论文部分内容阅读
互联网产业的发展,已经走到了不得不关注、重视个人信息保护的阶段。日前,中国首个“个人信息保护”专项国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》制定完成并进入报批程序,中国软件评测中心于同一时间按照《指南》要求,制定出2011年互联网网站个人信息保护政策测评方案和测评指标。个人信息的保护首度受到政府、互联网企业、个人用户、安全公司的集体性重视,个人信息安全保护的集结号终于吹响了。
“在网站上注册时,我有个习惯。要求填写姓名时,注册Sina的用户我就填张新浪,注册Yahoo我就叫张雅虎,注册Baidu我就写张百度,注册Mop我就用张猫扑,注册Google我就改叫张谷歌。今天接到个电话,问:是张建设小姐吗?我一听就知道,这回是银行把我的个人资料泄露了……”如今,愈演愈烈的个人信息泄露事件,已经让张小姐的这个“小窍门”广为流传,不少网民正在利用这类方法发现个人信息泄露的源头。
伴随网上金融交易和网上购物等互联网应用的兴起,个人的重要信息变成了网络中流动的数据,非法收集、利用、公开个人信息的机会之门也由此大开。近年来,信息和网络的迅速发展,使个人信息保护越来越受到网民的关注与重视。随着信息泄露案件的频繁出现,个人信息的保护已成为各国关注的重要问题。然而,作为一个网民人口大国,中国网民个人信息保护现状却令人忧虑。
2011年12月21日,开发者社区CSDN遭黑客攻击,600万用户账号及明文密码泄露,用户资料被大量传播。几天之后,乌云漏洞平台又爆出天涯社区遭黑客攻击,导致4000万用户资料被泄露的消息。此后,京东商城、当当网、支付宝等多家网站纷纷陷入“漏洞门”, 被指因网站安全漏洞而存在数据泄露的风险……2011年底,中国互联网遭遇的史上最大规模的用户信息泄露事件,直接导致了网民对主流网站的信任危机。由此可见,中国互联网产业的发展已经走到了不得不关注、重视个人信息保护的时代。
个人信息安全保护的中国进程
有关个人信息保护的原则,最重要的是国际经合组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家都以此为据制定了本国的个人信息保护法。这些原则包括:收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。个人信息的保护原则,体现了对人的尊重和对个人信息的规范管理。它的目的实际是在保护个人信息的同时,让个人信息能真正实现自身价值,更好地为公众服务。
互联网行业是一个时刻需要创新和变化的行业。曾有部分企业认为:强调对个人信息的保护,会制约互联网行业的创新精神,阻碍行业的发展。这说明,一些互联网企业对个人信息安全保护的理解,还存在误区。专家指出,对个人信息的保护并不是为了限制个人信息的流动,而是对个人信息的流动进行正规的管理和规范,以保证符合让信息主体同意的目的,保持信息的正确、有效和安全,最终确保个人信息能够在合理、合法的状态下流动。
到目前为止,国际上已经有50多个国家和组织建立了个人信息保护的相关法规和标准,如欧盟理事会《有关个人数据自动化处理的个人保护协定》、国际经合组织《关于保护隐私和个人数据跨国流通指导原则》、欧盟《1995年个人数据保护指南》、《瑞典个人数据法》、欧盟《2002年隐私和电子通信指令》、《美国隐私权法》、《加拿大个人数据保护法》、英国《数据保护法》、美国《电子通信隐私法》、美国《互联网保护个人隐私的政策》、日本《个人信息保护法》等。
与一些发达国家相比,我国在信息安全保护意识与规范制定方面存在一些弱项。特别是个人信息保护意识不足的问题,还曾经直接导致国际市场在选择外包企业时对中国企业的不信任,严重影响了我国软件及信息服务外包业务的发展。
2008年,个人信息保护被纳入工业和信息化部重点工作范畴。2009年,为了消除国际影响,提升国内企业在国际软件与信息服务外包业务中的竞争力,我国成立了首个个人信息保护管理委员会并建立了个人信息保护的评价制度。工业和信息化部信息安全协调司副司长欧阳武告诉记者,这套评价制度启用效果非常明显,它不仅得到了境外相关机构的认可,也为国内企业承接境外业务提供了基本保障。此后,这套评价体系的建立,也确实为个人信息安全保护工作的开展起到了旗帜性的作用。
2011年初,为了全面推动我国信息服务产业个人信息保护体系的建立,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、全国信息安全标准化技术委员会2011年国家标准编制计划(编号:TC260-BZZXD-WG7-2011018)。在“指南”的基础上,信息系统个人信息保护标准体系中其他技术、管理和行业标准也已进入计划制定阶段。
《指南》制定完成后,伴随一些第三方评测平台的努力,如今标准落实工作已出现实质性进展。2011年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心力邀个人信息保护相关专家,组成评测专家组,并根据《指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标。历经六个月,专家组对电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,正式将《指南》通过科学的个人信息安全相关评级机制落实。同时,针对移动互联网带来的个人信息泄露问题,中国软件评测中心还与北京大学互联网安全技术实验室合作,选取了安卓手机各类热门软件对其个人信息安全状况进行了测试评估。
而相关评测报告显示,个人信息安全防护的主战场,正在伴随移动设备和Wi-Fi网络的普及不断蔓延扩大,个人信息安全防护各项工作的开展已刻不容缓。
个人信息保卫战出现第二战场
十年前,地铁里最常见的人群是手拿报纸的上班族。但是今天,手握手机的上网族成了主流。搜索、游戏、阅读、音乐、互动社区,手机支付、手机电视……层出不穷的移动互联网应用在吸引大量用户的同时,也把个人信息安全保卫战推向了更广阔的战场。
2012年1月,中国互联网信息中心(CNNIC)发布了《第29次中国互联网络发展情况统计报告》。该报告显示,截至2011年12月底,手机网民数量超过3.5亿。艾瑞咨询预计,中国手机应用商店2012年和2013年的用户规模将有望分别达1.82亿、2.75亿。手机应用软件商店正在成为各大IT巨头发力的焦点。
但是,在移动互联网应用发展势头一片大好的背后,却暗藏着个人信息泄露的巨大风险。美国标枪战略研究公司(Javelin Strategy
“在网站上注册时,我有个习惯。要求填写姓名时,注册Sina的用户我就填张新浪,注册Yahoo我就叫张雅虎,注册Baidu我就写张百度,注册Mop我就用张猫扑,注册Google我就改叫张谷歌。今天接到个电话,问:是张建设小姐吗?我一听就知道,这回是银行把我的个人资料泄露了……”如今,愈演愈烈的个人信息泄露事件,已经让张小姐的这个“小窍门”广为流传,不少网民正在利用这类方法发现个人信息泄露的源头。
伴随网上金融交易和网上购物等互联网应用的兴起,个人的重要信息变成了网络中流动的数据,非法收集、利用、公开个人信息的机会之门也由此大开。近年来,信息和网络的迅速发展,使个人信息保护越来越受到网民的关注与重视。随着信息泄露案件的频繁出现,个人信息的保护已成为各国关注的重要问题。然而,作为一个网民人口大国,中国网民个人信息保护现状却令人忧虑。
2011年12月21日,开发者社区CSDN遭黑客攻击,600万用户账号及明文密码泄露,用户资料被大量传播。几天之后,乌云漏洞平台又爆出天涯社区遭黑客攻击,导致4000万用户资料被泄露的消息。此后,京东商城、当当网、支付宝等多家网站纷纷陷入“漏洞门”, 被指因网站安全漏洞而存在数据泄露的风险……2011年底,中国互联网遭遇的史上最大规模的用户信息泄露事件,直接导致了网民对主流网站的信任危机。由此可见,中国互联网产业的发展已经走到了不得不关注、重视个人信息保护的时代。
个人信息安全保护的中国进程
有关个人信息保护的原则,最重要的是国际经合组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家都以此为据制定了本国的个人信息保护法。这些原则包括:收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。个人信息的保护原则,体现了对人的尊重和对个人信息的规范管理。它的目的实际是在保护个人信息的同时,让个人信息能真正实现自身价值,更好地为公众服务。
互联网行业是一个时刻需要创新和变化的行业。曾有部分企业认为:强调对个人信息的保护,会制约互联网行业的创新精神,阻碍行业的发展。这说明,一些互联网企业对个人信息安全保护的理解,还存在误区。专家指出,对个人信息的保护并不是为了限制个人信息的流动,而是对个人信息的流动进行正规的管理和规范,以保证符合让信息主体同意的目的,保持信息的正确、有效和安全,最终确保个人信息能够在合理、合法的状态下流动。
到目前为止,国际上已经有50多个国家和组织建立了个人信息保护的相关法规和标准,如欧盟理事会《有关个人数据自动化处理的个人保护协定》、国际经合组织《关于保护隐私和个人数据跨国流通指导原则》、欧盟《1995年个人数据保护指南》、《瑞典个人数据法》、欧盟《2002年隐私和电子通信指令》、《美国隐私权法》、《加拿大个人数据保护法》、英国《数据保护法》、美国《电子通信隐私法》、美国《互联网保护个人隐私的政策》、日本《个人信息保护法》等。
与一些发达国家相比,我国在信息安全保护意识与规范制定方面存在一些弱项。特别是个人信息保护意识不足的问题,还曾经直接导致国际市场在选择外包企业时对中国企业的不信任,严重影响了我国软件及信息服务外包业务的发展。
2008年,个人信息保护被纳入工业和信息化部重点工作范畴。2009年,为了消除国际影响,提升国内企业在国际软件与信息服务外包业务中的竞争力,我国成立了首个个人信息保护管理委员会并建立了个人信息保护的评价制度。工业和信息化部信息安全协调司副司长欧阳武告诉记者,这套评价制度启用效果非常明显,它不仅得到了境外相关机构的认可,也为国内企业承接境外业务提供了基本保障。此后,这套评价体系的建立,也确实为个人信息安全保护工作的开展起到了旗帜性的作用。
2011年初,为了全面推动我国信息服务产业个人信息保护体系的建立,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、全国信息安全标准化技术委员会2011年国家标准编制计划(编号:TC260-BZZXD-WG7-2011018)。在“指南”的基础上,信息系统个人信息保护标准体系中其他技术、管理和行业标准也已进入计划制定阶段。
《指南》制定完成后,伴随一些第三方评测平台的努力,如今标准落实工作已出现实质性进展。2011年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心力邀个人信息保护相关专家,组成评测专家组,并根据《指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标。历经六个月,专家组对电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,正式将《指南》通过科学的个人信息安全相关评级机制落实。同时,针对移动互联网带来的个人信息泄露问题,中国软件评测中心还与北京大学互联网安全技术实验室合作,选取了安卓手机各类热门软件对其个人信息安全状况进行了测试评估。
而相关评测报告显示,个人信息安全防护的主战场,正在伴随移动设备和Wi-Fi网络的普及不断蔓延扩大,个人信息安全防护各项工作的开展已刻不容缓。
个人信息保卫战出现第二战场
十年前,地铁里最常见的人群是手拿报纸的上班族。但是今天,手握手机的上网族成了主流。搜索、游戏、阅读、音乐、互动社区,手机支付、手机电视……层出不穷的移动互联网应用在吸引大量用户的同时,也把个人信息安全保卫战推向了更广阔的战场。
2012年1月,中国互联网信息中心(CNNIC)发布了《第29次中国互联网络发展情况统计报告》。该报告显示,截至2011年12月底,手机网民数量超过3.5亿。艾瑞咨询预计,中国手机应用商店2012年和2013年的用户规模将有望分别达1.82亿、2.75亿。手机应用软件商店正在成为各大IT巨头发力的焦点。
但是,在移动互联网应用发展势头一片大好的背后,却暗藏着个人信息泄露的巨大风险。美国标枪战略研究公司(Javelin Strategy