守護公民信息化安全的浙江探索

胡蓓姿 王興國

近年來，個人信息泄露事件頻發(fā)，讓個人信息安全保障工作變得刻不容緩，浙江在全國率先將個人信息安全納入全省網絡與信息安全檢查專項，針對檢查出的問題出臺了一些政策和標準，對保障個人信息安全起到了積極推動作用。

當前，個人信息泄露事件頻發(fā)，社會民眾反映強烈。2012年12月28日，第十一屆全國人大常委會第三十次會議審議通過了《關于加強網絡信息保護的決定》，首部個人信息安全國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》也于2013年2月1日正式實施。它們的實施填補了我國個人信息保護的法律空白，但具體保障還缺乏大量法規(guī)政策支撐，隨意收集、擅自使用、非法泄露普遍存在，嚴重損害公民、法人和其他組織的合法權益，危害社會公共利益。

近年來，浙江省在大量調查研究基礎上，在全國率先將個人信息安全納入全省網絡與信息安全檢查專項，針對存在的問題進行了深入探索，取得了初步成效，浙江個人信息安全保護工作國內領先。

個人信息安全現(xiàn)狀整體堪憂

個人信息違法事件屢禁不止。據統(tǒng)計，2012年全國超過2.57億人受各類網絡事件侵害，近5000萬條個人真實信息遭受買賣，經濟損失達人民幣2890億元。銀行、醫(yī)院、通訊公司、保險公司、電子商務運營商、汽車銷售、院校、快遞企業(yè)以及掌握了個人信息的某些政府機構成為信息泄露的主體。中國軟件開發(fā)聯(lián)盟（CSDN）大規(guī)模信息泄露、數十萬條新生兒信息泄露、上千萬張客戶銀行卡信息泄露、如家酒店開房記錄遭泄露等事件屢禁不止，嚴重侵害了個人信息安全，造成了極其惡劣的社會影響。

個人信息安全責任規(guī)范缺失。2013年，浙江省對7家醫(yī)療類、7家銀行類、6家招考類以及10家電子商務類共30家網站進行個人信息保護檢測，結果顯示：所有參測網站中對于個人信息保護政策的公開性方面都做得較為突出，但部分網站未提供專業(yè)名詞解釋，對責任說明陳述模糊，也無專門針對未成年人的個人信息保護說明，在發(fā)生違反個人信息保護政策相關事件后的補救措施未按事件分類描述；大部分網站沒有就收集的信息是否交與第三方給出明確說明，所收集的個人信息沒有承諾遵守最小收集原則，用戶不知道被搜集的信息是否是必須要使用的，業(yè)務轉讓或外包時，未對個人信息的保護作出聲明，用戶對自己的信息是否僅限于本網站使用也不知情；用戶權益保障方面，大部分網站未明確個人信息公開范圍，也未專門對敏感個人信息作出安全承諾，被測網站均未承諾對個人信息處理過程進行詳細記錄，絕大部分網站未提供專門針對個人信息保護政策及相關問題咨詢、評論、質疑和投訴的反饋渠道。

個人信息安全保障能力不足。隨著網絡犯罪技術的不斷革新，基于近距離無線通訊（NFC）、無線連接WIFI技術和安卓系統(tǒng)信息竊取案件頻發(fā)，使個人信息保護面臨更大的挑戰(zhàn)，僅2013年7月，浙江省就有超過10萬安卓系統(tǒng)終端遭受惡意程序感染。同時，我國目前尚未建立有效的網絡身份管理體系，相應的責任追溯體系和技術鑒定支撐體系尚未形成，使得侵害個人信息安全的行為很難得到有效打擊。

個人信息安全意識有待提高。據中國互聯(lián)網絡信息中心調查顯示：47.2%的用戶對網上支付安全問題非常不關注或較不關注，57.6%的用戶不知道保障網上支付安全的辦法；在不提示的情況下，網上支付用戶表示了解最多的安全保障方式是電腦殺毒和防火墻，也僅占30.8%；表示知道使用動態(tài)密碼、動態(tài)口令卡的有30.6%，知道設置強安全密碼的有29.9%，知道綁定手機的有25.1%，而知道安裝數字證書認證的僅有19.6%。由此可見，我國互聯(lián)網用戶的安全意識和安全知識非常薄弱。

浙江個人信息安全保護走在前列

浙江省高度重視個人信息保護工作，浙江省經信委先后赴阿里巴巴、浙江移動、杭州華數、恒生電子、華為杭研所、信雅達科技等單位調研，召開了金融、電信、教育、招考、醫(yī)療、電子商務、郵政快遞等行業(yè)信息安全專家座談會，聽取各行業(yè)企業(yè)和專家的意見，進一步完善法規(guī)政策體系，強化個人信息安全檢查。

完善個人信息保護責任體系。大力推進保存了大量個人數據的重要信息系統(tǒng)落實《決定》和個人信息保護國家標準，規(guī)范個人電子信息收集和使用行為，建立個人信息保護內控機制和技術措施；出臺了《浙江省智慧城市示范試點項目信息安全保障工作指南》，推動智慧城市示范試點項目建立信息安全責任制和各項管理制度，并以“智慧安居”項目為試點開展信息安全風險評估，提出了數據、平臺、產品、管控等方面的安全性方案，不斷提高個人信息保護能力。

開展個人信息保護專項檢查。浙江省經信委聯(lián)合省公安廳、省通管局、人民銀行杭州中心支行、省郵政管理局開展個人信息保護專項檢查。檢查分管理和技術檢測兩個部分，自查和部門抽查兩個階段，范圍涵蓋金融、電信、教育、招考、醫(yī)療、電子商務、郵政快遞等行業(yè)以及存儲大量個人信息的信息系統(tǒng)單位。檢查中發(fā)現(xiàn)：部分單位個人信息保護管理制度欠缺、權限設置不夠嚴謹、尚未建立責任追溯機制；部分內部人員在未經許可條件下就可處理甚至批量導出個人信息數據；在服務外包過程中，大量個人信息未經處理就轉移給外包機構，存在較大信息泄露風險。針對檢查中發(fā)現(xiàn)的個人信息保護管理和技術隱患，督促相關單位落實整改。

建立個人信息安全技術檢測體系。在強化管理的基礎上，浙江省組織信息安全測評力量，聯(lián)合中國軟件測評中心制定了《公共及商用服務信息系統(tǒng)個人信息安全技術檢測體系》并進行了反復驗證。該技術檢測體系包括“網站個人信息保護政策測評”和“網站用戶口令處理安全性測評”，前者主要通過互聯(lián)網遠程測評，采用“狀態(tài)描述法”，對企業(yè)通過網站承諾的個人信息保護政策和其實際效果作出客觀評價；后者對網站頁面處理、口令傳輸兩個環(huán)節(jié)進行安全性測評，測評脆弱性，評估安全性。

開展個人信息保護技術檢測。在建立個人信息安全技術檢測體系的基礎上，對醫(yī)療、銀行、招考和電子商務四類30家在浙江省影響較大的網站進行個人信息保護政策測評和用戶口令處理安全性測評。政策測評檢測顯示：醫(yī)療、銀行、招考和電子商務四類網站政策公開性較好，個人信息收集較為合理，但個人信息轉移說明、用戶權益保障和政策合理性與標準要求有一定差距，監(jiān)督機制與執(zhí)行情況與標準存在較大差距。口令測評反映：66%的網站未對用戶口令采取任何安全措施，特別是醫(yī)療類、招考類網站的安全意識相對薄弱，存在個人信息泄露的風險。

保障個人信息安全刻不容緩

我國的個人信息保護工作尚屬起步階段，而個人信息安全保護又是一項社會系統(tǒng)工程，需要多部門的通力協(xié)作。隨著智慧城市建設步伐加快，云計算、大數據應用普及，推進個人信息安全保障工作刻不容緩。

進一步完善政策法規(guī)標準體系。個人信息保護需要通過法律來規(guī)范企業(yè)、機構以及個人的行為。一要貫徹落實《決定》，制定電信和互聯(lián)網、快遞等行業(yè)以及電子消費過程個人信息保護政策法規(guī)，規(guī)范個人信息保護相關主體的權利和義務。二要強化標準建設，針對物聯(lián)網、云計算、移動互聯(lián)網等新技術、新應用，研究制定相應的個人信息安全標準；針對個人信息處理相關環(huán)節(jié)，制定相應的個人信息保護標準；針對信息服務外包，研究制定第三方服務外包管理規(guī)范。

加大個人信息安全監(jiān)管力度。一要完善責任體系，協(xié)調各部門在個人信息保護的監(jiān)管職責，明確個人信息安全各個利益主體責任。二要強化監(jiān)管，設立個人信息安全用戶投訴電話，規(guī)范個人信息收集范圍和處置流程，組織重點行業(yè)和企業(yè)個人信息安全檢查測評，督促相關單位建立個人信息安全內控機制。三要加大打擊力度，開展涉及非法收集、泄露、倒賣個人信息等違法犯罪活動的專項整治活動，進一步細化定罪量刑標準，加強網絡犯罪的打擊力度。

加強個人信息安全保障能力建設。一是建立有效的網絡身份管理體系，推進身份認證、網站認證等網絡信任服務的應用，完善個人信息安全責任追溯體系和技術鑒定支撐體系。二是扶持第三方信息安全測評機構，開展個人信息安全測評，提高信息安全防護能力。三是加強個人信息保護隊伍建設，推行個人信息安全責任官（CPO）制度，強化對專業(yè)技術人員的培訓。

提高民眾信息安全防護意識。加大對個人信息安全的宣貫工作，開展多層次多渠道的個人信息安全專題宣傳活動，不斷提高人民群眾信息安全防護意識和能力，切實提高全社會對個人信息安全保護重要性的認識。

（作者單位：浙江省經濟和信息化委員會信息安全處）