search
尋找貓咪~QQ 地點 桃園市桃園區 Taoyuan , Taoyuan

個人信息一年泄露60億條!你的安全誰來管?

6月1日,《中華人民共和國網路安全法》正式實施。這是網路領域的基礎性法律,明確加強了對個人信息的保護,打擊網路詐騙。與此同時,《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》也在同日施行。司法解釋明確,向特定人提供公民個人信息,以及通過信息網路或者其他途徑發布公民個人信息的,應當認定為刑法規定的「提供公民個人信息」。個人信息保護方面法律法規的完善,是構建系統網路空間法律體系的重要一步,也是在當下嚴峻的網路安全環境下,極具意義的舉措。

網路安全問題:個人信息泄露嚴重

個人信息安全問題日益嚴峻。截至2016年12月,網民規模達7.31億,比網民數量更龐大的是網民個人信息的泄露數量,以及由此造成的經濟損失。360互聯網安全中心發布的《2016年網站泄露個人信息形勢分析報告》顯示,2016年全年,遭到泄露的個人信息約為60.5億條、同比上漲9.4%,高於6.2%的網民增長率。互聯網協會發布的《2016年網民權益保護調查報告》顯示,因為信息泄露造成的總體經濟損失更是高達915億元。

從信息收集者來看,性別、電話、通訊內容、財產數據、住宿記錄這些個人信息看似簡單,實際上是相當寶貴的數據資源。特別是與金融信貸、兒童教育、交通出行、醫療檔案等行業相關的信息,不僅具有精準投放廣告等商業價值,還可以通過大數據的方式突破徵信壁壘,成為黑客社會工程學、個人信息倒賣黑市的「香餑餑」。例如,皮尤研究中心和美聯儲的研究發現,黑人和拉丁裔使用手機訪問銀行賬戶的傾向要高得多,因此只要查看人們瀏覽網路的方式就能辨別其種族身份,進而加劇金融種族偏見的可能性。

從被收集者來看,部分公民傾向於為了便利而主動泄露個人信息,在遭到泄露侵害的時候採取消極方式處理。青年政治學院互聯網法治研究中心,在分析104.86萬份調查問卷后發現,超過70%的被調查者認為個人信息泄露問題嚴重;但是當被問及是否「願意提供個人信息以獲得更便利的服務享受」時,更多人選擇了「願意」(53%);而明確自身遭遇個人信息泄露並面臨侵害時,六成以上被調查者採取不理睬、拉黑等方式,只有12%的被調查者會主動舉報投訴。這種狀況不僅為不法分子留存了極大的侵害漏洞,又客觀上降低了違法犯罪的成本,增加了侵犯公民個人信息犯罪的可能性。

從收集方式來看,除了如人口普查等公開數據收集,以及如NSA(美國國家安全局)稜鏡計劃等情報機構竊聽之外,更多的個人信息泄露發生在介於兩者之間的灰色地帶,而且方式多樣、技術更新迅速。蘇寧金融研究院研究發現,個人信息泄露主要有五大路徑:一是人為因素,即掌握了信息的員工主動倒賣信息;二是木馬病毒等惡意軟體感染電腦竊取信息;三是黑客利用網站漏洞,入侵資料庫、盜取信息;四是用戶隨意連接免費WIFI或者掃描二維碼,誘導傳輸個人信息;五是用戶跨平台使用同一密碼,方便了黑客通過「撞庫」盜號。

他山之石:各國用戶信息保護機制

互聯網時代的個人信息保護很大程度上落腳在隱私權保護上。在這一點上有著豐富司法經驗的美國、歐盟分別代表兩種不同的治理類型,而在互聯網發展迅速的韓國,相關司法實踐也同樣具有借鑒意義。

美國——權利法案指導下的行業自律。美國政府在2015年2月發布《消費者隱私權利法案(草案)》(以下簡稱草案)的政府討論稿,旨在為消費者提供綱領性的隱私基本保障,同時確保數據的自由流動與開發。在法案的指導下,強調行業自律,企業根據自身情況制定信息保護政策。主要包括三種自律模式:一是建議性的行業指引,比如在互聯網領域,美國在線隱私聯盟(OPA)的成員公司同意採納和執行OPA的隱私政策,該政策規定了應全面告知消費者網站的資料收集行為,包括所收集信息的種類、方式及其用途,是否向第三方披露或出售該信息等。二是網路隱私認證計劃,該計劃的認證標誌具有商業信譽的意義,標識了遵守特定的信息收集行為規則的網站。三是技術保護模式,比如,通過某些隱私保護的軟體,在消費者進入某個收集個人信息的網站之時,該軟體會提醒消費者什麼樣的個人信息正在被收集,由消費者決定是否繼續瀏覽該網站。

歐盟——強化用戶知情同意、增加數據控制者保護義務。歐盟在2016年4月正式頒布《數據保護通用條例》草案,通過提高「用戶知情同意」的要求,新增被遺忘權、數據可攜權等手段,規定強化了數據主體的權利;為數據控制者增設了諸多義務,如數據泄露告知、任命數據保護官員(DPO)、進行隱私影響評估(DPIA)等。《條例》還大幅擴展了數據保護的適用範圍,加大對違法行為的懲處力度,強化對數據保護的監管及起訴機制。

韓國——國家級個人信息保護機構和認證制度。2011年8月,韓國政府發布了《國家網路安全綜合計劃》,成立國家網路安全中心,由國家情報院負責運作,包括行政安全部在內的十幾個政府機構參與合作,並設立了總統直轄的個人信息保護委員會和個人信息紛爭調停委員會,引入了個人信息影響評價制度和個人信息泄露通知及申告制,建立關於個人信息的國家認證資格證制度,並確立了個人信息團體訴訟制度,構築了事前預防個人信息泄露、事中保護和事後救濟的完整體系。據韓聯社報道,韓國的個人信息保護管理體系(PIMS)也在2017年獲得多家國際通訊機構的認可,達到相關國際標準。

個人信息保護體系構建進行時

在,個人信息保護體系仍處在積極構建的過程中。

在立法層面,國內暫時總體上形成了以《網路安全法》《消費者權益保護法》確保個人信息事前、事中安全可控,以《民法總則(2017版)》《刑法修正案(九)》為事後責任認定的個人信息保護法律體系。具體體現為:2014年3月起施行的《消費者權益保護法》,首次將「個人信息保護」作為消費者的一種消費者權益,經營者及其工作人員必須對消費者的個人信息嚴格保密。2015年8月通過的《刑法修正案(九)》,說明了「出售、非法提供公民個人信息罪」和「非法獲取公民個人信息罪」兩項罪名的具體處罰標準。2017年3月通過的《民法總則》進一步增強了個人信息保護,明確規定「任何組織和個人應當確保依法取得的個人信息安全」。2017年6月1日起生效的《網路安全法》重點提出了要加強對公民個人信息的保護,規定了收集用戶信息和向他人提供個人信息應取得被收集者同意,防止公民個人信息數據被非法獲取、泄露或者非法使用。「兩高」在5月8日出台的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,進一步明確了「公民個人信息」的定義,將行蹤軌跡等也納入這一範疇,同時還明確規定了侵犯公民個人信息罪的10種情形以及處罰力度。

在組織層面,目前還沒有專門針對個人信息保護的執行機構。工信部軟體評測中心在2013年提出將牽頭組建個人信息保護推進聯盟,目前還未見公開落地。消費者協會會長兼秘書長常宇認為,個人信息泄露事件的頻發對網民造成了金融資產和個人信息安全等危害,而消費者在個人信息保護上又面臨「防範難、舉證難、索賠難」等問題。現行監管模式是各個部門只負責監管與其行業相關領域下的個人信息安全問題,會遇到監管交叉或監管空白地帶。因此,設立專門的個人信息保護行政機構,對電信行業、互聯網企業、個人信息使用集中的行業重點監管,勢在必行。

在機制層面,儘管社會討論踴躍,但暫時國內仍缺乏具體有效可行的多方合作機制。工信部在2017年1月印發《信息通信網路與信息安全規劃(2016-2020)》中提出,從三個方面大力強化網路數據和用戶信息保護,其中第三點即是「建立完善數據與個人信息泄露公告和報告機制」。在2017年3月全國兩會期間,也有網民呼籲「構築全方位保護機制,應由公安部門牽頭,由上至下聯合電信運營商、網路服務平台、銀行金融、快遞運輸等行業,打造全國性的防護網路,聯合協作,共享共治。以此為平台提升打擊利用信息犯罪力度,使違法犯罪空間不斷縮小」。

總體而言,關於個人網路信息安全保護是以法律和政府監管為主。也正因如此,《網路安全法》的實施對於法律體系自身的完善、維護國家與社會網路安全、保護人民利益都有著極為重要的意義。然而,組織與機制層面的建設滯后,意味著關於個人網路信息安全體系的構建仍任重而道遠。

人民雲——大數據中央廚房



熱門推薦

本文由 yidianzixun 提供 原文連結

寵物協尋 相信 終究能找到回家的路
寫了7763篇文章,獲得2次喜歡
留言回覆
回覆
精彩推薦