基于组织管理的预防个人信息泄漏策略研究
2019-06-11邹晶刘立李雯雯
邹晶 刘立 李雯雯
[摘要]防范网络电信诈骗的关键在于保护个人信息。在分析了个人信息泄漏途径后阐述了个人信息安全管理存在的问题,从组织管理角度提出预防个人信息泄漏的策略。
[关键词]大数据;个人信息;个人信息安全;个人信息泄露;组织管理
[中图分类号]D920.4[文献标识码]A
1 个人信息概述
1.1 个人信息概念
2017年6月1日起实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对“公民个人信息”进行了解释,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。根据此解释,DNA、指纹、身高体重、工作经历、性别年龄等信息也属于个人信息。
1.2 个人信息、个人隐私与个人数据之间的关系
在当今社会,隐私的概念有比较严格的界定。按照法律上将个人私下生活秘密相关的事情且与公共事情无关的活动事宜定义为个人隐私,其内容包括个人的信息数据、活动及空间。其中,个人数据信息是指与个人有关的资料信息,如姓名、体重身高、电话号码等;个人的活动是指一切个人的私生活,譬如日常兴趣爱好、人际关系交往、家庭生活等一系列个人不愿意被外界所知道的个人活动;个人空间是指个人的生活活动范围,包括心理上的空间和显示的物质空间,也被称作个人领域。物质上的空间包括个人房屋、个人活动范围等,心理上的空间包括个人信件、个人日记等。
个人数据是指于数据主体人员相关的数据资料,包括数字资料和文字资料两个方面。数字资料,如主体人员的年龄、身高体重、居民身份证号码、电话号码、收入等都属于数字资料;文字资料主要包括个人的政治背景和社会背景,如个人的受教育程度、宗教信仰、政治面貌及政治倾向等,还包括个人家庭基本情况,如个人的婚否、配偶的基本情况、父母子女及兄弟姐妹的基本情况等。
这三者之间是相互包容、相互渗透的关系。其中个人信息包含了个人隐私。
2 个人信息泄漏途径分析
2.1 内部员工泄密
企业等组织内部员工受利益驱使泄漏用户个人信息。泄漏的个人信息通过网络多次贩卖,在大数据环境下进行拼接,使得个人信息更加全面准确。媒体报道中,涉及金融机构、运营商、快递公司、网上商店、4S店等组织。2012年315晚会曝光招商银行等银行工作人员兜售客户个人信息,导致客户银行卡资金被盗。内部员工监守自盗是导致个人信息泄漏的主要途经。
2.2 黑客入侵或病毒盗取
以计算机系统或网站存储用户个人信息面临黑客入侵的风险。利用计算机软硬件的脆弱性和计算机体系结构本身的缺陷,编写具有某种特殊功能的程序,入侵计算机系统,访问数据库,盗取用户信息。2016年“徐玉玉案”就是犯罪嫌疑人利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒,获取了网站后台登录权限,盗取了考生报名信息。黑客入侵或病毒盗取是个人信息泄漏的重要途经。
2.3 信息被过渡采集
网络服务提供商收集用户信息的方式多样。消费者在注册登录、填写订单、支付货款时,填写的个人信息可能被收集。其次,网络服务提供商还可以自动获取信息,例如用 cookies 追踪用户的网络行为、用木马程序在用户的设备端设置后门、用户使用手机APP时被搜集手机与个人信息等,通过这些技术手段自动获取用户的身份等个人信息。此外,网络服务提供商还可以通过第三方平台获取用户的个人信息。2018年Facebook被曝泄漏5000万用户数据,用于政治目的以左右美国选民投票。网络服务提供商搜集并泄漏用户信息是个人信息泄漏的新型途径。
3 组织泄漏个人信息原因分析
本文中组织是指對个人信息进行搜集储存等机构或部门的统称。既包括企业组织、政府事业单位、教育部门,也包括网络服务提供商等对个人信息进行过搜集的组织。
3.1 思想意识缺乏,责任心缺失
组织搜集了用户个人信息后,面临存储和保管工作。在信息时代,个人信息大都以数据形态存储。整个过程中,数据录入人员、数据查询人员、数据审计人员、数据库管理人员和系统管理员等工作人员能直接接触到数据。组织内管理人员能间接获得数据。组织管理人员及一线工作人员对用户个人信息的重要性认识不足,在利益面前有的员工责任心缺失。用户个人信息不仅仅是数据,还对应着一个个用户,更涉及用户的隐私。用户个人信息的泄漏会给用户带来不可估量的损失。
3.2 法律法规不完善,法制体系不健全
2017年10月1日起施行《中华人民共和国民法总则》专门规定自然人的个人信息受法律保护。2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对“提供公民个人信息”、“以其他方法非法获取公民个人信息”进行了定义和说明。同日起施行的《中华人民共和国网络安全法》要求网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。但对于个人信息泄漏具体由哪些部门监管没有指定,个人信息泄漏的取证工作也在探讨完善中,个人信息保护也没有专门适用法律。处罚过轻会间接导致个人信息泄露不断出现,愈演愈烈。
3.3 行业内部监管不力,难以起到威慑作用
组织内部监管不力,无法对内部人员进行震慑。组织在信息安全管理和人员管理方面存在很大的漏洞。有些企业缺乏在信息安全管理方面的规章制度和条例,或有相应的制度却没有监督和执行,导致内部信息管理人员信息保护意识淡薄,以权谋私,造成客户个人信息泄漏。再者,政府相关信息监管机构监管不力,未能主动监控,多为事后管制,不能对不法分子起到震慑作用,使不法人员有机可乘,助长嚣张气焰。例如,“徐玉玉事件”中170和171虚拟运营商号段,未进行实名制,成为诈骗分子首选地,而普通民众对此毫不知情。
4 基于组织管理角度的预防个人信息泄露策略
4.1 法制建设
国家要加强立法、加快立法,完善个人信息保护的立法体系。加快制定如信息泄露处罚法、电子证据效力、信息安全责任追究法等相关的法律,对组织进行监督约束。法律制定和执行要从重从严。对于个人信息泄露的犯罪事件,要着重从刑法方面进行惩处,加大对信息泄露违法行为的处罚力度,不给任何组织和个人打“擦边球”的机会。一旦因个人信息泄漏给公民造成的财产和人身伤害,个人信息泄漏的个人和组织要承担连带责任。必要情况下对涉事组织实施破产,用严格的法律对不法分子进行约束和制裁。
此外,个人信息泄漏案件需由专门法律保护,专门部门监管督办。政府要加强执法队伍建设,严格执法,加强专门监管部门的建设,对企业信息安全方面进行考核和监督,对组织进行严格监管。
4.2 制度建設
在规章制度方面,组织要成立专门的信息管理小组来制定企业信息安全相关规章制度。第一,实行双人管理或者多人管理制度对企业重要信息数据库进行管理。即在进入重要信息数据库时需要双人或多人的身份验证,这样可以将重要管理权限进行分散,防止权限过于集中,防止内部泄露信息;第二,实行访问过程记录细化制。即对每一个访问过信息数据库人员的访问过程进行详细记录。包括访问人的身份、时间、访问内容等进行记录。这样可以方便追查相关涉事者的责任,便于组织管理;第三,实行奖励和惩罚制度。对信息安全管理表现突出的人员或者对举证举报泄露事件的人员进行奖励,而对于违反规定、造成客户个人信息泄露的,要严格惩处,仔细追查当事人和部门领导、组织领导等相关责任人的责任,轻则开除,重则可移交给司法机关。
4.3 技术管理
第一,组织要重视用户个人信息安全,加大在数据安全管理方面的投入,自主开发或引进权威管理信息系统和信息安全管理技术,加强对数据库的管理,对组织的网络信息管理平台和技术定期升级,减少网络安全漏洞,防止不法分子利用网站漏洞或者病毒侵入。第二,采用网络隔离技术和数据信息加密技术,对组织内部数据信息进行安全管理。将组织内部网络与外部网络进行隔离,从而避开外部网络安全的威胁,保证数据信息在内部网络进行安全传递;用高级加密技术对内部数据信息库进行加密,保证数据库的安全。第三,利用先进的人员认证技术,如人脸识别技术,对信息管理人员进入数据库进行身份验证。
4.4 人员管理
组织要提升员工安全意识,加强员工素质的培养。一方面组织对员工的信息安全教育和培训活动要常态化,定期学习相关法律法规、组织信息安全规章制度和信息泄露案例,让内部人员对网络信息泄露的方式深入了解,提高应对能力。另一方面组织在招聘相关工作人员时,着重对应聘人员信息安全知识进行考察,提高信息管理工作人员的整体素质,减少内部人员泄露客户个人信息事件的发生。
4.5 加强监督
组织建立规章制度外,还应配备监督机制来监督规章制度的实施。除组织内部监督,还需要外部监督,包括政府监督和公民监督。组织内要成立监督小组或部门,负责监督内部规章制度的实施和工作人员的行为。另外,组织要鼓励工作人员相互监督,自觉接受网民的监督和政府的监督,以此来形成良好的约束。广大网民要发挥网民强大的力量,对组织进行监督,向组织提出建议和提醒或者直接予以举报,以此对企业组织形成震慑。
5 结语
信息安全在当今大数据这一特殊的时代背景之下,个人信息泄露及安全问题已危及用户财产和人身安全,已逐步得到研究者的关注。文章分析了信息泄露的途径,分析了我国信息安全存在的问题,从组织管理这一角度提出了个人信息的保护策略。但问题的落实还需要大量的人力、物力和财力,更需要国家和各个组织及个人的共同努力。
[参考文献]
[1] 最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释[EB/OL].http://www.court.gov.cn/fabu-xiangqing-43942.html, 2017-05-09.
[2] 史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志,2013(12): 155-159.