APP下载

网络环境下个人信息安全存在的主要问题及防范措施

2013-08-15肖文建戚华丽

衡阳师范学院学报 2013年4期
关键词:个人信息信息安全用户

肖文建,戚华丽

(湘潭大学 公共管理学院,湖南 湘潭 411105)

在当今社会,网络越来越普及,人们通过网络购物、学习与交流,给人们的生活、学习和工作带来了很大的便利。与此同时,网络上的个人信息安全问题也日益突出,这不仅会扰乱人们的生活秩序,甚至还会危及人们的生命财产安全,给社会带来极大的安全隐患。所以,加强网络环境下的个人信息安全保护就显得尤为重要。

1 网络环境下个人信息安全存在的主要问题及其表现

1.1 个人信息的界定

关于个人信息的概念,目前学术界还没有一个统一的定义。欧盟 《数据信息保护指令》对个人信息界定为 “有关一个被识别或可识别的自然人的任何信息”[1]。这个定义的外延涉及与个人工作、学习、生活等密切相关几乎无所不包的信息。个人信息是指:包括存在于书面和网络中的所有个人情况资料 (加拿大 《个人信息保护和电子文件法案》)[1]。

国内学界一般认为,个人信息是指自然人个体所拥有的,能直接或间接识别其本人的所有数据资料。这些数据资料包括该个人生理、心理、智力等各个方面的信息,也包括与其相关的个体、家庭、社会以及政治、经济、文化、宗教等各方面。《中华人民共和国个人信息保护法示范法草案》(学者建议稿)中关于个人信息的定义为:“个人信息”指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、职业、健康、病历、财务状况、社会活动及其他可以识别该个人的信息[2]。

网络环境下个人信息主要包括两大类:一类是现实社会中个人信息的电子化,凡是现实生活中属于个人信息范畴的,一旦被人为地输入电子化设备,就成为网络环境下的个人信息;另一类则是网络中特有的个人信息,包括QQ号、E-mail、微博、网络账号以及在各个网站上注册的用户名等。

个人信息与 “个人数据”和 “个人隐私”密切相关。个人数据是指标识个人基本情况的一组数据资料。从信息与数据的关系看,个人数据属于个人信息的范围,前者是属概念,后者是种概念,即个人信息包含了个人数据。而“个人隐私”则是个人与公共利益无关的私生活秘密。它包含私人信息、私人活动和私人空间,私人信息如人的身高、体重、血型、收入、生活经历、电话号码、病患经历等等;私人活动是一切与公共利益无关的个人活动,如个人的社会交往、日常生活等;私人空间则指个人的不愿公开的隐秘范围,如个人居所、个人日记、通信等。从形式逻辑关系上讲,“个人信息”和 “个人隐私”是包含与被包含的关系,即个人信息包含个人隐私,个人隐私是个人信息的一部分。因此,“当与公共利益无关的个人信息,并且信息主体不愿公开时就成为个人隐私”[3]。

1.2 网络环境下个人信息泄漏的主要表现

1.2.1 姓名、年龄、住址及电话号码等个人信息泄露影响公民的生活秩序和社会安定和谐。在网络环境下,人们处于一种虚拟的状态。由于许多人对自身信息的保护意识比较薄弱,加之各种病毒、木马、黑客技术的入侵,使得人们的姓名、年龄、住址及电话号码很容易被泄露。这些个人信息一旦泄露,就会给人们带来很多麻烦。例如,姓名、年龄一旦泄露,就可能会受到其他网民的骚扰;而电话号码的泄露,则各种骚扰电话就可能不断打进来,给电话泄露者的工作、学习和生活带来各种各样的麻烦。被中央电视台等各种新闻媒体经常曝光的个人信息被盗事件,说明个人信息一旦泄露,轻则影响公民个人的生活秩序,重则影响社会的安定和谐。

1.2.2 个人照片、视频录像等资料的泄露严重危害到个人隐私。私人照片、录音录像等视听资料一旦上传到网络上,很可能导致大量深层信息被挖掘曝光。近年来,“人肉搜索”曾风靡一时,一张普通的照片,通过大量网民的人工辨认、推断和核实,就能获知照片中人物的真实姓名、身份、职业等详细信息。个人照片和录像的不正常泄露与网络传播,使得个人的隐私完全暴露,这不仅影响个人的形象和生活,同时有可能对个人带来各种名誉和精神上的损害。

1.2.3 各种账号及密码的泄露严重影响网络用户的生命财产安全。现在,越来越多的人习惯将各种密码保存在自己的电脑内,这样做虽然方便记忆,但是也很容易泄露密码。众所周知,如果重要密码一旦泄露,很可能给拥有密码的主人的财产甚至生命带来严重威胁。因为,密码一旦被一些不法分子所知晓,就可以轻而易举地获取密码主人账户里的钱财,甚至可能引发绑架、抢劫等严重的刑事犯罪,危及公民生命财产安全。

1.2.4 职业身份、社会关系等个人信息的泄漏导致网络欺骗盛行。网络环境下,各种木马病毒、黑客的恶意攻击使得个人的QQ号以及其他各种账号、密码等被盗。网络黑客利用这些盗来的信息,冒充受害者,向其同事或朋友索取更有用的信息,从而套取各种密码等,实施欺骗甚至诈骗。现实生活中,人们还经常会收到一些朋友通过网络发来的求助信息、汇款信息等,而事后证明这些信息都不是本人所发,而是因为账号被盗所致。

1.2.5 个人IP地址的泄漏,为黑客攻击个人电脑提供方便。电脑黑客从各种途径获取目标人物的计算机IP地址后,就会千方百计地寻找系统漏洞,伺机植入专业的间谍软件,将其监控起来。一旦计算机被监控,受害人计算机中的文件资料和网络活动记录都无任何秘密可言[4]。

2 网络环境下个人信息安全问题存在的主要原因

2.1 个人信息数据的不合理收集

2.1.1 网络运营商通过用户自己填写来收集个人信息。通常情况下,网络经营者的首要任务,就是了解并尽最大努力满足用户需求,而要了解并满足用户需求则就需要用户提供真实可靠的个人信息。所以,网络用户无论是在网上购物,还是网上浏览、咨询、下载时,总要填写一系列的个人信息来确定浏览者的身份,如个人姓名、性别、年龄、身份证号码、电话、电子邮箱、职业、受教育程度、家庭情况、婚姻状况等。然而,许多网络营运商都不能详细说明收集这些数据的原因、目的以及数据最终如何处置。人们一旦在网上填写了这些个人信息,就会被网络运营商所收集。

2.2.2 网络服务商利用追踪软件进行收集。另一种不合理的收集方法是网络服务商通过追踪软件来追踪网络用户在网上的行为。网络浏览器每次访问网页、图像或是其他对象时,都会在网络服务器的日志上留下一些记录。一个看似简单的网络服务器日志却记录了用户网络地址、访问日期、时间、访问者的http get请求,同时用户的浏览器还传递了查询的URL、浏览器的版本以及其他一些计算机操作系统的详情。网络服务器记录的IP地址信息可以用来确定用户的IP地址,在很多情况下ISP(互联网服务提供商)都能精确定位他们的有线用户的位置。网络浏览可能在服务器上产生cookies文件,网络服务器使用cookies来标记带有识别信息的网络浏览器,帮助提供无缝的浏览体验,通过向网络浏览器提供唯一的cookies,网络服务器便可以识别用户并准确的向各个用户提供适宜的服务[5]。据从IT业内部人士处了解,大部分网络服务商取得用户个人信息的方式都是通过cookies之类的追踪软件对网民浏览兴趣和爱好进行记录、跟踪,收集其感兴趣或者其他个人可识别的信息,再根据这些信息,向用户有针对性地发送广告,或将这些信息出售给他人。

2.2 个人信息数据的二次开发利用

个人信息数据的二次开发利用是指网络运营商利用所掌握的个人信息,建立起综合数据库,从中分析出一些个人并未透露的信息,进而指导自己的营销战略[3]。例如,几乎每位手机用户都有过这样的经历:总是收到一些垃圾短信、广告短信甚至是行骗电话或短信;还有,几乎所有的网络用户都在网上申请了免费邮箱,免费邮箱里总会出现一些广告邮件或垃圾邮件。为什么会出现这样的情况呢?原来,提供免费邮箱的网络服务商,在用户申请免费邮箱时,就已经将用户提供的个人信息进行了收集并进行二次开发,出售给别的商家使用。服务商将用户的手机号码和邮件地址非法提供给其他机构甚至展转出售,使用户的手机、电子邮箱经常塞满垃圾短信、垃圾邮件,有的还会造成用户个人隐私或商业机密的泄露[3]。

2.3 利益驱动下个人信息数据被交易

个人信息被誉为是21世纪最有价值的资源,它不仅能为政府决策提供依据,而且被企业或个人利用产生利润。尤其是在电子商务中,个人信息的价值性,可能使其成为商品,在利益的驱使下,网上商家机构或个人开始非法买卖他人的个人信息。当今社会上出现了很多兜售电信用户信息、业主信息、车主信息、患者信息的现象。比如,某业主刚买了房子,装修公司的电话就会让其不得安宁;某人刚买了车,保险公司的推销员就络绎不绝。而出现这种现象的原因就是因为个人在办理了购房、购车等手续之后,相关信息就被有关机构或工作人员卖给了装修公司、保险公司等。

2.4 网络的开放性与匿名性

网络是一个开放的平台,所以很多登录在网络中的个人信息就很容易被别有用心的人进行收集和传播;网络的开放性给信息的有效传播提供了途径,同时也会让每一位网络用户很容易就接触到更多的信息;又因为网络是匿名的,所以无论在网上做什么事也不怕被别人发现。网络的匿名性使用户身份被隐藏,没有人知道到底是谁公布了自己的信息,从而也就为一些别有用心的人收集、透露和公布他人信息提供了一个平台。因此,由于网络的开放性和匿名性,个人信息就会被肆无忌惮的公布在网络上,并通过网络被更多的人知晓,从而带来严重的危害。

2.5 病毒、木马与黑客恶意攻击和盗取

随着计算机技术与网络通信技术的发展,网络病毒、木马与黑客更是层出不穷,他们不仅是当今网络安全最大的威胁,而且直接损害个人信息安全。一些不法分子利用这些网络病毒、木马与黑客盗取个人账号、密码,直接导致公民个人财产经济损失。不久前,国家计算机病毒应急处理中心通过对互联网的监测发现,一种新型的恶意木马程序Trojan_Fednu.UMV现身网络。该木马迫使受感染的操作系统接受恶意攻击者远程控制端发送的指令,最终导致目标操作系统中的个人信息被窃取[6]。该恶意程序首先通过运行恶意程序文件把恶意代码注入病毒程序文件中,然后使得非系统目录下的全部可执行文件被病毒感染,最后当计算机用户激活被感染的程序文件后,该恶意程序文件就可以释放出大量的后门程序,迫使系统连接指定的服务器,盗取用户个人信息。

利用 “黑客”技术侵入、破坏他人网站,窃取个人信息借以非法牟利,这种网络犯罪已渐成产业。黑客往往是网络技术的高手,他们可以利用各种技术手段窃取网络用户的私人信息。最著名的是一种叫做 “BO”的黑客程序,它可以驻留在电脑中,源源不断地把黑客需要的信息传送给他,从而获得大量的隐私信息[3]。

3 网络环境下个人信息安全问题的防范措施

3.1 加强舆论宣传,强化网络用户个人信息保护意识

首先,网络主管部门和网络运营商要通过各种舆论宣传工具,对网络用户进行个人信息保护知识的宣传,提高公民对个人信息安全的认识和重视,树立公民保护个人信息、尊重他人个人信息的理念。同时加强网络规范的制度建设,建立网络用户的道德准则和行为准则,要求信息使用者不能非法干扰他人信息系统的正常运行;不能利用信息技术窃取他人信息并且在未经允许的情况下使用或出售他人的信息等。

其次,个人在信息保护上是第一责任人,负有维护个人信息安全的当然义务。网络是虚拟的,所以在网络中要学会保护个人信息,自我保护意识显得尤为重要。个人在进行网络行为时,如非必要不要将自己的个人信息放到网络中去。同时,应加强对个人电脑的安全防护,安装并及时升级杀毒软件与防火墙,提高个人上网设备的安全性能;此外,还应及时删除过时不用的个人信息或加密有关个人的信息资料;再有就是在网上浏览网页和注册账户时,尽量不要把自己的个人信息在网络中透露给他人。

3.2 完善个人信息安全保护的法律法规

我国目前现有的法律法规对个人信息的保护虽然有所涉及,但这些规定都还只是零散的分布在各个法律之中,并未形成一个完整的个人信息安全保护的法律体系。纵观我国现有的法律法规,涉及个人信息保护的主要有以下规定:

(1)《宪法》第三十八条规定,“中华人民共和国公民的人格尊严不受侵犯,禁止用任何方法对公民进行侮辱、诽谤和陷害”,这是宪法对人格尊严不受侵犯的规定,也是个人信息保护的其他立法的基础和直接源泉。

(2)《中华人民共和国居民身份证法》第19条规定了针对警察非法更改、泄露公民个人信息的情况,根据情节轻重,给予行政处罚或追究刑事责任。

(3)中华人民共和国信息产业部于2005年发布的 《互联网电子邮件服务管理办法》规定:互联网电子邮件服务提供者对用户的个人注册信息和互联网电子邮件地址,负有保密的义务;互联网电子邮件服务提供者及其工作人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址;未经用户同意,不得泄露用户的个人注册信息和互联网电子邮件地址,但法律法规另有规定的除外。除此以外,《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》等相关的行政法律法规也对个人信息规定了保密原则及相应的法律责任。

(4)2009年2月28日 《刑法修正案 (七)》规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或非法提供给他人的将依法追究责任。

(5)2009年12月26日 《侵权责任法》第2条规定:“民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身财产权益。”这是我国第一次以法律的形式直接确认了隐私权为一项独立的人格权,也确认了我国民事法律对个人信息保护的直接法律依据。

(6)2009年9月,中国软件评测中心根据工业和信息化部的要求,制定了 《网站个人信息保护测评指标体系》,并对国内个人信息使用范围较广和影响较大的互联网网站的个人信息保护情况进行了抽样测评,测评结果从侧面反映了目前国内主要网站对个人信息的保护意识和现状。在此基础上,工业和信息化部制定并发布了 《个人信息保护指南》(征求意见稿)。

(7)2012年12月28日,全国人民代表大会常务委员会第三十次会议通过了 《全国人民代表大会常务委员会关于加强网络信息保护的决定》,该决定规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。并且对收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供[7]。

(8)2013年2月1日开始实施的 《信息安全技术公共及商用服务信息系统个人信息保护指南》,是我国首个个人信息保护的国家标准。该标准是由全国信息安全标准化技术委员会提出并组织,中国软件评测中心牵头,联合多家单位制定的。该标准明确要求,处理个人信息应有特定、明确和合理的目的,并在个人信息主体知情的情况下获得个人信息主体的同意,在达成个人信息使用目的之后删除个人信息。并且规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。

虽然我国目前已有的这些法律法规对个人信息进行了保护,但是却仍然没有一部明确保护个人信息的专门法律。立法保护个人信息,不仅突出了公民的信息自由权,彰显出以人为本的理念,回应了和谐社会权利有序化的诉求。而且立法保护个人信息还能为已受害的公民提供完全充分的帮助。同时还可保护网上消费者的个人信息安全,促使网络运营有序化,推动全国电子商务和电子政务的健康发展。因此建议国家最高权力机关应该加快立法,尽快出台《个人信息保护法》。

3.3 完善个人信息安全保护的技术措施

网络环境下,个人信息的泄露有时是由于黑客等机构外部人员获取和网络传输过程中的问题造成的,这就需要我们通过各种计算机软硬件技术来保障信息用户的个人信息安全。在硬件上主要通过安装防病毒卡、硬盘还原卡等硬件设施进行保护。在软件上可以通过cookies软件管理工具、个人隐私安全平台、加密软件、数据备份软件、自动删除个人资料软件等由用户自己保护个人信息的技术。

针对网络上的个人信息易泄露的问题,网络营运商除了应向用户提供提示信息,还应该使用各种安全技术来保护网络用户的个人信息不被未经授权的访问或使用,有条件的网站要提供更高级的隐私保护控制技术与方法,如身份认证技术、网络反病毒及安全漏洞扫描技术、访问控制技术、防火墙技术、入侵检测技术、数据备份技术、数据加密技术以及日志、审计技术等等。

3.4 加强网络道德建设和行业自律,建立健全个人信息安全保护与防范机制

个人信息安全的保护不仅要依靠法律,更需要网络主体从业人员的道德意识以及自律意识。所有未经本人允许或授权而在网络上窃取、传播、出售他人个人信息的行为,是违法的也是不道德的。因此,要加强网络道德建设,用道德标准约束人们在网络上的行为,要让网络道德成为人们在网络中实施行为时的一个标准。对网络运营商而言,除了要对网络从业人员进行道德教育并提高行业自律意识外,具体还应该做到:在未经网络用户同意之前,不得将用户的个人信息用于其他目的,更不得将其出售给任何人或提供给任何的第三方机构使用,从而更好地保护个人信息。

许多网络运营企业掌握着客户大量的个人信息,如果没有很好的防范机制就很容易造成信息的丢失。无论是电信运营商、电子商务企业,还是信息安全企业都需要对外来的技术攻击加以防范。对此,企业必须加强自我约束力,提高保护客户信息的意识,同时提高技术手段,完善相关信息管理系统,并对用户个人信息安全管理制度和流程进行梳理和完善,建立健全侵犯用户个人信息的各项管理制度与规范,其中主要应包括:用户个人信息安全管理和保护机制、问题处理机制、监督机制和奖惩机制等。对侵犯用户个人信息的情况,要做到 “快、准、齐”进行处理。“快”,即要求相关负责人在第一时间了解具体情况,形成初步处理方案并付诸实施。“准”,即要求决策、处置问题要追本溯源,抓住问题本质,采取切实有力的行动。“齐”,即要求企业内部人员要齐心协力,共同解决问题。其核心就是要在网络运营企业领导人的统一领导下,坚持综合协调、分类管理、分级负责的原则。对于因泄露用户个人信息而触犯刑律的,政法机关应坚决依法查处。

总之,现代网络在人们的学习、工作和生活中占有重要的一席之地,而网络环境下的个人信息安全关系到个人的生命财产安全乃至社会的和谐稳定。因此,无论是个人还是全社会,都应该重视个人信息安全的保护。

[1]李皓.网络环境下个人信息泄露的理论分析及防范探讨 [J].情报探索,2011 (1):40.

[2]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿 [J].河北法学,2005,23(6):2.

[3]田桂兰.网络环境下个人信息安全问题及其保护 [J].信息化建设,2007 (6):42-43.

[4]贾经纬.网络个人信息安全现状及处理办法 [J].数字技术与应用,2012(3):237.

[5]陈华,黄东学.搜索引擎与个人信息安全 [J].电脑知识与技术,2010,6 (11):2585.

[6]周黎俊.窃取个人信息的新型恶意木马程序现身 [EB/OL].[2013-03-12].http://article.pchome.net/content-1595845.html

[7]新华社.全国人大常委会关于加强网络信息保护的决定[EB/OL].[2012-12-28].http://www.gov.cn/jrzg/2012-12/28/content_2301231.htm

猜你喜欢

个人信息信息安全用户
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
警惕个人信息泄露
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
关注用户
关注用户
保护个人信息安全刻不容缓
关注用户