近年来,个人信息被泄露和滥用事件大有蔓延之势,甚至已成为社会公害。它所导致的莫名骚扰让人不胜其烦。为了整顿这种社会不良之风,目前已有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。
虽然法规不少,然而由于内容较为分散、法律法规层级偏低,防范信息泄露方面的效果并不理想,需要我们通过认真解读,来将相关法规深入推行下去。以下就个人信息保护三个具有里程碑意义的法律和标准进行一下比较:
从“刑法修正案(七)”到“信息安全技术公共及商用服务信息系统个人信息保护指南”再到“关于加强网络信息保护的决定”(以下简称决定),充分体现了国家整治个人信息泄露思路的演进:事后追责——事中控制——事前预防。
包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信息在内的各种客户信息广泛存在于电信运营商的各类业务系统,其中涉及的人员、设备更是数不胜数。笔者认为要想全面、彻底的保障客户信息安全,一定要以运营化思路在全生命周期维度审视客户信息的流转使用过程,如此才能不留死角的梳理并保护客户信息安全。
电信运营商客户信息保密现状
在2009年中央电视台3•15晚会对某运营商省公司以盈利为目的,大量发送商业广告短信的行为进行曝光后,三大运营商都把个人信息安全、内容安全提高到更受重视的程度。但由于管理归口、要求与业务系统结合不紧密等问题,在三大运营商中普遍存在的问题是针对色情淫秽、欺诈虚假等内容安全问题整治的卓有成效,而针对个人信息安全并没有真正做到构建事前防范、事中阻断、事后溯源的信息安全保障体系。
为了强化个人信息安全保护,十一届全国人大常委会第三十次会议通过了《关于加强网络信息保护的决定》,三大运营商也均表示将严格贯彻落实,确保网络信息安全。
《决定》有利于推动三个创新:一是有利于推动信息保护机制创新。这次审议将明确网络信息泄露和垃圾短信传播各环节的法律责任和义务,必将促进建立跨企业、跨行业的协同处置机制,形成统一监管和保护的信息安全保障机制。二是有利于推动信息安全技术创新。决定草案的审议将有力推动电信运营商在“垃圾短信治理、电子商务平台、防恶意网络攻击”等信息安全领域的技术创新和推广应用。三是有利于推动信息业务服务创新。决定草案不仅提出了对各类信息收集、使用主体的明确规定和要求,也明确了“公民有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止”等监督权,这有利于推动电信运营商提供更加安全的信息业务和服务。
解读《加强网络信息保护的决定》
《决定》在宏观维度对网络服务提供者等责任主体提出了强制要求,具体操作还需相关部委、电信运营商制订大量实施细则,笔者就《决定》在电信运营商客户信息保护方面展开以下分析:
《决定》第一条“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,能够旗帜鲜明地用法律的形式来保护公民个人隐私是我国法制进步的一大里程碑。《决定》全文共十二条,其中有十条都是针对网络服务提供者、其他企业事业单位及其工作人员和任何组织的,其中最为突出的责任主体就是网络服务提供者。
《决定》从公民个人电子信息保护出发,对治理垃圾电子信息、网络身份管理以及网络服务提供者和网络用户的义务与责任、政府有关部门的监管职责等做出了明确规定,体现了管理与发展相协调、规范与保护相统一、权利与义务相一致的原则,兼顾了个人、网络服务提供者和政府等相关主体的权责关系,为保障网络信息安全,保护公民、法人和其他组织的合法权益,维护国家安全和社会公共利益提供了法律保障。
《决定》第二条“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”其中最突出的概念就是“明示”、“公开”,并要征得“同意”。以往电信运营商在个人客户办理业务时,经常收集一些非必要信息,如家庭住址等。为满足《决定》要求电信运营商需裁减收集信息内容并明确告知客户如何使用。
《决定》第四条“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”非常明确的提出了在业务活动过程中对于个人信息安全的保护要求,重点强调了事前采取技术措施的必要性,相比过去只关注事后追责是一个积极的进步。
客户信息泄露途径主要贯穿各系统开发、维护和使用环节,通过对如下图所示角色和信息泄露可能性分析,可以清晰对各系统客户信息安全泄露途径的梳理。
针对可能泄露的途径,要采用管理、技术措施进行风险的有效控制。
广州七洲信息科技有限公司(www.7cit.com.cn)自主研发的七洲黑匣子文档安全管理软件,能有效的防止信息数据的泄密,黑匣子文档安全管理系统为企业级用户提供专业的文档安全管理解决方案。该系统可以有效的对企业中各类涉密文档进行安全保护,对文档整个生命周期的安全进行管理。从文件的创建、存储、使用、流转和销毁全过程进行保护。
