个人网络信息安全保护研究

个人网络信息安全保护研究

一、透明的时代:个人网络信息保护的严峻挑战

在万物互联、人机交互的大数据时代,数据成为经济社会发展的新动力,前所未有地改变了我们的生活。同时,这也是一个“透明的时代”,我们在使用高效快捷便利的互联网工具时,不可避免地将自己的信息提供给平台使用、存储,乃至与他人共享,既享用数据,也产生数据。同时,我们对“为改进服务,需要收集、分析您使用手机的情况”等类似的提示并不陌生,出于使用软件和服务的需要,通常都会同意授权,于是我们在平台面前就不再具有隐私,我们的所思所想、习惯偏好、行程变化、关系网络等都暴露给了企业,我们变成“透明”的了。在大数据技术环境里,用户虽然产生数据但却不保存数据,而是企业保存和调用,有的企业将用户数据视作自有资产,甚至排斥了用户权利,造成信息权利主体错位。此外,随着移动互联网、物联网等新型应用的发展,用户数据采集的内容更加具体和广泛,个人将更多的信息“拱手”交给服务商,如生活习惯、身体特征、健康数据等,一旦被恶意传播和使用,后果将非常严重。携程重大安全漏洞事件、山东省2016年高考考生信息被窃等,一次又一次敲响个人网络信息保护的警钟。近期美国信用机构Equifax爆出涉及1.4亿用户的数据泄露事件,也引起轩然大波,个人网络信息保护是个跨国度的课题。

二、个人网络信息保护涉及信息全程

个人网络信息的权益贯穿收集、传输、存储、使用和提供给第三方等过程,有意或无意的过失都可能在任何一个环节损害用户信息的隐私性、完整性和安全性。个人网络信息受到损害的成因主要有四:一是用户信息本身具有使用价值,可以为使用者带来可观的利益,使得一些机构和个人铤而走险非法获取和使用个 人信息。如利用用户信息进行诈骗,扰乱行业正常发展秩序,危害人民群众财产安全,令人深恶痛绝。二是企业信息安全意识淡薄,管理防范不足,使得不法之徒对用户信息的窃取和使用有可乘之机。2014年,违法分子利用申通K8速运管理系统的漏洞,侵入公司服务器非法获取3万余条个人信息,就是典型案例。三是个人信息保护意识不强,轻易提供个人信息,被不法之人利用。据网络调查,39%的人平时不太在意个人信息保护,31%的人了解个人信息泄露危害,63%的人只是了解一点。四是个人信息保护的法规与制度不够完善,对信息保护不力和侵犯信息行为的震慑不够。

三、保护个人网络信息安全需要多元参与

个人信息从采集到使用,涉及各类主体和多种技术应用,信息安全的保护是一项综合性、系统性、全方位的工程。需要坚持“社会共治”的思维,政府、企业、社会组织、广大网民都要共同参与,多方联动、齐抓共管、协同治理、良性互动,构建多主体共同参与的治理模式。个人网络信息保护离不开法律的规范和保障。《网络安全法》规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”“不得收集与其提供的服务无关的个人信息”。但实际是,个体在互联网公司面前过于单薄脆弱,如果拒绝提供个人信息,就不能使用网络产品和服务,比如地图导航、网络购物、共享单车等,甚至天气信息、手电筒、图像处理、记事本之类的App都要求用户提供或者不阻拦其收集通讯录、手机设置、地理位置等信息。这就需要进一步制定个人信息保护专门性立法,陆续推出配套的有关实施细则、专门规章、行业标准等,尽最大可能完善具体规则,最大限度地对互联网公司行为作出规范,如不得以提供个人相关信息或授予相应权限作为使用新闻软件、娱乐App的前置条件等,明确强制提供使用的种类和范围,避免“人为刀俎我为鱼肉”的权益失衡。封堵信息保护漏洞,企业责无旁贷。从近年来发生的多起航空公司、酒店、快递公司等泄露用户个人信息事件来看,一些企业在收集与利用用户个人信息时没有尽到应有的保护职责。有必要强化企业保护个人信息的社会责任,不允许忽视用户信息保护而追求利润最大化。政府有关部门要借助《网络安全法》实施的契机,加强执法检查,完善信息保护制度,明确企业在信息收集、存储、利用阶段的规则规范。从企业来说,务必要提高防范意识,升级防范等级,做到事前预防、事中阻断、事后追溯,堵塞监管漏洞,加强行业规制,提高自律水平,实现源头防范。要以技术防范为主,加强技术研发,完善信息系统安全设备诸,确保系统中的用户个人信息得到更加稳妥的安全技术防护。提高用户意识保护网络信息安全。在“互联网+”时代,用户喜好决定企业生死,如果用户具有强烈的个人信息保护意识,自觉抵制侵害个人信息的企业,形成“保护用户信息就是保护市场”的理念,倒逼企业重视用户信息保护。要培养用户良好的信息保护意识,养成良好的上网习惯,有意识地控制个人信息的使用范围,妥善保管个人信息,谨慎提供敏感信息,最小化地填写网络信息。牢固树立网络信息“主权”观念,自己就是网络信息的所有者,企业必须遵循知情同意和最小化利用原则,对违反规定和约定的行为主动维权,迫使企业不敢侥幸。此外,还要加大侵害个人网络信息行为的打击和惩处力度。对侵犯用户个人网络信息的,既要加强公安、工商、通信等联合打击力度,坚持执法零容忍,形成震慑,也要加大惩处力度,提高违法成本。除了司法惩治、行政处罚,还要加大对用户民事维权的支持力度。借鉴“网购收货地起诉”模式,建立便于用户维权的投诉、申诉、起诉机制,探索集体诉讼模式,推动用户共同维权。互联网具有全球即时传播的特点,个人信息一旦在网上泄露就会失去控制,“覆水难收”。只有让用户觉得自己的信息是安全的,才会积极参与网络生活,大胆尝试互联网新服务,推动互联网产业健康发展。

作者:宋昌发 单位:广东省通信管理局