近日,工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)已正式通过评审,正报批国家标准。到底这份《指南》能不能完全保护个人信息?
“《指南》的作用不是很大。”广东省法学会律师学研究会会长、著名律师朱永平在接受记者采访时,泼出了第一瓢冷水。
谁动了我的个人信息?
去年12月,知名程序员网站CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码和邮箱遭到泄露。随后,天涯、世纪佳缘等网站也相继曝出用户信息遭到泄密。
今年的央视3·15晚会,曝光了上海罗维邓白氏营销服务有限公司以每条3毛到1.5元的价格,出售1.5亿条个人信息,引起舆论哗然。
再加上五花八门的保险、购房电话,各式各样的垃圾短信,QQ、邮箱甚至网银账号被盗。此类信息层出不穷,只道出了一个现实:个人信息被贩卖,个人隐私被践踏。“轻伤”者被垃圾信息“攻击”,“重伤”者财物、名誉双双受损,还要赔上大量的人力物力“善后”。
所以,很多人都想知道:到底谁动了我的信息?我要如何维护个人信息?
国标到底能监管谁?
《指南》便是在这样的呼声中出台的第一个“个人信息保护”专项国家标准。
根据中国软件测评中心副主任高炽扬的介绍,《指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则,包括“目的明确”、“最少使用”、“公开告知”、“个人同意”、“质量保证”、“安全保障”、“诚信履行”和“责任明确”等八项。他希望今年能通过这项标准,以拓展个人信息保护的体系。
“我们还没有看到这份《指南》。”一位广东通信界业内人士在接受采访时分析道,“但我个人认为,《指南》最大的意义在于指导企业在获取大量的个人信息之后如何进行管理,什么情况下要销毁,什么情况下要加密,什么情况下要防止被盗。尤其是那些大量个人信息‘接入单位’。”
保护给不给力谁知道?
工信部科学技术情报研究所一项调查显示,30%的被调查对象认为可能是通过网站泄露,30%认为可能是通讯公司,另有30%不清楚到底是在哪个地方泄露。而在个人信息被滥用后,因取证困难,只有不足10%的调查对象采取了相应维权措施。
瑞星安全专家指出,像去年CSDN、天涯这种大规模用户数据泄露事件,其实反映的是网站的服务器端安全机制问题。“当一些大的网络公司不重视个人信息资料保护、不重金保护服务器相关系统的时候,这些资料被窃取就是轻而易举的事情。”一位IT界人士透露。
与之同时,还有存心要套取个人信息的“钓鱼网站”,数据显示,2011年新增钓鱼网站在45万个左右,而今年钓鱼网站的危害程度在急剧增加,高峰期甚至比去年增加了100倍!
网站之外,也有银行、保险、通讯等行业员工出于牟利目的,出卖客户信息。央视“3·15”晚会曝光的上海罗维邓白氏公司,其非法获取、买卖公民个人信息不仅数量庞大,而且相当详细精准。
“让人担忧的是,《指南》不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。”一位资深工程师坦言,“一旦与企业的利益发生矛盾,那么《指南》能发挥的作用便更小。”
谁来查泄露的源头?
“我个人认为,《指南》的作用不是很大。”朱永平表示,目前针对个人信息的法律保护,主要依靠《侵权法》、《民法通则》、《刑法》和《计算机系统安全保护条例》等组成的“立体”的对个人信息保护“法网”,但他也坦言:“其中漏洞很多,还有很大的改进空间。”
“对于被泄露个人信息的公民而言,最大的困难在于查不到泄漏源头。”朱永平说:“我们常常看到,不少市民的手机号码、家庭座机号码都被当商品买卖,此类信息的泄露源头肯定来自掌握大量信息的公司的内部人员,但消费者维权很难,同一个信息,有可能是被网站泄露的,也有可能是被银行、保险公司甚至是医院泄露的。”
“《指南》公布之后,还需要政府加大宣传的力度。”朱永平表示,一方面可以加强《指南》的执行力度,另一方面也可以提高市民对个人信息的保护意识。
专家观点
信息安全从我做起
“任何互联网服务都潜在信息泄露危险。”艾媒咨询集团CEO张毅向记者表示,国家除了明确立法和严格的保护措施外,厂商的自律也非常重要。对于用户而言,互联网不是万能,不要把全部信息暴露在互联网上。
金山安全专家李铁军建议:“将自己日常使用的网络服务分为两类:重要的(网上支付和聊天账号等)和一般的;使用至少2个邮箱来绑定或申请网络服务,并确保邮箱密码不重复使用;重要服务用重要邮箱来申请,一般服务用次要邮箱来申请,二者绝不混用;重要服务使用的密码,不能和邮箱相同,并要定期更改,最好一两个月修改一次。”
他山之石
德国:早在1977年就制定了《联邦数据保护法》,以后两度修法,明确手机用户拒绝商业广告短信,可与运营商签订一份合同,运营商违规滥发短信,投诉一次最高可罚五万欧元。这样一来,如果投诉的人多,电信商可能要被罚得倾家荡产。
英国:《通信管理条例》规定,未经收信人同意发送兜售产品的垃圾信息,属于违法,法院受理起诉并查实后,每次罚运营商5000英镑。(李晓莉 林曦)