公眾號:mywangxiao
及時發(fā)布考試資訊
分享考試技巧、復習經(jīng)驗
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
“對個人信息的保護,與其說不重視,不如說漠視,極端漠視。’中國消費者協(xié)會信息專家謝偉民告訴記者。他認為,個人在社會生活中正在不斷地“被透明化”,公民自愿和不自愿地需要留存?zhèn)€人信息的場域越來越多,而信息的采集者又極端不負責任,任其泄露,甚至主動買賣。“據(jù)我所知,一些很知名的大公司都參與到信息買賣的交易中。”
事實上.利用個人信息從事非法獲利的黑色鏈條已經(jīng)形成。“黑客”攻擊獲取某公司采集的用戶信息數(shù)據(jù)庫,倒賣至市場獲利,與公司內(nèi)部員工乃至公司本身倒賣數(shù)據(jù)庫并行不悖.成為信息泄露的兩條主要路徑。
“黑客”的攻擊,是一些網(wǎng)站數(shù)據(jù)庫失陷的原因。“‘黑客’也分好多層次.最成功的是‘拖庫’的,拿到網(wǎng)站的所有權(quán)限,把所有的內(nèi)容都下載走。”金山反腐毒工程師李鐵軍說。
一些網(wǎng)站疏于防范,給“黑客”帶來了不少可乘之機。李鐵軍說:“一些互聯(lián)網(wǎng)企業(yè)收集的用戶信息在后臺是用明文的方式存在,也有的只是做一些簡單的加密,這對‘黑客’來講幾乎沒用。‘黑客’一旦入侵,這些信息就一覽無余。此外,一些小企業(yè)對數(shù)據(jù)庫的管理不善,也易造成泄露。在管理較恰當?shù)钠髽I(yè),應該是具有相應權(quán)限的員工才能訪問數(shù)據(jù)庫,且每次訪問都會有日志留下記錄,并有比較專業(yè)的審核系統(tǒng)。”
李鐵軍告訴記者,每天僅微博賬戶被盜者就有幾萬人,幾乎每分鐘都有人發(fā)現(xiàn)賬戶被盜。被盜的賬戶在評論和私信中都夾帶廣告。“‘黑客’比較多地利用‘撞庫’的方法盜號。因為完全拿到某網(wǎng)站微博的用戶賬號數(shù)據(jù)庫是比較難的,但2011年年底泄露了那么多用戶數(shù)據(jù),而大約有20%的用戶對不同的互聯(lián)網(wǎng)服務使用同一賬號和密碼,拿這些賬號、密碼去套用.不少就成功了。”
拿到數(shù)據(jù)后,下一步就是交易。“‘黑客’們會在黑市里、小圈子里交易,往往是私密訪問的論壇、QQ群等,外面的人基本上看不到交易的細節(jié),只能看到交易結(jié)果。有些‘黑客’還會對賬號進行篩選,有些賬號里有虛擬貨幣等,就嘗試去盜取,完全沒價值的賬號,就用來發(fā)廣告。這些賬號的購買者也主要是想做廣告的企業(yè)。”李鐵軍透露。
一個不容樂觀的數(shù)據(jù)是,根據(jù)360網(wǎng)站安全檢測平臺的分析顯示,國內(nèi)83%以上的網(wǎng)站存在各種安全漏洞,大部分網(wǎng)站基礎防護能力薄弱。而據(jù)一家券商TMT研究部門的調(diào)研數(shù)據(jù),目前中國互聯(lián)網(wǎng)公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例則達到了8%-10%。
一方面是吝于投入、難擋“外賊”;另一方面,更有企業(yè)滋生“內(nèi)鬼”、開門揖盜,甚至整個企業(yè)自為盜賊。
“不少網(wǎng)站收集完用戶信息后,干脆就倒閉了,帶著信息消失了。通過欺詐的形式來收集個人信息也非常普遍。”李鐵軍說,去年有人謊稱在淘寶上做一個“一元秒殺”的活動.幾百元的商品只賣一元,在兩三天之內(nèi)就收集到了幾萬名用戶的信息,然后立刻“人間蒸發(fā)”。
“道高一尺,魔高一丈。怎么加強個人信息保護,的確是個難題。”北京郵電大學信息產(chǎn)業(yè)政策與發(fā)展研究所教授闞凱力說。
4.2012年4月5日,工業(yè)和信息化部相關(guān)負責人透露,《信息安全技術(shù)、公共及商用服務信息系統(tǒng)個人信息保護指南》(以下簡稱《個人信息保護指南》)目前正在國家標準委進行最后的技術(shù)審批。預計上半年正式出臺。
個人信息的泄露已呈決堤之勢,個體在社會生活中急速“被透明化”。然而,個人信息安全卻缺少專門法律規(guī)范。令人欣慰的是,中國已開始探索保護公民個人信息權(quán)的有效途徑。工信部直屬的中國軟件測評中心透露,他們聯(lián)合30多家單位起草的}《信息安全技術(shù)、公共及商用服務信息系統(tǒng)個人信息保護指南》已正式通過評審,正報批國家標準,將為企業(yè)處理個人信息提供行為準則。
《個人信息保護指南》對個人信息的處理包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié),其中還提出了個人信息保護的原則。“最少使用”的原則就是獲取一個人的信息量時,只要能滿足使用目的就行。比如,一些網(wǎng)站只是辦一件小事,卻讓用戶填包括家庭住址、手機號等很多信息,這就不符合“最少使用”原則。“安全保障”則是要求個人信息管理者一旦收集r個人信息,就必須建立一套個人信息保護制度,明確責任人和內(nèi)部管理流程,以及應對個人信息泄露的風險。中國軟件測評中心副主任高熾揚估計,個人信息泄露中70%~30%屬內(nèi)部作案,這是“安全保障”原則沒能落實好所致。依照《個人信息保護指南》,在收集個人信息階段告知的“使用目的”達到后應立即刪除個人信息。不過,目前普遍的現(xiàn)狀是,一旦信息被采集,即被采集者保存至數(shù)據(jù)庫,極少有“用后即刪”的。
令人遺憾的是,此次個人信息安全國家標準通過后,僅是技術(shù)指導文件,并非強制性標準,甚至也不是推薦性標準。
5.此次出臺的《個人信息保護指南》,在不少業(yè)內(nèi)人士看來,對保護個人信息安全作用有限,最重要的還是得立法。
“工信部制定這個指南,其實是為了敷衍前段時間大規(guī)模泄密引起的強烈不滿,只是虛應故事,很難說有實質(zhì)的作用和意義。比如說,誰來保證信息用后即刪?去行政機關(guān)辦事,白紙黑字登記,用后會銷毀紙張嗎?信息保護沒有那么簡單。”北京律師董正偉認為。
上海律師杜躍平則認為,目前信息保護問題雖已到“深水區(qū)”,但還在“摸石頭過河”,工信部出一個指南。畢竟“聊勝于無”,可以在實踐中積累些經(jīng)驗。但匙鍵還是要出專門法,可先出個專門條例.以后再上升到法律。“主要還是得立法,”中國信息經(jīng)濟學會副理事長楊培芳也表示:“現(xiàn)在有些部門規(guī)章,但層級不夠,要有專門法律,進行細化歸納。原有的東西可以延用,但還要增加一些新條款,能覆蓋種種新現(xiàn)象。”
據(jù)工信部電子科技情報研究所副所長劉九如統(tǒng)計,目前有近40部法律。30余部法規(guī)以及近200部規(guī)章涉及個人信息保護,但內(nèi)容較為分散、法律法規(guī)層級偏低。
2009年,《中華人民共和國刑法修正案(七)》確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”等罪名,被認為是個人信息保護立法的標志性事件。修正案首次將公民個人信息納入刑法保護范疇,規(guī)定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。但這一犯罪主體是“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”。
較為人所知的還有《中華人民共和國侵權(quán)責任法》。該法主要起草者之一、中國人民大學法學院教授楊立新說:“《中華人民共和國侵權(quán)責任法》第二條,侵害民事權(quán)益,應當依照本法承擔侵權(quán)責任。其中民事權(quán)益包括隱私權(quán),個人信息即包含在隱私權(quán)里面,但沒有明說。而一旦泄露了個人信息.可適用第六條,行為人因過錯侵害他人民事權(quán)益,應當承擔侵權(quán)責任。”
遺憾的是,在個人信息安全方面,目前并無一部專門法規(guī)。據(jù)了解,《中華人民共和國個人信息安全法》自2003年起已部署起草,但這項立法建議一直未能進入正式的立法程序。
董正偉認為,該法擱淺的主要原因在于這幾年行政權(quán)力擴張過快,社會管理出現(xiàn)行政化加強、法制淡化的趨勢。“如果要保護個人信息,對不斷推進的實名制會形成約束。兩者出現(xiàn)對抗,法就立不下去了。”
在董正偉看來,2012年1月1 E1起開始實行修改后的《中華人民共和國居民身份證法》,對查閱居民身份證進行了嚴格的規(guī)定和限制,顯然有助于加強對個人信息的保護。不過,目前正在向公眾征求意見的著作權(quán)法修改草案。允許版權(quán)所有人采取技術(shù)保護措施。“這簡直就是承認微軟黑屏合法化,等于讓計算機軟件程序所有人可不擇手段地私自非法入侵用戶計算機系統(tǒng),對個人信息保護的危害性很大,也讓刑法中‘非法侵入計算機信息系統(tǒng)’的條款難以執(zhí)行。”
“我建議起草一部公民權(quán)益保護法,其中單列個人信息保護章節(jié)。首先要定義什么叫個人信息,哪些信息不能隨便采集,要劃禁區(qū)。要規(guī)定什么情況下才允許使用公民信息。身份證信息要嚴格控制使用,這是個基本原則。不能落實公民身份信息保護措施的機構(gòu)。沒有任何理由要求公民出示身份證。此外,還要考慮是否要專門成立個人信息保護的監(jiān)管機構(gòu),要有人負責,不負責的話,保護就是一句空話。泄露信息應承擔什么民事或刑事、行政責任,立法也一定要寫進去。而公民信息被泄露,也有權(quán)要求精神損失費,對精神損失費可設下限規(guī)定,不低于多少錢。”董正偉建議。
楊立新也認為,“最起碼應有個條例。什么是個人信息,個人信息誰有權(quán)采集,誰有權(quán)使用,使用范圍是什么,違反這些規(guī)定應怎樣承擔責任,這些都是立法中最主要的問題”。
而在法律未出臺之前,應如何保護個人信息?杜躍平建議,對互聯(lián)網(wǎng)企業(yè)。管理部門應加強監(jiān)管,企業(yè)不得指令用戶提供詳細信息,“未必要實名制,也未必要填準確真實信息,應該也同樣可以使用網(wǎng)站服務”。
6.公民個人信息安全事關(guān)公民安全、法律尊嚴和社會穩(wěn)定。中國人民大學法學院教授何家弘介紹,根據(jù)公安部門提供的資料,國內(nèi)侵害公民個人信息的違法犯罪已經(jīng)出現(xiàn)了向黑社會性質(zhì)組織轉(zhuǎn)化的趨勢,必須引起高度警惕,黑社會性質(zhì)組織猖獗的地區(qū)往往呈現(xiàn)道德水準下滑、法治環(huán)境惡化等特征,應堅決打擊侵害公民個人信息的違法犯罪行為。
據(jù)了解,已有50多個國家和地區(qū)制定了保護個人信息的法律。何家弘說,我國應盡快出臺統(tǒng)一適用的公民信息安全保護的基本法,明確立法保護范圍、個人信息使用者的義務等內(nèi)容。對于有效保護個人信息,更重要的是執(zhí)法,要堅決打擊這類違法犯罪行為,保證現(xiàn)有法律規(guī)定得到嚴格執(zhí)行。
在香港,違法發(fā)送促銷電郵,最高罰款50萬港幣。何家弘強調(diào),對予以竊取、購買等方式非法獲取和濫用公民信息的行為,要依法追究其法律責任,并確立相應的民事賠償機制;對涉嫌非法披露或出賣個人信息的國家公職人員,必須從嚴懲處。公安機關(guān)最近采取的專項行動,對于打擊此類犯罪很有成效,但是必須保持執(zhí)法的常態(tài)性和持續(xù)性。
調(diào)查顯示,掌握公民個人信息的政府部門和公司企業(yè)是泄露公民個人信息的“重災區(qū)”,突出表現(xiàn)在少數(shù)工作人員身上,但根子在于這些機構(gòu)放松了對公民個人信息的管理,任由“內(nèi)鬼”橫行。何家弘認為,要建立嚴密的監(jiān)管體系和防范制度。具體來說,對于掌握公民個人信息的部門,要完善其收集、保存和使用公民個人信息的規(guī)章制度。
作答要求
一、根據(jù)“給定資料”,概括公民個人信息普遍遭泄露的原因。(20分)
要求:概括準確、內(nèi)容全面,不超過200字。
二、假定你是某街道辦事處的一名工作人員.請參考“給定資料”。為當?shù)鼐用裆鐓^(qū)宣傳欄擬一份《關(guān)于個人加強信息安全保護的宣傳材料》的內(nèi)容要點。(30分)
要求:內(nèi)容具體、簡明、通俗,利于老百姓理解,條理清楚;不超過500字。
三、根據(jù)“給定資料”,結(jié)合當前實際,以“個人信息安全”為話題,自選角度,自擬標題,撰寫一篇議論文。(50分)
要求:觀點明確,內(nèi)容充實,結(jié)構(gòu)完整.語言流暢:800~1000字。
(責任編輯:中大編輯)