鄒晶 劉立 李雯雯

[摘要]防范網(wǎng)絡(luò)電信詐騙的關(guān)鍵在于保護個人信息。在分析了個人信息泄漏途徑后闡述了個人信息安全管理存在的問題，從組織管理角度提出預(yù)防個人信息泄漏的策略。

[關(guān)鍵詞]大數(shù)據(jù);個人信息;個人信息安全;個人信息泄露;組織管理

[中圖分類號]D920.4[文獻(xiàn)標(biāo)識碼]A

1? ? 個人信息概述

1.1? ? 個人信息概念

2017年6月1日起實施的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對“公民個人信息”進行了解釋，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。根據(jù)此解釋，DNA、指紋、身高體重、工作經(jīng)歷、性別年齡等信息也屬于個人信息。

1.2? ? 個人信息、個人隱私與個人數(shù)據(jù)之間的關(guān)系

在當(dāng)今社會，隱私的概念有比較嚴(yán)格的界定。按照法律上將個人私下生活秘密相關(guān)的事情且與公共事情無關(guān)的活動事宜定義為個人隱私，其內(nèi)容包括個人的信息數(shù)據(jù)、活動及空間。其中，個人數(shù)據(jù)信息是指與個人有關(guān)的資料信息，如姓名、體重身高、電話號碼等;個人的活動是指一切個人的私生活，譬如日常興趣愛好、人際關(guān)系交往、家庭生活等一系列個人不愿意被外界所知道的個人活動;個人空間是指個人的生活活動范圍，包括心理上的空間和顯示的物質(zhì)空間，也被稱作個人領(lǐng)域。物質(zhì)上的空間包括個人房屋、個人活動范圍等，心理上的空間包括個人信件、個人日記等。

個人數(shù)據(jù)是指于數(shù)據(jù)主體人員相關(guān)的數(shù)據(jù)資料，包括數(shù)字資料和文字資料兩個方面。數(shù)字資料，如主體人員的年齡、身高體重、居民身份證號碼、電話號碼、收入等都屬于數(shù)字資料;文字資料主要包括個人的政治背景和社會背景，如個人的受教育程度、宗教信仰、政治面貌及政治傾向等，還包括個人家庭基本情況，如個人的婚否、配偶的基本情況、父母子女及兄弟姐妹的基本情況等。

這三者之間是相互包容、相互滲透的關(guān)系。其中個人信息包含了個人隱私。

2? ? 個人信息泄漏途徑分析

2.1? ? 內(nèi)部員工泄密

企業(yè)等組織內(nèi)部員工受利益驅(qū)使泄漏用戶個人信息。泄漏的個人信息通過網(wǎng)絡(luò)多次販賣，在大數(shù)據(jù)環(huán)境下進行拼接，使得個人信息更加全面準(zhǔn)確。媒體報道中，涉及金融機構(gòu)、運營商、快遞公司、網(wǎng)上商店、4S店等組織。2012年315晚會曝光招商銀行等銀行工作人員兜售客戶個人信息，導(dǎo)致客戶銀行卡資金被盜。內(nèi)部員工監(jiān)守自盜是導(dǎo)致個人信息泄漏的主要途經(jīng)。

2.2? ? 黑客入侵或病毒盜取

以計算機系統(tǒng)或網(wǎng)站存儲用戶個人信息面臨黑客入侵的風(fēng)險。利用計算機軟硬件的脆弱性和計算機體系結(jié)構(gòu)本身的缺陷，編寫具有某種特殊功能的程序，入侵計算機系統(tǒng)，訪問數(shù)據(jù)庫，盜取用戶信息。2016年“徐玉玉案”就是犯罪嫌疑人利用技術(shù)手段攻擊了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”并在網(wǎng)站植入木馬病毒，獲取了網(wǎng)站后臺登錄權(quán)限，盜取了考生報名信息。黑客入侵或病毒盜取是個人信息泄漏的重要途經(jīng)。

2.3? ? 信息被過渡采集

網(wǎng)絡(luò)服務(wù)提供商收集用戶信息的方式多樣。消費者在注冊登錄、填寫訂單、支付貨款時，填寫的個人信息可能被收集。其次，網(wǎng)絡(luò)服務(wù)提供商還可以自動獲取信息，例如用 cookies 追蹤用戶的網(wǎng)絡(luò)行為、用木馬程序在用戶的設(shè)備端設(shè)置后門、用戶使用手機APP時被搜集手機與個人信息等，通過這些技術(shù)手段自動獲取用戶的身份等個人信息。此外，網(wǎng)絡(luò)服務(wù)提供商還可以通過第三方平臺獲取用戶的個人信息。2018年Facebook被曝泄漏5000萬用戶數(shù)據(jù)，用于政治目的以左右美國選民投票。網(wǎng)絡(luò)服務(wù)提供商搜集并泄漏用戶信息是個人信息泄漏的新型途徑。

3? ? 組織泄漏個人信息原因分析

本文中組織是指對個人信息進行搜集儲存等機構(gòu)或部門的統(tǒng)稱。既包括企業(yè)組織、政府事業(yè)單位、教育部門，也包括網(wǎng)絡(luò)服務(wù)提供商等對個人信息進行過搜集的組織。

3.1? ? 思想意識缺乏，責(zé)任心缺失

組織搜集了用戶個人信息后，面臨存儲和保管工作。在信息時代，個人信息大都以數(shù)據(jù)形態(tài)存儲。整個過程中，數(shù)據(jù)錄入人員、數(shù)據(jù)查詢?nèi)藛T、數(shù)據(jù)審計人員、數(shù)據(jù)庫管理人員和系統(tǒng)管理員等工作人員能直接接觸到數(shù)據(jù)。組織內(nèi)管理人員能間接獲得數(shù)據(jù)。組織管理人員及一線工作人員對用戶個人信息的重要性認(rèn)識不足，在利益面前有的員工責(zé)任心缺失。用戶個人信息不僅僅是數(shù)據(jù)，還對應(yīng)著一個個用戶，更涉及用戶的隱私。用戶個人信息的泄漏會給用戶帶來不可估量的損失。

3.2? ? 法律法規(guī)不完善，法制體系不健全

2017年10月1日起施行《中華人民共和國民法總則》專門規(guī)定自然人的個人信息受法律保護。2017年6月1日起施行的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對“提供公民個人信息”、“以其他方法非法獲取公民個人信息”進行了定義和說明。同日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護制度。但對于個人信息泄漏具體由哪些部門監(jiān)管沒有指定，個人信息泄漏的取證工作也在探討完善中，個人信息保護也沒有專門適用法律。處罰過輕會間接導(dǎo)致個人信息泄露不斷出現(xiàn)，愈演愈烈。

3.3? ? 行業(yè)內(nèi)部監(jiān)管不力，難以起到威懾作用

組織內(nèi)部監(jiān)管不力，無法對內(nèi)部人員進行震懾。組織在信息安全管理和人員管理方面存在很大的漏洞。有些企業(yè)缺乏在信息安全管理方面的規(guī)章制度和條例，或有相應(yīng)的制度卻沒有監(jiān)督和執(zhí)行，導(dǎo)致內(nèi)部信息管理人員信息保護意識淡薄，以權(quán)謀私，造成客戶個人信息泄漏。再者，政府相關(guān)信息監(jiān)管機構(gòu)監(jiān)管不力，未能主動監(jiān)控，多為事后管制，不能對不法分子起到震懾作用，使不法人員有機可乘，助長囂張氣焰。例如，“徐玉玉事件”中170和171虛擬運營商號段，未進行實名制，成為詐騙分子首選地，而普通民眾對此毫不知情。

4? ? 基于組織管理角度的預(yù)防個人信息泄露策略

4.1? ? 法制建設(shè)

國家要加強立法、加快立法，完善個人信息保護的立法體系。加快制定如信息泄露處罰法、電子證據(jù)效力、信息安全責(zé)任追究法等相關(guān)的法律，對組織進行監(jiān)督約束。法律制定和執(zhí)行要從重從嚴(yán)。對于個人信息泄露的犯罪事件，要著重從刑法方面進行懲處，加大對信息泄露違法行為的處罰力度，不給任何組織和個人打“擦邊球”的機會。一旦因個人信息泄漏給公民造成的財產(chǎn)和人身傷害，個人信息泄漏的個人和組織要承擔(dān)連帶責(zé)任。必要情況下對涉事組織實施破產(chǎn)，用嚴(yán)格的法律對不法分子進行約束和制裁。

此外，個人信息泄漏案件需由專門法律保護，專門部門監(jiān)管督辦。政府要加強執(zhí)法隊伍建設(shè)，嚴(yán)格執(zhí)法，加強專門監(jiān)管部門的建設(shè)，對企業(yè)信息安全方面進行考核和監(jiān)督，對組織進行嚴(yán)格監(jiān)管。

4.2? ? 制度建設(shè)

在規(guī)章制度方面，組織要成立專門的信息管理小組來制定企業(yè)信息安全相關(guān)規(guī)章制度。第一，實行雙人管理或者多人管理制度對企業(yè)重要信息數(shù)據(jù)庫進行管理。即在進入重要信息數(shù)據(jù)庫時需要雙人或多人的身份驗證，這樣可以將重要管理權(quán)限進行分散，防止權(quán)限過于集中，防止內(nèi)部泄露信息;第二，實行訪問過程記錄細(xì)化制。即對每一個訪問過信息數(shù)據(jù)庫人員的訪問過程進行詳細(xì)記錄。包括訪問人的身份、時間、訪問內(nèi)容等進行記錄。這樣可以方便追查相關(guān)涉事者的責(zé)任，便于組織管理;第三，實行獎勵和懲罰制度。對信息安全管理表現(xiàn)突出的人員或者對舉證舉報泄露事件的人員進行獎勵，而對于違反規(guī)定、造成客戶個人信息泄露的，要嚴(yán)格懲處，仔細(xì)追查當(dāng)事人和部門領(lǐng)導(dǎo)、組織領(lǐng)導(dǎo)等相關(guān)責(zé)任人的責(zé)任，輕則開除，重則可移交給司法機關(guān)。

4.3? ? 技術(shù)管理

第一，組織要重視用戶個人信息安全，加大在數(shù)據(jù)安全管理方面的投入，自主開發(fā)或引進權(quán)威管理信息系統(tǒng)和信息安全管理技術(shù)，加強對數(shù)據(jù)庫的管理，對組織的網(wǎng)絡(luò)信息管理平臺和技術(shù)定期升級，減少網(wǎng)絡(luò)安全漏洞，防止不法分子利用網(wǎng)站漏洞或者病毒侵入。第二，采用網(wǎng)絡(luò)隔離技術(shù)和數(shù)據(jù)信息加密技術(shù)，對組織內(nèi)部數(shù)據(jù)信息進行安全管理。將組織內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離，從而避開外部網(wǎng)絡(luò)安全的威脅，保證數(shù)據(jù)信息在內(nèi)部網(wǎng)絡(luò)進行安全傳遞;用高級加密技術(shù)對內(nèi)部數(shù)據(jù)信息庫進行加密，保證數(shù)據(jù)庫的安全。第三，利用先進的人員認(rèn)證技術(shù)，如人臉識別技術(shù)，對信息管理人員進入數(shù)據(jù)庫進行身份驗證。

4.4? ? 人員管理

組織要提升員工安全意識，加強員工素質(zhì)的培養(yǎng)。一方面組織對員工的信息安全教育和培訓(xùn)活動要常態(tài)化，定期學(xué)習(xí)相關(guān)法律法規(guī)、組織信息安全規(guī)章制度和信息泄露案例，讓內(nèi)部人員對網(wǎng)絡(luò)信息泄露的方式深入了解，提高應(yīng)對能力。另一方面組織在招聘相關(guān)工作人員時，著重對應(yīng)聘人員信息安全知識進行考察，提高信息管理工作人員的整體素質(zhì)，減少內(nèi)部人員泄露客戶個人信息事件的發(fā)生。

4.5? ? 加強監(jiān)督

組織建立規(guī)章制度外，還應(yīng)配備監(jiān)督機制來監(jiān)督規(guī)章制度的實施。除組織內(nèi)部監(jiān)督，還需要外部監(jiān)督，包括政府監(jiān)督和公民監(jiān)督。組織內(nèi)要成立監(jiān)督小組或部門，負(fù)責(zé)監(jiān)督內(nèi)部規(guī)章制度的實施和工作人員的行為。另外，組織要鼓勵工作人員相互監(jiān)督，自覺接受網(wǎng)民的監(jiān)督和政府的監(jiān)督，以此來形成良好的約束。廣大網(wǎng)民要發(fā)揮網(wǎng)民強大的力量，對組織進行監(jiān)督，向組織提出建議和提醒或者直接予以舉報，以此對企業(yè)組織形成震懾。

5? ? 結(jié)語

信息安全在當(dāng)今大數(shù)據(jù)這一特殊的時代背景之下，個人信息泄露及安全問題已危及用戶財產(chǎn)和人身安全，已逐步得到研究者的關(guān)注。文章分析了信息泄露的途徑，分析了我國信息安全存在的問題，從組織管理這一角度提出了個人信息的保護策略。但問題的落實還需要大量的人力、物力和財力，更需要國家和各個組織及個人的共同努力。

[參考文獻(xiàn)]

[1] 最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋[EB/OL].http：//www.court.gov.cn/fabu-xiangqing-43942.html， 2017-05-09.

[2] 史衛(wèi)民.大數(shù)據(jù)時代個人信息保護的現(xiàn)實困境與路徑選擇[J].情報雜志，2013（12）： 155-159.