序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾蕚淞瞬煌L(fēng)格的5篇個人信息安全管理，期待它們能激發(fā)您的靈感。

篇1

個人資料成為在網(wǎng)上販賣的“商品”，莫名其妙接到推銷人員的電話……個人信息頻頻受到侵犯的現(xiàn)象近年來已引起廣大群眾的極大反感，甚至有人因此受到詐騙、敲詐勒索等侵害。但人們對非法獲取和提供自己資料的不法分子卻無可奈何。

2011年深圳警方抓獲了一名販賣嬰兒信息的女子，其販賣的信息當(dāng)中記載了深圳15萬名新生嬰兒的詳細資料，還搜查出深圳樓盤業(yè)主、車主名單等數(shù)十萬份個人信息。

2012年3月20日，北京警方宣布成功破獲CSDN網(wǎng)站用戶數(shù)據(jù)泄露案，被公開的疑似泄露數(shù)據(jù)庫26個，涉及賬號、密碼信息2.78億條，嚴重威脅互聯(lián)網(wǎng)用戶的合法權(quán)益。在2009年刑法修正案（七）中，雖然確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，但未明確該罪的具體界定標準，且追究的犯罪主體只是“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，法律對信息泄露者的懲罰機制還遠遠不夠。

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心《2011年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示，近年來以用戶信息泄露為代表的與網(wǎng)民利益密切相關(guān)的事件頻發(fā)高發(fā)，“輕傷”者被垃圾信息“攻擊”，“重傷”者財物、名譽雙雙受損，引起公眾對網(wǎng)絡(luò)安全的廣泛關(guān)注。

“三律”加強個人信息安全防御

面對垃圾短信和洗錢、詐騙等違法違規(guī)信息推送以及網(wǎng)絡(luò)上辦假身份證騙取銀行信用卡惡意透資、盜取他人賬戶資金等種種亂象，如何全面加以防范和打擊已經(jīng)迫在眉睫。

針對個人信息泄露的三種主要渠道：一是用戶的電腦或手機被木馬軟件劫持；二是個人信息在互聯(lián)網(wǎng)傳輸?shù)倪^程中，經(jīng)過一些傳輸路由時被他人控制；三是網(wǎng)站運營或信息管理機構(gòu)對個人信息沒有盡到妥善保管的義務(wù)，在使用過程當(dāng)中把個人信息泄露出去。與技術(shù)因素相比，網(wǎng)站運營或信息管理機構(gòu)泄露用戶信息已經(jīng)成為侵犯個人信息安全更為重要的原因。必須從源頭加以治理，堅持法律、他律與自律三律并施的原則，切實加強個人信息安全防護。

健全法律。工業(yè)和信息化部副部長楊學(xué)山日前在“2012中國個人信息保護大會”上指出：“個人信息安全已成為目前網(wǎng)絡(luò)發(fā)展的重要問題，加強相關(guān)法律法規(guī)建設(shè)具有重要意義”、“個人信息安全是重要的問題，與網(wǎng)絡(luò)秩序、社會的穩(wěn)定與安定均息息相關(guān)，個人信息在網(wǎng)絡(luò)上的集中度越來越高，法律建設(shè)的相關(guān)環(huán)節(jié)也就更加具有重要的地位”。立法保護個人信息，是國際上通常的做法。目前世界上已有50多個國家和組織制定了個人信息保護的相關(guān)法規(guī)和標準。而在我國，雖有近40部法律、30余部法規(guī)和近200部規(guī)章涉及個人信息保護，2009年《刑法》將泄露個人信息入罪，《民法通則》中也有關(guān)于個人隱私的條例，但這些法律法規(guī)條例零散、抽象，在現(xiàn)實中普遍缺乏可操作性。《個人信息保護法》初稿已出臺6年，但至今未進入正式立法程序。加快推動個人信息保護立法進程，成為社會共識。

加強他律。掌握公民信息的，往往是具備政府管理職能和提供公共服務(wù)的機構(gòu)及社會團體組織，他們掌握著80%以上的個人信息，80%以上的個人信息往往也經(jīng)由他們泄露出去。因為單憑個人沒有如此強大的信息收集能力，只有這些單位趁著工作上留存公民信息的需要而使工作人員有違規(guī)操作的可能。因此，各級信息安全工作主管部門必須切實加強對政府機關(guān)、公共事業(yè)單位和社會團體等組織的信息安全監(jiān)管，督促其在做好信息系統(tǒng)等級保護和風(fēng)險評估工作的基礎(chǔ)上，切實加強對員工的信息安全管理，促其管束好工作人員遵守職業(yè)道德，不趁職務(wù)之便而謀利。

嚴格自律。網(wǎng)民在利用即時通訊工具聊天、在電子商城購物或在交友開博過程中，不知不覺中已經(jīng)將個人信息存儲在網(wǎng)站運營商的服務(wù)器中，這些個人信息不僅涉及個人姓名、性別、身份證、電話、郵箱等內(nèi)容，甚至包括個人銀行卡、支付密碼、家庭住址等更為私密的內(nèi)容，而公眾所熟悉的殺毒軟件重點在保護用戶端的電腦安全，對于存儲在運營商服務(wù)器上的數(shù)據(jù)安全鞭長莫及。新近提交審批的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》，提出個人信息在收集、加工、轉(zhuǎn)移、刪除4個主要環(huán)節(jié)中所要遵循的基本原則、注意事項，應(yīng)引起個人信息提供者與使用者的高度重視并嚴格執(zhí)行。作為個人，要做到不該上的網(wǎng)站不上、不該提供的信息不提供；作為機構(gòu)，要做到不該征集的信息不征集、使用后不該存儲的信息不留存。

“三建議”提升個人信息防護對策

個人信息安全防護是一項系統(tǒng)工程，政府部門作為公民個人信息最大的擁有者，首先應(yīng)高度重視在個人信息應(yīng)用方面的管理，為公民網(wǎng)上活動和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展提供良好的法律環(huán)境。同時，相關(guān)企業(yè)要加強技術(shù)管理，條件成熟時還可設(shè)立企業(yè)首席隱私官,專門負責(zé)處理與用戶隱私權(quán)相關(guān)事宜。而普通大眾也要提高個人信息安全保護的意識和能力，防范網(wǎng)絡(luò)行為可能帶來的潛在風(fēng)險。筆者結(jié)合從事信息化與信息安全工作的實踐，提出以下建議：

加強學(xué)習(xí)，強化意識。首先要認真學(xué)習(xí)修訂后的《保守國家秘密法》，深刻領(lǐng)會并全面掌握結(jié)果論為行為論的核心要義，嚴守12條禁令，不碰紅線、高壓線；按照“四個不得危及、三個不得公開”的原則，處理政務(wù)信息公開工作；其次要做好網(wǎng)絡(luò)技術(shù)防范管理，嚴格遵照《江蘇省信息化條例》要求，在信息化規(guī)劃與建設(shè)、信息資源共享與開發(fā)利用、信息產(chǎn)業(yè)發(fā)展與技術(shù)推廣應(yīng)用、信息安全保障及其相關(guān)管理活動中，逐一落實到位。尤其是信息安全保障系統(tǒng)應(yīng)當(dāng)與信息化工程項目同步規(guī)劃、同步建設(shè)、同步運行，使用財政性資金建設(shè)的信息網(wǎng)絡(luò)和信息系統(tǒng)投入使用前，應(yīng)當(dāng)進行信息安全登基保護和信息安全風(fēng)險評估。

加強管理，強化責(zé)任。推進黨政機關(guān)和公共服務(wù)系統(tǒng)“網(wǎng)站域名、網(wǎng)絡(luò)接入、網(wǎng)絡(luò)終端、網(wǎng)站運維、網(wǎng)絡(luò)安全”規(guī)范化建設(shè)，建章立制、層層落實、責(zé)任到人，公務(wù)人員個人工作電腦與IP地址、MAC地址實施捆綁且規(guī)定只允許處理公務(wù)；規(guī)范個人桌面終端管理，不得隨意下載與工作無關(guān)的應(yīng)用軟件和文檔資料，密級電腦禁止連接互聯(lián)網(wǎng)，不在連接互聯(lián)網(wǎng)的電腦上起草敏感重要材料；不同密級設(shè)備不混用，同密級移動U盤在同密級電腦間使用。

篇2

一、適應(yīng)形勢需要，構(gòu)筑強大的人事信息安全網(wǎng)絡(luò)

目前，人事檔案中的某些數(shù)據(jù)已經(jīng)實現(xiàn)了聯(lián)網(wǎng)，如公安部門已經(jīng)建立的覆蓋人事檔案的信息系統(tǒng)，將整合個人信息資源，提供高效、快捷的服務(wù)和應(yīng)用。但在個人信息電子化的過程中，個人信息泄漏成為最突出的問題，由于網(wǎng)絡(luò)的共享性而造成的個人信息泄漏事件往往給個人及單位造成麻煩及致命打擊。而且隨著網(wǎng)絡(luò)規(guī)模的日益擴大及深入應(yīng)用，各單位自身對網(wǎng)絡(luò)依賴程度將越來越高，網(wǎng)絡(luò)結(jié)構(gòu)及使用日趨復(fù)雜，網(wǎng)絡(luò)安全問題越來越突出。近幾年，個人信息的泄露已成為較嚴重的問題。2013年2月28日廣州日報刊登了這樣一則消息——“中國人壽個人信息泄露，80萬份保單可上網(wǎng)任意查”的消息，據(jù)消息稱有的人莫名收到一份免費保單，或剛在銀行辦完業(yè)務(wù)就接到保險公司的推銷電話。中國人壽相關(guān)負責(zé)人回應(yīng)稱此問題因系統(tǒng)升級操作失誤所致。目前，發(fā)生問題的查詢模塊已關(guān)閉。公司就此事公開道歉。由此看來人事檔案個人情況信息化是把“雙刃劍”，一方面?zhèn)€人信息資源共享可以實行資源整合，方便快捷查詢；另方面，若保密安全防范措施做的不到位，人為失誤，那么個人信息就會泄露，后果則不堪設(shè)想。

當(dāng)今單位網(wǎng)絡(luò)所面臨的威脅主要可以分為對網(wǎng)絡(luò)中設(shè)備的威脅和對網(wǎng)絡(luò)中數(shù)據(jù)的威脅。因此，信息系統(tǒng)的安全性可分為物理安全和信息安全。

網(wǎng)絡(luò)中的物理威脅主要包括對硬件設(shè)施、網(wǎng)絡(luò)本身以及其它能夠被利用、被盜竊或者可能被破壞的設(shè)備的威脅。信息安全主要對信息系統(tǒng)及數(shù)據(jù)實施安全保護，保證在意外事故及惡意攻擊下系統(tǒng)不會遭到破壞，個人及單位數(shù)據(jù)信息不會泄露，保證信息的保密性、完整性和可用性。信息安全主要面臨有病毒及黑客的攻擊、人為惡意攻擊、非法將信息泄露。其中病毒可以借助文件、網(wǎng)頁、移動介質(zhì)等諸多方式在網(wǎng)絡(luò)中迅速進行傳播和蔓延，具有隱蔽性強、傳播速度快，破壞力大的特點，單位內(nèi)部網(wǎng)絡(luò)一旦受感染，就會利用被控制的計算機，破壞數(shù)據(jù)信息，造成網(wǎng)絡(luò)性能下降、系統(tǒng)癱瘓、數(shù)據(jù)丟失及個人信息泄露事件。但真正的威脅還是來自內(nèi)部。人為的惡意攻擊是計算機網(wǎng)絡(luò)所面臨的最大威脅。如，對網(wǎng)絡(luò)未采取有效的防范措施，系統(tǒng)共享情況比較普遍，缺乏有效的訪問權(quán)控制等。此外信息安全意識和認識不足，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施利用和資金投入不足等非技術(shù)層面購成的網(wǎng)絡(luò)信息安全缺陷也嚴重威脅個人信息系統(tǒng)的安全保密性。

二、加強對個人信息安全保密管理的督查力度，建立個人信息安全泄密隱患預(yù)警機制

在政務(wù)公開的背景下，人事檔案部門應(yīng)該積極探索增加人事檔案透明度的方法，既不違背黨和國家人事檔案管理的有關(guān)規(guī)定，確保人事檔案的安全，又通過人力資源信息系統(tǒng)的平臺中，達到權(quán)限范圍內(nèi)的人力資源信息共享。人事信息系統(tǒng)必須采取安全有效的防范措施，防范非法人員冒用授權(quán)用戶合法身份登錄信息系統(tǒng)，竊取敏感信息。如何有效地管理人事檔案的個人信息系統(tǒng)平臺，提高系統(tǒng)的安全保密性，確保單位人力資源信息資源利用能夠更加可靠、正常、高效地運行？這是一個集技術(shù)、管理、法規(guī)綜合作用為一體的、長期的、復(fù)雜的系統(tǒng)工程。我認為主要應(yīng)做好以下三點工作：

1.建立健全組織體系

單位應(yīng)成立由法人代表或主要負責(zé)人擔(dān)任組長的“人力資源信息系統(tǒng)安全保密工作領(lǐng)導(dǎo)小組，由人力資源處、保密辦、信息化等有關(guān)部門人員共同組成，負責(zé)組織協(xié)調(diào)整個信息系統(tǒng)的安全工作，明確小組成員的具體職責(zé)和分工，形成層次清晰、職責(zé)明確的人力資源信息安全責(zé)任體系。

2.建立人事信息系統(tǒng)安全保密管控體制

在技術(shù)上采取隔離技術(shù)、鑒別技術(shù)、控制技術(shù)、加密技術(shù)、防漏技術(shù)等措施予以管控，防范個人信息泄漏；在管理上，建立健全“既滿足單位實際需要，又符合國家有關(guān)人事信息系統(tǒng)安全保密管理策略和相關(guān)制度的要求。

3.加強對個人信息安全保密管理的督查力度

篇3

關(guān)鍵詞：個人；金融信息；保護；法律體系

一、個人金融信息泄露的原因

（一）法律體系不完善，個人金融信息的保護規(guī)定不健全。目前，我國尚未制定一部專門的個人信息保護法，發(fā)揮個人金融信息保護功能的主要是中國人民銀行出臺的《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》（2005）、《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》（2011），這些只是部門性德規(guī)章制度和政策文件，兩者雖對個人金融信息收集、保存、使用等做了相應(yīng)規(guī)定，但前者屬效力層級較低的部門規(guī)章，且只針對信貸領(lǐng)域的個人信用信息，后者為規(guī)范性文件，在實際工作中不具備正式法的效力，執(zhí)行能力不強。

（二）銀行業(yè)金融機構(gòu)對個人信息安全保護的重要性缺乏充分認識，對個人信息缺乏統(tǒng)一的保護機制。銀行業(yè)金融機構(gòu)對客戶的個人信息安全保護認識不足，缺乏個人信息安全管理制度，對客戶個人信息保密責(zé)任不明晰，沒有對信息實行有效的安全等級分類管理；對制度的執(zhí)行監(jiān)督檢查、評估不夠，對掌握重要信息的離崗人員的保密責(zé)任沒有嚴格的約束措施。目前個人金融信息保護的相關(guān)規(guī)定只是散見于銀行各類業(yè)務(wù)的管理制度中，無法保證個人金融信息的采集、保管和追蹤等各個環(huán)節(jié)工作的統(tǒng)一性。同時，銀行各個業(yè)務(wù)部門中涉及個人金融信息，沒有統(tǒng)一的聯(lián)系和管理機制，個人金融信息在銀行內(nèi)部沒有形成互通互聯(lián)，這給信息保護帶來很大難度，是個人信息保護中的漏洞所在。內(nèi)部監(jiān)督檢查力度較弱，沒有對個人信息保護的專項檢查制度，將該類檢查納入常規(guī)性檢查定期進行的機構(gòu)比例較低。

（三）監(jiān)管部門不明確，監(jiān)管手段欠缺。目前，人民銀行從征信管理的角度加強了對個人客戶信息保護工作的力度，印發(fā)了《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》（2011），盡管對個人金融信息收集、保存、使用、對外提供等做了全面的規(guī)定，但由于缺乏明確的法律依據(jù)，人民銀行履行該項職能缺乏必要的監(jiān)管手段。囿于效力層次，不能設(shè)立行政檢查檢查權(quán)和處罰權(quán)，人民銀行對違反個人金融信息保護規(guī)定的金融機構(gòu)只能采取“核實、約見談話、責(zé)令整改、通報”等柔性處理措施，約束力較弱，保護力度受限，效果不明顯。

（四）銀行業(yè)金融機構(gòu)缺乏對風(fēng)險防范意識的宣傳和教育，客戶對于個人信息保護的意識不強。由于銀行金融機構(gòu)在營銷產(chǎn)品的過程中，對產(chǎn)品可能存在的風(fēng)險沒有做到全面告知，客戶對個人信息保護雖有一定認識，但對個人信息的重要性及個人信息保護制度的相關(guān)細節(jié)卻普遍缺乏深入的了解，個人信息保護意識不高，風(fēng)險防范意識較為薄弱。

二、加強保護個人金融信息的建議

（一）制定專門法規(guī)，為保護個人金融信息提供法律依據(jù)。個人信息的保護法規(guī)需要多層次、系統(tǒng)化的制度作為保證，形成協(xié)調(diào)統(tǒng)一的法律體系。首先要明確個人金融信息的定義，明確銀行收集個人金融信息的目的和范圍；其次，規(guī)定銀行保護、使用個人金融信息的法定義務(wù)，即要求銀行必須按照法定的方式、途徑來收集、保存和使用個人金融信息，并履行一定的告知義務(wù)；再次，就是侵害個人金融信息的認定辦法和救濟途徑作出明確規(guī)定。

（二）銀行業(yè)金融機構(gòu)要切實提高客戶個人信息安全保護意識。金融機構(gòu)要加強對個人金融信息的保護工作，完善個人信息系統(tǒng)的建設(shè)。對個人金融信息的收集、使用等各個環(huán)節(jié)做出明確的規(guī)定，并建立有效的制度對各個環(huán)節(jié)面臨的風(fēng)險進行有效的防范。同時，明確保密和管理職責(zé)權(quán)限，落實責(zé)任制，與在崗員工簽訂安全保密責(zé)任書，與離崗人員簽訂安全保密承諾書；強化監(jiān)管和問責(zé)，定期對信息安全狀況進行評估、審計和檢查監(jiān)督，及時發(fā)現(xiàn)和糾正工作中存在的隱患和漏洞；加強對員工尤其是新員工的信息安全教育培訓(xùn)，使員工了解信息安全管理的內(nèi)容、規(guī)定以及信息安全管理的重要性，增強信息安全風(fēng)險意識，防范道德風(fēng)險。

篇4

[基金項目]本文為國家社會科學(xué)基金（BSH031）階段性成果。

一 、網(wǎng)絡(luò)時代的個人信息安全危機

網(wǎng)絡(luò)時代，隨著信息產(chǎn)業(yè)的日益發(fā)達和互聯(lián)網(wǎng)的迅猛發(fā)展，以計算機為基礎(chǔ)的信息技術(shù)使得收集、儲存、傳輸、處理和利用個人信息變得易如反掌，個人信息的收集與交換出現(xiàn)了爆炸式發(fā)展的態(tài)勢。科學(xué)技術(shù)從來都是一把“雙刃劍”，網(wǎng)絡(luò)在使信息流動便捷的同時，也給個人信息安全帶來挑戰(zhàn)，提高了個人信息保護的難度。近年來，個人信息泄露事件頻發(fā)，并呈現(xiàn)迅猛發(fā)展的態(tài)勢，人們越來越強烈地感受到個人信息安全危機給生活帶來的種種困擾。

網(wǎng)絡(luò)時代的個人信息危機主要有如下表現(xiàn)：一是個人信息失控的危機。隨著信息技術(shù)的發(fā)展，個人信息有可能在系統(tǒng)安全存在漏洞的情況下被不法訪問、使用甚至篡改，信息自決權(quán)成為空談[1]。2011年底中國互聯(lián)網(wǎng)遭遇了史上最大規(guī)模的用戶信息泄露事件，多家大型網(wǎng)站的用戶數(shù)據(jù)被泄露，幾千萬個用戶賬號和密碼被公開，給社會秩序和人民切身利益造成嚴重危害。二是個人隱私和尊嚴的危機。在網(wǎng)絡(luò)環(huán)境下，人們越來越多地把自己的生產(chǎn)和生活移到了網(wǎng)絡(luò)空間，這個空間是由“個人信息”組成的“數(shù)字人”的交往空間。大量個人信息在不知不覺中被收集，個體在社會生活中急速“被透明化”，現(xiàn)代人因此而成為“透明人”或“半透明人”，個人毫無隱私可言，尊嚴難以保證。三是信息利益的危機。個人信息主體的信息收益權(quán)被不法商家奪取，個人信息利益喪失，信息主體的財產(chǎn)權(quán)因此而受到侵害。更為嚴重的是，個人信息危機帶來的“信息陰影”已經(jīng)日漸擴散，正常的社會秩序正因此而面臨嚴峻的考驗。個人信息安全的危機，將破壞商業(yè)秩序，滋長犯罪、危害社會穩(wěn)定，制約經(jīng)濟發(fā)展，甚至引發(fā)公共安全危機。鑒于此，公民的個人信息保護勢在必行。

目前，我國在個人信息保護領(lǐng)域的行動主要體現(xiàn)在對泄露公民個人信息的行為和當(dāng)事人進行追究和打擊等補救措施上，這實際上屬于一種“事后救濟”的反饋控制，不僅已經(jīng)泄露的個人信息“覆水難收”，而且個人維權(quán)成本非常之高，根本無法控制已經(jīng)泄露信息的網(wǎng)絡(luò)傳播，既治不了標，更治不了本。如何應(yīng)對網(wǎng)絡(luò)時代對個人信息安全的挑戰(zhàn)？我們建議對個人信息保護引入一種新的思想和機制——前饋控制。

二、 前饋控制與個人信息保護的關(guān)系

前饋控制（feedforward control）早期是一個工科領(lǐng)域的名詞，后來被引申到管理學(xué)中，指通過觀察情況、收集整理信息、掌握規(guī)律、預(yù)測趨勢，正確預(yù)計未來可能出現(xiàn)的問題，提前采取措施，將可能發(fā)生的偏差消除在萌芽狀態(tài)中，為避免在未來不同發(fā)展階段可能出現(xiàn)的問題而事先采取的措施。簡而言之，就是事先分析和評估即將輸入系統(tǒng)的擾動因素對輸出結(jié)果的影響，并將期望的管理目標同預(yù)測結(jié)果加以對照，在出現(xiàn)問題之前就發(fā)現(xiàn)問題，事先制訂糾偏措施，預(yù)控不利擾動因素，將問題解決在萌芽或未萌狀態(tài)[1]。由此可見，前饋控制是與反饋控制相對而言的。反饋控制是面對結(jié)果的控制，旨在亡羊補牢；前饋控制是面向未來的控制，旨在防患于未然。前饋控制的優(yōu)勢在于可以避免反饋控制的“時滯”缺陷。[2]

凡事預(yù)則立不預(yù)則廢。前饋控制立足于“預(yù)控”，是對公民個人信息保護的一個新視角、新方法、新技術(shù)和新手段。前饋控制將事先分析和評估個人信息傳播過程中可能出現(xiàn)的各種問題和困境并對其問題實施超前控制。比如說充分利用法律法規(guī)的前饋控制功能制定專門的《個人信息保護法》，對個人信息的收集和使用過程中的違法違規(guī)行為進行預(yù)測，并做出詳細的處罰規(guī)定，從而有效防止違法行為的出現(xiàn)。對掌握公民個人信息的單位進行全方位監(jiān)管，對個人信息的收集、利用、提供和刪除等各環(huán)節(jié)進行嚴格排查，盡量避免任何環(huán)節(jié)的紕漏。提高安全管理技術(shù)和全民的個人信息保護意識，都能在很大程度上防止個人信息安全危機的發(fā)生，使個人信息保護更有效，進步更顯著。

總之，前饋控制能使我們在網(wǎng)絡(luò)時代個人信息保護的過程中掌握更大的主動權(quán)，只有前饋控制做好了，才能真正保護好公民個人信息安全。

三、 對個人信息安全保護實施前饋控制的若干建議

對個人信息安全保護實施前饋控制所包含的內(nèi)容非常廣泛，限于目前的認識水平和篇幅，我們主要提出以下建議。

1.建立和完善個人信息安全保護的法律法規(guī)

法律是一種社會規(guī)范，具有規(guī)范作用，法的規(guī)范作用表現(xiàn)為指引、評價、教育、預(yù)測和強制五個方面。其中，教育作用是指通過法的實施使法律對一般人的行為產(chǎn)生影響。這種作用又具體表現(xiàn)為示警作用和示范作用。預(yù)測作用是指憑借法律的存在，可以預(yù)先估計到人們相互之間會如何行為，對行為的預(yù)期是社會秩序的基礎(chǔ)。完善法律法規(guī)是對公民個人信息安全危機進行前饋控制的關(guān)鍵環(huán)節(jié)，充分發(fā)揮法律法規(guī)“令人知事，明其法禁”[3]的前饋控制功能，用有強制力的條文明確各方的權(quán)利與義務(wù)關(guān)系，能夠在很大程度上對個人行為起到規(guī)范作用。大多數(shù)發(fā)達國家都制定了關(guān)于個人信息保護的法律，如美國有《信息自由法》和《隱私法》，德國有《聯(lián)邦資料保護法》，日本和韓國都有專門的《個人信息保護法》，我國香港地區(qū)有《個人資料（隱私）條例》等。然而，我國大陸在個人信息立法上卻處于滯后狀態(tài)，專門的個人信息保護法律歷經(jīng)多年卻仍然難產(chǎn)。近期通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（以下簡稱“決定”）對于我國網(wǎng)絡(luò)信息保護具有突破性的意義，重點解決了我國網(wǎng)絡(luò)信息安全立法滯后的問題，體現(xiàn)了國家對于網(wǎng)絡(luò)信息安全的高度重視，但是《決定》更多的帶有宣示性意味，后續(xù)仍需要細化工作。

個人信息牽涉每一個人，網(wǎng)絡(luò)時代最大的特點就是信息的匯聚性，當(dāng)所有人的信息匯集的時候，信息保護就不是哪個部門的事了，而是在國家層面上需要考慮的戰(zhàn)略性問題。從現(xiàn)實看，當(dāng)前最需要的是加緊推動《個人信息安全保護法》的研究和制訂，明確買賣個人信息罪名的界定標準并加大懲罰力度，對擅自披露他人個人信息和未經(jīng)許可的二次開發(fā)利用者給予嚴厲打擊。除了刑事責(zé)任外，其他相關(guān)的行政責(zé)任、民事責(zé)任等還應(yīng)當(dāng)及時跟進、完善。要保障個人在信息泄露后有獲得補償和救濟的權(quán)利，明確機構(gòu)對公民個人信息流失所造成損失的賠償責(zé)任和責(zé)任劃分原則，比如銀行信息泄露后個人賬戶中的錢被盜，銀行需對個人損失進行補償。繼續(xù)細化《決定》中的規(guī)定，對與《決定》有關(guān)的行政法規(guī)進行清理，對有些不一致、有沖突的地方，還要進一步加以銜接，同時抓緊制訂相關(guān)的配套法規(guī)。通過法律法規(guī)的制訂，將公民個人信息保護過程中可能出現(xiàn)的問題進行合理預(yù)測，讓規(guī)定走在行動前面。但是保護個人信息本不應(yīng)該犧牲信息的流動性，好的立法應(yīng)該在保證個人信息的合理流動與個人信息的全面保護之間尋找到平衡點，選擇吸收各種立法模式的有益經(jīng)驗并結(jié)合本國的法律傳統(tǒng)和具體國情做出合理的制度設(shè)計。

2.建立個人信息安全保護的監(jiān)管機構(gòu)

網(wǎng)絡(luò)時代個人信息泄露的形式多樣、手法靈活，應(yīng)對網(wǎng)絡(luò)時代的個人信息安全危機，單靠法律不足以解決所有問題，要做到有法必依、執(zhí)法必嚴，否則法律不過是紙上談兵。強有力的行業(yè)監(jiān)管是實施前饋控制的重要手段和有效途徑。新通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》明確規(guī)定，有關(guān)主管部門應(yīng)當(dāng)在各自職權(quán)范圍內(nèi)依法履行職責(zé)，防范、制止和查處竊取或者以其他非法方式獲取、出售或者非法向他人提供公民個人電子信息的違法犯罪行為以及其他網(wǎng)絡(luò)信息違法犯罪行為。在我們國家，個人信息保護目前仍然處于各自為政的狀態(tài)，某種程度上說，管理者和被管理者并沒有嚴格地區(qū)分開，管理部門和被管理對象處在同一個行業(yè)，很難完全客觀、公正地進行執(zhí)法。機動車銷售、房產(chǎn)中介、醫(yī)院等行業(yè)及其從業(yè)人員往往有機會接觸、掌握大量公民個人信息。這些行業(yè)雖然有內(nèi)部系統(tǒng)出臺的關(guān)于個人信息的查詢規(guī)范、查詢電子信息備案及保護工作意見等，但由于部分從業(yè)人員法律意識不強，企業(yè)管理、執(zhí)行不到位等情況，存在制度漏洞。因此，這些行業(yè)成為個人信息泄露的“重災(zāi)區(qū)”。 從其他各國情況來看，建立一個獨立、統(tǒng)一、權(quán)威、有效的監(jiān)管機構(gòu)是普遍經(jīng)驗，比如英國的網(wǎng)絡(luò)自律協(xié)會IWF（Internet Watch Foundation），它能夠超出行業(yè)的局限，獨立公正地執(zhí)法。公民個人信息安全保護，在法律法規(guī)之下，需要政府強化監(jiān)管，只有完善和加強監(jiān)管才能讓無良者無處遁形。應(yīng)該設(shè)立專門的個人信息保護監(jiān)管執(zhí)法機構(gòu)，加強對信息持有單位的監(jiān)管，進一步加大監(jiān)督檢查力度，建立預(yù)警和預(yù)控相結(jié)合的前饋控制機制，強化對個人信息的事前管理，包括個人信息的獲得、收集、持有和使用各個環(huán)節(jié)全面監(jiān)管，不要等信息泄露，危機發(fā)生之后才補救。充分重視自律機制在個人信息保護中的作用，擁有個人信息采集權(quán)的部門和單位要加強行業(yè)管理，用行業(yè)制度規(guī)范個人信息的處理行為，通過行政執(zhí)法、刑事執(zhí)法、民事救濟手段配合建立政府引導(dǎo)下的行業(yè)自律機制和模式，從源頭上預(yù)防和遏制對個人信息的侵害行為。拓寬公民監(jiān)督舉報渠道，進一步暢通舉報受理機制，鼓勵公民個人參與個人信息泄露的監(jiān)督。

此外，尊重網(wǎng)絡(luò)用戶的個人選擇權(quán)利。就是說，個人角色選擇及隱私設(shè)置，想匿名還是實名應(yīng)該由網(wǎng)絡(luò)用戶自己決定。可以提倡有些商業(yè)網(wǎng)站的做法，對用戶信息采取“分級查看”的權(quán)限設(shè)置，除了必要的管理員，一般員工無權(quán)從后臺查看用戶的注冊信息，倘若確有必要查看，必須按照嚴格的程序報批。在互聯(lián)網(wǎng)上，必要時應(yīng)明確限制政府的權(quán)力，有些數(shù)據(jù)政府必須得到合法的授權(quán)才可以看。

3.建立個人信息安全保護的前饋控制技術(shù)支撐體系

前饋控制不僅是方法，某種程度上更是一種技術(shù)和手段。對個人信息進行保護，除了法律和監(jiān)管，還需要安全管理技術(shù)的提高。“黑客”的攻擊，是一些網(wǎng)站數(shù)據(jù)庫失陷的原因。一些網(wǎng)站的疏于防范，給“黑客”造成了不少可趁之機。通過技術(shù)手段可落實安全保障，要加強網(wǎng)絡(luò)安全防護，依據(jù)分區(qū)域、按等級、多層次的防護思路進行安全規(guī)劃、安全評估、安全加固與安全維護，并且對已有的安全技術(shù)進行改進與完善。建立信息安全管理體系（ISMS），通過系統(tǒng)、全局的信息安全管理整體規(guī)劃，確保用戶所有信息資源和業(yè)務(wù)的安全與正常運行[1]。網(wǎng)站要在安全建設(shè)方面加大資金投入力度，網(wǎng)絡(luò)運營商應(yīng)該盡到自己的保密義務(wù)，改變數(shù)據(jù)庫存放策略，在當(dāng)前技術(shù)范圍內(nèi)最大限度保證信息安全。比如我們可以設(shè)計一種軟件，如果我們把自己的個人信息輸入到某個網(wǎng)站之后，該網(wǎng)站三個月之后會自動刪除我們輸入的信息，不會把我們的個人信息留下，這樣的話在技術(shù)層面上能夠保證個人信息的保護。還可構(gòu)建信息安全平臺，為用戶提供保護信息安全的產(chǎn)品。

建立個人信息安全前饋控制系統(tǒng)。研究個人信息所處環(huán)境中可能存在的缺陷、漏洞及面臨的威脅，通過安全風(fēng)險評估技術(shù)，觀察、測試、收集、評估、分析個人信息存在風(fēng)險的不確定性和可能性等因素，構(gòu)建預(yù)警體系，制訂預(yù)控策略和方法，最大限度地避免和減少可能的損失。

4.提高公民的個人信息安全保護意識

篇5

關(guān)鍵詞：大數(shù)據(jù)時代；信息安全保障

一、個人信息泄露及濫用危機

據(jù)統(tǒng)計,2014年全國發(fā)案40余萬起,群眾損失107億元；2015年全國電信詐騙發(fā)案59.9萬起,造成經(jīng)濟損失222億元；2016年僅1月至7月，全國共立電信詐騙案件35.5萬起，同比上升36.4%，造成損失114.2億元，而且連續(xù)發(fā)生數(shù)起引起全國關(guān)注的因詐騙致死惡性案件。而這一切都源于個人信息被故意泄露。

(一)智能設(shè)備數(shù)據(jù)采集引起的個人信息泄露。以智能手機、穿戴設(shè)備等為主的智能移動終端現(xiàn)在已經(jīng)作為每個人的貼身物品，其數(shù)據(jù)采集手段主要是通過通信網(wǎng)絡(luò)與互聯(lián)網(wǎng)交互。用戶在上網(wǎng)過程中的每一次點擊、錄入行為都會在某個網(wǎng)絡(luò)供應(yīng)商的服務(wù)器上留下相應(yīng)的記錄，每一個人的數(shù)據(jù)都可以完全勾勒出這個人所有一切的行動軌跡、健康信息、通信信息等幾乎所有隱私。

(二)數(shù)據(jù)存儲安全問題引起的用戶信息泄露。大規(guī)模的數(shù)據(jù)存儲需要嚴格的訪問控制和身份認證管理，卻并未引起大部分網(wǎng)絡(luò)服務(wù)商和政府網(wǎng)站的重視。CSDN網(wǎng)站被爆出了600萬個人信息被泄露，就是屬于明文密碼的范疇，危害極大。作為IT業(yè)界有一定影響力的互聯(lián)網(wǎng)服務(wù)商，竟然能夠出現(xiàn)如此低級的問題，就可以反映出國內(nèi)整個互聯(lián)網(wǎng)服務(wù)商的安全管理意識和管理水平。

(三)數(shù)據(jù)使用過程中引起的信息泄露。各類互聯(lián)網(wǎng)網(wǎng)站的生存環(huán)境非常不理想，經(jīng)營網(wǎng)站可以獲取的利潤途徑有限，網(wǎng)站運營者將用戶個人信息數(shù)據(jù)經(jīng)過挖掘和分析，用戶在網(wǎng)站上的每一個行為，都會被數(shù)據(jù)公司所重視，這種行為數(shù)據(jù)分析方式，不僅可以精準地了解用戶喜好，還可以細化到具體用戶的個人信息上。然而利用用戶行為信息的商業(yè)運作，在享受便利的同時，用戶個人信息被濫用或倒賣就變成了巨大的隱憂。

(四)數(shù)據(jù)管理不善引起信息泄露。這類情形多出現(xiàn)于政府與銀行等國家企事業(yè)單位內(nèi)部，由于其掌握的用戶信息準確、全面，部分人員在利益驅(qū)使下，故意販賣個人信息，而這類個人信息泄露造成的社會危害最為巨大，造成的損失也最為嚴重。

二、大數(shù)據(jù)時代下信息安全保障體系

（一）提升個人信息保護意識，從國家層面重視個人信息保護。智慧城市建設(shè)大大加速了大數(shù)據(jù)的生產(chǎn)，由于城市公共信息平臺匯集了城市的地理空間信息、人口信息、經(jīng)濟信息、信用信息、政務(wù)信息等各種信息資源，因此，這些大數(shù)據(jù)無疑已成為國家重要的戰(zhàn)略資源。

(二)加強個人信息安全的立法保護工作。網(wǎng)絡(luò)時代和大數(shù)據(jù)的使用在很大程度上加大了隱私泄露的風(fēng)險，更容易侵犯個人隱私權(quán)。建立起一個完善的、具有較強可操作性的個人信息法律保護體系。盡快出臺統(tǒng)一的個人信息保護法，以明確個人信息的權(quán)利邊界，個人信息收集及使用者的責(zé)任、義務(wù)，及侵權(quán)救濟等問題。

(三)加強對個人信息的安全管理及技術(shù)防護。應(yīng)該注意的是安全工作的工作對象及主體都是人，必須要走出“重技術(shù)、輕管理”的誤區(qū)，信息安全防護在重要性上首先是對體系制度的規(guī)范，其次才是技術(shù)的支撐，所謂“三分技術(shù)、七分管理”。并且充分重視信息技術(shù)的創(chuàng)新開發(fā)，培養(yǎng)技術(shù)人才，提高我國信息技術(shù)水平從而為個人信息保護提供保障。

(四)建立健康的信息安全生態(tài)環(huán)境。政府、企業(yè)、用戶都是數(shù)據(jù)的生產(chǎn)者、采集者和使用者，要從根本上保障信息安全，應(yīng)該群策群力，政府、企業(yè)、用戶分別承擔(dān)起相應(yīng)的保護信息安全的責(zé)任，加強行業(yè)監(jiān)管，提高信息安全監(jiān)管水平，并在保證個人隱私安全和數(shù)據(jù)庫安全的前提下，推動政府?dāng)?shù)據(jù)公開。大數(shù)據(jù)時代的到來極大地促進整個社會的發(fā)展。大數(shù)據(jù)在各行各業(yè)中的應(yīng)用，使我們?nèi)妗⑸羁痰卣J識了這個社會，從而更進一步掌握社會變化趨勢。

參考文獻

[1]李欲曉.云計算大數(shù)據(jù)時代個人隱私保護刻不容緩[J].理論導(dǎo)報,2013(7).