登陆注册
12512800000003

第3章 特集(2)

由于DLP软件主要是通过制订规则去执行相应的职责,决策规则过于严格或宽松都将使DLP解决方案的效用降低。若没有正确实施机构的解决方案所需的合适的规则,DLP也可能会带来业务操作上的风险。例如传输中的敏感信息未被成功侦查或其他非敏感信息被过度拦阻。为了尽量减少此类风险,机构的管理层必须制订有关的DLP信息保护规则和业务操作流程,并在需要时雇用专家顾问协助。通过制订并实施有关的规则和业务流程,以实现信息保护的最佳实践。

个人信息保护立法及监管要求

伴随着中国经济的飞速发展和科技的巨大进步,信息时代真正地来到每个人的身边,信息的含金量及其对日常生活的影响日益彰显,为提供定制化的客户服务以提高客户服务满意度,客户的身份、家庭、财务状况等个人信息成为服务提供者需要掌握的基本信息,客户在享受服务提供者提供的量身定制服务的同时,也逐渐注意到,一些推销和诈骗电话对自己的信息了如指掌。此外,由于个人信息泄露导致的信用卡盗用事件的相关报道也不绝于耳,甚至不乏一些人身安全事件。如此诸般,立法机关、行业主管部门、社会媒体等各方力量,越来越多地提到个人信息保护的重要性,也催生了一系列法规及指引的出台。中央电视台2013年3.15晚会曝光的安卓系统第三方应用开发者在未经用户授权的情况下对用户个人信息进行采集,收集了大量用户个人信息的事件,实际上只是以个人移动通信终端为触点,揭示了当前媒体、公众以及个人用户等各方对于个人信息保护的日益关注,事实上,中国政府和监管机构对于个人信息保护监督力度也在逐步加强。

国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。

——《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)

一、国家关于个人信息保护的立法

2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议审议通过的这一决定,为加强公民个人信息保护、维护网络信息安全提供了法律依据。为配合《决定》的落实,在具体的指南方面,《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)作为我国首个个人信息保护国家标准,也已于2013年2月1日起正式发布实施。此文件属国家标准“指导性技术文件”类,与从制度上进行监管的《决定》相比,该《指南》侧重于从技术手段、信息系统上进行监管,对利用信息系统处理个人信息的活动起指导和规范作用,目的是为了提高企业的个人信息保护技术水平,促进个人信息的合理利用。

除此之外,在《决定》出台以后,各部委也开始制定更具体的个人信息保护的相关规定。工业和信息化部起草了《电信和互联网用户个人信息保护规定(征求意见稿)》、《电话用户真实身份信息登记规定(征求意见稿)》(以下简称《规定》),并且已经向社会公开征求意见。根据《规定》,电信业务经营者、管理机构及工作人员不得出售或者非法向他人提供电话用户真实身份信息,否则可以处1万元以上3万元以下罚款,构成犯罪的,依法追究刑事责任。

电信行业《规定》的迅速出台,表现了工信部对于个人信息保护的坚决态度和长期以来的渴望。随着电信行业打响了个人信息保护的“第一枪”,我们有理由相信,其他拥有大量用户信息的行业,也将逐步打响保卫个人信息之战。

二、个人信息保护的需求及《指南》概述

造成个人信息泄露有多种因素。首先,随着网络的进一步发展,个人信息的价值越来越高。巨大的利益驱动,使得不法分子铤而走险。然而,中国公众目前对个人信息的保护意识不强,给犯罪分子留下了可乘之机。并且我国一直以来缺乏明确的法律法规,对个人信息的收集和使用到底怎样是合法,怎样是不合法并没有明确的定义。同时,对于明显的个人信息非授权收集或流转,也没有足够的惩处力度以震慑此种行为。总体来看,在个人信息处理流程中,个人信息非授权采集和个人信息第三方流转是个人信息保护的两个主要风险点。《指南》分五个章节,分别描述了个人信息保护的范围、参与对象和相关方的定义、角色和职责以及信息处理阶段的具体标准。在该《指南》中对个人信息的类别、信息相关方的类别和信息处理的环节都进行了明确的区别和划分。

(一) 个人信息

《指南》最显著的特点是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。

(二) 信息相关方

《指南》将信息相关方分为个人信息主体、个人信息管理者、个人信息获得者和第三方测评机构。

(1) 个人信息主体。个人信息指向的自然人,信息的真正所有者。

(2) 个人信息管理者。决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。

(3) 个人信息获得者。从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。

(4) 第三方测评机构。独立于个人信息管理者的专业测评机构。

(三) 信息处理

《指南》将个人信息处理分为收集、加工、转移和删除四个主要环节,对个人信息的保护贯穿于四个环节中。

(1) 在收集阶段,要求目的合法且告知个人信息主体。

(2) 在加工阶段,要求将加工目的及方法等告知个人信息主体。

(3) 在转移阶段,要求告知个人信息主体转移的范围和目的。

(4) 在删除阶段,要求收集阶段告知的个人信息使用目的达到后,立即删除个人信息。

从以上四个环节的要求来看,《指南》主要强调的是个人信息主体的“知情权”,要求对于个人信息的处理全部要告知个人信息主体,且处理不能超出告知范围。这项标准还提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。

该《指南》为下一步有针对性地打击相关犯罪提供了有力武器。但是,这个《指南》仅是一个技术性标准,缺乏对违反这个标准的惩罚性措施,因此对于打击个人信息犯罪尚不具有威慑性。在网络上保护公民权益免受非法侵害、保障国家安全是一项系统工程,不是单靠一部法律、法规就可以完成的。制定具有可操作性的法律必不可少,但要想从根本上解决个人信息泄露的问题,还需要不断完善相关的网络法律法规,建立健全相应的配套制度。

总体来看,我国在个人信息保护立法方面还处于初级阶段,虽然出台了标准并准备颁布法案,但具体法案的实施,细则的补充以及实施还需很长一段时间。

三、个人信息保护主要风险点的应对

结合我国国情,目前应对个人信息保护风险,主要需要国家完善立法、民众提高个人信息保护意识和企业规范信息使用三方面的努力。

(一) 在国家立法层面,逐步完善国家立法,尤其是加大个人信息相关违法行为的惩处力度,是应对个人信息第三方流转的有效手段之一

其主要目的是提高相关违法行为的犯罪成本,从而对违法人员起到震慑作用,减少此类行为的发生。我国目前各地政府已开始纷纷“试水”,用实际行动立法保护个人信息,如湖北、湖南、江苏等一些地区,对非法泄露、复制及倒卖个人信息的非法者,处以最高50万元的罚款。随着《决定》和《指南》及一系列具体措施的颁布,对个人信息相关违法行为的惩处力度及范围与日俱增,构成犯罪的,也将依法追究刑事责任。

(二) 在公众防范层面,为防范个人信息的非授权采集,需要提高用户的自我保护意识

作为信息的所有者,个人应采取措施对自己的信息进行保护,包括了解个人信息的范围、个人信息保护的原则和可采用的具体措施。姓名、身份证号、电话号码、住址、账号等可以定位到个人的信息都属于个人信息的范畴。

个人在向外界提供个人信息时,应了解对方获取此类信息的原因,并据此判断对方要求取得的信息是否多于实际需要的信息。坚持“最小够用”的原则,只给对方提供必要的信息,避免在不正规的网站、电商留下个人信息。

在提供信息时,应采取措施限定或表明此类信息使用的范围。例如,在提供身份证复印件时,应在不影响复印件使用的情况下,注明该身份证复印件的用途或授权使用人;在网站注册输入信息时,应关注网站是否提供隐私保护政策,限定信息保密要求或限定使用范围。

在处理包含个人信息的介质时,应采取恰当措施销毁信息。常见的信息介质包括:个人简历、快递单、银行业务凭条、刷卡记录等,在弃置此类介质前应保证个人信息不会被获取,可以采用撕毁、涂画等方式保护个人信息。

除个人要加强信息保护外,政府在加强立法保护的同时,还应加大对个人信息保护的宣传力度,借助广播、电视等多媒体,营造良好的舆论氛围,提高全民的信息安全意识。同时,建立个人信息保护制度的奖励机制,鼓励公众举报侵犯个人信息的违法行为,以便从源头上找到真正的元凶。

(三) 在企业层面,出于控制声誉风险和法律风险的角度,企业需加强对个人信息的保护

随着立法和监管力度的加强,企业也需要加强对于个人信息保护的关注,严格遵守与个人信息相关的合规要求,包括信息收集及使用规范、安全保障措施和监督及检查等方面,并接受与配合相关机构的监督与检查,尽量避免由于个人信息相关违法行为导致的法律责任追究。

同时,从企业声誉风险的角度来看,客户群体对自身信息保护的意识和重视程度都在逐步提升,众多信息泄露事件的曝光和各类传媒对此类事件的持续关注,都对企业声誉风险的控制形成了越来越大的压力。出于对客户群体的负责,以及自身品牌的维护,企业都有必要加强对个人信息的保护力度。

企业在使用用户信息时应关注用户信息泄露的两个主要途径,包括内部泄露和外部泄露。

(1) 内部泄露。主要有员工泄露(例如2012年3.15晚会有相关报道,系统管理人员批量出卖用户数据)和非法外来人员泄露(例如商业间谍等)。

(2) 外部泄露。主要途径是在和第三方合作的过程中,用户信息在企业不知情的情况下被第三方获取(例如信用卡短信提醒功能的短信平台提供商,存储银行的用户手机号码)。

由于用户信息收集、加工、转移和弃置的过程中都存在信息泄露的风险,因此企业应建立全流程、多层次的用户信息保护体系,因为:

(1) 一个完整的用户信息保护体系,可以覆盖可能存储信息的管理对象、信息使用管理的全流程,以及信息保护的相关方。

(2) 一个合理的用户信息保护体系,可以兼顾职责分工、管理流程和技术平台,保证执行人、工作内容和操作工具的高度一致。

(3) 一个灵活的用户信息保护体系,可以通过对每个局部领域的深入和细化,制订可落地实施的管控措施。

企业在个人信息保护中应全面考虑信息收集、加工、转移和删除环节的风险,应梳理个人信息在本企业使用过程中的全部流程,包括涉及的系统和外包商、合作伙伴,逐一评估流程环节中个人信息泄露的安全风险、客户通知的合规风险、事件处理的声誉风险等。

企业在收集、使用个人信息时,应至少做到:

(1) 小范围、先认可。在收集环节,只收集必要的个人信息,并根据个人信息的性质,获得信息主体的认可。

(2) 防泄漏、透明化。在加工环节,采取必要措施防止数据泄露,并向信息主体告知加工目的和方法。

(3) 不放松、广告知。在转移环节,对外包商和合作伙伴应要求采取与企业自身管理一样的安全管理要求,保证在个人信息使用的过程中不出现管理的短板,并明确告知信息主体转移的范围和目的。

(4) 及时删、不保留。在删除环节,当使用目的达成后,及时删除个人信息,包括企业自身保存的,以及外包商和合作伙伴保存的数据。

综上所述,企业在管理个人信息时,除做好自身安全管理,关注外包商和合作伙伴的安全水平之外,还要体现对信息主体的尊重和负责,保障信息主体对个人信息使用情况的知情权。

个人资料保护制度建置项目经验谈

许多机构初次听到有新版《个人资料保护法》时,都会问:“我们还要多做什么?”了解法规的内容以后,不禁哀鸿遍野:“这太严格了!对我们的业务执行将造成很大影响!”而那些以往未曾被《电脑处理个人资料保护法》规范的行业,更是惊恐:“罚则这么严?到底应该怎么做才不会被罚?我们连从何开始执行的头绪都没有!”这些冲击都始于2011年5月26日正式公布新版《个人资料保护法》之时,全台湾不管是公务机构或非公务机构都开始“疯”行个人资料保护,并被深深地困扰着。

同类推荐
  • 工伤保险与劳动争议

    工伤保险与劳动争议

    工伤保险是社会保险的一个组成部分,是指劳动者由于工作原因并在工作过程中遭受意外伤害,或因接触粉尘、放射线、有毒有害物质等职业危害因素引起职业病后,由国家或社会给负伤、致残者以及死亡者生前供养亲属提供必要的物质帮助的一项社会保险制度。
  • 国际法的理念与运作

    国际法的理念与运作

    本书立足于从法哲学角度,对有关法治的两重含义进行审视、反思和设想。一是法治的理念,这是一个民族基于其独特的文化背景与社会结构及其情感,对法产生的一种内心信念与基本精神;概言之,法治理念是人类社会特有的情感和精神。二是法治的运作,这是法治原则与精神现实化的过程,从而使法治内容与形式在社会关系中得以具体实现。在承接《国际法的理念与运作》撰写任务后,经过《国际法的理念与运作》合著同行们几经切磋,形成《国际法的理念与运作》的基本思路和总体构架。
  • 金融市场典型案例法律研究

    金融市场典型案例法律研究

    本书选取银行、证券、保险、期货四大金融市场发生的一些典型案例及其法院的判决进行介绍,从法律的层面进行深入的分析和探讨。
  • 《中华人民共和国安全生产法》释义及实用指南

    《中华人民共和国安全生产法》释义及实用指南

    本书由《中华人民共和国安全生产法》立法的同志撰写。本书共分三个部分:第一部分,法律文本及条文释义;第二部分,立法文件;第三部分,相关司法解释和行政法规。本书逐条对安全生产法进行了释解,并对实务中需要注意的问题进行了特别提示。本书适于生产管理者、生产安全监督者、法律实务工作者阅读。
  • 中华人民共和国香港特别行政区基本法

    中华人民共和国香港特别行政区基本法

    为加强法制宣传,迅速普及法律知识,服务于我国民主法制建设,多年来,中国民主法制出版社根据全国人大常委会每年定期审议通过、修订的法律,全品种、大规模的出版了全国人民代表大会常务委员会公报版的系列法律单行本。该套法律单行本经过最高立法机关即全国人民代表大会常务委员会的权威审定,法条内容准确无误,文本格式规范合理,多年来受到了社会各界广泛关注与好评。
热门推荐
  • 中国诺门罕:1939

    中国诺门罕:1939

    1939年5月,春意黯淡的诺门罕,荒凉、寂静的草原,突然晌起枪炮声,战火东一片西一片地燃烧起来了。“我确实看重眼前这机会。斯大林搞大清洗;为我们打败苏军、建功远东提供了难得却又稍纵即逝的机会呀!”小松原道太郎说。伏罗希洛夫指着地图上的“诺门罕”:“我认为,这里孕育着严重的军事冒险!无论如何事情并没有到此结束……”朱可夫继续看地图,不觉一惊:日军一旦占领蒙古,很容易切断靠近苏蒙边境的苏方铁路,铁路一切断,整个远东苏军的供给线将会被切断……这是一场局部性的战争,但它对全局影响甚大。
  • 大雁飞来,我们却散去

    大雁飞来,我们却散去

    “你看,大雁成群结队从南方飞回来了,我们难道就要这么散了吗?”钟昊辰红了眼眶,抬头看着李昕蕊说。”大雁会互帮互助,大雁会成群结队,可它们终有老去的一天,它们终究会散去。我们都长大了,也该散了。"李昕蕊看着人字形的大雁往北飞,心里一阵酸楚,却又只能装作不在意,淡淡回答道。
  • 捡个杀手当妹妹

    捡个杀手当妹妹

    极品高手陈飞为寻失散多年的妹妹,逃离了师傅进入都市,从此武打不平事,菜刀定厨房,医术活死人,纵横花都,无所不能!
  • 美人心酒

    美人心酒

    为了一世荣华,她不惜借他人之手,将伤害自己的人,爱自己的人全部推入万丈深渊。而最终,自己亦成为刀咀鱼肉,万般无奈妄想地回头,才发现,自己最终竟是孤身一人,独赴黄泉。“如果可以重来,你可曾后悔?”“后悔又如何?我只希望……他们能够回来。”不知何时起,我已如此孤身一人。好孤单。真的,好孤单……真相残忍揭开,一切尘埃落定。她终于身陷无底深渊,再无力挣扎。她愕然回首——他已不见。真是奇妙……也悲伤的故事。
  • 梦幻帝国

    梦幻帝国

    我有一个**的大哥,有一个牛*的老爸。自己却一般般,因此我也要当*****的人
  • 殇念浮

    殇念浮

    有时会羡慕古代的爱情:车马很慢,书信很远,一生只够爱一人。所以想写古代的爱情故事,有爆笑的,伤感的,美满幸福的,他和她的倾世之恋。还有魔力什么的,都是关于爱情的哦~
  • 重生之九天仙魔

    重生之九天仙魔

    因遭忌而被同门害死的修仙小菜鸟萧潇重生回被带走的前五年,原本纯良的软妹纸立时变得冷血无情,依靠九天仙魔诀遇神杀神,遇鬼杀鬼。什么?天道?姐才不怕。左手空间,右手异能,且看女主如何从一个小白一步步走上巅峰。
  • 福妻驾到

    福妻驾到

    现代饭店彪悍老板娘魂穿古代。不分是非的极品婆婆?三年未归生死不明的丈夫?心狠手辣的阴毒亲戚?贪婪而好色的地主老财?吃上顿没下顿的贫困宭境?不怕不怕,神仙相助,一技在手,天下我有!且看现代张悦娘,如何身带福气玩转古代,开面馆、收小弟、左纳财富,右傍美男,共绘幸福生活大好蓝图!!!!快本新书《天媒地聘》已经上架开始销售,只要3.99元即可将整本书抱回家,你还等什么哪,赶紧点击下面的直通车,享受乐乐精心为您准备的美食盛宴吧!)
  • 李小宝的变异之旅

    李小宝的变异之旅

    他叫李小宝,他是时代巨人的独生子,却因遥不可及的父爱,离家出走;他是源基因完美融合的第一人,一次次通过基因变异挑战昊天星球的生存规则;他即是五系法师又是破魔者,同时兼具战神和死神的顶级体质;他尝尽友情,爱情,忠诚与背叛,终无法填补内心深处的缺憾。然,岁月流逝,归路已断……
  • 欣然钟情

    欣然钟情

    新婚当日,穿着婚纱的她看着在与别人激吻的丈夫,强压下心中的怒火笑着说:“我希望你们是在吻别”丈夫怀中的女子夺门而去。丈夫追出去的时候说:“你要的婚已经结了,接下来该是我要的离了吧。”丈夫离开的风将婚纱拂起,久久没有落下,一个声音在她心中响起,绝不离婚。多年后,她围着披肩站在阳台上看着窗外的车水马龙,悠悠的说:“你有个东西我一直没给你。”身后满脸胡茬的丈夫操着嘶哑的嗓音问:“什么?”“一个写着离婚证的本子。”丈夫像是从沙发上弹起,冲她怒吼:“绝不离婚!”