文/洪延青姚相振何延哲
随着信息技術的高速發展,個人信息的搜集變得越來越容易,信息洩露問題也越來越嚴重。8月19日,山東省臨沂市高考錄取新生徐玉玉被不法分子冒充教育、财政部門工作人員詐騙9900元,徐玉玉在報案回家途中暈厥,心髒驟停,不幸離世。9月9日,公安部公布徐玉玉案詐騙細節,嫌疑人通過攻擊“山東省2016高考網上報名信息系統”,盜取了包括徐玉玉在内的大量考生報名信息。電信詐騙惡性事件的頻發,也引發公衆對個人信息保護的關注。
如何保護個人信息安全?加快出台個人信息安全規範、保護指南等網絡安全國家标準是當務之急。近日,中央網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家标準化管理委員會聯合發布了《關于加強國家網絡安全标準化工作的若幹意見》(以下簡稱《意見》),《意見》的第二部分《加強标準體系建設》中提出“推進急需重點标準制定”,并明确将制定“個人信息保護”方面的标準列為近期工作重點之一。
上網如履薄冰隻因遍布“荊棘”
當下,我國個人信息保護現狀亟待改進。僅2014年,中國就有多家知名電商、快遞公司、招聘網站、考試報名網站等發生信息洩露事件,其中由于用戶管理模塊存在漏洞,某知名手機廠商論壇包括賬号、密碼和社交賬号等800萬用戶個人信息遭洩露;最新發布的《2015年我國互聯網網絡安全态勢綜述》顯示,過去的一年我國同樣發生了嚴重的數據洩露事件:約10萬條應屆高考考生信息洩露事件、某票務系統近600萬用戶信息洩露事件等等。
在2016年4月19日召開的網絡安全和信息化工作座談會上,習近平總書記高屋建瓴地對網信工作六大重點問題進行了系統性論述,提出了“以人民為中心”的網信發展思想,并做出了“網絡安全為人民、網絡安全靠人民”的重要指示。顯然,現實狀況和總書記提出的要求有明顯差距。如果個人信息遭未經授權的訪問、使用、披露、破壞、修改等的局面不加改善,網絡空間依舊荊棘遍布、陷阱重重,老百姓上網、用網不放心,互聯網如何能成為人們學習、工作、生活的新空間,獲取公共服務的新平台?
正如《意見》指出,“網絡安全标準化是網絡安全保障體系建設的重要組成部分,在構建安全的網絡空間、推動網絡治理體系變革方面發揮着基礎性、規範性、引領性作用”,為實質性地改善收集、使用個人信息的組織機構的行為,急需一套科學、先進并且符合現實需求、具有操作性的個人信息保護行為規範。
目前,《個人信息安全規範》标準制定項目已經在全國信息安全标準化技術委員會立項,并被列為今年的重點标準項目。參加該标準制定工作的單位包括北京信息安全測評中心、頤信科技有限公司、中國信息安全研究院、中國電子技術标準化研究院、公安部第一研究所、四川大學、上海國際問題研究院、騰訊、阿裡巴巴等。
立足國情接軌國标制定“攻略”
《個人信息安全規範》标準将針對處理個人信息的各類組織(包括機構、企業等),提出具體的保護要求,定位為我國個人信息保護工作的基礎性标準文件,為今後開展與個人信息保護相關的各類活動提供參考,為制定和實施個人信息保護相關法律法規奠定基礎,為國家主管部門、第三方測評機構等開展個人信息安全管理、評估工作提供指導和依據。
首先,《個人信息安全規範》将把握好以下四方面價值中的平衡:一是個人隐私權和信息自決權,包括在一定程度上控制個人信息的收集、使用、流轉,以及控制基于數據作出的各項決定對個人的影響;二是發展利益,即企業和産業充分利用個人信息,提供、改進、創新産品和服務的合理訴求;三是公共利益,政府相關部門利用個人信息完成公共管理,以及社會發展所必須的信息自由流動和公衆知情權;四是國家利益,個人信息跨境流動對國家主權、國家安全、國家競争力等方面造成的正面、負面影響。
其次,《個人信息安全規範》将立足于我國現有的法律、法規、規章、标準,包括全國人大常委會《關于維護互聯網安全的決定》、全國人大常委會《關于加強網絡信息保護的決定》《刑法修正案(五)》《刑法修正案(七)》《刑法修正案(九)》《電信和互聯網用戶個人信息保護規定》《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z28812-2012)、《信息安全技術信息技術産品供應方行為安全準則》(報批稿)等。除此之外,《個人信息安全規範》将參考個人信息保護方面最先進的國外立法。例如,OECD隐私框架、APEC隐私框架等國際規則,歐盟《通用數據保護條例》、歐美“隐私盾”協議、美國“消費者隐私權法案”等歐美個人信息保護方面的立法。
最後,《個人信息安全規範》将在參考個人信息保護方面的國際标準的基礎上做到與國際接軌。ISO/IECJTC1/SC27是國際标準化組織(ISO)和國際電工委員會(IEC)聯合技術委員會(JTC1)下屬專門負責信息安全領域标準化研究與制定工作的分技術委員會,SC27/WG5負責身份管理和隐私保護相關标準的研制和維護,目前最具代表性和體系性的屬ISO/IEC29100系列标準,包括:ISO/IEC29100《隐私保護框架》、ISO/IEC29101《隐私體系架構》、ISO/IEC29190《隐私能力評估模型》、ISO/IEC29134《隐私影響評估》、ISO/IEC29151《個人可識别信息保護指南》等。此外,還有美國的保護個人身份信息機密性指南(NISTSP800-122)、聯邦信息系統隐私與安全控制(NISTSP800-53);歐盟的數據保護審計實踐清單(CWA15262:2005),管理者的自評估框架(CWA16112:2010),個人數據保護良好實踐(CWA16113:2010),等等。
2016年8月25日,公安部刑事偵查局官方微信發布緊急提醒,170、171号段是虛拟運營商專門号段。接到這兩個号碼段來電的用戶千萬要小心,已有多人被騙!供圖/CFP順應發展方讓個人信息“無虞”
當今社會逐漸進入大數據時代,習近平總書記2015年5月在給國際教育信息化大會的賀信中指出,“當今世界,科技進步日新月異,互聯網、雲計算、大數據等現代信息技術深刻改變着人類的思維、生産、生活、學習方式,深刻展示了世界發展的前景。”
大數據時代,數據正在成為一種生産資料,成為一種稀有資産和新興産業。任何一個行業和領域都會産生有價值的數據,而對這些數據的統計、分析、挖掘則會創造意想不到的價值和财富。
然而,大數據技術和應用的迅猛發展也使得個人信息保護面臨更多挑戰:收集環節——移動互聯網和物聯網的發展使對個人信息的收集日益密集、隐蔽;使用環節——多來源的個人信息組合,形成數字畫像、實時追蹤,數據挖掘增加個人信息和隐私暴露的風險,顯著影響個人權益;披露環節——數據流轉、交易形成鍊條,信息處理主體多元,流轉方式紛繁複雜,個人信息跨境流動成為常态。
《個人信息安全規範》的編制工作将充分體現安全與發展的關系,在開放發展的大環境下保護公民個人信息,既要順應大數據等新技術新應用的發展,也要建設科學有效的機制抵禦其帶來的風險,研制出符合我國信息化發展現狀的個人信息保護标準。
(洪延青:四川大學網絡空間安全研究院;姚相振、何延哲:中國電子标準化技術研究院)