◆杨 帆 马卓元 田国敏 杨向东
探究互联网时代下的个人信息安全保护
◆杨 帆 马卓元 田国敏 杨向东
(陕西省网络与信息安全测评中心 陕西 710065)
互联网时代下,信息被称为“新石油”,个人信息的价值不断被挖掘、被使用,个人信息泄露、非法收集和滥用等问题日渐凸显,个人信息安全面临严重威胁。本文描述了个人信息泄露的途径,阐述了个人信息面临的主要风险,分析了个人信息安全保护存在的问题,并提出了个人信息安全保护应对措施。
个人信息;个人信息安全保护
随着我国移动互联网、云计算、人工智能等新技术新应用的快速发展与普及,每个个体随时随地都在产生大量的数据,而滥用、泄露、出售个人信息或者非法向他人提供所收集的个人信息等违法行为日益增多,不但使个人的人身财产安全受到严重威胁,也不利于经济社会的健康发展。因此,本文对互联网时代下的个人信息安全保护问题进行分析与研究。
2018年实施的国家标准《信息安全技术个人信息安全规范》指出,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等[1]。该项定义与《网络安全法》相比较,增加了一条反映特定自然人活动情况的信息,将互联网用户在网络上的行踪轨迹纳入个人信息范畴内。从法律定义中我们不难看出,个人信息范围十分宽泛,只要能够识别出特定自然人身份,与特定自然人相关联的信息都属于个人信息。
根据全国消协组织受理消费者投诉情况统计,2018年上半年电商平台、社交平台软件等非法搜集消费者个人信息现象成为投诉新热点。据有关受访者调查显示,超八成受访者都曾遭遇过个人信息泄露问题,而服务商将用户个人信息泄露是目前主要问题[2]。许多不良服务商往往过度、隐秘或诱骗收集个人信息,更有甚者,采用诸多协议强迫用户同意其“霸王条款”,然后对个人信息非法采集与使用。
受利益驱使或者出于其他目的,在未获得法律授权、未经过本人允许或者高于必要限度,掌握信息资源的有关机构或行业内部从业人员对外私自提供或披露公民的个人信息,使得诸如姓名、性别、身份证号、手机号码、座机号码、家庭住址、工作单位、房产状况等“海量”的个人信息在网上非法买卖,个人信息“黑市”猖獗。
不法分子常常通过使用专业软件或利用系统漏洞、钓鱼网站、甚至是植入木马等方式非法入侵到人们使用的各类智能终端或应用中窃取各种个人信息,从而获取巨大利益,并将窃取到的个人信息在黑市中进行非法倒卖或者直接从事违法犯罪活动,影响公众网络生活的安宁和秩序,破坏个人的合法权益和社会公共利益。
政府机构、企业部门均拥有大量的公民个人信息或集团用户信息,部门与部门之间、上级与下级之间、行业与行业之间尚未完全实现联网,加上设备不完善、技术不成熟、管理不规范、人员流动频繁等原因,公民个人信息在政府机构、企业部门信息往来中,即使没有违反现行法律法规、行业行规等,也没有利益交换情况下,也很容易出现泄露。此外,公众在日常生活中使用手机、证件复印件、快递单等重要的个人信息载体时疏忽大意,或者未采取安全的防范措施也易导致个人信息泄露。
当前,国家有关部门虽然已经针对个人信息安全保护工作开展相关研究,但是暂时还没有出台一部专门针对个人信息安全保护方面的法律。而我国相关法律法规、规范性文件中涉及个人信息安全保护的内容较为零散,现有的保护个人信息安全的法律法规存在体系设计不完整、内容构造不健全、条款数目不充足、适用范围不明确等问题,无法切实保护公民的个人信息不受侵害,也不能有效打击侵害公民个人信息的违法犯罪活动。
我国至今没有设立独立的个人信息保护机构,保护个人信息安全的各部门职责分工不明晰,行政管理上存在分割、分治的状况,多部门共同监管的混乱状态下存在监管标准不统一、监管方法不明确、监管效果不显著、监管责任不到位等问题,导致个人信息保护在某些方面被重复监管,某些方面却被遗漏,且个人信息主体维权时极易遭遇投诉无门、维权无路、部门之间推诿扯皮的困境。
虽然政府部门或企业牵头成立了一些约束企业行为的个人信息保护行业自律联盟制定了较为完善正规的隐私保护原则,但由于行业自律本身的自发性决定了其更多地依靠企业自觉履行责任和义务,而许多企业的积极性和主动性较差,导致行业自律组织难以约束规范企业收集、使用个人信息行为。此外,必要运转资金的匮乏也使其无法持续性地切实督促企业落实个人信息保护责任和义务,更无法发挥企业在个人信息安全保护方面的引导和示范作用。
由于个人信息安全宣传、教育与培训不足,使得公民的个人信息安全意识淡薄和对此安全重要性的认知水平有限,又或者服从于个人占便宜的心理作用,导致不法分子轻而易举地获得了个人信息数据,而公民自身往往并没有察觉到其无意的行为已引发个人信息遭到泄露。此外,在遭遇个人信息泄露事件时,大部分人往往“自认倒霉”,只有极少数人积极维权,依法举报、投诉、报警等。
国家亟需出台独立、完善、权威的个人信息保护法。一方面,要整合、修改和补充原有的法律规范,建立规范、系统的法律体系。另一方面,要明确个人信息收集、处理和利用过程中的法律条款和要求,个人信息保护的基本原则、基本制度、基本行为规范和法律责任等。此外,对于非法获取、泄露个人信息等违法犯罪行为还需给出清晰的处罚标准,以确保对公民个人信息进行合法收集、处理和利用。
部分省份虽“先走先行”,设立了相关大数据管理机构,但工作成效并不理想。统一、开放、信息共享的多部门联动协同监管机制需要从上而下的顶层设计,以明确监管机构主体责任,确定监管机构职责权限,划分监管机构监管领域。此外,还需制定清晰的监管目标,采取合理的监管模式,出台完善的监管政策,以个人信息安全保护法为主要遵循,形成“立法”与“执法”相辅相成的个人信息安全保护机制,以有效落实各项监管工作。
在国家法律和主管部门监管双重约束下,应加强个人信息安全保护相关标准规范的制定与出台,一方面可以推动法律法规、监管政策的具体落地,另一方面可以指导企事业单位从实践的角度,落实相关要求。目前,以《个人信息安全规范》为基础的国家标准体系正在逐渐完备中,各企事业单位应积极参考国家标准体系,建立符合自身发展需求的内部治理方案,在保护个人信息安全的基础上更好地挖掘利用数据价值。
政府部门作为个人信息安全保护的监管主体,应努力做好实践工作,带头尊重并保护个人信息,加大教育培训力度,鼓励民众积极参与,营造保护个人信息安全的良好环境氛围。同时,公民应及时关注国内外信息安全事件,提高个人信息安全保护意识,提升个人信息安全防范技能,在涉及个人信息收集、使用等情况时应提高警惕,一旦发现有可疑情况时积极采取应对措施,以防个人信息数据被非法采集、处理和使用。
本文分析了我国个人信息面临的主要风险、个人信息安全保护存在的问题,并分别从加快推进我国个人信息安全保护立法、建立健全监管机制、推动制定标准规范以及加大宣传教育这四方面提出了建议,有助于公民、社会及政府更好地保护个人信息安全。
[1]GB/T 35273-2017《信息安全技术个人信息安全规范》.
[2]中国消费者协会.《APP个人信息泄露情况调查报告》.
[3]王丁.我国个人信息保护的现状及相关对策探讨[J].中国新通信,2019,21(03):108-110.
[4]何延哲,陈舒.我国个人信息保护标准体系与实践[J].保密科学技术,2018(10):19-23.