大多通过互联网完成交易,购买者遍布全国,形成了一条巨大的灰色产业链。据调查发现,网店店主是购买快递单信息的主力军,即通过制造虚假交易量来提高网店的信誉度。而除此之外,快递单信息还会被用于“电话营销”等用途,并为冒领快件、入室盗窃、抢劫杀人等刑事犯罪活动打开了方便之门。
令人惊讶的是,这些被销售的快递单信息都来自于正规的快递公司。究其源头,加盟制是祸首。在当前法律与资金的限制下,大部分的快递企业实行加盟模式。该模式管理松散、监管不到位,且公司对网点负责人、快递员等基层员工的培训和管理也不够规范,使得这些分公司和加盟网点成为了发生信息泄露的“重灾区”。笔者在多家快递公司的网点看到,工作人员对客户个人信息的管理不够严格,甚至有的网点只有一两名员工留守,贴好面单的包裹快件随意摆放,收发件人的地址、联系方式、姓名等私人信息都能轻松看到。而媒体在暗访中发现,几乎所有的快递员起初都表示,所有快递单都要按照公司规定交回总部处理,但当记者将每张快递单的价格从2毛提高到6毛时,部分快递员同意将手上的快递单信息以电子版的形式卖给记者,几名快递员甚至还特意留下了记者的联系方式,表示可以“长期合作”。可见,在这些个人信息保护全凭职业操守的岗位,企业应强化相关的管理制度,加强对员工的宣讲,并严格处罚措施,一旦发现有泄露信息的行为就严惩不贷。真正的保护者是用户自己
中国互联网协会政策与资源委员会专家成员于国富认为,目前相关部门监管互联网个人信息安全的一般过程为用户举报,政府迅速介入,调查取证,出台法律进一步规范。而在这个过程中,他认为,用户起到最关键的作用, “大数据时代,用户看到的是个人信息的脆弱性,厂商也存在脆弱性,一旦出现问题,可能就出现用户‘用脚投票’的后果,一夜之间,出问题的厂商就会失去用户市场。这也倒逼着互联网行业自律。”
中国人民大学教授、信息安全学科学术带头人石文昌则以自己的亲身经历介绍说,保护个人数据安全事关互联网厂商和用户双方,涉及到个人重要数据传输,比如登陆个人网银,如果个人对这个软件没有把握,就需要慎用。选择标准主要是看软件的口碑以及信用度等, “用户不是专家,除了慎重选择,没有别的办法。”
那么,用户如何来保护个人的信息安全呢,互联网安全专家给出了一些秘诀:
首先,个人应设置三套密码,聊天、邮箱、支付分别使用。 “不同网站、邮箱确实需要设置不同的密码,这样可避免一家网站被黑导致注册邮箱和密码泄露。”360安全专家安扬建议说,网友在设置密码时应对密码分级管理,重要账号(如常用邮箱、网上支付、聊天账号等)必须单独设置密码。“如果能养成定期修改密码的习惯,可有效避免网站数据库泄露影响到自身账号,另外工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。”
而怎样的密码设置安全性比较高呢?“密码复杂程度尽量是数字加字母再加符号。”杭州某知名网站运维主管COCL说, “字母+数字+特殊符号”的密码强度比较高,生日、电话号码、简单的数字组合、字母组合密码强度很低,为了信息安全最好避免使用此类密码。
其次,养成定期清理电脑的习惯。上网时你是否曾发现类似情况:在很多不同网站都能看到自己曾搜索过的关键词的广告。你是否意识到,此时你的兴趣爱好、工作特点等个人隐私信息已经被暴露。有网友建议可以通过使用含有“禁止跟踪”功能的浏览器保护自己的隐私。
对此,安扬说: “浏览器禁止跟踪功能可以禁止广告公司等第三方网站的cookie,能够在一定程度上降低被广告平台跟踪上网行为、推送精准广告的风险。但由于cookie也具有方便用户登录网络账户等积极作用(在一定有效期内,无需重复输入账号密码进行登录操作),而且在线广告也是互联网服务商的主要盈利模式之一,因此目前人们常用的浏览器大多没有禁止跟踪功能。”他表示,一刀切式的“禁止跟踪”可能造成上网时需要反复登录账号、无法记住游戏进度等不便。相比之下,他更推荐网友使用电脑清理功能,设置自动清理电脑中的跟踪cookie、购物网站cookie和广告植入等信息,保留对用户更有价值的cookie,这样既能保护隐私,也不影响日常使用。
在大数据时代,人人都被抛掷到信息的海洋里。我们在享受“大数据”带给我们的各种便利同时,也在不知不觉中为此付出了代价。大数据呼唤数据安全,虽然这个过程显得十分艰难,甚而至于有些残酷,但却是势在必行,刻不容缓。
记者手记
大数据时代需要自主的信息安全
近年来,接二连三发生的信息泄密事件为我们敲响了警钟,如何保障个人信息数据的安全成为了摆在我们面前,迫切需要解决的问题之一。
大数据时代,我们需要信息安全,而且是自主的信息安全。这里的“自主”包含了两层含义,即能够主动地防御信息泄露的危险也能够拥有信息安全的自主控制权。
当前,政府部门正在进一步健全相关的法律机制,从多渠道保护公民的个人隐私。其中,保障数据安全的技术日新月异,政府对数据采集企业的监管步伐不可能快过技术的发展,因此就要求相关部门能够密切留意行业发展,一旦某公司的数据软件出现问题就马上介入,依法对其进行调查、处罚。公民个人也要提高安全意识,涉及个人重要情况的数据传输一定要慎之又慎。
公民个人信息安全范文第5篇
一、档案信息化过程中存在的安全问题
1.信息在传输、存储中存在泄露、损坏隐患。传统的档案运输和储存通常受到时间和空间的限制,需要耗费较多的人力、物力,但信息泄露的渠道较为单一,窃取和损坏信息的成本较高。而在信息化的档案管理中,档案数据的传输和存储一般通过互联网或者移动存储设备来进行,流通流程大大减少,成本低、速度快,但这同时也加大了信息泄露、丢失、篡改的风险,并且与传统纸质存储方式不同的是,数据信息一旦泄露便无法完全回收,这也导致其泄露的后果更为严重。而在档案的保管环节,也存在着数据损毁的风险,如不定期对电子器件、计算机系统进行定期的维护和更新,如一旦发生硬件损坏,就极有可能导致数据的丢失。
2.恶意攻击和病毒威胁。病毒攻击对档案信息化建设有着巨大威胁。随着大数据和云计算技术的应用,档案存储方式多样化,许多机构选择将档案数据存放在第三方云平台来降低数据管理的成本,这也一定程度上增加了档案数据被攻击的风险。同时,由于对信息化的过度依赖,缺乏应急机制,当发生病毒攻击事件时,档案管理工作直接瘫痪,对公民造成不便。2017年5月,比特币勒索病毒在全球超过74个国家爆发流行,我国多所大学和政府机构的档案管理系统被攻击,公民个人信息、院校学术资料被窃取锁定,给国家和人民带来了巨大的经济损失。
3.公民信息安全意识淡薄。公民个人信息安全意识淡薄也对我国的档案信息化管理造成了一定的影响。在公民进行电子信息的填报和存储时,对信息安全起不到足够的重视,如不注重个人电脑的病毒查杀和定期维护,浏览钓鱼网站使电脑被木马软件入侵等,这些行为都会导致公民的个人信息受到威胁。同时,在日常的信息数据处理时由于粗心大意,导致页面忘记关闭、密码没有遮挡等也都会泄露信息。2016年轰动一时的“高考志愿篡改”案的一部分原因就是由于部分考生未对初始密码进行修改,导致犯罪分子通过身份证信息来篡改这些考生的志愿,产生了极其恶劣的影响。
二、档案信息化的安全对策
1.建立规章制度,规范档案信息处理行为准则。为减少档案信息在传输和存储中的泄露风险,应建立严格行为准则来规范档案信息处理行为,可以借鉴《中华人民共和国计算机系统安全保护条例》和《中华人民共和国档案法》。明确每个人各个环节的责任,并采取责任倒追制度和第三方监督的制度来遏制内部数据泄露的情况。在进行电子档案归档的同时要进行纸质档案的备案,在关键的工作环节要进行摄像、录影对档案处理情况进行记录。同时,对扫描、复印、打印等行为要严格管理,需要第三方授权才可以进行档案数据的备录工作。此外,对进行档案传输存储的硬件设备要进行定期维护,聘请专业的维护机构,保证设备的有效性,在进行设备的更新换代时,要将其中的数据完全清理干净,防止档案被再次回收利用。
2.减少信息托管,定期更新系统。在管理档案时,重要的信息要尽量减少信息托管,如不得不采用信息托管的方式,要拟定较为严格的托管协议,明确双方责任。在平常的档案信息维护时,要及时更新防病毒系统,在大规模流行电脑病毒爆发的初期,要立即开展病毒防范工作,有技术能力自行处理的,要及时将防护系统布置全面,技术能力较为欠缺的委托专业机构来进行病毒防范工作。在已发生病毒入侵事件时,要及时做好事件记录并立即报警,切断数据传输,防止进一步的损失,同时建立完善的应急制度,在系统出现故障和入侵后采用传统的档案管理方式进行工作,保证日常工作可以顺利进行。
