全方位保护个人信息安全
《东方早报》上海经济评论 2013-06-18
从这一系列举措可以看出国家和地方政府保护个人信息安全的坚定决心和对非法获取公民个人信息的不法行为的威慑作用,但也应深刻认识到,在信息社会背景下中国个人信息安全遭遇到前所未有的挑战,个人信息获取和泄露的渠道更多、成本更低,信息滥用的危害更严重等,应该多方位发力来保护市民个人信息安全。
市民个人信息安全状况
喜忧参半
上海社会科学院信息研究所曾对上海市民个人信息安全状况和个人信息安全环境进行问卷调研,样本涉及上海17个区县的1061个市民,男女性别比例分别为48.4%和51.6%,涵盖了各行各业,包括学生、商业服务业职工、企事业单位职工、党政机关干部以及下岗失业人员(无业或待业)等。调研结果显示,上海个人信息安全环境喜忧参半,信息安全普及教育覆盖面窄,信息安全相关法律宣传力度弱、知晓度低,市民个人信息安全意识和能力有待提高。
具体来说,个人联系方式、个人自然情况和家庭地址是比较容易受到侵害的个人信息内容,所占比例分别为37.20%、20.20%和14.60%。信息泄露、盗用、滥用和伪造等是个人信息安全侵害的表现形式。其中信息泄露的比例最高,是个人信息安全侵害的最基本形式,也是后续非法交易和信息滥用的源头。骚扰电话和垃圾短信则是信息滥用最主要的表现形式。57.1%的受访者每周会偶尔接到骚扰电话,33.0%的受访者每周经常接到类似电话,而48.8%的受访者每周会经常收到垃圾短信。目前骚扰电话和垃圾短信的频率相当高,给市民带来了极大的困扰,亟须花大力气整顿。个人信息安全侵害途径包括网络、商业机构、政府部门等,相对来说,商业机构和网络比较不被市民信任,被认为是个人信息安全侵害的最主要的两种途径。虽然政府机构所占比例不高,但也要引起重视,因为政府机构掌握的个人数据量更大,数据质量更高,万一发生系统崩溃或者政府机构工作人员主动泄露数据,后果不堪设想。
从目前来看,个人信息安全侵害尚未造成大范围的损失。只有8.9%和2.9%的受访者认为损失程度严重和很严重,而36.9%的受访者认为个人信息安全侵害造成了轻微损失,36.1%的受访者认为损失程度一般。笔者认为,这一方面是因为与个人信息泄露等行为尚未形成正式伤害有关,另一方面是部分损失主要是精神困扰,尚未以物质形式加以表现。
与此同时,上海市民个人信息安全意识堪忧。市民主动学习个人信息安全知识的意愿不强,69.0%的受访者只是偶尔关注过信息安全方面的知识,19.3%的受访者则从来不关注这方面的知识;市民对个人信息安全法律法规的认知相当一般,46.7%的受访者认为并不了解中国个人信息安全保护的法律法规;而当遭受个人信息安全侵害后,只有2.6%和1.7%的受访者选择向公安机关报案和进行媒体曝光,这一方面跟信息安全侵害所造成的损失程度不高有关,另一方面与缺少相应救济机构和法律法规也有较大关系,同时还跟市民的信息安全意识较低有关。
密码设置和保护是个人信息安全能力的重要内容。调查中发现,35.1%的受访者使用大部分相同或相似的密码,32.1%的受访者使用少部分相同或相似的密码,5.5%的受访者使用完全相同的密码,这反映了相当部分的市民存在着一号多用的账号和密码现象,密码设置能力有待提高。同时,上海市民具有较强的U盘安全使用能力,其中44.3%的受访者会在查看U盘的信息后再借出,31.0%的受访者从不把自己的U盘借给别人。
全方位打造
个人信息安全保障体系
个人信息安全立法体系不完备,监管机构存在较大空当,事后救济渠道不畅通,个人信息安全普及教育非常缺乏,个人信息安全意识淡薄是上海市民个人信息安全严峻的主要原因。不能仅从技术角度入手,也不能完全寄托于个人信息安全保护法的出台,而应从政府、企业和市民三者出发,来打造全方位的上海市民个人信息安全保障体系。
推进立法工作,对利用个人信息从事非法获利行为进行严惩。世界上已经有70多个国家和组织制定了个人信息保护相关的法律法规,其中美国通过了《隐私权法》、《网上隐私保护法》、《消费者隐私保护法》,欧盟于2012年1月,对1995年出台的《欧盟数据保护法》进行修改,对那些违反该法律的企业将面临最多相当于其全球营业额5%的罚款,日本制定了作为个人信息保护的基本法《个人信息保护法》,同时又分别制定国家行政机关和行政法人等相关法规,对特殊领域的个人信息通过特别法加以规制,构建了相对完善的个人信息保护法律体系,新加坡通过了《个人资料保护法案》,并设立一个个人资料保护委员会,负责执行有关法案,对每项触犯个人资料的行为,罚款最高100万新元(约合人民币514万元)。
中国关于个人信息安全保护的条文散落在各个法律中,但至今尚未出台专门的《个人信息安全保护法》。
2009年2月出台的《刑法修正案(七)》在刑法第253条后增加1条,作为第253条之一。上海市第一中级人民法院5月22日也依据该法律对一起非法获取公民个人信息刑事上诉案件作出终审裁定,犯罪嫌疑人徐某因非法获取公民个人信息28万余条被判犯非法获取公民个人信息罪,并处有期徒刑6个月,罚金1万元。
然而,单一条文并不能涵盖这一罪状的全部犯罪主体,还存在着互联网公司、房地产公司、物业公司、宾馆酒店等掌握个人信息的机构和单位,仍然需要出台相关司法解释,否则孤掌难鸣。同时,今后也不能过于依赖刑法打击,长期来看将会造成相关执法者和执法工作的超负荷运转。现实中让人难以容忍的更多是那些达不到刑事立案标准的侵权行为没受到应有的处罚。
上海在2003年12月23日通过了个人信用信息方面的地方性法规《上海市个人信用征信管理试行办法》,对个人信用信息的采集、处理、提供等作了较为详细的规定。
《上海市促进电子商务发展规定》作为全国第一部促进电子商务发展的地方性法规,对企业在从事电子商务的过程中采集、管理和利用个人信息也进行了相关规定。
鉴于上述这些立法基础,上海可结合当前形势,加紧出台个人信息安全保护方面的地方性法规,对接刑法和民法,对个人信息的界限、采集和处理个人信息的原则、信息主体的权利、相关部门的处罚职权和处罚力度等进行详细规定,比如任何单位和个人不得将提供服务过程中获取的公民、法人和其他组织的信息,出售或者以其他方式非法提供给他人,或者以窃取、购买等方式非法获取上述信息;对重点行业(如金融、电信、医疗、大型互联网企业等)应该提出更严格约束,明确相关责任和惩处措施;任何单位和个人不得购买个人信息。
可喜的是,上海市已启动《上海市公共信息系统个人信息保护管理办法》立法调研,将细化个人信息保护技术和管理要求。上海市经济与信息化委员会正在起草的《上海市信息化条例》将对违反个人信息保护相关规定的行为予以处罚,让侵害个人信息的行为付出更高昂的违法成本。
强化社会各个行业,尤其是掌握着大量市民个人信息的重点行业的自律水平和个人信息安全管理力度。
美国的安全港协议要求所有签字企业或机构在收集信息时或收集前将其收集的信息种类、使用目的等“清晰而明确”地通知信息主体,如果是敏感信息,则必须经由信息主体明示同意方可收集。申请参加该协议的组织必须保证信息主体能够获取有关其个人的任何信息,并有机会更正、修改或删除不准确的信息。
中国互联网协会联合网络营销服务和互联网用户数据研究服务领域的29家企业在2013年4月发布并签署了国内首份《网络营销与互联网用户数据保护自律宣言》,对网络信息收集和Cookie做出约束。
2013年2月1日中国《信息安全技术公共及商用服务信息系统个人信息保护指南》对信息系统个人信息处理过程各个阶段所涉及的行为提出了明确的规范和要求,适用于除了政府机关等行使公共管理职能以外的各类组织和机构,特别如电信、医疗等涉及到我们个人敏感信息比较多的服务机构。虽然该指南属于非强制标准,但可以给有关机构提供个人信息保护手段借鉴,加大信息安全建设与管理的力度,确保一旦收集了市民个人信息,就必须建立一套个人信息安全保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
提升广大市民个人信息安全素养。个人信息安全素养是指在信息化、网络化环境下,个人对信息安全的认识,以及对信息安全所表现出来的各种综合能力,包括信息安全意识、信息安全知识、信息伦理道德和信息安全能力等具体内容。
笔者认为,“人员”因素在个人信息安全保障体系中至关重要。一方面要提高政府、企业和用户对个人信息安全素养重要性的认识,另一方面充分发挥他们在个人信息安全素养培养过程中的作用,通过信息安全教育、培养组织信息安全文化等手段切实提高市民个人信息安全素养。目前上海市民的信息安全知识普及教育存在较大缺口,其中57.5%的受访者从来没有接受过信息安全知识普及教育,25.2%的受访者不定期地接受类似教育,10.6%的受访者在刚进工作单位时接受过类似教育,只有2.8%的受访者定期接受过类似教育。
具体来说,上海各级政府要大力倡导和支持个人信息安全素养普及和提升活动,充分发挥各类媒体,尤其是热门门户网站和都市报等媒体的社会宣传和舆论引导作用,通过贴近市民生活的方式报道个人信息安全侵犯案件的查处和个人信息安全保护的各项措施,唤起广大市民对个人信息安全保护重要性的认识,让市民完成从被动接收信息安全保护知识到主动学习的过渡。
上海是全国率先开展“信息安全活动周”的城市,在提升市民个人信息安全素养方面发挥了一定的作用。但为了更好地扩大该活动的影响力,吸引更多市民参与其中,亟须对前两届活动的效果进行回顾总结和评价,进一步创新活动形式,并与相关媒体建立良好合作关系,委托他们对第三届“信息安全活动周”的筹备、举办和总结阶段进行全程报道。
另外要把国家机关、企事业单位等的工作人员都纳入到个人信息安全素养培养的范围,加强个人信息安全素养培养的师资队伍、教学资源开发工作,推出有针对性的培养计划,并采取生动、形象、简洁的形式不断提升广大市民的个人信息安全素养。
作为个人信息安全素养学习的主体的广大市民则要严格要求自己,主动学习信息安全有关知识,在购买某种产品或服务时被要求提供个人信息,一定要仔细判断是否必需,对于提供诸如身份证号码、手机号码、银行账户等重要信息要格外慎重。
(作者罗力系上海社会科学院信息研究所助理研究员,博士)