论文部分内容阅读
近日,中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,由工业和信息化部报国家批准。此消息一经披露,因备受诟病的个人信息泄露问题而引发的个人信息安全话题再度成为社会广泛热议的焦点,个人信息保护问题被推向舆论的风口浪尖。
其实,比我们更了解自己的不是本人,而
是黑客。黑客似乎有一双“X光”的眼睛,让我们个人信息经常处于“裸奔”状态,我们似乎已无处掩藏,毫无私密可言。
中国青年报社会调查中心通过民意中国网等,对1958人进行的在线调查显示,86.5%的受访者表示自己的个人信息曾遭泄露,49.8%的人抱怨信息遭泄露已严重影响自己的生活。而这一切的根源在于,我国在个人信息保护立法上的不完善。通过立法形成公民个人信息保护法律体系,已成为一件刻不容缓的大事。
海量用户被集体“裸晒”
经常接到莫名其妙的推销电话,邮箱塞满垃圾信息,QQ号接连失陷,网银密码突然被盗……这在我们生活工作中,已是屡见不鲜。
然而令人深忧的是,个人信息泄露已不是小部分人之事,而是数百上千万海量人群被集体“裸晒”。
近期,继CSDN、天涯社区、多玩游戏网等知名网站各有几百万用户数据惨遭拖库、泄露后,原以为坚不可催的电商领域内的当当、京东商城、淘宝网据称也被卷入“泄密门”,许多用户信息已被外泄。360安全中心则发布红色安全警报称,目前已有超过5000万用户账号和密码在网上公开扩散。
5000万网民个人信息的泄露,无疑再次对中国互联网的信息安全漏洞敲响了警钟!不论是网站运营管理的漏洞,还是黑客“魔高一丈”的技术,在互联网面前,如今人们越发觉得自己几乎没有了隐私,一种普遍的不安全感弥漫在人们周围。
可以说,随着互联网和移动互联网的发展,个人隐私保护已经成为人们上网时最大的隐忧。而到底是谁出卖了我们的个人信息隐私?隐私泄露,谁之责?用什么来保护我们的个人隐私?
《个人信息保护指南》呼之而出
2011年,国内网民数达5亿之多。伴随着如此庞大的网民队伍出现的,是网络信息安全问题的日益尖锐。庞大的黑客如雨后春笋批发而起,互联网上制毒、贩毒、攻击网站、牟取暴利的黑色产业链日益壮大,不义的财富滚滚而来。
如今,数量蔚为大观的黑客们均可以利用网络轻松地远程控制被感染的电脑,随意上传下载、窃取、删除、修改用户的文件,盗取用户的网络游戏账号、银行卡密码、个人隐私等私密信息,进而给无数网民造成重大损失。国家计算机网络应急中心估计,目前网络病毒黑色产业链的年产值已超过四五亿元,每年给网民造成的各种损失可能高达近百亿元。
可以说,时下网络犯罪日益猖獗,黑色产业链经济日渐“繁荣”,已严重威胁国家网络安全,侵害网民个人信息和财产的安全。因此,全面完善网络安全的立法、加强个人信息保护、斩断黑色病毒产业链,显得尤为迫切和重要。
所幸的是,今天最大程度建立并完善网络个人信息的保护制度、加强对网络安全的立法已经逐渐成为了网民与管理者共同的呼声,制标立法的进程也日益加快。
4月初,工业和信息化部相关部门负责人接受新华社记者专访时称,《信息安全技术、公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批,预计今年下半年正式出台。
这无疑让那些对个人隐私保护一直深忧的国人重新看到希望。
众所周知,我国网络安全的立法存在明显的滞后,至今尚无一部完善具体、行之有效的法律来制约、惩罚网络病毒的制造和传播。我国从2003年就开始《个人信息保护法》的研究和制定工作,但这个课题在业界一直难以达成共识,导致我国目前只是在很多专门法里笼统地提一句“不能泄露个人信息、侵犯个人隐私”,但如何保护,却没有具体、详细的内容分类和技术措施。
从现实的法条来说,我们对网络信息安全的法律保护基本停留在国家安全与系统安全的大层级上,比如,《全国人大关于维护互联网安全的决定》等多部法规基本未及厘清个人隐私及数据库的安全权益。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体过于狭窄,主要是指“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,并未涉及大量商业公司,如互联网公司、房地产公司、物业公司、汽车厂商、宾馆等。
与之同时,对网络制作、传播病毒的后果和损失的证据等难保全、易灭失,损失情况难取证和评估的现象存在,也使得网络病毒犯罪缺少具体定罪量刑标准。
以上这些不足与漏洞,都让网络违法犯罪者肆无忌惮,对窃取个人信息为所欲为。
去年年底至今,接连爆发的互联网大规模泄密事件,终于将如何更好地保护个人信息推向了风口浪尖,《个人信息保护指南》呼之而出。
据悉,此次《个人信息保护指南》适应国际立法新的趋势,即“以预防为主”,立足于事前防范,明确个人信息管理者的一整套法定责任,改变以往的民法“民不举官不究”的做法,也和《刑法》或《侵權责任法》的事后救济有了本质性区别。
《个人信息保护指南》指出了个人信息处理四个主要环节,主要包括收集、加工、转移和删除四个主要环节,并提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的即可,不一定非要让用户填上身份证号码、家庭地址、手机号码等个人私密信息。韩国一些知名网站也曾发生过大规模泄露网民信息事件,此事使得该国行政安全部对网络安全进行了反思。此后,出于保护网络用户信息考虑,韩国政府决定逐步改变,要求个人或企业使用用户身份证信息需要事先获得批准,并不能滥用。
而“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。 “保护指南”约束力尚待观察
不无遗憾的是,即将出台的《个人信息保护指南》不是强制性标准,甚至也不是推荐性标准。此标准通过会对互联网行业起到多大的规范与约束效力,尚待观察,尤其是能否管住网络黑客,还让人深感忧虑。
《个人信息保护指南》内容还未公布,但不管如何,内容应有制定某些急需的单行法,如对类似木马、黑客程序、流氓软件等计算机恶意程序进行有效法律界定,并要增加完善涉及信息网络的定罪、量刑标准内容,应考虑针对计算机网络犯罪活动特点,增加法人(单位)犯罪、罚金刑、资格刑等具体细节、可量化内容,为执法者提供充分的理论和实践依据,从而能用法规法律有效威慑病毒制造者和非法牟利者。
专家认为,不管是目前的法律,还是即将出台的《个人信息保护指南》,对信息管理者、泄露者的惩罚建言不够,约束处罚机制仍不强。在国内民法领域,对于个人数据信息的管理者及相关作恶者的治理机制仍然是一大片空白,要追究网站的责任步履维艰。在国外,像被木马、黑客程序、流氓软件这样大规模窃取、泄露用户信息,信息管理者至少要处于很重的经济处罚,而对信息泄露者、窃取者更是毫不犹豫绳之以法。在美国,若facebook(脸谱)、twitter(推特)发生此类事件,政府部门和法律团队会在第一时间介入、处罚,进而造成公司股价波动,老板甚至可能引咎辞职甚至受刑入狱;但在国内,至今还没有对网站的制约惩罚机制。为此,国内广大网民呼吁,要专门就个人信息保护立法,通过建立个人信息的合理使用制度、严厉的惩罚机制、设置监督机构等方式,为个人信息上一道“保险栓”,全面改善、提高网站的“防火防盗”的功能。而这,也是人们对未来出台《个人信息保护指南》的地位和作用的企盼。
此外,现行法律规定,个人信息受到侵害后,责任主体只承担行政责任和刑事责任,但对于如何补偿受害者并未作出相应规定。因此,当前理应建立一套完善的民事补偿机制,更好地保护个人信息。这方面,《个人信息保护指南》应作进一步较好的规定与完善。任何网站都有对其资料“妥善保管”的义务,尤其是涉及隱私及财产权的信息内容,应该有着“银行级”的保密举措,一旦泄露,必须承担第一责任,包括给个人受到侵害后作相应的民事补偿,而不能只是一纸道歉盖过。
总而言之,我们期盼着《个人信息保护指南》确实能为国内互联网信息安全保驾护航,为民法、刑法提供更多充分可靠的执法依据,管住更多的“泄密门”,还互联网一片蓝天碧地。
其实,比我们更了解自己的不是本人,而
是黑客。黑客似乎有一双“X光”的眼睛,让我们个人信息经常处于“裸奔”状态,我们似乎已无处掩藏,毫无私密可言。
中国青年报社会调查中心通过民意中国网等,对1958人进行的在线调查显示,86.5%的受访者表示自己的个人信息曾遭泄露,49.8%的人抱怨信息遭泄露已严重影响自己的生活。而这一切的根源在于,我国在个人信息保护立法上的不完善。通过立法形成公民个人信息保护法律体系,已成为一件刻不容缓的大事。
海量用户被集体“裸晒”
经常接到莫名其妙的推销电话,邮箱塞满垃圾信息,QQ号接连失陷,网银密码突然被盗……这在我们生活工作中,已是屡见不鲜。
然而令人深忧的是,个人信息泄露已不是小部分人之事,而是数百上千万海量人群被集体“裸晒”。
近期,继CSDN、天涯社区、多玩游戏网等知名网站各有几百万用户数据惨遭拖库、泄露后,原以为坚不可催的电商领域内的当当、京东商城、淘宝网据称也被卷入“泄密门”,许多用户信息已被外泄。360安全中心则发布红色安全警报称,目前已有超过5000万用户账号和密码在网上公开扩散。
5000万网民个人信息的泄露,无疑再次对中国互联网的信息安全漏洞敲响了警钟!不论是网站运营管理的漏洞,还是黑客“魔高一丈”的技术,在互联网面前,如今人们越发觉得自己几乎没有了隐私,一种普遍的不安全感弥漫在人们周围。
可以说,随着互联网和移动互联网的发展,个人隐私保护已经成为人们上网时最大的隐忧。而到底是谁出卖了我们的个人信息隐私?隐私泄露,谁之责?用什么来保护我们的个人隐私?
《个人信息保护指南》呼之而出
2011年,国内网民数达5亿之多。伴随着如此庞大的网民队伍出现的,是网络信息安全问题的日益尖锐。庞大的黑客如雨后春笋批发而起,互联网上制毒、贩毒、攻击网站、牟取暴利的黑色产业链日益壮大,不义的财富滚滚而来。
如今,数量蔚为大观的黑客们均可以利用网络轻松地远程控制被感染的电脑,随意上传下载、窃取、删除、修改用户的文件,盗取用户的网络游戏账号、银行卡密码、个人隐私等私密信息,进而给无数网民造成重大损失。国家计算机网络应急中心估计,目前网络病毒黑色产业链的年产值已超过四五亿元,每年给网民造成的各种损失可能高达近百亿元。
可以说,时下网络犯罪日益猖獗,黑色产业链经济日渐“繁荣”,已严重威胁国家网络安全,侵害网民个人信息和财产的安全。因此,全面完善网络安全的立法、加强个人信息保护、斩断黑色病毒产业链,显得尤为迫切和重要。
所幸的是,今天最大程度建立并完善网络个人信息的保护制度、加强对网络安全的立法已经逐渐成为了网民与管理者共同的呼声,制标立法的进程也日益加快。
4月初,工业和信息化部相关部门负责人接受新华社记者专访时称,《信息安全技术、公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批,预计今年下半年正式出台。
这无疑让那些对个人隐私保护一直深忧的国人重新看到希望。
众所周知,我国网络安全的立法存在明显的滞后,至今尚无一部完善具体、行之有效的法律来制约、惩罚网络病毒的制造和传播。我国从2003年就开始《个人信息保护法》的研究和制定工作,但这个课题在业界一直难以达成共识,导致我国目前只是在很多专门法里笼统地提一句“不能泄露个人信息、侵犯个人隐私”,但如何保护,却没有具体、详细的内容分类和技术措施。
从现实的法条来说,我们对网络信息安全的法律保护基本停留在国家安全与系统安全的大层级上,比如,《全国人大关于维护互联网安全的决定》等多部法规基本未及厘清个人隐私及数据库的安全权益。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体过于狭窄,主要是指“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,并未涉及大量商业公司,如互联网公司、房地产公司、物业公司、汽车厂商、宾馆等。
与之同时,对网络制作、传播病毒的后果和损失的证据等难保全、易灭失,损失情况难取证和评估的现象存在,也使得网络病毒犯罪缺少具体定罪量刑标准。
以上这些不足与漏洞,都让网络违法犯罪者肆无忌惮,对窃取个人信息为所欲为。
去年年底至今,接连爆发的互联网大规模泄密事件,终于将如何更好地保护个人信息推向了风口浪尖,《个人信息保护指南》呼之而出。
据悉,此次《个人信息保护指南》适应国际立法新的趋势,即“以预防为主”,立足于事前防范,明确个人信息管理者的一整套法定责任,改变以往的民法“民不举官不究”的做法,也和《刑法》或《侵權责任法》的事后救济有了本质性区别。
《个人信息保护指南》指出了个人信息处理四个主要环节,主要包括收集、加工、转移和删除四个主要环节,并提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的即可,不一定非要让用户填上身份证号码、家庭地址、手机号码等个人私密信息。韩国一些知名网站也曾发生过大规模泄露网民信息事件,此事使得该国行政安全部对网络安全进行了反思。此后,出于保护网络用户信息考虑,韩国政府决定逐步改变,要求个人或企业使用用户身份证信息需要事先获得批准,并不能滥用。
而“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。 “保护指南”约束力尚待观察
不无遗憾的是,即将出台的《个人信息保护指南》不是强制性标准,甚至也不是推荐性标准。此标准通过会对互联网行业起到多大的规范与约束效力,尚待观察,尤其是能否管住网络黑客,还让人深感忧虑。
《个人信息保护指南》内容还未公布,但不管如何,内容应有制定某些急需的单行法,如对类似木马、黑客程序、流氓软件等计算机恶意程序进行有效法律界定,并要增加完善涉及信息网络的定罪、量刑标准内容,应考虑针对计算机网络犯罪活动特点,增加法人(单位)犯罪、罚金刑、资格刑等具体细节、可量化内容,为执法者提供充分的理论和实践依据,从而能用法规法律有效威慑病毒制造者和非法牟利者。
专家认为,不管是目前的法律,还是即将出台的《个人信息保护指南》,对信息管理者、泄露者的惩罚建言不够,约束处罚机制仍不强。在国内民法领域,对于个人数据信息的管理者及相关作恶者的治理机制仍然是一大片空白,要追究网站的责任步履维艰。在国外,像被木马、黑客程序、流氓软件这样大规模窃取、泄露用户信息,信息管理者至少要处于很重的经济处罚,而对信息泄露者、窃取者更是毫不犹豫绳之以法。在美国,若facebook(脸谱)、twitter(推特)发生此类事件,政府部门和法律团队会在第一时间介入、处罚,进而造成公司股价波动,老板甚至可能引咎辞职甚至受刑入狱;但在国内,至今还没有对网站的制约惩罚机制。为此,国内广大网民呼吁,要专门就个人信息保护立法,通过建立个人信息的合理使用制度、严厉的惩罚机制、设置监督机构等方式,为个人信息上一道“保险栓”,全面改善、提高网站的“防火防盗”的功能。而这,也是人们对未来出台《个人信息保护指南》的地位和作用的企盼。
此外,现行法律规定,个人信息受到侵害后,责任主体只承担行政责任和刑事责任,但对于如何补偿受害者并未作出相应规定。因此,当前理应建立一套完善的民事补偿机制,更好地保护个人信息。这方面,《个人信息保护指南》应作进一步较好的规定与完善。任何网站都有对其资料“妥善保管”的义务,尤其是涉及隱私及财产权的信息内容,应该有着“银行级”的保密举措,一旦泄露,必须承担第一责任,包括给个人受到侵害后作相应的民事补偿,而不能只是一纸道歉盖过。
总而言之,我们期盼着《个人信息保护指南》确实能为国内互联网信息安全保驾护航,为民法、刑法提供更多充分可靠的执法依据,管住更多的“泄密门”,还互联网一片蓝天碧地。