個人信息安全管理與防護(hù)對策

2012年５月９日，國務(wù)院總理溫家寶主持召開國務(wù)院常務(wù)會議，研究部署推進(jìn)信息化發(fā)展、保障信息安全工作。討論通過了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》，確定了健全安全防護(hù)和管理、加快安全能力建設(shè)等六項(xiàng)工作重點(diǎn)。

個人資料成為在網(wǎng)上販賣的“商品”，莫名其妙接到推銷人員的電話……個人信息頻頻受到侵犯的現(xiàn)象近年來已引起廣大群眾的極大反感，甚至有人因此受到詐騙、敲詐勒索等侵害。但人們對非法獲取和提供自己資料的不法分子卻無可奈何。

2011年深圳警方抓獲了一名販賣嬰兒信息的女子，其販賣的信息當(dāng)中記載了深圳15萬名新生嬰兒的詳細(xì)資料，還搜查出深圳樓盤業(yè)主、車主名單等數(shù)十萬份個人信息。

2012年3月20日，北京警方宣布成功破獲CSDN網(wǎng)站用戶數(shù)據(jù)泄露案，被公開的疑似泄露數(shù)據(jù)庫26個，涉及賬號、密碼信息2.78億條，嚴(yán)重威脅互聯(lián)網(wǎng)用戶的合法權(quán)益。在2009年刑法修正案（七）中，雖然確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護(hù)范疇，但未明確該罪的具體界定標(biāo)準(zhǔn)，且追究的犯罪主體只是“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，法律對信息泄露者的懲罰機(jī)制還遠(yuǎn)遠(yuǎn)不夠。

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心《2011年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示，近年來以用戶信息泄露為代表的與網(wǎng)民利益密切相關(guān)的事件頻發(fā)高發(fā)，“輕傷”者被垃圾信息“攻擊”，“重傷”者財(cái)物、名譽(yù)雙雙受損，引起公眾對網(wǎng)絡(luò)安全的廣泛關(guān)注。

“三律”加強(qiáng)個人信息安全防御

面對垃圾短信和洗錢、詐騙等違法違規(guī)信息推送以及網(wǎng)絡(luò)上辦假身份證騙取銀行信用卡惡意透資、盜取他人賬戶資金等種種亂象，如何全面加以防范和打擊已經(jīng)迫在眉睫。

針對個人信息泄露的三種主要渠道：一是用戶的電腦或手機(jī)被木馬軟件劫持；二是個人信息在互聯(lián)網(wǎng)傳輸?shù)倪^程中，經(jīng)過一些傳輸路由時被他人控制；三是網(wǎng)站運(yùn)營或信息管理機(jī)構(gòu)對個人信息沒有盡到妥善保管的義務(wù)，在使用過程當(dāng)中把個人信息泄露出去。與技術(shù)因素相比，網(wǎng)站運(yùn)營或信息管理機(jī)構(gòu)泄露用戶信息已經(jīng)成為侵犯個人信息安全更為重要的原因。必須從源頭加以治理，堅(jiān)持法律、他律與自律三律并施的原則，切實(shí)加強(qiáng)個人信息安全防護(hù)。

健全法律。工業(yè)和信息化部副部長楊學(xué)山日前在“2012中國個人信息保護(hù)大會”上指出：“個人信息安全已成為目前網(wǎng)絡(luò)發(fā)展的重要問題，加強(qiáng)相關(guān)法律法規(guī)建設(shè)具有重要意義”、“個人信息安全是重要的問題，與網(wǎng)絡(luò)秩序、社會的穩(wěn)定與安定均息息相關(guān)，個人信息在網(wǎng)絡(luò)上的集中度越來越高，法律建設(shè)的相關(guān)環(huán)節(jié)也就更加具有重要的地位”。立法保護(hù)個人信息，是國際上通常的做法。目前世界上已有50多個國家和組織制定了個人信息保護(hù)的相關(guān)法規(guī)和標(biāo)準(zhǔn)。而在我國，雖有近40部法律、30余部法規(guī)和近200部規(guī)章涉及個人信息保護(hù)，2009年《刑法》將泄露個人信息入罪，《民法通則》中也有關(guān)于個人隱私的條例，但這些法律法規(guī)條例零散、抽象，在現(xiàn)實(shí)中普遍缺乏可操作性。《個人信息保護(hù)法》初稿已出臺6年，但至今未進(jìn)入正式立法程序。加快推動個人信息保護(hù)立法進(jìn)程，成為社會共識。

加強(qiáng)他律。掌握公民信息的，往往是具備政府管理職能和提供公共服務(wù)的機(jī)構(gòu)及社會團(tuán)體組織，他們掌握著80%以上的個人信息，80%以上的個人信息往往也經(jīng)由他們泄露出去。因?yàn)閱螒{個人沒有如此強(qiáng)大的信息收集能力，只有這些單位趁著工作上留存公民信息的需要而使工作人員有違規(guī)操作的可能。因此，各級信息安全工作主管部門必須切實(shí)加強(qiáng)對政府機(jī)關(guān)、公共事業(yè)單位和社會團(tuán)體等組織的信息安全監(jiān)管，督促其在做好信息系統(tǒng)等級保護(hù)和風(fēng)險(xiǎn)評估工作的基礎(chǔ)上，切實(shí)加強(qiáng)對員工的信息安全管理，促其管束好工作人員遵守職業(yè)道德，不趁職務(wù)之便而謀利。

嚴(yán)格自律。網(wǎng)民在利用即時通訊工具聊天、在電子商城購物或在交友開博過程中，不知不覺中已經(jīng)將個人信息存儲在網(wǎng)站運(yùn)營商的服務(wù)器中，這些個人信息不僅涉及個人姓名、性別、身份證、電話、郵箱等內(nèi)容，甚至包括個人銀行卡、支付密碼、家庭住址等更為私密的內(nèi)容，而公眾所熟悉的殺毒軟件重點(diǎn)在保護(hù)用戶端的電腦安全，對于存儲在運(yùn)營商服務(wù)器上的數(shù)據(jù)安全鞭長莫及。新近提交審批的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》，提出個人信息在收集、加工、轉(zhuǎn)移、刪除4個主要環(huán)節(jié)中所要遵循的基本原則、注意事項(xiàng)，應(yīng)引起個人信息提供者與使用者的高度重視并嚴(yán)格執(zhí)行。作為個人，要做到不該上的網(wǎng)站不上、不該提供的信息不提供；作為機(jī)構(gòu)，要做到不該征集的信息不征集、使用后不該存儲的信息不留存。

“三建議”提升個人信息防護(hù)對策

個人信息安全防護(hù)是一項(xiàng)系統(tǒng)工程，政府部門作為公民個人信息最大的擁有者，首先應(yīng)高度重視在個人信息應(yīng)用方面的管理，為公民網(wǎng)上活動和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展提供良好的法律環(huán)境。同時，相關(guān)企業(yè)要加強(qiáng)技術(shù)管理，條件成熟時還可設(shè)立企業(yè)首席隱私官，專門負(fù)責(zé)處理與用戶隱私權(quán)相關(guān)事宜。而普通大眾也要提高個人信息安全保護(hù)的意識和能力，防范網(wǎng)絡(luò)行為可能帶來的潛在風(fēng)險(xiǎn)。筆者結(jié)合從事信息化與信息安全工作的實(shí)踐，提出以下建議：

加強(qiáng)學(xué)習(xí)，強(qiáng)化意識。首先要認(rèn)真學(xué)習(xí)修訂后的《保守國家秘密法》，深刻領(lǐng)會并全面掌握結(jié)果論為行為論的核心要義，嚴(yán)守12條禁令，不碰紅線、高壓線；按照“四個不得危及、三個不得公開”的原則，處理政務(wù)信息公開工作；其次要做好網(wǎng)絡(luò)技術(shù)防范管理，嚴(yán)格遵照《江蘇省信息化條例》要求，在信息化規(guī)劃與建設(shè)、信息資源共享與開發(fā)利用、信息產(chǎn)業(yè)發(fā)展與技術(shù)推廣應(yīng)用、信息安全保障及其相關(guān)管理活動中，逐一落實(shí)到位。尤其是信息安全保障系統(tǒng)應(yīng)當(dāng)與信息化工程項(xiàng)目同步規(guī)劃、同步建設(shè)、同步運(yùn)行，使用財(cái)政性資金建設(shè)的信息網(wǎng)絡(luò)和信息系統(tǒng)投入使用前，應(yīng)當(dāng)進(jìn)行信息安全登基保護(hù)和信息安全風(fēng)險(xiǎn)評估。

加強(qiáng)管理，強(qiáng)化責(zé)任。推進(jìn)黨政機(jī)關(guān)和公共服務(wù)系統(tǒng)“網(wǎng)站域名、網(wǎng)絡(luò)接入、網(wǎng)絡(luò)終端、網(wǎng)站運(yùn)維、網(wǎng)絡(luò)安全”規(guī)范化建設(shè)，建章立制、層層落實(shí)、責(zé)任到人，公務(wù)人員個人工作電腦與IP地址、MAC地址實(shí)施捆綁且規(guī)定只允許處理公務(wù)；規(guī)范個人桌面終端管理，不得隨意下載與工作無關(guān)的應(yīng)用軟件和文檔資料，密級電腦禁止連接互聯(lián)網(wǎng)，不在連接互聯(lián)網(wǎng)的電腦上起草敏感重要材料；不同密級設(shè)備不混用，同密級移動U盤在同密級電腦間使用。

加強(qiáng)自重，強(qiáng)化細(xì)節(jié)。養(yǎng)成使用電腦、上網(wǎng)操作的良好習(xí)慣：口令要強(qiáng)，口令長度至少8位，混合使用字母、數(shù)字和符號；系統(tǒng)要更新，定期或及時安裝最新補(bǔ)丁和更新；防火墻要安裝，通過網(wǎng)絡(luò)防火墻和個人防火墻協(xié)同保護(hù)；病毒要防護(hù)，安裝可信、知名的防病毒軟件并不斷更新；不需要服務(wù)功能的要關(guān)閉，以便減少攻擊；臨時離開要注銷或鎖屏，盡可能減少隱患；文件要加密，通過文檔軟件加密、壓縮軟件二次加密、專用工具三層加密等手段；電子郵件要注意安全，過濾阻止垃圾郵件，永不打開陌生人郵件及附件；瀏覽網(wǎng)頁要警惕，增強(qiáng)瀏覽器安全設(shè)置，不訪問非法網(wǎng)站；誘惑要拒絕，不通過電子郵件回復(fù)對金錢或敏感信息的請求。

（作者單位：揚(yáng)州市經(jīng)濟(jì)和信息化委員會）