基于組織管理的預防個人信息泄漏策略研究

鄒晶 劉立 李雯雯

[摘要]防范網絡電信詐騙的關鍵在于保護個人信息。在分析了個人信息泄漏途徑后闡述了個人信息安全管理存在的問題，從組織管理角度提出預防個人信息泄漏的策略。

[關鍵詞]大數據;個人信息;個人信息安全;個人信息泄露;組織管理

[中圖分類號]D920.4[文獻標識碼]A

1? ? 個人信息概述

1.1? ? 個人信息概念

2017年6月1日起實施的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對“公民個人信息”進行了解釋，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。根據此解釋，DNA、指紋、身高體重、工作經歷、性別年齡等信息也屬于個人信息。

1.2? ? 個人信息、個人隱私與個人數據之間的關系

在當今社會，隱私的概念有比較嚴格的界定。按照法律上將個人私下生活秘密相關的事情且與公共事情無關的活動事宜定義為個人隱私，其內容包括個人的信息數據、活動及空間。其中，個人數據信息是指與個人有關的資料信息，如姓名、體重身高、電話號碼等;個人的活動是指一切個人的私生活，譬如日常興趣愛好、人際關系交往、家庭生活等一系列個人不愿意被外界所知道的個人活動;個人空間是指個人的生活活動范圍，包括心理上的空間和顯示的物質空間，也被稱作個人領域。物質上的空間包括個人房屋、個人活動范圍等，心理上的空間包括個人信件、個人日記等。

個人數據是指于數據主體人員相關的數據資料，包括數字資料和文字資料兩個方面。數字資料，如主體人員的年齡、身高體重、居民身份證號碼、電話號碼、收入等都屬于數字資料;文字資料主要包括個人的政治背景和社會背景，如個人的受教育程度、宗教信仰、政治面貌及政治傾向等，還包括個人家庭基本情況，如個人的婚否、配偶的基本情況、父母子女及兄弟姐妹的基本情況等。

這三者之間是相互包容、相互滲透的關系。其中個人信息包含了個人隱私。

2? ? 個人信息泄漏途徑分析

2.1? ? 內部員工泄密

企業等組織內部員工受利益驅使泄漏用戶個人信息。泄漏的個人信息通過網絡多次販賣，在大數據環境下進行拼接，使得個人信息更加全面準確。媒體報道中，涉及金融機構、運營商、快遞公司、網上商店、4S店等組織。2012年315晚會曝光招商銀行等銀行工作人員兜售客戶個人信息，導致客戶銀行卡資金被盜。內部員工監守自盜是導致個人信息泄漏的主要途經。

2.2? ? 黑客入侵或病毒盜取

以計算機系統或網站存儲用戶個人信息面臨黑客入侵的風險。利用計算機軟硬件的脆弱性和計算機體系結構本身的缺陷，編寫具有某種特殊功能的程序，入侵計算機系統，訪問數據庫，盜取用戶信息。2016年“徐玉玉案”就是犯罪嫌疑人利用技術手段攻擊了“山東省2016高考網上報名信息系統”并在網站植入木馬病毒，獲取了網站后臺登錄權限，盜取了考生報名信息。黑客入侵或病毒盜取是個人信息泄漏的重要途經。

2.3? ? 信息被過渡采集

網絡服務提供商收集用戶信息的方式多樣。消費者在注冊登錄、填寫訂單、支付貨款時，填寫的個人信息可能被收集。其次，網絡服務提供商還可以自動獲取信息，例如用 cookies 追蹤用戶的網絡行為、用木馬程序在用戶的設備端設置后門、用戶使用手機APP時被搜集手機與個人信息等，通過這些技術手段自動獲取用戶的身份等個人信息。此外，網絡服務提供商還可以通過第三方平臺獲取用戶的個人信息。2018年Facebook被曝泄漏5000萬用戶數據，用于政治目的以左右美國選民投票。網絡服務提供商搜集并泄漏用戶信息是個人信息泄漏的新型途徑。

3? ? 組織泄漏個人信息原因分析

本文中組織是指對個人信息進行搜集儲存等機構或部門的統稱。既包括企業組織、政府事業單位、教育部門，也包括網絡服務提供商等對個人信息進行過搜集的組織。

3.1? ? 思想意識缺乏，責任心缺失

組織搜集了用戶個人信息后，面臨存儲和保管工作。在信息時代，個人信息大都以數據形態存儲。整個過程中，數據錄入人員、數據查詢人員、數據審計人員、數據庫管理人員和系統管理員等工作人員能直接接觸到數據。組織內管理人員能間接獲得數據。組織管理人員及一線工作人員對用戶個人信息的重要性認識不足，在利益面前有的員工責任心缺失。用戶個人信息不僅僅是數據，還對應著一個個用戶，更涉及用戶的隱私。用戶個人信息的泄漏會給用戶帶來不可估量的損失。

3.2? ? 法律法規不完善，法制體系不健全

2017年10月1日起施行《中華人民共和國民法總則》專門規定自然人的個人信息受法律保護。2017年6月1日起施行的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對“提供公民個人信息”、“以其他方法非法獲取公民個人信息”進行了定義和說明。同日起施行的《中華人民共和國網絡安全法》要求網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。但對于個人信息泄漏具體由哪些部門監管沒有指定，個人信息泄漏的取證工作也在探討完善中，個人信息保護也沒有專門適用法律。處罰過輕會間接導致個人信息泄露不斷出現，愈演愈烈。

3.3? ? 行業內部監管不力，難以起到威懾作用

組織內部監管不力，無法對內部人員進行震懾。組織在信息安全管理和人員管理方面存在很大的漏洞。有些企業缺乏在信息安全管理方面的規章制度和條例，或有相應的制度卻沒有監督和執行，導致內部信息管理人員信息保護意識淡薄，以權謀私，造成客戶個人信息泄漏。再者，政府相關信息監管機構監管不力，未能主動監控，多為事后管制，不能對不法分子起到震懾作用，使不法人員有機可乘，助長囂張氣焰。例如，“徐玉玉事件”中170和171虛擬運營商號段，未進行實名制，成為詐騙分子首選地，而普通民眾對此毫不知情。

4? ? 基于組織管理角度的預防個人信息泄露策略

4.1? ? 法制建設

國家要加強立法、加快立法，完善個人信息保護的立法體系。加快制定如信息泄露處罰法、電子證據效力、信息安全責任追究法等相關的法律，對組織進行監督約束。法律制定和執行要從重從嚴。對于個人信息泄露的犯罪事件，要著重從刑法方面進行懲處，加大對信息泄露違法行為的處罰力度，不給任何組織和個人打“擦邊球”的機會。一旦因個人信息泄漏給公民造成的財產和人身傷害，個人信息泄漏的個人和組織要承擔連帶責任。必要情況下對涉事組織實施破產，用嚴格的法律對不法分子進行約束和制裁。

此外，個人信息泄漏案件需由專門法律保護，專門部門監管督辦。政府要加強執法隊伍建設，嚴格執法，加強專門監管部門的建設，對企業信息安全方面進行考核和監督，對組織進行嚴格監管。

4.2? ? 制度建設

在規章制度方面，組織要成立專門的信息管理小組來制定企業信息安全相關規章制度。第一，實行雙人管理或者多人管理制度對企業重要信息數據庫進行管理。即在進入重要信息數據庫時需要雙人或多人的身份驗證，這樣可以將重要管理權限進行分散，防止權限過于集中，防止內部泄露信息;第二，實行訪問過程記錄細化制。即對每一個訪問過信息數據庫人員的訪問過程進行詳細記錄。包括訪問人的身份、時間、訪問內容等進行記錄。這樣可以方便追查相關涉事者的責任，便于組織管理;第三，實行獎勵和懲罰制度。對信息安全管理表現突出的人員或者對舉證舉報泄露事件的人員進行獎勵，而對于違反規定、造成客戶個人信息泄露的，要嚴格懲處，仔細追查當事人和部門領導、組織領導等相關責任人的責任，輕則開除，重則可移交給司法機關。

4.3? ? 技術管理

第一，組織要重視用戶個人信息安全，加大在數據安全管理方面的投入，自主開發或引進權威管理信息系統和信息安全管理技術，加強對數據庫的管理，對組織的網絡信息管理平臺和技術定期升級，減少網絡安全漏洞，防止不法分子利用網站漏洞或者病毒侵入。第二，采用網絡隔離技術和數據信息加密技術，對組織內部數據信息進行安全管理。將組織內部網絡與外部網絡進行隔離，從而避開外部網絡安全的威脅，保證數據信息在內部網絡進行安全傳遞;用高級加密技術對內部數據信息庫進行加密，保證數據庫的安全。第三，利用先進的人員認證技術，如人臉識別技術，對信息管理人員進入數據庫進行身份驗證。

4.4? ? 人員管理

組織要提升員工安全意識，加強員工素質的培養。一方面組織對員工的信息安全教育和培訓活動要常態化，定期學習相關法律法規、組織信息安全規章制度和信息泄露案例，讓內部人員對網絡信息泄露的方式深入了解，提高應對能力。另一方面組織在招聘相關工作人員時，著重對應聘人員信息安全知識進行考察，提高信息管理工作人員的整體素質，減少內部人員泄露客戶個人信息事件的發生。

4.5? ? 加強監督

組織建立規章制度外，還應配備監督機制來監督規章制度的實施。除組織內部監督，還需要外部監督，包括政府監督和公民監督。組織內要成立監督小組或部門，負責監督內部規章制度的實施和工作人員的行為。另外，組織要鼓勵工作人員相互監督，自覺接受網民的監督和政府的監督，以此來形成良好的約束。廣大網民要發揮網民強大的力量，對組織進行監督，向組織提出建議和提醒或者直接予以舉報，以此對企業組織形成震懾。

5? ? 結語

信息安全在當今大數據這一特殊的時代背景之下，個人信息泄露及安全問題已危及用戶財產和人身安全，已逐步得到研究者的關注。文章分析了信息泄露的途徑，分析了我國信息安全存在的問題，從組織管理這一角度提出了個人信息的保護策略。但問題的落實還需要大量的人力、物力和財力，更需要國家和各個組織及個人的共同努力。

[參考文獻]

[1] 最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋[EB/OL].http：//www.court.gov.cn/fabu-xiangqing-43942.html， 2017-05-09.

[2] 史衛民.大數據時代個人信息保護的現實困境與路徑選擇[J].情報雜志，2013（12）： 155-159.