云计算是新型的计算机技术,云计算环境下的个人信息安全面临着与以往不同的新安全风险。云计算技术本身、云服务提供商都在威胁着个人信息安全,而现有的法律制度中虽然在各部门法中存在着零散的保护个人信息安全的规定,但依旧不能解决潜在的安全风险。为保护个人信息安全,应当加快制定个人信息保护法,建立统一的云计算技术标准和行业标准,同时提高民众的信息保护意识。
一、云计算环境下的个人信息
在科技日新月异的互联网时代,个人信息安全成为热点问题。新的革命性的信息技术——云计算的产生和运用,使信息的交流和处理方式有了极大的变革。学界对“云计算”并没有统一的界定。按照美国国家标准与技术研究院(NIST)的定义,云计算利用计算资源共享池,从而提供可用的、便捷的、按需的网络访问,并按用量付费。
云计算技术的运用,为信息技术时代提供了更多的可能性。但在这些服务的背后,往往存在着一个人信息安全隐患。谷歌Gmail、微软Hotmail、Salesforce服务等云服务巨头都不同程度地出现了云计算安全事件,给个人信息安全保护带来极大的挑战。
在云计算大量运用以前,个人数据均被存储于信息主体所能控制的储存设备中,个人能够根据自己的需要采取必要的安全保护措施,并控制自己信息的流出。而云计算的出现使用户实际上失去了自己信息的控制权。
此外,云服务的开放性和参与性,在一定程度上暴露了用户的个人信息。用户使用云服务的过程中,用户的个人的爱好、习惯都被云服务商获取,扩大了个人信息安全风险。
二、云计算损害个人信息安全的风险分析
(一)云计算技术本身损害个人信息安全
信息安全风险产生的原因在于用户在使用云计算服务时是通过用户名和账号密码进入自己信息存储的云端。一旦黑客破译或其他不法分子利用诈骗等手段进入用户的云端之中,那么用户的个人数据就极有可能被曝光泄露。
除了账号密码泄露的风险外,网络上充斥的计算机软件病毒更容易导致信息安全事故的产生。一旦计算机硬件出现问题,用户的个人信息也可能会遗失或泄露。
(二)云服务提供商损害个人信息安全
企业为扩大自身影响力,都有自成体系的云计算标准,试图在云计算领域占得先机。与此同时,不同的技术标准带来的是兼容问题。现今,在云计算服务倍受推崇的新情况下,各大服务商从主要以工具、产品和服务的竞争过渡到生态的竞争,建立自己的生态系统。据此,即使云计算技术迅速发展的现在,其技术壁垒仍然不可避免。
(三)个人信息保护制度不健全损害个人信息安全
1.传统信息安全保护概况
目前,我国在仅在《中华人民共和国身份证法》、《中华人民共和国护照法》直接规定了个人信息的保护问题。部分行政法规、部门规章、司法解释,也直接提及了个人信息保护。除此以外,还有间接通过个人隐私等范畴保护个人信息。例如《宪法》规定了“公民人格尊严不受侵犯”、“公民住宅不受侵犯”。《民法通则》也规定“公民的人格尊严受法律保护”。此外,《刑法》、《民事诉讼法》、《刑事诉讼法》中也有部分关于个人信息保护的相关规定。
我国个人信息保护条款数量十分有限,适用范围狭窄,没有针对个人信息保护的统一法;大部分规定可操作性低,只是笼统地要求保护,没有明确保护的措施和所要承担的法律责任;在新技术条件下,保护个人信息的条款已严重滞后。
2.个人信息保护新规定
2013年9月1日,《电信和互联网用户个人信息保护规定》(以下简称《规定》)正式实施。《规定》明确了个人信息的范畴,确定了电信业务经营者、互联网信息服务提供者应当保护在提供服务过程中收集、使用的用户个人信息的责任。虽然《规定》已系统地规定了个人信息保护的主体、客体、具体措施、法律责任等问题,但其针对的仅仅是在我国境内提供网络服务时的涉及个人信息的活动。因此,规定中涉及的“个人信息”范畴并不包括在电信服务和互联网服务之外的用户信息例如银行的个人金融信息,就不适用该部门规章,也无从全面保护个人信息安全。
三、云计算环境下个人信息安全保护的对策
(一)加快制定个人信息保护法
个人信息保护问题涉及了多个法律部门。它保护的不但是个人信息安全,而且涉及个人隐私等其他人格利益。因此,中国应加快出台个人信息保护法或者个人资料保护法,从总体上界定个人信息的基本内涵,确定相关主体的范畴及其权利义务关系,确定相应的规则体系和惩罚赔偿机制。
(二)建立统一的技术标准和行业规范
建立云计算的统一技术标准和行业规范,可以规制各种数据在不同平台之间的迁移,促进云计算的发展。2015年11月,工业和信息化部发布了《云计算综合化标准体系建设指南》,首次明确了国内云计算标准体系建设的基本方向。
即使已有《指南》,但建设统一技术标准和行业规范仍旧任重道远。政府相关部门应当借助倡议书和建设指南,联合国内厂商,借鉴国外先例,加快制定符合国情的云计算标准体系,在国内优先推广的同时与国际接轨,扩大中国云计算标准体系的使用范围和影响力。
(三)提升民众的信息保护意识
云计算技术的迅速普及,带来的不仅仅是生活和工作上的便利,而是社会的变革。部分民众对云计算盲目跟随潮流,缺乏必要的云计算基础知识和信息保护意识。政府需要就云计算的基本知识和相关政策、法律法规进行宣传,提升民众的自主信息保护意识。云服务提供商应当告知用户使用服务的潜在风险和其他相关事项,及时披露经营信息和重大事务,以便用户及时了解情况。监督机构应当积极履行监督义务,及时反馈监管信息,对用户的投诉及时做出反馈,对违规的服务商追究其法律责任。
作者:顾梦可 来源:智富时代 2016年7期