个人信息安全存在的问题范例优秀4篇
【前言导读】这篇优秀范文“个人信息安全存在的问题范例优秀4篇”由阿拉题库网友为您精心整理分享,供您学习参考之用,希望这篇资料对您有所帮助,喜欢就复制下载吧!
个人信息安全存在的问题【第一篇】
关键词:大数据;网络借贷;个人信息安全;法律保护
中图分类号:D923 文献标志码:A 文章编号:1002-2589(2015)15-0076-02
近年来,大数据时代的到来使得网络借贷这一借贷模式得到了快速的发展。但由于网络借贷依托于互联网平台,且互联网本身具有虚拟性,使得借贷客户的个人信息在互联网中被不特定的人群所传播和非法利用的风险不断增加。
一、背景概况
(一)大数据下网络借贷的兴起
“大数据”这一概念是由全球知名咨询公司麦肯锡提出。本文中的大数据是指依托互联网、云计算等新技术产生的大量数据,其在金融、计算机、信息管理等领域发挥了巨大的作用并具有重要的地位和战略价值。通过对大规模数据的分析利用,如收集分析网络借贷平台的交易信息和个人信息等,从而进一步了解客户的资金需求,分析客户群体的共性与个性等以实现一定的经济价值与社会价值。
随着大数据时代的迅速发展,网络借贷作为一种新型的民间借贷模式在互联网间扩展开来。网络借贷是一种依托互联网产生的为放贷人和借款人提供借贷信息,按照一定流程在网络上自动达成借款合同生成电子借条从而完成借贷融资的一种模式。2007年我国第一家民间借贷网络平台“拍拍贷”于上海成立并开始正式运营,这意味着网络借贷模式正在悄悄走入我国民众的生活。经过几年的运营实践,目前我国已形成以上海“拍拍贷”、北京“宜信”为代表的一定数量的民间网络借贷平台。它凭借网络突破了时间和地域的限制,扩大了民间借贷的范围,同时更加充分满足了个人及中小企业的资金需求。网络借贷平台的运营模式采用竞投标的方式,要求借款人进行注册并如实填写具体相关个人信息,如身份信息、家庭住址、联系电话、工作证明、收入状况、银行卡号等,在注册登录后便可在网站上自己的借款需求,包括借款金额、借款期限、借款理由、利率、还款方式等。同时,放贷人可根据借款人的具体需求,通过竞标方式进行放贷活动,通过不断竞价借贷双方最终达成借款协议。在网站对借款人信用报告审查通过后,资金将会流入借款人的账户,网站也将自动生成电子借条,通过电子邮箱、手机短信等方式送达借款人和放贷人。
(二)网络借贷中个人信息安全问题的表现
个人信息的泄露是个人信息安全问题的主要表现之一,是指通过将个人信息进行大范围公开,以实现主体对于自身的信息失去控制的状态。网络借贷不同于其他借贷方式,由于其依托于互联网,非常透明化,需要通过网络了解借贷双方的个人信息,并且网络借贷平台为借贷双方提供“一站式”服务,从信息、审核资料到转账借款等都是由网站进行专门的服务,借贷客户只需要进行会员注册登录,并将自己的个人信息提供给平台,就能进行借贷活动,没有十分严格的准入机制,这就要求平台自身对用户的个人信息尽到保密义务。然而,在借贷平台为客户提供高效便捷的服务外,由于交易完全依赖于网络,其虚拟性和开放性也导致了客户个人信息泄露方面的风险,如客户身份账号等个人信息在交易时被非法盗取、网络借贷平台利用客户个人信息非法获利等。个人信息具有人格权的属性,其不仅具备了精神价值,也包含着巨大的经济价值。2012年某借贷网站就发生了因借款人未及时还款便将用户个人信息张贴在网上公之于众的事件,其中个人信息甚至详细到手机号码和个人照片等,该网站这一行为不仅泄露了用户的个人信息,而且侵害了用户的隐私权。
二、个人信息安全问题的分析
大数据的运行要求大量的数据收集作为运作基础,在网络借贷中,借贷双方需要填写完整准确的个人信息作为借贷的信誉保证,由此网络借贷平台掌握着大量的客户详细资料。并且,便利的数据收集再加之互联网本身的虚拟性,由此在网络借贷中,引发最突出的问题是借贷客户的个人信息能否得到安全保障而不外泄。
(一)平台行业自律问题
大数据时代对于数据本身所拥有的经济价值的追求达到历史的新高度,数据拥有者为了获得相关经济利益而向个人或组织非法出售他人个人信息,这种行为不仅造成个人信息的外泄,更侵犯了借贷客户的个人信息安全的权益。网络借贷平台第三人对于大数据拥有者的恶意进攻会造成他人个人信息的外泄或者传播。目前我国网络借贷行业还没有一个统一的行业标准,因此对用户个人信息的保护存在较大的风险。
(二)相关法律法规的不完善
就目前我国的法律法规而言,网络借贷平台的形式和法律属性还没有得到正式的认定,现阶段针对网络借贷平台出台的相关官方文件仅仅局限于我国银监会的《关于人人贷有关风险提示通知》,且该行业针对网络借贷平台的法律监管问题并未提及。由于对于网络借贷平台的监管力度的缺失,监管门槛特别低,网络借贷平台的监管不力,这就导致第三人对平台的个人信息进行随意的进攻和外泄,对于恶意侵犯者得不到及时有力的惩处。其次,对于网络的发展和个人的信息安全缺乏相关的法律明文规定,在此次的《刑法修正案(九)》(草案)中,七大亮点之一是对于出售或非法提供个人信息,网络虚假信息都将写入刑法中,为了加强对于公民个人信息的保护,扩大犯罪主体的范围,增加出售或者非法提供个人信息安全的犯罪的规定。但是该法律草案并没有将犯罪的危害程度和危害方式得以进一步明确,对于打击恶意侵犯者没有强有力的保障措施。
(三)用户信息安全意识薄弱
个人信息主要包含以下两方面,一是自然属性的信息,即记述个人自然情况的信息,如性别、身高、患病情况等信息。二是社会属性的信息,即自然人在参与社会实践中形成的信息,如婚姻状况、工作单位、通讯记录、银行账号等信息。由于个人信息的人格权属性其同时具备精神价值和一定的经济价值,但部分人对个人信息的经济价值以及网络的安全性缺乏一定认识,对于信息的保密安全意识较为薄弱,因此往往在网络活动中不会对自己的个人信息加以保护,造成个人信息被泄露或非法利用等后果。
(四)网络技术安全指数达不到要求
由于网络本身的虚拟性和透明性,加之网络的数据系统和安全系统也存在一定的漏洞,则大大增加了网站被恶意进攻的危险性,降低了网络的安全指数,造成了个人信息的泄露和非法利用等严重后果。
三、国外网络信息安全保护方式
针对大数据时代的发展对个人信息安全带来的巨大威胁,许多国家在加强网络信息安全的法律保护方面已取得共识。根据“任何对互联网的规制都不应阻碍其发展”这一基本原则,由于不同国家对收集使用网络个人信息对电子商务、网络发展造成的影响的估计不同,因此对依托网络产生的个人信息安全问题的法律保护、救济的模式不同。总体来说,有关国外网络信息安全保护方式可以分为立法规制与行业自律两类,分别以欧盟和美国为代表。
欧盟主要通过完善法律的手段来保护个人信息安全。为了保障个人自由和基本人权,并确保个人信息资料在欧盟成员国之间的自由流通,欧盟议会在1995年10月24日通过了《欧盟个人资料保护指令》。在该指令中,资料控制者存在以下义务:保证资料的品质、资料处理合法、敏感资料的禁止处理与告知当事人等。资料当事人则享有接触权利与反对权利,并有权更正删除或封存其个人资料。
与欧盟相比,对于网络上的个人数据及隐私保护,美国更注重行业自律的保护方式。FTC就该问题制定了四项“公平信息准则”:要求网站搜集个人信息时须发出通知;允许用户选择信息并自由使用信息;允许用户查看有关自己的信息并检查其真实性;要求网站采取安全措施保护未经授权的信息。
四、完善网络借贷信息安全体系的建议
(一)建立健全个人信息保护立法
一方面,加快互联网金融的个人信息法律保护,尽快建立健全相应的个人信息保护立法,在法律上确认个人信息的商业价值,将具有法律上的隐私性质的个人信息加以重点保护,应当将非法买卖和滥用个人信息行为定位为财产侵权的犯罪行为,将他人信息泄露和传播的行为定位为权益侵犯的犯罪,对于影响范围较广,损害程度较深的行为,加大刑事处罚责任,震慑犯罪行为。另一方面,《隐私权保护法》应规定网络借贷平台负有为客户保护个人信息不被泄露的义务,不得侵害客户隐私权,网络借贷平台在法律规定的范围内使用客户个人信息,不得靠泄露客户个人信息获取非法收益。网络借贷平台如未尽保密义务,必须承担一定的法律责任,应进一步明确完善网络借贷平台的责任内容、处罚手段、赔偿标准等。
(二)强化网络技术手段的保护
网络借贷平台涵盖了大量的用户个人信息,一旦网站被恶意进攻,后果不堪设想。因此,要加强网络借贷平台数据库以及应用层面安全体系的建设,采用多种网络技术手段,使用各种程序和安全技术来保护借贷客户的个人信息免受未经授权的访问或使用,努力开发更先进的网络方式和手段,降低信息泄露风险的发生,保障客户个人信息安全,增加网络借贷的安全性。
(三)健全网络借贷平台的行政监管
要明确监管主体,根据我国《银行业监督管理法》的相关规定,银监会主要职责之一是承办对非银行金融机构的监管工作。同时,银监会对网络借贷行业的发展已经掌握了大量的行业资料,并对其风险已有足够认识,因此,可以确定银监会作为监管主体的地位。另外,基于网络借贷平台完全网络化的运营特点,可以由银监会联合工信部对于网络平台进行必要的审查和管理,并完善两者之间分工。还要完善监管规范,完善市场的准入和退出机制,由于网络和金融在创新方面的快速不断发展,就应当加强对网络借贷平台业务范围的有效控制,防止网络数据拥有者对于他人个人信息的非法操作和泄露。加强网络借贷平台的内部控制制度的完善,对关键岗位的关键操作人员进行监督,加强内部监管制度建设。
(四)加强网络借贷行业自律
对于网络借贷行业,加强自身的建设,履行保护借贷客户的个人信息安全的义务,对于客户的个人信息进行保密。网络借贷商不断完善网站的保密体系,需有关部门进行软件等级检测和认证,测评通过以后才可以在互联网上进行使用,保证在借贷运行过程中不存在威胁个人信息安全的软件。还要履行自身的告知义务,在借贷客户进行个人信息注册时,应当事先告知客户存在的风险,其个人信息将在何种范围内进行公开,并承诺在该范围外不予信息公开和泄露。如果有需要进行客户信息泄露的情况下,应当得到客户的同意,并在其允许的范围内进行信息的公开。
目前,例如“人人贷”“速贷帮”等网络借贷机构自发成立了小额贷款服务中介机构联合委员会,并对参与进来的机构,签署行业自律公约,更多的网络借贷平台应当参与进来,共同维护网络的客户信息安全。
(五)提高个人信息安全的保护意识
法律手段和技术手段的完善能够降低信息安全泄露的发生,但作为网络借贷的客户,应当提高自身的安全保护意识,在借贷行为过程中,对于相关的网站和信息,加强自身的甄别能力,明确哪些个人信息是需要填写和审核的,及时清理上网痕迹,清除个人信息,注意私人信息的保护,避免由于自身行为操作的不当而造成信息的泄露,平时多关注信息安全问题,掌握信息泄露的措施。为保障个人信息安全,应当对个人信息进行密码保护,个人切勿泄露密码以及本人的个人资料给他人,对此造成的损失应当由借贷客户自付。
参考文献:
[1]吴晓光,曹一。论加强P2P网络借贷平台的监管[J].南方金融,2011(4).
[2]黄震,何璇。P2P网络借贷平台的法律风险及防范[J].金融电子化,2013(2).
[3]王艳,陈小辉,邢增艺。网络借贷中的监管空白及完善[J].当代经济,2009(24).
[4]齐日光,于立志,高永泉。网络信贷平台监管缺失应予关注[J].吉林金融研究,2010(10).
[5]李爱君。民间借贷网络平台法律制度的完善[J].福州大学学报,2011(6).
[6]艾金娣。P2P网络借贷平台风险防范[J].中国金融,2012(14).
[7]陈宋阳。我国民间借贷法律监管研究[D].重庆:西南政法大学,2010.
[8]官大彪。我国P2P网络借贷发展存在的风险及其监管对策[J].台湾农业探讨,2012(5).
[9]孔非凡,江玲。我国P2P小额信贷模式存在的风险与对策建议[J].西部经济管理论坛,2013(1).
个人信息安全存在的问题【第二篇】
关键词电子商务;信息安全;安全管理体系
1.调查方法和对象
调查对象
本次调查对象的选择采取随机选取的方式。
调查方法
通过对调查问卷的填写和反馈,实现调查目的。
调查时间
2014年9月1日至9月30日。
调查范围
本次调查问卷的发放和回收,主要采取两种方式。一种是实地调查,在人群密集处随机发放纸质调查问卷,请调查对象现场填写和反馈。另一种是利用网络调查平台,和回收调查问卷。两种调查方式相结合,使本次调查达到了覆盖范围较广,形式多样的效果。同时以不记名方式填答,保证了答卷结果的真实性。
本次调查发放调查问卷1000份,去除无效问卷146份,共回收有效问卷854份,回收率为%。调查问卷回收后,对相关数据进行详细地统计和汇总,并做出分析。
2.调查数据分析
本次调查主要包含三个内容:一是公众对个人信息及其安全的认识;二是公众对电子商务及其安全的认识;三是公众对电子商务中信息安全的态度。
公众对个人信息及其安全的认识方面
在公众对个人信息安全的关注度上,“一般关注”所占比例略高于“非常关注”,两者所占比例均达到40%以上,“不关注”所占比例很小。调查情况与“非常关注”比例应高于“一般关注”的理想状态相比,存在一定差距。在获取他人个人信息的渠道方面,“各种业务的办理”所占比例最高,其次是“自愿告知”、“聊天交友”。这说明公众透露自己的个人信息大多是出于实际需要或个人意愿,“自愿告知”和“聊天交友”所占比例均高于理想状态。这说明调查对象对个人信息安全普遍有较为充分和准确的认识,对待个人信息的基本态度是正确的,但对个人信息安全的关注还没有达到应有的高度。主要表现为大部分人对个人信息安全的关注程度不够高,还有相当一部分个人信息是主动泄露的。因此,为提高公众对个人信息安全的认识,有必要借助各类媒体进行宣传教育,提高公众对个人信息的重视程度,增强保护意识,防止因主观原因造成的信息泄漏。
公众对电子商务及其安全的认识方面
与实体交易相比,在对电子商务的信任程度上,调查对象表示“一般信任”的接近80%,“非常信任”和“非常不信任”的比例相当,在10%左右;在电子商务的安全性的考虑上,大部分调查对象“比较关注”,但也有相当一部分调查对象表示“一般不会考虑”。以上结果表明,公众对目前的电子商务安全状况还不是十分满意,只是基本接受。有相当一部分调查对象“一般不会考虑”电子商务的安全性说明,公众在信息技术方面普遍存在知识欠缺的情况,对电子商务安全性的认识不足,容易造成盲目信赖或跟风。在使用电子商务时会否考虑采取安全措施方面,“经常采取”的所比例最大,接近40%,其次是“一般不会采取”的接近30%,“必须采取”和“没考虑过”的分别占20%和10%左右。这说明,公众有意愿采取安全措施,抵御电子商务中存在的安全风险,但是,实际采取的比例并不高。这主要受限于公众的信息技术素养和能力不足,还有相当一部分人有意愿采取安全措施,但自己又缺乏这方面的能力,只能坐以待毙。这组数据表明在电子商务及其安全性上:一方面,无论电子商务的安全现状,还是公众对电子商务安全问题的认知,都存在很大的不足。另一方面,公众对电子商务及其安全性的认识还处于初级阶段,现在还比较幼稚,但正在不断成熟、发展,具有一定的改善趋势。
对电子商务中信息安全的态度方面
针对第三个内容的调查结果显示,虽然超过70%的调查对象表面对电子商务中信息安全现状“基本满意”,但是,与此同时,认为“大部分已经泄漏,安全感明显降低”和“不是很多,还可以接受”的比例都超过了25%。这表明,电子商务中信息安全的现状不容乐观。大多数调查对象表示基本满意,并不能说明电子商务中信息安全现状真的可以满足实际需求,而是因为现状长期得不到改善,致使公众对这一问题的关注陷入麻木状态。所以,我国电子商务中的信息安全问题不容小视,个人信息的安全保障水平亟待提高,而单方面的改善是难以见效的。公众对提高电子商务信息安全水平的要求是迫切的,并且已经采取了相应的措施,但这些是远远不够的,要保障电子商务中个人信息的安全,必须采取多种措施,齐抓共管,国家、企业和个人共同努力,构建信息安全管理体系,才能全面消除安全隐患,建立一个健康安全的电子商务环境。
改进建议
本次调查最后一题采取了开放式的答题模式,收集到了一部分公众对电子商务信息安全方面提出的建议。这些建议主要集中在:提高用户安全意识和能力;建立健全法律法规,完善规章制度;加强对从业机构和人员的管理和培训;提高安全保障技术水平四个方面上。通过本次调查,可以进一步总结出应对各种安全风险的有效措施,并提高措施的可行性和有效性。
调查评价
为提高调查的效度[1],本次调查采用了网络调查和实际调查两种调查方式,提高了抽取样本的随机性。网络调查的对象主要是经常上网的人群,而实际调查由于调查时间、地点和方式的不同,则具有更大的随机性。
为提高调查的信度[1],本次调查抽取了的足够多的调查样本。大量的调查对象,扩大了调查的人群覆盖面;网络调查方式有效的避免了实地调查的地理局限性,而实地调查克服了网络调查真实度低的问题,二者相互弥补。
3.构建电子商务信息安全管理体系
基于问卷调查所得数据,有必要构建电子商务信息安全管理体系。信息安全管理体系是以实现全面保障电子商务中信息的安全为目标,通过完善政策法规和监督机制,配置精良设备,掌握核心技术,增加安全投入,强化培训和准入,配备精干力量,提高公众的自我保护能力等各种措施配合与协调,构建全方位高层次的保障体系,从根本上提高信息的安全管理水平。该体系可大体分为技术和管理两个方面。
技术方面
反病毒和安全扫描技术
通过病毒查杀和实时防御,可以及时清除已存在的病毒并防止新病毒植入,防止病毒对数据的破坏和窃取。安全扫描可以发现软件中存在的漏洞和“后门”程序,通过添加补丁,防止漏洞和“后门”程序被恶意利用,危及信息安全。
防火墙和入侵检测技术
防火墙是软件和硬件的结合体,能根据安全策略对进出网络的数据行为及其流向实行控制,并保留日志,进行审计。入侵检测技术实时监控数据传输状况,并对数据访问请求进行甄别,能够及时拒绝、中断、抵御可疑的访问和传输行为。
身份识别技术
密码作为使用最方便也最普遍的身份识别技术得到极为广泛地使用。为了加强身份识别技术的可靠性,密码常与生物技术、物理令牌等识别方式联合使用。[2]
访问控制技术
主要用于控制用户、进程、计算机等对主体对系统资源或个人信息的访问。访问控制可以防止非法用户的入侵和合法用户的非法行为,有效防止信息被非法访问、窃取或篡改。
数据加密技术
数据加密技术是在安全工程领域对数学知识的应用,达到对明文进行伪装处理,输出密文的作用。这样即使数据被窃取,非法入侵者得到的也只是一堆杂乱无章的无用信息。数据加密技术在使用中应以适用、高效为原则,选择功能适当、操作简便的,可以单独使用一种加密技术,也可以多种技术结合使用。
设备及数据备份技术
设备备份为计算机及网络系统的关键设备配备冗余和备份,数据备份为重要数据提供备份,并具有恢复重要数据的功能。
日志和审计
日志用于实时记录系统的主要运转情况,审计是在事后对日志进行分析研究。根据日志和审计报告,可以及时发现系统的异常状况,甄别可疑事件和可疑行为,并作出警报或采取必要的抵御措施。[3]
推广使用国产软硬件
一是安全可控。国产产品是我国自主研发的成果,制造维护过程完全符合国家的相关安全标准,消除了“后门”程序、植入代码的危险。二是国产产品充分考虑我国国情,更适应我国电力供应状况及技术人员操作习惯,后期维护和保障水平高等。
管理方面
完善法律法规及相关政策
通过进一步完善立法,加强执法,提高制度的适用性和可操作性,健全监督机制,发展社会监督,才能促进信息安全工作的进步。也可借鉴他国经验,引入第三方评测机构,对收集和保有个人信息的企业的安全管理水平进行测评,为政府执法提供可靠依据,规范企业的信息保护行为。
增加安全投入
企业在安全管理方面的支出要占到总支出的8%以上才能达到设备齐全,人员充足,制度规范的管理状态。大中型网站有必要配备专职安全工程师和隐私工程师,人员数量由网站的规模和访问流量决定。 [4]小型网站则可以将安全工作外包,由专业安全企业对网站的安全事务进行管理。
强化培训和准入
对安全管理人才的培养,可以借鉴网络工程师及软件工程师的认证方式。同时,由于安全管理不同于其他技术工作,其对专业要求的强制性更高,标准更严,因此有必要借鉴会计从业的相关规定,采取准入制度,并打破职业资格终身制,定期对从业人员进行再教育和资格考核。
提高自我保护能力
一方面,政府和电子商务企业,有责任和义务利用媒体等多种渠道开展宣传,使公众认识到信息安全的重要性。另一方面,要提高公众的信息技术素养和对个人信息的保护能力。一是指导公众掌握辨别不安全网站的基本方法,识别和抵御网络钓鱼、身份伪装、恶意传播病毒等不法行为;二是帮助公众掌握必要的安全保障手段,如安装杀毒软件、定期查杀病毒漏洞、维护计算机系统等,以保护信息存储和运行环境的安全。
参考文献
[1]Floyd Survey Questions:Design And Evaluation[M].USA: Sage Publications,Inc,1995:5.
[2]Ross :AGuide to Building Dependable Distributed Systems,Second Edition[M].UK:John Wiley & Sons,Inc,2012:23.
[3]郭玉梅。个人信息的网络安全保护[J].软件工程师,2012,05:20-21.
个人信息安全存在的问题【第三篇】
一、加强网络个人信息安全法律保护的重要性
(一)加强网络个人信息安全法律保护是全面依法治国的应有之义党的十八届四中全会向全党和全国各族人民吹响了全面依法治国的时代号角。当前,全国上下正在大力推进全面依法治国建设,全面依法治国必然意味着社会各方面、各领域都要有法可依、有法必依[1]。加强网络个人信息民法保护,正是要将网络个人信息安全领域置于法律的规制和保护之下,从而实现网络个人信息的依法治理,这正是落实全面依法治国精神的应有之义。(二)加强网络个人信息安全法律保护是维护网民合法权益的现实需要个人重要信息不但具有人格属性,而且具有财产属性。公民依法应享有的重要权利,直接关系着广大网民的物质和精神利益。加强网络个人信息安全法律保护,能够为防范、遏制和打击网络个人信息侵权提供法律依据和法律保障,从而有力维护广大公民尤其是数亿中国网民的合法权益。(三)加强网络个人信息安全法律保护是净化网络环境的必然要求在虚拟、混乱、随意的网络环境下,公民个人信息安全势必受到各种侵害的威胁。制定完善法律法规,对网络个人信息收集、处理、存储、转让、使用等作出明确规定,从而遏制、防范和打击非法窃取、泄露和滥用网络个人信息的违法犯罪行为,是法律坚持与时俱进的表现,是净化当代中国互联网环境的必然要求,是促进互联网有序健康长远发展的必然要求[2]。
二、我国个人信息安全法律保护现状
(一)我国保护网络信息安全的法律法规
网络信息安全问题是现代信息新技术和互联网发展的产物,是具有技术性、时代性、创新性和紧迫性的社会问题。近年来,公民个人信息过度收集现象时有发生,网络个人信息泄露事件经常见诸媒体。网络个人信息安全问题的日益突出,使得国家和社会对加强个人信息安全的呼声和愿望越来越强烈。我国出台网络信息安全保护法规条例比较早,已经有20余年的历史。1994年,国务院就出台了《中华人民共和国计算机信息系统安全保护条例》,对经济建设、尖端科技、国防建设等领域的计算机系统信息安全保护作出了规定;1996年,国务院颁布《中华人民共和国计算机信息网络国际联网管理暂行规定》;1997年,公安部出台《计算机信息网络国际联网安全保护办法》;2000年,国务院出台《互联网信息服务管理办法》,对互联网信息服务活动进行了规范;2002年,全国人大常委会颁布《关于维护互联网安全的决定》,规定了破坏互联网安全的刑事责任;2012年,全国人大常委会出台《关于加强网络信息保护的决定》,较为全面地规定了网络信息安全保护的相关事项。同时,我国的《民法通则》及相关司法解释、《侵权责任法》中都通过保护姓名权、肖像权、名誉权、隐私权等方式对公民个人信息进行了法律保护[3]。此外,《消费者权益保护法》《网络安全法》也对个人信息保护作出了一些原则性规定。例如,《消费者权益保护法》明确规定:“经营者需对消费者个人信息予以保护,收集、使用消费者个人信息必须遵循合法、合理、知情、同意、必要、保密等基本原则,否则应该承担赔偿责任,或进行行政处罚。”以上这些关于网络信息安全的法律法规和政策规定,为我国实现有效的网络信息安全管理提供了重要的法律政策基础。
(二)当前我国在公民个人信息法律保护中存在的问题和不足
1.在民法保护理论上缺失一般人格权基础一般人格权是网络个人信息保护的民法基础。由于受到各种因素影响,我国传统的民事法律普遍存在重视财产权、轻视人格权的现象,因而对人格权保护的内容规定得比较粗糙和简单。加之我国不像一些国家那样,可以通过宪法扩张适用来保护人格权,因此只有通过制定、完善民法来实现对公民个人信息权保护的明确化和具体化。当前,我国民法中关于个人信息保护规定的缺失,使得对网络个人信息的保护只得通过比照和对属公民的隐私权来进行救济,公民个人信息中的财产权属性得不到有效保障。2.在法律保护手段上存在重刑事轻民事规则的现象计划经济时代形成的重视国家和集体利益而轻视私人利益的主流价值和法律传统,使得我国长期存在重刑事、轻民事的现象。这就导致长期以来对公民个人信息不够重视,公民个人信息保护民法规范缺失。当公民个人信息受到严重侵害时,即使受害者通过各种手段来寻求救济,施害者最多也只能够受到刑事处罚或者行政处分,而很少会对信息主体进行财产补偿[4]。3.在法律规范内容上缺乏系统性和操作性在当前的民事立法中,多部法律对个人信息保护有所涉及和阐述。但是由于各种原因,到目前为止,我国还没有出台专门关于公民网络信息安全保护的法律,与网络个人信息民法保护直接相关的法律规定也不太多。按照现行的法律法规,要实现对网络个人信息的保护,只能分散地从各相关部门法中寻找适用于公民个人信息保护的条款,具有适用不方便、保护力度有限、容易造成拖延等缺点和不足。与发达国家相比,当前我国民法体系中网络个人信息民法保护的立法体系还不健全,具体表现为:民法缺乏比较实际的原则性条款,在实践运用中的操作性不强;随着互联网和新媒体的快速发展,公民个人在网络上留下的信息痕迹越来越多,而这些个人信息当前还没有被纳入民法保护内容,使得民法中的信息安全法律体系还很不完善;同时,现行的大部分民事法律仅仅规定了公民具有对个人信息进行保密的义务,但对违反保密规定的法律后果和具体的救济方式和渠道没有作出明确规定,使得公民个人信息保护处于无法操作的尴尬境地。4.公民对个人信息安全保护意识较薄弱由于长期以来受到计划经济体制轻视私人利益和个人权利的影响,当前我国公民的个人信息安全意识还比较薄弱,缺乏主动利用民法保护个人信息的意识。一些公民个人信息遭受泄露等不法侵害时,不是运用法律武器进行及时保护,而是采取忍气吞声、“大事化小”等方式解决,往往助长了侵害人的嚣张气焰,也使得因个人信息被泄露、滥用而引起的电信网络诈骗刑事案件不断增多[5]。同时,不少公民对民法的性质、内容等缺乏基本认识和了解,对网络个人信息的民法保护问题缺乏足够重视。
三、国外关于个人信息民法保护的立法状况及经验
(一)大陆法系国家对公民个人信息保护的立法状况德国虽然没有在其《民法典》中设置“隐私权”“个人信息保护权”,但通过颁布《联邦个人数据保护法》的方式,对公民个人信息进行了统一、充分的保护。日本也没有在其《民法典》中设置“隐私权”“个人信息保护权”,但在20世纪60年代审理“盛宴之后案件”时将隐私权作为私法予以了确认;2000年,日本制定了《重要基础设施网络袭击对策特别行动计划》,首次规定了侵犯个人信息需承担的民事责任;2005年,日本正式出台《个人信息保护法》,实现了对公民个人信息的基础性立法保护。
(二)普通法系国家对公民个人信息保护的立法状况美国是以隐私权为中心实现对个人信息民法保护的,主要采取分散式、部门式立法来保护公民个人信息。1966年颁布的《信息自由法》确立了政府信息公开原则;1977年颁布的《隐私权法案》对联邦政府的信息处理行为进行了规范;1986年修订《电子通讯隐私法》,1988年颁布《儿童在线隐私保护法》,分别对电子通讯领域和网络从业人员的责任进行了规定。英国于1998年颁布《个人数据保护指令》,对个人信息侵权行为进行了有效规制,并设立“数据保护专员”,对法律实施情况进行监督;2005年颁布《信息公开法》,将“数据保护专员”更名为“信息专员”,并进一步细化了其职责[6]。此外,欧盟于1995年通过《欧盟个人数据保护指令》,对个人数据处理中的自然人权利和自由进行保护,成为欧盟对个人信息最基础的保护性立法。
四、加强我国网络个人信息民法保护的对策
(一)加强网络安全法制宣传,提高公民网络个人信息安全意识和民法保护意识针对当前我国公民网络个人信息民法保护意识淡薄的现状,应借助“全国网络安全宣传周”等重要节点,充分利用宣传栏、电视、广播等传统媒体和微博、微信、论坛、手机报等新型网络媒体,积极开展网络安全宣传和依法保护活动。同时,要建立健全网络安全宣传体制机制,加强对网络个人信息民法保护的宣传工作落实,让更多的人认识到民法在网络个人信息保护中的重要作用和价值,并学会在受到不法侵害时如何拿起民法武器来保护自己的合法权益。(二)积极借鉴国外个人信息民法保护先进经验网络信息安全和网络个人信息保护问题已成为全球性的共同问题。在实现个人信息民法保护方面,许多国家进行了大量的立法实践,积累了一些科学有效的经验,值得我国借鉴。比如,我国可以积极借鉴德国的统一立法模式,在现有《民法通则》的基础上,通过制定出台一部《民法典》作为基础性的法律,实现对网络个人信息的民法保护。(三)建立网络个人信息民法保护体系,完善网络信息安全法律法规民法是保护网络个人信息的基础性法律,是实现个人信息权保护的重要依据和准绳。因此,要进一步增强法治意识,积极适应全球化、信息化、大数据时代所带来的网络信息爆炸式增长和多样化发展趋势,及时将新出现的网络信息安全问题纳入民法保护范围之内,不断建立、完善网络个人信息民法保护体系,确保各种形式的网络个人信息保护都有法可依、有法必依[7]。同时,建立完善事前预防和事后救济相结合的个人信息权保护制度。在事前预防方面,要根据宪法精神和民法基础,对公民的个人信息权进行确立,为保护网络个人信息提供有效前提;在事后救济方面,要进一步明确侵犯网络个人信息的构成要件、归责原则、责任承担方式等,也可以通过签订合同的方式对网络个人信息违约责任进行确认,从而为权利人实现权力救济提供保障。(四)建立专门的网络个人信息保护法律法规针对当前我国在网络个人信息民法保护中存在的法律空白,建议国家积极研究制定专门的《个人信息保护法》,并在其中以单独章节对网络个人信息进行专门规定,明确个人信息保护的范围、信息权利义务主体、个人信息与网络个人信息侵权的构成要件、责任划分、救济方式等,从而有效弥补《民法通则》《侵权责任法》等关于个人信息保护规定原则性强、可操作性差等缺陷,实现对网络个人信息的有效保护。(五)加强网络个人信息管理者的行业自律和外部监督要不断加强对网络平台尤其是电商及网店的监管,更要严打泄露、出售个人信息等违法行为。首先,建立建全相关的法律法规,对网络运营商尤其是电商及网络平台使用和处理公民个人信息的行为进行有效监管,并充分发挥新闻媒体、舆论的监督作用,将网络用户在互联网消费行为中遇到的具体诈骗范例及时在网络媒体上公布,让广大网络用户予以防范。其次,要加大对侵犯网络用户个人信息行为的打击力度,有效震慑违法犯罪行为的发生。监管部门也要进一步落实个人信息保护责任体系,细化、明确处罚标准,依据侵权行为性质、危害程度,让违法者承担相应的法律责任。同时,要加强网络与个人信息的安全管理,建立网络个人信息侵害投诉举报机制,营造安全可靠的互联网环境。
五、结语
随着计算机、互联网、物联网、云计算等信息技术的快速发展,公民通过网络参与社会经济活动的各种信息日益增多。这些信息会以电子化、数据化的形式被记录和存储,从而形成了大规模、有组织的现代信息网络体系,把现代信息社会带入一个前所未有的大数据和互联网时代,个人信息安全已成为全社会高度关注和亟需解决的重大社会问题,这无疑对网络个人信息保护带来了重大挑战。在网络化、信息化时代,网络个人信息被称作“大数据皇冠上的明珠”。在全面依法治国背景下,为了对这颗“明珠”进行有效保护,需要立足中国具体国情和时展要求,充分利用法律尤其是民法的力量,积极在制定完善相关的民法体系、加大民法公正执行力方面作出努力,从而为互联网时代公民个人信息安全提供有效的法律制度保障。
作者:迪力努尔·阿力木 单位:喀什大学
[参考文献]
[1]杜志萍.关于我国个人信息权法律保护的思考[J].山西煤炭管理干部学院学报,2014(1):177-178.
[2]孙妍.关于我国个人信息安全保护的立法思考[J].法制与社会,2013(3):239-240.
[3]陈晓东,凌巍.网络隐私权民法保护的现实困境及出路[J].法律适用,2013(8):23-29.
[4]刁胜先,周璐,谢文彦.论个人信息网络侵权的民法规制[J].重庆邮电大学学报:社会科学版,2012(1):17-21.
[5]邵杨.论民法的网络隐私权保护缺失[J].现代商贸工业,2012(6):147-148.
[6]翁里,叶子菁.试论当代个人信息的民法保护[J].法制与社会,2015(36):254-256.
个人信息安全存在的问题【第四篇】
[基金项目]本文为国家社会科学基金(BSH031)阶段性成果。
一 、网络时代的个人信息安全危机
网络时代,随着信息产业的日益发达和互联网的迅猛发展,以计算机为基础的信息技术使得收集、储存、传输、处理和利用个人信息变得易如反掌,个人信息的收集与交换出现了爆炸式发展的态势。科学技术从来都是一把“双刃剑”,网络在使信息流动便捷的同时,也给个人信息安全带来挑战,提高了个人信息保护的难度。近年来,个人信息泄露事件频发,并呈现迅猛发展的态势,人们越来越强烈地感受到个人信息安全危机给生活带来的种种困扰。
网络时代的个人信息危机主要有如下表现:一是个人信息失控的危机。随着信息技术的发展,个人信息有可能在系统安全存在漏洞的情况下被不法访问、使用甚至篡改,信息自决权成为空谈[1]。2011年底中国互联网遭遇了史上最大规模的用户信息泄露事件,多家大型网站的用户数据被泄露,几千万个用户账号和密码被公开,给社会秩序和人民切身利益造成严重危害。二是个人隐私和尊严的危机。在网络环境下,人们越来越多地把自己的生产和生活移到了网络空间,这个空间是由“个人信息”组成的“数字人”的交往空间。大量个人信息在不知不觉中被收集,个体在社会生活中急速“被透明化”,现代人因此而成为“透明人”或“半透明人”,个人毫无隐私可言,尊严难以保证。三是信息利益的危机。个人信息主体的信息收益权被不法商家夺取,个人信息利益丧失,信息主体的财产权因此而受到侵害。更为严重的是,个人信息危机带来的“信息阴影”已经日渐扩散,正常的社会秩序正因此而面临严峻的考验。个人信息安全的危机,将破坏商业秩序,滋长犯罪、危害社会稳定,制约经济发展,甚至引发公共安全危机。鉴于此,公民的个人信息保护势在必行。
目前,我国在个人信息保护领域的行动主要体现在对泄露公民个人信息的行为和当事人进行追究和打击等补救措施上,这实际上属于一种“事后救济”的反馈控制,不仅已经泄露的个人信息“覆水难收”,而且个人维权成本非常之高,根本无法控制已经泄露信息的网络传播,既治不了标,更治不了本。如何应对网络时代对个人信息安全的挑战?我们建议对个人信息保护引入一种新的思想和机制——前馈控制。
二、 前馈控制与个人信息保护的关系
前馈控制(feedforward control)早期是一个工科领域的名词,后来被引申到管理学中,指通过观察情况、收集整理信息、掌握规律、预测趋势,正确预计未来可能出现的问题,提前采取措施,将可能发生的偏差消除在萌芽状态中,为避免在未来不同发展阶段可能出现的问题而事先采取的措施。简而言之,就是事先分析和评估即将输入系统的扰动因素对输出结果的影响,并将期望的管理目标同预测结果加以对照,在出现问题之前就发现问题,事先制订纠偏措施,预控不利扰动因素,将问题解决在萌芽或未萌状态[1]。由此可见,前馈控制是与反馈控制相对而言的。反馈控制是面对结果的控制,旨在亡羊补牢;前馈控制是面向未来的控制,旨在防患于未然。前馈控制的优势在于可以避免反馈控制的“时滞”缺陷。[2]
凡事预则立不预则废。前馈控制立足于“预控”,是对公民个人信息保护的一个新视角、新方法、新技术和新手段。前馈控制将事先分析和评估个人信息传播过程中可能出现的各种问题和困境并对其问题实施超前控制。比如说充分利用法律法规的前馈控制功能制定专门的《个人信息保护法》,对个人信息的收集和使用过程中的违法违规行为进行预测,并做出详细的处罚规定,从而有效防止违法行为的出现。对掌握公民个人信息的单位进行全方位监管,对个人信息的收集、利用、提供和删除等各环节进行严格排查,尽量避免任何环节的纰漏。提高安全管理技术和全民的个人信息保护意识,都能在很大程度上防止个人信息安全危机的发生,使个人信息保护更有效,进步更显著。
总之,前馈控制能使我们在网络时代个人信息保护的过程中掌握更大的主动权,只有前馈控制做好了,才能真正保护好公民个人信息安全。
三、 对个人信息安全保护实施前馈控制的若干建议
对个人信息安全保护实施前馈控制所包含的内容非常广泛,限于目前的认识水平和篇幅,我们主要提出以下建议。
1.建立和完善个人信息安全保护的法律法规
法律是一种社会规范,具有规范作用,法的规范作用表现为指引、评价、教育、预测和强制五个方面。其中,教育作用是指通过法的实施使法律对一般人的行为产生影响。这种作用又具体表现为示警作用和示范作用。预测作用是指凭借法律的存在,可以预先估计到人们相互之间会如何行为,对行为的预期是社会秩序的基础。完善法律法规是对公民个人信息安全危机进行前馈控制的关键环节,充分发挥法律法规“令人知事,明其法禁”[3]的前馈控制功能,用有强制力的条文明确各方的权利与义务关系,能够在很大程度上对个人行为起到规范作用。大多数发达国家都制定了关于个人信息保护的法律,如美国有《信息自由法》和《隐私法》,德国有《联邦资料保护法》,日本和韩国都有专门的《个人信息保护法》,我国香港地区有《个人资料(隐私)条例》等。然而,我国大陆在个人信息立法上却处于滞后状态,专门的个人信息保护法律历经多年却仍然难产。近期通过的《关于加强网络信息保护的决定》(以下简称“决定”)对于我国网络信息保护具有突破性的意义,重点解决了我国网络信息安全立法滞后的问题,体现了国家对于网络信息安全的高度重视,但是《决定》更多的带有宣示性意味,后续仍需要细化工作。
个人信息牵涉每一个人,网络时代最大的特点就是信息的汇聚性,当所有人的信息汇集的时候,信息保护就不是哪个部门的事了,而是在国家层面上需要考虑的战略性问题。从现实看,当前最需要的是加紧推动《个人信息安全保护法》的研究和制订,明确买卖个人信息罪名的界定标准并加大惩罚力度,对擅自披露他人个人信息和未经许可的二次开发利用者给予严厉打击。除了刑事责任外,其他相关的行政责任、民事责任等还应当及时跟进、完善。要保障个人在信息泄露后有获得补偿和救济的权利,明确机构对公民个人信息流失所造成损失的赔偿责任和责任划分原则,比如银行信息泄露后个人账户中的钱被盗,银行需对个人损失进行补偿。继续细化《决定》中的规定,对与《决定》有关的行政法规进行清理,对有些不一致、有冲突的地方,还要进一步加以衔接,同时抓紧制订相关的配套法规。通过法律法规的制订,将公民个人信息保护过程中可能出现的问题进行合理预测,让规定走在行动前面。但是保护个人信息本不应该牺牲信息的流动性,好的立法应该在保证个人信息的合理流动与个人信息的全面保护之间寻找到平衡点,选择吸收各种立法模式的有益经验并结合本国的法律传统和具体国情做出合理的制度设计。
2.建立个人信息安全保护的监管机构
网络时代个人信息泄露的形式多样、手法灵活,应对网络时代的个人信息安全危机,单靠法律不足以解决所有问题,要做到有法必依、执法必严,否则法律不过是纸上谈兵。强有力的行业监管是实施前馈控制的重要手段和有效途径。新通过的《关于加强网络信息保护的决定》明确规定,有关主管部门应当在各自职权范围内依法履行职责,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。在我们国家,个人信息保护目前仍然处于各自为政的状态,某种程度上说,管理者和被管理者并没有严格地区分开,管理部门和被管理对象处在同一个行业,很难完全客观、公正地进行执法。机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息。这些行业虽然有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等,但由于部分从业人员法律意识不强,企业管理、执行不到位等情况,存在制度漏洞。因此,这些行业成为个人信息泄露的“重灾区”。 从其他各国情况来看,建立一个独立、统一、权威、有效的监管机构是普遍经验,比如英国的网络自律协会IWF(Internet Watch Foundation),它能够超出行业的局限,独立公正地执法。公民个人信息安全保护,在法律法规之下,需要政府强化监管,只有完善和加强监管才能让无良者无处遁形。应该设立专门的个人信息保护监管执法机构,加强对信息持有单位的监管,进一步加大监督检查力度,建立预警和预控相结合的前馈控制机制,强化对个人信息的事前管理,包括个人信息的获得、收集、持有和使用各个环节全面监管,不要等信息泄露,危机发生之后才补救。充分重视自律机制在个人信息保护中的作用,拥有个人信息采集权的部门和单位要加强行业管理,用行业制度规范个人信息的处理行为,通过行政执法、刑事执法、民事救济手段配合建立政府引导下的行业自律机制和模式,从源头上预防和遏制对个人信息的侵害行为。拓宽公民监督举报渠道,进一步畅通举报受理机制,鼓励公民个人参与个人信息泄露的监督。
此外,尊重网络用户的个人选择权利。就是说,个人角色选择及隐私设置,想匿名还是实名应该由网络用户自己决定。可以提倡有些商业网站的做法,对用户信息采取“分级查看”的权限设置,除了必要的管理员,一般员工无权从后台查看用户的注册信息,倘若确有必要查看,必须按照严格的程序报批。在互联网上,必要时应明确限制政府的权力,有些数据政府必须得到合法的授权才可以看。
3.建立个人信息安全保护的前馈控制技术支撑体系
前馈控制不仅是方法,某种程度上更是一种技术和手段。对个人信息进行保护,除了法律和监管,还需要安全管理技术的提高。“黑客”的攻击,是一些网站数据库失陷的原因。一些网站的疏于防范,给“黑客”造成了不少可趁之机。通过技术手段可落实安全保障,要加强网络安全防护,依据分区域、按等级、多层次的防护思路进行安全规划、安全评估、安全加固与安全维护,并且对已有的安全技术进行改进与完善。建立信息安全管理体系(ISMS),通过系统、全局的信息安全管理整体规划,确保用户所有信息资源和业务的安全与正常运行[1]。网站要在安全建设方面加大资金投入力度,网络运营商应该尽到自己的保密义务,改变数据库存放策略,在当前技术范围内最大限度保证信息安全。比如我们可以设计一种软件,如果我们把自己的个人信息输入到某个网站之后,该网站三个月之后会自动删除我们输入的信息,不会把我们的个人信息留下,这样的话在技术层面上能够保证个人信息的保护。还可构建信息安全平台,为用户提供保护信息安全的产品。
建立个人信息安全前馈控制系统。研究个人信息所处环境中可能存在的缺陷、漏洞及面临的威胁,通过安全风险评估技术,观察、测试、收集、评估、分析个人信息存在风险的不确定性和可能性等因素,构建预警体系,制订预控策略和方法,最大限度地避免和减少可能的损失。
4.提高公民的个人信息安全保护意识
言为心声、行为心动,思想意识始终是行为的先导。增强公民的个人信息保护意识,提高全面的个人信息保护能力是构建个人信息安全危机前馈控制体系的重要任务。在我国,公民对个人信息的保护意识还比较薄弱,通常在信息泄露之后才认识到问题的严重性,而且许多人对个人信息泄露之后的救济也显得缺乏主动性。要通过多种形式和手段,大力宣传个人信息安全防范知识,来增强公众保护个人信息的意识和能力,才能保证个人信息安全。呼吁公民从自我做起,杜绝不良的猎奇心理,要重视他人隐私权的保护,正所谓“己所不欲,勿施于人”。通过文化去传递信心,将守护个人隐私且不窥探他人隐私作为一种社会美德。公民个人不能随便窃取别人的资料,也不要随便将自己的信息公布给别人,不要等自己的信息被泄露出去才追悔莫及。公众可根据个人意愿来提供信息,发现个人信息泄漏,要积极向信息管理者提出投诉。只有大家都参与进来,个人信息保护工作才能更好地推动。公众在商场、宾馆等场所消费时最好不要留下个人信息,如果确有需要留下个人资料,必要时应与对方约定保密责任。在办理一些必须提供自己个人信息的社会事务时,可以与接受信息方约定保密条款,要求对方不得将个人信息泄露。一旦发现自己的个人信息被泄露且造成不良后果时,应注意及时搜集证据,为维权做好准备。