前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的个人信息安全法规主题范文,仅供参考,欢迎阅读并收藏。
信息大爆炸时代,信息已经发展成为各行各业、国家的重要战略资源。在政治、军事、经济、文化等各领域中,有效信息的获得、利用和控制对各自领域的发展越来越具有决定性作用。与此同时,信息安全自然成为一个国家、行业、企业必须面对的重要问题,并且伴随着互联网的快速发展,以网络信息为主要形式的信息无处不在,也使得网络信息安全风险无处不在,其危害性无法估量。
可以看出,网络信息技术是把双刃剑,为世界经济做出贡献,也蕴含着不少问题。特别是电子商务在对经济的推进过程中,一是打破了时空的限制,实现资源在全球加速流动,使得资源得到优化配置,提高经济效率;二是电子商务也带来了很多极为突出的问题,给网络经济犯罪提供了网络空间,窃取个人财富、商业机密、国际机密等等。因此,世界各国都开始投入大量人力物力解决网络信息安全问题。一般的做法是从信息安全的法制建设开始着手,制定相关法律法规,完善保障体系,确保信息安全,促进经济稳定健康发展。全球化和电子商务发展越来越降低了国家干预经济的能力,或者说对于经济安全管理提出了更高要求,就网络信息安全方面急需一套完备的法律体系,确保各国家和地区电子商务等网络信息安全,为全球化经济发展创造良好的环境。
近年来,我国信息化得到加速发展,但是依然尚处于初级阶段,在政治、军事、经济、文化等方面取得了巨大成就,但是其背后隐藏着诸多不容小觑的网络信息安全风险,甚至是致命的风险。这也同样要求我国在网络信息安全立法方面及时且具有很强的可操作性。目前来看,我国网络信息安全立法建设明显滞后于网络信息安全的发展需求,更滞后于世界发达国家。
信息安全的实现是一项复杂且技术含量高的系统工程,绝不仅仅依靠制定法律法规就等实现的,还需要与管理、技术甚至道德规范等一系列手段来共同防范和治理。
二、演变与发展
信息安全已经与每个人息息相关,遍及各个领域的各个层面,经历了由浅入深、由表及里、由离散到整体的演变过程。
随着信息技术和互联网在生活、生产等方面深入应用,人们越来越意识到信息除了要有保密性,还要有完整性、信息及其系统的可用性。因此,当前明确提出了信息安全就是要保证信息的保密性、完整性、可用性。
三、信息安全观
从信息安全涉及个人化、社会化和国际化等不同维度,并相互交叉,信息安全观也随之相应发展。一是将国家的领土、人口、资源、政治主权以及经济、文化、社会、科技、环境等综合因素纳入信息安全的视野的综合安全观。二是国家的经济安全,环境安全,信息疆土安全和资源安全等要靠多国的努力来维护的共同安全观。三是表现为安全主体多元化的普遍安全观,即信息安全的主体突破了国家的局限,在以“国家安全”为中心的基础上延伸到全球安全、人类安全、个人安全等。
四、信息安全地位
信息的开放性、共享性以及交叉程度扩大,使得信息安全的影响也越来越大。特别是计算机信息系统成为各领域信息存储和交流的载体,涉及许多重要的决策、商业、银行、证券、能源、科研数据等重要信息,一旦受到攻击,将造成严重后果,有时甚至危及国家安全。信息安全能力是经济竞争实力和生存能力的重要组成部分,是最残酷的无声战场。可见,信息安全问题已经成为国家安全的重中之重。
五、信息安全法的法律地位
法律地位的高低决定了法律体系的结构与内容,关系到法律解决问题的能力和效率。信息安全法有其自身的特殊性,应是国内法的一种特别法,应放在优先考虑地位。
首先,虽然信息安全法所针对的信息安全问题具有国际共性,但是世界各国的发展不平衡和巨大的差异,导致很难在近一段时间内制定出能够解决所有信息安全问题的国际法,可见目前信息安全法尚属国内法。
其次,信息安全法的法律关系主体、时空均有明显的自身代特征,与普通法大不同。其法律关系主体呈现虚拟现实性,信息活动主体多为虚拟身份,例如常说的网络空间;信息活动主体的活动时间具有即时变动捉摸不定的特征,发生变化时间短至零点几秒,给行为核实和判断造成困难。信息活动主体的活动行为实施与行为结果发生经常不在同一地点,跨地区甚至跨过分离,为信息安全犯罪司法管辖权的确定带来困难。可见,信息安全法完全是一部特别法。
再次,我国处于信息化建设的攻坚时期,信息安全问题直接决定了信息化进程。一个完善、系统、高效的信息安全法,亟待出台,以确保信息化顺利进行,具有优先确立的必要性和战略意义。
六、信息安全法的法律关系
法律关系是指法律在调解行为过程中不同主体的权利与义务关系。法律关系是由主体、客体、权利和义务三个要素构成。使用这一理论的信息安全法律关系也是由主体、客体和内容三要素构成,缺一不可。
(一)信息安全法律关系主体
信息安全法律关系主体指其法律关系中的义务承担人和权力享有人,包括获取信息主体、加工信息主体、存储信息主体、传播信息主体,还包括参与信息安全设备、信息安全技术的监管部门等非信息活动主体。信息安全法涉及网络空间,所以还特别将互联网服务商、信息提供商、电商服务商、应用服务商、主机服务商认定为特殊独立的主体,与自然人、法人和国家并列作为信息安全法律关系的主体。
(二)信息安全法律关系客体
信息安全法律关系客体指法律关系主体义务和权利所指向的对象,包括信息、信息技术、信息系统、相关基础设施等,并非一成不变的,随信息化进程深入和信息技术发展不断扩大。
(三)信息安全法律关系的内容
信息安全法律关系的内容指法律关系主体之间的义务和权利内容。
信息安全法律关系主体义务是法律主体依法必须为或不为一定行为的必要性,是对法律关系主体行为的约束,也是保障信息安全权利实现的必要条件。
信息安全法律关系主体权利是法律主体依法所享有的保障信息及信息系统的保密性、完整性、可用性、可控性和不可否认性的权能,是法律主体依法为或不为一定行为,以及要求他人为或不为一定行为的可能性,以及因他人侵权而要求国家保护的可能性。
七、国际信息安全法制建设的经验
(一)保护隐私权
互联网技术为大规模收集个人信息并谋取商业利益提供了便利,并形成了一种信息服务产业。但不规范、不合法的个人信息收集和利用严重侵害个人隐私权,导致消费者对网络敬而远之。所以,保护隐私权是互联网等信息产业发展的最基本法律保障。
(二)保护知识产权
能够以信息形式的商品和服务具有很大的可复制性,对这样一系列的具有产权的信息商品和服务要进行必要的产权保护,以利于保障该领域不断创新发展的公平竞争环境。
(三)建立信息责任制
网络信息时代,每一条信息都会对其他人造成一定的影响,对信息者必须建立规范的信息者和传播者责任机制,提升信息空间质量,建立良好的信息公共环境。
(四)技术安全防范措施
国际社会通过国际联合、区域联合等方式建立一定的技术标准和规范,以此对信息安全进行检测和审查,掌握网络世界的动态,保障网络空间各项事务正常进行,同时也尽最大可能性对关系国家安全、经济安全等重要信息安全隐患做到防范未然。
(五)法律安全防范措施
各国制定相关信息安全法律对公民、企业、国家等主体权益进行保护,并不断完善形成信息安全法律体系。同时,各国不断提升信息安全法在本国的法律地位,确保信息安全法有效实施。
八、我国信息安全法制建设中存在的问题
(一)立法中存在的问题
虽然我国信息安全的有关法律法规在数量上有规模,却未能构成完整的体系,很少成为通用的法律和行政法规,多数属于地方性法规或部门规章,法律效率层级低,适用范围小,尤其是不能作为法院裁判的依据。究其原因是我国尚无一部信息安全的基本法,缺少信息安全立法基本原则。只有有了信息安全基本法,信息安全立法才能有章可循,才能会形成一个系统地信息安全法律体系。在信息安全立法的可操作性方面也有待提升,对信息技术发展趋势和可能存在的安全问题判断滞后,造成相关法律制定滞后或频繁修订。
(二)执法上存在的问题
信息安全执法过程中涉及部门较为庞杂,管理分工和职权划分尚待科学确立,原则上需要多方协同,但是争议不断,效率不高。信息安全执法过程中涉及的技术层面较高,相关的执法人员技术水平有限是限制法律有效实施的重要因素之一。
(三)与其他法律法规的衔接问题
信息安全法律法规是为了服务其他行业健康稳定发展而确立的,必然要在不违背其他行业法律规范的基础上实施信息安全法。这就涉及到信息安全法与其他行业及其法律衔接协同运行问题,如与《票据法》、《合同法》等的交互承认衔接问题。
(四)信息安全立法中的共性问题
信息的虚拟性、网络行为的难确定性使得信息安全立法中度和量的确定问题既是基础性问题,也是难以操作和具有争议的问题。首先是如何确定虚拟的伤害和真实的伤害问题;其次是网络上的行为与现实的行为往往是交织在一起,具有行为发生时间段、异地等一系列无法判定问题。
九、信息安全立法建议
(一)确立立法指导思想
明确网络信息产业发展对我国信息化建设的重要作用;确保为以经济为核心的信息安全提供安全保障;对信息安全立法要具有及时性和与时俱进,甚至超前预判能力,打破信息安全立法滞后严重的问题。
根据信息安全立法的特殊性,改变立法者不懂网络技术,网络技术人又不能立法的局面,信息安全立法始终都要聘请网络技术方面专家全程参与相关法律制定,并长期作为完善和修缮的顾问。
(二)制定信息安全基本法
信息安全基本法是其它信息安全法的重要依据,应明确管理体制、法律原则、基本制度,明确责任和义务。信息安全基本法以《中华人民共和国国家安全法》为原则,对所涉及的主体和客体相关法制关心进行梳理,法律资源进行整合。信息安全基本法要特别考虑整体性原则、发展性原则、协调性原则、可操作原则等重要的基本原则。
(三)完善相关法律法规从
网络所涉及的领域可以看出,信息安全是个大的系统工程,仅凭借信息安全法就能有效地解决各类信息安全问题是不现实的。在完善信息安全法律体系同时,必须协调或督促相关法律法规的制定和完善,比如电信方面、政府采购方面的法律等,共同构成信息安全的法律环境。
首先,从权利的角度看,信息安全与个人很多权利息息相关,主要包括隐私权、通信秘密、言论自由、着作权及相关知识产权,而与隐私权相关的法律是民法通则,与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法,与着作权及相关知识产权相关的法律是着作权法、合同法。信息安全中涉及的单位的权利主要包括着作权及相关知识产权、商业秘密、技术秘密等,而与着作权及相关知识产权相关的法律有着作权法、合同法,与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法。再从国家的角度看,信息安全涉及国家安全、金融安全和保密等,与国家安全相关的法律是国家安全法,与金融安全相关的法律是银行法,与保密相关的法律是保守国家秘密法。
(四)融入国际信息安全法律体系
网络环境中信息流动无国界性,跨国的信息可以数秒获取,可能产生巨大的破坏。可见,信息安全问题是关系各方面的国际安全问题。所以,信息安全法律的全球化非常有必要,更是大势所趋。
互联网金融是在互联网技技术等现代化新兴技术作用下完成资金融通的一种金融服务模式。当前互联网金融的创新模式主要包括了第三方支付、众筹融资、P2P网贷、网络销售基金等,是对传统金融服务的补充,也给传统金融带来不小的冲击。任何新兴事物的发展初期必定会存在诸多不足,甚至是弊端,作为金融创新的互联网金融也绝无例外。先前起步的第三方支付由于监管环境的不断完善,风险从以往的高发态势开始趋向平稳。但与之形成鲜明对比的是,目前互联网融资平台野蛮生长,乱象平生,风险频发。这不仅严重影响了正常的金融秩序,增加了金融风险,也给互联网金融本身带来了负面声誉影响。有关法律法规等监管环境的缺失更是凸显了问题的严峻性。互联网融资活动的乱象已成为目前互联网金融面临的最为突出的风险问题,急需加强对其监管的法律制定。
二、互联网金融安全问题及立法现状
(一)互联网金融安全问题概述
互联网金融的性质包含互联网和金融的双重属性,因此互联网金融安全也兼具了互联网安全和传统金融安全的所有特征,即不仅包含互联网上的信息安全,还包括了货币资金融通的安全和整个金融体系的稳定,同时也就意味着,互联网金融不但面临着传统金融活动中存在的流动性风险、信用风险、市场风险、利率风险等,还面临着由互联网信息技术引起的技术安全风险和技术选择风险等。
在我国互联网金融机构积极服务企业,促进经济发展的同时,随着一些网贷平台跑路、众筹违规集资等事件的发生,互联网金融安全问题逐渐凸显,主要表现在以下方面:
1.信息安全问题突出。手机支付的各类客户端和各类别的互联网交易平台存在多处漏洞,对用户资金安全造成了严重威胁。部分互联网金融机构内控制度不健全,网络安全防护与管理较混乱,对用户个人信息的使用和流转未进行规范,对所收集信息的安全保护不到位,易使用户信息被泄漏、盗用,甚至滥用,造成信息主体的权益受到侵害。
2.欺诈问题频发。在互联网金融市场上,消费者通过网络与经营者进行信用交易,在交易之前,消费者一般通过经营者的金融服务信息进行交易判断,而在此情况下,信息的真实性往往难以辨别,即使某些信息存在虚假,消费者也无法做到去伪存真。仅凭经营者的信息,消费者无法对产品的质地或材质、操作适应性以及售后服务等方面做出全面客观的判断。
3.资金安全问题严重。有的互联网金融P2P平台发放超短期但又超高收益的借款标的;还有一些互联网投资基金类理财工具,以门槛低、收益高、赎回自由等极佳的用户体验优势吸引了众多投资者,然而一旦发起此类投资理财工具的互联网金融机构的货币资金运营出现问题,投资收益甚至投资本金都将直接受到影响。互联网金融平台存在业务不规范,在担保方面可能存在自己为自己担保、风险准备金不足等不健全加大了资金的违约风险,极容易出现坏账导致无力偿还投资者的本息而倒闭。[1]
(二)现行互联网金融安全监管的法律制度不足
互联网金融业务的发展和丰富,给互联网的法律监管提出了更高的挑战。目前,我国目前尚无专门的互联网金融安全法律或法规,主要存在以下问题:
1.互联网金融机构主体资格制度不完善。对互联网金融要实施监管,首先应当明确互联网金融机构的法律地位。当前,我国法律缺乏对各类互联网金融机构的法律地位和经营范围的明确规定,导致各类互联网金融企业业务边界模糊,业务范围混乱。
2.互联网金融市场准入制度不完善。市场准入制度既作为政府管理市场的起点,同时在市场经济条件下也是其他一系列经济法律制度建构的基础。然而,通过对互联网金融市场的考察,我们不难发现,市场准入制度亟待完善。目前的准入制度下,对互联网金融企业从事的业务范围、类型没有任何规范和限制性的要求,导致整个互联网金融行业良莠不齐,而投资者或消费者也常常因鱼目混珠遭受利益损失,对互联网金融市场秩序的正常建立造成了严重阻碍。
3.监管法律制度不健全。金融监管的目的是为了维持金融业健康运行秩序,最大限度地减少金融机构风险,保障投资者的利益,促进金融业和经济的健康发展。在对互联网金融进行监管时,传统的金融监管方式因互联网的虚拟性、开放性、高科技化、无边界性等因素显得力有不及。如目前我国P2P 网贷、众筹融资等互联网金融业务模式仍没有相应的监管办法和制度,部分自我要求较高的P2P 网贷平台和众筹融资平台只能以行业自律规范进行自我约束,因此在同类行业中,平台素质参差不齐,消费者的权益保护存在较大风险隐忧。
三、完善互联网金融安全监管的法律制度保障
高风险性的金融与涉众性的互联网结合,必然使互联网金融比传统金融更具涉众性风险,风险面更广,传染性更强。从风险防范角度看,对互联网金融活动实施监管不仅必要,而且意义重大。对金融活动实施审慎监管,是大多数国家为防范金融风险所普遍采取的做法。纵观国内外,比较欧美等发达国家的互联网金融安全法律制度,对于我国借鉴其经验以及完善我国互联网金融安全法律保障制度具有积极作用,特别是在互联网金融监管法律制度、网络信息安全法律制度等方面的借鉴意义极大。具体可以从以下方面完善:
1.全面重视保护金融消费者的合法权益。互联网金融安全法律保障制度建设重要的目的之一则体现在对消费者的权益保护方面,通过比较,我们可以看到:一是发达国家尤为注重对个人信息的立法保护,尤其是在互联网融入个人生活后,个人隐私的保护更是上升到新的高度;二是强化互联网金融机构的信息披露,确保信息对称;三是畅通互联网金融消费者的投诉渠道,完善法律救助手段,建立救济机制。首先,要制定和提高互联网金融消费者合法权益的立法保护。在制定《金融消费者权益保护法》的前提上不断丰富对消费者权益保护的内容,不断延伸消费者权益的内容和内涵。其次,要遵循适度保护、倾斜保护的权益保护原则。在互联网金融业务中,企业经营者是主体地位,在一定出程度上会削弱消费者的地位,因此,遵循倾斜保护原则是极为关键的。一旦消费者的合法权益受到侵害,就能在最短时间内保护消费者的权益。最后,要明确和拓展消费者权利。互联网金融大环境下,消费者的合法权益必须涵盖了公平交易权、财产安全权、知情权和个人信息保护权等。相对而言,就要求企业经营者要最好其保护消费者权益的义务,包括了安全保障、披露、保护消费者个人信息等业务。[2]
2.建立健全的互联网金融监管法律体系。首先要开展有效的互联网金融基础法的立法工作。相关机构和政府部门要积极吸取国外金融监管的经验,结合本国互联网金融的实际情况制定出完善的法律法规。比如根据我国互联网金融的电子化和网络化发展特点,制定出《电子货币服务法》等法律法规,根据我国网络用户信息保护的问题,制定出《个人信息保护法》等法律。其次,要不断加强对互联网金融专业立法的工作。基于监管,当前我国互联网金融监管的法律工作与业务创新工作相比是明显落后的,也存在如P2P网贷、监管主体、监管原则等方面的问题,需要及时解决。互联网金融开展的业务和传统金融业务在很大程度上是一致的,部分法律法规是可以借用,但是互联网金融监管的科学实施,仍然需要有专业的、针对性的法律法规。如必须出台有关信用体系、个人信息保护、支付用户识别、电子签名等相关的法律法规,确保互联网金融业务是在合法的安全范围内展开的,以此来不断引导和促进互联网金融的可持续发展。最后,做好对已有互联网金融相关法律法规的修订工作。互联网是一个相对自由的环境,其金融环境与传统的金融相比更新换代的节奏更快,因此,对已有法律法规的修订是至关重要的,包括了对法律法规的健全和提升。[3]
1 大数据概述
1)大数据的定义
大数据(big data,mega data),或者称海量数据资源集,是指尝试一种全新处理模式和应用思维方式才来预测行为的发生,提前做出准备应对。因为这种预测准确性高,这种模式需要有更强有力地的决策手段、洞察能力和流程优化方法的大规模、多样化的信息资产,以便更好地适应企业进行经营决策和资源整[3]。
2)大数据的特点
特点如下:第一,庞大的数据量。从TB级别,跃升到PB级别;其次,广泛的数据类型。网络文字、图像、影音、二维码等信息。然后,低密度的价值。通过对数以万计的数据信息进行地毯式挖掘,但有提取的用信息只有一星半点。第四,信息处理速度快。因为使用RapidMiner数据分析技术和Apache Drill查询手段,对数据的处理只需要1秒。
2 信息安全问题在大数据时代中的现状
大数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来。”这是麦肯锡宣称的大数据策略。与此同时,不少人认为,我们现在身处于“玻璃房”当中,周围都是疾速的数据流。如何保护个人信息不被挖掘?当下又该如何使用好大数据这把“双刃剑”是亟待解决[4]。
1)大众非理性的对待
随着智能手机和计算机技术的普及,对数据处理的生活化十分普遍。同时,衍生了网络社会怪现象:网络“晒”信息,微信抢红包和微购物等。生活也渐渐成为了“自我量化”的模式,然而这些习以为常的举动,很有可能泄露你的个人信息,造成不必要的损失。我国处于在传统数据和大数据时代的过渡期,信息泄密事件也随之泛滥成灾。然而这个更迭的时期,个人信息与隐私边界的模糊化,人的自我保护意识逐渐淡薄,促使我们成为隐私度归零的“透明人”。
2)传统安全技术的缺陷
近年来,网络安全论文威胁层出不穷,让企业、个人甚至政府机构等防不胜防。网络黑客们总能对攻击方案进行“创新”,编辑出杀伤力强大的程序设计。从而达到入侵网络服务器获取信息数据的目的[5]。传统的防火墙和杀毒软件只能来应对移动设备端的入侵手段,而无法解决黑客对云端大数据库的攻击。
3)数据价值属性的隐患
由于大数据价值密度低的根本属性,黑客利用这个特点,将制作并编写的攻击型APT代码,并将其安置隐藏在大数据中,使监测的防护软件无法被察觉。然后进行程序运行,但由于其识别代码的迅速性,容易忽略病毒代码,于是将病毒传输到大数据库的云端空间服务器中。然后执行APT代码,开始持续窃取工作并且进行指令整合,通过对用户的细小的相关信息,来挖掘出用户的信息与资料。
3 大数据时代下的信息安全新威胁
1)移动设备的信息泄露
大数据时代移动设备的普及化,app软件的兴起,不少非法广告渠道商与黑客将黑手触及其中,将恶意代码、钓鱼代码和广告植入到官方软件中,然后将其从新包装,并将包装后的软件放置第三方网络应用平台中,随后攻击者假装成用户认识的人,向用户发送短信软件链接,当用户点击广告链接、下载应用软件时,其恶意代码将会启动,被感染的移动设备会对聊天记录、上网记录、照片、性格爱好等个人价值微小信息,并向通讯录的其他人发送相同短信。犯罪分子通过数据的传输把信息窃取出来,然后通过大数据进行的关联性进行深度分析、挖掘和综合利用,导致个人信息的泄露。
2)网络犯罪越演越烈
随着大数据的兴盛,大规模的数据传输和网络数据交易等都是通过大数据的平台来进行的。数据平台的虚构性使得极多的犯罪分子钻其漏洞。其中网络安全问题已经不再是最求眼下利益的破坏,而是损坏大数据下的关联模式,使预测的准确性降低。影响未来的信息安全。
3)云计算的安全管理隐患
云数据中心因大数据时代的来临,数据更加及集中密集,如果这些数据出现问题,无论是丢失还是被篡改,对任何企业都会是一场毁灭性灾难。不少企业对对安全防护的认知还有存在较大的误区[6]。云计算的发现与完善带来了许多急待解决的问题,企业用户的信息安全将面临更加严峻的挑战[7]。有些云服务供应商对登记注册管理不严格导致了造成了云的泛滥、恶意的使用以及对云服务的攻击的严重后果,对于大数据时代的发展产生极为不良的后果,严重干扰了数据的完整性和相关联系[8]。
4 造成大数据时代信息安全缺位的原因
1)自我量化导致安全意识淡薄
如今,数据代表着某事物的描述,这种数据可以进行分析、整合与记录。在大数据的时代,人们开始利用数据的核心属性“量化一切”来对生活进行转换。然而在当“文字转换数据、方位转换数据、沟通转换数据甚至世界万物转换数据”时,人们不会把个体看作成体事物,而是视为一堆数据库的集合时,便会觉得生活本该就是由数据构成[8]。于是就开始将图片信息,个人资料肆无忌惮的公开在网络的大数据,信息泄露的问题也随之降临。信息的泄露,会威胁着人们的信息保密工作[9],但这种泄露手段却是大数据的掩盖下神不知鬼不觉地发生着。
2)黑色产业链中的利益驱使
当大数据方兴未艾时,一些app开发商与病毒的制作者组织在一起进行合作,对一些知名软件做出反编译处理,并在其中插入恶意、广告代码等。然后将这些被处理的软件打包投放到应用市场,当用户点击其中的应用和广告链接时,将会产生一定的推广利益。这是大数据时代下病毒制作者、app开发商与非法广告提供商三者形成的黑色产业链,而这种产业链将会污染大数据的环境,并且会使数据资源出现断层,其关联性被损坏从而引发信息安全问题。
3)安全法规的强滞后性
大数据的信息挖掘十分强大,它可以对网上数据源进行索引,寻得个人的细微信息,揭示其行为规律[10],这使安全隐私问题频频发生。当人们用法律法规去驾驭大数据下的信息安全时,发现法律法规的滞后性,无法满足大数据时代的预测和关联性使信息安全衍生的问题具有多变性。
5 大数据时代信息安全的措施
1)信息安全保护应纳入国家战略资源的保护范畴
数据的运用已渗入了社会生活的各个方面,大数据为国家及时掌握社会动态,分析社会民情,观察社会变化提供了重要的数据来源。例如网上购物的发货地址及其商品的变化,能很好地为国家分析各地的产业经济的变化提供有力的数据,这些数据也属于大数据的范畴,这些数据对于国家有其特殊的战略意义[11]。由此可见,数据之于国家战略的重要性,将其包含于战略资源加以保护尤为重要。“国家网络与信息安全战略下的云”这一明确表述出现于2015年4月15号的中国数据中心大会中,表明对于信息安全的保护已经上升至国家战略层面,这事件对于我国在新形势下对于网络信息安全及个人信息的保护具有里程碑式的重要意义。
2)加强信息安全的立法工作
在新形势下,相较于传统的保护措施及仅从技术层面上加以防范已经不能满足如今的现实需求,从法律层面出发,制定研究能够适应大数据时代下的信息保护法律,才能真正地为信息的保护树立防范之本。许多IT企业的负责人呼吁国家应颁布信息安全相关的法律和加强对信息安全的保护工作,信息安全问题已引起了社会各阶层的众多讨论[12]。这表明信息保护已不再是一个行业问题,而演变为一个与每个人都紧密相关的重要安全问题,这对保护网络安全意义重大。
3)加强对数据的行政监管
在如今的互联网时代,数据显示出了其之前从不具有的巨大价值,某些商业机构运用个人信息数据能通过较小成本博取很高的经济利润,在个人信息安全法律没有制定的今天,某些企业只需要面对较小的违法成本就能换取巨大的经济利益[14]。对于这种情况,我国应制定与其相适应的安全标准,使这种行为始终处在透明的监管环境下,保护个人信息安全及隐私不被侵犯,使对个人数据的使用始终保持在正确的轨道上。2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》指出对于数据的使用,必须要征得信息当事人的明确同意。在对信息的行政监管上,此指南的颁布意味着我国的信息保护工作走向了一个全新的层面[15]。
4)加强对信息安全的技术保护
技术保护是法律保护的具体化、现实化,它将法律保护落实到实质层面,是体现法律保护的有力工具。在相关法律还没有正式实施的阶段,技术保护仍是我们保护信息不可或缺的有效武器[16]。信息技术的发展日新月异,需要我国大力重视信息技术的发展,不断创造及创新,突破新技术,研发新技术,提升我国在信息技术领域的竞争力,为我国的信息保护工作提供牢靠的技术保障。
5)加强行业自律与监管
仅仅依靠国家机关的行政监督仍不能有效保护信息的安全,我们应引入行业竞争,使它们相互监督,这能在最大程度上保护信息安全。所以,国家有关部门应组织相关企业组成行业委员会,制定行业安全标准和条约,明确它们的权利及义务,使相关企业间的互相监督变为现实,成为一个保护信息安全的有效办法。同时,国家有关部门应给予相应的资金及政策支持。
大数据为我们提供更为真实的数据的同时也大大降低了数据获取的成本,这使得我们能更好地服务社会,适应社会变化,改善社会,我们的社会会应大数据而变得更美好[17]。大数据的运用仍有其隐患,它就像把双刃剑,在最大程度上运用它的关联方面的“预测”同时也应最大限度地避免其所带来的风险。这风险就是信息资源的泄露,在运用数据的同时不能忽视对数据的保护。
参考文献:
威胁与挑战与日俱增
2012年,信息安全在全球范围面临的威胁和挑战与日俱增,网络攻击的趋利性和敌对性愈发明显。
在我国,特定行业专用应用安全产品市场快速增长,随着行业信息化的全面应用和两化融合的深度推进,面向国民经济支柱产业如公安、金融、工业、医疗领域信息系统面临行业特定的安全标准和安全问题,以二代身份证、PBOC2.0金融IC卡、工业控制系统和电子病历为代表的特定行业专用应用安全产品市场快速增长。同时,随着云计算、物联网等新技术新应用的快速发展,面向云计算的应用安全、移动安全特别是移动终端安全需求增长成为产业新亮点。
2012年,随着国家在科技专项上的支持加大、用户需求扩大、企业产品逐步成熟和不断创新,信息安全产业依然处在快速成长阶段,产业规模达到216.40亿元,比2011年增长20.9%。信息安全产品主要包括以硬件为主的信息安全产品及解决方案、以软件为主的信息安全产品及解决方案以及安全服务。2012年信息安全硬件所占比例有所下降,但仍然占据最大比例,达到53.8%,信息安全软件和安全服务的比例分别为38.2%和8.0%(图1)。
未来3年,产业发展的驱动力仍然强劲,政府高度重视信息安全、用户法规遵从要求越来越高、企业实力逐步增强、产品更具自主创新性并且更加多元化。2015年,中国信息安全产业规模将达到385.59亿元,未来三年的年均复合增长率为21.2%。
展望未来趋势
在市场需求趋势方面,信息安全最大的特点及行业发展的核心驱动力就是“问题就是机会”,目前全球网络威胁有增无减,网络罪犯愈发趋于专业化,目的愈发商业化,行为愈发组织化,手段愈发多样化,罪背后的黑色产业链获利能力大幅提高,互联网的无国界性使得全球各国用户都避之不及,造成的损失也随着范围的扩散而快速增多。
面对严峻的安全形势,信息安全成了人们的迫切需求,政府、用户、厂商等各方对信息安全重视度逐渐提高。在产品和技术趋势方面,来自新兴应用领域的安全值得引起更多关注:
第一,云计算应用带来的安全威胁正在扩大。随着云计算的快速发展,安全变成云服务不可或缺的部分,计算和数据资源的集中化带来了应用安全和数据安全的新问题。云计算环境下,所有的应用和操作都是在网络上进行的。用户通过云计算操作系统将自己的数据从网络传输到“云”中,由“云”来提供服务。
因此,云计算应用的安全问题实质上涉及整个网络体系的安全性问题,但是又不同于传统网络,云计算应用引发了一系列新的安全问题。从云计算应用的服务对象来看,主要涉及公共云应用安全、私有云应用安全及混合云应用安全;从服务层次来看,主要涉及终端用户云应用安全和云端的安全,如基础设施即服务(IaaS)安全、平台即服务(PaaS)安全、软件即服务(SaaS)安全、虚拟化安全等。数据安全包括数据完整性、数据保密性和抗抵赖性等问题,风险不仅来自于数据丢失的隐患,还来自法规的冲突,例如法规要求对存储数据进行加密,但用户如何知道云计算服务提供商是否进行了加密,对于跨国界云服务应该适用哪种法规等。
第二,移动终端普及加速,移动安全市场将进入快速发展期。以智能手机、平板电脑为终端的移动计算,正在从个人消费市场逐步向企业应用市场推进。随着智能手机等移动终端的飞速增长,移动互联网日益普及,催生了各类移动应用的诞生,与此同时新的安全威胁也随之而来:垃圾短信、手机病毒、窃听软件等恶意程序对个人隐私、财务信息甚至企业商业机密构成威胁。使得移动互联网时代面临更多新的安全挑战。对用户而言,用户在移动终端上使用移动电子商务、移动办公、即时通信等应用,会有大量的重要数据流,黑客等信息窃取者将关注这一平台,安全问题成为重要话题。
对于移动互联网本身,作为定位于开放的信息承载网络,向固定用户和移动用户在内的所有用户提供IP电话、电子邮件、Web业务、FTP业务、电子商务等业务、WAP业务、基于位置信息的业务、短消息结合业务等具有移动特色的因特网服务,移动互联网自身的安全性越来越受到重视。移动互联网带来的通讯安全挑战包括垃圾短信、欺诈短信、骚扰电话、欺诈电话、响一声吸费电话、恶意网址、钓鱼网站、未经用户许可的联网访问等。
而从国家层面,通过移动终端多样化的获取敏感信息方式,再辅之于强后台的同步分析,很容易获取国家的社情民意、舆情动向。这就让中国对信息资源生产、传播和监管的能力面临严峻挑战。针对用户、网络和国家安全层面的移动信息安全技术必须要引起关注。
第三,移动云服务和大数据分析应用将凸显个人隐私问题根据。由于网络传播的广泛性,一旦个人信息泄露,将有可能造成非常严重的后果。与现实物理世界不同的是,虚拟世界每个人的身份是以数字代码的形式体现的,个人信息,包括能够对主体构成识别的各种信息,例如姓名、住址、出生日期、身份证号码、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动、照片等等。
针对网络营销中存在的一些问题,不仅要从技术手段上进行防止,更要从法律上面进行建设。市场的健康有序的发展和运行需要一个良好的法制环境。我国目前在网络营销和交易上的立法还较薄弱,法律的不完善是制约我国网络营销的一大瓶颈。因此应尽快完善立法,建立有序的网络市场。
加强信息安全的立法,制定相应的法律、法规打击利用网络技术手段收集、窃取企业和个人信息,并利用这些信息进行非法牟利的行为。完善经济合同法,保护企业和消费者的交易行为,避免消费欺诈的发生。加强知识产权保护的立法,保护个人和企业的信息权益和无形的资产,规范网络信息收集、加工、行为,以消除网络营销中虚假、泛滥、冗余的信息。
(二)建立信息可靠性级别
针对网络营销中存在大量虚假和失效信息的现象,可以通过建立信息可靠性级别的认定和审查的制度。规范企业和个人信息的行为,用以增强消费者对网络信息的信心。对能够真实、有效信息的企业和个人进行肯定,以提高企业信息和维护的质量。组织行业协会,定期网上商家信息的可靠程度情况,就好像酒店的星级评比,有一个统一的标准,这样就在很大程度上,减少了消费者对不可靠信息的担忧。
同时建立虚假信息的举报和监督机制,依靠广大网民的力量建立网络信息秩序。在从事网络销售的网站上通常商品评论,商品评论给了消费者充分的话语权,加强了消费者与企业之间的互动,有助于用户选择商品。CNNIC的调查表明目前超过一半的网购用户表示买每种商品前都会看相关商品评论,已有近8成的网购网民买大多数商品前都会看看商品评论。购物网站的商品评论管理良好与否会成为影响网民购物的重要因素。目前已有部分购物网站非常重视商品评论,采取了各种措施鼓励网民发表商品评论。可见采取群众监督的方式能够有效规范企业的信息行为,提高信息的可靠性。
(三)提高产品和服务的信息化程度
网络营销的优势归根到底是信息传递、处理上的优势。互联网的虚拟性使得消费者在购买行为发生前无法像传统的交易行为那样对产品和服务以及提品和服务的企业和个人有一个完整的认识。因此企业在网络营销中应尽可能运用各种技术手段增加产品和服务的信息量,从而增加消费者对产品及服务的认识,提高消费者对产品和服务的认同度,减少消费者对产品和服务的歧义,进而提高消费者的满意度。
(四)加强企业品牌建设
互联网金融同时具备互联网本质与金融本质,互联网与金融的融合使其既包含了互联网操作安全风险又包含了传统金融风险。这双重风险使得互联网金融具备了多元性、复杂性与连锁传染性的特征,这些特征促使个人与企业资产交易金融发挥串联作用的互联网金融,在运行过程中一旦遇到风险,便会影响到整个链条的安全。因此,有必要对互联网金融存在的风险进行分析。
(一)互联网金融中的信用风险
信用风险即人们在进行资金借贷交易中,借款方没有按约定进行还款的风险。在传统的金融体制中,金融机构会对借款方采取信用评级制度,在进行实际调查研究与分析,判断借款方的信用情况,再进行发放贷款的决策。将互联网融入到金融之后,使金融交易打破了常规的地域与交易人员的界限,为很多预贷款人提供了机遇,但是同时也加大了金融风险的发生概率。由于互联网金融在征信管理系统方面不完善,存在很大的漏洞,在交易双方约定中出现违约时付出的成本也较低,促使风险概率的提升,以当前P2P网贷模式为例,在这种网贷模式中,借款方因无力偿还而逃避还款责任的情况比比皆是,还存在一种情况是借款方在还款任务还没有完成时便退出了借款机制,不再履行还款义务,在这种情况下P2P平台发生倒闭的情况也很常见。
(二)互联网金融中的操作风险
互联网金融操作风险即金融机构企业员工在进行计算机网络操作过程中,由于各种因素操作不当或者没有按照内控制度操作造成的金融风险。在互联网金融机构中必须要针对这些缺陷因素及时进行控制与改进,必须要加强对操作风险识别、评估与监控体系的建设,才能使互联网金融机构避免遭受操作风险的影响。另外,进行互联网金融操作的另一部分主体是客户,这很难保证操作的规范性,一旦出现不按照规范进行操作的情况很有可能造成资金的损失。随着互联网技术的迅速发展,人们对于互联网的需求越来越高,一些不法分子利用了消费者对互联网需求的心理需求,建立能够获取消费者个人信息的WIFI热点,从而盗取消费者的资金。
(三)互联网金融中的信息安全风险
在大数据信息时代背景下,互联网系统中存储着全面的个人与企业的基本资料信息与信用信息,互联网金融机构对于客户个人信息没有制定规范的使用约束机制,无法为客户信息安全提供有力保障,使客户信息被盗用的情况屡见不鲜,使信息存在安全隐患。个人信息的泄露对于客户的生活与生产经营都会到来不便与影响,甚至造成经济损失;信用信息一旦被人恶意盗用,会影响客户信用评估的公正性,使客户信用风险的危害加大。
(四)互联网金融中的法律法规风险
互联网金融由于机构的一些业务内容不符合我国法律法规的规定,得不到法律保护,使互联网机构存在亏盈风险。造成这种现象的原因是由于现有法律法规的滞后性,满足不了互联网金融的创新需求,首先,现有的法律法规没有明确互联网金融交易中交易主体之间的权利与义务,造成交易主体的权利与义务模糊不清,给互联网金融稳定发展带来比负面影响;其次,在我国互联网金融起步较晚,发展的时间比较短速度却十分迅速,使得现有的法律法规跟不上其发展的步伐,无法满足互联网金融的发展需求,造成一旦出现利益纠纷无法依据法律进行解决。
二、关于互联网金融风险防范与控制的对策
(一)将风险管理体系进行全面完善
完善的风险管理体系对于信用风险是十分重要的。首先,互联网金融机构在原有的内部控制机制的基础上进行全面的完善,风险管理制度也要进行完善,针对控制机制与风险管理制度设立专门的风险控制部门,使机制与制度能够真正发挥作用,从根本上控制风险的发生;其次,我国征信系统都是以央行的数据为基础依据的,应该对其建设进行完善,利用现代化科学技术将评价与信用管理机制统一化,有利于互联网金融业务的顺利开展。
(二)全面控制操作风险的发生
首先,消费者在自我防范意识方面要加强。消费者个人的信息不可随意暴露在各种网站上,包括身份证信息、银行卡信息等,使安全意识成为消费者自身的防范武器;其次,互联网机制应该对企业员工进行系统的培训,以提高他们的操作水平,避免因流程管理出现风险与经济损失,并对操作风险的识别、评估与控制体系进行完善;最后,各个有关机构应该对消费者进行安全意识教育与宣传。
三、关于互联网金融的法律体系进行完善
我国目前还没有健全的互联网金融法律体系,需要相关部门进行完善。首先,对现有的关于互联网的法律法规进行重新整合,依据互联网金融自身的特点将互联网金融交易主体中责任与权利进行明确等;其次,在现有的有关互联网金融的法律法规基础上进行完善,修订出健全的配套法律体系;最后,将有利于互联网健康发展的互联网公平交易规则、消费者权益保护与安全法规等执行法规进行补充定制。
1.1网络信息遭受恶意改变
位于网络上的计算机遭受黑客入侵,存储在上面的信息收到非法篡改,是当前网络信息安全威胁中最常见的一种。导致此问题发生的主要原因是部分组织或个人,因为经济利益或其它原因,利用计算机网络技术非法登录他人计算机,对其中的信息予以按自己的需要进行修改。互联网信息传递的便利性和网络结构的多样性,给不法人员入侵网上计算机带来了许多便利条件,特别是这些不法人员对计算机使用者的信息有了一定掌握后,更加容易入侵计算机成功。信息被篡改后,计算机用户难以在第一时间发现,从而给正常工作带来负面影响。
1.2计算机存储信息遭受窃取
计算机强大的运算处理功能使其在各行各业都有着广泛的应用。许多政府机关、企事业单位及个人都使用计算机处理重要信息。一旦这些信息遭受窃取,极有可能引发重大经济损失、安全事故和社会稳定事件。每年都有因为计算机重要信息被盗或被篡改事件发生,虽然最后得以平息,但给国家、社会和个人造成的重大损失难以计数。计算机网络信息安全已经成为世界各国政府高度重视的安全工作之一。
2当前我国计算机网络信息安全发展状况
我国计算机网络技术起始于二十世纪,进入二十一世纪以来实现飞速发展,但和国外先进国家相比还存在很大距离,特别是在网络信息安全方面,存有着很大的不足。
2.1计算机软件自身的缺陷
由于计算机网络技术水平的原因,我国计算机软件在安全性能方面还有很长的路要走。计算机软件自身的缺陷和漏洞是我国计算机网络信息安全隐患中最大的问题。我国人口基数大,计算机用户的数量极为庞大,从而使计算机网络信息安全管理面临的困难更大。
2.2计算机产业整体水平不高
我国计算机网络技术水平在一般应用方面已经和国际水平相接轨,但在高端技术方面,比如在中央处理器和计算机操作系统方面,产业基础仍然比较薄弱。许多计算机关键技术都要从国外引入,计算机产业普遍缺乏核心技术的知识产权。在这一点上,我国和世界先进国家的差距是极其明显的。
2.3高精尖人才匮乏
人是事业发展的核心要素。二十一世纪的竞争是人才的竞争。我国计算机产业虽然发展迅速,但在专业人才培养方面还较为落后。尽管许多大专院校设立了计算机相关专业课程,但经过这些学校培育出来的人,一是数量有限,无法满足我国计算机网络产业的巨大需求;二是多数人仅是对计算机某一方面有着基础的认识和理解。对计算机高端技术有着深入掌握和对整个计算机产业发展认识全面的高精尖人才极度匮乏。这使得我国计算机企业在和国外同类企业进行竞争是往往要落在下风。随着全球经济一体化进程加快,我国计算机企业所面临的市场竞争压力急剧增加。
2.4配套法律法规不到位
我国计算机产业正处于发展阶段,在法律规范方面刚刚起步,许多方面还不完善,尤其缺乏具体执行的细节和措施,比如《电子商务法》、《个人信息保护法》、《网络信息加密与安全法》等具体法规还不够细致,缺乏可执行性。随着计算机网络产业在国家经济建设中发挥出的作用日渐显著,政府对于计算机网络的重视程度越来越高,相关管理规范和配套法律、法规也在迅速制定和实施之中。
3从计算机应用层面实施的网络信息安全防范措施
网络是计算机个体的集合,通过改进计算机应用质量,可以有效提高网络信息安全水平。
3.1身份验证技术
用户管理是计算机安全防护的第一道屏障。通过对计算机使用者身份确认和管理的强化,最大限度避免黑客入侵。身份认证技术是当前计算机用户管理领域的一项重要技术,通过对若干个用户参数的验证,从而确认计算机使用者的合法身份。身份参数认证,包括对参赛准确性、有效性和真实性等多个方面的验证。一般情况下,是将计算机使用者个人的某些生理特征作为验证参数,从而保障其安全性并降低重复性。该技术实施成本很高,技术难度较大,现阶段难以普及。所以,当前普遍使用的身份验证技术是以密码为保密手段的。
3.2信息加密技术
计算机信息加密技术,是在传统信息加密技术的基础上,通过现代高科技计算机技术对存在于网络中的信息进行加密,从而保障其安全可靠的方法。当信息进行过加密后,还会通过安全认证等信息安全机制进一步做好信息安全防范,从而保障电子信息的完整性和保密性。现阶段普遍实施的加密技术主要分为2种:对称加密和非对称加密。在实际工作中,要根据具体条件选择合适的加密方法,充分发挥信息加密的作用,确保信息安全。
3.3防火墙技术
防火墙是计算机和网络之间的重要安全防护措施。上网计算机设置防火墙的意义在于对传送给计算机的信息的通过状态进行检测,根据预先设置对数据包进行过滤以及服务器的使用等,通过上述措施对计算机与外部网络信息传输安全加以管控。
3.4防病毒技术
计算机病毒是当前计算机和网络应用所面临的最常见、也是最主要的威胁种类。由于计算机病毒具有可传播性,通过网络能够迅速蔓延到其它计算机,将破坏范围不断扩大。因此,要保障网络信息安全,就必须加强计算机病毒防治措施。当前常用的方法是通过计算机软、硬件安全措施搭建起计算机网络信息安全体系,最大限度地降低病毒的入侵,并对一入侵病毒加以消除。
4结束语
一、该起案件的基本案情
2011年至2012年4月份,被告人李某某在互联网上认识网名为“山东天网”的人,李某某根据“山东天网”提供的手机号码,与在汝州移动公司广成西路自建营业厅工作的被告人杨某某联系,查询该手机号码机主姓名和身份信息,而后让洛阳办假证的人根据该机主身份信息办理或自己制作假身份证,再让被告人许某某持假身份证到机主开户地的移动营业厅以补卡名义将所需要的手机卡补办出来,并用移动公司发出的随机码上网查询机主通话记录、话单等信息,后再将该通话信息卖给“山东天网”等买主,每张手机卡牟利700至1000元。2012年2月至2012年4月份,被告人李乐乐自制假身份证11张。2011年4、5月份至2012年4月份,被告人杨某某先后将在电信工作中获取的公民个人信息30余条提供给李某某。2011年8月至2012年4月份,被告人许某某帮助李某某在河南郑州、山东济南等地用假身份证补办他人手机卡十四张,致使郑州机主张某等人手机通信故障,影响其正常生活。
本案中,李某某为谋取非法利益,在非法获取公民个人信息的过程中,实施了购买伪造身份证和自己伪造身份证的行为,其手段行为同时涉嫌伪造居民身份证罪,两罪之间是牵连犯关系,根据牵连犯择一重罪处罚原则,按照两罪中处罚较重的定罪,因此李某某的行为构成伪造居民身份证罪。
二、本起案件暴露出电信部门管理上的漏洞
二十一世纪是互联网时代,现代通讯技术极为发达,人们在享受信息技术带来便利的同时,也面临着通讯信息被窃取、个人隐私被泄露等风险。透析本起案件,不难看出三名被告人之所以能够成功实施犯罪,与电信部门管理上存在的漏洞有很大关系,主要表现在两个方面:
一是电信部门最基层的员工无需履行任何手续,就能获得客户信息。本案中,被告人杨某某只是汝州移动公司的一名普通员工,其仅利用自己在汝州移动公司工作的便利,无需经主管、经理同意,就能查询到所提供手机号码的机主姓名和身份信息,完成了本起犯罪的第一步。杨某某的行为暴露了非法窃取公民个人信息犯罪的一种常见模式,就是电信部门工作人员利用工作便利,违反国家规定,将提供服务过程中获得的公民个人信息,出售或者非法提供给他人。本案中,虽然“山东天网”购买个人信息的用途尚不明确,但据调查了解,这类案件频发的一个重要原因就在于一些犯罪分子以“市场调查中心”、“信息咨询公司”的名义从事调查个人隐私、代人追讨债务等违法犯罪活动,而这些业务需要以获得被调查者的个人信息为前提,于是他们就联系电信部门工作人员,通过支付好处费、提成、贿赂等手段,让电信部门工作人员查询、修改个人信息,然后提供给不法分子。由于电信部门对客户个人信息的保护程序性手段过于简单,以至于电信部门最基层的员工轻易就能获得客户信息并进行盗卖,使客户信息处于极大的不安全之中。
二是持伪造的身份证件就能轻易补办卡品。本案中,李某某获取手机号码的机主姓名和身份信息后,先根据机主身份信息委托他人或自己制作假身份证,然后让被告人许某某持假身份证到机主开户地的移动营业厅,以补卡名义将所需要的手机卡补办出来,进一步获得机主通话记录等信息,之后将通话信息售出,完成犯罪第二步。许某某持伪造的身份证,在全国各地次次补卡次次成功,电信部门在补办卡品时是否对许民伟的所持的假身份证件进行了审核,如果进行了审核,那么他们究竟是怎样审核的?为何一张张假身份证就能蒙混过关?众所周知,第二代居民身份证早在几年前就已经启用,如今在车站、码头、机场、宾馆等场所均已安装并使用了身份证真伪识别系统,伪造的身份证在这些场所很容易被识别出来,而在对客户负有重要保密责任的电信部门,持伪造的身份证件轻易就能补办出一张手机卡品,这不能不说是电信部门管理上的一大漏洞。
三、产生上述漏洞的原因及对策
电信运营企业在管理上出现上述漏洞的主要原因表现为以下几个方面:
一是电信运营企业对客户信息保护重视不够。多数电信运营企业虽将客户信息列为商业秘密,但仅是从维护本单位经济利益的角度加以管理和保护,维护客户合法权益的意识还存在不足。
二是电信运营企业对员工缺乏法制教育,制度约束不力。电信运营企业对内部员工业务培训较多,但对员工法制教育较少,没有使员工充分意识到泄露客户信息的行为是违法犯罪行为。电信运营企业内部虽然规定了对客户信息保密的规定,甚至有的电信运营企业与员工签订相关协议,严禁员工对外泄露客户个人信息,但相关规章制度中仅有禁止性规范,缺乏责任条款,约束力凸显不足。例如,近年来,中国移动曾先后从管理、技术等多方面采取措施保护个人信息,并在全国组织开展客户信息安全法规和管理要求的学习活动,提升安全意识,提高专业能力,全员行动保护客户信息安全。但各级移动运营商具体贯彻落实情况如何,从这起案件中便可见一斑。
三是对客户信息的保密缺乏制度上的保障措施。首先,没有建立客户信息查询权的审批制度,致使最低层级的员工也可以获取海量的机主信息、通话记录。其次,没有建立客户信息查询报备制度,电信企业任何一个工作人员均可查询客户信息,但查询的客户名称、时间、用途、信息量的大小等内容,均没有建立相关的档案进行存档备查,致使发案后很难寻找信息泄露源头。再次,没有建立客户信息查询事后监管制度。电信企业工作人员查询后可能给客户造成的后果,以及造成后果应当由谁进行监管,缺乏一套完善的机制进行管理。
四是电信运营企业与客户缺乏沟通交流。客户在进行登记时,通常会留下本人的通信方式,电信运营企业的工作人员在查询公民个人信息或者为客户补办卡品时,如果能够及时和客户取得联系,将查询或办理情况及时告知被查询的客户,那么客户完全可避免损失。
五是电信运营企业对合作伙伴缺乏约束。电信企业为发展运营,往往采取加盟、联营、合作等模式扩大企业经营,在上述运作过程中,电信企业的合作伙伴及其工作人员在工作过程中会接触到大量的公民个人信息,若对合作伙伴疏于制约、防范,这些合作伙伴也可能会泄露公民个人信息。
针对电信企业管理上存在的漏洞,笔者建议应从以下几个方面进行完善:
一是加快公民个人信息保护立法。我国现有法律对侵害公民个人信息的行为并非没有规制,但总体来看,这些法律规章过于原则、缺乏可操作性,比较零散、缺乏系统性,同时还存在保护范围狭窄、缺乏统一主管机构等不足。因此,设立专门的、完善的保护公民个人信息法律,明确公民个人信息使用过程中的相关权利、义务,对泄露公民个人信息的各种行为设定相应的法律责任是我们目前急需解决的问题。
据了解,目前世界上已经有50多个国家和地区制定了个人信息保护相关法律法规,我国近年来也启动了个人信息保护的相关工作:《个人信息保护法》草案已呈交国务院;工信部中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
【摘要】
电子政务的发展需要技术、观念、经济和法律环境的配置。作为发展电子政务的基础环境之一,法律对电子政务的发展起着重要的保障和规范作用。世界主要发达国家为了促进电子政务的发展,都先后出台了一系列促进电子政务应用的法律规定。我国由于电子政务发展较晚,有关电子政务方面的法律规范制定也相对滞后,在一定程度上制约了电子政务的发展步伐。我们应当在深入分析研究的基础上,借鉴电子政务发达国家的经验教训,结合我国的实际情况推进电子政务的发展,扬长避短以促进我国电子政务健康有序地发展。
【关键词】
电子政务;法规政策;立法原则
“电子政务”是由“Egovernment”意译而来,这一概念最早由美国前总统克林顿于1993年提出。他之所以提出这一概念,一是为了适应网络经济发展的需要,政府必须改变其职能和运作方式;二是为了实现建立以公众为中心的政府改革目标,希望通过实施电子政务减少“橡皮图章”,加速政府对公众需要的回应,让美国公民能更快捷、更方便地了解政府和扩大参与的机会。
电子政务,是指政府机构在其管理和服务职能中运用现代信息技术,实现政府组织机构和工作流程的重组优化,超越时空和部门分隔制约,建立精简、高效、廉洁、公平的政府运作模式。电子政务的建设并非一帆风顺,会面临各种各样的问题,在经济合作与发展组织(Organization for Economic Cooperation and Development,OECD)列举的电子政府外部障碍中,法律障碍高据第一位。因此,电子政务能否成功,在很大程度上取决于政府能否提供一个适宜的法律架构。我国正处于电子政务发展的初期阶段,了解和借鉴其他发达国家在促进电子政务发展方面的立法经验,对于推进我国的电子政务建设和相关立法工作具有重要的意义。
一、国外电子政务相关立法概述
(一)美国的电子政务立法
美国是世界上最先提出建立电子政府的国家,也是到目前为止全球电子政务发展水平最高的国家之一。据统计,美国共颁布了与电子政务有关的法律法规40多部。其中最主要的有:《计算机反欺诈与滥用法》、《政府绩效结果法案》、《电信法案》、《电子信息自由法修正案》、《克林格科恩法》、《电子签名法案》、《因特网税务自由法案》、《数字著作权法》、《政府纸质文书消除法》、《电子政府法》、《反垃圾邮件法案》、《电子政府法案》、《电子信息自由法案》、《个人隐私保护法》、《削减文书法》、《消费者与投资者获取信息法》、《儿童网络隐私保护法》、《电子隐私条例法案》、《电信法》、《计算机保护法》、《网上电子安全法案》、《反电子盗窃法》、《计算机欺诈及滥用法案》、《网上禁赌法案》、《统一电子交易法》、《国际国内电子签名法》、《统一计算机信息交易法》、《网上贸易免税协议》、《千禧年数字版权法》、《反域名抢注消费者保护法》等。
(二)新加坡的电子政务立法
新加坡是全世界最早推行“政务信息化”的国家之一,也是全球公认的电子政府发展最为领先的国家之一。新加坡从1981年就开始发展电子政务,1986年推行“国家IT计划”,1989年开始建设科技岛,1992年提出IT2000计划,提出建设智能岛目标,实施网络化计划,目的是引进先进的网络技术,以加强国家行政部门的计算机化,力争向公众提供一站式、快速便捷的集成式服务。
为配合这些计划的实施,新加坡出台了一些相关法规政策,其中的内容与电子政务密切相关,主要包括:《计算机犯罪法》、《版权法修正案》、《远程医疗法》、《数字签名法》、《通讯与多媒体法》、《电子交易法》、《个人数据保护法》、《电子政府活动法》、《政府采购法案》、《滥用计算机法》、《电子政务行动计划》、《新加坡当局电信法》、《网络行为法》、《全面电子商务法》、《信息安全指南》、《电子认证安全指南》、《知识产权综合法案》、《网络内容指导原则》和《反垃圾邮件法》等。
(三)欧盟的电子政务立法
欧盟的具有法律效力的政策规定、法律法规、规划指令主要包括:《个人数据保护指南》、《信息社会版权及相关权利绿皮书》、《电子签名统一框架指令》、《电子商务的立法指令》、《电信部门的数据保护指令》、《电信部门的隐私保护指令》《电子欧洲2005行动计划》、《公共部门采购指令》、《电子政府政策》、《电子通讯法规框架》、《欧洲网络与信息安全机构设置规则》、《国家电子政府协同框架》、《网络安全议案》、《关于在信息高速公路上收集和传送个人资料的保护》、《远程消费保护指令》、《协调信息社会定著作权和著作邻接权指令》、《关于数据库法律保护的指令》、《卫星广播指令》、《软件保护指令》、《网络个人隐私保护的一般原则》和《著作权、出租权指令》等。
欧盟是多国家的联合,在这个联合体中,有相互承认和遵守的电子政务方面的共同规则,但是国家也保留有自己的法律制度。在欧盟统一法律规范的指导下,各个国家根据各自的实际情况,制定了旨在促进本国信息化发展的法律规范体系,如英国2000年的《电子通讯法》、爱尔兰的《电子商务法》、德国1997年的《信息与通讯服务法》和《数字签名法》,意大利的《数字签名法》和2000年的《电子信息与文书法》等。
(四)日本的电子政务立法
从上个世纪90年代末以来,日本政府为推进电子政务的发展,于2000年3月正式启动了“电子政务工程”,制定和实施了范围广泛的法律法规,初步形成了一个与电子政务发展相关的法律体系,其中主要包括:《著作权法》、《电信行业法》、《行政机关信息公开法》、《促进政府部门利用信息技术总计划》、《电子商务准则》、《电子署名及认证业务法》、《个人信息保护法》、《信息技术基本法》、《政府记录管理指导方针》、《关于为犯罪搜查而进行通信监听的法律》、《关于电子签名以及认证业务的法律》、《行政程序中与信息通信技术之应用有关的法律》、《关于保护行政机关保留的个人信息的法律》、《关于保护个人信息的法律》、《政府采购协定》和《电子投票法》等。
二、国外电子政务立法比较
(一)国外电子政务立法的相同点
1.各国对电子政务立法的重视程度相同
美国、新加坡、欧盟和日本普遍重视法律的作用,并通过大量的立法与修法活动为电子政务的发展提供法律保障。除了法律手段之外,这些国家和地区还能综合运用其他政策手段,包括某些情况下能够起到法律作用的政策手段,推动电子政务的发展。
2.各国电子政务立法的原则相同
发达国家的经验表明,电子政务带来的最大变化是实现了以服务提供者为中心向以服务使用者为中心的转变。之所以能够实现这种转变,是因为信息通信技术使跨部门合作成为可能,由此改变了过去以单个政府部门为各自分散的中心的格局,形成了以服务对象为中心的网络结构。因此,尽管各国电子政务立法存在许多差别,在法律体系的结构、法律的调整范围、调整方式等方面均不一样,但在基本立法原则方面都是一样的,都在于通过采用信息通讯技术来提升公共服务,构建以公众和企业为中心的服务型政府。例如,意大利《数字行政法典》明确将使用信息技术当作一项权利予以规定,美国《电子政府法》将为公众提供服务作为立法目的予以明确。因此,不论电子政务立法的表现形式如何变化,其宗旨不会变。通过信息通讯技术推进部门整合,为公众提供更好的服务,这是电子政府与电子政务立法的灵魂和核心。
3.各个国家电子政务立法的过程相同
在电子政务的立法方面,各个国家首先并不是就开展电子政务本身进行立法,而是就开展电子政务所必需的一些外部条件和环境,包括硬件(基础设施建设)和软件(有关制度)环境,进行立法,从而为电子政务的健康发展打下基础,做好准备。在出台了一些基础性的法律法规之后,才制定和实施全面推进电子政务的纲领性法律法规。例如,美国在1996年制定了《电信法案》、《电子信息自由法修正案》、《信息技术管理改革法案》,1998年通过了《政府纸质文书消除法》,2000年修订了1986年制定的《计算机反欺诈与滥用法》等一系列法律,而后于2002年出台了《电子政府法》。日本、英国等其他国家也经历了大体相似的立法过程。
(二)国外电子政务立法的不同点
1.各国电子政务立法的国情不同
由于各国的国情不同,处于电子政务建设的阶段不同,面临的问题也有差异,因此,电子政务法规政策的建设也必然呈现差异化现象。以美国与日本为首的发达国家电子政务法规政策的建设较为完善,尤其美国在电子政务的法规政策推广计划等方面取得了良好的效果,他们相关的立法对其他国家影响很大。欧盟作为一个特殊的组织,其电子政务法律建设有其自己的特色,欧盟的法律指导成员国的法律,各成员国的法律服从和补充欧盟的法律,从而构成了由欧盟统一的法律规范和各成员国各自的法律规范两个层面的法律规范所组成的特有的法律规范体系。而新加坡则根据自己的特殊国情,建立了一套数量不多但却实用的电子政务立法体系。
2.各国电子政务专项立法的程度不同
到目前为止,世界上只有少数几个国家制定了电子政务专门法,如:美国、奥地利、意大利、波兰、芬兰等国家。其他国家包括电子政务发展较快的日本、新加坡、英国、法国、德国,尚未对电子政务进行专项立法。电子政务法属于纲领性立法,具有统领、指导及协调各单行电子政务法律法规的作用,它既是制定下位法律法规的依据,又是理顺电子政务法律体系内部层次关系的前提,因此制定专项电子政务法可以促进各国电子政务快速发展。而许多国家没有专门的电子政务法,有关的法律规范主要分散在计算机系统、数据保护、信息安全、行政程序、电子签章等单行法之中,导致电子政务立法没有统一原则和标准,电子政务特点不突出,规范冲突现象严重,实施效果差等弊端。
3.各国电子政务立法的侧重点不同
各个国家的信息化战略各有区别,如:美国、新加坡都执行“以公民为中心”,利用ICT实现政府转型战略,但各自侧重点不同。美国强调降低政府运行成本,提高政府效率和有效性;新加坡强调电子政府服务于提升区域竞争和全球竞争地位的战略需要。此外,英国重在政务改进。在不同战略的指导下,各国电子政务法律法规、政策建设的侧重点也各不相同。
4.各国电子政务法的调整范围不同
法律的调整范围既与特定国家面临的实际问题有关,也与该国的法律体系构成有关,因此,不同的国家之间不会有统一的标准。只要简单地分析各国电子政务法的结构和内容,就可以发现,不同国家的电子政务法在调整的范围、规定的内容等方面都有很大的区别,没有所谓的统一模式。例如,美国的《电子政府法》覆盖范围广泛,涉及到体制、信息安全、个人信息保护、削减公文等各个方面的内容,可以说是电子政务法典的集成。与之相反,芬兰2003年的《电子政务法》只调整公共文书的电子送达问题,范围非常有限,甚至很难构成严格意义上的电子政务法。奥地利、意大利则居于美国和芬兰之间,法律的适用范围逐步减小。由此可见,国情的不同,决定了各国电子政务法在内容上的差异,没有两个国家的电子政府法会一样。
由于我国电子政务尚处于发展的初期,有关电子政务方面的法律规范制定也相对滞后,在一定程度上制约了电子政务的发展步伐。我们应当密切关注其他国家在促进电子政务发展方面的有关立法实践,在深入分析比较的基础上,借鉴电子政务发达国家的经验教训,结合我国的国情,加强电子政务方面的立法工作,为我国电子政务的发展创造一个有利的法制环境,以促进我国电子政务健康有序地发展。
注释:
ICT是信息(Information)、通信(Communication)和技术(Technology)三个单词的词头组合。这一战略的基本立意是:电子政务不能建立在原有政务流程的基础之上,必须与政务重组和政府再造结合起来。
参考文献:
[1]The White House Office of the Press Secretary,President Clinton and Vice President Gore:Major New Egovernment Initiatives.[20060823]
[2]OECD. The eGovernment Imperative[R].OECD Publishing,2003:48
[3]吴爱明,王淑清.国外电子政务[M],山西人民出版社,2004
[4]杨路明.电子政务[M],电子工业出版社,2007
[5]李传军.电子政府与服务型政府[M],中国书籍出版社,2013