胡蓓姿 王兴国
近年来,个人信息泄露事件频发,让个人信息安全保障工作变得刻不容缓,浙江在全国率先将个人信息安全纳入全省网络与信息安全检查专项,针对检查出的问题出台了一些政策和标准,对保障个人信息安全起到了积极推动作用。
当前,个人信息泄露事件频发,社会民众反映强烈。2012年12月28日,第十一届全国人大常委会第三十次会议审议通过了《关于加强网络信息保护的决定》,首部个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》也于2013年2月1日正式实施。它们的实施填补了我国个人信息保护的法律空白,但具体保障还缺乏大量法规政策支撑,随意收集、擅自使用、非法泄露普遍存在,严重损害公民、法人和其他组织的合法权益,危害社会公共利益。
近年来,浙江省在大量调查研究基础上,在全国率先将个人信息安全纳入全省网络与信息安全检查专项,针对存在的问题进行了深入探索,取得了初步成效,浙江个人信息安全保护工作国内领先。
个人信息安全现状整体堪忧
个人信息违法事件屡禁不止。据统计,2012年全国超过2.57亿人受各类网络事件侵害,近5000万条个人真实信息遭受买卖,经济损失达人民币2890亿元。银行、医院、通讯公司、保险公司、电子商务运营商、汽车销售、院校、快递企业以及掌握了个人信息的某些政府机构成为信息泄露的主体。中国软件开发联盟(CSDN)大规模信息泄露、数十万条新生儿信息泄露、上千万张客户银行卡信息泄露、如家酒店开房记录遭泄露等事件屡禁不止,严重侵害了个人信息安全,造成了极其恶劣的社会影响。
个人信息安全责任规范缺失。2013年,浙江省对7家医疗类、7家银行类、6家招考类以及10家电子商务类共30家网站进行个人信息保护检测,结果显示:所有参测网站中对于个人信息保护政策的公开性方面都做得较为突出,但部分网站未提供专业名词解释,对责任说明陈述模糊,也无专门针对未成年人的个人信息保护说明,在发生违反个人信息保护政策相关事件后的补救措施未按事件分类描述;大部分网站没有就收集的信息是否交与第三方给出明确说明,所收集的个人信息没有承诺遵守最小收集原则,用户不知道被搜集的信息是否是必须要使用的,业务转让或外包时,未对个人信息的保护作出声明,用户对自己的信息是否仅限于本网站使用也不知情;用户权益保障方面,大部分网站未明确个人信息公开范围,也未专门对敏感个人信息作出安全承诺,被测网站均未承诺对个人信息处理过程进行详细记录,绝大部分网站未提供专门针对个人信息保护政策及相关问题咨询、评论、质疑和投诉的反馈渠道。
个人信息安全保障能力不足。随着网络犯罪技术的不断革新,基于近距离无线通讯(NFC)、无线连接WIFI技术和安卓系统信息窃取案件频发,使个人信息保护面临更大的挑战,仅2013年7月,浙江省就有超过10万安卓系统终端遭受恶意程序感染。同时,我国目前尚未建立有效的网络身份管理体系,相应的责任追溯体系和技术鉴定支撑体系尚未形成,使得侵害个人信息安全的行为很难得到有效打击。
个人信息安全意识有待提高。据中国互联网络信息中心调查显示:47.2%的用户对网上支付安全问题非常不关注或较不关注,57.6%的用户不知道保障网上支付安全的办法;在不提示的情况下,网上支付用户表示了解最多的安全保障方式是电脑杀毒和防火墙,也仅占30.8%;表示知道使用动态密码、动态口令卡的有30.6%,知道设置强安全密码的有29.9%,知道绑定手机的有25.1%,而知道安装数字证书认证的仅有19.6%。由此可见,我国互联网用户的安全意识和安全知识非常薄弱。
浙江个人信息安全保护走在前列
浙江省高度重视个人信息保护工作,浙江省经信委先后赴阿里巴巴、浙江移动、杭州华数、恒生电子、华为杭研所、信雅达科技等单位调研,召开了金融、电信、教育、招考、医疗、电子商务、邮政快递等行业信息安全专家座谈会,听取各行业企业和专家的意见,进一步完善法规政策体系,强化个人信息安全检查。
完善个人信息保护责任体系。大力推进保存了大量个人数据的重要信息系统落实《决定》和个人信息保护国家标准,规范个人电子信息收集和使用行为,建立个人信息保护内控机制和技术措施;出台了《浙江省智慧城市示范试点项目信息安全保障工作指南》,推动智慧城市示范试点项目建立信息安全责任制和各项管理制度,并以“智慧安居”项目为试点开展信息安全风险评估,提出了数据、平台、产品、管控等方面的安全性方案,不断提高个人信息保护能力。
开展个人信息保护专项检查。浙江省经信委联合省公安厅、省通管局、人民银行杭州中心支行、省邮政管理局开展个人信息保护专项检查。检查分管理和技术检测两个部分,自查和部门抽查两个阶段,范围涵盖金融、电信、教育、招考、医疗、电子商务、邮政快递等行业以及存储大量个人信息的信息系统单位。检查中发现:部分单位个人信息保护管理制度欠缺、权限设置不够严谨、尚未建立责任追溯机制;部分内部人员在未经许可条件下就可处理甚至批量导出个人信息数据;在服务外包过程中,大量个人信息未经处理就转移给外包机构,存在较大信息泄露风险。针对检查中发现的个人信息保护管理和技术隐患,督促相关单位落实整改。
建立个人信息安全技术检测体系。在强化管理的基础上,浙江省组织信息安全测评力量,联合中国软件测评中心制定了《公共及商用服务信息系统个人信息安全技术检测体系》并进行了反复验证。该技术检测体系包括“网站个人信息保护政策测评”和“网站用户口令处理安全性测评”,前者主要通过互联网远程测评,采用“状态描述法”,对企业通过网站承诺的个人信息保护政策和其实际效果作出客观评价;后者对网站页面处理、口令传输两个环节进行安全性测评,测评脆弱性,评估安全性。
开展个人信息保护技术检测。在建立个人信息安全技术检测体系的基础上,对医疗、银行、招考和电子商务四类30家在浙江省影响较大的网站进行个人信息保护政策测评和用户口令处理安全性测评。政策测评检测显示:医疗、银行、招考和电子商务四类网站政策公开性较好,个人信息收集较为合理,但个人信息转移说明、用户权益保障和政策合理性与标准要求有一定差距,监督机制与执行情况与标准存在较大差距。口令测评反映:66%的网站未对用户口令采取任何安全措施,特别是医疗类、招考类网站的安全意识相对薄弱,存在个人信息泄露的风险。
保障个人信息安全刻不容缓
我国的个人信息保护工作尚属起步阶段,而个人信息安全保护又是一项社会系统工程,需要多部门的通力协作。随着智慧城市建设步伐加快,云计算、大数据应用普及,推进个人信息安全保障工作刻不容缓。
进一步完善政策法规标准体系。个人信息保护需要通过法律来规范企业、机构以及个人的行为。一要贯彻落实《决定》,制定电信和互联网、快递等行业以及电子消费过程个人信息保护政策法规,规范个人信息保护相关主体的权利和义务。二要强化标准建设,针对物联网、云计算、移动互联网等新技术、新应用,研究制定相应的个人信息安全标准;针对个人信息处理相关环节,制定相应的个人信息保护标准;针对信息服务外包,研究制定第三方服务外包管理规范。
加大个人信息安全监管力度。一要完善责任体系,协调各部门在个人信息保护的监管职责,明确个人信息安全各个利益主体责任。二要强化监管,设立个人信息安全用户投诉电话,规范个人信息收集范围和处置流程,组织重点行业和企业个人信息安全检查测评,督促相关单位建立个人信息安全内控机制。三要加大打击力度,开展涉及非法收集、泄露、倒卖个人信息等违法犯罪活动的专项整治活动,进一步细化定罪量刑标准,加强网络犯罪的打击力度。
加强个人信息安全保障能力建设。一是建立有效的网络身份管理体系,推进身份认证、网站认证等网络信任服务的应用,完善个人信息安全责任追溯体系和技术鉴定支撑体系。二是扶持第三方信息安全测评机构,开展个人信息安全测评,提高信息安全防护能力。三是加强个人信息保护队伍建设,推行个人信息安全责任官(CPO)制度,强化对专业技术人员的培训。
提高民众信息安全防护意识。加大对个人信息安全的宣贯工作,开展多层次多渠道的个人信息安全专题宣传活动,不断提高人民群众信息安全防护意识和能力,切实提高全社会对个人信息安全保护重要性的认识。
(作者单位:浙江省经济和信息化委员会信息安全处)