◆李康

網(wǎng)絡(luò)環(huán)境下個(gè)人信息保護(hù)策略探討

◆李康

（云南南天電子信息產(chǎn)業(yè)股份有限公司信息安全測評(píng)中心 云南 650000）

近年來信息技術(shù)發(fā)展日新月異，并已融入每個(gè)人的衣食住行和工作。社交通訊、出行導(dǎo)航、購物、娛樂音影、新聞閱讀等軟件應(yīng)用無時(shí)無刻不在對(duì)用戶個(gè)人信息進(jìn)行處理。同時(shí)，個(gè)人信息數(shù)據(jù)處理的流程較多，傳播具有隱蔽和復(fù)雜等特性，這為不法分子非法使用和販賣個(gè)人信息提供了便利條件。本文通過對(duì)我國個(gè)人信息安全現(xiàn)狀及個(gè)人信息安全的主要威脅進(jìn)行分析，從個(gè)人信息控制者的角度，分析造成個(gè)人信息安全問題的根本原因，結(jié)合當(dāng)前主流網(wǎng)絡(luò)安全技術(shù)和相關(guān)標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)環(huán)境下個(gè)人信息保護(hù)策略進(jìn)行研究，并提出一些保護(hù)用戶個(gè)人信息安全的策略。

個(gè)人信息；個(gè)人信息控制者；個(gè)人信息保護(hù)策略

最近幾年不斷發(fā)生利用個(gè)人信息侵害公民人身財(cái)產(chǎn)安全事件，一系列因個(gè)人信息泄露導(dǎo)致的網(wǎng)絡(luò)電信詐騙案件發(fā)生后，全社會(huì)的關(guān)注再次聚焦于個(gè)人信息安全。個(gè)人信息安全保護(hù)形勢不容樂觀。

網(wǎng)絡(luò)環(huán)境下個(gè)人信息在收集、傳輸、存儲(chǔ)、使用、銷毀等信息處理環(huán)節(jié)中，個(gè)人信息控制者占據(jù)著主導(dǎo)地位，應(yīng)當(dāng)擔(dān)負(fù)個(gè)人信息安全保護(hù)的責(zé)任，制定個(gè)人信息保護(hù)策略，采取必要措施對(duì)個(gè)人信息進(jìn)行保護(hù)，最大限度地保障社會(huì)公共利益和個(gè)人的合法權(quán)益。

1 我國個(gè)人信息安全現(xiàn)狀

1.1 個(gè)人信息泄露問題嚴(yán)重

此前，中國青年政治學(xué)院互聯(lián)網(wǎng)法治研究中心與封面智庫聯(lián)合撰寫《中國個(gè)人信息安全和隱私保護(hù)報(bào)告》，該報(bào)告是基于1048575份關(guān)于個(gè)人信息保護(hù)情況的問卷調(diào)查反饋的信息?！秷?bào)告》披露，認(rèn)為個(gè)人信息泄露問題嚴(yán)重的被調(diào)研者占比高達(dá)72%；每天收到垃圾短信2條以上的被調(diào)研者占比26%，近一個(gè)月每天收到騷擾電話2個(gè)以上的被調(diào)研者占比20%；曾接到過陌生電話且知道自己詳細(xì)個(gè)人信息的被調(diào)研者高達(dá)81%；因網(wǎng)頁搜索、瀏覽后被特定推銷廣告長期騷擾的被調(diào)研者占比達(dá)53%；電子信箱、QQ等通訊軟件、游戲等賬號(hào)密碼曾經(jīng)被盜的調(diào)研者占比達(dá)40%。

1.2 販賣個(gè)人信息已成黑色產(chǎn)業(yè)

央視記者曾披露，販賣簡歷信息已經(jīng)形成了黑色產(chǎn)業(yè)。很多人接到招聘類騷擾電話前都曾在招聘網(wǎng)站上傳過簡歷。招聘網(wǎng)站將公民的個(gè)人簡歷信息通過社交軟件進(jìn)行販賣。目前在社交平臺(tái)等販賣集中地可購買到的個(gè)人信息主要有：物流單據(jù)信息、個(gè)人征信報(bào)告信息、定位信息、學(xué)籍檔案信息等幾大類，各類不同價(jià)值的信息均有明確價(jià)碼。

1.3 公民個(gè)人信息安全關(guān)注度高且普遍擔(dān)憂

2020年全國多家知名網(wǎng)絡(luò)安全行業(yè)協(xié)會(huì)和網(wǎng)絡(luò)安全相關(guān)民間組織聯(lián)合發(fā)起本年度全國網(wǎng)民網(wǎng)絡(luò)安全滿意度調(diào)查，調(diào)查結(jié)果顯示超過八成的被調(diào)查者對(duì)于侵犯個(gè)人信息的關(guān)注度極高，近半的被調(diào)查者認(rèn)為自己的個(gè)人信息遭遇過侵害。

2 網(wǎng)絡(luò)環(huán)境下個(gè)人信息安全的主要威脅

通過中國裁判文書網(wǎng)檢索2016年1月1日至2020年12月31日間侵犯公民個(gè)人信息罪的刑事案件，共檢索到判決書7574篇，通過對(duì)該類判決書分析，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境下個(gè)人信息安全的主要威脅是黑客竊取和個(gè)人信息控制者內(nèi)部泄露。

2.1 黑客竊取

個(gè)人信息資源是一項(xiàng)無形資產(chǎn)，對(duì)個(gè)人信息資源收集、整理、加工、分析、開發(fā)和利用能帶來經(jīng)濟(jì)效益。在經(jīng)濟(jì)利益的驅(qū)使下，黑客通過網(wǎng)絡(luò)攻擊、病毒等手段竊取個(gè)人信息后進(jìn)行販賣的情況時(shí)有發(fā)生。從對(duì)交通、電商、高校、大型國企、政府機(jī)構(gòu)等重點(diǎn)行業(yè)機(jī)構(gòu)遭受網(wǎng)絡(luò)黑客入侵的監(jiān)測記錄數(shù)據(jù)看，黑客入侵重要信息系統(tǒng)竊取個(gè)人信息的情況逐年遞增，攻擊技術(shù)也越來越多樣化。黑客竊取已成為影響個(gè)人信息安全的一項(xiàng)主要因素。

2.2 個(gè)人信息控制者內(nèi)部泄露

個(gè)人信息控制者在取得公民個(gè)人信息數(shù)據(jù)之后，予以非法利用的情況時(shí)有發(fā)生。侵犯公民個(gè)人信息罪的刑事案件中，被告人在工作過程中獲取到公民個(gè)人信息，然后進(jìn)行售賣等違法處置的情況非常常見。獲取個(gè)人信息的被告人主要有利用職務(wù)之便的公職人員和利用工作便利能接觸到公民個(gè)人信息的服務(wù)行業(yè)人員（如酒店服務(wù)員、房屋中介、電商客服等）。

3 網(wǎng)絡(luò)環(huán)境下造成個(gè)人信息安全問題的根本原因

對(duì)近年來個(gè)人信息安全事件分析發(fā)現(xiàn)，網(wǎng)絡(luò)環(huán)境下造成個(gè)人信息安全問題的原因是多方面的，從個(gè)人信息控制者角度分析，客觀原因是個(gè)人信息數(shù)據(jù)生命周期長，保護(hù)難度大，主觀原因是涉及個(gè)人信息的信息系統(tǒng)（以下簡稱信息系統(tǒng)）自身脆弱性。

3.1 個(gè)人信息數(shù)據(jù)生命周期長

個(gè)人信息數(shù)據(jù)生命周期包括個(gè)人信息數(shù)據(jù)采集、保存、傳遞、使用、銷毀等處理的整個(gè)過程。采集是合法獲取個(gè)人信息（包括姓名、身份證、住址、職業(yè)、學(xué)歷、行程信息等）的過程；保存是個(gè)人信息數(shù)據(jù)在信息系統(tǒng)內(nèi)保存的過程；傳遞是個(gè)人信息數(shù)據(jù)在網(wǎng)絡(luò)上傳遞的過程；使用是對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行加工處理、展示、轉(zhuǎn)讓等操作過程；銷毀是對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行刪除、銷毀的過程。個(gè)人信息數(shù)據(jù)生命周期的各環(huán)節(jié)，除信息收集外，每個(gè)環(huán)節(jié)都可能造成個(gè)人信息數(shù)據(jù)泄漏，因此個(gè)人信息數(shù)據(jù)保護(hù)的難度較大。

3.2 信息系統(tǒng)自身脆弱性

信息系統(tǒng)自身脆弱性使得系統(tǒng)無法抵御黑客竊取、個(gè)人信息控制者內(nèi)部泄露等威脅，個(gè)人信息數(shù)據(jù)泄露的可能性增大。信息系統(tǒng)自身脆弱性主要體現(xiàn)在信息系統(tǒng)的技術(shù)防護(hù)體系不完善和個(gè)人信息管理體系不完善兩方面。

4 網(wǎng)絡(luò)環(huán)境下個(gè)人信息控制者對(duì)用戶個(gè)人信息保護(hù)策略

面對(duì)內(nèi)外部的安全威脅，網(wǎng)絡(luò)環(huán)境下個(gè)人信息控制者保護(hù)用戶個(gè)人信息安全的核心思路是：建立信息系統(tǒng)脆弱性評(píng)估機(jī)制，及時(shí)發(fā)現(xiàn)信息系統(tǒng)在技術(shù)體系和管理體系方面的脆弱性；建立信息系統(tǒng)的技術(shù)防護(hù)體系，消除或降低系統(tǒng)自身技術(shù)方面的脆弱性；建立信息系統(tǒng)的管理體系，消除或降低系統(tǒng)自身管理方面的脆弱性。

4.1 建立信息系統(tǒng)脆弱性評(píng)估機(jī)制

信息系統(tǒng)脆弱性評(píng)估機(jī)制的目標(biāo)是評(píng)估威脅源利用信息系統(tǒng)脆弱性后發(fā)生安全事件的可能性，以及產(chǎn)生的后果的嚴(yán)重程度，并結(jié)合資產(chǎn)的重要性來判斷信息系統(tǒng)的安全風(fēng)險(xiǎn)。并確定安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略。為建立技術(shù)防護(hù)體系和管理體系提供依據(jù)。

信息系統(tǒng)脆弱性評(píng)估要依據(jù)相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)并結(jié)合最新信息系統(tǒng)漏洞發(fā)現(xiàn)技術(shù)開展，可通過個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)、漏洞掃描、滲透測試、軟件代碼審計(jì)等方式進(jìn)行。

4.2 建立信息系統(tǒng)的技術(shù)防護(hù)體系

信息系統(tǒng)的技術(shù)防護(hù)體系的目標(biāo)是建立統(tǒng)一的安全策略，抵御來自外部擁有較為豐富資源、有組織的團(tuán)體的威脅源發(fā)起的入侵攻擊、重大自然災(zāi)難災(zāi)害，保障個(gè)人信息數(shù)據(jù)不被竊取、篡改和刪除。建立信息系統(tǒng)的技術(shù)防護(hù)體系包括保障物理環(huán)境安全、網(wǎng)絡(luò)通道安全、網(wǎng)絡(luò)邊界安全、計(jì)算節(jié)點(diǎn)安全幾個(gè)方面。

（1）保障物理環(huán)境安全需要建設(shè)符合相關(guān)要求的機(jī)房，保障機(jī)房具備物理訪問控制、防盜竊和破壞、防雷、防火、防水和防潮、防靜電等基本能力，防止未授權(quán)人員信息系統(tǒng)關(guān)鍵設(shè)備導(dǎo)致個(gè)人信息數(shù)據(jù)泄露，防止因自然災(zāi)害導(dǎo)致個(gè)人信息數(shù)據(jù)丟失。

（2）保障網(wǎng)絡(luò)通道安全需要建立完善的網(wǎng)絡(luò)結(jié)構(gòu)，合理劃分網(wǎng)絡(luò)區(qū)域，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。同時(shí)采用密碼技術(shù)建立安全的通信傳輸通道，在網(wǎng)絡(luò)傳輸通道建立第一道屏障，使個(gè)人信息數(shù)據(jù)在傳輸過程中不被竊取。

（3）保障網(wǎng)絡(luò)邊界安全需要建立較完善的網(wǎng)絡(luò)邊界完整性措施、網(wǎng)絡(luò)層訪問控制措施、網(wǎng)絡(luò)層入侵防范措施、網(wǎng)絡(luò)層惡意代碼防范措施，在網(wǎng)絡(luò)邊界建立第二道屏障，使系統(tǒng)能夠抵御來自外部的入侵行為。

（4）保障計(jì)算節(jié)點(diǎn)安全需要建立身份鑒別措施、設(shè)備及應(yīng)用層訪問控制措施、設(shè)備及應(yīng)用層入侵防范措施、設(shè)備及應(yīng)用層惡意代碼防范措施、數(shù)據(jù)備份恢復(fù)措施、個(gè)人信息數(shù)據(jù)采集、保存和使用保護(hù)措施，在計(jì)算節(jié)點(diǎn)建立第三道屏障，使個(gè)人信息數(shù)據(jù)在采集、保存、使用過程中不泄露。

4.3 建立信息系統(tǒng)的管理體系

建立信息系統(tǒng)的管理體系的目標(biāo)是建立完善的管理制度并保證管理制度能夠有效執(zhí)行。建立信息系統(tǒng)的管理體系包括管理制度體系、機(jī)構(gòu)設(shè)計(jì)、人員管理、信息系統(tǒng)建設(shè)期管理、信息系統(tǒng)運(yùn)維期管理。

（1）管理制度體系需要制定個(gè)人信息安全保護(hù)工作的方針策略；建立涵蓋個(gè)人信息管理活動(dòng)（個(gè)人信息數(shù)據(jù)采集、傳遞、保存、使用、銷毀等）中的管理制度和操作規(guī)范；形成由記錄表單、操作規(guī)范、管理制度、安全方針策略等構(gòu)成的管理制度體系。

（2）機(jī)構(gòu)設(shè)計(jì)需要明確個(gè)人信息安全管理活動(dòng)的責(zé)任部門和崗位，定義各崗位職責(zé)，建立個(gè)人信息數(shù)據(jù)管理流程授權(quán)和審批機(jī)制，建立管理制度執(zhí)行情況審核和檢查機(jī)制。

（3）人員管理需要規(guī)范個(gè)人信息保護(hù)關(guān)鍵人員的聘用、離職管理和個(gè)人信息保護(hù)意識(shí)培訓(xùn)考核。

（4）信息系統(tǒng)建設(shè)期管理需要規(guī)范個(gè)人信息安全保護(hù)方案設(shè)計(jì)、個(gè)人信息安全產(chǎn)品采購和使用、涉及個(gè)人信息的應(yīng)用軟件開發(fā)、測試驗(yàn)收、供應(yīng)鏈安全管理。

（5）信息系統(tǒng)運(yùn)維期管理需要規(guī)范機(jī)房環(huán)境管理、個(gè)人信息資產(chǎn)管理、個(gè)人信息數(shù)據(jù)介質(zhì)管理、個(gè)人信息設(shè)備維護(hù)管理、信息系統(tǒng)漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)惡意代碼防范管理、系統(tǒng)密碼管理、系統(tǒng)變更管理、個(gè)人信息數(shù)據(jù)備份與恢復(fù)管理、個(gè)人信息安全事件處置、個(gè)人信息安全事件應(yīng)急預(yù)案管理、信息系統(tǒng)外包運(yùn)維管理等。

5 結(jié)束語

個(gè)人信息保護(hù)關(guān)系每個(gè)人的衣食住行和工作，一旦個(gè)人信息被惡意人員非法使用，可能導(dǎo)致個(gè)人人身、財(cái)產(chǎn)安全受到威脅或遭遇歧視等不公正待遇。個(gè)人信息控制者應(yīng)當(dāng)履行法定義務(wù)，保障用戶個(gè)人信息安全。建議從建立信息系統(tǒng)脆弱性評(píng)估機(jī)制、建立信息系統(tǒng)的技術(shù)防護(hù)體系、建立信息系統(tǒng)的管理體系三個(gè)方面保護(hù)用戶個(gè)人信息安全。

[1]張金年. 我國大數(shù)據(jù)時(shí)代個(gè)人信息研究現(xiàn)狀與熱點(diǎn)分析[J].圖書情報(bào)導(dǎo)刊，2020（4）.

[2]王端瑞. 大數(shù)據(jù)時(shí)代我國個(gè)人信息的民法保護(hù)研究[J].西北民族大學(xué)學(xué)報(bào)，2020.

[3]栗倩. 大數(shù)據(jù)時(shí)代個(gè)人信息安全問題研究[J].法制與社會(huì)，2018．

[4]王利民.數(shù)據(jù)共享與個(gè)人信息保護(hù)[J].現(xiàn)代法學(xué)，2019.

[5]中國個(gè)人信息安全和隱私保護(hù)報(bào)告[R].

[6]GB/T 35273-2005.信息安全技術(shù)個(gè)人信息安全規(guī)范[S].

[7]JR/T 0171-2020.個(gè)人金融信息保護(hù)技術(shù)規(guī)范[S].

[8]中華人民共和國個(gè)人信息保護(hù)法（草案）[Z].