有过类似经历的用户不在少数,而涉及“泄密”的行业更是涵盖了银行、房屋中介、保险、医疗、社交网站、电信等近十种。除此之外,根据信息泄露带来的危害程度不同,《指南》进一步划分为个人信息和个人敏感信息。
人物档案
高炽扬,工业和信息化部计算机与微电子发展研究中心副主任。
对话背景
4月12日,工业和信息化部宣布《信息安全技术:公共及商用服务信息系统个人信息保护指南》(下称“《指南》”)已编制完成、通过审议,上报至国家标准化管理委员会。该《指南》预计将于今年出台。
近年来,国务院、银监会、保监会等多部门已先后发布个人信息保护有关规章近200部,但个人信息泄露案件仍在近期呈集中爆发之势。在此背景下,《指南》的出台有何意义、还需填充哪些细化标准?立法滞后成因何在?公众的自我保护诉求及保护意识现状如何?近日,中国青年报记者专访了《指南》主要起草人高炽扬。
中国青年报:如何看待《指南》出台的意义?
高炽扬:即将出台的《指南》是一个整体的标准、框架。这样一来,个人用户和相关机构都有了参照标准,行业主管部门也可以通过这些指标梳理和评价行业的发展现状。
《指南》是个人信息领域的国家标准。在这一基础上,还要根据各个相关行业的性质、需求出台具体的管理要求、技术要求、评估准则。和个人信息打交道的行业包括医疗、保险、银行、房屋中介、婚恋网站等等。各行业对个人信息保护的需求不相同,标准自然各异。比如对医院而言,用户的身高、体重等属于一般信息,但是在婚恋网站上,这些就属于敏感信息。所以,未来在基本框架的基础上,还有很多细节需要填充。
中国青年报:为何该领域的立法停滞不前?
高炽扬:我认为,法律出台需要两个前提:其一是法律条文基础,这需要法学界和行业主管部门、社会各界的共同认可。目前在这一领域,法律学术上的很多基本概念、立法角度、依据都尚未理清。
其二是出台时机,即法律的出台是否有需求。个人信息泄露案件频发、用户保护诉求增强都是近两年集中出现的,因此造成了法律的滞后。但我认为,目前立法时机已经逐渐成熟了。我们要防止信息安全问题制约未来信息化的发展。
中国青年报:也有观点认为,个人信息保护、采集涉及诸多相关领域和部门。正是各个行业、部门间的利益关系仍未理清,才导致了立法的停滞不前。对此你怎么看?
高炽扬:不同的行业、部门必然有各自的考虑和需求,有争论是客观存在的。在个人信息领域划清其各自的权利和义务界限,需要一些时间。
中国青年报:对一些用户而言,个人信息泄露会带来哪些危害,仍是个比较抽象的概念。公众的防范和自我保护意识仍较弱。你能举例说明住址、财务状况等信息泄露会给个人带来哪些具体伤害吗?
高炽扬:比如手机诈骗是常见的犯罪手段。近几年,这一犯罪手段衍生出了新的方式。犯罪分子在获得了该号码用户的姓名及手机内联系人的号码后,往往会用一个新号码短信通知联系人:我换号码了,我是某某某,请惠存。收到这样的信息后,我们通常不会进一步确认短信的发送人是谁。这样一来,犯罪分子使用的号码就替代了原用户的号码。
这只是前期铺垫。过了几周后,犯罪分子便会用这个号码向联系人借钱。这样一来,整个诈骗环节的可信度就增强了很多。这个事例仅仅是个人信息泄露危害性的冰山一角。还有许多数目巨大的商业诈骗也都源自个人信息泄露。
中国青年报:目前,个人信息泄露的主要渠道是什么?
高炽扬:在调研中,我们发现近八成的个人信息泄露源自信息所有者的内部作案。但调研还发现,在内部泄露事件中,泄露主体大多是员工个人,而非相关机构。原因在于,对于某一机构而言,出售用户信息所获得的回报和因此造成的经济及名誉损失不成比例。大部分企业还是能够做好自律工作的。但对于某些个人员工而言,出售用户信息带来的收入确实可观。
这暴露了一个问题:正因作为信息管理者的相关机构并未有效履行自身职责,才使得技术和管理制度上存在漏洞,导致客户信息泄露。因此,如何弥补这些漏洞,才是相关机构应当反思的。
在近年调研中,我们发现作为信息的管理者,一些机构缺乏起码的防范意识。比如在其内部手机、电脑等电子设备的使用,应当严格限制;比如存贮个人信息电脑的安装位置要有所注意,不能屏幕直接冲外;比如用户信息在使用之后,应当做到及时彻底删除;比如应严格限制可能接触到用户信息的人群,等等。
中国青年报:在当前技术、法律保护缺失的背景下,个人用户应当具备哪些防范意识?
高炽扬:目前,个人用户对信息保护的诉求很强烈,但保护意识普遍薄弱。比如复印身份证后,我们应当在四周写上“本身份证用于某某用途”,以防别人拿作他用。对于无用的个人信息,我们应当做到自行粉碎或将重要信息划去。在被要求填写住址、年龄、单位、身份证号等信息时,我们脑海中要有所警惕:我需要提供这些信息吗?比如在商场办会员卡,其实只需填写姓名就足够了,其他信息理应拒绝提供。
对个人而言,最为重要的信息包括身份、财产、位置三方面。还有,信息的加工和处理环节,个人用户无法参与和控制,但收集和删除环节则是我们可以改善的。
个人信息岂能成为“黑色商品”
本报记者 骆沙
据媒体报道,《河北省信息化条例(草案)》已正式提交河北省人大常委会审议。针对非法获取、出售或以其他方式提供他人个人信息的公共机构,草案规定最高将处以五十万元罚款。构成犯罪的,将依法追究刑事责任。
该草案的出台之所以备受关注,源自近段时间,国内集中爆发多起个人信息泄露事件。不久前,银行内部员工泄露并出售客户信息牟利事件曝光。2011年年底,我国互联网史上最大规模的用户信息泄露事件爆发,多家社交网站几千万用户账号及密码遭到泄露......
近日,在某知名房屋中介公司登记售房信息后,业主李星的电话便一刻不得安宁。“房产交易需要提供大量个人信息,包括我的单位、住址、贷款数额等 等。如果我的售房信息能够被迅速共享,那么谁能保证其他信息不会?”她说,“更蹊跷的是,房子刚一卖出,骚扰电话立刻停了。信息传播之迅速让人觉得后 怕。”
“这种感觉就像是‘不知何处有一双监视的眼睛’。”她说。
有过类似经历的用户不在少数,而涉及“泄密”的行业更是涵盖了银行、房屋中介、保险、医疗、社交网站、电信等近十种。
“对于技术原因造成信息泄露,管理者可通过技术升级补救、避免,比如增加密码强度、严格禁止无关人员访问数据库等等。对于主观故意性质的行为,则必须用制度约束。”中国软件评测中心主任助理朱璇说。
据了解,近日在这一领域的制度建设过程中,除了河北省拟立法,我国首个个人信息保护专项国家标准亦呼之欲出。《信息安全技术:公共及商用服务信息系统个人信息保护指南》(下称“《指南》”)预计将于今年出台。
“《[FS:Page]指南》出台最重要的意义是明确了个人信息保护相关的基本概念、原则和要求。”朱璇说。对于目前仍备受争议的“个人信息”的定义,《指南》报 批稿中规定,“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人 一般信息。”
“通过这些信息能否识别并定位到具体个人?如果可以,就属于个人信息的范畴。”朱璇说。
除此之外,根据信息泄露带来的危害程度不同,《指南》进一步划分为个人信息和个人敏感信息。
“如果对内容敏感程度不加区分,会造成管理代价过高。在被获取信息时,《指南》区分了‘明示同意’和‘一般同意’。前者是针对敏感信息而言;后 者针对普通个人信息,只需要个人用户默许即可收集。这亦降低了个人用户提供信息的时间、精力成本。”工业和信息化部计算机与微电子发展研究中心副主任高炽 扬说。
概念明确后,《指南》还理清了参与主体、收集周期等内容。“总体而言,我将《指南》概括为明确并落实了‘三类人’在信息收集的‘四个阶段’如何遵循‘八个原则’。”高炽扬说。
朱璇认为,出台《指南》的意义是给收集和使用机构提出规范要求,指导其从收集、加工、转移到删除各个阶段如何保护个人信息。但是,《指南》中对于“泄露主体”及“信息泄露的危害程度”尚未明确定义。
“标准可以用来规范行为,但无法代替法律的约束力。”她说,“法律的缺失不该成为相关机构免责的借口。‘谁收集谁保护’,收集和使用个人信息的机构必须负起责任。我们不应要求个人用户具备完整的法律和技术知识。在这个问题上,个人用户本来就处于弱势。”
对于日前河北省出台的相关草案,朱璇表示,个人信息保护工作的推广需要政策法规的推动。“这是对违法者的警示,让他们有所收敛。”她说,“随着 信息化的飞速发展,信息泄露已经伤害了很多消费者、用户的利益。我们必须通过持续的制度修补,将个人信息的利用维护在合理的范围内,而不应任其成为黑色产 业链上的商品。”
为您推荐
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。
爱立信消费者研究室30日发布《网络性能研究报告》称,83%的中国城市智能手机用户每天使用手机浏览网页,已超过语音通话和短信每天使用的用户占比。然而,用户对手机上网的满意度低于打电话和发短信。该报告对全球12个市场(巴西、智利、中国、印尼、日本、墨西哥、俄罗斯、韩国、瑞典、土耳其、英国和美国)的12000名18至64岁的智能手机用户开展了在线访谈,
中国证券报记者近日获悉,搜狐于9月份完成销售队伍分拆,搜狐视频内部架构重组已完成,透露出搜狐视频独立运营的信号,其业务增长势头也有望为其独立IPO提速。爱奇艺CEO龚宇此前表示,中国视频业版权价格战已结束,并推测行业可能在2014年实现盈利。目前优酷、土豆合并业务逐渐展开,搜狐视频独立上市也排上日程。随着视频广告业务的发展,视频盈利模式已越发清晰。中国互联网中心最新数据显示,二、三季度中国网络视频版权价格急速下降,目前价格与2011年同比普遍下降了近三分之二。带宽和版权是视频网站最大的支出。从2010年开始,国内热门影视剧均价维持在30万-80万元/集,个别抢手大戏报价百万元/集也屡次出现。再