正文

個人信息安全須用規范“保駕”

2016年12月22日 14:37 來源: 網絡傳播雜志

  【導語】《個人信息安全規范》標準制定項目已經在全國信息安全標準化技術委員會立項,并被列為今年的重點標準項目

  2016年8月25日,公安部刑事偵查局官方微信發布緊急提醒,170、171號段是虛擬運營商專門號段。接到這兩個號碼段來電的用戶千萬要小心,已有多人被騙!供圖/CFP

  隨著信息技術的高速發展,個人信息的搜集變得越來越容易,信息泄露問題也越來越嚴重。8月19日,山東省臨沂市高考錄取新生徐玉玉被不法分子冒充教育、財政部門工作人員詐騙9900元,徐玉玉在報案回家途中暈厥,心臟驟停,不幸離世。9月9日,公安部公布徐玉玉案詐騙細節,嫌疑人通過攻擊“山東省2016高考網上報名信息系統”,盜取了包括徐玉玉在內的大量考生報名信息。電信詐騙惡性事件的頻發,也引發公眾對個人信息保護的關注。

  如何保護個人信息安全?加快出臺個人信息安全規范、保護指南等網絡安全國家標準是當務之急。近日,中央網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家標準化管理委員會聯合發布了《關于加強國家網絡安全標準化工作的若干意見》(以下簡稱《意見》),《意見》的第二部分《加強標準體系建設》中提出“推進急需重點標準制定”,并明確將制定“個人信息保護”方面的標準列為近期工作重點之一。

  上網如履薄冰只因遍布“荊棘”

  當下,我國個人信息保護現狀亟待改進。僅2014年,中國就有多家知名電商、快遞公司、招聘網站、考試報名網站等發生信息泄露事件,其中由于用戶管理模塊存在漏洞,某知名手機廠商論壇包括賬號、密碼和社交賬號等800萬用戶個人信息遭泄露;最新發布的《2015年我國互聯網網絡安全態勢綜述》顯示,過去的一年我國同樣發生了嚴重的數據泄露事件:約10萬條應屆高考考生信息泄露事件、某票務系統近600萬用戶信息泄露事件等等。

  在2016年4月19日召開的網絡安全和信息化工作座談會上,習近平總書記高屋建瓴地對網信工作六大重點問題進行了系統性論述,提出了“以人民為中心”的網信發展思想,并做出了“網絡安全為人民、網絡安全靠人民”的重要指示。顯然,現實狀況和總書記提出的要求有明顯差距。如果個人信息遭未經授權的訪問、使用、披露、破壞、修改等的局面不加改善,網絡空間依舊荊棘遍布、陷阱重重,老百姓上網、用網不放心,互聯網如何能成為人們學習、工作、生活的新空間,獲取公共服務的新平臺?

  正如《意見》指出,“網絡安全標準化是網絡安全保障體系建設的重要組成部分,在構建安全的網絡空間、推動網絡治理體系變革方面發揮著基礎性、規范性、引領性作用”,為實質性地改善收集、使用個人信息的組織機構的行為,急需一套科學、先進并且符合現實需求、具有操作性的個人信息保護行為規范。

  目前,《個人信息安全規范》標準制定項目已經在全國信息安全標準化技術委員會立項,并被列為今年的重點標準項目。參加該標準制定工作的單位包括北京信息安全測評中心、頤信科技有限公司、中國信息安全研究院、中國電子技術標準化研究院、公安部第一研究所、四川大學、上海國際問題研究院、騰訊、阿里巴巴等。

  立足國情接軌國標制定“攻略”

  《個人信息安全規范》標準將針對處理個人信息的各類組織(包括機構、企業等),提出具體的保護要求,定位為我國個人信息保護工作的基礎性標準文件,為今后開展與個人信息保護相關的各類活動提供參考,為制定和實施個人信息保護相關法律法規奠定基礎,為國家主管部門、第三方測評機構等開展個人信息安全管理、評估工作提供指導和依據。

  首先,《個人信息安全規范》將把握好以下四方面價值中的平衡:一是個人隱私權和信息自決權,包括在一定程度上控制個人信息的收集、使用、流轉,以及控制基于數據作出的各項決定對個人的影響;二是發展利益,即企業和產業充分利用個人信息,提供、改進、創新產品和服務的合理訴求;三是公共利益,政府相關部門利用個人信息完成公共管理,以及社會發展所必須的信息自由流動和公眾知情權;四是國家利益,個人信息跨境流動對國家主權、國家安全、國家競爭力等方面造成的正面、負面影響。

  其次,《個人信息安全規范》將立足于我國現有的法律、法規、規章、標準,包括全國人大常委會《關于維護互聯網安全的決定》、全國人大常委會《關于加強網絡信息保護的決定》《刑法修正案(五)》《刑法修正案(七)》《刑法修正案(九)》《電信和互聯網用戶個人信息保護規定》《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z28812-2012)、《信息安全技術信息技術產品供應方行為安全準則》(報批稿)等。除此之外,《個人信息安全規范》將參考個人信息保護方面最先進的國外立法。例如,OECD隱私框架、APEC隱私框架等國際規則,歐盟《通用數據保護條例》、歐美“隱私盾”協議、美國“消費者隱私權法案”等歐美個人信息保護方面的立法。

  最后,《個人信息安全規范》將在參考個人信息保護方面的國際標準的基礎上做到與國際接軌。ISO/IEC JTC1/S C2 7是國際標準化組織(I S O)和國際電工委員會(IEC)聯合技術委員會(JTC1)下屬專門負責信息安全領域標準化研究與制定工作的分技術委員會,SC27/WG5負責身份管理和隱私保護相關標準的研制和維護,目前最具代表性和體系性的屬ISO/IEC 29100系列標準,包括:ISO/IEC 29100《隱私保護框架》、ISO/IEC 29101《隱私體系架構》、ISO/IEC 29190《隱私能力評估模型》、ISO/IEC 29134《隱私影響評估》、ISO/IEC29151《個人可識別信息保護指南》等。此外,還有美國的保護個人身份信息機密性指南(NIST SP800-122)、聯邦信息系統隱私與安全控制(NISTSP800-53);歐盟的數據保護審計實踐清單(CWA 15262:2005),管理者的自評估框架(CWA 16112:2010),個人數據保護良好實踐(CWA 16113:2010),等等。

  順應發展方讓個人信息“無虞”

  當今社會逐漸進入大數據時代,習近平總書記2015年5月在給國際教育信息化大會的賀信中指出,“當今世界,科技進步日新月異,互聯網、云計算、大數據等現代信息技術深刻改變著人類的思維、生產、生活、學習方式,深刻展示了世界發展的前景。”

  大數據時代,數據正在成為一種生產資料,成為一種稀有資產和新興產業。任何一個行業和領域都會產生有價值的數據,而對這些數據的統計、分析、挖掘則會創造意想不到的價值和財富。

  然而,大數據技術和應用的迅猛發展也使得個人信息保護面臨更多挑戰:收集環節——移動互聯網和物聯網的發展使對個人信息的收集日益密集、隱蔽;使用環節——多來源的個人信息組合,形成數字畫像、實時追蹤,數據挖掘增加個人信息和隱私暴露的風險,顯著影響個人權益;披露環節——數據流轉、交易形成鏈條,信息處理主體多元,流轉方式紛繁復雜,個人信息跨境流動成為常態。

  《個人信息安全規范》的編制工作將充分體現安全與發展的關系,在開放發展的大環境下保護公民個人信息,既要順應大數據等新技術新應用的發展,也要建設科學有效的機制抵御其帶來的風險,研制出符合我國信息化發展現狀的個人信息保護標準。(洪延青:四川大學網絡空間安全研究院;姚相振、何延哲:中國電子標準化技術研究院)

關閉

中共中央網絡安全和信息化委員會辦公室
中華人民共和國國家互聯網信息辦公室 © 版權所有
承辦:國家互聯網應急中心
技術支持:長安通信科技有限責任公司
京ICP備14042428號

Produced By CMS 網站群內容管理系統 publishdate:2020/05/09 14:47:52
午夜国语自产拍在线观看不卡,欧美在线va自拍非洲高清亚洲,美女一本在线亚洲电影,欧美日韩欧美日韩亚,欧美日韩国产成人,欧美日产欧美日产国产精品,欧美成人高清,欧美αv日韩αⅴ亚洲,日本成人免费电影,亚洲 欧洲 日产第一页