網絡環境下個人信息保護策略探討

◆李康

網絡環境下個人信息保護策略探討

◆李康

（云南南天電子信息產業股份有限公司信息安全測評中心 云南 650000）

近年來信息技術發展日新月異，并已融入每個人的衣食住行和工作。社交通訊、出行導航、購物、娛樂音影、新聞閱讀等軟件應用無時無刻不在對用戶個人信息進行處理。同時，個人信息數據處理的流程較多，傳播具有隱蔽和復雜等特性，這為不法分子非法使用和販賣個人信息提供了便利條件。本文通過對我國個人信息安全現狀及個人信息安全的主要威脅進行分析，從個人信息控制者的角度，分析造成個人信息安全問題的根本原因，結合當前主流網絡安全技術和相關標準，對網絡環境下個人信息保護策略進行研究，并提出一些保護用戶個人信息安全的策略。

個人信息；個人信息控制者；個人信息保護策略

最近幾年不斷發生利用個人信息侵害公民人身財產安全事件，一系列因個人信息泄露導致的網絡電信詐騙案件發生后，全社會的關注再次聚焦于個人信息安全。個人信息安全保護形勢不容樂觀。

網絡環境下個人信息在收集、傳輸、存儲、使用、銷毀等信息處理環節中，個人信息控制者占據著主導地位，應當擔負個人信息安全保護的責任，制定個人信息保護策略，采取必要措施對個人信息進行保護，最大限度地保障社會公共利益和個人的合法權益。

1 我國個人信息安全現狀

1.1 個人信息泄露問題嚴重

此前，中國青年政治學院互聯網法治研究中心與封面智庫聯合撰寫《中國個人信息安全和隱私保護報告》，該報告是基于1048575份關于個人信息保護情況的問卷調查反饋的信息。《報告》披露，認為個人信息泄露問題嚴重的被調研者占比高達72%；每天收到垃圾短信2條以上的被調研者占比26%，近一個月每天收到騷擾電話2個以上的被調研者占比20%；曾接到過陌生電話且知道自己詳細個人信息的被調研者高達81%；因網頁搜索、瀏覽后被特定推銷廣告長期騷擾的被調研者占比達53%；電子信箱、QQ等通訊軟件、游戲等賬號密碼曾經被盜的調研者占比達40%。

1.2 販賣個人信息已成黑色產業

央視記者曾披露，販賣簡歷信息已經形成了黑色產業。很多人接到招聘類騷擾電話前都曾在招聘網站上傳過簡歷。招聘網站將公民的個人簡歷信息通過社交軟件進行販賣。目前在社交平臺等販賣集中地可購買到的個人信息主要有：物流單據信息、個人征信報告信息、定位信息、學籍檔案信息等幾大類，各類不同價值的信息均有明確價碼。

1.3 公民個人信息安全關注度高且普遍擔憂

2020年全國多家知名網絡安全行業協會和網絡安全相關民間組織聯合發起本年度全國網民網絡安全滿意度調查，調查結果顯示超過八成的被調查者對于侵犯個人信息的關注度極高，近半的被調查者認為自己的個人信息遭遇過侵害。

2 網絡環境下個人信息安全的主要威脅

通過中國裁判文書網檢索2016年1月1日至2020年12月31日間侵犯公民個人信息罪的刑事案件，共檢索到判決書7574篇，通過對該類判決書分析，發現網絡環境下個人信息安全的主要威脅是黑客竊取和個人信息控制者內部泄露。

2.1 黑客竊取

個人信息資源是一項無形資產，對個人信息資源收集、整理、加工、分析、開發和利用能帶來經濟效益。在經濟利益的驅使下，黑客通過網絡攻擊、病毒等手段竊取個人信息后進行販賣的情況時有發生。從對交通、電商、高校、大型國企、政府機構等重點行業機構遭受網絡黑客入侵的監測記錄數據看，黑客入侵重要信息系統竊取個人信息的情況逐年遞增，攻擊技術也越來越多樣化。黑客竊取已成為影響個人信息安全的一項主要因素。

2.2 個人信息控制者內部泄露

個人信息控制者在取得公民個人信息數據之后，予以非法利用的情況時有發生。侵犯公民個人信息罪的刑事案件中，被告人在工作過程中獲取到公民個人信息，然后進行售賣等違法處置的情況非常常見。獲取個人信息的被告人主要有利用職務之便的公職人員和利用工作便利能接觸到公民個人信息的服務行業人員（如酒店服務員、房屋中介、電商客服等）。

3 網絡環境下造成個人信息安全問題的根本原因

對近年來個人信息安全事件分析發現，網絡環境下造成個人信息安全問題的原因是多方面的，從個人信息控制者角度分析，客觀原因是個人信息數據生命周期長，保護難度大，主觀原因是涉及個人信息的信息系統（以下簡稱信息系統）自身脆弱性。

3.1 個人信息數據生命周期長

個人信息數據生命周期包括個人信息數據采集、保存、傳遞、使用、銷毀等處理的整個過程。采集是合法獲取個人信息（包括姓名、身份證、住址、職業、學歷、行程信息等）的過程；保存是個人信息數據在信息系統內保存的過程；傳遞是個人信息數據在網絡上傳遞的過程；使用是對個人信息數據進行加工處理、展示、轉讓等操作過程；銷毀是對個人信息數據進行刪除、銷毀的過程。個人信息數據生命周期的各環節，除信息收集外，每個環節都可能造成個人信息數據泄漏，因此個人信息數據保護的難度較大。

3.2 信息系統自身脆弱性

信息系統自身脆弱性使得系統無法抵御黑客竊取、個人信息控制者內部泄露等威脅，個人信息數據泄露的可能性增大。信息系統自身脆弱性主要體現在信息系統的技術防護體系不完善和個人信息管理體系不完善兩方面。

4 網絡環境下個人信息控制者對用戶個人信息保護策略

面對內外部的安全威脅，網絡環境下個人信息控制者保護用戶個人信息安全的核心思路是：建立信息系統脆弱性評估機制，及時發現信息系統在技術體系和管理體系方面的脆弱性；建立信息系統的技術防護體系，消除或降低系統自身技術方面的脆弱性；建立信息系統的管理體系，消除或降低系統自身管理方面的脆弱性。

4.1 建立信息系統脆弱性評估機制

信息系統脆弱性評估機制的目標是評估威脅源利用信息系統脆弱性后發生安全事件的可能性，以及產生的后果的嚴重程度，并結合資產的重要性來判斷信息系統的安全風險。并確定安全風險的應對策略。為建立技術防護體系和管理體系提供依據。

信息系統脆弱性評估要依據相關法律法規和技術標準并結合最新信息系統漏洞發現技術開展，可通過個人信息安全風險評估、網絡安全等級保護測評、漏洞掃描、滲透測試、軟件代碼審計等方式進行。

4.2 建立信息系統的技術防護體系

信息系統的技術防護體系的目標是建立統一的安全策略，抵御來自外部擁有較為豐富資源、有組織的團體的威脅源發起的入侵攻擊、重大自然災難災害，保障個人信息數據不被竊取、篡改和刪除。建立信息系統的技術防護體系包括保障物理環境安全、網絡通道安全、網絡邊界安全、計算節點安全幾個方面。

（1）保障物理環境安全需要建設符合相關要求的機房，保障機房具備物理訪問控制、防盜竊和破壞、防雷、防火、防水和防潮、防靜電等基本能力，防止未授權人員信息系統關鍵設備導致個人信息數據泄露，防止因自然災害導致個人信息數據丟失。

（2）保障網絡通道安全需要建立完善的網絡結構，合理劃分網絡區域，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。同時采用密碼技術建立安全的通信傳輸通道，在網絡傳輸通道建立第一道屏障，使個人信息數據在傳輸過程中不被竊取。

（3）保障網絡邊界安全需要建立較完善的網絡邊界完整性措施、網絡層訪問控制措施、網絡層入侵防范措施、網絡層惡意代碼防范措施，在網絡邊界建立第二道屏障，使系統能夠抵御來自外部的入侵行為。

（4）保障計算節點安全需要建立身份鑒別措施、設備及應用層訪問控制措施、設備及應用層入侵防范措施、設備及應用層惡意代碼防范措施、數據備份恢復措施、個人信息數據采集、保存和使用保護措施，在計算節點建立第三道屏障，使個人信息數據在采集、保存、使用過程中不泄露。

4.3 建立信息系統的管理體系

建立信息系統的管理體系的目標是建立完善的管理制度并保證管理制度能夠有效執行。建立信息系統的管理體系包括管理制度體系、機構設計、人員管理、信息系統建設期管理、信息系統運維期管理。

（1）管理制度體系需要制定個人信息安全保護工作的方針策略；建立涵蓋個人信息管理活動（個人信息數據采集、傳遞、保存、使用、銷毀等）中的管理制度和操作規范；形成由記錄表單、操作規范、管理制度、安全方針策略等構成的管理制度體系。

（2）機構設計需要明確個人信息安全管理活動的責任部門和崗位，定義各崗位職責，建立個人信息數據管理流程授權和審批機制，建立管理制度執行情況審核和檢查機制。

（3）人員管理需要規范個人信息保護關鍵人員的聘用、離職管理和個人信息保護意識培訓考核。

（4）信息系統建設期管理需要規范個人信息安全保護方案設計、個人信息安全產品采購和使用、涉及個人信息的應用軟件開發、測試驗收、供應鏈安全管理。

（5）信息系統運維期管理需要規范機房環境管理、個人信息資產管理、個人信息數據介質管理、個人信息設備維護管理、信息系統漏洞和風險管理、網絡惡意代碼防范管理、系統密碼管理、系統變更管理、個人信息數據備份與恢復管理、個人信息安全事件處置、個人信息安全事件應急預案管理、信息系統外包運維管理等。

5 結束語

個人信息保護關系每個人的衣食住行和工作，一旦個人信息被惡意人員非法使用，可能導致個人人身、財產安全受到威脅或遭遇歧視等不公正待遇。個人信息控制者應當履行法定義務，保障用戶個人信息安全。建議從建立信息系統脆弱性評估機制、建立信息系統的技術防護體系、建立信息系統的管理體系三個方面保護用戶個人信息安全。

[1]張金年. 我國大數據時代個人信息研究現狀與熱點分析[J].圖書情報導刊，2020（4）.

[2]王端瑞. 大數據時代我國個人信息的民法保護研究[J].西北民族大學學報，2020.

[3]栗倩. 大數據時代個人信息安全問題研究[J].法制與社會，2018．

[4]王利民.數據共享與個人信息保護[J].現代法學，2019.

[5]中國個人信息安全和隱私保護報告[R].

[6]GB/T 35273-2005.信息安全技術個人信息安全規范[S].

[7]JR/T 0171-2020.個人金融信息保護技術規范[S].

[8]中華人民共和國個人信息保護法（草案）[Z].