調研顯示個人信息泄露近八成源自內部作案--財經--人民網
人民網

調研顯示個人信息泄露近八成源自內部作案

2012年04月19日08:08    來源:《中國青年報》     手機看新聞

  • 打印
  • 網摘
  • 糾錯
  • 商城
  • 分享
  • 推薦
  • 字號
  人物檔案

  高熾揚,工業和信息化部計算機與微電子發展研究中心副主任。

  對話背景

  4月12日,工業和信息化部宣布《信息安全技術:公共及商用服務信息系統個人信息保護指南》(下稱“《指南》”)已編制完成、通過審議,上報至國家標准化管理委員會。該《指南》預計將於今年出台。

  近年來,國務院、銀監會、保監會等多部門已先后發布個人信息保護有關規章近200部,但個人信息泄露案件仍在近期呈集中爆發之勢。在此背景下,《指南》的出台有何意義、還需填充哪些細化標准?立法滯后成因何在?公眾的自我保護訴求及保護意識現狀如何?近日,中國青年報記者專訪了《指南》主要起草人高熾揚。

  中國青年報:如何看待《指南》出台的意義?

  高熾揚:即將出台的《指南》是一個整體的標准、框架。這樣一來,個人用戶和相關機構都有了參照標准,行業主管部門也可以通過這些指標梳理和評價行業的發展現狀。

  《指南》是個人信息領域的國家標准。在這一基礎上,還要根據各個相關行業的性質、需求出台具體的管理要求、技術要求、評估准則。和個人信息打交道的行業包括醫療、保險銀行屋中介、婚戀網站等等。各行業對個人信息保護的需求不相同,標准自然各異。比如對醫院而言,用戶的身高、體重等屬於一般信息,但是在婚戀網站上,這些就屬於敏感信息。所以,未來在基本框架的基礎上,還有很多細節需要填充。

  中國青年報:為何該領域的立法停滯不前?

  高熾揚:我認為,法律出台需要兩個前提:其一是法律條文基礎,這需要法學界和行業主管部門、社會各界的共同認可。目前在這一領域,法律學術上的很多基本概念、立法角度、依據都尚未理清。

  其二是出台時機,即法律的出台是否有需求。個人信息泄露案件頻發、用戶保護訴求增強都是近兩年集中出現的,因此造成了法律的滯后。但我認為,目前立法時機已經逐漸成熟了。我們要防止信息安全問題制約未來信息化的發展。

  中國青年報:也有觀點認為,個人信息保護、採集涉及諸多相關領域和部門。正是各個行業、部門間的利益關系仍未理清,才導致了立法的停滯不前。對此你怎麼看?

  高熾揚:不同的行業、部門必然有各自的考慮和需求,有爭論是客觀存在的。在個人信息領域劃清其各自的權利和義務界限,需要一些時間。

  中國青年報:對一些用戶而言,個人信息泄露會帶來哪些危害,仍是個比較抽象的概念。公眾的防范和自我保護意識仍較弱。你能舉例說明住址、財務狀況等信息泄露會給個人帶來哪些具體傷害嗎?

  高熾揚:比如手機詐騙是常見的犯罪手段。近幾年,這一犯罪手段衍生出了新的方式。犯罪分子在獲得了該號碼用戶的姓名及手機內聯系人的號碼后,往往會用一個新號碼短信通知聯系人:我換號碼了,我是某某某,請惠存。收到這樣的信息后,我們通常不會進一步確認短信的發送人是誰。這樣一來,犯罪分子使用的號碼就替代了原用戶的號碼。

  這只是前期鋪墊。過了幾周后,犯罪分子便會用這個號碼向聯系人借錢。這樣一來,整個詐騙環節的可信度就增強了很多。這個事例僅僅是個人信息泄露危害性的冰山一角。還有許多數目巨大的商業詐騙也都源自個人信息泄露。

  中國青年報:目前,個人信息泄露的主要渠道是什麼?

  高熾揚:在調研中,我們發現近八成的個人信息泄露源自信息所有者的內部作案。但調研還發現,在內部泄露事件中,泄露主體大多是員工個人,而非相關機構。原因在於,對於某一機構而言,出售用戶信息所獲得的回報和因此造成的經濟及名譽損失不成比例。大部分企業還是能夠做好自律工作的。但對於某些個人員工而言,出售用戶信息帶來的收入確實可觀。

  這暴露了一個問題:正因作為信息管理者的相關機構並未有效履行自身職責,才使得技術和管理制度上存在漏洞,導致客戶信息泄露。因此,如何彌補這些漏洞,才是相關機構應當反思的。

  在近年調研中,我們發現作為信息的管理者,一些機構缺乏起碼的防范意識。比如在其內部手機、電腦等電子設備的使用,應當嚴格限制﹔比如存貯個人信息電腦的安裝位置要有所注意,不能屏幕直接沖外﹔比如用戶信息在使用之后,應當做到及時徹底刪除﹔比如應嚴格限制可能接觸到用戶信息的人群,等等。

  中國青年報:在當前技術、法律保護缺失的背景下,個人用戶應當具備哪些防范意識?

  高熾揚:目前,個人用戶對信息保護的訴求很強烈,但保護意識普遍薄弱。比如復印身份証后,我們應當在四周寫上“本身份証用於某某用途”,以防別人拿作他用。對於無用的個人信息,我們應當做到自行粉碎或將重要信息劃去。在被要求填寫住址、年齡、單位、身份証號等信息時,我們腦海中要有所警惕:我需要提供這些信息嗎?比如在商場辦會員卡,其實隻需填寫姓名就足夠了,其他信息理應拒絕提供。

  對個人而言,最為重要的信息包括身份、財產、位置三方面。還有,信息的加工和處理環節,個人用戶無法參與和控制,但收集和刪除環節則是我們可以改善的。
(責任編輯:聶叢笑)

手機讀報,精彩隨身,移動用戶發送到RMRB到10658000,訂閱人民日報手機報。
  • 熱點新聞
  • 精彩博客