個人信息安全管理與防護對策

2012年５月９日，國務院總理溫家寶主持召開國務院常務會議，研究部署推進信息化發展、保障信息安全工作。討論通過了《關于大力推進信息化發展和切實保障信息安全的若干意見》，確定了健全安全防護和管理、加快安全能力建設等六項工作重點。

個人資料成為在網上販賣的“商品”，莫名其妙接到推銷人員的電話……個人信息頻頻受到侵犯的現象近年來已引起廣大群眾的極大反感，甚至有人因此受到詐騙、敲詐勒索等侵害。但人們對非法獲取和提供自己資料的不法分子卻無可奈何。

2011年深圳警方抓獲了一名販賣嬰兒信息的女子，其販賣的信息當中記載了深圳15萬名新生嬰兒的詳細資料，還搜查出深圳樓盤業主、車主名單等數十萬份個人信息。

2012年3月20日，北京警方宣布成功破獲CSDN網站用戶數據泄露案，被公開的疑似泄露數據庫26個，涉及賬號、密碼信息2.78億條，嚴重威脅互聯網用戶的合法權益。在2009年刑法修正案（七）中，雖然確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，但未明確該罪的具體界定標準，且追究的犯罪主體只是“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”，法律對信息泄露者的懲罰機制還遠遠不夠。

據國家互聯網應急中心《2011年我國互聯網網絡安全態勢綜述》顯示，近年來以用戶信息泄露為代表的與網民利益密切相關的事件頻發高發，“輕傷”者被垃圾信息“攻擊”，“重傷”者財物、名譽雙雙受損，引起公眾對網絡安全的廣泛關注。

“三律”加強個人信息安全防御

面對垃圾短信和洗錢、詐騙等違法違規信息推送以及網絡上辦假身份證騙取銀行信用卡惡意透資、盜取他人賬戶資金等種種亂象，如何全面加以防范和打擊已經迫在眉睫。

針對個人信息泄露的三種主要渠道：一是用戶的電腦或手機被木馬軟件劫持；二是個人信息在互聯網傳輸的過程中，經過一些傳輸路由時被他人控制；三是網站運營或信息管理機構對個人信息沒有盡到妥善保管的義務，在使用過程當中把個人信息泄露出去。與技術因素相比，網站運營或信息管理機構泄露用戶信息已經成為侵犯個人信息安全更為重要的原因。必須從源頭加以治理，堅持法律、他律與自律三律并施的原則，切實加強個人信息安全防護。

健全法律。工業和信息化部副部長楊學山日前在“2012中國個人信息保護大會”上指出：“個人信息安全已成為目前網絡發展的重要問題，加強相關法律法規建設具有重要意義”、“個人信息安全是重要的問題，與網絡秩序、社會的穩定與安定均息息相關，個人信息在網絡上的集中度越來越高，法律建設的相關環節也就更加具有重要的地位”。立法保護個人信息，是國際上通常的做法。目前世界上已有50多個國家和組織制定了個人信息保護的相關法規和標準。而在我國，雖有近40部法律、30余部法規和近200部規章涉及個人信息保護，2009年《刑法》將泄露個人信息入罪，《民法通則》中也有關于個人隱私的條例，但這些法律法規條例零散、抽象，在現實中普遍缺乏可操作性。《個人信息保護法》初稿已出臺6年，但至今未進入正式立法程序。加快推動個人信息保護立法進程，成為社會共識。

加強他律。掌握公民信息的，往往是具備政府管理職能和提供公共服務的機構及社會團體組織，他們掌握著80%以上的個人信息，80%以上的個人信息往往也經由他們泄露出去。因為單憑個人沒有如此強大的信息收集能力，只有這些單位趁著工作上留存公民信息的需要而使工作人員有違規操作的可能。因此，各級信息安全工作主管部門必須切實加強對政府機關、公共事業單位和社會團體等組織的信息安全監管，督促其在做好信息系統等級保護和風險評估工作的基礎上，切實加強對員工的信息安全管理，促其管束好工作人員遵守職業道德，不趁職務之便而謀利。

嚴格自律。網民在利用即時通訊工具聊天、在電子商城購物或在交友開博過程中，不知不覺中已經將個人信息存儲在網站運營商的服務器中，這些個人信息不僅涉及個人姓名、性別、身份證、電話、郵箱等內容，甚至包括個人銀行卡、支付密碼、家庭住址等更為私密的內容，而公眾所熟悉的殺毒軟件重點在保護用戶端的電腦安全，對于存儲在運營商服務器上的數據安全鞭長莫及。新近提交審批的《信息安全技術、公共及商用服務信息系統個人信息保護指南》，提出個人信息在收集、加工、轉移、刪除4個主要環節中所要遵循的基本原則、注意事項，應引起個人信息提供者與使用者的高度重視并嚴格執行。作為個人，要做到不該上的網站不上、不該提供的信息不提供；作為機構，要做到不該征集的信息不征集、使用后不該存儲的信息不留存。

“三建議”提升個人信息防護對策

個人信息安全防護是一項系統工程，政府部門作為公民個人信息最大的擁有者，首先應高度重視在個人信息應用方面的管理，為公民網上活動和互聯網產業發展提供良好的法律環境。同時，相關企業要加強技術管理，條件成熟時還可設立企業首席隱私官，專門負責處理與用戶隱私權相關事宜。而普通大眾也要提高個人信息安全保護的意識和能力，防范網絡行為可能帶來的潛在風險。筆者結合從事信息化與信息安全工作的實踐，提出以下建議：

加強學習，強化意識。首先要認真學習修訂后的《保守國家秘密法》，深刻領會并全面掌握結果論為行為論的核心要義，嚴守12條禁令，不碰紅線、高壓線；按照“四個不得危及、三個不得公開”的原則，處理政務信息公開工作；其次要做好網絡技術防范管理，嚴格遵照《江蘇省信息化條例》要求，在信息化規劃與建設、信息資源共享與開發利用、信息產業發展與技術推廣應用、信息安全保障及其相關管理活動中，逐一落實到位。尤其是信息安全保障系統應當與信息化工程項目同步規劃、同步建設、同步運行，使用財政性資金建設的信息網絡和信息系統投入使用前，應當進行信息安全登基保護和信息安全風險評估。

加強管理，強化責任。推進黨政機關和公共服務系統“網站域名、網絡接入、網絡終端、網站運維、網絡安全”規范化建設，建章立制、層層落實、責任到人，公務人員個人工作電腦與IP地址、MAC地址實施捆綁且規定只允許處理公務；規范個人桌面終端管理，不得隨意下載與工作無關的應用軟件和文檔資料，密級電腦禁止連接互聯網，不在連接互聯網的電腦上起草敏感重要材料；不同密級設備不混用，同密級移動U盤在同密級電腦間使用。

加強自重，強化細節。養成使用電腦、上網操作的良好習慣：口令要強，口令長度至少8位，混合使用字母、數字和符號；系統要更新，定期或及時安裝最新補丁和更新；防火墻要安裝，通過網絡防火墻和個人防火墻協同保護；病毒要防護，安裝可信、知名的防病毒軟件并不斷更新；不需要服務功能的要關閉，以便減少攻擊；臨時離開要注銷或鎖屏，盡可能減少隱患；文件要加密，通過文檔軟件加密、壓縮軟件二次加密、專用工具三層加密等手段；電子郵件要注意安全，過濾阻止垃圾郵件，永不打開陌生人郵件及附件；瀏覽網頁要警惕，增強瀏覽器安全設置，不訪問非法網站；誘惑要拒絕，不通過電子郵件回復對金錢或敏感信息的請求。

（作者單位：揚州市經濟和信息化委員會）