三問個人信息安全保護

我國對公民個人信息的保護經歷了從無到有、從間接保護到直接保護的過程。從根源上實現個人信息安全將成為長期課題——
三問個人信息安全保護
記者 許躍芝 陳 靜 李萬祥 實習生 張紹端

近日,公安部專案指揮部下達了統一收網命令,全國23個涉案省區市公安機關開展了為期2天的集中行動,一舉摧毀了數個覆蓋面廣、涉案人員眾多的信息交易犯罪網路。這已是去年以來公安部第3次部署打擊侵害公民個人信息犯罪專案行動。

同時,近期一大批侵害公民個人信息犯罪案件已陸續進入司法程序,部分案件已依法宣判,截至目前有超過200名犯罪分子被依法判處刑罰。

一系列舉措讓我們看到了國家保護個人信息安全的堅定決心,也深刻意識到,在互聯網時代背景下,個人信息安全保護問題的艱巨,從根源上保護個人信息將成為長期課題。

為何屢屢外泄

個人信息被侵犯為何屢禁不止?公安部刑偵局局長、專案指揮部指揮長劉安成給出的答案首先是:有市場。

劉安成說,隨著改革開放的深入,市場經濟越來越發達,公民個人信息已經成為一種重要的資源,「也就是說,有市場的剛性需求,其中包括兩類。」

劉安成介紹,一類是商業活動。如培訓、房地產、家裝、保險、中介、餐飲等等。「可以說,掌握的公民個人信息越多,越準確,潛在的或者是可以培養的客戶範圍就越廣,『商機無限』。」因此,各種各樣的商業主體都會最大程度地收集公民個人信息。

另一類是實施違法犯罪活動。如電信詐騙、網路詐騙、敲詐勒索,綁架等下游犯罪。這兩類需求中,危害最大的就是違法犯罪活動。「有市場需求,就會有供給。」

其次是有源頭。也稱「內鬼」,指的是各部門和行業的工作人員,將履行職責和提供服務過程中獲取的公民個人信息出售、非法提供給不法商人或者犯罪團伙,牟取暴利。

第三是有中間商。有了市場,又有了源頭,自然就會有一批人「鑽空子」趁機謀利,從源頭獲取信息,轉手賣給市場。「中間商也因此應運而生。」

「由於以上三點,形成了侵害公民個人信息的利益鏈條,導致大量公民個人信息外泄。」劉安成說。

打擊難在哪裡

由於此類犯罪成本低、「市場需求」大,犯罪分子為追逐不法利益,通過互聯網聯繫,隱避真實身份,組成犯罪網路,「因此,公安機關在查處此類違法犯罪的難度很大。」北京市公安局刑偵總隊二支隊支隊長徐經峰分析說,這是侵犯個人信息犯罪行為屢打不絕的重要原因。

一是保密難。犯罪嫌疑人通過網路實施犯罪,一旦泄密,信息平台瞬間消失,辦案將受到嚴重影響,因此專案偵破須嚴格保密。

二是查處難。此類犯罪涉及地域大、涉案人員多、涉及範圍廣,牽一髮而動全身,單靠某地,偵查調查難度很大,需要協調多部門、多警種、多地域合成作戰。

三是取證難。犯罪分子依託網路,採用虛擬身份從事非法信息交易。個人信息以電子存儲為載體,數據海量,可以在短時間內銷毀。買賣信息、非法調查過程中,委託人與犯罪嫌疑人多通過互聯網聯繫,相互不認識,而被調查對象對此全不知情,因此沒有具體的受害人,傳統的偵查辦案方法難以收集相關證據。

四是懲處難。法律雖然規定了出售、非法提供公民個人信息罪、非法獲取公民個人信息罪等罪名,但目前尚未出台相關罪名的司法解釋,在法律適用和定罪量刑上難度較大。

如何建立長效機制

加速完善立法

目前,有關部門已經釋放出個人信息安全保護的積極信號

「2012年以來,針對侵害個人信息犯罪活動猖獗的勢頭,公安部已經連續組織3輪打擊行動,取得很好效果。」公安部刑偵局政委、副指揮長楊東表示,下一步,公安部將繼續保持嚴打高壓態勢,一波又一波開展打擊行動。

雖然對侵害個人信息的犯罪活動加大了打擊力度,但是北京郵電大學互聯網治理與法律研究中心主任教授李欲曉在接受採訪時表示:「我國目前還沒有制定專門的個人信息保護方面的立法,對個人信息的法律保護散見於部門法和規章條例。」

自去年全國人大常委會通過關於加強網路信息保護的決定至今,信息泄露、竊取以及利用公民個人信息進行敲詐勒索、詐騙等違法犯罪行為仍時有發生。與公民個人信息保護面臨的嚴峻形勢相比,現有法律、技術、管理手段顯然力有不逮。就此,多位專家呼籲,要建立完整的個人信息保護體系,首先就要完善相關法律法規。

目前,有關部門已經釋放出個人信息安全保護的積極信號。隨著全國人大《關於加強網路信息保護的決定》的出台,一系列細化法律法規對個人信息保護有了更嚴格的說法,從而倒逼部門、企業提升安全意識和信息保護水平。

另據了解,目前,法律法規的完善工作已經啟動,公安部已與最高檢、最高法積極溝通,即將出台具有可操作性的相關司法解釋。

打擊源頭「碩鼠」

掌握公民個人信息的單位和企業須加強自律,切實防止源頭泄密

5月22日,上海一中院對一起非法獲取公民個人信息作出終審裁定,被告人徐某因花400元購得電商平台1號店網站100餘萬條訂單信息,被判犯非法獲取公民個人信息罪,並處有期徒刑6個月,罰金1萬元。

這一事件和此前支付寶、必勝客網上訂餐等一系列用戶隱私數據泄露事件一樣,都是來自信息收納源頭的監守自盜。

來自互聯網安全廠商瑞星此前所發布的安全報告稱,目前在個人隱私信息竊取方面,黑客竊取信息所佔比例增加,2012年約有70%以上的黑客從事相關非法活動。而由於針對個人用戶的信息竊取相對成本較高,他們往往針對企業直接下手。同時,來自公安部的專家也指稱,目前,不僅是企業,甚至連機關或相關部門也驚現「碩鼠」。

信息收納源頭為何反成為信息泄露渠道?專家表示最重要的一點就是行業自律精神不夠。而今,內部人員非法販賣信息也成為個人隱私信息泄露的重要途徑。為有效遏制此類違法犯罪滋生、發展的勢頭,楊東認為,掌握公民個人信息的部門、單位和企業,必須加強行業自律,完善內部管理,建立追責機制,採取有效措施,切實保護公民個人信息。「廣大人民群眾一定要增強個人信息保護意識,不要輕信或輕易將個人信息提供無關人員。如果發現個人信息被泄露並造成嚴重後果的,請及時向當地公安機關報警。」楊東同時提醒。

構築科技壁壘

各類新興技術的不斷湧現,正讓安全廠商逐漸具備主動防禦能力

來自金山毒霸的數據稱,2012年平均每月發現安卓病毒2502個,是2011年的7.6倍,其中以竊取隱私、遠程控制、彈出廣告為主要目的的安卓木馬佔比最高,達45.86%。

對此,信息安全廠商如何應對?在個人層面,對盜版應用程序的防範成為重點。金山網路CEO傅盛在全球移動互聯網大會上曾表示,目前安卓市場上有60%到70%的應用程序是盜版程序和被重新打包過的應用,它們不但會植入廣告,更會竊取包括用戶通訊錄等在內的隱私信息。傅盛介紹說,包括金山的手機毒霸在內的移動互聯網信息安全產品,正在將監測盜版、審查代碼是否經過篡改等方面進行創新實踐。

而對掌握大量個人用戶信息的企業,移動信息安全保護則更加顯得複雜。北京億賽通科技發展有限責任公司首席諮詢顧問王維宏表示,企業移動信息安全的核心就是讓合法數據資產使用者能獲取應用數據,而非法使用者不能獲取。瑞星安全專家唐威認為,與移動互聯網結合的雲計算、虛擬化和隨之開始流行的移動辦公方式,使企業的移動信息安全防護必須同時涉及多個環節。各類新興技術的不斷湧現,正讓安全廠商逐漸具備主動防禦能力,更好地保護企業在移動互聯網上的業務安全。


推薦閱讀:

揭50億條個人信息遭竊案:主犯曾參與制作熊貓燒香
今年11月後去美國要注意了 須在EVUS系統更新個人信息
販賣個人信息可入罪:「亮出利劍」不等於一勞永逸?
最高院裁定「開機提醒」屬個人信息:評「用戶使用狀態」產品功能的合規

TAG:安全 | 信息安全 | 個人信息安全 | 信息 | 個人信息 | 保護 |