【导语】放眼全球,个人信息已成为今后数字经济中提升效率、支撑创新最重要的基本元素之一。随着数字经济的长足发展,个人信息蕴藏的价值愈发突出。
9月18日,内蒙古2017年国家网络安全宣传周启动仪式上,网络安全传播志愿者在展板上签名。图/本刊图片库
何延哲
中国电子技术标准化研究院高级工程师
洪延青
北京大学互联网发展研究中心高级顾问
近年来,我国政府高度重视数据在经济新常态中推动国家现代化建设的基础性作用。《国家信息化发展战略纲要》明确指出,“信息资源日益成为重要的生产要素和社会财富。”而在所有类型的数据中,由于个人信息能够用于识别特定个人,或者表征了特定个人的行为、偏好、位置等情况,其价值被当做“皇冠上的明珠”。
当下,信息革命的浪潮和全面铺开的数字化使得人们的生产生活越来越与互联网深度融合。在线下的各种场景逐渐搬到网上的同时,个人信息得以挣脱纸面的束缚,直接以比特的形式被海量地记录、传输、存储、使用等。经过数字化、网络化后,个人信息一方面继续保有“单独或者与其他信息结合识别”特定个人的能力,另一方面又能在现代计算和存储能力的支持下,价值得到进一步挖掘和释放。放眼全球,个人信息已成为今后数字经济中提升效率、支撑创新最重要的基本元素之一。
在全面拥抱个人信息数字化和网络化的同时,许多境内外的网络犯罪团伙将目光瞄向了个人信息,已窃取了数以亿计的个人信息,并形成了交易个人信息的地下黑产。因此,如何加强个人信息保护,成为刻不容缓的课题。
现状:四方面推动个人信息保护
法律法规:逐步完善和体系化
近年来,关于加强个人信息保护的法律法规频出。2012年12月,全国人民代表大会常务委员会审议通过了《关于加强网络信息保护的决定》;2013年7月,工业和信息化部印发了《电信和互联网用户个人信息保护规定》;2015年的刑法修正案(九)和2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中进一步加强了对违反个人信息保护要求的处罚力度。此外,2017年6月生效的网络安全法确立了个人信息保护的基本规则,2017年10月1日写入“自然人的个人信息受法律保护”的民法总则正式生效。我国个人信息保护的法律法规正逐步完善和体系化。
其中,网络安全法作为我国首部网络领域的基础性法律,对个人信息保护提出了大量要求,明确了个人信息保护相关主体的法律责任,增强了用户对其个人信息的控制权,提出了对侵害公民个人信息行为的惩处措施。为贯彻落实网络安全法要求,2017年7月,中央网信办等四部门联合开展个人信息保护提升行动之隐私条款专项工作,对微信、淘宝网、京东商城等十款用户数量大、社会关注度高的互联网产品和服务的隐私条款进行评审,督促其按照网络安全法要求,加强个人信息保护。同时,在四部门的指导下,相关企业签署“个人信息保护倡议书”,向全社会发出自觉履行个人信息保护责任的倡议,充分发挥示范和表率的积极作用。
宣传:让自我保护意识深入人心
从2014年至今,由中央网信办牵头,已经连续成功举办四届国家网络安全宣传周活动,该活动的一大主旨,就是以人民群众通俗易懂、喜闻乐见的形式,开展网络安全进社区、进校园、进企业、进家庭等活动,增强广大网民的网络安全意识,提升基本防护技能,在全社会形成人人学安全、懂安全、重安全的良好氛围。通过每年开展的宣传周活动,我们看到,网络安全走近群众的活动得到热烈的响应,广大网民积极咨询,主动参与,形成了全民学习网络安全的氛围,网络安全不再陌生,自我保护意识深入人心。
标准制定:不断完善并发挥指导作用
个人信息保护一直是安全标准制定的重点方向。2016年8月,中央网信办、国家质量监督检验检疫总局、国家标准化管理委员会联合发布的《关于加强国家网络安全标准化工作的若干意见》提出“推进急需重点标准制定”,并明确将制定“个人信息保护”方面的标准列为工作重点之一。
早在2012年,首个个人信息保护国家标准《公共及商用服务信息系统个人信息保护指南》的出台,标志着我国个人信息保护工作正式进入有标可依阶段。2016年,《个人信息安全规范》作为重点标准制定项目已经在全国信息安全标准化技术委员会立项,《个人信息安全规范》标准针对处理个人信息的各类组织,立足于国情、企业实践和国际通行做法,提出具体的保护要求,定位为我国个人信息保护工作的基础性标准文件。目前,该标准已经正式进入报批阶段。同时,与之配套的标准《个人信息安全影响评估指南》《个人信息去标识化指南》已经立项形成草案,我国个人信息保护的标准体系正在不断完善,将在企业个人信息保护的实践中发挥重要指导作用。
治理和打击犯罪:多管齐下取得成效
近年来,在防范个人信息泄露和滥用,加大对窃取、贩卖个人信息等行为的处罚方面,多部门共同出击,多管齐下,取得了一定成效。2016年11月,工业和信息化部出台了《关于进一步防范和打击通讯信息诈骗工作的实施意见》,进一步强化了防范和打击通讯信息诈骗的力度。2016年以来,公安部部署开展网络侵犯公民个人信息犯罪专项行动,破获了上千起侵犯公民个人信息案件。2016年12月,中央网信办发布《国家网络空间安全战略》,其中明确指出“坚持综合治理、源头控制、依法防范,严厉打击网络诈骗、网络盗窃、侵害公民个人信息等违法犯罪行为。”2014年至今,中央网信办统筹协调,联合公安部、工信部等部门开展了“打击伪基站专项行动”“婚恋网站专项整治工作”“网络诈骗举报联动处置工作机制”等活动,有针对性地打击涉及个人信息的违法活动。
策略:应对四大挑战是重点任务
随着数字经济的长足发展,个人信息蕴藏的价值愈发突出,针对个人信息保护工作还面临严峻的形势和挑战。
首先,企业的责任意识还不够,守法意识淡薄。网络运营者、平台服务商为了掌握更大市场主动权,过度收集用户个人信息的情形普遍存在,因内部管理不当造成个人信息泄露和滥用的案例屡见不鲜,未能有效杜绝问题源头,个人信息保护工作仍处于较被动的局面。
其次,网民的自我保护意识还有待进一步加强。互联网应用与用户交互方式日新月异,充满各种“免费”“补贴”“奖品”的诱惑,因个人信息泄露造成的“精准诈骗”手段层出不穷,因用户的自我保护意识不足遭受损失的案例仍在持续上演。
第三,黑灰色产业、网络诈骗屡禁不止。黑灰色产业、网络诈骗等仍然猖獗,顶风作案,也表现出隐蔽性更强、链条更复杂、花样更多、跨国作案等特点,为执法打击带来困难。
第四,网络攻击的及时应对能力还显不足。随着新技术新应用的快速发展,黑客攻击方式多变,重大漏洞频繁出现,给安全预警、防御和应急处置工作带来严峻挑战。
更好地应对上述困难和问题,是深入贯彻网络安全法等法律法规,进一步加强个人信息保护的重点任务。(何延哲 中国电子技术标准化研究院高级工程师;洪延青 北京大学互联网发展研究中心高级顾问)
PC版