基于組織管理的預(yù)防個(gè)人信息泄漏策略研究

鄒晶 劉立 李雯雯

[摘要]防范網(wǎng)絡(luò)電信詐騙的關(guān)鍵在于保護(hù)個(gè)人信息。在分析了個(gè)人信息泄漏途徑后闡述了個(gè)人信息安全管理存在的問(wèn)題，從組織管理角度提出預(yù)防個(gè)人信息泄漏的策略。

[關(guān)鍵詞]大數(shù)據(jù);個(gè)人信息;個(gè)人信息安全;個(gè)人信息泄露;組織管理

[中圖分類(lèi)號(hào)]D920.4[文獻(xiàn)標(biāo)識(shí)碼]A

1? ? 個(gè)人信息概述

1.1? ? 個(gè)人信息概念

2017年6月1日起實(shí)施的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》對(duì)“公民個(gè)人信息”進(jìn)行了解釋?zhuān)侵敢噪娮踊蛘咂渌绞接涗浀哪軌騿为?dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。根據(jù)此解釋?zhuān)珼NA、指紋、身高體重、工作經(jīng)歷、性別年齡等信息也屬于個(gè)人信息。

1.2? ? 個(gè)人信息、個(gè)人隱私與個(gè)人數(shù)據(jù)之間的關(guān)系

在當(dāng)今社會(huì)，隱私的概念有比較嚴(yán)格的界定。按照法律上將個(gè)人私下生活秘密相關(guān)的事情且與公共事情無(wú)關(guān)的活動(dòng)事宜定義為個(gè)人隱私，其內(nèi)容包括個(gè)人的信息數(shù)據(jù)、活動(dòng)及空間。其中，個(gè)人數(shù)據(jù)信息是指與個(gè)人有關(guān)的資料信息，如姓名、體重身高、電話號(hào)碼等;個(gè)人的活動(dòng)是指一切個(gè)人的私生活，譬如日常興趣愛(ài)好、人際關(guān)系交往、家庭生活等一系列個(gè)人不愿意被外界所知道的個(gè)人活動(dòng);個(gè)人空間是指?jìng)€(gè)人的生活活動(dòng)范圍，包括心理上的空間和顯示的物質(zhì)空間，也被稱(chēng)作個(gè)人領(lǐng)域。物質(zhì)上的空間包括個(gè)人房屋、個(gè)人活動(dòng)范圍等，心理上的空間包括個(gè)人信件、個(gè)人日記等。

個(gè)人數(shù)據(jù)是指于數(shù)據(jù)主體人員相關(guān)的數(shù)據(jù)資料，包括數(shù)字資料和文字資料兩個(gè)方面。數(shù)字資料，如主體人員的年齡、身高體重、居民身份證號(hào)碼、電話號(hào)碼、收入等都屬于數(shù)字資料;文字資料主要包括個(gè)人的政治背景和社會(huì)背景，如個(gè)人的受教育程度、宗教信仰、政治面貌及政治傾向等，還包括個(gè)人家庭基本情況，如個(gè)人的婚否、配偶的基本情況、父母子女及兄弟姐妹的基本情況等。

這三者之間是相互包容、相互滲透的關(guān)系。其中個(gè)人信息包含了個(gè)人隱私。

2? ? 個(gè)人信息泄漏途徑分析

2.1? ? 內(nèi)部員工泄密

企業(yè)等組織內(nèi)部員工受利益驅(qū)使泄漏用戶個(gè)人信息。泄漏的個(gè)人信息通過(guò)網(wǎng)絡(luò)多次販賣(mài)，在大數(shù)據(jù)環(huán)境下進(jìn)行拼接，使得個(gè)人信息更加全面準(zhǔn)確。媒體報(bào)道中，涉及金融機(jī)構(gòu)、運(yùn)營(yíng)商、快遞公司、網(wǎng)上商店、4S店等組織。2012年315晚會(huì)曝光招商銀行等銀行工作人員兜售客戶個(gè)人信息，導(dǎo)致客戶銀行卡資金被盜。內(nèi)部員工監(jiān)守自盜是導(dǎo)致個(gè)人信息泄漏的主要途經(jīng)。

2.2? ? 黑客入侵或病毒盜取

以計(jì)算機(jī)系統(tǒng)或網(wǎng)站存儲(chǔ)用戶個(gè)人信息面臨黑客入侵的風(fēng)險(xiǎn)。利用計(jì)算機(jī)軟硬件的脆弱性和計(jì)算機(jī)體系結(jié)構(gòu)本身的缺陷，編寫(xiě)具有某種特殊功能的程序，入侵計(jì)算機(jī)系統(tǒng)，訪問(wèn)數(shù)據(jù)庫(kù)，盜取用戶信息。2016年“徐玉玉案”就是犯罪嫌疑人利用技術(shù)手段攻擊了“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”并在網(wǎng)站植入木馬病毒，獲取了網(wǎng)站后臺(tái)登錄權(quán)限，盜取了考生報(bào)名信息。黑客入侵或病毒盜取是個(gè)人信息泄漏的重要途經(jīng)。

2.3? ? 信息被過(guò)渡采集

網(wǎng)絡(luò)服務(wù)提供商收集用戶信息的方式多樣。消費(fèi)者在注冊(cè)登錄、填寫(xiě)訂單、支付貨款時(shí)，填寫(xiě)的個(gè)人信息可能被收集。其次，網(wǎng)絡(luò)服務(wù)提供商還可以自動(dòng)獲取信息，例如用 cookies 追蹤用戶的網(wǎng)絡(luò)行為、用木馬程序在用戶的設(shè)備端設(shè)置后門(mén)、用戶使用手機(jī)APP時(shí)被搜集手機(jī)與個(gè)人信息等，通過(guò)這些技術(shù)手段自動(dòng)獲取用戶的身份等個(gè)人信息。此外，網(wǎng)絡(luò)服務(wù)提供商還可以通過(guò)第三方平臺(tái)獲取用戶的個(gè)人信息。2018年Facebook被曝泄漏5000萬(wàn)用戶數(shù)據(jù)，用于政治目的以左右美國(guó)選民投票。網(wǎng)絡(luò)服務(wù)提供商搜集并泄漏用戶信息是個(gè)人信息泄漏的新型途徑。

3? ? 組織泄漏個(gè)人信息原因分析

本文中組織是指對(duì)個(gè)人信息進(jìn)行搜集儲(chǔ)存等機(jī)構(gòu)或部門(mén)的統(tǒng)稱(chēng)。既包括企業(yè)組織、政府事業(yè)單位、教育部門(mén)，也包括網(wǎng)絡(luò)服務(wù)提供商等對(duì)個(gè)人信息進(jìn)行過(guò)搜集的組織。

3.1? ? 思想意識(shí)缺乏，責(zé)任心缺失

組織搜集了用戶個(gè)人信息后，面臨存儲(chǔ)和保管工作。在信息時(shí)代，個(gè)人信息大都以數(shù)據(jù)形態(tài)存儲(chǔ)。整個(gè)過(guò)程中，數(shù)據(jù)錄入人員、數(shù)據(jù)查詢?nèi)藛T、數(shù)據(jù)審計(jì)人員、數(shù)據(jù)庫(kù)管理人員和系統(tǒng)管理員等工作人員能直接接觸到數(shù)據(jù)。組織內(nèi)管理人員能間接獲得數(shù)據(jù)。組織管理人員及一線工作人員對(duì)用戶個(gè)人信息的重要性認(rèn)識(shí)不足，在利益面前有的員工責(zé)任心缺失。用戶個(gè)人信息不僅僅是數(shù)據(jù)，還對(duì)應(yīng)著一個(gè)個(gè)用戶，更涉及用戶的隱私。用戶個(gè)人信息的泄漏會(huì)給用戶帶來(lái)不可估量的損失。

3.2? ? 法律法規(guī)不完善，法制體系不健全

2017年10月1日起施行《中華人民共和國(guó)民法總則》專(zhuān)門(mén)規(guī)定自然人的個(gè)人信息受法律保護(hù)。2017年6月1日起施行的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》，對(duì)“提供公民個(gè)人信息”、“以其他方法非法獲取公民個(gè)人信息”進(jìn)行了定義和說(shuō)明。同日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。但對(duì)于個(gè)人信息泄漏具體由哪些部門(mén)監(jiān)管沒(méi)有指定，個(gè)人信息泄漏的取證工作也在探討完善中，個(gè)人信息保護(hù)也沒(méi)有專(zhuān)門(mén)適用法律。處罰過(guò)輕會(huì)間接導(dǎo)致個(gè)人信息泄露不斷出現(xiàn)，愈演愈烈。

3.3? ? 行業(yè)內(nèi)部監(jiān)管不力，難以起到威懾作用

組織內(nèi)部監(jiān)管不力，無(wú)法對(duì)內(nèi)部人員進(jìn)行震懾。組織在信息安全管理和人員管理方面存在很大的漏洞。有些企業(yè)缺乏在信息安全管理方面的規(guī)章制度和條例，或有相應(yīng)的制度卻沒(méi)有監(jiān)督和執(zhí)行，導(dǎo)致內(nèi)部信息管理人員信息保護(hù)意識(shí)淡薄，以權(quán)謀私，造成客戶個(gè)人信息泄漏。再者，政府相關(guān)信息監(jiān)管機(jī)構(gòu)監(jiān)管不力，未能主動(dòng)監(jiān)控，多為事后管制，不能對(duì)不法分子起到震懾作用，使不法人員有機(jī)可乘，助長(zhǎng)囂張氣焰。例如，“徐玉玉事件”中170和171虛擬運(yùn)營(yíng)商號(hào)段，未進(jìn)行實(shí)名制，成為詐騙分子首選地，而普通民眾對(duì)此毫不知情。

4? ? 基于組織管理角度的預(yù)防個(gè)人信息泄露策略

4.1? ? 法制建設(shè)

國(guó)家要加強(qiáng)立法、加快立法，完善個(gè)人信息保護(hù)的立法體系。加快制定如信息泄露處罰法、電子證據(jù)效力、信息安全責(zé)任追究法等相關(guān)的法律，對(duì)組織進(jìn)行監(jiān)督約束。法律制定和執(zhí)行要從重從嚴(yán)。對(duì)于個(gè)人信息泄露的犯罪事件，要著重從刑法方面進(jìn)行懲處，加大對(duì)信息泄露違法行為的處罰力度，不給任何組織和個(gè)人打“擦邊球”的機(jī)會(huì)。一旦因個(gè)人信息泄漏給公民造成的財(cái)產(chǎn)和人身傷害，個(gè)人信息泄漏的個(gè)人和組織要承擔(dān)連帶責(zé)任。必要情況下對(duì)涉事組織實(shí)施破產(chǎn)，用嚴(yán)格的法律對(duì)不法分子進(jìn)行約束和制裁。

此外，個(gè)人信息泄漏案件需由專(zhuān)門(mén)法律保護(hù)，專(zhuān)門(mén)部門(mén)監(jiān)管督辦。政府要加強(qiáng)執(zhí)法隊(duì)伍建設(shè)，嚴(yán)格執(zhí)法，加強(qiáng)專(zhuān)門(mén)監(jiān)管部門(mén)的建設(shè)，對(duì)企業(yè)信息安全方面進(jìn)行考核和監(jiān)督，對(duì)組織進(jìn)行嚴(yán)格監(jiān)管。

4.2? ? 制度建設(shè)

在規(guī)章制度方面，組織要成立專(zhuān)門(mén)的信息管理小組來(lái)制定企業(yè)信息安全相關(guān)規(guī)章制度。第一，實(shí)行雙人管理或者多人管理制度對(duì)企業(yè)重要信息數(shù)據(jù)庫(kù)進(jìn)行管理。即在進(jìn)入重要信息數(shù)據(jù)庫(kù)時(shí)需要雙人或多人的身份驗(yàn)證，這樣可以將重要管理權(quán)限進(jìn)行分散，防止權(quán)限過(guò)于集中，防止內(nèi)部泄露信息;第二，實(shí)行訪問(wèn)過(guò)程記錄細(xì)化制。即對(duì)每一個(gè)訪問(wèn)過(guò)信息數(shù)據(jù)庫(kù)人員的訪問(wèn)過(guò)程進(jìn)行詳細(xì)記錄。包括訪問(wèn)人的身份、時(shí)間、訪問(wèn)內(nèi)容等進(jìn)行記錄。這樣可以方便追查相關(guān)涉事者的責(zé)任，便于組織管理;第三，實(shí)行獎(jiǎng)勵(lì)和懲罰制度。對(duì)信息安全管理表現(xiàn)突出的人員或者對(duì)舉證舉報(bào)泄露事件的人員進(jìn)行獎(jiǎng)勵(lì)，而對(duì)于違反規(guī)定、造成客戶個(gè)人信息泄露的，要嚴(yán)格懲處，仔細(xì)追查當(dāng)事人和部門(mén)領(lǐng)導(dǎo)、組織領(lǐng)導(dǎo)等相關(guān)責(zé)任人的責(zé)任，輕則開(kāi)除，重則可移交給司法機(jī)關(guān)。

4.3? ? 技術(shù)管理

第一，組織要重視用戶個(gè)人信息安全，加大在數(shù)據(jù)安全管理方面的投入，自主開(kāi)發(fā)或引進(jìn)權(quán)威管理信息系統(tǒng)和信息安全管理技術(shù)，加強(qiáng)對(duì)數(shù)據(jù)庫(kù)的管理，對(duì)組織的網(wǎng)絡(luò)信息管理平臺(tái)和技術(shù)定期升級(jí)，減少網(wǎng)絡(luò)安全漏洞，防止不法分子利用網(wǎng)站漏洞或者病毒侵入。第二，采用網(wǎng)絡(luò)隔離技術(shù)和數(shù)據(jù)信息加密技術(shù)，對(duì)組織內(nèi)部數(shù)據(jù)信息進(jìn)行安全管理。將組織內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，從而避開(kāi)外部網(wǎng)絡(luò)安全的威脅，保證數(shù)據(jù)信息在內(nèi)部網(wǎng)絡(luò)進(jìn)行安全傳遞;用高級(jí)加密技術(shù)對(duì)內(nèi)部數(shù)據(jù)信息庫(kù)進(jìn)行加密，保證數(shù)據(jù)庫(kù)的安全。第三，利用先進(jìn)的人員認(rèn)證技術(shù)，如人臉識(shí)別技術(shù)，對(duì)信息管理人員進(jìn)入數(shù)據(jù)庫(kù)進(jìn)行身份驗(yàn)證。

4.4? ? 人員管理

組織要提升員工安全意識(shí)，加強(qiáng)員工素質(zhì)的培養(yǎng)。一方面組織對(duì)員工的信息安全教育和培訓(xùn)活動(dòng)要常態(tài)化，定期學(xué)習(xí)相關(guān)法律法規(guī)、組織信息安全規(guī)章制度和信息泄露案例，讓內(nèi)部人員對(duì)網(wǎng)絡(luò)信息泄露的方式深入了解，提高應(yīng)對(duì)能力。另一方面組織在招聘相關(guān)工作人員時(shí)，著重對(duì)應(yīng)聘人員信息安全知識(shí)進(jìn)行考察，提高信息管理工作人員的整體素質(zhì)，減少內(nèi)部人員泄露客戶個(gè)人信息事件的發(fā)生。

4.5? ? 加強(qiáng)監(jiān)督

組織建立規(guī)章制度外，還應(yīng)配備監(jiān)督機(jī)制來(lái)監(jiān)督規(guī)章制度的實(shí)施。除組織內(nèi)部監(jiān)督，還需要外部監(jiān)督，包括政府監(jiān)督和公民監(jiān)督。組織內(nèi)要成立監(jiān)督小組或部門(mén)，負(fù)責(zé)監(jiān)督內(nèi)部規(guī)章制度的實(shí)施和工作人員的行為。另外，組織要鼓勵(lì)工作人員相互監(jiān)督，自覺(jué)接受網(wǎng)民的監(jiān)督和政府的監(jiān)督，以此來(lái)形成良好的約束。廣大網(wǎng)民要發(fā)揮網(wǎng)民強(qiáng)大的力量，對(duì)組織進(jìn)行監(jiān)督，向組織提出建議和提醒或者直接予以舉報(bào)，以此對(duì)企業(yè)組織形成震懾。

5? ? 結(jié)語(yǔ)

信息安全在當(dāng)今大數(shù)據(jù)這一特殊的時(shí)代背景之下，個(gè)人信息泄露及安全問(wèn)題已危及用戶財(cái)產(chǎn)和人身安全，已逐步得到研究者的關(guān)注。文章分析了信息泄露的途徑，分析了我國(guó)信息安全存在的問(wèn)題，從組織管理這一角度提出了個(gè)人信息的保護(hù)策略。但問(wèn)題的落實(shí)還需要大量的人力、物力和財(cái)力，更需要國(guó)家和各個(gè)組織及個(gè)人的共同努力。

[參考文獻(xiàn)]

[1] 最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋[EB/OL].http：//www.court.gov.cn/fabu-xiangqing-43942.html， 2017-05-09.

[2] 史衛(wèi)民.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的現(xiàn)實(shí)困境與路徑選擇[J].情報(bào)雜志，2013（12）： 155-159.