在网络环境下,个人信息利用的安全管理成为一个重要的社会问题,深入研究个人信息利用与安全管理势在必行。文章分析了个人信息利用的不安全因素,对加强个人信息利用的安全管理提出了对策建议。
在网络环境下,个人信息的安全管理成为一个重要的社会问题。虽然公众对个人信息管理的重要性有一定认识,但主动加以保护的意识并不高,有关机构在处理个人信息时,也未能尽职尽责。由于个人信息主体保密意识淡薄,个人信息受到其他主体的过失侵权,甚至受到诈骗和敲诈勒索等恶意侵权的情况时有发生,严重威胁到个人信息的安全。个人信息频频受到侵犯的现象已引起广大民众的极大反感,因此,深入研究个人信息利用的安全管理势在必行。
一、个人信息概述
所谓个人信息,“是指自然人的姓名、性别、出生时间、像貌特征、身份证号、指纹、婚姻、家庭、住址、学历、职业、职务、职称、健康、病历、财务情况、社会活动及其他足以用来识别该个人的信息总和”[1]。个人基本信息主要有:一是个人的自然情况,包括姓名、性别、民族、出生时间、身高、体重、血型、身份证号码、社会保险卡号码、家庭电话号码、医疗记录、财务信息、人事档案、可识别个人的图像或声音等;二是与个人相关的社会背景,包括受教育程度、工作经历、宗教及其他信仰、政治观点和倾向、社会关系等;三是家庭基本情况,包括婚姻状况、配偶、父母、子女等;四是其他,如计算机储存的个人资料等。
在网络环境下,“个人信息利用就是在尊重信息所有人的信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权的前提下,在信息收集过程中做到限制收集、保持完整正确以及目的明确的限制利用,同时要采用各种措施,在保证个人信息安全这一前提下对个人信息进行充分的利用”[2]。个人信息利用主要涉及到提供、委托、交易三个方面的内容:①提供。在个人信息提供中,存在三方相互制约的关系,包括个人信息主体、个人信息管理者和第三方个人信息管理者。个人信息提供是个人信息管理者将合法拥有的个人信息主体的个人信息,以各种形式提交、供给第三方使用。个人信息管理者对合法拥有的个人信息主体的个人信息负有管理的责任和义务,因而,提供第三方使用时,附带相应的责任和义务。②委托。在委托合同关系中,接受委托方称受托方,委托处理事务方称为委托方。在服务外包中,发包方可以称为委托方,承包方可以称为受托方。个人信息管理者在特定、明确、合法的目的范围内,经个人信息主体同意,委托第三方处理、使用个人信息。个人信息委托包括三种形式:一是委托第三方收集、处理个人信息,二是在委托业务中涉及相关个人信息,三是受托方接受委托后(与个人信息相关)的再委托行为。个人信息委托同样附带相应的责任和义务。③交易。个人信息交易是以个人信息为标的物的交易,交易双方必须存在权利、义务关系,即必须履行个人信息管理者的责任和义务,保证个人信息的安全。个人信息交易行为包括:基于某种利益关系的个人信息交换行为和基于某种利益关系的个人信息买卖行为。
二、个人信息利用的不安全因素
(一)个人信息主体保密意识淡薄
存在个人信息主体保密意识淡薄的因素主要表现在以下五个方面:一是密码和用户名设置不当。密码给信息提供了最基本也是最重要的保护,但一些网民用自己的生日、电话号码或只用单一的数字等作为密码,这会给不法分子带来可乘之机,对个人信息的保护非常不利。除了密码之外,很多人习惯在所有的网站用同一用户名,使得自己在各个网站的信息有了一个紧密的联系,别人可以通过该用户名将这些分散的、零星的信息综合起来,得到原本无法获得的新信息。二是个人信息存储空间选择不当。相对于传统的信息存储载体来说,人们越来越习惯利用网络进行个人信息的管理,但应注意的是,有些网站并不规范、合法,在进行存储空间的选择时应该谨慎,避免进入一些陷阱。例如,一些网站正是通过出售网民的资料获利,他们将网民的资料出售给交友网站、广告公司、中介所等。三是个人信息空间访问权限设置不当。访问权限一般有完全私密、仅对好友公开、对所有人公开等选择,但用户往往忽略该项设置,而默认的情况下一般是对所有人公开。等到信息通过网络传播开来的时候,用户才想起来去更改权限或删除消息,但已是亡羊补牢了。四是对电子邮件来源不加确认。有一种网络诈骗叫“网络钓鱼”,这些通常伪装成金融服务供应商的邮件会让人们更新账户号或密码,甚至是冒充人们的某个朋友要求更新联系方式。绝大多数人往往会直接回复这类邮件,其结果就是邮箱被蜂拥而至的大量广告邮件填满,而重要的邮件却被淹没或覆盖。五是忽略网站的隐私保护条款。网民们常常忽略阅读网站上的一些隐私条款,有些网站会非常坦诚地告诉你,他们会在你默认的情况下与保险公司、旅行社、百货商场共享你的资料,你可以选择不共享或者只与其中的部分机构共享。
管理视界每个栏目名称贺洪明:基于个人信息利用的安全管理研究(二)个人信息受到其他主体的过失侵权
相比较个人信息主体自身的疏忽大意来说,其他主体的行为更加难以控制。首先是亲友疏忽大意泄密。以开心网为代表的社交型类网站越来越受到年轻网民的欢迎。可见想要在网络上获取他人的信息并不难,这就意味着信息很容易由于朋友、亲人、同事等关系密切的人的疏于防范而被泄漏出去。其次是相关机构未尽妥善保管义务。很多时候用户在网上发布信息是基于某一目的只向特定的主体发布的,但实际情况往往是,用户在网上发布信息之后,这些信息就处于失控状态,用户无法按照自己的意愿去管控它们。如果登录—些招聘、交友、购物等信息类网站,就能看到需求者留下的联系方式,这些网站并不会为你的信息保密,相反,公开用户的这些信息就是他们的活广告。还有政府机关因为工作关系,也经常大量持有人们的个人信息,因为信息社会和服务型政府的建设,离不开各种数据的收集、统计、分析,这些信息有助于政府了解社会、管理社会和服务社会。但是,目前政府对这些信息的保护还不尽完善,往往没有人告知这些个人信息的留存期限、保护政策、适用范围、如何更新、权利和相关责任人是谁。
(三)不法分子恶意侵权
网络信息技术的发展,使人们管理个人信息的方法越来越多,但也使人们的个人信息变得越来越不安全。网络出现的各种数据窃取恶意型软件让人胆战心惊,它会通过网络入侵个人计算机,不知不觉地窃取他人的隐私信息,如网上银行证书、信用卡号码、社会安全号码、各种密码,然后将这些信息转入地下市场中倒卖,或用于从事其他违法活动。“根据趋势科技Trendlabs的调查数据显示,木马是数据窃取恶意型软件中发展速度最快的软件”[3]。木马中的信息反馈机制会将被感染的网络和个人电脑里的信息通过电子邮件、ICQ等方式告知控制端用户,使人们的个人信息处于不法分子的控制之中。这种侵权行为常常表现为:未经个人信息主体同意或授权,擅自在网上公开、宣扬、散布、泄漏、转让他人的或与他人之间的个人信息;窃取、复制、收集他人传递过程中的电子信息;擅自侵入他人的电子邮箱,发送垃圾邮件、邮件炸弹、恶意病毒等;擅自侵入他人的个人信息系统,收集、破坏、窃取他人的个人信息等。
三、加强个人信息安全管理的对策
(一)坚持个人信息管理安全原则
个人信息安全意识是个人信息素养的重要组成部分,也是个人信息管理活动的重要内容。它既包括保护自己不受侵害,也包括让自己不要侵害他人。因此,在实际的管理活动中应坚持三项原则:①熟悉原则。尽量选择以前用过的比较熟悉的或是很多人都在使用的信息来源。对于那些不熟悉的东西,如邮箱中出现的来历不明的邮件、从某个不知名网站上下载的程序或是别人发给你的陌生网址等,需要提高警惕。建议在确定安全性之前,不要去碰它们。②谨慎原则。对于信息安全问题,没有有效的、通用的解决办法,但个人的信息安全意识和习惯无疑非常重要,而且有些信息安全问题是软件不能解决的,如网上需要你填写个人信息,就需要谨慎。填写之前思考一下,为什么网站需要我的这些信息?与网站为我提供的服务有关系吗?对于可选的项目,尽量选择不填。③保护原则。并不是所有的个人信息都需要小心保护的。对于一些核心的重要信息,如身份证号码、银行账号和密码、手机号码等信息,建议无论在何种情况下,都不要轻易透露;对于一些不重要的信息就不需要小心谨慎。
(二)做到自我保护与技术支撑相结合
哈佛法学院宪法学教授 Charles Feied 指出,“信息隐私的理念,似乎不应该只局限于不让他人取得人们的个人信息,而是应该扩展到由人们自己来控制个人信息的使用与流向。因此,做好网络个人信息保护工作不能依赖于他人的道德或者法律的救济,必须要从源头抓起——要提高网络用户自身的信息保护意识,从日常的个人信息管理习惯着手,控制好个人信息的使用和流向,做好自我保护。”[4]因此,个人信息应从以下几方面做好自我保护:一是对重要信息加密,不访问存在不安全因素的网站;二是不与来历不明的人共享信息,重视网站的隐私保护条款和设置个人信息的访问权限;三是勤于给自己的计算机更新杀毒软件的病毒库和安装系统补丁,防止邮件炸弹或恶意病毒的侵入而使个人信息受到破坏、窃取。在做好自我保护的前提下,建议国家应该支持和鼓励信息技术行业研发出既简单又安全、易操作的大众化软件,在软件的安装方面采用自动化操作;成立公益性的、专门的个人信息安全咨询服务组织,为公众提供技术支持服务。这样就能使众多非计算机专业的用户也能拥有保护网络个人信息的武器,自我保护个人信息才能在广大民众中普遍实现。
(三)完善个人信息保护立法与行业自律相结合
目前,在我国个人信息缺乏有效的立法保护的情况下,行业自律自然就成为一种有效的保护模式,行业自律在实现个人信息的保护上,不但比法律来得更为便捷、迅速,而且成本低廉、保护面又广泛。只有在相关行业自律加以救济下,个人信息用户的权利才能全面、及时地得到维护。但是,仅仅靠行业自律加以救济是不够的,必须要有法律来作保障。笔者建议加快我国《个人信息保护法》立法的进程, 该法的基本原则应该是平衡个人信息权与国家利益、行业利益之间的关系,即既要考虑到个人信息安全又要保障信息的正常利用;政府在立法时,不但要制定相关的保证公众知情权的配套法律,还应在司法实践中与网络个人信息保护相制衡,逐渐达到一个既不背离原则又不脱离现实的平衡,真正达到个人信息保护法律的不断完善。
(四)制定个人信息物理安全防护措施
个人信息安全管理与整体信息安全防护体系是密不可分的,在建立整体信息安全防护体系时,要从物理、技术、管理等角度采取相应的个人信息安全保护措施。一是环境安全。在环境安全中不但要加强环境安全设施(如门禁系统、监控系统、消防设施、员工个人工作场所及与之相关的周边环境的物理设施等),还要善于防备环境安全的不利因素(包括防火、防盗及自然灾害、意外事故、人为因素等)。二是与管理措施结合。保证个人信息的物理安全,应建立相应的管理机制,如制定安全策略、安全管理规范、人员约束机制等。三是技术保障。保证个人信息的物理安全,应利用相关的技术保障。物理安全保障需要将安全管理与安全技术有效衔接,强调人、技术和管理的有机结合。
(五)建立个人信息安全管理机制
在制定个人信息物理防护措施的基础上,应从两个方面来建立个人信息安全管理机制。一是完善管理机构。为保证个人信息保护体系的正常运行,约束个人信息管理行为,需要建立相应的个人信息管理机构,赋予相应的职能、所需资源和一定的职权。政府部门、事业单位应由分管人事机要的领导负责,企业、公司由总经理任命一名副总经理,全面负责个人信息管理机构的工作,包括个人信息保护体系的构建、实施和运行。管理机构工作人员必须明确职责,清晰理解并实践所负责的个人信息安全的相关活动,保证个人信息安全相关活动的质量和效果。二是健全各项管理制度。注意工作环境内所有与个人信息相关的资料的保护,防止未经授权的、无意的、恶意的使用、泄漏、损毁、丢失;出入工作场所时,对可能通过电子设备、资料文件等电子、纸质文档携带的个人信息,可以采取出入登记制度,并说明保密规定;与个人信息相关的资料的使用、借阅,应采取登记备案制度;对含有个人信息的各类电子、纸质文件及计算机系统中的文件夹等应采取相应的防护措施;在与外部网络、电子邮件等的信息交换过程中,应特别制定强有力安全措施;应明确与个人信息相关人员的权限、责任,加强人员管理,防止未经授权的对个人信息的访问;涉及个人信息处理的计算机系统,对使用权限、启动设置等使用功能应注意采取安全措施。
作者:贺洪明 来源:中共贵州省委党校学报 2015年3期