你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
咨询热线:400-838-9661
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 个人信息安全原则

个人信息安全原则范文

发布时间:2023-10-10 17:15:10

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇个人信息安全原则范例,将为您的写作提供有力的支持和灵感!

个人信息安全原则

篇1

中图分类号:D92 文献标志码:A 文章编号:1673-291X(2010)10-0087-02

收稿日期:2010-01-18

作者简介:基娟娟(1985-),女,江苏仪征人,学生,从事企业管理研究;沙彦飞(1968-),男,江苏淮安人,副教授,从事企业管理、管理伦理研究。

互联网的飞速发展使传统的个人信息生产、传播和利用方式产生了一系列深刻变革, 为个人信息的传播提供了一个前所未有的发展空间,同时也带来了许多新的信息安全问题,受到社会多方的广泛关注。个人信息安全不仅是技术问题和法律问题,也是伦理问题。

一、互联网个人信息安全现状

中国互联网络信息中心(CNNIC)2010年1月15日在京了 《第25次中国互联网络发展状况统计报告》。报告数据显示,截至2009年12月,中国网民规模达3.84亿,增长率为28.9%,中国手机网民一年增加1.2亿,手机上网已成为中国互联网用户的新增长点,个人信息呈现爆炸式增长。所谓“个人信息”,是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息。具体包括姓名、身份证号码、职业、学历、婚姻状况、收入和财产状况、家庭住址、电话号码、网上登录的账号和密码、信用卡号码等。信息安全问题包括由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。2009年3月15日,央视“3・15”晚会曝光了海量信息科技网盗窃个人信息的实录,给国人极大震惊。全国各地的车主信息,各大银行用户数据,甚至股民信息等等,在海量信息科技网上一应俱全,而且价格也极其低廉。买家仅仅花了100元就买到了1 000 条各种各样的信息,上面详细记录了姓名、手机号码、身份证号码等等,应有尽有。类似此例事件的披露,清楚地表明,个人信息安全不仅是技术问题和法律问题,也是伦理问题。加强网络信息伦理建设,越来越成为保障信息安全的一道屏障。

二、伦理问题分析工具

对网络个人信息安全中的伦理问题进行分析,需要运用一定的伦理理论,并在此基础上得出网络伦理的一般原则,以此作为理论分析工具。

1.权利论。权利可分为法律权利与道德权利。道德权利有两个方面:一是消极的权利和自由的权利,如隐私权,生命不被剥夺权、处置私有财产权等。二是积极的或福利的权利,包括受教育的权利、取得事物的权利、获得尊重的权利等。道德权利赋予个人自主、平等地追求自身利益的权利。道德权利是证明一个人行为正当性及保护或帮助他人的基础。权利论的道德原则是:当行为人有道德权利从事某一行为,或从事某一行为没有侵害他人的道德权利,或从事某一行为增进了他人的道德权利,则该行为是道德的。网民在进行网络消费时,享有以下权利:人身、财产安全不受损害的权利;个人隐私、信息不受侵犯的权利;公平交易的权利;人格尊严、民族风俗习惯得到尊重的权利等。

2.利益相关者理论。利益相关者是指可能对组织的决策和活动产生影响或可能受组织的决策和活动影响的个人、群体和组织。网络主体,包括开发商、运营商等网络从业者,对其负有道德义务的所有人可以统称为利益相关者。对于网络主体而言,网络用户,即网络消费者是其最主要的利益相关者。利益相关者分析考虑的是这样一个问题:为了使网络主体在任何情况下都能履行其义务,权衡那些有权对网络主体提出利益要求的人对网络主体提出的具有竞争性的要求。利益相关者分析并不否定网络主体利益高于其他利益相关者的利益,但是这种分析方法却要保证所有受影响的方面都会被考虑到。

3.伦理原则。以人为本原则。以人为本的原则就是要尊重人、关心人、促进人的自由而全面的发展。它是以利益相关者理论以及道德权利论为基础的。网络主体应真切地关注并尽可能满足网络消费者的合理要求,从而在他们的支持下得到发展,而消费者则可以从与网络主体的交往中得到物质和精神上的满足;网络主体应该努力开发生产出对社会有益的产品或服务,使网络主体的发展成果惠及于民。并且在可能的情况下,支持社会的福利事业,做一个好的“网络主体公民”。

公平公正原则。每个人都有独立平等的人格尊严,所以在享有正当自由权利的同时也应平等待人、尊重他人的正当权利。公平公正要求网络主体与利益相关者之间互利互惠,达到“双赢”的局面,只有互利互惠,网络主体与他们的合作关系才能维持下去,从而网络主体才可以发展下去。

诚实守信原则。诚信原则是网络主体经营之本,它可以促进网络主体与利益相关者长期、可靠的合作从而促进网络主体的生存和发展。诚实守信原则要求讲真话,不欺诈,“货真价实,童叟无欺”,一诺千金,说话算数。

三、基于互联网的个人信息安全伦理问题分析

网络社会是一个通过计算机之间的协同运作, 以实现资源共享、实时交往等社会生活的全新的生存空间。在这个“虚拟社会”中, 传统伦理道德的社会基础发生了巨大的变化, 人们的伦理观、价值观也发生了改变。互联网环境下,个人信息安全伦理问题主要有三个方面:

1.未经允许,在网络上披露他人隐私。互联网上披露、传播他人隐私的途径有发送电子邮件、聊天室、新闻组等方式,非法将他人隐私暴露。隐私权是公民个人生活不受他人非法干涉或擅自公开的权利, 它意味着尊重个人的自主、自由以及对他人正当行为的尊重。互联网的开放性和网络数字化符号的通用性对个人隐私权的保护提出了严峻的挑战。有些专门搜集个人隐私的网络主体受利益的驱动, 会利用各种技术手段将存放于数字系统中的个人信息汇总后出售给供应商, 导致个人信息的失控,如,知名明星中陈冠希的艳照门事件,就在社会上引起了很大的风波。

2.窥视、篡改他人的电子邮件。比起传统邮政,电子邮件有一点和它是相同的:电子邮件也有安全问题。如果邮件没有采取加密措施,它就可能被他人窥视,有篡改的可能。目前,人们对进行密码加密保护的邮件还是倾向于信任的。但是个人的通信还是存在着极有可能被黑客和ISP网络主体截取,以致造成个人生活安宁被侵害的情况。

3.个人数据的二次开发利用。个人数据的二次开发利用是指商家利用用户登记的个人信息,建立起综合的数据库,从中分析出一些个人并未透露的信息, 进而指导自己的营销战略。提供免费邮箱的网络服务商,已经将用户在申请邮箱时提供的个人数据进行了收集和二次开发,出售给别的商家使用。服务商将用户的邮件地址非法提供给其他机构,使其电子邮箱经常被垃圾邮件所塞满,造成客户个人隐私或商业机密的泄露。这种情况与私拆他人信件、侵犯他人通信秘密没有本质区别。

四、基于互联网的个人信息安全的伦理对策

1.技术措施保障。努力开发更先进的网络技术,增加网络的安全性,也是保护个人信息安全和网络隐私不容忽视的一个方法。加强网络社会技术上的安全性对于保护个人信息安全是至关重要的一步。数据加密技术是网络社会最为普遍的技术,目前关于除了口令设置等加密技术用于规范网络社会中出现的伦理问题已成为趋势。加密技术利用其特有的技术特点,可以有效地防止一些重要信息被篡改 、复制 、污染等起到了重要的作用。

2.提高网络个人用户的安全意识与道德素质。除了在网络主体层次采用最大限度的技术装备,加强技术方面的措施以外,用户也应该意识到自己所负的使命。网民们使用某些网站功能或参加一些网络调查时,均会被要求填写一些个人信息,尽管多数网站声称绝对为网民保密,不将个人信息提供给任何“第三者”,但网站“保护用户隐私”方面的条款更多时候是推卸责任的免责声明,看上去每个网站都有长长一大篇保护网民隐私的条款,但其中真正保护网民隐私的部分却含糊其词。

3.提高网络主体从业人员道德素质。保护网络用户的个人信息安全和网络隐私,网络主体从业人员的自律十分重要 。保护网络用户的个人信息安全和网络隐私是商业网站应尽的义务,商业网站应承诺并保证做到如下:如果网络用户对网站的信息安全、信息使用措施感到不安,可以随时删除自己提供给网站的详细资料;在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其他目的;除非在事先征得网络用户同意或为网络用户提供所需服务的情况下,网站不向任何人出售网络用户的个人资料或提供网络用户的任何身份识别资料给任何的第三人以供行销使用。

4.制定网络规范。目前很多网络主体在从事网络信息服务时,面对各种行为选择时会茫然不知所措。有必要加强网络规范,建立信息技术使用者的道德准则,要求信息使用者不应非法干扰他人信息系统的正常运行; 不应利用信息技术窃取钱财、智力成果和商业秘密等; 不应未经许可而使用他人的信息资源等。当为他们提供了相应的伦理准则, 建立明确的网络行为规范, 个体才能比较容易地做出是非评判,才能逐渐树立伦理意识;而一旦树立了良好的信息伦理意识,它将成为行为主体的内在自觉,即自己为自己立了法,将来面对新的伦理问题时也会自动地设定自己的行为准则。

五、结论

网络个人信息安全的伦理安全问题需要全社会共同的关注。当信息法律继续建立,技术更加成熟,网络主体更加自律更加诚信,网络规范更加完善,中国互联网中的个人信息安全问题才会得到有效解决,网络经济才能快速、健康地发展。

参考文献:

[1]周祖城.企业伦理学[M].北京:清华大学出版社,2005.

[2]苏勇.现代管理伦理学[M].北京:石油工业出版社,2003.

篇2

从基本概念进行分析的话,首先,个人信息的主体是公民,根据我国宪法规定,凡具有中华人民共和国国籍的人都是中华人民共和国的公民,国家尊重和保障人权,任何公民享有宪法和法律规定的权利,同时必须履行宪法和法律规定的义务。通过法律规定我们可以了解到,个人信息的主体并不仅限于居住在国内的中国公民,还包括获得中国国籍的外国人和无国籍人士,在这些人的个人信息权受到不法分子侵害时,一律享有我国刑法的保护。其次,关于个人信息的解读,各学派一直存在着争议,无论哪种观点,都没办法准确涵盖个人信息的全部。笔者认为,公民个人信息是公民个人所拥有的,能够直接或间接的识别本人的特定资料所反映出的内容。如姓名、性别、年龄、身高、体重、肖像、身份证号码、职业、教育状况、联系方式、家庭背景等等和本人人身密切相关的信息,还包括着隐私范畴内的如既往病史、财产收入等信息。与此同时,对于个人信息的定义,还需要根据社会的发展,在日后的立法过程中进一步完善。

(二)公民个人信息的法律属性

在公民个人信息的保护中,其法律属性一直颇具争议,成为法学界研究的重点。就目前来说,关于个人信息的法律属性,主要有三种观点:一是所有权学客体说,他们认为个人信息具有实际利用价值,所有者对其具有支配权,可以作为商品买卖出售,从而为信息的所有者带来经济上的收益,具备财产属性,因此被列入所有权范畴;二是以隐私权客体说,认为个人信息属于个人隐私,个人隐私包含个人信息,在这方面美国是最早将个人信息纳入隐私范畴进行立法的国家,比如《隐私权法》和《联邦电子通讯隐私权法案》中对个人信息都有详尽的保护措施;三是人格权客体说,将个人信息划分到人格权中,认为保护公民的个人信息安全就是维护公民作为人最基本的尊严,体现的是公民个人的人格利益,因此应该受宪法和其他法律的严格保护。

(三)公民个人信息与相关概念的区别和联系

公民的个人信息涉及内容较广,和很多专有名词的概念都有着相似之处,通过分析,笔者主要将目光集中在个人隐私上面。个人隐私指私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开。比如我国在《侵权责任法》中明确规定:“未经公民许可,公开其姓名、肖像、住址和电话号码”以及“私拆他人信件,偷看他人日记,刺探他人私人文件内容,以及将他们公开”等行为,都属于侵犯公民的隐私权。由此可见,个人隐私大多是公民不希望被外人所知的、敏感的信息,而个人信息不仅包括禁止他人干涉的敏感信息,还包括可以向大众公开的信息。因此,个人信息与个人隐私是两个相互交叉,又在外延方面相互区别的名词概念。就对公民的立法保护工作来说,个人信息的保护比个人隐私的保护更加全面。

二、公民个人信息安全的法律保护现状

(一)公民个人信息安全受侵害的具体表现

当今社会,互联网的使用,让人们的生活被手机、电脑等各种电子产品包绕,在这种大环境下,人们在从事购物、交友、出行、入住宾馆等各种社会活动时,很多情况下都会将自己的个人信息告知与商家,进行登记,这就造成了个人信息泄露的可能和隐患。对于商家而言,信息就是资源,信息就是商机,那么利用信息进行违法犯罪的活动就应运而生了。一些机构疏于管理再加上一些不法分子的违法犯罪行为,致使我国公民信息泄露的情况非常严重,大量兜售车主房主信息、大学毕业生应聘人员信息、商务人士信息、患者信息、电信用户信息的现象在社会上层出不穷,一些商家将自己搜集到的客户信息进行出售,甚至形成了一个新兴的“信息倒卖”产业。商家利用这些信息进行推销,违法犯罪分子利用这些信息进行诈骗,甚至通过“人肉搜索”对当事人进行名誉侵害,通过某些编程窃取网银密码盗取用户存款等等,这些行为已经严重影响到人们正常的工作和生活,应当给予严厉的打击和制裁。

(二)现有法律对公民个人信息安全的保护

宪法、民法、行政法和刑法是构建我国法律框架的四个关键部位,对于公民个人信息安全保护的相关法律法规,也应该由这四个方面进行分析。首先是国家的根本大法———宪法明确规定:“公民个人尊严不容侵犯,任何侵犯公民的行为都要受到法律制裁。”这一规定虽然没有出现“个人信息”的字眼,但个人尊严与个人信息紧密相关,从此种意义上来讲,宪法对公民的个人信息安全提供了原则性的保护;其次是民法,对与公民的个人信息有关的姓名权、名称权、肖像权和荣誉权做出了相关的司法解释,任何人如果侵害公民的这四项权益,都将受到民法的制裁;另外,涉及公民个人信息保护的行政法近些年才开始颁布施行,有《居民身份证法》、《物业管理法》、《电信条例》等等;直到《刑法修正案(七)》的出台,才首次将侵害公民个人信息安全的行为定罪入刑,填充了我国刑法保护公民个人信息的空白。

(三)刑法保护公民个人信息安全的必要性

刑法作为法律的最底线,只有在其他法律都无效的前提下,才会实行刑事处罚,给予犯罪分子最沉重的打击。在我国现有阶段,对公民的个人信息安全的相关法律的制定还不到位,虽然宪法、民法以及行政法都对公民的个人信息安全保护有所涉及,但通过施行效果可知,宪法作为国家的根本大法,其中的法律条文尽是原则性的规定,没有触及到根本,仅仅提供了一些原则性的间接性的保护;民法虽然明确提出了对姓名权、名称权、肖像权以及名誉权的保护,但公民的个人信息涉及的内容远远不止于此,过于零散的法律规定,削弱了民法的可操作性,针对公民个人信息的犯罪行为得不到应有的制裁;行政法对于破坏公民个人信息安全的实施主体限制范围相对狭小,主要针对行政机关人员,而且处罚力度较小,不能对公民的个人信息提供全方位的保护。因此,加强刑事立法,对公民的个人信息安全保护有着显著的现实意义。

三、公民个人信息安全的刑法完善建议

(一)明确公民个人信息的概念和犯罪主体范围

要解决公民个人信息安全的刑事立法问题,首先要明确个人信息的基本概念和犯罪主体范围。现阶段,我国在这方面的刑事法律还不够完善,新出台的《刑法修正案(七)》中规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”虽然指出犯罪对象是公民的个人信息,但同宪法、民法、行政法一样,没有对公民的个人信息做出具体的解释,不管是公开信息还是属于个人隐私的信息,在量刑规定中没有针对不同的犯罪情节做出清晰的界定,以至于不法分子得不到相应的惩罚。同时,在条文规定中使用“等”字,也让犯罪主体模糊化。为了避免法律上的漏洞,给犯罪分子以严厉的打击,明确公民个人信息的概念以及犯罪主体的范围,是当前完善刑法的重中之重。

(二)根据犯罪的行为和情节细致刑罚

《刑法修正案(七)》中,第七条增设了出售、非法提供公民个人信息罪及非法获取公民信息罪,根据刑法规定,区别本罪“罪与非罪”的界限就是情节是否严重。而根据我国的立法情况来看,当前并没有任何法律条文对情节是否严重划分出明确的界定范围。因此,在裁判过程中,对于“罪与非罪”就存在争论,司法机关必须根据案情酌情评判情节的轻重,给司法机关的案件处理带来不小的难度。如果出台的法律能够将犯罪行为细致量化,司法机关审判案件的压力将会大大减小,比如立法机关可以根据公民个人信息被出售的份额,或者非法提供公民个人信息所得利益对刑事处罚的幅度进行划分,份额由小到大对应犯罪情节由轻到重,相应的刑罚也会逐渐增加,尤其是给当事人带来重大人身或财产损失时,犯罪行为更不可姑息。如此一来,犯罪主体都能够得到与之犯罪情节相对应的惩罚,不会出现钻法律漏洞的现象,实现司法的公平性。

(三)构建立法司法执法部门工作一体化机制

在保护公民个人信息安全的过程中,必须要贯彻“有法可依、有法必依、执法必严、违法必究”的基本要求。因此,首先从立法层面上讲,立法机关要深入社会调查,根据实际情况构建法律条文,尤其要充分听取群众的意见和建议,对于刑法的完善有着积极的现实意义;其次从执法层面而言,公安机关要严格按照法律规定处理对公民个人信息进行侵害的犯罪分子,绝不姑息养奸,让犯罪分子有机会逃脱法网;从司法层面来说,法院及检察院在裁定犯罪结果的过程中,要秉承公平公正的原则,给受害者一个满意的答复。同时,立法、执法、司法机构要互相监督,互相制约,才能有效打击此类犯罪。

(四)借鉴学习国外在公民个人信息保护方面的立法经验

在公民的个人信息安全保护中,不仅要完善刑法,宪法、民法、行政法都要同时完善,只有构建完备的法律体系,才能为公民的个人信息安全提供坚实的堡垒。将来随着立法的逐步完善和条件的逐步成熟,借鉴国外的先进经验无疑是明智的选择。从立法模式上,笔者比较倾向于以德国为代表的统一交叉立法模式,制定专门的法律条案,对公民的个人信息进行整体归类,同时视情节轻重给予相应的处罚措施,避免了法律零散化带来的不便。

篇3

中图分类号:G206 文献标识码:A 文章编号:1672-8122(2014)08-0033-02

伴随着科技进步,互联网及移动互联网的快速发展,云计算大数据时代的到来,人们的生活正在被数字化,被记录,被跟踪,被传播,大量数据产生的背后隐藏着巨大的经济和政治利益。大数据犹如一把双刃剑,它给予我们社会及个人的利益是不可估量的,但同时其带来个人信息安全及隐私保护方面的问题也正成为社会关注的热点。今年两会期间,维护网络安全被首次写入政府工作报告。全国政协委员、联想集团董事长兼CEO杨元庆也在会议上呼吁“政府对个人信息安全立法,加强监管,并在整个社会中树立起诚信文化”。大数据时代下维护个人安全成为重中之重。

一、大数据时代下个人信息受到侵犯的表现

(一)数据采集过程中对隐私的侵犯

大数据这一概念是伴随着互联网技术发展而产生的,其数据采集手段主要是通过计算机网络。用户在上网过程中的每一次点击,录入行为都会在云端服务器上留下相应的记录,特别是在现今移动互联网智能手机大发展的背景下,我们每时每刻都与网络连通,同时我们也每时每刻都在被网络所记录,这些记录被储存就形成了庞大的数据库。从整个过程中我们不难发现,大数据的采集并没有经过用户许可而是私自的行为。很多用户并不希望自己行为所产生的数据被互联网运营服务商采集,但又无法阻止。因此,这种不经用户同意私自采集用户数据的行为本身就是对个人隐私的侵犯。

(二)数据存储过程中对隐私的侵犯

互联网运营服务商往往把他们所采集的数据放到云端服务器上,并运用大量的信息技术对这些数据进行保护。但同时由于基础设施的脆弱和加密措施的失效会产生新的风险。大规模的数据存储需要严格的访问控制和身份认证的管理,但云端服务器与互联网相连使得这种管理的难度加大,账户劫持、攻击、身份伪造、认证失效、密匙丢失等都可能威胁用户数据安全。近些年来,受到大数据经济利益的驱使,众多网络黑客对准了互联网运营服务商,使得用户数据泄露事件时有发生,大量的数据被黑客通过技术手段窃取,给用户带来巨大损失,并且极大地威胁到了个人信息安全。

(三)数据使用过程中对隐私的侵犯

互联网运营服务商采集用户行为数据的目的是为了其自身利益,因此基于对这些数据分析使用在一定程度上也会侵犯用户的权益。近些年来,由于网购在我国的迅速崛起,用户通过网络购物成为新时尚也成为了众多人的选择。但同时由于网络购物涉及到的很多用户隐私信息,比如真实姓名、身份证号、收货地址、联系电话,甚至用户购物的清单本身都被存储在电商云服务器中,因此电商成为大数据的最大储存者同时也是最大的受益者。电商通过对用户过往的消费记录以及有相似消费记录用户的交叉分析能够相对准确预测你的兴趣爱好,或者你下次准备购买的物品,从而把这些物品的广告推送到用户面前促成用户的购买,难怪有网友戏称“现在最了解你的不是你自己,而是电商”。当然我们不能否认大数据的使用为生活所带来的益处,但同时也不得不承认在电商面前普通用户已经没有隐私。当用户希望保护自己的隐私,行使自己的隐私权时会发现这已经相当困难。

(四)数据销毁过程中对隐私的侵犯

由于数字化信息低成本易复制的特点,导致大数据一旦产生很难通过单纯的删除操作彻底销毁,它对用户隐私的侵犯将是一个长期的过程。大数据之父维克托・迈尔-舍恩伯格(Viktor Mayer-Schonberger)认为“数字技术已经让社会丧失了遗忘的能力,取而代之的则是完美的记忆”[1]。当用户的行为被数字化并被存储,即便互联网运营服务商承诺在某个特定的时段之后会对这些数据进行销毁,但实际是这种销毁是不彻底的,而且为满足协助执法等要求,各国法律通常会规定大数据保存的期限,并强制要求互联网运营服务商提供其所需要的数据,公权力与隐私权的冲突也威胁到个人信息的安全。

二、大数据时代下个人信息安全保护的措施

(一)将个人信息保护纳入国家战略资源的保护和规范范畴

大数据时代个人信息是构成现代商业服务以及网络社会管理的基础,对任何国家而言由众多个人信息组成的大数据都是研究社会,了解民情的重要战略资源。近年来大数据运用已经不再局限于商业领域而逐步扩展到政治生活等方方面面。国家也越来越重视通过对大数据的分析运用从而了解这个社会的变化以及人民的想法,甚至从中能够发现很多社会发展过程中的问题和现象,这比过去仅仅依靠国家统计部门的数据来的更真实全面,成本也相对较小,比如淘宝公布的收货地址变更数据在一定程度上揭示了我国人口的迁移,这些信息对于我国的发展都是至关重要的。

因此将个人信息保护纳入国家战略资源的保护和规划范畴具有重要的意义。2014年政府工作报告首次提出了“维护网络安全”这一表述意味着网络安全已上升国家战略。这是我国在大数据时代下对个人信息保护的重要事件,也具有里程碑的意义。

(二)加强个人信息安全的立法工作

大数据时代对个人信息安全保护仅仅依靠技术是远远不够的,关键在于建立维护个人信息安全的法律法规和基本原则。这方面立法的缺失目前在我国是非常严重,需要积极推动关于个人信息安全的法律法规的建立,加大打击侵犯个人信息安全的行为。2014年两会期间全国政协委员、联想集团董事长兼CEO杨元庆呼吁政府加强对个人信息安全的立法和监督,引起了社会各界广泛关注和重视,这充分说明这个问题已经成为一个重要的社会问题。我本人对个人信息安全立法工作有以下几点建议:第一,必须在立法上明确个人信息安全的法律地位。个人信息安全与隐私权“考虑到法律在一般隐私权上的缺乏,要对网络隐私权加以规范就有必要先完善一般隐私权的规定,因此首先应通过宪法明确规定公民享有隐私权。[2]”第二,必须从法律上明确采集数据的权利依据。由于在数据采集过程中经常发生对个人信息的侵害,因此无论是政府还是互联网运营服务商都必须遵循一定的原则和依据。政府采集数据的行为应该符合宪法的要求,而互联网运营服务商采集数据必须要经过当事人同意。第三,制定关于个人信息安全的专门法律。2003年国务院信息办就委托中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿。2005年,最终形成了近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但到目前为止我国的个人信息保护法仍没有立法,因此加快这个立法过程是当务之急。

(三)加强对个人信息的行政监管

大数据时代下个人信息及隐私都具有很高的经济价值,许多商业机构利用这些都能够谋取很高的商业利益,因此政府对于个人信息的监管就显得尤为重要,具体来说就是应该制定关于大数据的个人信息安全标准。

我国已于2013年2月1日起实施首个个人信息保护国家标准――《信息安全技术公共及商用服务信息系统个人信息保护指南》。该标准最显著的特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。这充分标志着我国对个人信息行政监管上了一个新台阶。

(四)加强对个人信息的技术保护

技术手段是对个人信息最直接的保护方式,也是法律手段的重要补充。在法律法规还没有完善的情况下,技术保护成为个人信息保护最主要的方式。但是我们看到现代技术发展非常迅速,侵权者们的水平也迅速提高,过去的许多技术保护手段都已被一一破解,这给我国的信息产业界提出了很高的要求。为此国家和社会各界应该充分重视信息技术的创新开发,培养技术人才,提高我国信息技术水平从而为个人信息保护提供保障。

(五)加强行业自律与监管

行业自身的相互监管监督是个人信息安全保护最有效也是成本最低的方法。因此相关部门应该组织涉及大数据的企业成立相关的行业组织了,并制定行业内部的标准或公约,以及相互监督的权利和义务,并为这些行业组织提供相应的资金和政策的支持。

大数据时代的到来极大地促进整个社会的发展。大数据在各行各业中的运用,使我们精确地了解到过去通过抽样调查很难了解的许多东西,让我们更深刻地认识了这个社会,从而更进一步改善这个社会。我们不应该否认大数据带来的益处,同样我们应该使这种益处最大化。但大数据带来的对个人信息安全的威胁我们也应该有着充分的认识。保护个人信息不仅是对社会每个成员的保护,更是对国家安全以及社会长期持续健康发展的保护。

参考文献:

[1] (英)维克托・迈尔-舍恩伯格著.袁杰译.删除――大数据取舍之道[M].杭州:浙江人民出版社,2013.

篇4

二、分析个人信息安全的技术问题

随着不断发展的科学技术,越来越多的新业务集成在移动终端之上,对信息安全来说,部分的新业务是有其特殊的要求的,新的安全隐患可能伴随着用户的部分新的业务。例如移动终端集成了定位业务,其自身的位置信息时可以随时随地获得的,而个人用户的私密信息也是包含位置信息的;例如移动终端集成了生物识别的技术,则可以记性保护用户的个人信息的,但是在终端设备上同样会缓存生物识别的信息的,所以移动终端具备定位业务是有特殊的要求的,尤其是在对于信息安全方面。不存在绝对安全的软件系统,应在做好相关工作的同时规避不同的风险,可从以下几方面来实施防范个人信息安全受到威胁:

(1)应用程序的权限进行限制。

安装应用程序的时候,该应用程序的最小权限必须得以确认,应遵循的原则是最小权限的原则,将大大降低受到恶意软件攻击的可能性。但是对于不一定懂得如何验证是否合理权限要求的应用程序的广大普通用户,用户在大多数情况下对于系统所要求的权限会直接授予。所以则需要在设定权限或申请权限时的开发者,使最小权限的原则严格的执行。

(2)认证程序应用。

最有效的手段之一就是认证并防范恶意的程序。审查相关的代码经过应用程序以及完整的测试,可得到权威机构的认证并确认其合理的使用权限,这力的防范了恶意程序。

(3)设置数据信息的加密功能。

用户在使用浏览具有个人隐私性质的信息或是应用时,硬通过设置一系列的登录用户口令来使某些移动智能终端的功能解锁,以减少威胁安全的情况发生。

(4)备份私有数据以及做好防护措施。

用户在使用私有数据时,应提早及时的做好数据的备份以及防护措施能,以免在数据发生损毁或是泄漏时能够有效的找回,而且做好数据的防护措施例如密码找回。则可防止信息的二次泄露以免造成巨大的损失。

篇5

计算机软件产品成为世界的核心和灵魂

        (一)计算机软件产业成为战略性新兴产业工信部软件服务业司司长陈伟表示:“今天,很多人提出了SDN(软件定义网络)、SDD(软件定义数据中心)、SDS(软件定义系统),而我认为,软件可以定义世界(SDW),软件应该成为世界的核心和灵魂,成为信息消费的引擎和重要内容。”[1]软件产业在我国国民经济中具有重要的战略地位,随着大数据、物联网、移动互联网的兴起与广泛运用,软件产品已经覆盖人民生产、生活的各个领域,逐渐成为重要的民生物品。软件产业个人信息保护不仅关系到本产业的发展,关系到国民高品质智能化生活,而且对于整个信息产业的长远发展,对于信息消费市场的培育与推动,对于“宽带中国”战略的实施,对于国家信息安全的保障具有重要的战略意义。

 

(二)计算机软件产品的界定

 

技术业已变革,整个社会都在地动山摇发生着巨大的变化,如果法律制度仍然固守两千年前的传统理论,秉持“祖宗之法不可变”的陈词滥调,那么法律制度必定束缚生产力的发展,并必然地被技术的迅猛发展而冲破。从物和产品的发展趋势来看,随着社会经济高速发展,物与产品的观念均有扩展之势[7]。世界各国出于对消费者权益的保护,不再对已经以“产品”的形式流通的计算机软件“视而不见”,纷纷以“计算机软件产品”称呼之,并开展相关立法规范。

 

TRUSTe认证工作主要涵盖以下几个方面。

 

1.初始认证

 

当网站为获得TRUSTe 的认证而提交了正式的申请表后,TRUSTe 将检查申请网站,看它是否符合程序原则(Program Principles)。其目的是为了确保该网站的隐私政策,明确指出哪类个人信息被收集、谁在收集、为何目的收集、如何使用以及与谁共享等。如果网站符合TRUSTe关于隐私保护的认证要求,TRUSTe就会授予该网站隐私图章,允许在其网站主页上张贴TRUSTe的隐私图章标志。

 

2.后续监督

 

当申请网站成为会员后,TRUSTe就会定期检查网站,确保网站的行为符合它公布的隐私声明,并且检查网站隐私声明的变动。初始认证和后续监督都是在网站事先不知道的情况下,通过提交特定标志符到网站来跟踪该站点个人信息的使用,并监控结果,以此来确定其信息收集使用行为是否与该站点的隐私声明相符合。

 

3.争端解决

 

当消费者认为网站侵犯其隐私权,而就隐私侵权问题不能得到会员网站恰当处理时,TRUSTe为其提供一种在线的争端解决服务,即所谓的看门狗争端解决方法(Watchdog Dispute Resolution Process)。一旦TRUSTe针对涉嫌侵犯隐私而被消费者投诉的网站作出最终决定,网站必须执行,否则其所获得的隐私图章将被取消,并被列入“不守规矩的网站”的名单中,TRUSTe甚至通过适当的途径向相关的法律权威部门提起诉讼,如美国贸易委员会或者消费保护机构等。这样的争端解决程序逐渐为TRUSTe 树立了一定的威信。

 

(二)日本个人信息保护评价制度评析

 

日本早在1998年由非官方第三方机构日本情报处理开发协会(Japan Information Processing Development Corporation,JIPDEC)建立了Pmark认证制度,2005年日本《个人信息保护法》的实施,极大地推进了企业参与个人信息保护认证。

 

软件及信息服务业个人信息保护评价体系(PIPA)评价的对象主要是企业,其初衷在于帮助以软件和信息服务业为主的企业建立个人信息保护制度,使得企业有能力在2005年日本《个人信息保护法》实施后继续承接日本软件外包业务。通过PIPA评价的企业可以得到个人信息保护合格证书和PIPA标志使用权。具体而言,大连个人信息保护评价制度包括以下几个方面。

 

1.评价机构

 

软件及信息服务业个人信息保护评价机构为大连软件行业协会,下设个人信息保护工作委员会、PIPA办公室和评价专家组。

 

PIPA办公室主要负责PIPA文件管理和事务性工作,负责PIPA受理及投诉,负责评价员的聘任及管理工作,PIPA办公室下设培训教育部门,负责个人信息保护企业培训和评价员培训、考核。

 

个人信息保护工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善,负责PIPA申批、投诉及事故处理结果的审批,负责对PIPA的监督及聘任评价员的审批等工作。工作委员会下设:标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定;仲裁组负责投诉及事故的调查及处理;宣传推广组负责PIPA宣传推广;国际交流组负责国际间的交流与合作;教育培训组负责个人信息保护人才的教育、培养研究及试点,开展个人信息保护人才培养工作。

 

2.评价依据

 

大连软件行业协会在全国率先开始制定软件及信息服务业的个人信息保护标准,即《规范》,经过多年的实践,在大连市的地方标准的基础上,形成了辽宁省的个人信息保护“省标”《辽宁省软件与信息服务业个人信息保护规范》DB21/T 15222007、《个人信息保护规范》DB21/T 16282008和辽宁省地方标准《信息安全个人信息保护规范》DB21/T 1628.12012。目前大连软件行业协会已经通知自2014年6月1日起正式实施《信息安全个人信息保护规范》,即2012版标准替代目前实施的2008版标准[10]。

 

3.评价流程

 

个人信息保护评价流程包括申请、受理、文件审查(前期审查)、现场审核、公示15天、审批、颁发合格证和标志等几个环节[11]。个人信息保护评价申请的前提是申请评价的企业按照《规范》的要求建立企业个人信息保护制度,经过三个月运行的检验,在这期间没有发生任何涉及个人信息保护的重大事故,方得以开展评价申请。

 

4.评价监督管理

 

通过个人信息保护认证的企业并非一劳永逸,大连软件行业协会对于通过认证的企业具有监督管理的权利。大连软件行业协会对于通过认证的企业可以采取抽查的方式进行监督管理,对于抽查不合格的企业,将限期整改,整改后仍然无法达到相关标准的企业,则取消其使用个人信息保护合格证书和PIPA标志的资格。同时,大连软件行业协会在接到重要举报和投诉时,可对认证企业进行复审,复审不合格的企业同样取消其使用个人信息保护合格证书和PIPA标志的资格。

 

5.证书与标志

 

通过个人信息保护认证的企业,由大连软件行业协会颁发个人信息保护合格证书、PIPA标志,证书和标志在两年内有效。

 

值得一提的是,由于大连行业协会与日本情报处理开发协会签署了互认合作协议,即通过大连PIPA认证的企业受到日本情报处理开发协会的个人信息认证体系Pmark认可,无需再另行申请日本Pmark认证,因此,通过大连行业协会个人信息保护认证的企业还可以获得PIPAmark互认标志。

 

(四)中美日个人信息保护评价制度比较及启示中美日的个人信息保护评价制度各具特色,三者的共同点在于均是出于对用户个人信息和隐私的保护而构建的一整套认证制度,均是以非官方组织为主导开展的评价认证,三者的差别在于:

 

从评价的地域范围来看,由于互联网的无国界性,以TRUSTe为代表的美国个人信息评价制度目前已经发展成为一个全球性的认证体系,并不局限于仅对美国的网站开展认证业务;日本的Pmark个人信息评价体系则是针对日本的企业开展认证服务,是日本国家级的认证体系,但不针对国外的企业开展认证;大连的PIPA评价体系最初仅仅局限于针对大连市的企业,而且是对软件和信息服务业的企业开展评价,现在逐步向全国范围内扩大。

 

(一)软件产品个人信息安全认证标准

 

软件产品个人信息安全认证标准是软件产品个人信息安全认证最基本的依据,放眼全球,目前尚无一个针对软件产品个人信息安全认证的标准,只有类似针对整个企业的个人信息保护管理系统的标准、针对软件和信息服务业整个行业的个人信息保护规范、针对网站的隐私认证标准,而缺乏针对最直接收集个人信息的计算机软件产品的个人信息安全认证标准。

 

(二)软件产品个人信息安全认证流程

 

建立软件产品申请个人信息保护认证流程,对于符合个人信息保护法律收集、利用和处理的软件产品,经审查合格的,颁发软件产品个人信息保护合格证书与标志。该软件产品的开发者和利用者可以在其上注明个人信息保护合格标志,以告知用户,增加用户对其的信赖感。软件产品个人信息安全认证流程与软件企业的个人信息保护认证并不相同,前者注重的是软件产品是否合法收集利用用户个人信息、是否保障用户个人信息安全,而后者强调的是企业个人信息保护管理体系的建立以及对于个人信息保护的政策。

 

本研究结合国内外隐私认证和企业个人信息保护评价的流程,对软件产品个人信息安全认证流程初步设计如下。

 

1.申报

 

欲进行个人信息保护认证的软件产品开发者或生产者、经营者作为申请单位需填写《软件产品个人信息安全认证申请书》及相关附件材料呈交评价机构。

 

2.资料审查

 

由评价机构对申请单位提交的《软件产品个人信息安全认证申请书》及相关附件材料进行审查,审查合格者制作审查合格报告,并进入软件信息保护评估阶段,不合格者返回补正。

 

3.软件信息保护评估

 

资料审查合格的单位向评价机构提交软件产品样品一份,由评价机构利用技术手段针对软件的安全性进行测试,包括软件产品的信息安全、软件产品的运行机制、软件产品对于用户个人信息的收集利用情况等方面,并由专家组进行评估,最终形成评价报告。通过者进入审核阶段;未通过者,申报单位按照专家组的评价意见进行一次改进完善,改进完善后重新进行评估,如仍不能通过,则出具评估不合格报告,若未进行实质性修改完善,不得再申请进行个人信息安全评价。

 

4.审核

 

依据专家组形成的评价报告,评价机构进行审核,而后签署最终审核意见。评价机构对通过审核者公示10个工作日,其间如没有实质性异议,则正式通过审核并予以公告,颁发“软件产品个人信息安全合格证书”及认证标志。

 

篇6

一、网络个人信息安全现状

 

当今,随着计算机和网络技术的发展,个人数据资料被越来越广泛地收集和使用,各行业的内部和跨区域的私人数据资料交换也正在加速进行。而且网上交易和电子商务的发展,个人信息网上流通日益频繁,加上“产业化”的一个明显标志是病毒制造者从单纯的炫耀技术,转变为以获利为目的。个人信息被泄露、被非法窃取滥用已经到了相当严重的地步,因此网络上个人信息安全问题已经日益凸显。

 

很多网络用户对个人信息安全保护意识并不强烈,个人信息安全意识淡薄。很多网络用户为了省去麻烦,把所有的密码都设置成一样的,而且越简单、好记越好。在缺乏一个有效立法制度的情况下,互联网企业并不愿花大量资金投入到网络安全。很多大网站并没有安全防护措施,因为他们认为网站服务是第一位的,安全并不重要,即使丢失隐私也不是自己的。

 

个人信息在网络环境下所受的安全侵害,可分为以下几种情况:1、大量的网站通过合法的手段(要求用户填写注册表格等)或者是隐蔽的技术手段搜集到网络用户的个人信息。2、大批专门从事网上调查业务的公司,使用木马程序及具有跟踪功能的工具浏览和定时跟踪用户站上所进行的操作、自动记录用户访问的站点和内容,非法获取、利用他人的隐私,甚至以极其低廉的价格出售。3、有些软件和硬件厂商开发出的各种互联网跟踪工具,用于收集用户的隐私。4、黑客未经授权进入他人系统收集资料或打扰他人安宁,截获或复制他人信息。

 

二、网络个人信息安全保护措施

 

自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输入个人信息才能登录的网址或完成操作时,我们输人的个人数据必须限于最小的范围,并且妥善保管自己的口令、帐号密码,并不时修改。其次,谨慎注意该网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录。网络用户都应该意识到自己拥有维护自己个人信息资料的权利。网络用户应对自己的个人资料随时查询及更正;随时删除及处理,以避免遭到不必要的麻烦。在未经个人同意及确认之前,个人不允许网站披露个人资料。再次,要懂得网站公共论坛等区域内,用户公布的任何信息都会成为公开的信息。因此,用户应慎重考虑是否有必要在这些区域公开自己的个人信息。

 

必要时还要采用一定的技术保护措施,如网络防火墙技术、杀毒软件监控手段。网络个人信息主要是由病毒和木马进行窃取,一般可以采用集中式防病毒管理模式,对整个局域网中所有节点实行集中管理和控制,通过各种检测方法检测病毒,自动进行特征码更新,实时清除病毒。并且还要及时清理上网后的垃圾及相关遗留痕迹,如Cookie信息等等。

 

作为网络用户还要注意使用管理严格,资质优良的网站。保护网络用户的个人信息安全和网络隐私是网站应尽的义务,提供了相关的隐私保护条款,在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其它目的。如在网上银行管理中,身份验证和访问授权是网上管理用户的基本措施,保证用户的安全性,或通过采用访问授权来控制或限制用户对资源的利用。

 

很多网络个人信息安全问题的产生,一方面是利益的驱动,但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁,并且被侵权者也不能够借助法律的武器有效的保护自己的利益,这就更加助长了侵权行为的发生。网站如何才能建立安全有效的保障机制,用户的个人隐私保护意识,以及相关部门规章制度的建立,这些都是亟待解决的问题。

 

强化公民的网络隐私权的保护意识,使公民个人明白隐私权保护的重要性,了解、知悉网络隐私保护政策与法律、法规。自觉采取防范措施、方法。保护个人隐私,同时尊重他人隐私,从而整体提高社会的隐私权保护意识。加强对网络经营者的监督管理,规范网络经营商的行为。政府对网络经营商的守法及自律情况要进行严格的监督检查,堵住网络隐私侵权的“源头”,行政执法机关一旦发现违法、违规情况,应及时做出处理,增大网络经营商违法经营的成本,进而加强他们的守法意识。

 

目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。面对黑色病毒产业链,必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全,建立网络安全国家应急体系,加大对网络安全领域犯罪的打击,完善立法。制定保护网络隐私权的行政规章,在规章中对个人数据的安全保护的权利和义务,不当使用个人数据的法律责任等做出明确的规定,且具有可操作性。借鉴国际社会的相关规定,完善我国网站传播的行业自律。建立网络隐私达标认证体制,推进行业自身发展。及时修改、完善相关法律的规定。将侵犯隐私权的行为、侵权责任等问题做出具体的规定。制订个人信息保护相关法规,确立个人信息的保护原则。加大对侵犯隐私权行为的打击力度。

 

篇7

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01―0131―01

随着信息爆炸时代的来临和通信技术的快速发展,用户的个人信息安全问题日益严重,信息泄露事件频发。用户信息一旦遭到泄露,将面临信息曝光、垃圾短信、骚扰电话、电信欺诈甚至资金被盗等一系列风险。在此环境下,2012年“3.15”国际消费者权益日的主题即为“消费与安全”,新闻媒体也多次曝光了个别银行、通信、快递、医院等行业不法人员泄露和出售客户信息,给公众造成巨大安全隐患的问题。由此可见,用户信息安全已成为社会化和信息化快速发展进程中的一个重要问题。

近年来国家也逐步加大了对个人信息安全的保护力度。一方面从立法上逐步加大了对个人信息安全的保障,在民事责任方面认定用户个人信息属于个人隐私范畴,并在2009年通过的《侵权责任法》中明确将隐私权写入了法律;在刑事责任方面,2009年颁布实施的《刑法修正案七》也新增了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”另一方面,公安部也在北京、河北等20个省市区开展严厉打击侵害公民个人信息违法犯罪的专项行动,抓获嫌疑人1000余名,挖出信息源头44个。

电信行业一直是客户信息安全保障的重点行业。作为电信运营商,掌握着海量的用户信息资源,尤其是2010年电话用户实名登记工作推广以来,运营商掌握的用户信息从数量和质量上都得到了进一步提升。一方面客户信息真实、完善为电信企业向用户提供个性化的服务提供了条件,也为通信安全提供了保障,但另一方面对电信运营企业保障用户的信息、通信安全也提出了更高的要求。笔者总结多年的电信企业客户信息管理经验,借鉴先进企业的管理方法,从明确电信用户信鼠的范围、电信用户信息泄露的风险途径、解决电信用户信息安全的措施三个层面来探讨如何保障电信用户信息安全。

一、电信企业用户信息包含的内容

根据电信企业获取客户信息和提供通信服务的特点,电信用户信息应是指个人与单位用户的姓名或名称、有效证件类型及证件号码、住址(地址)、用户号码、联系方式、缴费账户、通话清单、终端信息以及单位用户的组织架构等基本信息、信息网络建设等非通信的信息内容。

二、电信企业用户信息泄露的风险途径

造成电信用户信息泄露的风险主要是人员风险和系统风险。人员风险是指电信企业内部和外部所有可以接触到用户信息的众多人员泄露用户信息的风险。企业内部人员如营业人员、销售人员、维护人员、客户信息管理人员等;外部人员包括与电信企业合作的业务商、内容提供商以及第三方维护人员等。

从系统风险上来讲,由于电信企业IT系统业务网络存在区域分散、数据分散、系统繁多、环境复杂等特点,建设了包括BSS、客服、CRM等多个业务支撑系统和OA办公系统,各个系统上积累了大量的客户信息和生产数据、运营信息等,每个系统的人员根据“使用”和“维护”又分为不同的角色,这些系统的终端覆盖了内网和外网、计算机和移动终端等多种形态的终端设备。由于这些特征的存在,电信企业客户信息数据面临着内部和外部网络的多重风险。

三、电信企业用户信息安全保护的措施

保护电信客户的信息安全,让客户享有安全、放心的通信服务是电信企业的责任和义务。笔者从通信行业服务角度来看,电信企业信息安全保障的关键需要从加强内部管理、提升系统防范能力两个方面得到提升。

(一)强化内部管理,提升全员信息安全防范意识

首先作为电信企业要有大局意识,应自觉遵守国家的法律、法规,严格执行《基础电信企业信息安全责任管理办法(试行)》。将保障用户信息安全纳入企业的保密体系,建立完善的用户信息安全管理制度,规范从业务受理、客户服务、运行维护、信息计费、外部合作等涉及客户信息的各个关键环节的业务操作流程和规章制度,构建全面有效的用户个人信息安全保护机制。比如要求营业和营销人员不允许私自留存客户信息;要求维护人员不允许私自下载和修改客户信息;各系统账号权限严格实施分级管理,不允许转让和越级使用;规范各类用户信息的存储介质、存储时限和销毁方式,完善用户资料销毁管理制度和技术保障手段;针对外部商、合作单位要明确对用户信息保密的业务和技术要求以及泄密后的相关处罚;定期开展用户信息安全检查,做到提前防范,最大限度保障用户信息安全等。

另一方面企业要加强对企业员工的法制教育和思想政治教育,营造尊重和保护用户信息安全的企业文化和经营环境,提高全员的信息安全意识和法律意识。尤其是针对能够接触到用户信息的员工、外包人员、商及合作单位的从业人员要与企业签订保密责任书,经常性地组织开展案例教育、警示教育、相关法规和业务规范的考核等,提高从业人员的觉悟和防范意识。

(二)提高技术防控手段,提升系统防范能力

完善电信企业IT系统业务网络的安全建设,构建用户信息数据保密体系,精确定位用户信息泄露风险,从外部和内部防范两方面提升系统的防范能力。

篇8

工业与信息化部副部长杨学山在大会上表示,个人信息保护与每个人的日常生活、产业的发展及社会的稳定息息相关,它既是一个重要的法律问题,也是一个不容忽视的社会问题。随着网络化和信息化的深入发展,个人信息集中度会越来越高,由此带来的个人信息泄漏所产生的社会影响也会越来越大。因此,个人信息保护将成为规范网络秩序,维护社会稳定的重要课题。

杨学山指出,个人信息保护是法治建设的一个重要环节,加快个人信息保护工作,要从三个方面抓起:第一,加快推动立法,个人信息保护涉及面广,一定要从法律的角度进行规范,才能使个人信息保护工作在法律上有依据;第二,在日常生活工作中,相关机构和单位要做好个人信息的保护工作;第三,公众要切实提高个人信息保护意识,时刻警惕自己的信息不要被他人盗卖或者滥用。杨学山强调,社会和媒体要加强监督,切实加快个人信息保护的立法进程。

工业与信息化部信息安全协调司副司长欧阳武在介绍推进个人信息保护方面所做的探索时,也提到在立法调研方面的工作:“我们目前已围绕我国个人信息保护现状及特点进行调研,并开展前期立法调研工作,争取推进个人信息保护立法进程。”欧阳武认为:“要实现对个人信息的保护,最好的办法还是立法,通过法律明确组织和个人在处理个人信息过程中的法定责任,建立个人信息保护的监管体制。只有把个人信息保护纳入到法制化的轨道,才能实现对个人信息的最佳保护。”

中国社科院法学院研究院周汉华就“关于个人信息保护立法的几个问题研究”发表了讲话。他指出:“我们现在正在进入一个所谓大数据的时代,美国刚刚公布了消费者隐私权的方案,现在国际上已经进入2.0阶段,而我们却还在为1.0时代呼吁,所以我们是差了好几步了。”

倡导行业自律制定国家标准

中国电子信息产业发展研究院院长罗文表示:“个人信息保护是一个广受各方重视的问题。近年来,随着网络技术的发展,我国逐步提高了对个人信息安全的重视程度,但就目前的情况来看,我国个人信息保护现状不容乐观,社会公众对个人信息保护的需求已达到极为迫切的程度,个人信息保护相关工作的推动和落实势在必行。”罗文强调,个人信息保护是一项长期、规范的工作,要加快个人信息保护相关标准验证和符合性测评平台的建设。

与会专家指出,在完善法律制度的同时,应建立事前预防机制,由行业组织依据个人信息保护的通行原则并照顾到行业特点,制定个人信息保护的行业标准规范。采取行业自律的方式,开展个人信息保护工作。在一些数据处理外包服务业发展较快的城市,已经积极地开展了个人信息保护试点工作,积累了相关工作经验,为以后的工作提供了很好的借鉴。

中国软件评测中心常务副主任、北京赛迪信息技术评测有限公司总裁黄子河对《信息安全技术 公共及商用服务信息系统个人信息保护指南》内容进行了详细介绍。黄子河介绍说,《信息安全技术 公共及商用服务信息系统个人信息保护指南》对信息系统个人信息处理过程各个阶段所涉及的行为提出了明确的规范和要求,适用于除了政府机关等行使公共管理职能以外的各类组织和机构,特别如电信、医疗等涉及到我们个人敏感信息比较多的服务机构。他认为:“个人信息保护指南标准的制定可为立法提供一个很好的参考依据,也可为公众提高个人信息保护意识、掌握个人信息保护手段提供借鉴。”

对于未来的工作,黄子河展望:“首先,我国的个人信息保护还处于初级阶段,应该进一步加快建立并完善个人信息保护标准体系,包括技术类、管理类、应用类和基础类四类共十一项标准;其次,建设信息系统个人信息保护测评公共服务平台,帮助企业提升个人信息保护水平;最后,建立个人信息安全事件的的通告和实时响应的平台,实现对个人信息安全的实时监测,并且建立安全知识库,为企业和政府提供切实可行的技术解决方案。”

个人信息保护工作任重道远

杨学山提到:“对个人来说,要有保护个人信息的意识,不能轻易把个人信息泄露给他人,同时社会媒体要加强监督,从多方面来增强公民个人信息保护意识。”

工业和信息化部电子科学技术情报研究所副所长刘九如介绍了关于公众个人信息保护意识调研的情况。调研发现我国公民个人信息保护问题非常严重,公民保护意识十分薄弱。虽然有60%的调查对象对于个人信息保护现状表示不满,但对于如果出现了个人信息被滥用情况,仅有不到10%的调查者表示会提出诉讼。

2011年年底发生的中国互联网史上规模最大的用户资料泄密事件,再次从一个侧面反映出我国网民安全意识薄弱的问题。2011年“泄密门”虽大部分泄露的是旧数据库信息,但仍波及深远,其中一个原因是部分网民常年使用相同的密码,一些网民为了图省事,还使用相同的邮箱、密码注册大量社区网站,甚至有些网民还会使用自己的邮箱密码甚至银行卡密码作为网站注册密码。

在大会上,中国软件评测中心副主任、北京赛迪信息技术评测有限公司执行总裁高炽扬和中国软件评测中心副主任刘法旺分别了《2011年网站个人信息保护政策测评报告》和《2012年Android手机软件个人信息安全报告》。中国软件评测中心针对7类行业的105家网站个人信息保护政策和千余款Android手机软件分别开展了个人信息保护相关测评工作。

其中,网站个人信息保护政策测评方面共设计了8类一级指标,25个二级指标,共74个测评要点对网站个人信息保护政策进行评估,测评的满分设置为100分,其中公开性8分,政策与责任说明20分,个人信息的收集和使用16分,个人信息转移说明12分,用户权益保障16分,政策合理性12分,监督机制4分,执行情况12分。测评结果从侧面反映了目前国内主要网站对个人信息的保护意识和现状。

测评结果显示,被测网站整体处于“个人信息保护意识逐步提高”的阶段,大部分被测网站均制定并公开了个人信息保护相关政策,被测网站对个人信息的收集范围和方式普遍比较重视,能够在合理的范围内收集信息。但是大部分网站在个人信息保护政策清晰度方面有待提高,没有就所收集的信息是否交与第三方给出明确说明,个人信息保护政策使用范围需进一步明确;网站对敏感个人信息的保护政策缺乏明确承诺;网站个人信息保护政策制定的合理性较为欠缺;个人信息转移过程中保护责任的归属不清晰,在政策监督机制方面没有引起足够的重视,大部分网站没有相关的监督组织,监督机制需要进一步规范。在所有的7类被测网站中,游戏网站的行业平均得分最高,为70.74分,其次是电子商务、论坛博客、保险网站、婚恋网站和招聘网站,他们平均得分分别为59.64分、58.84分、57.04分、56.01分和51.37分。银行网站的行业平均得分最低,为31.98分。

《2012年Android手机软件个人信息安全报告》主要针对当前手机网民数量剧增、移动互联网业务日益丰富、手机软件市场成为争夺角点的背景下进行展开测评的。从8家电子市场中选取870种软件,分为游戏类、工具类、生活类、学习类、交通类和社交类6种软件类型。测评工作遵循客观性、公开性和公平性的原则,根据信息泄露对用户造成的危害程度、用户对个人信息的敏感性以及利益相关方对个人信息的关注点选取8个测评指标。检测内容为IMEI号码、SIM卡序列号、手机号码、地理位置、手机通讯录、短信、电子邮件和浏览历史记录八项数据内容的泄露情况。

篇9

中图分类号:F830.31 文献标识码:B 文章编号:1674-0017-2012(10)-0038-03

一、基本情况

本文调查采取实地调查和问卷调查相结合的方式,对克拉玛依市工、农、中、建、邮储、昆仑银行等全部7家银行机构进行了实地调查,并选取100名一般居民和个体工商户发放100份调查问卷,问卷回收率为100%。

(一)金融机构个人金融信息管理意识较弱。从被调查金融机构情况来看,金融机构对个人金融信息保护的意识较为薄弱,普遍未认识到个人金融信息是关乎客户隐私保护和金融安全的重要因素,辖区7家银行机构均未将个人金融信息泄漏作为一种重要风险来对待,未将个人金融信息保护纳入金融机构整体风险管理框架中。调查还显示,75%的一般居民和个体工商户表示金融机构在对其营销业务产品和提供服务过程中未进行个人金融信息保护知识的培训,未履行对客户风险防护和告知义务;仅25%表示在办理业务中金融机构提及过。

(二)金融机构个人金融信息管理制度建设不到位。从实地调查情况看,辖区银行机构均建立了金融消费者保护工作机构,并建立健全相应的管理制度,但在个人金融信息保护制度建设方面还不到位,辖区7家银行机构均未形成完善的个人金融信息保护管理制度,已有的制度主要分散于信息安全管理或银行卡、存贷款等各类具体业务制度中,没有形成体系,也不符合《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定的要求覆盖信息采集、传输、加工、保存、使用和销毁等所有工作环节的要求。

(三)客户个人金融信息保护意识整体不强。金融机构客户层次有差异,素质参差不齐,对个人金融信息保护工作的认知度一般,调查显示25%的一般居民和个体工商户对个人金融信息领域金融消费者权益保护工作比较了解,40%的听说过,35%表示不知道;55%的被调查居民和个体工商户对个人金融信息的如何使用保管表示不了解,知道一些的仅占25%,且都在不同程度上存在办理业务时的泄露个人金融信息的现象;65%的被调查居民和个体工商户不清楚个人金融信息泄露的途径以及相应的维权措施,了解的仅占15%。

二、个人金融信息领域金融消费者权益保护不足和问题

(一)个人金融信息保护法律不完善、行政法律责任缺失。一是目前我国尚未设立专门的个人信息保护法,立法散乱,呈零星、分散状态,不成体系,主要是:《宪法》中规定公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利、国家尊重和保障人权等。在《民法通则》中规定公民、法人享有名誉权。《刑法修正案》中规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。二是行政责任缺失,对于侵犯银行客户个人信息但尚未构成犯罪的行为,没有规定直接适用的罚则,监管部门也缺乏对金融机构违规泄漏客户信息进行处罚的直接依据。

(二)金融机构个人金融信息管理内控机制不健全。辖区金融机构普遍未形成个人金融信息保护的有效组织管理机制,各业务部门在个人金融信息保护方面各自为政,缺乏统一管理。一是没有专门的组织机构,缺乏专职个人信息保护人员,个人信息保护的职能难于充分发挥。二是信息查询监测不到位,缺乏信息调阅查询的监测检查记录,难于跟踪个人信息使用的全过程。三是个人信息保护保密安全教育不到位,对外包人员行为的控制也有所欠缺。

(三)金融机构个人金融信息技术管控能力不强、信息系统建设管理不完善。金融机构存储个人金融信息的系统建设管理不完善,各系统缺乏保护监督制约机制,未对系统进行统一整合。以农业银行为例,当前个人金融信息分散在存贷款、支付结算、银行卡、电子银行等业务中,业务又分属不同部门运营,且由不同信息系统支持,形成许多信息孤岛,使得信息保护更加困难。一是各系统之间缺乏信息保护监督制约机制,对系统查询信息的权限控制不足,工作人员查询时,往往能够获取超过其权限的信息。二是技术防控手段较弱,安装或使用个人金融信息系统的计算机未设置光驱、USB等数据输出屏蔽设备,对信息的导出、下载、打印、复制难以有效实施管控。

(四)对个人金融信息保护工作监管不到位。2011年人民银行出台了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,但总体来说监管还处于起步阶段。一是现有监管制度较为零散且可操作性不强,主要针对存款、电子银行、信用卡业务等领域的个人信息保护作出个别规定,无法覆盖各类业务,也不能全面规范个人信息采集、使用、保管的全流程。二是针对性不强,如《个人存款账户实名制管理规定》主要是针对个人存款账户个人信息的管理,《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》是为加强反洗钱监管,不是针对个人信息保护。

三、发达国家经验借鉴

(一)确立对隐私权和个人信息权的法律地位。在很多国家,个人信息保护方面的法律直接采用“个人隐私”称谓,如1974年美国《隐私权法》、1988年澳大利亚《隐私权法》、德国《联邦数据保护法》、英国1998年《数据保护法》等,都无一例外地把保护个人隐私权和信息权作为首要任务。美国国会于1978年通过的《金融隐私权法》(RFPA)主要用于保护客户隐私,《金融服务现代法》,要求每个金融机构有明确和长期的尊重客户隐私义务,并保护客户的非公开信息的安全性和机密性。

(二)针对个人金融信息保护的法律防范措施。为保护消费者的隐私权,各国对数据的采集、利用、保管都有明确规定。如欧盟《个人数据保护指令》以法律形式明确数据使用管理六大原则:一是合法性原则,个人数据仅为指定目的而处理;二是终极原则,个人数据仅为指定、明示、合法的目的而收集,不得与目的相违背;三是透明性原则,应当告知当事人有关数据处理情况;四是合适原则,收集处理数据时应保证数据的充分性、相关性和合适性;五是个人保密性和安全性原则,应采取相应的手段、措施确保处理信息的保密性和安全性;六是监控性原则,数据保护机构应该监控数据的处理,数据使用只有经数据主体明确表示同意才能进行处理,若未征得客户同意,超出使用目的使用个人信息属违法行为。

(三)建立完善的权利救济制度。一是建立民事责任制度。根据欧盟《个人数据保护指令》,对于非法收集、处理、使用个人信息,故意或过失提供错误信息或不完整信息等给有关当事人造成损害的,都应当承担民事赔偿责任。二是行政救济制度。确立个人信息保护机构,负责个人信息保护法规的执行和对信息控制人的监督,并采取行政措施防止违法行为的发生或及时制止违法行为。如德国的联邦数据保护专员对未经授权收集、处理通常情况下无法取得的个人数据等严重违法行为处以25万欧元以下的罚款。三是刑事责任的规定,对违反个人信息保护法律规定的行为,造成信息非法泄露而侵犯个人隐私或引起资金安全损失的要严格追究刑事责任。

四、对策建议

(一)健全完善个人金融信息法律法规体系。一是尽快制定《个人信息保护法》,明确个人信息的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题,保证整个法律体系的系统性和协调性。二是建议在国家层面建立一整套系统化、多层次的个人信息保护法规制度,如完善信息主体权益保护法规制度,完善征信监管主体法规制度,建立依法合规的个人信息查询办法和规定,建立行业监管机制等。三是明确并设立专门个人信息管理机构,对使用私人信息的社会团体或个人进行严格监督,同时确立信息侵权的民事赔偿责任制度,通过行政、司法等手段将信息收集、处理和使用机构及其工作人员故意泄露信息、篡改信息、损害个人信用行为应当承担损害赔偿责任以及法律责任。

(二)加强对金融机构的监督管理。一是将个人金融信息保护纳入对银行总体风险监管框架中,制定个人信息保护部门监督管理制度,对客户个人信息的采集、使用、保管、保密等环节作出详细规定,明确对金融机构违规泄漏客户个人信息的监管处罚措施。二是建立统一的个人金融信息保护的规范和标准,促进金融机构构建个人信息保护工作体制和机制,更好地保护个人信息。三是加强对金融机构个人金融信息保护工作检查监测力度,督促加强信息系统安全管理,规范个人信息数据库管理。

(三)健全金融机构个人信息安全保护内控制度。一是督促金融机构应尽快完善个人信息管理规章制度,对个人信息采集、使用、存储管理做出明确规定,有效保护客户个人信息安全;二是明确各岗位人员保密管理职责权限,制定安全控制流程,对信息查阅、下载、拷贝实行严格审批、登记和权限管理;三是强化监督问责,定期对信息安全状况进行评估、审计和检查监督,同时监督机构应加大对金融机构涉及客户信息系统执法检查力度,排查个人金融信息外泄隐患。

(四)加强金融机构系统技术支持和管理。一是提升信息安全保护水平,综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,有效防范来自于外部的攻击。二是强化内部信息管理,建立健全完整的信息系统监测制度,通过软硬件等方式切断或控制接入信息系统的计算机信息输出功能,并建立各种违规操作信息系统安全预警机制。三要进一步整合完善个人金融信息系统建设与管理工作,全面整合金融机构业务部门个人金融信息,以便于进行统一保护管理。

(五)加强个人金融信息保护宣传教育力度。一方面加强对金融机构员工安全保密教育管理,增强员工法律意识,认真落实加强个人金融信息保护的各项法律规定和规章,严格遵守“为客户保密”的原则,杜绝信息非法使用、泄露和出售事件的发生。同时,金融机构应严格履行信息披露和安全提示职责,及时告知客户个人金融信息泄漏后造成的风险以及信息泄露后如何处置和维权,并引导客户采取安全有效的方式保护客户个人金融信息。另一方面,注重提高公民自我保护意识,通过开展形式多样的专题宣传教育活动,积极引导民众注意保护个人信息,提高防范意识。

参考文献

[1]唐友伟.对商业银行个人金融信息保护工作的调查与思考[J].中国信用卡,2012,(3):32-34。

[2]唐友伟.个人金融信息保护工作亟待完善[J].金融会计,2012,(4):64-66。

篇10

社交网络中的数据量非常大,其信息的开放程度也较高,这在很大程度上吸引了更多用户的使用,用户之间的关系也由此变得更为复杂,不易管理。因此,怎样在社交网络中保护用户的因素,更好地进行数据访问和身份认证控制则成为了当前社交网络发展所重点关注的内容。

1 社交网络下用户信息安全的内涵

社交网络是指在遵循实名制原则的前提下,通过社会性软件所建立起来的社会化的网络平台,这一平台被用于管理个人或者机构的各种社会关系。在该平台上,用户可以自行分享各自的兴趣和爱好,以此促进和其他用户的了解和交流。目前,国内外都有不少社交平台,Twitter、Facebook、人人网、开心网、微信、微博、腾讯QQ等,都是非常常见的社交平台。个人用户信息又包含其各种身份(地址、姓名和点哈等)和非身份的信息(性别和年龄等)。而社交网络用户信息安全则是指用户的个人信息的安全问题,具有如下五个特征。

(1)保密性,用户的所有信息仅为授权者所使用。

(2)完整性,要保证用户的信息不被删除、伪造、或者修改等。

(3)可用性,要摆正用户的信息能够被授权者获取、使用。

(4)可控性,用户的所有信息及该信息系统时刻处于较为安全的监控管理当中。

(5)可靠性,在规定的条件下,信息系统所完成特定功能的概率。

2 社交网络下用户信息安全现状

2.1 法律法规的不健全

2009年我国出台了《刑法修正案(七)》,其中便有对用户信息的获取和使用做了规定,所有个人组织不能非法向他人出售或提供用户的个人信息,否则,将会承担一定的法律责任。可见,我国对保护我国公民个人信息不收侵犯还是有一定决心的。但是,仅凭这一条例是不可能涵盖所有相关犯罪行为的,如果没有相关的司法解释作为辅助,仍旧还是孤掌难鸣。而实践也表明,各地法院也很难通过这一条例对相关的犯罪行为定罪,尽管也有专家建议出立的《个人信息保护法》,但是最后仍旧由于各种各样的原因没有成功。到目前为止,我国针对这一问题增加了一些条例和办法,但是由于其约束力不够,操作性较低。

2.2 社交网络企业的管理水平较低

在各类用户信息侵害案件中,大多数的过错方都在于各社交网络企业,并且其所占比重仍在不断增大。广大社交网络企业是保护信息安全的主体,也可以说其是第一责任人。然而在实践过程中,少有企业认识到这一点,同时也就更无法提及使其明白维护信息安全的重要性了。相反,一方面,这些企业反而用过误导和引诱等方式吸引更多的用户填写姓名、年龄、性别、住址、手机号、学历、QQ账号等真实信息。其中,游戏积分奖励和新功能优先享受都是其较为常用的方式。另一方面,这些企业对用户的信息安全保护工作也极不重视,不仅没有做好黑客的入侵防范工作,也没有投入经费组建专业的信息安全管理团队。

2.3 用户的信息安全素养不高

在网络时代背景下,用户的信息安全素养提升速度并不如网络信息产业发展的速度快,呈现出严重的滞后状态。用户对信息安全的认识还不是特别到位,没有具备一定的信息安全意识,对信息安全知识的了解程度不高,处理信息安全侵犯事件的能力也相对较低。不少用户都会习惯性地回复一些看似朋友发送过来的诈骗信息而泄露了自己的真实信息,中了黑客的圈套。还有的用户习惯性地用一个邮箱享用多个平台的服务,例如,人人网和开心网都使用网易邮箱,并且连密码都没有修改,这样一来,一旦其中一个账号的信息被泄露出去,另一个账号也会受到影响。

3 社交网络下保护用户信息安全的对策

3.1 加强立法的保障

在整个互联网的立法工作中,首先要做的就是要通过各种法律规范形式对用户信息加以保护,使其免受侵犯。而像不得在网上散布恶意信息,侵犯他人权利之类的法律规定,其实并不具被很强的操作性。所以,当前应该做的就是要对这类法律法规加以界定,到底哪一类信息属于恶意信息,其具体的判定标准是什么等等。此外,在具体实施过程中,我国也可以借鉴国外其他发达国家相关经验,欧盟关于个人信息安全的保护立法就是一个非常值得借鉴的优秀案例。另外,法国所建立的国家信息与自由委员会也是极具借鉴价值的。

3.2 提高各社交网络企业的信息安全管理水平

除了加强国家立法保障之外,各企业也要通力协作,形成行业自律。行业规范能够有效地提高用户信息的安全管理水平。企业作为保护用户信息安全不受侵害的主体,理应承担大部分责任。广大社交网络企业需要通过收集用户信息扩展自身的业务范围,这并没有错,但是如果不对收集来的用户信息进行安全管理,就是不对的。所以,企业必须加大用户信息安全管理的力度,充分利用Ajax技术的优越性,加强对用户信息的安全管理。不仅如此,企业还用当具备具备一定的信息伦理道德,以强化自身对用户信息安全的保护意识。

3.3 提升用户的信息安全素养

由上文可知,用户信息被泄露,除了体制和企业的原因外,用户自身也是很重要的影响因素。如果用户具备一定的信息安全素养,了解信息安全的重要性,知道如何避免信息泄露,那么因信息安全泄露所引起的纠纷事件就会少很多。正因为如此,才需要其不断提升自己的信息安全素养。用户可以通过网络了解相关知识,也可以多多参加各类与信息安全相关的讲座,还可以阅读一些相关的书籍,以加深自己对信息安全的了解,提升自己的信息安全素养。

4 结束语

由此可见,在互联网时代背景下,保护用户的信息安全势在必行。无论是国家、社交网络企业还是用户个人,都应该为信息安全的维护承担相应的责任,只有大家通力协作,才有可能做好用户信息安全维护工作,才能促进我国社交网络的发展。

参考文献

篇11

一、个人信息内涵

个人信息作为一个法律概念,是随着信息社会的发展而出现的,一方面作为识别个人的资料被广泛需求,另一方面又遭到严重滥用。个人信息是指个人姓名、住址、出生年月、身份证号码、医疗记录、人身记录、照片、工作单位等,单独或与其他信息对照可以识别特定个人的信息数据资料。从法律角度,个人信息具有以下基本属性。

(一)个人信息代表主体的特定性

个人信息是现实生活中和个人有关的一切信息,包括范围广泛:个人身份认定资料、个人背景及其他资料等。这些信息能反映个人的很多方面,通过多种社交方式以不同形式记载在多种媒介上。通过考察记载于各种媒介上的个人资料,及结合其他相关信息,便可以描绘出一个人的某一方面特征或某一社会状态。这些个人信息具有在众多群体中识别特定主体的功能。

(二)个人信息内容具有多样性

个人信息既包括个人隐私,又包括可公开或已公开的个人信息。隐私的特点是具有一定的秘密性,权利主体主动采取措施进行保护,他人只要不进行主动侵犯,个人隐私就能得到保证。隐私权是个人对其私生活安宁、私生活秘密等享有的权利。而个人信息是指能够识别个人的一切信息,包括未公开的和已公开的。在信息社会中,有些个人信息通过多种社交方式必然是公开流通于社会中的,比如,个人身份证号、家庭住址、手机号码等。所以,个人信息中既包括未公开的隐私部分,也包括已公开的其他信息。

(三)个人信息具有人身性和财产性

个人信息的人身性,主要体现在人格利益。个人信息表面上记载着公民个人识别性和个人背景材料,但这些信息实际上承载着人格利益。体现为公民个人希望对个人信息的独占,享有未经主体同意就不能被他人知晓和利用的权力。在生活中,泄露的个人信息一旦被滥用及非法使用,往往会给当事人造成一定的心理恐慌和精神困惑,这将严重妨碍日常生活。同时,个人信息作为一种被商业需求的信息,可以通过允许他人使用信息获得一定的利益,因而具有一定财产属性。

二、我国个人信息保护的法律现状

我国现有的一些法律虽然涉及对个人信息的保护,但比较零散,尚未形成完整的法律体系。现有法律法规中涉及个人信息保护的内容有200多个条文,分散在37部法律、15部司法解释、124部行政法规和部门规章中。现行法律未将个人信息作为直接的保护对象,对个人信息的保护散落在各部门法及行业规范中。首先,在隐私权保护方面中,仅提供了有限和间接的保护名誉权的规定中,《宪法》和《民法通则》都有对隐私权的间接保护。其次,在通信领域、居民身份证个人信息保护方面、储户个人信息保护方面、公民医疗信息保护方面、个人档案保护方面,主要通过在《邮政法》、《居民身份证法》、《传染病防治法》、《执业医师法》、《护照法》、《档案法》等单行法中设置专门条款对公民的个人信息加以保护。在个人信息的保护手段上,主要依靠行业内部规范或信息持有人、控制人的单方承诺,如《中国工商银行员工行为守则》、《医务人员医德规范及实施办法》、《医疗机构病例管理规定》等,但由于目前金融、电信、房地产等行业目前还没有稳定的、具有约束力的个人信息管理规范,所以,个人信息管理和保护仍很不到位。除了上述对不同领域的个人信息的规制外,法律也加大了对侵犯个人信息的处罚力度。尤其《刑法修正案(七)》新增加了“出售或非法提供公民个人信息罪”和“非法获取公民个人信息罪”,加大了个人信息犯罪的刑法打击力度。

2013年,2月1日起,国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)正式实施。该《指南》属国家标准“指导性技术文件”类,对利用信息系统处理个人信息的活动起指导和规范作用,目的是提高企业个人信息保护技术水平,促进个人信息的合理利用。《指南》的出台将对后续个人信息保护的相关工作起到指导性的作用,相关监管部门可以依据国家标准的技术支撑,规范企业对个人信息的使用。

从目前我国的立法来看,虽然《指南》出台,标志着我国针对个人信息处理行为将“有标可依”,使公民对个人信息保护的诉求得到有效解决。但是这个标准仅具有指导性,没有强制执行力。而目前我国的个人信息保护主要是个人隐私信息,但在隐私保护方面,也仅仅只是提供了有限的、间接的隐私保护。与国外相比,远未达到提供有效保护的程度。

三、国外个人信息保护的立法借鉴

目前,国外有关个人信息保护的立法模式有两种:一种为欧盟模式,即制定一个统一的个人信息保护法来规范个人信息的收集、处理和利用,并设置一个综合监管部门集中监管。另一种为美国模式,即分散立法和行业自律相结合的模式。分散立法和行业自律分别体现在公领域和私领域,监管部门也是根据个人信息的具体不同内容来分别设置。

(一)欧盟模式——统一立法

欧盟在个人信息保护方面采取了以国家立法为主导的模式,主要通过综合立法来实现对个人信息的保护。其特征体现在:1.通过综合立法对个人信息进行保护。其对个人信息的法律保护要经过两个层面:首先,由欧盟“指令”,为各成员国制定数据保护的法律框架提供依据。《数据保护指令》、《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于在信息高速公路上收集和传递个人数据的保护指令》、《隐私与电子通讯指令》等一系列条约或指令,对欧盟各成员国制定个人信息保护法起到了宏观指导作用。其次,欧盟成员国在统一指令框架下,根据指令的内容和本国实际情况制定了个人信息保护法。如德国的《通信法案》、《多媒体法》以及《联邦数据保护法》等。2.欧盟模式在内容上更关注对私人领域的个人信息保护。欧洲国家认为个人信息权利是公民的一项基本权利,公民有权自主决定其个人信息是否公开。欧盟成员国对于政府权力的限制较少,主要通过国家综合立法来确立个人信息保护的原则、具体制度和措施。

欧盟的这种统一立法模式使得对个人信息的保护更加具体全面,但这种保护模式也有缺点,如欧盟委员会等机构缺乏执行能力,欧盟本身对于相关违法行为无力处罚,需要依赖成员国的数据保护机构来进行制裁,而欧盟成员国内部对此类行为的监督又受到很多因素的制约。此外,全面细致的规定可能会阻碍个人信息的正常流通,限制企业的自由发展。

(二)美国模式——分散立法和行业自律相结合

美国的行业自律模式是普通法系国家个人信息法律保护模式的代表,其核心内容是:1.立法方式上表现为行业自律和单行法规相结合。因为基于政府权力应受到限制和保护公民个人自由的思想,美国对于隐私权的保护更关注个人自由免受公权力的侵犯。一部统一的个人信息保护立法很难被各个公共组织一致接受。其对个人隐私权的保护实际上是由个体消费者通过个人行为来实现的,政府对个人隐私的保护只是起到一种协助和指导作用,并不直接介入干涉。尽管美国制定了普遍适用于整个联邦的《隐私权法》、《电话消费者保护法》等一系列法律,但其中多数是针对某些特定情形、某些特定商业部门有可能滥用公民隐私权等的立法。2.保护内容的二分性。保护领域从内容上看,对个人隐私权的法律保护主要划分为公、私两个领域,并采用不同的保护方式:在公领域,美国政府制定了大量的单行法规来规范政府行为,保护公民隐私权;在私领域,主要通过从业者的自我约束和相关协会的监督管理来保护公民的个人隐私安全。

这种针对不同领域采取不同分散立法的方式,有效避免了国家立法对个人信息正常流动的干预,有利于在有限保护个人信息的前提下充分促进信息的自由流通。但该模式的最大弊端是缺乏合理的争端解决机制,行业自律在实践中的效果不佳。同时企业自律模式也可能会导致部分企业采取规避个人信息保护的政策,侵害个人信息隐私权。

四、完善我国个人信息保护的建议

(一)加快立法

目前我国一些法律虽然涉及了对个人信息保护的内容,但比较零散,也缺乏法律位阶较高的法律,没有形成严密的个人信息保护法律网。要实现对个人信息的最佳保护,必须通过立法。对于具体立法模式,欧盟模式更适合我国的国情,即由国家制定专门的个人信息保护法,统一规范个人信息的收集、处理和利用。在具体法律内容上,构建保护个人信息安全的完整法律体系,应建立保护个人信息安全的基本法律制度。包括个人信息处理活动应当遵循的原则、信息主体在个人信息活动中享有的权利、相关组织机构在处理个人信息过程中需承担的义务、非法手段获取个人信息的行为的惩治措施、个人信息保护的监管体制等。只有把个人信息保护纳入到法治化的轨道,才能实现对个人信息的最佳保护。

(二)加强行业自律

篇12

[DOI]10.13939/ki.zgsc.2016.01.083

目前,伴随着阿里巴巴、百度、腾讯等各大互联网站的迅速崛起,我国逐渐进入网络购物大发展时代。中国互联网络信息中心的《中国互联网络发展状况统计报告》显示,互联网普及率为42.1%,网络购物用户规模达到2.42亿,网络购物使用率提升至42.9%[1],但与此同时,与网络购物紧密相连的物流配送环节相对落后,个人信息泄露事件层出不穷,如何有效保护快递行业个人信息成为公众关注的焦点。

1 快递行业消费者个人信息泄露现状

个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的信息。[2]快递企业涉及的消费者个人信息主要包括:姓名、联系方式、住址、身份证信息、购买商品名称及消费金额等,这些信息的提供成为享受快递服务的必要前提,并且由于快递实名制的实行,使得消费者在防护个人信息方面处于被动地位。

1.1 快递单信息被电子商务企业利用

对于电子商务企业来说,掌握大量消费者个人信息意味着拥有大量的潜在客户,企业能够依照消费者个人信息判断消费者的偏好与需求,从而确定营销产品的消费人群和市场定位。另外,处于竞争地位的电子商务企业,哪一方掌握了对方企业的快递单信息,则代表掌握了竞争对手的销售商及供应商等重要信息,进而在日后的竞争活动中享有主动权,而通过购买快递单信息则是电子商务企业获知消费者个人信息的重要途径。

1.2 寄递用户个人信息被犯罪分子利用

快递企业快递单上的客户个人信息与传统企业例如房地产公司、银行等传统行业个人信息相比更加具体、完整,包括寄递用户的姓名、电话和住址信息,而这些个人信息一旦被不法分子掌握,就等于为他们提供了从事违法犯罪活动的捷径,可以方便准确的进行短信诈骗、信用卡恶意透支、入室抢劫等违法犯罪活动,即便很多时候侵害结果不会马上发生,但却给消费者将来的生活和工作留下长期隐患,因此引起众多消费者对个人信息泄露问题的担忧,增加了社会的不和谐因素。

2 快递行业个人信息泄露原因分析

2.1 个人信息保护立法相对滞后

我国有关个人信息保护的法律法规分散体现在法律、行政法规、司法解释、部门规章等上百个条文当中。但在这诸多法律、法规中却不能找出一部关于个人信息保护的专门立法。[3]而随着社会信息交换的深化,出台专门的个人信息保护法律显得尤为重要。由于个人信息保护法律制度的不完善,如果发生个人信息遭受侵害的情况,往往会出现受害人无处申诉的尴尬局面。即便进行,法院也无法可依,实践过程中,只能通过行政手段解决,而这种单一保护缺乏相应力度。因此,未出台有关的惩罚依据是现阶段个人信息泄露事件屡禁不止的重要因素。

2.2 快递企业违法提供寄递用户服务信息

我国邮政法要求快递公司提供用户快递服务信息必须有明确的授权,但实践中出现部分快递公司或其从业人员没有法律依据或者未经用户许可擅自向他人提供用户快递服务信息的行为,具体表现为快递企业或其从业人员将在提供快递服务过程中获取的个人信息非法提供给他人并获得经济利益;买受这些信息的违法分子又在网络上构建信息交易平台,贩卖消费者个人信息获取暴利。这些个人信息一旦被各类犯罪分子掌握,无疑会给社会增添各种不安全因素。

2.3 快递服务消费者法律意识淡薄

电子商务环境中,消费者要进行网络购物、享受快递服务都需要填写个人信息,部分电子商务网站为了商品促销会定期组织礼品赠送或抽奖活动,以致有些消费者为了贪图便宜,随意填写本人真实信息,一旦发生个人信息侵权行为,由于缺乏相关法律知识了解,又不知该如何维权,导致部分不法分子对消费者个人信息随意践踏。

3 保护快递行业消费者个人信息对策

在电子商务环境下,倒卖个人信息已经形成了一个黑色产业链,保护个人信息是保障社会经济发展秩序的必然要求。文章从法律层面、行业层面和消费者个人层面提出建议加强快递行业消费者个人消息的保护。

3.1 法律层面

(1)完善个人信息保护的法律体系。构建个人信息保护法律体系,首先应当确定个人信息包括的范围,现阶段国际上对个人信息虽然没有统一规定,但最基本的信息范围是确定的,我国的个人信息立法保护应当明确个人信息范畴:一是包括与识别个人身份直接有关的信息,例如姓名、性别、年龄、家庭住址、身份证号等与个人有直接联系的各种信息;二是包括与识别个人身份间接有关的信息,例如兴趣偏好、工资收入等各种动态信息;三是包括与电子发展相关的信息,如E-mail、qq、微博、微信等各类网络信息。在此范围内,应当将消费者个人的静态信息和动态信息综合考虑,进而全方位保护个人信息安全。我国快递行业快递单信息中涉及的主要是第一个方面的内容,应当成为我国个人信息保护立法的保护对象。

(2)确定个人信息保护的立法模式。我国的个人信息立法,无论采用以欧盟为代表的统一立法模式,还是采用以美国为代表的分散立法模式,都应该立足中国现实状况,最终实现个人信息保护与个人信息交流之间的平衡,为社会经济的发展创造一个良好的信息环境。

文章主张采用首先统一立法,然后在不同领域分散立法的方式。进行统一立法可以实现有法可依,用专门立法保障个人信息安全,对泄露个人信息的不法分子产生震慑作用,从而有效制止侵犯个人信息恶性事件的发生。但要想从根本上杜绝个人信息泄露事件的发生,还需要加强行业内部规范。因此,加强快递行业的行业规范显得尤为重要,行业规范可以使得快递行业对消费者个人信息的保护更具体、更有针对性、更具可操作性,这样既遵循了快递行业的发展与个人信息之间的必然关系,也能对快递行业领域涉及的个人信息起保护作用。

3.2 行业层面

为确保用户个人信息的安全,快递企业应当建立健全寄递用户信息安全保障制度,具体可以采取以下措施:

(1)遵循合法、正当、必要原则收集、使用快递用户信息。快递企业应当建立健全寄递用户信息安全保障制度和措施,确定各部门和岗位的安全责任。在快递服务条款中应当明示寄递用户个人信息收集和适用范围、存储时间、销毁手段等内容,并且在其收集、使用过程中不得采用欺骗、误导、强迫等方式。[4]未经法律明确授权或用户书面同意,不得将其掌握的快递单信息出售、提供给任何组织和个人。

(2)加强快递单实物和电子信息的安全管理。对于快递单应当确定集中存放地点,定期回收快递单从而统一保管;快递企业还应当加强快递用户信息网络安全,应当构建符合国家信息安全要求的网络构架,能够有效防范、监控和阻断外部网络的攻击和破坏,并且配备有效的杀毒软件,防止病毒破坏用户个人信息,避免信息泄露或遭篡改。

(3)建立信息安全投诉处理机制。快递企业应当公布有效的投诉方式,接受并处理用户信息泄露投诉。对于突发的消费者用户信息泄露事件,应立即采取补救措施,按照规定上报主管部门,并不得迟报、漏报和瞒报。

(4)加强从业人员和加盟公司培训。快递企业应当组织其从业人员进行快递用户信息安全保护知识培训,加强对其职业道德教育,增强其法制观念和责任意识;另外对于加盟制快递公司,应当在加盟合同中订立寄递用户信息安全保护的条款,明确企业总部与加盟公司的安全责任连带关系。

3.3 个人层面

可以通过媒体、广告等媒介大力宣传保护个人信息知识,提升消费者自身法律及自我保护意识。

(1)谨防网购秒杀陷阱。一些不法电子商务卖家推出“秒杀价”活动来推销商品,一旦消费者参与秒杀活动,就会被记录到快递单信息,而商家最终假发货、不发货,导致消费者的个人信息被骗取。

(2)合理处理快递单。对于用户个人留存的一联快递单,消费者应当妥善保管,一旦与快递公司发生纠纷,可以用来举证;消费者签收快件之后,应当安全处理贴有快递单信息的快递外包装,在丢弃前,务必将快递单上面的姓名、电话、住址、身份证号码等个人信息用特殊工具抹去,直至无法辨认,以防被不法分子获取相关信息。

(3)家庭住址尽量保密。消费者可以将快件邮寄至单位等公共场所,如必须写家庭地址,则可选择在小区内收货,尽量不写具体房号,以免入室盗窃、入室抢劫等犯罪事件发生。

伴随着信息化的飞速发展,电子商务已经成为本世纪经济增长原动力,在国民经济中占有不可替代的地位。在电子商务时代,为了满足淘宝店主的“刷钻”需求和各类商户的市场营销信息需求,一些不法经营者会从快递公司购买大量快递单信息,这些快递单信息泄露的背后隐藏着巨大的社会危害性,非常容易出现冒领快件、入室抢劫、入室杀人等恶性刑事案件。在我国缺乏对个人信息保护的专门性、统一性立法的情况下,快递行业及从业人员应当增强消费者网购的信心,做出保护个人信息的承诺或者制定保护个人信息的内部行为规范,因为没有安全且值得信赖的个人信息保护体系,就谈不上快递行业的健康发展。

参考文献:

[1]中国互联网中心.第31次中国互联网发展状况统计报告[EB/OL].http:.

篇13

中图分类号:F832.2 文献标识码:A 文章编号:1006-1428(2008)07-0077-04

信用征信体系通过对个人信用信息的采集、记载、披露和使用,有效解决了交易双方信息的不对称,使交易相对方有可能直接判断和防范交易风险,有效保障了经济交易安全和良好的市场运行秩序。但是这样,个人信息安全与市场乃至社会安全就形成了价值冲突。如何在个人信息安全与社会安全之间寻求一个平衡点,在征信活动中保护个人信息安全,防止个人隐私受到不法侵害,这是一个值得研究的问题。

一、我国个人信用征信体系发展对个人信息保护立法提出迫切需求

2005年1月,全国统一的个人信用信息基础数据库开始联网运行,标志着我国个人信用征信体系初步建立。但是与之相配套的对个人信息保护的立法却仍然空白。

长期以来,我国缺乏隐私权保护方面的专门立法,《民法通则》也将把有关隐私权益的规定纳入名誉权的调整范围,而民法、刑法、诉讼法等虽做了一些原则性的规定,但都缺乏可操作性,《征信管理条例》和《个人信息保护法》也迟迟未能出台,致使在处理隐私权案件时无法可依、无所适从。个人信息保护不周,既不能适应当代中国人有尊严地工作和生活的人格需要,不符合充分保障个体权益的法治要求,也成为阻碍市场经济发展的巨大障碍。

同时,个人信息法律保护缺乏已成为我国征信业长远发展的软肋。由于缺乏个人信息隐私权保护的法律义务的约束,我国信用征信业的运营成本低于征信法律较为完备的国家。而该低成本恰是以侵犯公民隐私权而导致的社会高成本换来的,这种外部不经济使个人信用征信业获得较大利益,而社会为此付出了额外成本。而且,这种低成本对外资也更具吸引力,并可能导致大量的寻租活动和巨大的社会成本。

因此,加快个人信息保护立法是促进我国个人信用征信体系长远发展的必然要求。

二、国外个人信息保护立法经验

(一)欧洲数据(信息)保护公约

《欧洲数据保护公约》(Council of Europe:Con-vention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)第1条明确规定:“本公约的目的,是在各成员国地域内,针对个人数据的自动处理,保障各国国民或居民个人的权利与基本自由。”

该公约规定了八项原则:第一,必须公平合法地取得供个人数据存储用的信息。第二,只有为特定的、合法的目的,才能持有个人数据。第三,使用或透露个人数据的方式不能与持有数据的目的相冲突。第四,持有个人数据的目的本身,必须中肯、合理。第五,个人数据必须准确,不陈旧、不过时。第六,如果持有某些个人数据要达到的目的是有期限的,则持有时间不得超过该期限。第七,任何个人均有权在支付合理费用后,向数据持有人了解自己的信息是否被当作个人数据存储;如果是的话该个人有权要求见到并在适当的情况下修正有关数据。第八,必须采取安全措施,以防止个人数据未经许可而被扩散、更改、透露或销毁。

(二)美国信用征信体系下的个人信息保护法律规范

《公正信用报告法》(Fair Credit Reporting Act,简称FCRA)、《金融服务现代化法》(Gramm-Leach-Bliley Act,简称GLBA)是规范美国个人信用征信体系最重要的两部法律。

FCRA规定:征信机构只能对符合特定条件的当事人提供个人信息报告;超过规定保存期限的信息不得再被记录在个人信息报告中;征信机构出售个人信息报告必须核实购买者的身份及其用途,并对个人信息报告的准确性负责;征信机构必须给予个人对其本人的信用信息知情权和接触权;当个人对其本人的信用信息提出异议时,征信机构负有重新调查的义务,对确认为错误的信息必须从个人信用档案中删除并负有将该事实通知各信用报告使用者的义务;根据个人信息报告而作出对个人不利决定的报告使用者应将提供该报告的征信机构的地址、名称告知该本人;故意不履行上述义务的征信机构应对该个人负民事赔偿责任,以欺诈或非法方式从征信机构处获得个人信息报告的,应对该征信机构负民事赔偿责任;征信机构的管理人员或职员未经授权而泄露个人信息档案中的信息,可单处2年以下监禁或罚金;向征信机构提供信用信息的机构或个人负有保证提供正确信息的义务,对本人提出异议的信息负有调查并将结果告知征信机构的义务。

GLBA规定:金融机构可以向信用报告机构提供非公开个人信息,也可以从信用报告机构获得非公开个人信息;在金融机构与客户建立信用关系之初或在保持客户关系期间应至少每年一次,向客户提供有关金融机构的隐私政策和做法,主要包括以下内容:本金融机构可能向其披露非公开个人信息的非关联的第三方的类型;将已在本金融机构销户的客户的非公开个人信息向非关联第三方进行披露的政策和做法;本金融机构保护客户的非公开个人信息的种类;本金融机构保护客户的非公开个人信息秘密性与安全性的政策。

(三)加拿大的隐私权法

加拿大的《隐私权法》(Privacy Act)主要是要求政府机构中收集和掌握个人信息的部门,必须把征信范围限制在直接为本部门的规划及活动而不得不收集的信息。这类信息应当直接从被收集人本人那里、而不是从第三人那里去收集。掌握个人信息的部门必须采取一切措施确保信息的准确、完整和不过时。政府有关部门每年至少应将个人信息库(Personal In-formation Banks)的索引公布一次。只有当信息部门的负责人认为透露某人的信息是公共利益的需要或对涉及信息的个人有益时,方得透露。

被收集了信息的个人,有权要求看到信息库中关于自己的信息,也有权要求改正其中不确切的部分。但信息部门可以因国际事务、国防、司法等理由拒绝个人见到某些信息。此外,如果信息部门认为某些信息个人见到后,将有损加拿大联邦政府的政务,也可以拒绝某些人的要求。与庭外律师业务有关的个人信息,及与医疗有关的个人信息,也可以拒绝让本人见到。如果任何个人对于拒绝其见到本人信息的做法不服,可以向依照隐私权法专设的隐私权委员会申诉,

对该委员会的决定仍旧不服的,还可以向联邦法院。

三、构建我国个人信息保护法律制度的建议

参照各国的有益经验,我国除了采取必要的技术措施保护个人信息外,还应当通过立法确立个人信息安全的法律地位。除了要在将来出台的《民法典》中将隐私权作为一项独立的人格权加以规定,同时还应当加快《个人信息保护法》和《征信管理条例》的立法进程,建立完善的个人信息保护法律制度。

(一)规定信息采集的主体、范围和程序

1、信息采集的主体,即征信机构。

征信机构在信用体系中起主导作用,其运营会涉及众多个人利益和社会利益。因此,对于个人征信机构必须设立较高的市场准入条件。一方面要规定征信机构从事征信活动的硬件条件,如必要的注册资本、完善的技术设施、数据库系统、自动或人工核查系统、必要的安全和保密措施等;另一方面,对征信机构的组成人员的素质和管理手段也要予以详细规定,实行任职人员资格准入制度。此外还应详尽规定个人征信机构的业务范围、审批程序、权利义务等。

2、信息采集的范围。

(1)信息内容上的限制。

可采集的个人信息应当包括且仅限于以下内容:

一是个人身份识别信息,包括姓名、性别、出生日期、身份证号、户籍所在地、居住地、婚姻状况、家庭成员状况、受教育状况、工作单位等。

二是商业信用记录,包括在商业银行的个人贷款及偿还、个人信用卡使用等有关记录,与商业银行或住房公积金管理中心等机构发生的其他信用行为记录,以及个人与其他市场主体、公用事业服务机构发生的信用交易记录。

三是社会公共信息记录,包括个人纳税、参加社会保险以及个人财产状况及变动等记录。

四是行政司法记录,包括有可能影响个人信用状况的涉及民事、刑事、行政诉讼和行政处罚及其执行情况的记录。

五是其他已经依法公开的个人信用信息。

禁止采集的个人信息应当包括:

一是种族、家庭出身、、政治归属、性取向以及身体形态、基因、血型、指纹、疾病和病史等可能使被征信个人受到歧视的信息。

二是个人爱好、生活习惯等与个人信用无关的信息。

三是法律、法规规定应当保密或者禁止采集的其他个人信息。

(2)信息时间上的限制。

个人的信用状况会随着时间的变化而发生变化,如果一次信用的好坏成为个人信息中的永久记录,不利于个人改善自己的信用状况,也不能真实地反映被征信人当前的信用状况。为此,必须对征信机构收集信息进行时间上的限制。按照国际惯例,一般的负面信息保留7年,但特别严重和明显恶意的负面信息保留10年。超过保留期限,负面信息就将在信用报告中被删除。

3、信息采集的程序。

(1)信息采集以征得被征信人同意或授权为原则。

征信机构采集个人信用信息应当征得被征信人的书面同意或明确授权。个人在工作、信贷、保险、公用服务等业务或服务申请填写的个人信息,其全部或部分内容是否可以作为信用信息被征信机构采集、是否可以向第三方提供或被使用,应当予以专款明示,并告知其信息可能被应用的领域、途径等,由申请人签字。

(2)信息采集以不经被征信人同意为例外。

在信用交易活动中受侵害一方当事人提供的对方不良信用记录,通过政府政务公开信息渠道直接采集的信息,不利于个人信用状况的涉及民事、刑事、行政诉讼和行政处罚及其执行情况的记录等已经依法公开的信息,征信机构可以不经被征信人同意直接采集。

(3)采集方式的禁止。

征信机构不得以欺诈、窃取、贿赂、利诱、胁迫、侵入计算机系统筹不正当手段采集个人信息。

(二)规定信息披露及使用的目的、范围和程序

这主要是指对两类主体的法律规制。一是对征信机构的规制,即征信机构不得随意披露个人信用信息;二是对信用信息使用者的规制,即信息使用者不得滥用个人信用信息,而必须依法定或约定目的合理使用。

1、为公共利益需要披露和使用个人信用信息无需经被征信人同意。

为国家、社会等公共利益需要,可以披露和使用个人信用信息,并且可以不征得被征信人的同意和授权。如作为候选人参加人大代表等公众选举、取得与信用状况有关的特定行政许可等。

如果披露或使用个人信用信息将有损社会公共利益或者善意第三人的利益,则虽经被征信人同意或授权,还是不得披露和使用。

2、为被征信人之利益而披露和使用个人信用信息必须经被征信人同意。

主要范围包括:一是用人单位招聘员工的;二是公用事业单位对被征信人提供服务的;三是金融机构对被征信人提供信贷、保险等服务的;四是商业企业或个人与被征信人发生赊销、借贷等与信用有关民事关系的;五是机关企事业单位评选劳动模范、先进人物等荣誉称号的;等等。凡是被征信人要求或者授权他人查询和使用信用信息的,均视为符合被征信人之利益。征信机构之间共享或交换个人信用信息的,应当属于信息采集的范畴,适用信用信息采集的规定。

(三)规定个人的合法权利

1、保密权。个人有权决定是否对外公开其个人信息及公开的内容和范围,有权禁止他人非法收集、储存、利用、披露自己的个人信息。

2、使用权。个人有自主使用和许可他人使用本人个人信息的权利。被征信人有权向征信机构索取自己的个人信用报告,并利用自己的信用报告从事合法活动。

3、知情权。个人有权知悉本人个人信息被收集、储存、利用、披露的事实,也有权知悉该个人信息的内容、用途及使用者的有关信息。

4、更正权。个人有权要求征信机构保证其持有的关于自己的个人信息的准确性和及时性,对不准确、不及时的信息有要求更正或删除的权利。

5、求偿权。个人在其个人信息被非法收集、储存、利用、披露并对个人隐私和其他合法权益造成损失时,可请求民事赔偿。权利人可以向征信机构的主管部门或上级部门进行申诉,也可以向消费者协会投诉,或者向人民法院,请求司法救济。

(四)建立并完善相应的配套机制

1、建立科学的个人信用征信服务定价机制。

个人信用征信服务应当是一种有偿服务。国家征信监督管理部门应当按照市场原则,建立一套科学的个人信用征信服务定价机制。在制定定价机制时,应当充分考虑个人信用信息采集的成本、征信管理机构的管理运营成本、服务的对象、个人信用报告的用途等。征信服务定价还应考虑各地经济发展水平差异,在全国性指导价格下确定区域性定价标准。

2、建立完善安全严密的信息存储、管理、流转机制。

一是要有完善的信息安全管理、保护措施和程序,确保个人信息的安全;二是要制订信息的更新程序,对有关信息进行定期或不定期的及时更新;要制定完善的异议处理程序,对被征信人提出的异议及时调查和处理,确保信息的及时性和准确性;三是要限制个人信用信息流转的渠道,禁止信息从互联网等渠道进行流转、传播;四是要有个人信息泄露的预警和防范措施,以及信息泄露后及时补救和减少损失的措施。

3、建立相应的责任追究机制。

要规定合理的责任追究机制,明确征信机构及其内部工作人员、个人信用信息使用人、个人信用信息提供者等各方主体虚假提供或不当储存、加工、披露、使用个人信用信息,构成侵权行为的内容、形式及应承担的责任;构成犯罪的还应追究刑事责任。

精选范文
学术杂志
友情链接