学文网近日,中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,由工业和信息化部报国家批准。此消息一经披露,因备受诟病的个人信息泄露问题而引发的个人信息安全话题再度成为社会广泛热议的焦点,个人信息保护问题被推向舆论的风口浪尖。
其实,比我们更了解自己的不是本人,而
是黑客。黑客似乎有一双“X光”的眼睛,让我们个人信息经常处于“裸奔”状态,我们似乎已无处掩藏,毫无私密可言。
中国青年报社会调查中心通过民意中国网等,对1958人进行的***调查显示,86.5%的受访者表示自己的个人信息曾遭泄露,49.8%的人抱怨信息遭泄露已严重影响自己的生活。而这一切的根源在于,我国在个人信息保护立法上的不完善。通过立法形成公民个人信息保护法律体系,已成为一件刻不容缓的大事。
海量用户被集体“裸晒”
经常接到莫名其妙的推销电话,邮箱塞满垃圾信息,QQ号接连失陷,网银密码突然被盗……这在我们生活工作中,已是屡见不鲜。
然而令人深忧的是,个人信息泄露已不是小部分人之事,而是数百上千万海量人群被集体“裸晒”。
近期,继CSDN、天涯社区、多玩游戏网等知名网站各有几百万用户数据惨遭拖库、泄露后,原以为坚不可催的电商领域内的当当、京东商城、淘宝网据称也被卷入“泄密门”,许多用户信息已被外泄。360安全中心则红色安全警报称,目前已有超过5000万用户账号和密码在网上公开扩散。
5000万网民个人信息的泄露,无疑再次对中国互联网的信息安全漏洞敲响了警钟!不论是网站运营管理的漏洞,还是黑客“魔高一丈”的技术,在互联网面前,如今人们越发觉得自己几乎没有了隐私,一种普遍的不安全感弥漫在人们周围。
可以说,随着互联网和移动互联网的发展,个人隐私保护已经成为人们上网时最大的隐忧。而到底是谁出卖了我们的个人信息隐私?隐私泄露,谁之责?用什么来保护我们的个人隐私?
《个人信息保护指南》呼之而出
2011年,国内网民数达5亿之多。伴随着如此庞大的网民队伍出现的,是网络信息安全问题的日益尖锐。庞大的黑客如雨后春笋批发而起,互联网上制毒、***、攻击网站、牟取暴利的黑色产业链日益壮大,不义的财富滚滚而来。
如今,数量蔚为大观的黑客们均可以利用网络轻松地远程控制被感染的电脑,随意上传***、窃取、删除、修改用户的文件,盗取用户的网络游戏账号、银行卡密码、个人隐私等私密信息,进而给无数网民造成重大损失。国家计算机网络应急中心估计,目前网络病毒黑色产业链的年产值已超过四五亿元,每年给网民造成的各种损失可能高达近百亿元。
可以说,时下网络犯罪日益猖獗,黑色产业链经济日渐“繁荣”,已严重威胁国家网络安全,侵害网民个人信息和财产的安全。因此,全面完善网络安全的立法、加强个人信息保护、斩断黑色病毒产业链,显得尤为迫切和重要。
所幸的是,今天最大程度建立并完善网络个人信息的保护制度、加强对网络安全的立法已经逐渐成为了网民与管理者共同的呼声,制标立法的进程也日益加快。
4月初,工业和信息化部相关部门负责人接受新华社记者专访时称,《信息安全技术、公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批,预计今年下半年正式出台。
这无疑让那些对个人隐私保护一直深忧的国人重新看到希望。
众所周知,我国网络安全的立法存在明显的滞后,至今尚无一部完善具体、行之有效的法律来制约、惩罚网络病毒的制造和传播。我国从2003年就开始《个人信息保护法》的研究和制定工作,但这个课题在业界一直难以达成共识,导致我国目前只是在很多专门法里笼统地提一句“不能泄露个人信息、侵犯个人隐私”,但如何保护,却没有具体、详细的内容分类和技术措施。
从现实的法条来说,我们对网络信息安全的法律保护基本停留在国家安全与系统安全的大层级上,比如,《全国人大关于维护互联网安全的决定》等多部法规基本未及厘清个人隐私及数据库的安全权益。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体过于狭窄,主要是指“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,并未涉及大量商业公司,如互联网公司、房地产公司、物业公司、汽车厂商、宾馆等。
与之同时,对网络制作、传播病毒的后果和损失的证据等难保全、易灭失,损失情况难取证和评估的现象存在,也使得网络病毒犯罪缺少具体定罪量刑标准。
以上这些不足与漏洞,都让网络违法犯罪者肆无忌惮,对窃取个人信息为所欲为。
去年年底至今,接连爆发的互联网大规模泄密事件,终于将如何更好地保护个人信息推向了风口浪尖,《个人信息保护指南》呼之而出。
据悉,此次《个人信息保护指南》适应国际立法新的趋势,即“以预防为主”,立足于事前防范,明确个人信息管理者的一整套法定责任,改变以往的民法“民不举官不究”的做法,也和《刑法》或《侵权责任法》的事后救济有了本质性区别。
《个人信息保护指南》指出了个人信息处理四个主要环节,主要包括收集、加工、转移和删除四个主要环节,并提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的即可,不一定非要让用户填上身份证号码、家庭地址、***码等个人私密信息。韩国一些知名网站也曾发生过大规模泄露网民信息事件,此事使得该国行***安全部对网络安全进行了反思。此后,出于保护网络用户信息考虑,韩国***府决定逐步改变,要求个人或企业使用用户身份证信息需要事先获得批准,并不能滥用。
而“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
转载请注明出处学文网 » 拿什么管住“泄密门”?