王爱青

(江苏金盾检测技术股份有限公司,江苏 南京 210042)

0 引言

2022年以来,随着网络、大数据、AI智能等科技的快速发展,各类信息、数据泉涌式爆发,人们的工作和生活被大量的信息紧密包围着,受到了巨大影响,同时也面临着巨大的网络信息和数据安全挑战。其中个人信息安全等社会现实问题尤为突出,国家对此高度重视,颁布了《中华人民共和国个人信息保护法》,并自2021年11月1日起施行,从法律层面保障个人信息安全。但是,由于信息安全问题的长期存在和不断变化发展,且法律的贯彻落实需要一定过程的逐步践行、完善,因此应进一步对个人信息安全问题及解决对策进行研究探讨。

1 影响个人信息安全的主要因素

随着大数据技术的飞速发展,每分每秒都会有大量的信息涌入和传播,同时个人信息安全面临严峻挑战。个人信息安全的威胁主要体现在以下几个方面:

(1) 组织、团体或个人非法收集个人信息进行交易以获取不当利益。

(2) 网络黑客通过互联网入侵盗取用户个人信息和重要资料。

(3) 各网站平台、App等安全保护措施欠缺,极易导致其网络被攻击后,系统数据库中保存的大量用户信息泄露。

(4) 公民缺乏个人信息安全防范意识,且不了解信息安全技术、不具备防护技能,从而导致个人信息安全存在着极大的安全隐患。

2 个人信息安全存在的问题

2.1 个人信息商品化非法获利

个人信息非法利用主要是指一些不法分子在公民不知情的情况下,擅自售卖其信息以谋取“黑色收益”,这种严重的“侵权行为”不仅会对公民自身利益和权益造成难以估量的后果,甚至还会引发一系列恶性事件[1]。值得注意的是,随着大数据技术的发展,人们受利益驱使,个人信息如商品般被共享、交易,非法买卖个人信息问题一直存在,并成为一种灰色产业;其次,个人信息获取途径的多样化,分散、零散信息的归类便捷;最后,完整的个人信息被非法利用,带来了严重的安全隐患。根据360公司发布的《2022年上半年度中国手机安全状况报告》(数据篇)统计,2022年上半年,在手机诈骗举报中,身份冒充按举报数量统计占比10.7%,按涉案金额统计占比20.4%,属于高危诈骗类型。

2.2 网络中个人信息汇集存在的安全隐患

随着人工智能应用的发展,商业、金融等线上服务和支付交易中广泛运用指纹、人脸等生物识别技术,个人生物信息在互联网中被大量汇集。与此同时,人们日常通过互联网检索、浏览各种信息资料或线上选购商品等行为,在网络中被存储记录,个人的经济能力、社交关系、习惯爱好等信息被大数据收集分析,经由各种商家利用,进行投其所好地针对性数据推送,这种基于个人信息分析的用户画像和个性化推荐趋于普遍,用户往往没有拒绝精准定位的私人定制化服务的能力。

此外,内置广告弹窗无法关闭也是服务选择权缺失的一大表现[2],社会现实结果表明,诸多受害者,甚至是犯罪者最初就是误点此类弹窗或是被广告吸引,走进了非法分子的圈套。互联网中海量的信息对于普通人来说,进行筛选、分辨较为困难。更糟糕的是,网络中个人信息的汇集,使得来自网络黑客的针对性精准化攻击也越来越多,网络黑客使用的最强大工具之一就是“黑客入侵”,又称社交工程,利用大数据等技术和心理学对受害者发起攻击,令人防不胜防。为此,公安机关加强了防诈骗警示宣传,利用网络技术对电信、移动通信中的异常进行分析,锁定对象、针对提醒,即便如此,此类受害者还是层出不穷。

2.3 信息安全保护技术的不足

近年来,随着国家对信息安全的重视,计算机网络通信设计领域的安全防护意识得到提升,信息保护系统建设受到更多的关注,计算机系统的防护能力也有了显著的提高。然而,由于计算机网络科技的高速发展、黑客技术的不断进步,黑客不仅可以针对性地破解现有的安全措施,还研发利用新的攻击技术来实现更大的破坏。此外,我国目前在信息安全关键技术上比较落后,自主研发能力欠缺,主要应用的信息安全技术引自国外。由此可知,我国所能运用的计算机网络信息安全保护技术就相对较滞后,面对新型攻击手段不能高效地保护公民的个人信息。

2.4 移动互联网应用(App)等隐私保护问题

从交流通信到金融支付,从衣食住行到游戏玩乐,移动互联网应用(App)广泛覆盖了方方面面,已然深深地渗透到人们的日常生活中,创造了巨大的便捷和多元化的体验,成为满足人们基本需求的必不可少的工具。市场上App不断地开发创新,提供更丰富的功能选择以及产品设计更加个性化的同时,涉及个人信息的种类愈发多样,收集的数据范围也不断扩大。然而当用户下载App,想要正常注册使用时,首先必须授权同意诸如平台服务协议、注册协议、隐私条款等协议内容,否则用户根本无法正常登录获得该App的使用权。与此同时,移动互联网应用(App)成为获取使用者数据信息的重要门户,不断出现侵害使用者利益的行为,如强行认证、过度采集以及明文传输、诱导下载等,这些行为已经成为国家和社会关注的焦点,针对网络应用安全和个人信息保护的法律法规相继出台,但是,在App的开发、运营和使用过程中,仍然存在着严重的安全隐患,需要加强对个人隐私的保护,以确保使用者的安全。

2.5 公民个人信息安全防护意识薄弱

随着日常生活中应用软件、小程序等的普及,人们认为个人信息已然“满天飞”,对自我隐私的保护意识反而越来越淡薄,更容易被网络运营商的奖励、返现等利益所诱惑,在网络方面,可以获得无偿咨询服务,享用多种App提供的便利,而忽视了可能会发生的个人资料泄密现象,导致个人信息安全遭到严重威胁。其次,人们习惯于随意扫码、注册和登记个人资料,抱有侥幸心理,认为自己不会被不法分子注意,从而成为受害对象。最后,除非财物安全遭到威胁,否则大多数人不会真正关注个人信息安全,更不会耗费相关资金和精力透过法律渠道维护自身合法权益。

3 个人信息安全问题的对策研究

3.1 完善立法、严格执法,运用法律保护个人信息安全

《中华人民共和国刑法》《中华人民共和国网络安全法》《中华人民共和国民法总则》中均有关于个人信息保护的法律条文,充分体现了我国对于个人信息安全的关注、对个人信息保护的高度重视。2021年《中华人民共和国个人信息保护法》的出台施行,为解决个人信息保护中的热点难点问题提供了强有力的法律支持,当下,应加强金融、教育、医疗、通信等各行业的相关法律法规的制定和完善,以确保信息系统的安全性和可控性,建立有效的个人信息保护机制。

法律法规的实施,需要各界的坚持与践行,公民、法人或者其他组织应依法履行保护个人信息安全的义务。当个人信息受到侵犯时,公民应立即采取行动,坚决维护自身的合法权益,及时向公安机关报告并提出申诉。知法、守法、依法维权是每个公民应尽的义务,也是维护社会公平正义的重要手段。采取有效的法律措施,严厉打击侵犯公民信息安全的不法行为,以此来减少甚至消除个人信息侵权案件的发生。各职能部门在执法过程中要严格执行法律法规,要加强对相关部门的监督管理,有效协调、通力协作,切实落实个人信息安全相关措施。

3.2 个人信息安全监管体系建设

虽然广大用户对个人信息被泄露问题感受强烈,时常为骚扰电话、广告推销、电信诈骗所困扰,但是大众普遍感觉无力反抗,个人信息泄漏,个体往往无从获悉或独立维权,只能依靠国家监管保护,加强对信息收集者或授权委托管理者进行监督。

为了保护个人信息安全,政府部门应该与公安和行业监察部门合作设立一个职能明晰、综合有效的公民个人信息监管机构。该机构应该加强对掌握信息资源的公民个人、法人组织和机关单位在收集、分析处理和利用个人信息各个环节的监督,鼓励合理开发和利用信息;对于那些肆意攻击和贩卖信息的犯罪分子,应该及时向公安机关报告,坚决打压这些不良活动。除此之外,该机构应承担起监督国内民间个人、组织团体、企业机构以及国家之间信息传递的职能,如果出现异常情况,应立即与相关部门合作,采取有效的防控措施,尽快采取行动,避免给国家和人民造成不良影响[1]。

3.3 App个人信息保护安全技术的应用升级

为了确保用户合法权益,必须加强应用的安全防护能力,提升防护技术水平,这是保护用户个人信息的基础保障。

提升App个人信息安全防护能力,维护用户权益,应增强产业自律,确定各个企业的主体责任,并强调产业自治的重要性,这是企业可持续发展的基础。因此,终端厂商、应用服务商、应用发行商和安全厂商应该通力合作,将信息安全防护技术运用至App产品开发、营运、维护等全过程中,以实现全产业链的安全保护。应用服务和应用发行厂家应积极适应新形势新需求,严格遵守法律法规,落实信息收集使用规定,完善内部的个人信息保护和数据分析制度,强化用户隐私防护,将个人信息保护的标准落实到设计、研发、经营等活动,确保客户合法权益得到有效保障。

App开发者应加强信息安全技术的研发应用及更新升级,采取必要的手段保障应用的安全性和用户数据的机密性、完整性和可用性[3]。加强App信息数据保护,完善行为日志记录,数据流向全流程可追溯,实时监测,异常告警。

3.4 加强落实App的安全检测监督

提倡多样化App的开发,增加应用市场中同功能App的选择、良性竞争,以削弱App应用强制授权采集个人信息,不同意便无法使用的尴尬局面。App应用初始化应以最小授权原则设定,权限扩大、放开的主动权交由用户,用户可以根据实际使用需求选择调配,而不是在毫不知情的情况下,开启如相册读写、麦克风使用、相机应用等授权,被过度收集敏感信息。

虽然目前诸多App在登录时提示阅读隐私权政策、服务协议等,但隐私政策、协议条约的内容晦涩含糊,让普通用户审阅辨别非常困难,诸如“不同意”“不授权”便无法获得App正常使用权的条款协议,用户目前实际上只处于被告知的地位,无商榷权。因此,为了切实有效地保护个人信息,须由相应监管部门加强对App的应用审查,此类条款协议,应经被监管部门授权的单位或机构组织进行审定批准,确保条款合法合规。监管部门还应加强对App应用开发者及产品的检测评估,通过专业的第三方检测机构进行合规性审查管控。此外,鼓励App检测技术研发创新,增强检验检测能力,在App上线前及实际运用中进行有效验证,促进提升产品服务的质量。

3.5 促进安全工具产品的研发及运用

通过应用特定功能的安全产品,经过技术改进保护个人信息,不仅能够减轻政府的行政负担,也能够防止给市民带来太多的不便。

一方面,促进个人计算机终端的安全工具产品研发。用户在计算机网络使用过程中,虽然在电脑终端上已使用如防病毒软件、防火墙等技术手段,但由于多数用户没有专业的计算机应用技能,未能在电脑终端部署有效的防护策略。此时,需要有专业的安全加固工具,运用到个人计算机的维护中,从身份认证、访问控制策略、应用软件安全部署、数据加密存储、传输等全方位针对计算机进行安全加固。应鼓励研发有实用性的安全工具,对个人终端电脑,实现一键加固,使个人计算机的安全防护更加便捷。

另一方面,加强平台系统中的安全工具产品的技术研发提升。可以利用数据溯源技术标识数据信息,记录原始数据在整个生命周期内的演变信息和演变处理内容,从而实现数据档案的历史追溯,能够给公安机关打击违法使用公民个人信息行为提供助力[4]。

3.6 提高人们个人信息安全的防范意识

公民个人信息安全保护意识薄弱,是造成信息泄露的主要原因之一,因此,提高公民的防范意识、加强信息安全保护,成为解决信息安全问题的关键。由于网络用户年龄结构、受教育程度等差异,对信息安全的认知也存在明显的不同,有些人没有足够的个人信息保护意识,而有些人虽然有意识,但却无法有效地保护自己的信息,总体而言民众的信息安全意识仍然较低。为了保护个人信息安全,社会服务部门应该加强宣传力度,大力推广“保护公民个人信息安全”进社区、进市场、进学校、进家庭宣传教育工作,加大对于计算机安全教育的普及力度,为公众树立正确的互联网知识,让每一位用户正视自身的安全“缺陷”,树立安全意识,避免在上网时泄露个人信息,养成良好的自我保护习惯。个人在应用互联网、使用App时,应该特别注意账号密码的设置,如果条件允许,可以采用计算机加密技术来复杂的密码的设置,以此来提高账号的安全性,有效防止因账号丢失而导致个人隐私泄露[5]。

加强普法专题宣传,使民众们学习认识到未经授权收集、使用他人个人信息的行为是非法的,让部分没有法律意识的群众在普及教育中,规范化自己的行为,拒绝如“扫一扫”“调查问卷”等形式的信息收集而获利的诱惑,让那些管理、掌握大量个人信息资源的人,约束自己的行为,不从事侵害个人信息安全的非法活动。

3.7 个人信息安全教育进入校园

孩子是祖国的希望,是国家未来的主人。生在互联网迅猛发展、大数据赋能的时代,随着AI科技的发展,人工智能也慢慢地进入生活,孩子的成长过程中,充斥着各种各样的电子产品、互联网信息,以至于未成年人成为网络诈骗受害“重灾区”,频频有青少年甚至是儿童被诈骗的事件发生,对其及家人造成巨大的经济损失和精神伤害。在此形势之下,对未成年人进行个人信息安全教育,应像防火安全教育一样被社会各界关注、投入资源,不论是学校还是家庭,应对其从小灌输个人信息保护意识。

孩子不仅是互联网的使用者,也是科技发展的主力军,将来会成为软硬件的生产者、App应用的开发者、信息数据的管理者、法律法规的执行者、网络安全的从业者,对他们的个人信息安全法律意识培养教育有着长远意义。个人信息安全教育应走进校园,从基础教育开始抓起,让学生形成正确的信息保护观念,掌握信息安全保护的相关知识,既可以提高自身防范技能,更能从小规范自身行为,提升社会责任感,将来为维护国家网络安全、保护人民群众信息安全做出贡献。

4 结语

总而言之,个人信息泄露给个体造成的伤害不仅是经济财产的损失,对精神、生活的危害,甚至是生命威胁也是屡见不鲜,加强安全意识教育、提升技术防范水平,有效地保护个人信息安全,让互联网应用环境良性化,对维护网络安全、遏制网络犯罪有着重要意义。没有网络安全就没有国家安全,全国人民、各行各业、政府单位应齐心协力,保障信息安全,维护国家稳定。