随着全球信息化与移动互联网的迅猛发展,个人信息安全问题逐步凸显,电话短信诈骗、窃取和贩卖个人信息、垃圾短信邮件等违法犯罪行为日益猖獗,个人信息安全已成为关系信息消费发展、人民生活幸福、社会和谐稳定的战略问题。
我国个人信息安全事件层出不穷,一方面,信息消费蕴含着巨大经济效益,信息泄露的违法犯罪活动具有较大的牟利空间;另一方面信息消费涉及生产、制造、销售、仓储、物流、支付等多个环节,个人信息安全保护的链条较长,难度较大。
而目前个人信息安全事件层出不穷,信息安全形势不容乐观。“互联网很美好,黑客也这么认为”,据《2013 年中国网民信息安全状况研究报告》显示:2013年下半年,74.1%的国内网民遇到过信息安全问题,因信息安全事件而造成的个人经济损失达196.3 亿元。中国目前是网络攻击的主要受害国,仅2013年11月,境外木马或僵尸程序控制境内服务器就接近90万个主机IP。侵犯个人隐私、损害公民合法权益的违法行为时有发生。随着移动互联网时代的到来,智能手机也将面临超级手机木马、流量消耗木马、黑客通过手机远程视频监控等个人信息安全威胁。例如,2012年美国利用“震网病毒”造成伊朗近千台主要核设施瘫痪;2013年爆出的“棱镜”计划更是让全球民众的通信和网络行为完全暴露。
2014年年初,春节风靡的“微信”红包被曝存在“假红包”、“钓鱼红包”等安全隐患。另外,快递、银行、电信、房地产中介、医院、酒店、求职、购车、买保险、办理会员卡、问卷调查等,都成为了个人信息泄露的途径。例如, 2013年10月,圆通公司的快递单信息被大批量贩卖;2013年底,“查开房”网站将2000万条开房隐私公布于众。
我国个人信息安全防护制度体系有待完善。目前,世界上已有50多个国家和地区制定了保护个人信息的相关法律,而在我国,虽然2009年《刑法》将泄露个人信息入罪,民法通则中也有关于个人隐私的条例,《消费者权益保护法》将个人信息受到保护作为消费者的一种权益确认下来,但这些法律对个人信息安全保护的规范比较零散。
此前,全国人大常委会通过《关于加强网络信息保护的决定》,为后续相关行政法规制定提供了依据,但与欧美发达国家相比,我国的信息安全防护法律体系还处于起步状态,立法、执法、普法进程仍待进一步推进,全民的法律防范意识和信息安全教育普及仍有待提升。
我国应加强行业规范和监管。一是完善个人信息安全保护的制度体系。推动《个人信息安全保护法》的尽快立法。按照“谁经营、谁负责”的原则,对于政府部门、金融、电信、交通、教育、医疗、中介等单位的个人信息保护作出严格规定,全面保护个人信息安全。对于泄露、倒卖个人信息的违法行为要依法严厉打击,增加侵害个人信息安全的违法犯罪成本,增强法律的震慑力,切实做到个人信息“依法获取、依法传播、依法使用”。推动个人信息安全的统筹管理。在中央网络安全和信息化建设领导小组的领导下,打破“九龙治水”的管理格局,建立跨部门、跨行业、跨企业的协同管理机制,加强对个人信息安全的保护。例如,加强对“无线电频谱资源”的管理,多部门联动配合,加大对“伪基站、电话诈骗”等违法行为的打击力度。
二是加强对行业的规范和监管。制定行业规范,加强对各类拥有个人信息的政府单位、企业、个人的规范管理,明确其保护个人信息安全的责任和义务,规范对个人信息的收集、储存及使用行为,明确相关的个人信息在使用完毕后应该及时删除;对于泄露个人信息的行为,采取严厉的行业惩罚措施。推动行业自律,加强涉及个人信息服务行业的引导,积极推动行业自律,完善个人信息保护,形成自我完善、自我整改的机制,共同维护用户的个人信息安全。加强行业监管,建议政府主管部门依法加强涉及个人信息的产品和服务的检测和认证,鼓励建立第三方安全评估与监测机制,加强对个人信息接触界面、流转环节和传播渠道的监测和管理。
三是提升个人信息安全保护的技术能力。加大政策资金扶持力度,加大对信息安全行业、企业、项目的扶持,鼓励引导企业研发高安全性的业务和产品,从源头上加强网络的安全防护,不断提高网络安全水平。加强信息安全技术的研发,通过设置专项奖励基金等方式,引导国家机关、科研机构、企业等共同加强信息安全问题的研究攻关,大力推动云计算、物联网、移动互联网等领域的软硬件安全技术创新和运用。
四是提高全社会的个人信息保护意识。加强对个人信息保护的宣传,强化公众的个人信息安全保护意识,避免随意透露个人身份证号、银行卡号、家庭住址等重要信息,积极防范各类信息泄露和欺诈。完善个人信息安全的社会监督体系,健全信息安全举报机制,鼓励新闻媒体、公众对个人信息被非法获取利用的违法行为进行曝光、举报,实行群防群治,形成全社会共同保护个人信息安全的良好氛围。