你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 个人信息安全存在的问题

个人信息安全存在的问题范文

发布时间:2023-10-12 17:41:23

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇个人信息安全存在的问题范例,将为您的写作提供有力的支持和灵感!

个人信息安全存在的问题

篇1

在现实工作中,掌握和接触个人信息的机构、部门,有关个人信息管理的制度不健全、措施不到位,不严格履行对个人信息档案管理的职责与义务。尤其是档案管理上还存在漏洞,在个人信息档案的收集、审核、鉴定、使用、归档等方面不规范,致使个人信息泄露,从而导致非法滥用个人信息的侵权行为时有发生。

2.公民的个人信息安全保护意识淡薄

一是社会公民对个人信息的基本认识不足,主要表现在对个人信息不受侵犯或对个人信息档案安全保护等不够重视。如随意将自己的身份证号、电话号码、家庭住址等信息透露给他人。二是一些掌握个人信息的部门档案安全保护意识淡薄,个别工作人员将个人信息档案随意乱放,不重视维护个人信息档案主体人的权益,无意间造成公民个人信息的泄露。三是一些工作人员违反职业道德,不履行保密义务,将公民个人信息资料出售或泄露给他人以谋取非法利益。四是在网络化、信息化背景下,大量的个人电子信息可以通过在线储存、备份、传输,这就使个人电子信息安全面临着更大的挑战。

二、个人信息档案安全管理的途径

1.加快个人信息安全保护的立法进程

国家应尽快出台《个人信息安全保护法》,依法管理并保护个人信息。目前,《中华人民共和国刑法修正案》对公民个人信息档案安全保护做了明确规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处罚金。”但是,仅有刑法的威慑力还不够,与之相关的民事责任、行政职责还须及时跟进和完善。当前,多数情况还是行为人侵犯了公民个人的民事权利,而利用公民个人信息导致犯罪的还是少数。鉴于当前法律救济的规定还不完善,实践中普遍存在取证难、索赔难等困难,加之市场经济的不断发展,经营者主体日益多元化,侵权人无视被侵权人的民事权利也愈演愈烈。因此,建议借助修改《档案法》和制定《个人信息安全保护法》的有利时机,从保护公民个人信息安全的角度,用法律法规来规范个人信息的采集、管理、交流、使用等行为,为更好地保护个人信息安全提供法律依据。

2.规范个人信息档案安全管理

个人信息档案作为一种特殊档案,对其规范管理是保护个人信息安全的关键。首要任务是确立个人信息档案安全保护的基本法律制度,使所有的政府机构与非政府组织保存的个人信息得到法律保护,进而建立起完整系统的个人信息档案安全保护法律体系。同时,各有关部门应建立健全相关的安全管理制度,规范个人信息档案的管理。个人信息档案安全管理制度,不仅可以对公民个人信息的安全起到保护作用,更重要的是可以规范和约束个人信息档案管理人员的职业行为。

篇2

中图分类号:D923 文献标志码:A 文章编号:1002-2589(2015)15-0076-02

近年来,大数据时代的到来使得网络借贷这一借贷模式得到了快速的发展。但由于网络借贷依托于互联网平台,且互联网本身具有虚拟性,使得借贷客户的个人信息在互联网中被不特定的人群所传播和非法利用的风险不断增加。

一、背景概况

(一)大数据下网络借贷的兴起

“大数据”这一概念是由全球知名咨询公司麦肯锡提出。本文中的大数据是指依托互联网、云计算等新技术产生的大量数据,其在金融、计算机、信息管理等领域发挥了巨大的作用并具有重要的地位和战略价值。通过对大规模数据的分析利用,如收集分析网络借贷平台的交易信息和个人信息等,从而进一步了解客户的资金需求,分析客户群体的共性与个性等以实现一定的经济价值与社会价值。

随着大数据时代的迅速发展,网络借贷作为一种新型的民间借贷模式在互联网间扩展开来。网络借贷是一种依托互联网产生的为放贷人和借款人提供借贷信息,按照一定流程在网络上自动达成借款合同生成电子借条从而完成借贷融资的一种模式。2007年我国第一家民间借贷网络平台“拍拍贷”于上海成立并开始正式运营,这意味着网络借贷模式正在悄悄走入我国民众的生活。经过几年的运营实践,目前我国已形成以上海“拍拍贷”、北京“宜信”为代表的一定数量的民间网络借贷平台。它凭借网络突破了时间和地域的限制,扩大了民间借贷的范围,同时更加充分满足了个人及中小企业的资金需求。网络借贷平台的运营模式采用竞投标的方式,要求借款人进行注册并如实填写具体相关个人信息,如身份信息、家庭住址、联系电话、工作证明、收入状况、银行卡号等,在注册登录后便可在网站上自己的借款需求,包括借款金额、借款期限、借款理由、利率、还款方式等。同时,放贷人可根据借款人的具体需求,通过竞标方式进行放贷活动,通过不断竞价借贷双方最终达成借款协议。在网站对借款人信用报告审查通过后,资金将会流入借款人的账户,网站也将自动生成电子借条,通过电子邮箱、手机短信等方式送达借款人和放贷人。

(二)网络借贷中个人信息安全问题的表现

个人信息的泄露是个人信息安全问题的主要表现之一,是指通过将个人信息进行大范围公开,以实现主体对于自身的信息失去控制的状态。网络借贷不同于其他借贷方式,由于其依托于互联网,非常透明化,需要通过网络了解借贷双方的个人信息,并且网络借贷平台为借贷双方提供“一站式”服务,从信息、审核资料到转账借款等都是由网站进行专门的服务,借贷客户只需要进行会员注册登录,并将自己的个人信息提供给平台,就能进行借贷活动,没有十分严格的准入机制,这就要求平台自身对用户的个人信息尽到保密义务。然而,在借贷平台为客户提供高效便捷的服务外,由于交易完全依赖于网络,其虚拟性和开放性也导致了客户个人信息泄露方面的风险,如客户身份账号等个人信息在交易时被非法盗取、网络借贷平台利用客户个人信息非法获利等。个人信息具有人格权的属性,其不仅具备了精神价值,也包含着巨大的经济价值。2012年某借贷网站就发生了因借款人未及时还款便将用户个人信息张贴在网上公之于众的事件,其中个人信息甚至详细到手机号码和个人照片等,该网站这一行为不仅泄露了用户的个人信息,而且侵害了用户的隐私权。

二、个人信息安全问题的分析

大数据的运行要求大量的数据收集作为运作基础,在网络借贷中,借贷双方需要填写完整准确的个人信息作为借贷的信誉保证,由此网络借贷平台掌握着大量的客户详细资料。并且,便利的数据收集再加之互联网本身的虚拟性,由此在网络借贷中,引发最突出的问题是借贷客户的个人信息能否得到安全保障而不外泄。

(一)平台行业自律问题

大数据时代对于数据本身所拥有的经济价值的追求达到历史的新高度,数据拥有者为了获得相关经济利益而向个人或组织非法出售他人个人信息,这种行为不仅造成个人信息的外泄,更侵犯了借贷客户的个人信息安全的权益。网络借贷平台第三人对于大数据拥有者的恶意进攻会造成他人个人信息的外泄或者传播。目前我国网络借贷行业还没有一个统一的行业标准,因此对用户个人信息的保护存在较大的风险。

(二)相关法律法规的不完善

就目前我国的法律法规而言,网络借贷平台的形式和法律属性还没有得到正式的认定,现阶段针对网络借贷平台出台的相关官方文件仅仅局限于我国银监会的《关于人人贷有关风险提示通知》,且该行业针对网络借贷平台的法律监管问题并未提及。由于对于网络借贷平台的监管力度的缺失,监管门槛特别低,网络借贷平台的监管不力,这就导致第三人对平台的个人信息进行随意的进攻和外泄,对于恶意侵犯者得不到及时有力的惩处。其次,对于网络的发展和个人的信息安全缺乏相关的法律明文规定,在此次的《刑法修正案(九)》(草案)中,七大亮点之一是对于出售或非法提供个人信息,网络虚假信息都将写入刑法中,为了加强对于公民个人信息的保护,扩大犯罪主体的范围,增加出售或者非法提供个人信息安全的犯罪的规定。但是该法律草案并没有将犯罪的危害程度和危害方式得以进一步明确,对于打击恶意侵犯者没有强有力的保障措施。

(三)用户信息安全意识薄弱

个人信息主要包含以下两方面,一是自然属性的信息,即记述个人自然情况的信息,如性别、身高、患病情况等信息。二是社会属性的信息,即自然人在参与社会实践中形成的信息,如婚姻状况、工作单位、通讯记录、银行账号等信息。由于个人信息的人格权属性其同时具备精神价值和一定的经济价值,但部分人对个人信息的经济价值以及网络的安全性缺乏一定认识,对于信息的保密安全意识较为薄弱,因此往往在网络活动中不会对自己的个人信息加以保护,造成个人信息被泄露或非法利用等后果。

(四)网络技术安全指数达不到要求

由于网络本身的虚拟性和透明性,加之网络的数据系统和安全系统也存在一定的漏洞,则大大增加了网站被恶意进攻的危险性,降低了网络的安全指数,造成了个人信息的泄露和非法利用等严重后果。

三、国外网络信息安全保护方式

针对大数据时代的发展对个人信息安全带来的巨大威胁,许多国家在加强网络信息安全的法律保护方面已取得共识。根据“任何对互联网的规制都不应阻碍其发展”这一基本原则,由于不同国家对收集使用网络个人信息对电子商务、网络发展造成的影响的估计不同,因此对依托网络产生的个人信息安全问题的法律保护、救济的模式不同。总体来说,有关国外网络信息安全保护方式可以分为立法规制与行业自律两类,分别以欧盟和美国为代表。

欧盟主要通过完善法律的手段来保护个人信息安全。为了保障个人自由和基本人权,并确保个人信息资料在欧盟成员国之间的自由流通,欧盟议会在1995年10月24日通过了《欧盟个人资料保护指令》。在该指令中,资料控制者存在以下义务:保证资料的品质、资料处理合法、敏感资料的禁止处理与告知当事人等。资料当事人则享有接触权利与反对权利,并有权更正删除或封存其个人资料。

与欧盟相比,对于网络上的个人数据及隐私保护,美国更注重行业自律的保护方式。FTC就该问题制定了四项“公平信息准则”:要求网站搜集个人信息时须发出通知;允许用户选择信息并自由使用信息;允许用户查看有关自己的信息并检查其真实性;要求网站采取安全措施保护未经授权的信息。

四、完善网络借贷信息安全体系的建议

(一)建立健全个人信息保护立法

一方面,加快互联网金融的个人信息法律保护,尽快建立健全相应的个人信息保护立法,在法律上确认个人信息的商业价值,将具有法律上的隐私性质的个人信息加以重点保护,应当将非法买卖和滥用个人信息行为定位为财产侵权的犯罪行为,将他人信息泄露和传播的行为定位为权益侵犯的犯罪,对于影响范围较广,损害程度较深的行为,加大刑事处罚责任,震慑犯罪行为。另一方面,《隐私权保护法》应规定网络借贷平台负有为客户保护个人信息不被泄露的义务,不得侵害客户隐私权,网络借贷平台在法律规定的范围内使用客户个人信息,不得靠泄露客户个人信息获取非法收益。网络借贷平台如未尽保密义务,必须承担一定的法律责任,应进一步明确完善网络借贷平台的责任内容、处罚手段、赔偿标准等。

(二)强化网络技术手段的保护

网络借贷平台涵盖了大量的用户个人信息,一旦网站被恶意进攻,后果不堪设想。因此,要加强网络借贷平台数据库以及应用层面安全体系的建设,采用多种网络技术手段,使用各种程序和安全技术来保护借贷客户的个人信息免受未经授权的访问或使用,努力开发更先进的网络方式和手段,降低信息泄露风险的发生,保障客户个人信息安全,增加网络借贷的安全性。

(三)健全网络借贷平台的行政监管

要明确监管主体,根据我国《银行业监督管理法》的相关规定,银监会主要职责之一是承办对非银行金融机构的监管工作。同时,银监会对网络借贷行业的发展已经掌握了大量的行业资料,并对其风险已有足够认识,因此,可以确定银监会作为监管主体的地位。另外,基于网络借贷平全网络化的运营特点,可以由银监会联合工信部对于网络平台进行必要的审查和管理,并完善两者之间分工。还要完善监管规范,完善市场的准入和退出机制,由于网络和金融在创新方面的快速不断发展,就应当加强对网络借贷平台业务范围的有效控制,防止网络数据拥有者对于他人个人信息的非法操作和泄露。加强网络借贷平台的内部控制制度的完善,对关键岗位的关键操作人员进行监督,加强内部监管制度建设。

(四)加强网络借贷行业自律

对于网络借贷行业,加强自身的建设,履行保护借贷客户的个人信息安全的义务,对于客户的个人信息进行保密。网络借贷商不断完善网站的保密体系,需有关部门进行软件等级检测和认证,测评通过以后才可以在互联网上进行使用,保证在借贷运行过程中不存在威胁个人信息安全的软件。还要履行自身的告知义务,在借贷客户进行个人信息注册时,应当事先告知客户存在的风险,其个人信息将在何种范围内进行公开,并承诺在该范围外不予信息公开和泄露。如果有需要进行客户信息泄露的情况下,应当得到客户的同意,并在其允许的范围内进行信息的公开。

目前,例如“人人贷”“速贷帮”等网络借贷机构自发成立了小额贷款服务中介机构联合委员会,并对参与进来的机构,签署行业自律公约,更多的网络借贷平台应当参与进来,共同维护网络的客户信息安全。

(五)提高个人信息安全的保护意识

法律手段和技术手段的完善能够降低信息安全泄露的发生,但作为网络借贷的客户,应当提高自身的安全保护意识,在借贷行为过程中,对于相关的网站和信息,加强自身的甄别能力,明确哪些个人信息是需要填写和审核的,及时清理上网痕迹,清除个人信息,注意私人信息的保护,避免由于自身行为操作的不当而造成信息的泄露,平时多关注信息安全问题,掌握信息泄露的措施。为保障个人信息安全,应当对个人信息进行密码保护,个人切勿泄露密码以及本人的个人资料给他人,对此造成的损失应当由借贷客户自付。

参考文献:

[1]吴晓光,曹一.论加强P2P网络借贷平台的监管[J].南方金融,2011(4).

[2]黄震,何璇.P2P网络借贷平台的法律风险及防范[J].金融电子化,2013(2).

[3]王艳,陈小辉,邢增艺.网络借贷中的监管空白及完善[J].当代经济,2009(24).

[4]齐日光,于立志,高永泉.网络信贷平台监管缺失应予关注[J].吉林金融研究,2010(10).

[5]李爱君.民间借贷网络平台法律制度的完善[J].福州大学学报,2011(6).

[6]艾金娣.P2P网络借贷平台风险防范[J].中国金融,2012(14).

[7]陈宋阳.我国民间借贷法律监管研究[D].重庆:西南政法大学,2010.

篇3

 

在科技日新月异的互联网时代,个人信息安全成为热点问题。新的革命性的信息技术——云计算的产生和运用,使信息的交流和处理方式有了极大的变革。学界对“云计算”并没有统一的界定。按照美国国家标准与技术研究院(NIST)的定义,云计算利用计算资源共享池,从而提供可用的、便捷的、按需的网络访问,并按用量付费。

 

云计算技术的运用,为信息技术时代提供了更多的可能性。但在这些服务的背后,往往存在着一个人信息安全隐患。谷歌Gmail、微软Hotmail、Salesforce服务等云服务巨头都不同程度地出现了云计算安全事件,给个人信息安全保护带来极大的挑战。

 

在云计算大量运用以前,个人数据均被存储于信息主体所能控制的储存设备中,个人能够根据自己的需要采取必要的安全保护措施,并控制自己信息的流出。而云计算的出现使用户实际上失去了自己信息的控制权。

 

此外,云服务的开放性和参与性,在一定程度上暴露了用户的个人信息。用户使用云服务的过程中,用户的个人的爱好、习惯都被云服务商获取,扩大了个人信息安全风险。

 

二、云计算损害个人信息安全的风险分析

 

(一)云计算技术本身损害个人信息安全

 

信息安全风险产生的原因在于用户在使用云计算服务时是通过用户名和账号密码进入自己信息存储的云端。一旦黑客破译或其他不法分子利用诈骗等手段进入用户的云端之中,那么用户的个人数据就极有可能被曝光泄露。

 

除了账号密码泄露的风险外,网络上充斥的计算机软件病毒更容易导致信息安全事故的产生。一旦计算机硬件出现问题,用户的个人信息也可能会遗失或泄露。

 

(二)云服务提供商损害个人信息安全

 

企业为扩大自身影响力,都有自成体系的云计算标准,试图在云计算领域占得先机。与此同时,不同的技术标准带来的是兼容问题。现今,在云计算服务倍受推崇的新情况下,各大服务商从主要以工具、产品和服务的竞争过渡到生态的竞争,建立自己的生态系统。据此,即使云计算技术迅速发展的现在,其技术壁垒仍然不可避免。

 

(三)个人信息保护制度不健全损害个人信息安全

 

1.传统信息安全保护概况

 

目前,我国在仅在《中华人民共和国身份证法》、《中华人民共和国护照法》直接规定了个人信息的保护问题。部分行政法规、部门规章、司法解释,也直接提及了个人信息保护。除此以外,还有间接通过个人隐私等范畴保护个人信息。例如《宪法》规定了“公民人格尊严不受侵犯”、“公民住宅不受侵犯”。《民法通则》也规定“公民的人格尊严受法律保护”。此外,《刑法》、《民事诉讼法》、《刑事诉讼法》中也有部分关于个人信息保护的相关规定。

 

我国个人信息保护条款数量十分有限,适用范围狭窄,没有针对个人信息保护的统一法;大部分规定可操作性低,只是笼统地要求保护,没有明确保护的措施和所要承担的法律责任;在新技术条件下,保护个人信息的条款已严重滞后。

 

2.个人信息保护新规定

 

2013年9月1日,《电信和互联网用户个人信息保护规定》(以下简称《规定》)正式实施。《规定》明确了个人信息的范畴,确定了电信业务经营者、互联网信息服务提供者应当保护在提供服务过程中收集、使用的用户个人信息的责任。虽然《规定》已系统地规定了个人信息保护的主体、客体、具体措施、法律责任等问题,但其针对的仅仅是在我国境内提供网络服务时的涉及个人信息的活动。因此,规定中涉及的“个人信息”范畴并不包括在电信服务和互联网服务之外的用户信息例如银行的个人金融信息,就不适用该部门规章,也无从全面保护个人信息安全。

三、云计算环境下个人信息安全保护的对策

 

(一)加快制定个人信息保护法

 

个人信息保护问题涉及了多个法律部门。它保护的不但是个人信息安全,而且涉及个人隐私等其他人格利益。因此,中国应加快出台个人信息保护法或者个人资料保护法,从总体上界定个人信息的基本内涵,确定相关主体的范畴及其权利义务关系,确定相应的规则体系和惩罚赔偿机制。

 

(二)建立统一的技术标准和行业规范

 

建立云计算的统一技术标准和行业规范,可以规制各种数据在不同平台之间的迁移,促进云计算的发展。2015年11月,工业和信息化部了《云计算综合化标准体系建设指南》,首次明确了国内云计算标准体系建设的基本方向。

 

即使已有《指南》,但建设统一技术标准和行业规范仍旧任重道远。政府相关部门应当借助倡议书和建设指南,联合国内厂商,借鉴国外先例,加快制定符合国情的云计算标准体系,在国内优先推广的同时与国际接轨,扩大中国云计算标准体系的使用范围和影响力。

 

(三)提升民众的信息保护意识

 

篇4

一、前言

大数据时代的到来在很大程度上便利了人们的生活,同时个人信息安全也面临严峻挑战。2018年个人信息安全问题再次纳入两会,如何加强个人信息安全和防范网络欺诈,成为两会代表们的热议话题。高速信息化带来的挑衅事件也屡次发生,让我们开始对自身个人信息安全素养进行反思。信息安全素养指人们在信息化条件下对信息安全的认识,以及针对信息安全所表现出的各种综合能力。信息安全素养的概念主要源自日常信息安全管理的需要,较大程度上受到信息安全意识概念的影响,同时与信息素养概念密切相关。信息安全素养内涵丰富,不仅包括信息安全意识,还包括后续各种防护能力、信息伦理道德和法律法规知识等内容。对此对吉林省60周岁以下的城市居民作出了一项有关个人信息安全素养的问卷调查。对其中个人信息安全状况、个人信息安全意识、个人信息安全知识及个人信息安全能力四个部分进行分析。同时针对吉林省城市居民进行个人信息安全问题的小组访谈和深度访谈,结果表明城市居民相对农村居民遇到问题较多,因此我们的研究对象定为吉林省城市居民。抽样方式以比例抽样、等距抽样、纯随机抽样相结合的方式科学地确定样本。此次调查的受访者主要分布于吉林省九个州市,其中受访者男女比例均衡,年龄以50岁以下为主,学历为大专或本科居多,职业中工人(含企业基层员工及农民工)和学生的较多,月收入多在3000~5000元。通过此次调查分析,探索吉林省城市居民在个人信息安全素养方面存在的问题,从而提出科学可行的建议。

二、吉林省个人信息安全素养分析

(一)个人信息安全状况

该部分整体情况不容乐观,我们调查了市民认为易导致信息泄露的行业、信息侵犯的方式、年龄与是否遇到个人信息安全问题,并做了相关的分析。结果表明受访者大多认为电子商务、房屋中介和物流行业这三个行业相对其他几个行业更容易导致信息泄露,这三个行业都具有数据量庞大、数据处理速度快和价值密度低的特点;受访者对自己的电话号码、社交账号这类信息不够重视,其中受“垃圾信息骚扰”的侵犯最多;在不同年龄段中,遇到个人信息安全问题的频率各不相同,其中50~60岁的受访者接触新鲜事物较少,风险相对较小。

(二)个人信息安全意识

该部分整体情况相对较好,我们调查了受访者接受相关教育的意愿与检查支付环境的问题、城市与受访者阅读用户协议的情况,并做了相关的分析。结果表明,教育意愿强烈的人安全意识较强,安全素养较高,并会在支付时注意网络环境;阅读用户协议方面,长春市、白城市和四平市的受访者阅读用户协议次数较多,但延边州的受访者几乎不阅读。长春市、白城市和四平市经济发展中等偏上,市民个人信息安全意识相对较好。具有良好的信息安全意识是保护个人信息的前提。

(三)个人信息安全知识

该部分整体情况一般,我们对知识宣传活动在不同城市分布情况、城市与受访者是否了解信息安全法律法规的问题进行了相关的分析。结果表明,各地区大部分都有个人信息安全的宣传活动,但宣传力度不大且宣传方式比较单一;在了解信息安全法律法规城市中,长春市、吉林市、四平市不了解相关法律政策的受访者与了解相关法律政策的受访者差值相对较小;白山市、白城市和延边州三者对比差值较大。结果说明经济、文化、技术发展相对落后的城市相关个人信息安全知识普及不够全面。同时受访者对“个人信息安全相关法律政策”的掌握程度较低,重视程度也最低。

(四)个人信息安全能力

该部分整体情况次于意识方面,我们对受访者收到垃圾邮件的处理方式、对相关法律了解情况、年龄与信息泄露后不知所措的问题做了相关的分析。结果表明,有60%的受访者会过滤垃圾邮件并定期删除;受到侵犯后选择法律诉讼的受访者认为法律途径更具有权威性,相反不选择法律诉讼的受访者可能由于法律政策不明确、不健全而放弃法律诉讼,可见健全相关法律法规尤为重要;而在处理问题中,年长的人由于阅历丰富,了解多种解决问题的途径,所以年长的人信息安全能力相比年轻人更强。

三、结论

(一)个人信息安全现状堪忧,垃圾信息骚扰最严重

在对受访者收到垃圾信息的问题调查分析中发现,大部分受访者收到过垃圾信息骚扰,其中有75%的人认为受到侵犯的频率较高。此外,大多数受访者认为电子商务是最容易泄露信息的行业。由于电子商务行业是以信息网络技术为手段,因此收集利用个人信息十分容易。

(二)个人信息安全意识相对较好,阅读用户协议意识欠缺

通过调查发现,延边州的受访者几乎不阅读用户协议,长春市受访者阅读用户协议次数较多,相对而言延边州的受访者对文字关注度较低。再者,经济发展相对较差的城市受访者个人信息安全意识较差。

(三)个人信息安全知识欠缺,对相关法律政策掌握不够

调查发现受访者普遍对个人信息安全的法律法规掌握程度较低,且受访者意见的集中程度很高。这可能与我国相关的法律法规有一定关系。现阶段《宪法》和其他法律尚未明确规定侵犯公民个人信息和隐私权的范围及其追究方式,导致个人信息经常被人倒卖或泄露而无法追究责任。

(四)个人信息安全能力薄弱,缺乏防范意识

在对个人信息安全能力调查分析时,分析结果显示,有72%的人较了解相关法律政策,但是没有选择法律诉讼,这很有可能是由于我国信息安全的法律政策不完善,没有专门针对个人信息安全的法律,使人们放弃此途径。

四、建议

我们利用GooSeeker软件,对微博、知乎及百度新闻等各大论坛中,网友对个人信息安全相关问题的看法进行数据采集,然后利用Python语言进行词频统计,绘制词云。词云图可以展示网民对个人信息安全的看法,其中,垃圾邮件、网站、企业、用户、密码、泄露出现频率最多,反映了我们个人信息安全在生活中的现状,结合分析词云我们提出相关建议。

(一)加强素质教育,信息安全教育势在必行

将个人信息安全素养引入教学势在必行。“高校是人才培养的高地和思想文化建设的重地”,个人信息安全素质的培养要从小抓起,培养高度的安全意识、守法的行为习惯、必备的防护技能。此外,在社会范围内举办网络攻防竞赛,宣传网络攻防原理,有助于人们明确木马、钓鱼网站的特点,更好地防范信息泄露。

(二)加大政府监管力度,提高行业自律能力

创建良好的个人信息安全环境,是培养个人信息安全素养的一个外界因素。吉林省各个地区的政府部门要加强监管,特别是白山市、白城市和辽源市,着重提高电子商务、房屋中介和酒店这三个行业的行业自律意识。政府要强化个人信息保护执法监管,完善相关部门职能,优化相关个人信息安全制度;行业要提高信息安全自律,建立监督机制,加强数据的管理。

(三)进一步构建和完善个人信息保护法制体系

篇5

在科技的发展下,我们已经步入了大数据时代,社交网络开始兴起,越来越多的人利用社交网络来分享自己的所见所闻,我们也开始通过电脑、手机来记录信息,社交网络中的个人信息也开始成为商家博弈的焦点,在开发社交网络的过程中如何保护个人信息是大数据时代亟待解决的一个问题。

1社交网络用户个人信息安全存在的挑战

社交网络运营商必须要在掌握大量数据的基础上来分析用户、预测市场走向,这样才能够在激励的竞争中一直都处在不败之地,但是,这同时也是一把双刃剑,虽然能够帮助商家准确的预测信息,但是也给个人信息安全性带来了巨大的挑战。其风险主要表现在以下几个方面:

1.1账号被盗的风险

账号安全是我们使用社交网络的基本要求,在大数据环境下,人们的社交网络账号越来越多,为了方便记忆,常常使用同一个手机号与邮箱进行认证,为了便于后续的操作,网络运营商之间也在不断的进行合作,同一个账户可以享受多个网站的服务。同时,数据的关键性非常强,一旦其中一个账户被盗,就会波及其他的账户,账户安全问题是非常严峻的。

1.2个人信息控制权问题

与传统环境相比而言,人们对于个人信息的控制权变得越来越低,在传统环境下,信息控制需要付出较高的代价,但是在现阶段的时代,个人的信息很容易被收集、访问以及传播,对不同社交网络的信息进行分析与整合,能够建立起一种包括朋友圈、喜好、个人履历、信仰的信息体系。如果这些信息被黑客获取,很容易影响我们的信息控制权。

1.3隐私安全问题

隐私安全问题是目前个人信息安全面临的最严峻威胁,人们的地理位置、日程、情绪已经被数据化,与传统互联网时代相比,大数据时代数据之间的关联性更加高,虽然运营商对于这些信息都会进行匿名处理,但是,不安好心的人可以通过软件将这些分离的数据关联起来,导致数据匿名性失效。

2在社交网络中如何保护个人信息的安全性

如何保障个人信息的安全性是使用社交网络必须要考虑到的重要问题,需要从行业、国家与用户层面进行应对,充分发挥出创新用户的优势:

2.1要有法律保障

大数据在我国还属于一种新生事物,行业需要不断的前进和努力,关于大数据还没有完善的法律制度,这是无法保障个人信息安全的。目前,《信息安全技术、公共及商用服务信息系统个人信息指南》是保护个人信息的最高标准,其实施时间是2013年3月份,对于相关信息予以了明确的界定,但是这是无法保护个人信息安全性的。同时,散落的信息也难以满足用户的信息控制权,为了最大限度的保障个人信息安全,必须要及早制定好完善的法律法规,出台《个人信息保护法》。

2.2完善行业自律公约

良好的行业自律公约是保障这一行业和谐发展的前提条件,要让社交网络之路走得更加长远,就需要构建起关于本行业的规章制度。这可以采取几个措施:第一,尊重每一个用户的知情权,为他们提供授权的方式,在服务条款中阐述信息数据的使用期限和使用方式;第二,寻求个人信息的拥有者,为数据服务商、数据消费者以及个人信息拥有者制定出完善的行业自律公约,保障数据应用的科学性,保障用户个人信息的安全性和隐蔽性,为他们营造出良好的数据使用环境。

2.3提升用户的信息安全素养

用户是使用社交网络的主人,要真正保证个人信息的安全,用户必须要具备一定的安全素养,信息安全素养主要由信息安全知识以及信息安全能力有机组成。实际上,信息安全知识是非常丰富的,作为使用者的我们需要加强学习,积极主动的了解病毒、木马的特性,提升自己的信息安全意识,明确自己的责任与义务。同时,在使用社交网站的过程中,要遵循相关的法律法规,对于重要资料,要定期进行备份,此外,还要定期对自己的移动设备和电脑进行更新,避免使用公共网络,这样才能够最大限度的保障个人信息的安全性。

2.4提升社交网络企业信息安全管理水平

无论是法律制度与行业自律,都离不开外部力量的保障,社交网络企业必须要采取合理的措施提升用户信息安全性,用户信息安全保护的主体主要针对社交网络企业,他们为了开展业务,需要收集大量的信息,各个社交网络企业必须要将保障用户信息的安全提升到一定的高度,加强管理力度。目前,大多数社交网站都采用了Ajax技术,在运行过程中,必须要关注CSRF以及XSS的攻击,在网站成立初期,可以限制用户的输入内容,对页面开展代码测试。同时,还要具备良好的信息伦理道德,注重对用户信息的保护,细化隐私条款,制定出安全的网站访问指南,在收集以及利用信息时,应该设置好限制,明确收集目的,对于涉及财产安全和用户隐私的信息,必须要加大保密级别,严格限制其利用和访问。此外,还要注意到的问题是,目前很多社交网站都开始与第三方应用程序进行协作,这些程序能够获取到用户的信息,社交网站是无法对此进行监控的,因此,相关部门需要进一步推出与第三方应用程序相关的安全保护准则。

3结语

社交网络的不断普及和广泛应用,使人们的个人信息与日常活动在网络上得到越来越多的展现。但是,社交网络为用户提供交流和展示平台的同时,如果不能对涉及用户切身利益的个人隐私信息加以保护和控制,将会给用户带来严重的困扰和损失。提高社交网络的信息安全,需要用户提高信息安全意识,从自身做起,保护隐私信息,社交网站则需要坚守保护用户隐私的承诺,加强对自身以及第三方的监控和管理。同时,政府也需要制定相关的法律政策,创造良好的法律环境,为社交网络用户提供有效的法律保障。

参考文献:

[1]魏来,郑跃.隐私2.0:Web2.0时代的用户隐私保护研究[J].图书与情报,2010(05).

篇6

1 引言

在互联网环境下,“信息爆炸”产生了海量的数据,催生了大数据时代的到来。据统计,Facebook每天生成的日志数据达300TB以上;互联网上每天产生的数据内容可以刻满1.68亿张DVD;Twitter每天处理的推特数量超过3.4亿;等等。这些数据足够表明,我们已经身处大数据环境下。在大数据时代,大数据以及深深影响着人们的工作、学习和生活,人们在互联网上的行为都会被系统所记录,包括个人基本信息、购买记录、日常操作习惯等。对于商家而言,这些数据一方面可以深入发掘用户的需求,从而改善相应的产品和服务,同时也可以实现精准营销,从而产生更多的经济效益。但是,这些数据也会暴露个人的隐私,个人信息安全存在很大的风险。因此,本文站在大数据背景下,来对个人信息安全这一关键问题进行深入探讨,在分析信息安全风险的同时,结合相应的技术提出具体的解决措施和方案。

2 大数据背景下个人信息的使用现状

在大数据时代,大数据与传统行业进行了深度融合,从而诞生了新的业务和新的商业模式,在此过程中,个人信息得到了具体的应用。

2.1 商业领域

在商业领域,特别是零售行业,个人信息会被准确的记录并存储。消费者的每一次消费,包括购买商品的名称、时间、地点等,系统都会进行保存,通过这些数据,商家就会进行深入分析,分析消费者的购物偏好,进而预测消费者的消费需求,从而实现精准营销的目的。基于消费者消费的大数据,可以准确反映消费者消费商品之外的某些信息。比如,一个典型的案例是美国的一家零售商通过用户消费数据的分析,比家长更早知道其女儿怀孕的事实,并通过邮件告之

2.2 医疗领域

在医疗领域中,通过个人信息的记录可以实现个性化的治疗。比如,基因组数据,是以个人基因组信息为基础,通过大数据创新技术研究疾病和特殊药物之间的关系,在此过程中,由于考虑到了遗传突变的因素,医生可以根据基因的不同需要实现不同的用药,进而为患者制定最佳的治疗方案。

2.3 社交领域

随着社交软件的不断增多,大大丰富了人们的社交需求。在国内,最具代表性的是为腾讯2011年推出的微信,该软件能够快速地文字、语音和图片等多媒体信息,而且通过朋友圈使得信息在瞬间被更多的人关注。在功能上,微信已经不仅仅是一款简单的聊天社交工具,而是营销推广、商业支付等的一款综合性工作平台。用户在使用微信的过程中,个人信息也会被不断记录,比如基于位置的服务(Location Based Service,称LBS),让朋友圈的好友准确知道用户在什么位置了什么信息,同时,通过“附近的人”可以结交更多的好友等,这些都是个人信息在微信软件应用中的具体体现。

3 大数据背景下个人信息安全问题的提出

随着新技术、新工具、新平台的出现,用户在具体使用这些媒体的过程中,个人信息都会被记录,一方面方便了用户自己的工作、学习和生活,同时,也让用户觉得系统无时无刻地在“监控”着自己的各种行为。

随着硬件存储成本的下降,以及商家对消费者个人信息和消费数据的重视,他们更乐意通过较低的成本存储更有商业价值的数据。据中国互联网网络信息中心统计,截止2016年底,我国网民规模为7.31亿,较2015年的6.88亿增加了0.43亿。伴随着“互联网+”的深入推广和应用,个人信息会被各个系统和平台所记录和存储,这也在一定程度上提高了个人信息被泄露的可能,个人信息安全已经成为一个重要的社会问题。因此,非常有必要作为一个社会普遍关注的问题被提出来,以期从多个方面引起高度重视。从具体的表现来看,个人信息安全具体如下:

3.1 帐户被盗风险加剧

在大数据环境下,人们为了体验各种工具和平台,就会有多个帐户存在,每一个帐户在申请时平台会要求与邮箱或手机号进行绑定,这样,一个邮箱或手机号就会与用户的多个帐户进行关联。同时,各种工具或平台间也为了方便用户操作,也会加强合作,通过一个帐户就可以访问多个应用或平台。这样,无形中加剧了帐户被盗的风险。

3.2 隐私问题堪忧

在大数据背景下,人们在心情、互动交流过程中,会在不经意间泄露个人的一些信息,比如地理位置以及日程安排等。同时,大数据背景下数据的关联性很强,随着数据来源的增多和数据量的增加,通过数据和数据之间的深度分析,就会暴露个人的某些隐私信息。

3.3 用户个人信息控制权减弱

在大数据背景下,个人的图片、心情或交流的话题等,很容易被访问和传播,使得用户个人信息控制权明显减弱,在一定程度上会加剧个人信息被泄露的风险。

在传统的网络环境中,商家控制了数据的存储与运行环境(这里的数据主要是商家自身的业务数据),用户可以通过密码学技术手段保护自己的数据,也就是说,用户的个人信息安全是有一定保障的。但是,在大数据背景下,一些商家既是数据的生产者,同时又是数据的管理者和使用者,所以,用户使用传统的技术手段保护个人信息是非常困难的。

4 大数据背景下个人信息安全的建议

4.1 优化个人信息安全保护技术

在传统的网络环境下,一般采用数据加密等技术手段实现信息的安全保护,与此同时,通过安全漏洞修补、防篡改等手段保护敏感的和重要的一些数据。但是,在大数据环境下,这些技术手段具有一些局限性,不能实现更广泛、更深入的保护。大数据环境下,需要建立针对云、管、端的安全模型,在个人信息安全保护方面,要主动感知。要根据海量数据的特点,建立适合用户身份信息验证的“符号化”手段,通过符号标记用户身份信息,有效规避了大数据背景下数据内容的交叉检验,这样在技术上提高了个人信息的安全性,同时也便利了使用网络的方便性。除此之外,还有以下技术可供参考:

4.1.1 数据匿名保护技术

大数据背景下,数据匿名保护是比较复杂的,但却是实现其隐私保护的核心关键技术与基本手段,其具体原理和算法这里不做讨论。

4.1.2 社交网络匿名保护技术

社交网络中的典型匿名保护隐藏了用户的标识和属性信息,同时也隐藏了用户之间的关系。因此,要获取用户的个人信息,就需要通过各种攻破属性获取用户身份信息,这是非常困难的。

4.1.3 数据水印技术

4.1.4 数据溯源技术

4.2 加快个人信息安全保护的统一立法

目前,从信息安全的相关法规来看,我国已出台了一些制度和措施,比如2013年2月实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》,使得我国个人信息保护工作正式进入“有标可依”阶段,其显著特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。但是,在具体实施过程中,效力等级不高、惩罚力度过小,未能真正起到保护个人信息安全的目的。因此,在大数据背景下,迫切需要针对大数据环境的个人信息安全立法,规范相关商机和利益平台的行为准则,提高个人信息泄露的犯罪成本。

4.3 提高公民个人信息安全防范意识

互联网特别是移动互联网等技术的发展,给人们的工作、生活和学习带来了极大的便利,但是也在一定程度上增加了个人信息泄露的风险。因此,在大数据背景下,要提高公民自身的信息安全防范意识,通过宣传教育等措施,提高人的安全防范技能,增强个人信息安全保护的意识。比如,不能随意上传个人的私密图片,不能随意登录银行帐户,一般不要开启智能终端定位功能等,除此之外,要提供安全措施,比如使用完某项应用后要及时清除Cookies,增强密码安全设置级别,定期扫描并修复系统漏洞等。

5 结束语

大数据时代的到来极大促进了社会的发展,并与传统行业融合过程中催生了新的产业和商业模式,但是,大数据也带来了新的个人信息的安全问题。本文从个人信息在大数据背景中的应用现状出发,提出了个人信息安全的问题,并在借鉴国外做法和中国实际的基础上,提出了具体的解决措施和建议,以最大限度地降低个人信息泄露的风险,从而促进个人信息在大数据背景下得以有效保护。

参考文献

[1]冯登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报,2014,37(01):246-258.

[2]吴振慧.大数据背景下个人信息安全的现状与保护[J].扬州教育学院学报,2016,34(03):36-38.

[3]张艳欣,康旭冉.大数据时代社交网络个人信息安全问题研究[J].兰台世界,2014(05):24-25.

[4]李晶.“棱镜”折射下的网络信息安全挑战及其战略思考[J].情报理论与实践,2014,37(04):48-52.

作者简介

篇7

中图分类号:D92 文献标志码:A 文章编号:1673-291X(2010)10-0087-02

收稿日期:2010-01-18

作者简介:基娟娟(1985-),女,江苏仪征人,学生,从事企业管理研究;沙彦飞(1968-),男,江苏淮安人,副教授,从事企业管理、管理伦理研究。

互联网的飞速发展使传统的个人信息生产、传播和利用方式产生了一系列深刻变革, 为个人信息的传播提供了一个前所未有的发展空间,同时也带来了许多新的信息安全问题,受到社会多方的广泛关注。个人信息安全不仅是技术问题和法律问题,也是伦理问题。

一、互联网个人信息安全现状

中国互联网络信息中心(CNNIC)2010年1月15日在京了 《第25次中国互联网络发展状况统计报告》。报告数据显示,截至2009年12月,中国网民规模达3.84亿,增长率为28.9%,中国手机网民一年增加1.2亿,手机上网已成为中国互联网用户的新增长点,个人信息呈现爆炸式增长。所谓“个人信息”,是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息。具体包括姓名、身份证号码、职业、学历、婚姻状况、收入和财产状况、家庭住址、电话号码、网上登录的账号和密码、信用卡号码等。信息安全问题包括由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。2009年3月15日,央视“3・15”晚会曝光了海量信息科技网盗窃个人信息的实录,给国人极大震惊。全国各地的车主信息,各大银行用户数据,甚至股民信息等等,在海量信息科技网上一应俱全,而且价格也极其低廉。买家仅仅花了100元就买到了1 000 条各种各样的信息,上面详细记录了姓名、手机号码、身份证号码等等,应有尽有。类似此例事件的披露,清楚地表明,个人信息安全不仅是技术问题和法律问题,也是伦理问题。加强网络信息伦理建设,越来越成为保障信息安全的一道屏障。

二、伦理问题分析工具

对网络个人信息安全中的伦理问题进行分析,需要运用一定的伦理理论,并在此基础上得出网络伦理的一般原则,以此作为理论分析工具。

1.权利论。权利可分为法律权利与道德权利。道德权利有两个方面:一是消极的权利和自由的权利,如隐私权,生命不被剥夺权、处置私有财产权等。二是积极的或福利的权利,包括受教育的权利、取得事物的权利、获得尊重的权利等。道德权利赋予个人自主、平等地追求自身利益的权利。道德权利是证明一个人行为正当性及保护或帮助他人的基础。权利论的道德原则是:当行为人有道德权利从事某一行为,或从事某一行为没有侵害他人的道德权利,或从事某一行为增进了他人的道德权利,则该行为是道德的。网民在进行网络消费时,享有以下权利:人身、财产安全不受损害的权利;个人隐私、信息不受侵犯的权利;公平交易的权利;人格尊严、民族风俗习惯得到尊重的权利等。

2.利益相关者理论。利益相关者是指可能对组织的决策和活动产生影响或可能受组织的决策和活动影响的个人、群体和组织。网络主体,包括开发商、运营商等网络从业者,对其负有道德义务的所有人可以统称为利益相关者。对于网络主体而言,网络用户,即网络消费者是其最主要的利益相关者。利益相关者分析考虑的是这样一个问题:为了使网络主体在任何情况下都能履行其义务,权衡那些有权对网络主体提出利益要求的人对网络主体提出的具有竞争性的要求。利益相关者分析并不否定网络主体利益高于其他利益相关者的利益,但是这种分析方法却要保证所有受影响的方面都会被考虑到。

3.伦理原则。以人为本原则。以人为本的原则就是要尊重人、关心人、促进人的自由而全面的发展。它是以利益相关者理论以及道德权利论为基础的。网络主体应真切地关注并尽可能满足网络消费者的合理要求,从而在他们的支持下得到发展,而消费者则可以从与网络主体的交往中得到物质和精神上的满足;网络主体应该努力开发生产出对社会有益的产品或服务,使网络主体的发展成果惠及于民。并且在可能的情况下,支持社会的福利事业,做一个好的“网络主体公民”。

公平公正原则。每个人都有独立平等的人格尊严,所以在享有正当自由权利的同时也应平等待人、尊重他人的正当权利。公平公正要求网络主体与利益相关者之间互利互惠,达到“双赢”的局面,只有互利互惠,网络主体与他们的合作关系才能维持下去,从而网络主体才可以发展下去。

诚实守信原则。诚信原则是网络主体经营之本,它可以促进网络主体与利益相关者长期、可靠的合作从而促进网络主体的生存和发展。诚实守信原则要求讲真话,不欺诈,“货真价实,童叟无欺”,一诺千金,说话算数。

三、基于互联网的个人信息安全伦理问题分析

网络社会是一个通过计算机之间的协同运作, 以实现资源共享、实时交往等社会生活的全新的生存空间。在这个“虚拟社会”中, 传统伦理道德的社会基础发生了巨大的变化, 人们的伦理观、价值观也发生了改变。互联网环境下,个人信息安全伦理问题主要有三个方面:

1.未经允许,在网络上披露他人隐私。互联网上披露、传播他人隐私的途径有发送电子邮件、聊天室、新闻组等方式,非法将他人隐私暴露。隐私权是公民个人生活不受他人非法干涉或擅自公开的权利, 它意味着尊重个人的自主、自由以及对他人正当行为的尊重。互联网的开放性和网络数字化符号的通用性对个人隐私权的保护提出了严峻的挑战。有些专门搜集个人隐私的网络主体受利益的驱动, 会利用各种技术手段将存放于数字系统中的个人信息汇总后出售给供应商, 导致个人信息的失控,如,知名明星中陈冠希的艳照门事件,就在社会上引起了很大的风波。

2.窥视、篡改他人的电子邮件。比起传统邮政,电子邮件有一点和它是相同的:电子邮件也有安全问题。如果邮件没有采取加密措施,它就可能被他人窥视,有篡改的可能。目前,人们对进行密码加密保护的邮件还是倾向于信任的。但是个人的通信还是存在着极有可能被黑客和ISP网络主体截取,以致造成个人生活安宁被侵害的情况。

3.个人数据的二次开发利用。个人数据的二次开发利用是指商家利用用户登记的个人信息,建立起综合的数据库,从中分析出一些个人并未透露的信息, 进而指导自己的营销战略。提供免费邮箱的网络服务商,已经将用户在申请邮箱时提供的个人数据进行了收集和二次开发,出售给别的商家使用。服务商将用户的邮件地址非法提供给其他机构,使其电子邮箱经常被垃圾邮件所塞满,造成客户个人隐私或商业机密的泄露。这种情况与私拆他人信件、侵犯他人通信秘密没有本质区别。

四、基于互联网的个人信息安全的伦理对策

1.技术措施保障。努力开发更先进的网络技术,增加网络的安全性,也是保护个人信息安全和网络隐私不容忽视的一个方法。加强网络社会技术上的安全性对于保护个人信息安全是至关重要的一步。数据加密技术是网络社会最为普遍的技术,目前关于除了口令设置等加密技术用于规范网络社会中出现的伦理问题已成为趋势。加密技术利用其特有的技术特点,可以有效地防止一些重要信息被篡改 、复制 、污染等起到了重要的作用。

2.提高网络个人用户的安全意识与道德素质。除了在网络主体层次采用最大限度的技术装备,加强技术方面的措施以外,用户也应该意识到自己所负的使命。网民们使用某些网站功能或参加一些网络调查时,均会被要求填写一些个人信息,尽管多数网站声称绝对为网民保密,不将个人信息提供给任何“第三者”,但网站“保护用户隐私”方面的条款更多时候是推卸责任的免责声明,看上去每个网站都有长长一大篇保护网民隐私的条款,但其中真正保护网民隐私的部分却含糊其词。

3.提高网络主体从业人员道德素质。保护网络用户的个人信息安全和网络隐私,网络主体从业人员的自律十分重要 。保护网络用户的个人信息安全和网络隐私是商业网站应尽的义务,商业网站应承诺并保证做到如下:如果网络用户对网站的信息安全、信息使用措施感到不安,可以随时删除自己提供给网站的详细资料;在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其他目的;除非在事先征得网络用户同意或为网络用户提供所需服务的情况下,网站不向任何人出售网络用户的个人资料或提供网络用户的任何身份识别资料给任何的第三人以供行销使用。

4.制定网络规范。目前很多网络主体在从事网络信息服务时,面对各种行为选择时会茫然不知所措。有必要加强网络规范,建立信息技术使用者的道德准则,要求信息使用者不应非法干扰他人信息系统的正常运行; 不应利用信息技术窃取钱财、智力成果和商业秘密等; 不应未经许可而使用他人的信息资源等。当为他们提供了相应的伦理准则, 建立明确的网络行为规范, 个体才能比较容易地做出是非评判,才能逐渐树立伦理意识;而一旦树立了良好的信息伦理意识,它将成为行为主体的内在自觉,即自己为自己立了法,将来面对新的伦理问题时也会自动地设定自己的行为准则。

五、结论

网络个人信息安全的伦理安全问题需要全社会共同的关注。当信息法律继续建立,技术更加成熟,网络主体更加自律更加诚信,网络规范更加完善,中国互联网中的个人信息安全问题才会得到有效解决,网络经济才能快速、健康地发展。

参考文献:

[1]周祖城.企业伦理学[M].北京:清华大学出版社,2005.

[2]苏勇.现代管理伦理学[M].北京:石油工业出版社,2003.

篇8

网络个人信息泄露,是指网民在互联网上提供的个人信息没有得到良好的保密,而导致某些不法分子得以对其进行收集、倒卖以获利的现象。2014年12月25日第三方漏洞平台“乌云”曝出12306网站现用户数据泄露漏洞,包括用户账号、明文密码、身份证、邮箱等个人信息。对此,中国铁路客户服务中心回应称,网上泄露的用户信息系是经由其他网站或渠道流出。

当前,网上个人信息泄露事件频发,信息安全问题较以往显得更为突出,网上个人信息成为不法分子争抢的“香饽饽”,或被直接出卖非法获利,或被犯罪分子利用进行电信诈骗、非法讨债甚至绑架勒索等犯罪活动。网上信息泄漏事件严重损害了社会和个人的利益,也让更多的网民对信息安全有了更直接、更深刻的认识,因此网络信息安全建设与维护日显重要[1]。

二、网上信息泄露现状及原因

我国网民数量急剧增长,网络购物发展迅速,互联网在给人们的生活带来便利的同时也带来了很多安全隐患。近年来,泄露和侵害公民个人信息包括隐私的事件频频发生,个人信息成了随意买卖的“商品”,近年来,兜售房主信息、股民信息、商务人士信息、车主信息、患者信息等似乎已形成了新的产业。

网络信息技术的发展也方便了对个人信息的监控和搜索,大型数据库使得搜集、整理、传输、加工信息等过程变得更加简单,几乎可以永久保存,不断再现。因此,一些商业公司具备了大规模收集个人和企业信息的技术条件,若安全机制不完善,其所收集的用户信息被泄露或滥用,后果不堪设想。随着全社会对信息安全的日益关注,信息安全刻不容缓。

个人安全意识薄弱。目前,我国手机网民用户规模达5亿。与传统通信工具、社交网站相比,以社交为基础的综合服务平台不仅拥有着更强的通信功能,还为用户提供了诸如支付、金融等内容的综合服务,增加了信息分享等社交类应用。同时也增加了个人信息泄露的潜在危险,特别是在问卷调查、就医、求职、买房、买保险、买车、办理各种会员卡或银行卡时缺乏个人信息安全意识[2]。网络填写个人信息的非正常退出,微博、QQ空间等社交网络成为泄露日常信息的主要原因。

个人信息保护机制不健全。对个人信息保护的立法研究从上世纪70年代开始,在上世纪末达到一个研究和立法保护的加速阶段[3]。美国,澳大利亚,加拿大,以色列等国家将个人信息归入本国隐私法“Privacy Act”的保护范围,通过《隐私权法》来保护个人信息[4]。我国的个人信息保护法自2003年起已部署起草,但一直未能进入正式的立法程序。据统计,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,然而法律界人士认为,这些针对个人信息的法律法规内容较为分散、法律法规层级偏低,约束力明显不足。单从网站用户个人信息保护安全而言,刑法修正案、侵权责任法乃至居民身份证法等相关内容均有涉及,但相关规定条款过于分散,可操作性差,时效性低。对于“个人信息”、“违反规定”等关键概念的界定尚不清楚,故执法过程易形成执法困境。尤其是对信息泄露案件,在追究责任的时也存在举证难等问题,诉讼成本高、收益低,受害人依法维权。

网络实名制从某种程度而言,也加大了个人信息泄漏的风险。例如不法分子收集实名制火车票或手机办理的登记信息,可从中获取当事人的身份信息制作假身份证,或者办理信用卡、设计欺诈活动等。

监管存在漏洞。 在信息高度发达的现代社会,某些个人信息时刻处于被泄露的状态。由于个人网上信息安全保护机制的不完善,导致执法过程没有坚实的盾牌。某些网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中泄露了个人隐私。机动车销售、房产中介、医院、通信等行业及其从业人员往往有机会接触、掌握大量公民个人信息,这些行业虽均有系统内部出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见,但由于部分从业人员法律意识不强,且内部管理执行不到位,利用公民个人信息管理上存在的漏洞,因此这些行业成为个人信息泄露的“重灾区”。

三、建立个人信息安全机制的对策

堵住个人信息泄露的缺口,完善相关法律法规。我国首个关于个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》于2013年2月1日起正式实施,个人信息保护工作正式进入“有标可依”阶段,指导和规范利用信息系统处理个人信息的活动。但国家标准、行业标准的法律效力远远不能保护群众个人信息安全,而针对信息安全保护的相关规定已难以满足信息安全的需求,同时维权过程法律依据较少[5]。

因此,我国应尽快完善在个人信息安全方面的相关法律法规,加强行业监管力度,严厉打击不法行为,建立以民法保护为重心,其他法律为辅助的完善的法律体系,具体来说:应在民法典中确立隐私权独立人格权的法律地位[6]。加快立法,加强执法,依法保护个人信息安全,跟上信息高速发展及安全的潮流。对窃取、多次泄露他人信息的个人和单位,要制订严厉的追责和处罚措施,增大违法成本。

加大网络信息安全监管力度,加强行业自律,从源头预防和遏制对个人信息的侵害。社会舆论的监督作用一向对违法行为具有强大的震慑力,因此要充分发挥社会舆论的监督作用,及时曝光侵害行为,广泛地引起民众的注意,使其迅速提高警觉性,自觉加强对个人网络信息的管理。行政执法部门应加大执法力度,及时监督制止侵权行为。当然,这种行政监管必须以维护网络的健康发展为前提、以保护公民个人隐私权等人身权利为目的。这种社会舆论与行政监管共同作用的方式,也能在一定程度上保护公民的网络隐私权,促进网络健康发展。

企业行业应加强自律,完善对企业、行业的管理,设立相应的企业安全制度,采取相应的监管措施,加大违规处罚的力度,保障客户信息的安全性。通过岗位、行业培训,提升员工的职业操守,自觉保护客户个人资料。

(3)不断加强公民对网络隐私的自我保护意识

网络隐私权与公民的利益息息相关,因此要培养网络用户形成隐私权自我保护的意识,能促其采取积极的防范措施。一旦用户有效利用相关技术加强对网络环境下个人信息的管理,就会在很大程度上降低成本,更有效的保护网络隐私权。

网民个人应主动接受信息安全教育,安装杀毒软件或防火墙,定期进行木马程序的扫描,及时更新安全软件。仔细阅读社交网络运营商的安全隐私协议,熟悉相应的隐私设置方式,主动防护自身的信息安全,定期更改网站密码。使用微博、微信等网络应用时勿上传有关自己及亲友的个人信息,尽量不要使用定位功能,定期删除浏览器上的cookies信息[7]。网络、电视、报纸等媒介应该肩负社会责任,对个人信息安全的重要性和信息泄露的危害性宣教,宣传维护个人信息安全的方法,使广大民众得到个人信息安全保护方面的教育。

中国软件评测中心也将继续以国家信息安全标准体系为基础,建立个人信息保护标准体系。在参考国际相关研究成果的基础上,结合我国实际需求,对信息系统个人信息保护管理办法和技术手段进行专项研究,研究制定体系框架中急需的关键标准,对标准进行验证以支持标准的进一步修订和改进。

我国2013年2月1日起实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》[8],标志着我国将告别针对个人信息处理行为“无标可依”的历史,公民对个人信息保护的诉求将得到有效解决。相关监管部门可以依据国家标准引导企业进行个人信息保护自律,并对企业个人信息处理行为进行监督规范,逐步形成以“企业自律为主导,联盟约束为辅助,政府监督配合”的我国个人信息保护模式。

同时,目前我国个人网络信息安全存在很多安全隐患,尤其是个人数据信息的泄漏造成的影响十分广泛,主要由于个人安全意识薄弱、个人信息保护机制不健全、监管存在漏洞等原因造成的。因此,构建安全稳定的网络环境显得日益重要。政府、企业及公民个人应加强网络信息安全意识,在新兴保护技术的广泛应用下,推动安全保护技术的开发与应用,较好的保护个人信息安全。

(作者单位:湖北城市建设职业技术学院)

作者简介:刘志(1981-),男,硕士,湖北城市建设职业技术学院讲师,主要从事计算机及相关专业教学

作者联系方式:

地址:武汉市东湖新技术开发区藏龙岛科技园区藏龙大道28号

湖北城市建设职业技术学院

篇9

1大数据时代的网络信息安全概述

(1)数据资源具有开放性:人人都可以从互联网中信息,十分便利的同时也存在着很大的隐患。毋庸置疑互联网技术近年得到了长足发展,内含的信息资源也呈现爆发式增长,问题就在于其相应的管理技术还未能跟上,机制不健全,也就不能很好地保护部分信息资源,造成用户信息泄露事故的发生。对此必须采取措施有效地管理信息以确保用户的信息安全。(2)大数据应用范围广泛:全球化进程在互联网的快速发展下不断推进,其中一个具体表现为每个人都可以在互联网上快速查询全国各地的各种信息。因此推动大数据时代快速发展的重要因素还有大数据在各行各业、世界各地的广泛应用。但值得注意的是,大数据的广泛应用也提高了网络信息的危险系数,若是储存人们信息的数据库遭到黑客入侵,用户的个人信息遭到泄露,其导致的严重后果是不可想象的。(3)数据资源高度信息化:互联网应用于生活带来的便利越来越多,使得互联网领域用户越来越多,中国人口基数庞大,其中有三分之二的人都使用互联网,且这一比例在逐年增加,也意味着互联网用户信息储存量巨大,因此管理和保护众多资源信息更显得尤为重要。

2大数据时代的网络信息安全所存在的问题

(1)计算机网络管理不够严格:当今时代是智能化的手机时代,这一时代的到来正得益于互联网的迅猛发展。手机端APP数量越来越多,其用户量也不断增加,为了更好地管理用户,软件开发者常采用实名认证法,收集有关客户的各项个人信息如姓名、手机号、身份证件号码等。但这一举措在在方便管理的同时也容易造成纰漏,一旦软件后台出现漏洞,用户的私密信息十分容易泄露,因此,海量的应用也就造成了较大的信息安全隐患。计算机网络管理不够严格,是我国互联网用户信息泄露的一个重要原因。(2)不法分子肆意入侵:黑客是广泛存在于互联网背后,受雇于不法分子,通过不合法的途径攻击他人计算机,盗取网络信息以谋取自身利益的群体。很多人对此不以为然,因此当自己的计算机遭到攻击时束手无策。黑客往往拥有丰富的专业技能和知识,但如果不把这种专业技术用在正途上,就会给社会带来潜在的风险。(3)个人网络信息安全意识淡薄:人们往往只是熟练掌握互联网运用,而不重视网络信息安全,这归因于个人对计算机网络安全意识的缺乏,他们想象不到信息泄露对自身带来的危害,也无法预想之后所能产生的后果。而且生活中大部分人都高估了计算机网络的安全性,认识不到由于信息泄露所带来的风险。例如信息网络诈骗,作为社会生活中最常见的信息泄露现象,许多人都曾深受其害,损失金钱、名誉、甚至付出生命的代价。由此可见,网络信息安全的重要性必须引起人们的重视。

3大数据时代保护网络信息安全对策

篇10

一、网络个人信息的概念及特点

(一)网络个人信息的概念。在法律用语中网络个人信息这一词,每一个国家对其定义的标准并不一样。虽然这些定义都有着相似之处,如:“个人档案”、“个人数据”、“个人隐私”等等。“个人数据”、“个人资料”是伴随着网络的发展而产生的名词,它仅代表将某一个人的个人信息数据化,这与个人信息有着不同的涵义与本质。“个人档案”是一个抽象的概念,包括但不限于个人信息,涉及某一个人的相关信息,如升学、工作等。从立法的角度上讲对个人信息的保护,要求将某一个人的个人信息类型化,不容易与其他人的信息混淆。我国个人信息在网络中主要分为了两个部分:一是个人基本信息,如:个人的姓名、出生年月、身份证号等信息;二是基于网络所需个人信息,如:申请微博账号所需的真实姓名、出生年月、身份证号码等。综上所述,网络个人信息主要是指在网络中能够将每个人的个人信息相区别,并且以电子数据、编码等形式存在互联网这一载体上并予以保存,这些数据是互联网用户使用网络过程中形成的,是一种以虚拟化和网络信息化的形式保存的个人信息。(二)网络个人信息的特点。1.网络个人信息的形成与网络密不可分。我们在网络中申请的微博、微信、QQ、电子邮箱、各种论坛上的用户名和密码等,都存在着我们的个人信息,这些都是随着网络的发展而产生的,没有互联网迅速的发展,网络上也不会存在某一个人的个人信息,这些信息都存在于各类网络软件、网站中,如果这些网络软件、网站消失,我们所储存的网络个人信息也就随之消失。2.网络个人信息通过电子形式存在,且具有可识别性。在网络迅速发展的环境下,网络个人信息主要是通过电子数据、电子数码等形式收集、储存、传输的。在数据化的网络中,将个人信息通过网络电子化进行处理,最终形成网络的个人信息。在虚拟的网络空间中通过电子化的处理将网络个人信息变得更为具体使之更容易识别。3.网络个人信息主体主动提供相关信息。在互联网使用越来越多的今天,使用支付宝、申请微博、微信、各种论坛用户名、报名参加某一网络活动等都需要我们自己将真实姓名、年龄、身份证号码、电话号码等个人信息一一填报上去。信息主体并非是受到什么威胁而提供相关个人信息,与之相反信息主体更是积极主动提供相关个人信息。[1]4.网络个人信息更容易遭受侵害与不可控制。这几年不断爆出网络个人信息被泄露,为什么网络个人信息会层出不穷地被泄露呢?在网络并不是很发达的时候反而没有过多的个人信息泄露呢?在以往个人信息的泄露主要是遭别人盗窃、进行个人信息买卖、监听监视等不容易被人发现的方法,同样这样的方法存在的风险也是极大的。但在今天在通常情况下,日常生活里,对于个人信息的侵犯一般采取盗窃、买卖等较容易被他人察觉的方式,法律风险较大。然而在网络发达的今天通过网络个人信息电子数据信息化,我们的网络个人信息更加透明,个人信息更容易遭到泄露,在网络环境下个人信息方式十分隐蔽,只需一台电脑,可以轻松盗取别人的个人信息。对于网络个人信息数据库的管理存在缺陷,这样容易造成网络个人信息安全事故的发生。[2](三)网络个人信息享有的权利。个人信息是每一位公民应享有的基本权利,应具有特殊性、多样性。它主要是由多项权利组成的,主要有:知情权、删除权、异议更正权、保密请求权等组成,具有多样性。每一位公民的个人信息都不一样,具有特殊性。个人信息是个人信息权的权利客体,其权利义务所对应的是个人信息,因此个人信息同样也具有财产、人格属性。个人信息权因为具有人格属性不可转让、不可放弃这一特征具有专有性和排他性。在互联网使用率越来越频繁,经济迅速发展,个人信息权越来越突出它的财产性。在网络数据信息化的今天,个人信息权在遭到侵犯之后,具有突发性、散布速度快等特征。

二、对网络个人信息权给予法律保护的必要性及存在的问题

(一)法律保护网络个人信息权的必要性。在网络迅速发展的今天,使得我们不得不思考每一位公民的个人信息应如何去保护,否则个人信息暴露在互联网上,公民对自己的个人信息失去了保密性。所以对网络个人信息权给予法律保护具有必要性。1.给予公民个人信息权法律保护充分体现了公民基本权利的要求。个人信息权具有财产权、人格权。对于公民的财产权、人格权都应受到法律的保护,如个人信息遭到泄露,公民的人格权利益会遭到损害,公民的尊严、自由、独立得不到维护。个人信息具有丰厚的商业价值,以牟利为目的盗取公民个人信息损害个人的财产权益,社会稳定、公民的合法权益都得不到保障。法律给予公民个人信息权的保护是稳定社会安定,保护公民的人格权及财产权不遭到损害。[3]2.电子信息发展的前提是保护个人信息。电子商务已成为现代社会的一种普遍交易形式,买卖双方在交易过程中坚持着诚信原则,如果消费者或商家的个人信息得不到相关的保护,会造成买卖双方失去信任,从而导致电子商务得不到有效的发展。同样,在政府网对个人信息公开没有相关的准则,个人信息得不到保护,也会导致政府公信力下降,这样不利于政府开展工作。因此,保护个人信息是电子商务、电子政务发展的前提。3.在我国在保护个人信息权上缺失相关法律法规对其进行保护,使得公民的大量个人信息泄露,这不利于我国网络个人信息安全的保障,同时也对公民的工作、学习生活造成了很大的影响。在我国只有逐步建立起保护公民个人信息相应的机制,才能更好地促进网络个人信息得到更好的保护。另外,在国家工作机关中上班的人员,掌握着大量的国家安全信息,这些信息多属于机密,若是缺乏相应的管理、保护机制,对国家信息会造成不可估量的损失。4.有利于促进国际间的交流合作。如今的国与国之间的交流更加密切,保护个人信息,个人信息权的维护也就显得尤为的重要。这样的背景之下,国际交流合作时好时坏与国内立法是否完善息息相关。维护个人信息权的立法完善,有利于个人信息交流更加安全,有助于树立大国形象,对国际间的交流合作有着重大意义。(二)法律保护个人信息权存在的问题。1.目前在我国对个人信息权没有一部直接针对个人信息权的法律,更多的法律针对个人信息权是进行间接性的保护。这种对个人信息权的保护更多的是间接性的保护,但这样缺乏直接性保护个人信息权。间接性保护,主要保护个人信息权的隐私权、人格尊严权等方面,但这样的保护涉及面较窄,可在网络环境下的个人信息权,涉及范围大,具有多样性的特征,以不同的法律间接去保护个人信息权很难做得全方位保护个人信息权。一旦个人信息权遭到破坏,会使权利人受到不可估量的侵害。2.保护个人信息权多分散各个法律法规中,不具有专门、系统性。目前,在我国保护个人信息立法较为分散,再有我国欠缺一个行之有效保护个人信息权的专门体系,这会使个人信息权得不到切实的保护。一旦我国公民的个人信息权受到侵害,争议矛盾双方当事人在实践中很难解决问题。3.法律具有滞后性,随着互联网迅速发展,网络使用越来越多,个人信息权得不到切实有力的保护。目前在我国只有一些分散在不同律法法规中,但在我国尚未出台一些政策对个人信息权进行保护,也使得一些侵权行为认定责任时困难较大,对个人信息权隐藏了较大的安全隐患,对其救济和责任都无法解决。在一些网络经营行业里,大部分的经营商会制定一些企业、部门针对个人信息权的自律性规则与经营性规则,但制定这些相应的规则,缺乏法律保障,致使这些行业自己制定的规则难以发挥其作用,犹如形同虚设。

篇11

(1)个人信息的泄露。在网络工程当中,对于系统硬件、软件的相关维护工作还不够完善,同时网络通信当中的许多登录系统需要借助远程终端来完成,造成系统远程终端和网络用户在用户运用互联网进入对应系统时存在长远的连接点,当信息在进行传输时,这些连接点很容易引起黑客对用户的入侵以及攻击,使得用户信息被泄露,个人信息安全得不到保障。

(2)网络通信结构不完善。网间网的技术给网络通信提供了技术基础,用户通过IP协议或TCP协议得到远程授权,登录相关互联网系统,通过点与点连接的方式来进行信息的传输。然而,网络结构间却是以树状形式进行连接的,当用户受到黑客入侵或攻击时,树状结构为黑客窃听用户信息提供了便利。

(3)相关网络维护系统不够完善。网络维护系统的不完善主要表现软件系统的安全性不足,我们现在所使用的计算机终端主要是依靠主流操作系统,在长时间的使用下需下载一些补丁来对系统进行相关的维护,导致了软件的程序被泄露。

2对于网络通信中存在的信息安全问题的应对方案

对于上述的种种网络通信当中存在的信息安全问题,我们应当尽快地采取有效的对策,目前主要可以从以下几个方面入手:

(1)用户应当保护好自己的IP地址。黑客入侵或攻击互联网用户的最主要目标。在用户进行网络信息传输时,交换机是进行信息传递的重要环节,因此,用户可以利用对网络交换机安全的严格保护来保证信息的安全传输。除此之外,对所使用的路由器进行严格的控制与隔离等方式也可以加强用户所使用的IP地址的安全。

(2)对信息进行加密。网络通信中出现的信息安全问题主要包括信息的传递以及存储过程当中的安全问题。在这两个过程当中,黑客通过窃听传输时的信息、盗取互联网用户的相关资料、对信息进行恶意的篡改、拦截传输过程中的信息等等多种方法来对网络通信当中信息的安全做出威胁。互联网用户如果在进行信息传递与存储时,能够根据具体情况选用合理的方法来对信息进行严格的加密处理,那么便可以有效地防治这些信息安全问题的产生。

(3)完善身份验证系统。身份验证是互联网用户进行网络通信的首要步骤。在进行身份验证时一般都需要同时具备用户名以及密码才能完成登录。在验证过程当中用户需要注意的是要尽量将用户名、密码分开储存,可以适当地使用一次性密码,同时还可以利用安全口令等方法来保证身份验证的安全。随着科技的快速发展,目前一些指纹验证、视网膜验证等先进生物检测方法也慢慢得到了运用,这给网络通信信息安全提供了极大的保障。

篇12

通常,这类系统是由内网和外网构成的,内网构造了一个完整的业务处理环境,运行和处理个人信息核心业务;外网则为利用互联网登录的用户提供了联接、使用本系统的服务窗口。由于互联网使用的自由性、广泛性以及黑客攻击的频繁性,组织内部注③保管的个人信息随时面临着非正常用户的非授权访问。信息被篡改、泄漏甚至丢失等安全威胁,要达到系统安全、可靠、稳定的目标,首先应通过风险分析明确系统的安全隐患,为最终规划系统的网络安全解决方案提供可靠的依据。

由于这类系统构造的庞大性和复杂性,为便于分析,我们一般采用系统工程的方法将系统划分为物理层、网络层、系统层、应用层和管理五个部分来进行分析,各部分存在的主要安全隐患是:

物理层安全隐患:物理层的安全隐患主要是网络周边环境和物理特性导致的网络、线路和设备的不可用(如设备被盗、被毁坏、意外故障等),进而造成网络系统的瘫痪,它是网络安全的前提。

网络层安全隐患:网络层的安全隐患主要是数据传输中的风险(如:信息的泄漏、丢失、伪造、篡改等攻击)、网络边界风险、服务器安全风险、用户安全风险等。

系统层安全隐患:系统层的安全隐患主要是来自于信息系统采用的操作系统、数据库及相关商用产品的安全漏洞和病毒威胁。

应用层安全隐患:应用层的安全隐患主要是身份认证漏洞和非授权访问,提供信息数据服务的服务器因缺乏安全保护,可能会被非法用户直接访问网络资源,造成信息外泄。

管理的安全隐患:管理是网络安全中最重要的一环,管理制度不健全或缺乏可操作性、各岗位责权不明或管理混乱等都可能造成安全隐患,这些缺陷使得系统在受到安全威胁的情况下不能实时地检测、监控、报告、预警,并可能导致事故发生后,缺乏对系统运行的可控性和可审计性。

建系统的安全保障体系

从个人信息安全隐患的分析中可以看出:系统面临着多层次、多形态的安全隐患,解决系统的安全问题,只依靠某个单一的或孤立的安全技术手段是远远不够的,不仅需要有完善的技术和可靠的设备做支撑,同样需要有与之配套的安全管理制度作保障。因此,组织内部应对系统的过程、策略、标准、监督、法规、技术进行综合后,构建一套完整可行的系统安全保障体系,如下图所示的《系统安全保障体系框架》。

“基础安全服务设施”、“内部安全管理保障机制”、“安全技术支撑平台”、“紧急事件处理与恢复机制”等组成了《系统安全保障体系框架》,各组成部分是相互制约的。《系统安全保障体系框架》表明:完善的“内部安全管理保障机制”是实现系统安全之根本;而“基础安全服务设施”、“安全技术支撑平台”是相互依赖的,只有实现了下层的安全,才能在真正意义上保证上层的安全;“紧急事件处理与恢复机制”是当系统一旦发生紧急事件时,为保障系统尽快恢复运行并将事故损失降到最低的保障预案。

划系统的安全保护策略

从以上的分析中我们知道,控制、管理网络系统和应用操作过程是实现系统安全的重要途径,任何组织内部的系统安全都是制度和技术的结合,要保证系统的个人信息安全,必须根据安全风险分析的结果,从安全管理、安全技术两大方面规划系统的安全保护策略,以实现个人信息在网络环境下的可靠性、保密性、完整性、可用性、可核查性和可控性。

(一)安全管理

安全管理制度是各类安全保障措施的前提,也是其它安全保障措施实施的基础。安全管理保障体系是以文档化的方式管理系统中各种角色的活动,以组织内部的政策和制度为准则,规范操作流程,以工作日志等手段记录和审计操作过程。它主要包括:

1 组织管理

应识别组织内部的安全风险,制定对应的安全制度,明确信息安全事故报告流程,确保使用持续有效的方法管理信息安全事故,建立信息安全监查工作制度,发现问题及时改进。

2 员工管理

员工是系统安全的操作者,因而是系统安全的管理对象,要提高员工的信息安全意识,落实安全管理责任,责任分离以减少潜在的损失,定期进行信息安全知识培训。

(二)安全技术

安全技术是通过在系统中正确地部署软、硬件,利用各类安全产品和技术手段达到无偏差地实现既定的安全策略和安全目标,为整个网络构筑起一个真实的安全环境。这里重点介绍:

1 物理安全要点

物理安全是保证系统所涉及场所的环境、设备、线路的实体安全,防止基础设施的非法使用或遭受破坏。应建立完善的电力保障系统及适宜的温度、湿度等物理运行环境;具有良好的防雷击、抗电磁干扰等基本保障设施;具备抵御地震、洪涝灾害等抗自然灾害能力;等等。

重要工作区域应设置物理安全控制区,建立视频监控系统和防盗设施,鉴别进入人员的身份并登记在案,将准入重要工作区域的人员限制在可监控的范围内。

2 主要技术手段

由于网络安全存在很多问题,抵御网络攻击,防止信息泄密,预防信息破坏,控制用户访问范围和权限是规划网络安全的重要内容,通常采用的主要技术手段是:

(1)身份认证,识别技术

身份认证,识别技术是通过物理级、网络级、系统级等多种手段,对网络中用户的访问权限进行控制,是判断和确认用户真实身份的重要环节。它通过识别用户的身份决定是否执行其提出的访问要求,可信的身份服务为验证提供准确的用户身份确认信息,没有可信的身份验证服务,防火墙就可能根据伪造的合法用户身份做出错误的判断。

(2)网络反病毒及安全漏洞扫描技术

反病毒及安全漏洞扫描技术是防御网络病毒和恶意代码侵害的主要手段,反病毒技术可通过预防、查杀等技术手段实现对侵入计算机网络系统的病毒实施安全地防御;而安全漏洞扫描技术则是通过对系统的工作状态进行检测、扫描并加以分析,找出可能威胁系统的异常系统配置,并及时做出反应。

(3)访问控制技术

访问控制技术可用于防止非法用户的侵入并控制合法用户对系统资源的非法使用行为,阻断攻击者从任何一个终端利用现有的大量攻击工具发起对主机的攻击、控制并进行非法操作或修改数据。

(4)防火墙技术

防火墙是保护网络系统不受另一个网络攻击的网络设备,它能够隔离安全区域,根据制定的安全策略控制进出网络的信息流向和信息包,提供使用和流量的日志和审计,隐藏内部IP地址及网络结构的细节,防止内部信息的外泄。

(5)入侵检测技术

入侵检测是能够监视网络或网络设备的网络资料传输行为的网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为,完成对网络攻击的决策分析,可分为实时入侵检测和事后入侵检测。

(6)设备/数据备份技术

设备/数据备份技术是保证系统持续运行的一项重要技术。设备备份是在网络构建时,对重要的连接点考虑链路及设备的冗余和备份,确保网络的高可用性;数据备份是对重要信息进行备份,并提供恢复重要信息的功能。

(7)数据加密技术

数据加密技术是网络技术安全的基础,是用加密密约和加密函数的方式伪装需要保护的数据,使网络设备、操作系统、数据库系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据采用加密的方式实现存储和传输过程中的完整性、保密性和安全性。

(8)日志、审计技术

日志、审计技术可用于检测系统重要的安全相关事件,包括重要的用户行为和重要系统功能的执行等操作,经对检测数据分析后,尽早地发现可疑事件或行为,给出报警或对抗措施。(注意:审计记录应受到保护,避免受到未预期的删除、修改或覆盖等。)

处理个人信息的公共服务系统,与公民的切身利益息息相关,选择最优的网络安全解决方案,是保证个人信息安全、防止公民隐私泄漏的关键环节。因此,个人信息管理者在系统的建设初期,应根据所建设系统的应用环境、网络结构和业务需求等特点,从可能导致个人信息安全的风险隐患分析人手,面向需求,构建一个能够规避系统风险的、符合本部门业务需要的个人信息安全之网络解决方案。

篇13

对于个人信息的具体内涵,现今国内尚无一个确切的定义。但是我们一般来讲,可以将个人信息划分为个人一般信息和个人敏感信息。对于个人一般信息的处理可以建立在默许同意的基础上,只要用户没有明确表示反对,便可以收集和使用。而对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得用户的明确的授权。

1.2电子商务中的个人信息

电子商务中的个人信息,中国互联网信息中心(CNNIC)对其的表述为:包括用户的姓名、身份证号码、通信地址、联系电话、电子邮件地址等等。在电子商务的每一个环节中,用户的个人信息都有可能会被非法收集。以C2C模式的网购为例,用户在需要购买物品时,首先要在网购平台上注册账号,用户在这一环节中主动的提供个人信息如姓名、性别、年龄、邮箱、手机号;登录之后进行页面浏览时,浏览器会相应在网络服务器上留下日志文件、消费者的网络地址。这个过程中还会产生自动标识用户的账号、密码等;当用户购买一件物品要下达订单时,会被要求填写住址、手机号码、姓名等信息;在支付环节也会有不法分子通过钓鱼网站或者是其他方式盗取消费者的账号和密码等信息,从而转移用户的资金;当用户支付完成之后,商品邮寄到消费者手中,在邮寄的过程中,记录着消费者个人信息的快递单一直暴露在快递件的外包装上。这些环节都存在着对用户个人信息安全的隐患。

2电子商务中的个人信息保护存在的问题

电子商务与传统商务不同,在电子商务环境下的网络交易中,消费者的个人信息往往得不到保障,第三方平台在一定程度上能够保护用户的个人隐私,但是同时,第三方平台自身也存在着许多的问题。第三方支付平台并不是万无一失的,其安全性还有待商榷,而一旦消费者在支付平台的个人信息发生泄漏,那么消费者的个人安全包括财产安全在内都会受到威胁。现在的电子商务中所涉及的个人信息保护问题主要有两大类:由于网络安全缺陷造成的个人数据丢失以及网站经营者对个人信息的侵犯。

2.1由于网络安全缺陷所造成的个人数据的丢失

由网络安全缺陷所造成的个人数据的丢失主要是不法分子利用网络安全上的漏洞,进行网络犯罪活动。再者就是黑客入侵网站,致使个人信息被窃取。2013年3月,由于黑客的入侵,云计算笔记应用Evernote向将近5000万用户发出重置密码的通知。这种方式造成的个人信息泄露归根结底还是技术上的问题。早在2000年,国际市场上就出现了一种管理数据隐私的工具身份和访问管理系统,它的核心包括了身份管理、访问控制、身份开通、身份和策略库四个部分。而国内对于身份和访问管理系统的建设则起步较晚,主要是因为国内应用系统的建设相对滞后,总体水平并不高,是以目前并没有相对成熟的应对由于网络安全缺陷所造成的个人信息的丢失。

2.2网站经营者对个人信息的侵犯

在信息处理的四个环节中,收集、加工、转移和删除信息都很容易发生个人信息的泄露。商家对个人信息的侵犯这要表现为个人信息的非法收集、个人信息二次开发利用、个人信息交易三个方面。

个人信息的非法收集,这一非法行为是发生在信息收集环节。通常商家对用户信息的获取使用以下两类方法:一类是通过人机交互模式获取用户的信息。在电子商务环境下,人们浏览、咨询或是购物时,通常都会要求填写一系列的表单,如:在网站注册时、或者网站购物时都会被要求填写姓名、性别、年龄、邮箱、手机号码、住址等个人信息。这些表单中涉及了很多的个人隐私。虽然多数网站对此都会有相应的隐私声明,但是用户无法得知网站收集信息的真实目的,更加不能够对自己的信息利用情况进行监督。商家为了拓展其业务而进行个人数据收集固然有一定的合理性,但是其所收集的个人数据的安全并不能完全的得到保障。而另一类个人信息收集的方法是通过对用户访问记录的挖掘,获取用户的需求、兴趣和爱好等。由于现在的浏览器能够让用户限制或禁用cookies,所以商家开始使用其他的方法来跟踪用户的活动,收集个人信息。并且,越来越多的人使用移动设备进行网络活动,而大多数的移动设备通常是不允许应用程序利用cookies。所以,商家开始以人性化服务、私人定制为噱头,使得用户主动提供个人信息,以换取更人性化的服务,这样一来,商家在不同的终端都可以跟踪用户的活动,用户再也无法匿名浏览了。

个人信息二次开发利用,通常发生在信息加工环节。个人信息二次开发利用是指商家将自己所收集到的个人数据经过分析整理或数据挖掘后得到的深层次的数据,把它用之于商业或者其它目的。当人们在网页上查询并购买一本研究生考试相关书籍,那么在这之后的很长一段时间里,你的网页上都会有关于考研相关信息的弹窗广告,并且你还会接收到网站给你发送的E-mail,向你推荐其他考研相关书籍。这就是一个我们身边的对个人信息的二次开发利用的例子。其实对电子商务中个人信息的二次开发利用加以规范是一件比较复杂的事情。从商家角度来讲,他们是通过自己的分析来获取个人隐私的,目的主要是为了向用户提供更多的、更优质的服务,出发点是好的,并且通常所用到的方法也是较为科学的。而从消费者的角度来讲,有一部分人喜欢商家这种行为,他们认为这样能给自己带来便利,而另一部分人就感觉个人的隐私被泄露了,认为这是对自己正常生活的一种干涉。

个人信息交易,发生在信息转移或者是信息删除环节。商家在获取个人信息之后,在没有按照用户要求删除信息的情况下,或是在没有告知用户的情况下,就把用户的信息进行非法交易。个人信息交易目前有两种形式。第一种是公司之间互相交换个人信息。当A公司对B公司所掌握的用户信息感兴趣,且B公司也对A公司有一定的要求时,两公司通过协商,各取所需。另一种是个人资料买卖。现今越来越多的商家和企业依赖第三方获取重要信息以服务于用户的需要和期望,促进其有效经营。他们需要了解谁会购买他们的产品和服务,以此扩大自己的用户基础。然而这种个人信息的交易往往都是未经用户的同意,在其不知情的情况下进行,此举固然便利有效,但是却还是承担着个人信息泄露的风险。

综上所述,个人信息非法收集、个人信息二次开发利用、个人信息交易,这三大问题对于电子商务个人信息安全的影响不容小觑。商家为了利益,会采取各种措施去捕捉潜在用户的信息,虽然是为用户服务,但是却形成了对用户隐私的侵犯,其作用极可能适得其反,进而影响电子商务的发展。

3原因分析

国内造成个人信息泄露有很多种因素。首先,随着网络的进一步发展,个人信息的价值越来越高,巨大的利益驱动,使得不法分子铤而走险。然而,中国民众目前对个人信息的保护意识不强,给犯罪分子留下可乘之机。并且,我国一直以来缺乏明确的法律法规,对个人信息的收集和使用到底怎样是合法,怎样不合法并没有一个明确的界定。同时,对于明显的个人信息非授权收集或流转,也没有强有力的惩罚力度以震慑此种行为。

3.1民众缺乏个人信息保护意识

大多数消费者缺乏个人信息安全意识,对保护个人信息不受侵犯特别是保护电子商务过程中的个人信息安全并没有加以重视。在网购过程时,消费者们没有足够的个人信息安全意识,在物流信息流动过程中,填写了消费者的个人信息的快递单直接暴露在外,而消费者往往不会将收货单在事后进行撕毁处理,使个人信息收到威胁。对于商家的信息收集行为,有的消费者们并不担心自己的个人信息会被他们知晓,并且他们享受这种行为带来的个性化服务和高效的浏览体验。他们对个人信息被侵犯抱有一种听之任之、无所谓的态度。并且他们也没有按时修补漏洞和查杀病毒或恶意程序的习惯。除此之外,消费者们也缺乏相关的法律知识、法律意识十分淡薄,不知道如何使用法律武器保护个人的合法权益,也不善于利用技术手段保护个人信息,这些都可能导致用户的个人信息被侵犯。

3.2企业缺乏个人信息安全管理

企业对于用户群体对自身信息保护的意识和重视程度都在逐步提升,但是大部分的企业并没有意识到用户个人信息保护的重要性,在收集和使用用户个人信息的过程中,他们也没有一个完善的用户信息保护体系,导致用户的个人信息在信息处理的各个环节都有不同程度的信息泄露。其次,企业和商家在收集、使用个人信息的时候,没有体现出对用户的尊重和负责,甚至于用户在自己的信息被收集之后都没有知情权。电子商务企业对信息处理的这种现状,久而久之,就会让用户不再信任,从而影响到企业自身的声誉和利益。

3.3国家缺乏完善的立法

《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称指南)作为我国首个个人信息保护国家标准,于2013年2月1日起正式实施。《指南》侧重于从技术手段、信息系统上进行监管,对利用信息系统处理个人信息的活动起指导和规范作用,目的是为了提高企业的个人信息保护技术水平,促进个人信息的合理利用。《指南》主要强调的是用户的知情权,要求对于个人信息的处理要全部告知用户,且处理不能超出告知范围。这项标准还提出了处理个人信息时应遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。

该指南为下一步有针对性地打击相关犯罪提供了有力武器。但是,这个《指南》仅仅只是一个技术性标准,缺乏对违反这个标准的惩罚性措施,因此对于打击个人信息犯罪尚不具有威慑性。在网络保护公民权益免受非法侵害、保障国家安全是一项系统工程,不是单靠一部法律、法规就可以完成的。制定具有可操作性的法律必不可少,但要想从根本上解决个人信息泄露的问题,还需要不断完善相关的网络法律法规,建立健全的相应制度。

4解决办法

针对目前电子商务存在的各种问题,和出现这些问题的原因,我们可以通过四个方面的努力来改善电子商务中的个人信息保护问题。也就是技术层面、民众防范层面、企业管理层面以及国家立法层面。

4.1技术层面

一般在传统商务活动中,为了保证交易的安全性与真实性,都会有一份书面合同由双方责任人签字,并且这样的合同是具有法律效力的。在电子商务中,这种合同是以电子文件的形式表现的,在电子文件上,传统的手写签名和盖章是无法进行的,于是就有了依赖于电子技术手段的电子签名。

在电子商务环境中,大多数公司都会制定一个隐私协议,当用户在该公司网站注册的时候,需要通过这份协议才能继续接下来的网络活动。用户在注册和登录时,往往会不经考虑的就选择了我同意,他们不会完整的阅读整个隐私条款,不仅是因为这些隐私条款冗长且法律术语多,还因为用户并没有意识到这是一份相关他们个人信息安全的协议。在隐私协议中使用电子签名,而不是一个用一个简单的按钮就通过协议,这样可以让用户和公司意识到,他们即将受到这份协议的约束,使用电子签名不仅具有法律效力,能巩固隐私协议的合法性,还能够从侧面提高用户的个人隐私的保护意识。

4.2民众防范层面

为了防范个人信息的泄露,提高用户的个人信息保护意识是关键。作为信息的主体,我们每一个人都应该采取措施对自己的信息进行保护,包括了解自己的个人信息的大致范围、个人信息保护的原则以及可以采用的具体措施。姓名、身份证号、电话号码、住址都属于个人信息的范畴。当网站上或者是电商要求我们填写个人信息时,我们应该了解对方获取这些个人信息的原因,并且自行判断对方取得的信息是否多于实际需要的信息。坚持处理个人信息要遵循的八项原则中的最小够用原则,只给对方提供必要的信息,同时我们也要避免在不正规的网站上留下个人信息。在提供信息时,应采取措施限定或表明此类信息使用的范围。例如,当我们在提供身份证复印件时,应在不影响复印件使用的情况下,注明该复印件的用途;在网站注册输入信息时,应该关注网站是否提供隐私保护政策,限定信息保密要求或是使用范围。在处理包含个人信息的介质时,应采取恰当措施销毁信息。如个人简历、银行业务凭证、刷卡记录以及快递单等,在扔弃此类介质前应保证上面的个人信息不会被获取,可以采用撕毁、涂画等方式保护个人信息。

4.3企业管理层面

企业也需要加强对于个人信息保护的关注,严格遵守与个人信息相关的合规要求,包括信息收集及使用规范、安全保障措施和监督及检查等方面,并接受与配合相关机构的监督与检查,尽量避免由于个人信息相关违法行为导致的法律责任追究。

企业在使用用户信息时应该注意用户信息泄露的两个可能途径:内部泄露和外部泄露。内部泄露大多数是由于员工泄露和非法外来人员泄露。在2012年3.15晚会上有相关的报道,系统的管理人员出卖用户数据。外部泄露的主要途径实在和第三方合作的过程中,用户信息在不知情的情况下被第三方获取。[1]由于用户信息的收集、加工、转移、删除的过程中都会有信息泄露的风险,因此,企业在收集、使用个人信息时,应该做到:在信息的收集环节中,首先要获得用户的授权,然后只收集必要的个人信息。在信息加工环节,要采取相应的措施防止数据泄露,并且告知用户此次加工的方法和目的。在信息转移环节,对外包商和合作伙伴应要求采取与企业自身管理一样的安全管理要求,保证在个人信息使用过程中不会出现管理的短板,并且要告知用户转移的范围和目的。在信息删除环节,当使用的目的达成后,应及时删除个人信息,包括企业自身保存的,以及外包商或者合作伙伴保存的个人信息。综上所述,企业在管理个人信息时,除了做好自身安全管理,关注外包商和合作伙伴的安全水平之外,还有体现对信息主体的尊重和负责,保障信息主体对个人信息使用情况的知情权。

4.4国家立法层面

精选范文
学术杂志
友情链接