胡蓓姿 王興國(guó)

近年來(lái)，個(gè)人信息泄露事件頻發(fā)，讓個(gè)人信息安全保障工作變得刻不容緩，浙江在全國(guó)率先將個(gè)人信息安全納入全省網(wǎng)絡(luò)與信息安全檢查專(zhuān)項(xiàng)，針對(duì)檢查出的問(wèn)題出臺(tái)了一些政策和標(biāo)準(zhǔn)，對(duì)保障個(gè)人信息安全起到了積極推動(dòng)作用。

當(dāng)前，個(gè)人信息泄露事件頻發(fā)，社會(huì)民眾反映強(qiáng)烈。2012年12月28日，第十一屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過(guò)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，首部個(gè)人信息安全國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》也于2013年2月1日正式實(shí)施。它們的實(shí)施填補(bǔ)了我國(guó)個(gè)人信息保護(hù)的法律空白，但具體保障還缺乏大量法規(guī)政策支撐，隨意收集、擅自使用、非法泄露普遍存在，嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益，危害社會(huì)公共利益。

近年來(lái)，浙江省在大量調(diào)查研究基礎(chǔ)上，在全國(guó)率先將個(gè)人信息安全納入全省網(wǎng)絡(luò)與信息安全檢查專(zhuān)項(xiàng)，針對(duì)存在的問(wèn)題進(jìn)行了深入探索，取得了初步成效，浙江個(gè)人信息安全保護(hù)工作國(guó)內(nèi)領(lǐng)先。

個(gè)人信息安全現(xiàn)狀整體堪憂

個(gè)人信息違法事件屢禁不止。據(jù)統(tǒng)計(jì)，2012年全國(guó)超過(guò)2.57億人受各類(lèi)網(wǎng)絡(luò)事件侵害，近5000萬(wàn)條個(gè)人真實(shí)信息遭受買(mǎi)賣(mài)，經(jīng)濟(jì)損失達(dá)人民幣2890億元。銀行、醫(yī)院、通訊公司、保險(xiǎn)公司、電子商務(wù)運(yùn)營(yíng)商、汽車(chē)銷(xiāo)售、院校、快遞企業(yè)以及掌握了個(gè)人信息的某些政府機(jī)構(gòu)成為信息泄露的主體。中國(guó)軟件開(kāi)發(fā)聯(lián)盟（CSDN）大規(guī)模信息泄露、數(shù)十萬(wàn)條新生兒信息泄露、上千萬(wàn)張客戶銀行卡信息泄露、如家酒店開(kāi)房記錄遭泄露等事件屢禁不止，嚴(yán)重侵害了個(gè)人信息安全，造成了極其惡劣的社會(huì)影響。

個(gè)人信息安全責(zé)任規(guī)范缺失。2013年，浙江省對(duì)7家醫(yī)療類(lèi)、7家銀行類(lèi)、6家招考類(lèi)以及10家電子商務(wù)類(lèi)共30家網(wǎng)站進(jìn)行個(gè)人信息保護(hù)檢測(cè)，結(jié)果顯示：所有參測(cè)網(wǎng)站中對(duì)于個(gè)人信息保護(hù)政策的公開(kāi)性方面都做得較為突出，但部分網(wǎng)站未提供專(zhuān)業(yè)名詞解釋?zhuān)瑢?duì)責(zé)任說(shuō)明陳述模糊，也無(wú)專(zhuān)門(mén)針對(duì)未成年人的個(gè)人信息保護(hù)說(shuō)明，在發(fā)生違反個(gè)人信息保護(hù)政策相關(guān)事件后的補(bǔ)救措施未按事件分類(lèi)描述；大部分網(wǎng)站沒(méi)有就收集的信息是否交與第三方給出明確說(shuō)明，所收集的個(gè)人信息沒(méi)有承諾遵守最小收集原則，用戶不知道被搜集的信息是否是必須要使用的，業(yè)務(wù)轉(zhuǎn)讓或外包時(shí)，未對(duì)個(gè)人信息的保護(hù)作出聲明，用戶對(duì)自己的信息是否僅限于本網(wǎng)站使用也不知情；用戶權(quán)益保障方面，大部分網(wǎng)站未明確個(gè)人信息公開(kāi)范圍，也未專(zhuān)門(mén)對(duì)敏感個(gè)人信息作出安全承諾，被測(cè)網(wǎng)站均未承諾對(duì)個(gè)人信息處理過(guò)程進(jìn)行詳細(xì)記錄，絕大部分網(wǎng)站未提供專(zhuān)門(mén)針對(duì)個(gè)人信息保護(hù)政策及相關(guān)問(wèn)題咨詢(xún)、評(píng)論、質(zhì)疑和投訴的反饋渠道。

個(gè)人信息安全保障能力不足。隨著網(wǎng)絡(luò)犯罪技術(shù)的不斷革新，基于近距離無(wú)線通訊（NFC）、無(wú)線連接WIFI技術(shù)和安卓系統(tǒng)信息竊取案件頻發(fā)，使個(gè)人信息保護(hù)面臨更大的挑戰(zhàn)，僅2013年7月，浙江省就有超過(guò)10萬(wàn)安卓系統(tǒng)終端遭受惡意程序感染。同時(shí)，我國(guó)目前尚未建立有效的網(wǎng)絡(luò)身份管理體系，相應(yīng)的責(zé)任追溯體系和技術(shù)鑒定支撐體系尚未形成，使得侵害個(gè)人信息安全的行為很難得到有效打擊。

個(gè)人信息安全意識(shí)有待提高。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心調(diào)查顯示：47.2%的用戶對(duì)網(wǎng)上支付安全問(wèn)題非常不關(guān)注或較不關(guān)注，57.6%的用戶不知道保障網(wǎng)上支付安全的辦法；在不提示的情況下，網(wǎng)上支付用戶表示了解最多的安全保障方式是電腦殺毒和防火墻，也僅占30.8%；表示知道使用動(dòng)態(tài)密碼、動(dòng)態(tài)口令卡的有30.6%，知道設(shè)置強(qiáng)安全密碼的有29.9%，知道綁定手機(jī)的有25.1%，而知道安裝數(shù)字證書(shū)認(rèn)證的僅有19.6%。由此可見(jiàn)，我國(guó)互聯(lián)網(wǎng)用戶的安全意識(shí)和安全知識(shí)非常薄弱。

浙江個(gè)人信息安全保護(hù)走在前列

浙江省高度重視個(gè)人信息保護(hù)工作，浙江省經(jīng)信委先后赴阿里巴巴、浙江移動(dòng)、杭州華數(shù)、恒生電子、華為杭研所、信雅達(dá)科技等單位調(diào)研，召開(kāi)了金融、電信、教育、招考、醫(yī)療、電子商務(wù)、郵政快遞等行業(yè)信息安全專(zhuān)家座談會(huì)，聽(tīng)取各行業(yè)企業(yè)和專(zhuān)家的意見(jiàn)，進(jìn)一步完善法規(guī)政策體系，強(qiáng)化個(gè)人信息安全檢查。

完善個(gè)人信息保護(hù)責(zé)任體系。大力推進(jìn)保存了大量個(gè)人數(shù)據(jù)的重要信息系統(tǒng)落實(shí)《決定》和個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)，規(guī)范個(gè)人電子信息收集和使用行為，建立個(gè)人信息保護(hù)內(nèi)控機(jī)制和技術(shù)措施；出臺(tái)了《浙江省智慧城市示范試點(diǎn)項(xiàng)目信息安全保障工作指南》，推動(dòng)智慧城市示范試點(diǎn)項(xiàng)目建立信息安全責(zé)任制和各項(xiàng)管理制度，并以“智慧安居”項(xiàng)目為試點(diǎn)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估，提出了數(shù)據(jù)、平臺(tái)、產(chǎn)品、管控等方面的安全性方案，不斷提高個(gè)人信息保護(hù)能力。

開(kāi)展個(gè)人信息保護(hù)專(zhuān)項(xiàng)檢查。浙江省經(jīng)信委聯(lián)合省公安廳、省通管局、人民銀行杭州中心支行、省郵政管理局開(kāi)展個(gè)人信息保護(hù)專(zhuān)項(xiàng)檢查。檢查分管理和技術(shù)檢測(cè)兩個(gè)部分，自查和部門(mén)抽查兩個(gè)階段，范圍涵蓋金融、電信、教育、招考、醫(yī)療、電子商務(wù)、郵政快遞等行業(yè)以及存儲(chǔ)大量個(gè)人信息的信息系統(tǒng)單位。檢查中發(fā)現(xiàn)：部分單位個(gè)人信息保護(hù)管理制度欠缺、權(quán)限設(shè)置不夠嚴(yán)謹(jǐn)、尚未建立責(zé)任追溯機(jī)制；部分內(nèi)部人員在未經(jīng)許可條件下就可處理甚至批量導(dǎo)出個(gè)人信息數(shù)據(jù)；在服務(wù)外包過(guò)程中，大量個(gè)人信息未經(jīng)處理就轉(zhuǎn)移給外包機(jī)構(gòu)，存在較大信息泄露風(fēng)險(xiǎn)。針對(duì)檢查中發(fā)現(xiàn)的個(gè)人信息保護(hù)管理和技術(shù)隱患，督促相關(guān)單位落實(shí)整改。

建立個(gè)人信息安全技術(shù)檢測(cè)體系。在強(qiáng)化管理的基礎(chǔ)上，浙江省組織信息安全測(cè)評(píng)力量，聯(lián)合中國(guó)軟件測(cè)評(píng)中心制定了《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息安全技術(shù)檢測(cè)體系》并進(jìn)行了反復(fù)驗(yàn)證。該技術(shù)檢測(cè)體系包括“網(wǎng)站個(gè)人信息保護(hù)政策測(cè)評(píng)”和“網(wǎng)站用戶口令處理安全性測(cè)評(píng)”，前者主要通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程測(cè)評(píng)，采用“狀態(tài)描述法”，對(duì)企業(yè)通過(guò)網(wǎng)站承諾的個(gè)人信息保護(hù)政策和其實(shí)際效果作出客觀評(píng)價(jià)；后者對(duì)網(wǎng)站頁(yè)面處理、口令傳輸兩個(gè)環(huán)節(jié)進(jìn)行安全性測(cè)評(píng)，測(cè)評(píng)脆弱性，評(píng)估安全性。

開(kāi)展個(gè)人信息保護(hù)技術(shù)檢測(cè)。在建立個(gè)人信息安全技術(shù)檢測(cè)體系的基礎(chǔ)上，對(duì)醫(yī)療、銀行、招考和電子商務(wù)四類(lèi)30家在浙江省影響較大的網(wǎng)站進(jìn)行個(gè)人信息保護(hù)政策測(cè)評(píng)和用戶口令處理安全性測(cè)評(píng)。政策測(cè)評(píng)檢測(cè)顯示：醫(yī)療、銀行、招考和電子商務(wù)四類(lèi)網(wǎng)站政策公開(kāi)性較好，個(gè)人信息收集較為合理，但個(gè)人信息轉(zhuǎn)移說(shuō)明、用戶權(quán)益保障和政策合理性與標(biāo)準(zhǔn)要求有一定差距，監(jiān)督機(jī)制與執(zhí)行情況與標(biāo)準(zhǔn)存在較大差距?？诹顪y(cè)評(píng)反映：66%的網(wǎng)站未對(duì)用戶口令采取任何安全措施，特別是醫(yī)療類(lèi)、招考類(lèi)網(wǎng)站的安全意識(shí)相對(duì)薄弱，存在個(gè)人信息泄露的風(fēng)險(xiǎn)。

保障個(gè)人信息安全刻不容緩

我國(guó)的個(gè)人信息保護(hù)工作尚屬起步階段，而個(gè)人信息安全保護(hù)又是一項(xiàng)社會(huì)系統(tǒng)工程，需要多部門(mén)的通力協(xié)作。隨著智慧城市建設(shè)步伐加快，云計(jì)算、大數(shù)據(jù)應(yīng)用普及，推進(jìn)個(gè)人信息安全保障工作刻不容緩。

進(jìn)一步完善政策法規(guī)標(biāo)準(zhǔn)體系。個(gè)人信息保護(hù)需要通過(guò)法律來(lái)規(guī)范企業(yè)、機(jī)構(gòu)以及個(gè)人的行為。一要貫徹落實(shí)《決定》，制定電信和互聯(lián)網(wǎng)、快遞等行業(yè)以及電子消費(fèi)過(guò)程個(gè)人信息保護(hù)政策法規(guī)，規(guī)范個(gè)人信息保護(hù)相關(guān)主體的權(quán)利和義務(wù)。二要強(qiáng)化標(biāo)準(zhǔn)建設(shè)，針對(duì)物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用，研究制定相應(yīng)的個(gè)人信息安全標(biāo)準(zhǔn)；針對(duì)個(gè)人信息處理相關(guān)環(huán)節(jié)，制定相應(yīng)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)；針對(duì)信息服務(wù)外包，研究制定第三方服務(wù)外包管理規(guī)范。

加大個(gè)人信息安全監(jiān)管力度。一要完善責(zé)任體系，協(xié)調(diào)各部門(mén)在個(gè)人信息保護(hù)的監(jiān)管職責(zé)，明確個(gè)人信息安全各個(gè)利益主體責(zé)任。二要強(qiáng)化監(jiān)管，設(shè)立個(gè)人信息安全用戶投訴電話，規(guī)范個(gè)人信息收集范圍和處置流程，組織重點(diǎn)行業(yè)和企業(yè)個(gè)人信息安全檢查測(cè)評(píng)，督促相關(guān)單位建立個(gè)人信息安全內(nèi)控機(jī)制。三要加大打擊力度，開(kāi)展涉及非法收集、泄露、倒賣(mài)個(gè)人信息等違法犯罪活動(dòng)的專(zhuān)項(xiàng)整治活動(dòng)，進(jìn)一步細(xì)化定罪量刑標(biāo)準(zhǔn)，加強(qiáng)網(wǎng)絡(luò)犯罪的打擊力度。

加強(qiáng)個(gè)人信息安全保障能力建設(shè)。一是建立有效的網(wǎng)絡(luò)身份管理體系，推進(jìn)身份認(rèn)證、網(wǎng)站認(rèn)證等網(wǎng)絡(luò)信任服務(wù)的應(yīng)用，完善個(gè)人信息安全責(zé)任追溯體系和技術(shù)鑒定支撐體系。二是扶持第三方信息安全測(cè)評(píng)機(jī)構(gòu)，開(kāi)展個(gè)人信息安全測(cè)評(píng)，提高信息安全防護(hù)能力。三是加強(qiáng)個(gè)人信息保護(hù)隊(duì)伍建設(shè)，推行個(gè)人信息安全責(zé)任官（CPO）制度，強(qiáng)化對(duì)專(zhuān)業(yè)技術(shù)人員的培訓(xùn)。

提高民眾信息安全防護(hù)意識(shí)。加大對(duì)個(gè)人信息安全的宣貫工作，開(kāi)展多層次多渠道的個(gè)人信息安全專(zhuān)題宣傳活動(dòng)，不斷提高人民群眾信息安全防護(hù)意識(shí)和能力，切實(shí)提高全社會(huì)對(duì)個(gè)人信息安全保護(hù)重要性的認(rèn)識(shí)。

（作者單位：浙江省經(jīng)濟(jì)和信息化委員會(huì)信息安全處）