时间:2022-05-18 02:59:16
引言:寻求写作上的突破?我们特意为您精选了1篇个人信息安全论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
一、移动移动智能终端信息安全的发展现状
目前信息安全是一个所有人都比较关注的问题,作为唯一一个对用户的移动业务体现形式的移动终端,同时作为载体存储用户个人的信息,是要与移动网络配合以保证安全的移动业务,实现移动终端与移动网络之间可靠安全的通信通道,同时还要使具有机密性、完整性的用户个人信息得以保证。不断强大的和逐渐普及的移动终端功能,不可或缺的用品逐渐成为移动终端在日常生活中人们的普遍共识,而同时在带给用户便利的这些具有强大功能的智能终端,也导致了一系列日益突显的信息安全的问题。一方面,越来越多的个人信息存储在智能终端中;而另一方面,信息的泄露与病毒的传播也会为数据交换功能和丰富的通信所引起。在管理进网检测中,分析现有的信息安全威胁,并对移动智能终端通过专业的安全检测工具检测操作系统,让终端自身的防护能力被移动智能终端的制造商所提高,以保护原本没有防护能力的智能终端。使用户在使用通过行业标准规范的应用程序时可知、可控。但是,目前仍有水平不足的自我管理、意识不强的信息安全的一部分用户,同样会导致暴露部分用户在移动智能终端上的个人信息。
二、分析个人信息安全的技术问题
随着不断发展的科学技术,越来越多的新业务集成在移动终端之上,对信息安全来说,部分的新业务是有其特殊的要求的,新的安全隐患可能伴随着用户的部分新的业务。例如移动终端集成了定位业务,其自身的位置信息时可以随时随地获得的,而个人用户的私密信息也是包含位置信息的;例如移动终端集成了生物识别的技术,则可以记性保护用户的个人信息的,但是在终端设备上同样会缓存生物识别的信息的,所以移动终端具备定位业务是有特殊的要求的,尤其是在对于信息安全方面。不存在绝对安全的软件系统,应在做好相关工作的同时规避不同的风险,可从以下几方面来实施防范个人信息安全受到威胁:
(1)应用程序的权限进行限制。
安装应用程序的时候,该应用程序的最小权限必须得以确认,应遵循的原则是最小权限的原则,将大大降低受到恶意软件攻击的可能性。但是对于不一定懂得如何验证是否合理权限要求的应用程序的广大普通用户,用户在大多数情况下对于系统所要求的权限会直接授予。所以则需要在设定权限或申请权限时的开发者,使最小权限的原则严格的执行。
(2)认证程序应用。
最有效的手段之一就是认证并防范恶意的程序。审查相关的代码经过应用程序以及完整的测试,可得到权威机构的认证并确认其合理的使用权限,这力的防范了恶意程序。
(3)设置数据信息的加密功能。
用户在使用浏览具有个人隐私性质的信息或是应用时,硬通过设置一系列的登录用户口令来使某些移动智能终端的功能解锁,以减少威胁安全的情况发生。
(4)备份私有数据以及做好防护措施。
用户在使用私有数据时,应提早及时的做好数据的备份以及防护措施能,以免在数据发生损毁或是泄漏时能够有效的找回,而且做好数据的防护措施例如密码找回。则可防止信息的二次泄露以免造成巨大的损失。
三、结语
加强宣传培养用户信息的安全意识是个持续性的战略,安全的智能终端的信息常识的普及,只到正规的应用程序商店下载安装、避免安装来源不明的软件、只安装通过认证的应用程序、避免连接不明的网络以及不明的终端设备、只连接可信的主机或其他终端设备、设置用户口令、加密隐私数据、安装防病毒软件等,从而实现智能终端的个人信息安全。使自我的管理水平得到显著地提升。
作者:林春 李瑞 单位:南京邮电大学
一、个人信息概念的界定
对于个人信息,解释繁多。一般认为是可识别的所有本人信息的总和。1995年欧盟公布的《欧洲联盟数据保护规章》定义:“个人信息是有关一个被识别或可识别的自然人(数据主体)的任何信息:可识别的自然人是指一个可以被证明,即可以直接或间接地,特别是通过对其身体的、生理的、经济的、文化的或身份的一项或多项识别”。国颁布的《个人数据保护法》定义:个人信息是指可识别的、活着的个人的数据组合,包括数据控制者占有或可能占有的其他个人信息、任何关于该个人观点的表述、数据控制者或与该个人有关的其他个人意图的表述。我国学者杨立新认为:“个人信息是隐私权保护的内容,凡属于个人的与公共利益无关的个人资讯、资料,包括计算机存储的个人资料、域名、网名、电子邮件地址等都是个人信息。”在我国的公共范围内对于个人信息大体范围可以概述为可以直接或间接识别的本人的信息。其中能够直接识别的个人信息是可以单独识别的本人信息如姓名、肖像、身份证号、基因等;而那些与其他个人信息相结合才能被识别的信息则称之为间接个人信息,如性别、爱好、生活习惯、兴趣、学历、职业、收入等等。我们日常所使用的个人信息的范围为以上两者的总和,这些信息包括了一个人从生理到心理、从个体到社会、从经济到文化的方方面面,它涵盖一个真正社会意义上的人所有的内在面与呈现面,包括了一个人的健康状况、家庭结构、社会活动以及名誉等涉及人格权的事项并囊括了著作和财产等关涉财产权的事项。需要引起注意的是个人信息并不等同于个人信息本人所知的全部。无论是本人了解的还是不了解的,在我国个人信息法中都明确其为个人信息的范畴,如被网络服务商非法收集的个人信息以及那些掌握在医生手中的绝症患者未知的医疗信息等等。在互联网时代,当人们的日常生活高度依赖于网络的时候,这些个人信息以个人数据的形式存载于计算机中,当大数据时代的到来,云计算等先进的信息共享技术的开发,使得存储于虚拟网络中的真实信息成了随时可供提取查阅的“待宰羔羊”,这些涵盖了个人隐私的相关信息的安全性也就变得岌岌可危,鉴于网络的开放性与共享性,以及当前技术方面的某些漏洞,使得个人数据一旦进入互联网就有可能在全球范围内无限制的被转载、复制、传播,而在当前市场利益的驱使下,被某些人窥视到了个人信息中所蕴藏的巨大商业价值。个人信息的污染与破坏、被窃取与侵权等种种道德失范的行为使个人信息安全的问题成了当下“新技术时代”特殊的存在于虚拟世界却对人们的现实生活产生深入影响的社会道德问题,也是伦理学发展到当下所应面对和亟待解决的学术问题。
二、个人信息安全道德失范行为的表现形式
当下我们所处的信息时代为人类信息的利用与传播开启了一个崭新的模式,尤其是电子计算技术的普及与发展,网络生活中的虚拟技术将网络活动主体的个人信息数字化和符号化发展成为人们信息交往的实践手段。这种模式极大地丰富了人们在网络社会中的活动但与此同时负面效应也接踵而至,正如恩格斯曾预言的那样,人类每进步一次就加大一步对自己的惩罚力度,我们在网络共享这一平台,可以接收到来自于世界各地的信息,但与此同时我们的个人信息也有可能被世界各地的任何人传播或复制,信息的“贩卖”、“丢失”“、陷阱”,等等失范行为,使我们在网络生活的每一分一秒都如履薄冰。
(一)、信息“贩卖”
进入当下的电子商务时代,很多社交网站、电子商务网站都采用“会员制”,用户需要注册会员后才能享受相关服务,而注册会员需要填写大量的个人信息,这写个人信息关涉到个人的姓名、职业、收入、爱好、兴趣、个人家庭状况甚至于真实的身份证号就相当于在这个虚拟的网络界面内注册了一个真实身份,这些真实的信息存储的网站数据库中;此外为了得到更多便利的服务,很多用户不得不将个人信息存储于网站的数据库中,比如电子商务网站,用户将自己的信用卡号、住址、联系电话等信息存储在数据库中,可以款素地完成交易。由于会员信息具有很好的商业价值,因此,很多网站以及网站的内部工作人员都觊觎这一块的利益,有些网站甚至将贩卖会员信息作为公司的主要收入来源之一。目前,由于网店、快递公司等需要用户填写详细的家庭住址、工作单位地址、固定电话、身份证号、信用卡号等高质量的个人信息,故而成为会员信息泄露的一个主要源头。如淘宝网站就有通过一元秒杀活动,借机猎取个人信息,在当事人全不知情的情况下将这些具象的个人信息以低价批量出卖;在网络的环境里人们缺乏明确的约束力,放纵了自己对于利益的盲目冲动,这也是一些潜在的道德异化进而外化的现实恶行。
(二)信息“丢失”
不仅网络的“内部人”觊觎会员信息,社会上的一些黑客和黑客组织也对各大网站的会员信息抱有极大的兴趣,想方设法通过网站服务器,窃取会员信息并贩卖或用作其他用途。2011年底,中国知名的“天涯社区”1.7G的会员数据被黑客窃取,并被散播到互联网上,这些会员资料包含4000万天涯用户的账号、密码、邮箱等信息,给用户造成的损失无法估量。除了贡献网站服务器之外,一些黑客也通过手工或专门的软件破解特定用户名和密码,盗取用户存在网站上的信息。更有甚者,有些黑客通过“钓鱼”网站或发送有“木马”的电子邮件,诱导用户点击后,将木马或病毒植入用户电脑中,窃取用户电脑中的隐私信息,如各种账号和密码、聊天记录、文件等,并将这些信息打包,悄悄地发送出去。2011上半年,共有1.21亿中国网民的账号或密码被盗,占中国网民总数的24.9%。2012年,瑞星公司的《中国信息安全报告》中指出,我国共有超过7亿网名被病毒感染过。这种运用技术窃取个人信息的失范行为给很多网络用户带来了巨大的经济利益的损失,甚至是私生活的曝光,造成当下众网民在某些技术者的“迫害”下的当众“裸奔”。
(三)信息“陷阱”
当下,有很多软件厂商在其发售的软件中内置窃取用户信息的程序,如有网络“小甜饼”之称的软件cookies,用户安装后,软件就会将用户的信息发送到软件厂商的服务器上。在智能手机快速普及的今天,由于android系统安全门槛很低,因此,安装android系统的智能手机成为个人信息泄露的“重灾区”。比如,有一款名为“高德地图”的导航软件,就有窃取用户登录账号、密码等信息的“后门”,该软件将窃取到的账号、密码等信息以明文的方式发送到高德地图的服务商手中,以作他用。复旦大学计算机科学技术学院的研究团队曾对某款主流智能手机的系统300余款应用软件进行分析,发现58%的软件存在泄露用户隐私的风险。从网民储存于电脑中、网站中、手机中的个人信息,每一种可以登录网络的电子设备都存在着无可规避的风险,种种道德失范行为的产生使网民在网络活动中的所有社会性行为都显得犹如刀尖上的行走,可这种种并非是技术发展的必然产物,而是在网络时代,人性的一种恶性异化的表现,当下网络环境中所呈现的这些道德负面现象真是伦理学多应研究并攻克的一道难题。
三、针对失范行为伦理层面的分析
当代的信息技术是一个特殊的统一体,它涵盖了特定的知识体系和行动过程,一方面被当下的社会价值观念所影响,又同时对社会价值观念产生反作用。主体人这一概念在网络社会中的丧失,使得数据鸿沟的不断拉大,技术的工具理性与价值理性的断裂,使人们在应用信息技术的同时不断沉沦,沉沦于技术的工具性而丧失了主体的思维,超越了道德的禁忌,使得人们在网络社会中的生活如同困于囹圄,人们逐渐迷失、在无意识的情况下渐被技术异化,技术之于伦理,伦理之于技术,两者并轨而行才能完成人类于当下社会更健康的发展。
(一)网络活动中人主体性的丧失
海德格尔提出现代技术的在实质层面上来讲就是一种展现方式,在信息化的社会下,信息技术通过编码化、数据化的展现,通过“强制”、“限定”是人进入到了一种非自然的状态也就是一种失去了主体性意识的人,加之网络的匿名性,是网络中生活的主体人处于一种不被现实社会道德约束的假象之中,导致了人们现实与虚拟世界中分饰二角的分裂性人格,海德格尔指出在现代技术的作家中,一切事物包括人都成了必不可分的东西,而当人被吸纳入这种系统之后,他“就被一股力量安排着、要求着,这股力量是在技术的本质中显现出来的而又是人自己所不能控制的力量”,当技术操作者在运用自身掌握的网络技术进行示失范的行为时,完全没有意识到他并非技术的操作者,反而成了技术的奴役者,在这种技术的异化下逐渐失去了一个主体人本身所具有的自我约束能力和所有遵守的道德规约,逐渐沦为技术符号的附属品,由主动变为了被动,有操控者变为了被控制者。
(二)技术的工具理性与道德价值理性的断裂
针对技术的本身其使用的限度是受自然属性的制约的,而现代的信息技术又带有社会属性,人们在带有自身价值观念去使用技术时就意味着人类多余技术的使用有可能超过所能承受的限度范围。当人们在出于自身利益考量来过度开发的同时也就埋下了技术异化的因子。作为技术发展的最新形态,信息技术也同样具有这两种属性,它的工具理性就如同其自然属性一样,其实质是呈现世界的实然状态,但是在人们应用信息技术的过程中,把其工具理性推到一个至高的地位上,而其社会属性也即是具有一定正向约束力的价值理性却被“束之高阁”。技术的工具理性与道德价值理性本应并轨而行才能保证技术在发展的过程中能呈现一种自然的状态,造福社会而又不违背其自身发展的规律,可人们为了谋取自身的利益,把技术本身视为一种客体,对其任意球取,沉浸在胜利的喜悦中却毫无背德意识,“这种理性化的潜在逻辑,是加强支配与压迫的逻辑。人对自然的支配变成了人对人的支配,而且最终会堕入自我支配的噩梦之中”。如此,工具理性与价值理性就此在人为的作用下发生了断裂,“技术的‘真’与伦理的‘善’也就此断裂,在空间上:技术则具有开放性和前瞻性,以获取足够的利润支持,从而研发更先进的技术;伦理则具有封闭性和保守性,以获取本体论意义上的家园感和安全感,即技术的‘利’与伦理的‘善’之间的断裂。”信息技术的发展过程中若不将伦理的价值观念纳入考量的范围之内,那么信息技术的工具理性就会与其价值理性就会分轨而行,造成工具理性的无限放大性的畸形发展,也就造成当下人们道德失范的种种后果。
(三)网络信息技术使人的异化
马克思曾指出:“劳动所产生的对象,即劳动的产品,作为一种异己的存在物,作为不依赖于生产者的力量,同劳动相对立。劳动的产品就是固定的某个对象中,物化作为对象的劳动,这就是劳动的对象化。劳动的实现就是劳动的对象化。在被国民经济学作为前提的那种状态下,劳动的这种实现表现作为工人的失去现实性,对象化表现为对象的丧失和被对象的奴役,占有表现为异化、外化。”人们在网络社会中所掌握的信息技术,对人类的生活所产生的影响的范围必然不会超出生产力与生产关系这一维度“,在异化的状态下,信息技术成为统治人和剥夺人的异己和敌对力量,这时的人成了信息技术的附属物。所以信息技术的异化的实质就是人与信息技术矛盾的激化,网络信息在被滥用的情况下没成了人的异己力量。记载信息社会中变成了数据化、符号化的人,人被异化成信息产品。人们不断被信息同化、物化。”这种信息技术的异化使网络社会中的人渐渐失去了其原有的价值品格,加之利益的驱使,使其原有道德品格丧失,在操纵他人个人信息时,自己也变为网络社会中一个传输数据的中介,将其自身也数据化、符号化了。海德格尔曾言“和机器一样,工业化时代的人本身也依赖于技术系统,人与其说是利用技术,不如说是为技术所用,因而人本身成了技术体系的职员、附属、辅助,甚至是它的手段。”海德格尔的语言不仅适用于工业社会,在当下的网络时代,信息社会里也同样适用,在信息社会里,作为主体的人在进入这个虚拟化的网络社会里,在信息技术的操纵下,在改造社会的同时,也改造了自己,由主体人变为数据人,这种技术的异化,改变了以往的社会结构,更对人们已然约定俗成的伦理道德构成了威胁。
四、针对失德行为的对策分析
网络社会的迅速发展,信息化进程的加快,加之网络空间的虚拟性与开方向,使得网络社会生活的秩序出现的管理失控,信息的泄露与侵权已成为当下不可规避的难题之一,也逐渐从网络社会中演化为现实生活中的矛盾,既对传统的伦理规法发起了挑战,也制约着网络社会自身的平衡发展。因此网络社会的健康发展呼吁建立是应用于当下的伦理道德规范,增进责任机制的培养,加大法律的保护力度,同时引导自律机制来调整当下社会的伦理困境,从而建立一个良好的网络环境。
(一)责任机制的培养
网络社会中信息技术的飞速发展使得人们原有的生活格局发生了翻天覆地的变化,而这种变化的发生可以说是于潜移默化中的一种彻底颠覆,人们从开始对信息技术的折服发展到当下对信息技术的崇拜,进而迅速沉沦,可是在这种环境下生存的道德观念却没有及时梳理成型,就如美国学者理查德•斯皮内洛指出的:“技术往往比伦理学理论发展得快,而这方面的之后效应往往会给我们带来相当大的危害。”当下网络生活中道德相对主义盛行、无政府主义泛滥、人际关系淡漠以及道德人格的扭曲皆由因此而生,归其本质是道德责任的淡漠,责任伦理遂成为信息技术时代的必然诉求,引导责任机制的建立成为当下解决道德失范行为的一个先导机制“,责任伦理”的概念是德国社会学家马克思•韦伯于1919年在其所著的题为《作为职业的政治》一文中所提出的概念。随着当下伴随着网络社会出现的一系列伦理范畴内的失范行为,责任伦理成为当下的必然诉求,面对利益与道德之间的矛盾时,全社会都应肩负起自身的责任来,不仅要注重个人对其职业的责任理念,更应该注重社会团体的责任意识,进而整个社会的责任观念才会得以树立,唤起我们这一时代的责任观念,自身的本我价值观念才能与社会公共的价值观念才得以统一。针对当下网络中的信息技术本身,本无善恶之分,技术的最初职能即是呈现实物的自然面,但当网络的虚拟空间的独特属性,人置身于网络社会中,在运用信息技术的过程中人为附加了人性化的元素于其中,有加之隐匿性的掩护,使人的劣根性不断放大。若要在网络空间这一亚社会领域里构建一个完整的价值观体系,那么首先要构建的就是人们的责任意识,这是至关重要的,用责任意识去约束相关人员的行为“,因为伦理精神不仅仅是指信念或良心,责任是更为重要的,而用责任意识去衡量相关人员的行为,较以至善的信念作标准更为明确具体。”而对于我们前文所提到的针对个人信息安全,相关执业人员的一些违反自身职业道德或者社会规约的失范行为来讲,最需要的就是对自身的责任机制的架构,在发挥其才能的同时又承担相应的社会责任。西方的责任伦理大师尤纳斯认为“:‘责任与谦逊’是最重要的伦理精神,由于科技行为对人和大自然的长远和整体形象很难为人全面了解和预见,存在一种‘责任的绝对命令’”,所以,符合当下网络时代,信息技术时间主体的新的责任意识必须是与技术的发展并轨而行的,这要求专业的技术人员在设计与应用技术的同时担负起自身的责任,参与相关活动的运营团队也同样承担起自身的社会责任,形成上行下效的责任机制,从而实现技术的健康发展,为社会的进步提供优化的保障。
(二)加强个人信息权的立法保护
针对于个人信息的保护除了我们之前提到的道德伦理和技术手段的保护之外,还有一个比较核心的保护手段也是约束力最强的手段即是法律手段,在针对个人信息处理过程中造成的个人权利伤害的种种行为中,最能对个人提供保护并对相关人员起到强制约束力的有效手段。在我国针对个人信息权益的保护立法还只是台湾地区和香港特别行政区有专门的个人信息保护法,而我国大陆的个人信息保护法尚在制定之中。在没有专法保护的情况下,有关个人信息的问题是被拆分为保护人格与保护隐私等法律规范内来实施保护的。换言之,我国大陆地区还没有出具保护个人信息权益的专法。从全球范围看,绝大部分的大陆法系国家,包括少部分的英美法系国家都选择了统一立法模式。统一立法模式是在立法上将个人信息保护法作为基本法对待。其特点在于充分考虑到个人信息保护的统一性,照顾到行政机关和私人机关处理个人信息行为的内在联系,同时也主语在司法上采用同一标准。美国的分散式立法模式是在针对不同领域定制单行法,此种模式的最大优点在于立法明确,内容界定清晰。其弊端是无论从立法角度还是司法角度都容易造成法治的不统一。基于对一两种立法模式的考量,在结合我国的法律体制和一贯法律传统,我国的个人信息保护法应该选择同一立法的模式为立法基础,并在此基础上引入自律模式,相互融合取长补短。针对我国的个人信息保护法的制定除了其基本的立法模式外,我国还应在各国立法的基本原则上梳理适合我国实际情况的立法基本原则。在梳理了各个指导原则后,笔者认为,OECD指针的第二部分适用于国内法律的实际范畴,而该部分规定的个人资料保护的八大原则也可为我国立法所借鉴。即,限制收集原则、资料品质原则、目的特定原则、限制利用原则、安全保护原则、公开原则、个人参与原则、责任原则,实践证明,指针确立的原则对其后的国家立法以及国际文件都产生了示范作用,同样为我国个人信息保护法的确立提供一个优良的基础。一部完善的个人信息保护法就如同一面没有漏洞的天网,能够为个人信息的保护提供一道难以跨越的屏障同时也会让诸多破坏个人信息安全的行为无所遁形,成为一种无懈可击的保障力。
(三)完善个人自律机制
鉴于网络社会的虚拟性、开放性等特质,网络主体的行为带有一定的隐匿性,使人们逐渐背离了现实社会中那些已然被大家接受并遵守的道德规约,加之法律、规范的约束力的滞后,使人们的劣根性不断放大,以为可以在这个虚拟空降为所欲为。从心理学的角度来讲,当人们认为自己在一个隐蔽的环境里,自己的行为不易被察觉,或者认为可以不受时时约束,可以逃避监督的情况下,行为主体就会自行卸下道德法规的“包袱”,而此时道德准则也就丧失其原有的作用。由此看来,完善自律机制是继责任机制与法律保障后,又一需要架构的针对个人信息安全的保障机制。在信息社会中,网络中的行为主体大多处于“独处”的状态之中,每个人都如穿着隐形衣一般,这时道德规约的贯彻实施就要求更高层次的自律。《礼记•中庸》有云:“道也者不可须臾离也,可离非道也。是故君子戒慎乎其所不睹,恐惧乎其所不闻。莫见乎隐,莫见乎微,是故君子慎其独也》。”鉴于国人思想体系中儒家思想根深蒂固的地位,针对网络社会中自律机制的建立,应以儒家“慎独”思想为“入德之方”。“慎独”思想所倡导的“独处时坚守道德准则”对应于我们当下于网络社会中的“独处”状态的道德戒律达成契约,强调我们在网络社会中必须审慎的行动,在这种强烈的道德感的感召下,严于律己,恪守道德信念,进而达到网络社会中个体人格与道德情操的高度统一。网络社会是一个真正意义上的数字化与虚拟化的生存空间,在这一空间的道德理论的建立需要每个网络活动主体的慎独精神力,才能将外在的道德规约转化为内在的一种约束体系,就如编写程序一般编入每个操作者的操作流程中,将道德内化为一种习惯、一种网络生活中自然的状态,将规范转化为一种责任感,才能尽可能从根源上规避失范行为的产生,当每个网络活动主体都对自己的网络行为审慎于独处,戒其于微小,这种内在维系力便结成,道德的自律意识也便成型。
五、结论
在人类的历史上普通民众,从未有过像今天一样,如此担忧和害怕自己的个人信息安全,各种道德失范行为的肆意横行,不仅给人们造成巨大的心理压力更干扰其正常生活也会造成经济损失,甚至是造成人身伤害,本文从伦理的角度出发深入地探究了道德失范行为的根源并从社会团体、法律机制及网络主体个角度提出了解决这一难题的预想策略,希望对这一问题的理论研究供以微薄之力,先贤黑格尔曾提醒世人:成为一个人,并尊重他人为人。笔者这样理解这句话:尊重他人是自己为人的前提。
作者:刘焱 单位:燕山大学文法学院
1网络环境下档案信息的特征
档案信息化以计算机技术为基础,与以往的纸质档案资料相比,具有以下特征:
1.1设备依赖性。
不同于过往的档案记载,信息化的档案资料再也不是一支笔、一份纸记录的过程,从输入到输出都是经由计算机与其辅助设备实现,管理与传输也都依赖各种软件与网络资源共享,信息处理速度与质量在某些程度上依赖于计算机的性能与软件的适应性。
1.2易控性和可变性。
信息化的档案资料一般是以通用的文档、图片、视频、音频等形式储存下来,这给信息共享带来了便利,但也增加了档案资料的易控性和可变性,对于文档资料可以通过office工具删除修改文字、对于图片资料可以通过photoshop轻易地改变其原有的面貌、对于音频和视频资料可以通过adobeaudition和premiere工具的剪辑变成完全不同的模样,这些都造成了档案信息易丢失的现象。
1.3复杂性。
档案信息量不断增加、信息存储形式也变得丰富多样,不仅有前文所述的文档、图像、视频、音频等形式,不同格式之间的信息资料还可以相互转换,如视频与图片、文字与图片的转换等等,进一步增加了档案信息的复杂性。
2目前网络环境下档案信息安全管理存在的问题
2.1网络环境下档案信息安全问题的特性。
档案信息化有其显著特征,在此基础上的档案信息安全问题属性也发生了较大变化。首先表现在信息共享的无边界性,发达的网络技术使得整个世界变成一张巨大的网,上传的信息即使在大洋彼岸也能及时查看,一旦信息泄露,传播的范围广、造成的危害难以估量。同时,在某种程度上档案信息化系统也存在着脆弱性问题,计算机病毒可以入侵系统的众多组成部分,而任何一部分被攻击都可能造成整个系统的崩溃。此外,网络安全问题还存在一定的隐蔽性,无需面对面交流,不用对话沟通,只需打开一个网页或是鼠标轻轻点击,信息就会在极短时间内被窃取,造成严重后果。
2.2网络环境下档案信息安全面临的主要问题。
1)档案信息化安全意识薄弱。很多情况下,档案信息被窃取或损坏并不是因为入侵者手段高明,而是档案信息管理系统自身安全漏洞过多,其本质原因是档案信息管理安全意识不够。受传统档案管理观念的桎梏、自身技术水平的限制,很多管理人员并未将档案信息看作极为重要的资源,对相关资料处理的随意性大,也无法觉察到潜在的风险,日常操作管理不规范,增加了档案安全危机发生的可能性。2)档案信息化安全资金投入不够。现代信息环境复杂多变,数据量急剧增加,信息管理难度也越来越大,对各种硬件、软件设备的要求也进一步提高,需要企业在档案信息管理方面投入更多的人力、物力,定期检查系统漏洞。而就目前情况而言,大部分企业在这方面投入的资源还远远达不到要求,档案信息管理的安全性得不到有效保障。3)档案信息化安全技术问题。技术问题首先表现在互联网自身的开放性特征中,互联网的基石是TCP/IP协议,以效率和及时沟通性为第一追求目标,必然会导致安全性的牺牲,诸如E-mail口令与文件传输等操作很容易被监听,甚至于不经意间计算机就会被远程操控,许多服务器都存在可被入侵者获取最高控制权的致命漏洞。此外,网络环境资源良莠不齐,许多看似无害的程序中夹杂着计算机病毒代码片段,隐蔽性强、传染性强、破坏力大,给档案信息带来了严重威胁。
3网络环境下实现档案信息安全保障原则
3.1档案信息安全的绝对性与相对性。
档案信息安全管理工作的重要性是无需置疑的,是任何企业特别是握有核心技术的大型企业必须注重的问题,然而,档案信息管理并没有一劳永逸的方法,与传统档案一样,不存在绝对的安全保障,某一时期看起来再完善的系统也会存在不易发现的漏洞,随着科技的不断发展,会愈来愈明显地暴露出来。同时,档案信息安全维护技术也没有绝对的优劣之分,根据实际情况的需求,简单的技术可能性价比更高。
3.2管理过程中的技术与非技术因素。
档案信息管理工作不是单一的网络技术维护人员工作,也不是管理人员的独角戏,而需要技术与管理的有机结合。档案管理人员可以不具备专业网络技术人才的知识储备量,但一定要具备发现安全问题的感知力与责任心,对于一些常见入侵迹象要了然于心,对于工作中出现的自身无法解决的可疑现象应及时通知更专业的技术人员查看。可根据企业实际情况建立完善的档案安全管理机制,充分调动各部门员工的力量,以系统性、全面性的理念去组织档案信息管理工作。
4网络环境下档案信息安全管理具体保障方法
4.1建立制度屏障。
完善的制度是任何工作顺利进行的前提与基础,对于复杂网络环境下的档案信息安全管理工作来说更是如此。在现今高度发达的信息背景下,档案管理再不是锁好一扇门、看好一台计算机的简单工作,而是众多高新技术的集合体,因此,做好档案信息安全管理工作首先要加强安全意识的宣传,包括保密意识教育与信息安全基础教育,加强档案管理人员特别是技术操作人员的培训工作。同时,应注重责任制度的落实,详细规定库房管理、档案借阅、鉴定、销毁等责任分配,详细记录档案管理培训与考核工作、记录进出档案室的人员信息,具体工作落实到人。在实际操作中,应严格记录每一个操作步骤,将档案接收、借阅、复制等过程完整、有条理地编入类目中,以便日后查阅。
4.2建立技术屏障。
网络环境下的信息安全技术主要体现在通信安全技术和计算机安全技术两个方面。1)通信安全技术。通信安全技术应用于档案资料的传输共享过程中,可分为加密、确认与网络控制技术等几大类。其中,信息加密技术是实现档案信息安全管理的关键,通过各种不同的加密算法实现信息的抽象化与无序化,即使被劫持也很难辨认出原有信息,这种技术性价比高,较小的投入便可获得较高的防护效果。档案信息确认技术是通过限制共享范围达到安全性要求,每一个用户都掌握着识别档案信息是否真实的方案,而不法接收者难以知晓方案的实际内容,从而预防信息的伪造、篡改行为。2)计算机安全技术。从计算机安全角度入手,可采用芯片卡识别制度,每一名合法使用者的芯片卡微处理机内记录特有编号,只有当编号在数据库范围内时方可通过认证,防止档案信息经由计算机存储器被窃的现象发生。同时,应加强计算机系统的防火墙设计,注意查找系统漏洞。
4.3建立法律屏障。
面对如此复杂的网络环境,法律条令是最为有力的防护武器,建立系统完备、结构严谨的法律体系将极大地促进档案信息安全管理工作的进行,应从维护网络资源、维护用户正当权益方面入手,以法律的强制力为档案信息安全管理保驾护航。
作者:徐丽艳 单位:鹤岗市林业局
摘要:大数据征信使个人信息安全处于空前的威胁与挑战,本文简述了大数据征信的概念与发展,探讨其在个人信息安全的保护过程中存在的主要问题,并为完善大数据征信中个人信息保护提出对策与建议。
关键词:大数据征信;保护;个人信息
一、大数据征信的概念与发展
大数据征信是指对海量在线交易记录、社交网络数据等个人的信息进行收集整理,并运用大数据分析和刻画出信用主体的违约率和信用状况,进而控制金融信用风险。解决了传统征信因信息分散导致的采集成本高,效率低下等问题,与传统征信天然互补。由于大数据采集的覆盖面广、信息维度丰富,评估个人信息的信用风险全面而广泛,成为互联网金融和众多相关行业的基石。
二、大数据征信中个人信息安全保护现状及存在的问题
由于互联网征信企业极度依赖于大数据技术的收集与分析,一切信息皆信用,使得个人信息的安全性受到了空前挑战和威胁。近年来违法倒卖、泄露个人信息事件屡见不鲜,极大地影响了社会正常的经济秩序。由于个人信息在我国立法中仍处于薄弱环节,相关法规的制定存在较大的不足与滞后,商业化的大数据征信可能会成为侵害个人信息的工具,需用法律手段加以规制。
(一)立法保护滞后于现实需要
我国目前尚未出台专门的个人信息保护法,尽管个人信息安全保护不断出现在各种法律法规、司法解释中,但相关法律法规的制定过于分散且层次效力不一,在实践中缺乏可操作性,无法满足当前对个人信息保护的高质量法规的需求。现行的《征信业管理条例》与大数据征信的发展不适配,对于大数据征信中个人信息的采集、整理、保存、加工和公布等环节缺乏明确的界定,条例规范范围过于狭窄,对于涉及网络个人信息保护问题未作出合理规范。
(二)征信信息泄露严重监管缺乏
大数据征信涉及大量用户敏感信息,随着越来越多的数据被采集利用,用户面临着面临的信息安全风险变得更加严峻。与普通个人信息相比,征信信息由于价值和敏感性,泄露的危害更为严重。当前信息泄露已经形成产业链,数据黑市犯罪成本低利润高。再加上互联网征信公司内部管理制度不完善,存在业务操作和人员道德双重风险,近年来许多互联网公司人员存在监守自盗的风险,例如京东泄露了12G的用户数据造成其严重后果。2016年的“5•26信息泄露案”,湖南银行行长非法出售个人信息257万余条,包括身份证号、征信记录、账户明细等众多敏感信息。而在国外全球第一大个人征信机构益博睿涉及2亿的身份信息泄露,涉案金额超过6500万美元。
(三)个人维权法律救济困难
随着未来信息开发和利用的日益成熟,个人信息尤其是信用信息具备相当的商业、社会和法律价值。大数据时代使个人信息的权利边界消失,给个人信用信息主体维护自己合法权益带来巨大的挑战。由于个人信息主体往往处于弱势地位,与征信信息管理机构存在着信息和技术不对称,让受侵害的个人信息举证维权之路难上加难。在个人信息受到非法收集泄露等侵害时,由于通过法律救济途径解决纠纷可能产生的成本和风险过高,只好选择放弃诉讼维权,使得本应该成为最终保障的司法救济渠道起不到应有的保护作用。
三、大数据征信中保护个人信息安全的对策与建议
(一)完善个人信息立法保护
针对大数据征信的特点,以征信业规制和网络个人信息保护的专门立法现有成果出发,通过立法出台统一的个人信息国家技术标准,给已有的普遍分散立法以操作的指引,制定最低标准网络个人信息保护法,明确规定个人隐私的信息、个人信息采集基本原则和使用目的,采集收集的负面清单制度,防止个人信息被滥用。通过构建完善的个人信息保护法律体系,为征信体系安全建设提供更有力的法律支撑。
(二)加强行政监督管理与行业自律
加强数据安全体系和信息监管体系建设,防范非法入侵造成信息泄露,对于信息泄露问题完善危机应急预案和补救措施。加强信息安全执法监管,严厉打击非法泄露、买卖信用数据的行为,加大对泄露个人信息企业的问责和处罚。对征信管理机构开展内部安全认证和行业自律机制建设,充分发挥征信行业协会其协调沟通征信机构与监管机构的作用,加强征信行业业务交流和制定技术标准,开展征信信息保护宣传提高民众意识。
(三)探索多元化个人信息保护救济方法
建立征信机构内部的纠纷处理机制,完善信息异议处理解决机制,缩短错误征信数据信息的更正时限,提高征信信息录入质量。完善个人对征信机构的投诉渠道,引入征信行业调解、仲裁和第三方纠纷非诉解决的法律机制。对于公民维护个人合法权益面临取证难、诉讼难等问题,完善互联网情景中个人信息侵权赔偿制度,并在个人信息保护中引入举证责任倒置和集体诉讼机制,优化个人信息司法保护程序,提供便捷高效的法律救济渠道。
作者:林周 单位:武汉工程大学
摘要:云计算时代的个人信息安全体系初步形成,但个人信息安全技术风险和管理风险还大量存在,可能导致个人信息的违法收集、利用和处理,因而有必要构建云计算下的个人信息安全监控机制、侦查机制和应急机制,确保个人信息安全可控和云计算产业健康发展。
关键词:云计算;个人信息;安全风险
一、云计算及其潜在风险概述
云计算是继分布式计算、网格计算、对等计算之后的一种新型计算方式,通过互联网上异构、自治的服务,为用户提供定制化的计算。云计算是将网络储存技术、虚拟化技术、网格计算技术、并行处理技术、分布式处理技术等软硬件技术融合发展的集大成者,也是集合了网络、服务器、计算、储存、应用软件等资源并提供快速便捷、即需即取服务的共享平台。云计算具有按需服务、广泛的网络接入、资源池化、快速弹性以及按使用量计费等5个特点;涵盖私有云、社区云、公有云、混合云等4种开发模式]。云计算有3大优势:
一是具有强大的存储和计算能力,能提供即需即取的服务。最大的云计算平台的服务器数量达到百万级别,一般的云计算企业的服务器数量在几十万台,比较小的企业私有云服务器数量也要数百上千台。另外,云计算还能够弹性配置、动态伸缩,以满足用户规模和计算量增长的需要。二是具有开放性,能实现资源共享。云计算将虚拟化技术、分布式计算技术、效用计算技术和定制、计量、租用的商业模式相结合,最大效率地利用了随时连接、随时访问、分布存取的各个服务器,实现了资源的共享。三是具有管理成本最小化以及与服务供应商的交互最小化的优势,能降低使用成本。云计算具有规模效应和网络效应,在硬件成本、管理成本、电力成本、资源利用率方面都有极大的成本优势,企业和个人也省去了服务器的磨损、闲置和管理成本,只需按需要使用相应功能、按服务量支付费用。云计算潜在的安全风险与云计算的技术优势和经济效益总是如影随形。用户对于个人信息安全的担忧是云计算服务推广应用的首要障碍,云计算的理念是开放和共享,而个人信息安全注重封闭和私权,两者之间存在一定的矛盾。个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可识别特定个人的信息[5]。个人信息涉及用户的人身自由、人格尊严、财产权利等基本权利,事关重大,一般具有极高的敏感性。用户在决定是否使用云计算之前会对云计算的安全风险加以衡量。使用云计算功能在线存储的文档、图片、视频等文件大量涉及个人信息,一旦云计算的安全体系被攻破,则可能发生个人信息泄露、贩卖等事件,严重危及用户的人身财产安全,甚至会造成社会恐慌。与传统的互联网技术相比,云计算环境下保护个人信息的必要性更加突出。一是因为云计算下个人信息脱离了用户的控制范围,一旦云计算服务商的数据中心发生事故,用户无法知悉,也无法及时采取措施,只能被动挨打。
二是因为云计算的交互式、参与性、网络化的特点,用户几乎将所有个人信息被动或者主动地全部暴露在云计算服务商平台上,存在信息不对称和能力不对称的问题,一旦发生侵权事件,用户损失巨大,而且难以维权。
三是因云计算的普及性和规模性,小的漏洞都会造成巨大的破坏,损害具有连锁反应。比如,2011年亚马逊的EC2业务由于出现一点小的漏洞,整个云计算数据中心出现全范围宕机;2012年微软的WindowsAzure平台由于个人服务的设置问题,导致所有集群的功能不能使用。目前,研究云计算时代个人信息安全保护的学者大多从国家立法、行业立规的角度展开。针对个人信息保护的建章立法固然重要,特别是构建规制云计算环境下个人信息保护问题的法律规范和行业标准正当其时,法律的具体执行,特别是建立个人信息安全风险的防控机制和措施更是迫在眉睫,本文拟从这一角度进行探析。
二、云计算中的个人信息安全体系与技术风险
云计算架构分为基础设施层、平台层和软件服务层3个层次,分别对应简称IaaS、PaaS和SaaS3个服务类型。IaaS是由政府或者企业建立的大规模服务器和网络传输连接装置等基础设施,同时采用虚拟技术将分散到各个数据中心的服务器集中起来。PaaS包括基本硬件、基础软件、储存设备等,起到应用支持的作用。SaaS的作用是制定一系列标准和协议,构建公共平台,提供最终的应用服务。分层是横向的、纵向的管理系统将这些资源进行统一的配置和统一运行,实现一站式的服务。不同的云计算服务模式意味着不同的个人信息安全体系,目前大多数个人信息安全体系就是基于云计算服务模型构建的。
(一)IaaS层的个人信息安全体系与技术风险IaaS服务提供商将基础设施,包括服务器、储存、网络等IT设施进行组合,形成不同规模、不同用途的服务产品,大到集网络、数据计算、数据处理于一体的应用系统,小到一台处理简单业务的服务器,然后以套餐的形式提供给用户。用户可以像在麦当劳点餐一样,租用产品目录上的IT基础设施服务套餐,将自己的应用部署在上面,开展各种业务。使用IaaS服务的信息安全风险比较大,无论是物理设施、虚拟化技术、接口设施、还是应用程序,如果发生自然灾害或者操作错误,将会对信息安全造成釜底抽薪般的巨大影响。其中,虚拟化安全风险是防范重点。一方面是虚拟机自身存在的安全风险,包括可能面临用户劫持、脆弱的防火墙等;另一方面是虚拟化软件带来的安全风险,包括未经授权的访问、非法删除、非法添加等[6]。在传统计算机技术下,对于个人信息的保护已经有比较成熟的技术,包括加密和密钥管理、身份识别和访问控制、安全事件管理等。云计算环境更加复杂,更加开放。云计算环境下的IaaS个人信息安全体系的关键是将这些技术进行融合,按照一定的技术标准,形成兼容的、完备的安全闭环,确保物理安全、网络安全、虚拟化安全、接口安全。一是要加入安全防护技术,利用防火墙、病毒防护墙等对整个IaaS进行防护;二是要加入访问控制技术,利用加密和解密管理、身份识别等技术为用户提供用户登录管理、用户认证、数字签名等安全管理服务;三是要加入审计技术,对用户的登录和使用情况进行统计分析,按照不同的风险级别区分不同的安全域,实施不同等级的安全干预[7]。
(二)PaaS层的个人信息安全体系与技术风险
PaaS层处在云计算的中间层,具有承上启下的作用,其对于个人信息的整体安全具有重要作用。PaaS服务商提供的是应用基础设施服务,即中间件服务。PaaS用户可以将其应用系统布置到PaaS平台上,应用系统服务器、网络、操作系统、信息管理等应用系统运行的环境,由PaaS服务商提供保障。所有PaaS服务商不仅提供平台,还提供安全服务。他们的职责是提供安全可靠的运行环境,保证用户的信息安全。PaaS个人信息安全体系要求数据处理符合国家法律法规的要求,主要包括:数据存放位置、数据删除或持久性、数据备份和恢复重建、数据发现;同时禁止一些不当的个人信息处理行为,比如:不同客户数据的混合、数据聚合和推理。PaaS个人信息安全体系重点在于对价值较高的个人信息的保护,尤其是防范对个人信息的交叉查询。
(三)SaaS层的个人信息安全体系与技术风险
与等软件服务模式类似。在SaaS平台上,用户不用购买软件,也不用维护管理,只需要按照服务类型和服务时间支付费用,就可以选择使用符合自己需求的软件。SaaS服务商不仅要管理维护自身的软件,而且要将用户的个人信息储存在自己的服务器上,以便用户随时随地可以接着使用软件。个人信息违法犯罪的概率总是与管理权限成正比。特别是在SaaS层下,存在一个基本的矛盾,一方面,SaaS需要将用户的个人信息进行备份,保存在多个不同位置的服务器上,防止数据丢失、数据删除,提供及时的数据恢复服务;另一方面,SaaS可能涉嫌秘密保存和永久保存用户的个人信息,在用户不知情或者已经删除软件上的个人信息的情况下,仍然保留电子痕迹并随时可以恢复数据。所以SaaS应该提供给用户透明的个人信息储存、删除和保护方案。当然,由于SaaS的共享性,用户的个人信息安全风险主要来自第三方的攻击、窃取和篡改等。SaaS层的个人信息安全体系应该包括以下4个方面内容:
一是应用的安全,软件运行的环境安全可靠,软件能够及时更新换代,确保没有漏洞;
二是个人信息数据库的安全,数据库与应用软件数据应该隔离分开,多个服务器进行分别储存,并使用防火墙、密钥管理等技术进行数据库的保护;
三是个人信息的传输安全,采用加密的传输协议,确保用户在客户端和云计算服务器之间传输个人信息时不被截留;四是访问控制机制,由于多个用户共用云计算服务器,需要对个人信息进行分块隔离,采用身份识别、数字签名和访问控制技术对访问登录进行严格管理。上述分析是着眼于云计算平台3个层次本身的技术漏洞,除此之外,云计算用户的服务终端也是个人信息安全风险的重要源头。一方面,云计算环境下,服务终端与云计算平台连为一体,构成一个统一的系统,具有极强传染性和破坏性的病毒很可能从服务终端侵入到整个云平台,导致整个云的崩溃或者瘫痪。特别是现在手机服务端日益普及,APP使用率日益增高,手机病毒的传播更加猖獗,也极易侵入云计算网络。另一方面,黑客也很可能通过云计算网络对服务端发起攻击,即使用户的计算机采取防火墙、杀毒软件等安全措施,但毕竟防范投入和水平有限,未必能阻挡病毒的侵袭。恶意代码制作者、病毒邮件发送者以及其他恶意攻击者可能直接窃取用户服务端的个人信息,这种窃取采取各个击破、蚂蚁搬家的形式,更加难以觉察和防范。他们也可能破解或者盗取用户在云计算平台上的登录名称和登录密码,盗取用户储存在云计算数据中心上的海量个人信息。
三、云计算中的个人信息安全管理风险
除了云计算技术风险,云计算的管理不善也可能带来个人信息的安全风险。天灾易避,人祸难防,云计算时代个人信息安全管理风险更大,后果也更为严重。技术风险多为概率事件,偶然性较强,而管理风险存在主观故意,发生的可能性更高。技术风险可能造成个人信息的破坏或者丢失,但不一定立即引起直接损失,而管理风险一般伴随着恶意商业目的,紧接着就可能造成用户财产的损失或者人格权利的侵害。技术风险可以由云计算服务商通过技术改进进行补漏,通过人工操作进行补救,但是,在信息不对称的现状下,道德缺失造成的云计算服务商监守自盗所带来的风险几乎是难以防范的。下面笔者将从个人信息的收集、利用、处理3个方面归纳总结各种安全风险。
(一)道德的失范导致的个人信息收集风险
在云计算产业巨大利益的驱使下,云计算服务商可能有意或者无意地大量收集用户的个人信息。云计算的主要商业模式是由云计算服务商运用数据挖掘技术,海量收集各类政府机关、企事业单位、个人用户的信息,进行储存、信息交换、个性服务、定向营销等。信息量越大,服务功能越强,商业价值就越大,这直接激发了云计算服务商收集个人信息的动力。首先,用户在使用云计算上的软件时,并不知悉个人信息已经被计算服务商获取。虽然法律规定服务商必须履行告知义务,但是软件的告知明细往往过于复杂,用户如果不仔细阅读一般都难以发现。特别是信息收集技术的不断进步,云计算服务商的信息收集能力不断增强,信息收集的种类和数量往往超出了用户能够知晓的范围。有时候,云计算服务商秘密收集或者备份用户的个人信息,但有时用户知道自己的个人信息要被收集,为了享有便利的服务,不得不放弃个人信息权。其次,由于数据挖掘、数据比对等众多信息收集技术的出现,云计算服务商具备了强大的信息比对、分析、归纳、推理、整理能力,能够将用户在不同平台不同服务中的碎片化个人信息整理成完整的个人信息图谱,能够掌握用户完整的特征和清晰的活动轨迹。虽然这些个人信息能够更方便地为用户提供优质的个性化服务,但这些脱离信息主体的个人信息,往往处于事实上的权利失控状态,信息主体并不知道谁收集、处理和利用了他们的信息,以及以何种手段收集、处理和利用他们的信息,这构成了巨大的个人信息收集风险[8]。第三,不同云计算平台之间可能存在不正当的个人信息交换,秘密签订个人信息共享协议,实现云计算服务商的商业利益最大化。特别是在云计算不区分国界的情况下,个人信息的跨境传输更难以管控。斯诺登事件就曝光了一些云计算企业在国家力量的支持下,收集其他国家公民的个人信息。这样的跨境收集个人信息的行为,不仅侵害了公民的民事权利,还侵害了一个国家的信息主权。
(二)规则的缺失导致的个人信息利用风险
云计算产业发展迅猛,但是云计算领域的规则和标准的建构与完善却相对滞后,这种不对称的发展造成了个人信息安全领域的无序状况,容易造成个人信息利用的违法和犯罪。首先,云计算安全技术标准还有待强化和细化。没有统一的云安全技术标准,无法强制要求云计算服务商布设有关安全技术措施,导致一些服务商重视能够带来盈利的商业技术,而忽视了不能带来直接利益的安全技术。没有安全技术标准的约束,一些云计算服务提供商还可能在云计算系统中插入秘密收集个人信息的软件,比如等等。其次,云计算行业的制度规范也尚未制定。云计算产业需要一套关于个人信息保护的完整的行为准则,确立个人信息数据库的管理制度,明确个人信息处理人员、安全管理人员、系统开发人员和系统操作人员的职责范围和操作规程。云安全规则的缺失极其容易造成个人信息的滥用。云计算服务商可能将个人信息应用于定向推送广告、不断骚扰下的强迫交易、信息销售等。在现实生活中,用户将身份证复印件提供给服务商时,往往在身份证上注明“仅限用作……”等字样,确保身份证复印件的有限使用和特定用途使用。但是电子数据形式的个人信息极易被复制,很难保证服务商不将其挪作他用。第三,由于个人信息相关法律不够健全,云计算环境下个人信息的保护法更是少之又少,个人信息缺乏有力的司法强制力的保护。云计算用户在个人信息遭受侵犯时,往往难以获得有效的救济。云计算没有地域性,个人信息案件的管辖难以明确,造成立案难;云计算具有虚拟性,电子数据极易篡改,造成个人信息案件的取证难;另外,个人信息具有非物质性,其价值难以计量,造成个人信息案件的赔偿难。
(三)管理的失位引发的个人信息处理风险
我国云计算产业刚刚起步,无论是监管机构还是云计算企业,都尚未建立完整有效的管理机制。一方面,政府监管力度不够。目前,我国云计算的监管部门是国家工信部,由于其职能主要是促进产业发展,因此往往重发展而轻安全。个人信息的违法犯罪涉及司法权和行政执法权,信息化管理部门还无法行使调查取证、强制措施、搜查冻结、罚款没收等权力。另外,由于条件的限制,信息化管理部门进行个人信息安全执法的力量较为薄弱。另一方面,企业管理动力不足。云计算服务商利用个人信息的利益和用户保护个人信息的权利存在一定的矛盾,企业没有足够的动力投入更多的人力物力进行个人信息的管理。云计算企业对于能够产生经济价值的个人信息的利用较为重视,而对于不能直接产生经济效益,甚至有可能产生负效益的个人信息的管理重视不够。云计算服务提供商如果不加强内部操作人员的管理,不加强个人信息保护内部控制的建设,操作人员违规处理个人信息的现象将不断出现。云计算时代,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让其能轻易获取重要个人信息甚至得到整个云服务平台的完全控制权。用人失察或监管缺位都会给个人信息安全带来灾难性的损失。
四、云计算下的个人信息安全防控措施
云计算下的个人信息安全已经不是一个纯技术问题,仅仅依靠云计算企业采用先进的云安全技术去遏制个人信息的违法犯罪是不够的。唯有法律才能明确管理责任,才能明晰处理个人信息的权限,才能惩罚和防范一些犯罪分子利用个人信息谋取私利。违法收集、利用、处理行为主要承担民事责任、行政责任和刑事责任[9]。个人信息相关法律法规的制定非常重要,而且迫在眉睫。但是个人信息安全防控机制的构建、个人信息安全防范措施的完善同样非常重要。作为以保障公共安全、保护人民生命财产安全为职能的公安机关,在防范和控制个人信息安全违法犯罪中,具有得天独厚的优势。我国应该构建以公安机关为主,信息化管理部门协调配合,法律规制与行业管理相结合的个人信息安全防控体系,构建并完善云计算下的个人信息安全监控机制、侦查机制和应急机制。
(一)云计算下的个人信息安全监控机制
信息的公开具有不可逆性,云计算个人信息安全事故一旦发生,造成的损害无法恢复原状。因而个人信息的保护不能依赖事后的被动处理,而应该着重于监控与预警,从事后救济、被动维护向事前设计、事中报告、主动监控转移,形成常态的监控机制[10]。首先,应该制定统一的技术标准,要求云计算服务商在系统中植入安全监控技术;制定统一的行业规范,要求云计算服务商建立完善的内部控制制度。利用安全监控技术,公安机关、信息化管理部门和云计算服务商都能及时了解云计算系统运行状态。监控技术不仅起到预警作用,也为云计算安全的内部控制提供数据支撑。其次,应该建立常态的个人信息安全报告机制,要求云计算服务商及时报告个人信息流动的异常情况。个人信息安全的报告机制可以借鉴我国《反洗钱法》中的“大额交易和可疑交易监控与报告”制度,要求云计算服务商将可疑的个人信息流动报告给公安机关和信息化管理部门。可疑的个人信息流动是指个人信息流动在数量、频率、流向和性质等方面表现异常,或与客户身份、登录状况、活动规律不符,存有个人信息违法犯罪嫌疑的流动。
(二)云计算下的个人信息安全侦查机制
严格的侦查机制和过硬的侦查能力是个人信息安全保护的根本保障。要整合公安机关、信息化管理部门、行业自律组织的资源,司法、行政与行业之间无缝对接,协调配合,共同执法。在行政和刑事执法过程中,取证难严重降低了打击违法犯罪行为的力度。在云计算环境下,某些电子证据依靠目前的侦查技术,还难以充分侦测与提取。如在云应用服务中,有许多服务通过运行的虚拟专用网络(VPA)访问,现有侦查技术几乎检测不到[11]。对此,可以采用面向取证的现场迁移技术等进行侦查,采取迁移取证监管来调度和监控镜像证据提取层的每一次迁移操作,并记录下全部的迁移过程信息,保证取证数据符合证据法要求的可靠性和完整性[12]。
(三)云计算下的个人信息安全应急机制
云计算服务提供商应当设置个人信息安全监控中心,负责系统安全的全面维护、个人信息安全的总体监控、个人信息安全情况报告和个人信息安全事件的处置等[13]。公安机关和信息化管理部门要根据云计算服务商提交的可疑个人信息流动报告,进行认真研判、仔细甄别。对筛选出来的违反法律规定的个人信息安全事件,要根据严重程度,启动个人信息安全应急机制。应急机制分为轻微、一般、重大、特别重大等不同等级。不同等级的警报对应不同级别的应急方案。应急方案包括提醒客户、数据隔离、数据恢复、停止运行等。其中数据隔离可以保证用户的个人信息运行于封闭且安全的范围内,防止进一步地泄露,避免用户间的相互影响,减少用户错误操作或受到计算机病毒攻击时对整个系统带来的安全风险。数据恢复是针对计算机病毒攻击的重要应急措施,包括恢复个人信息和遭受病毒侵害的软件等。数据恢复是典型的事后应急措施,可以保证云计算服务可靠性和可用性。
五、结语
技术的进步必然引起法律制度的变革,产业的发展必须依赖法律机制的完善。云计算时代,个人信息安全的法律规制迫在眉睫。随着云计算成为人类基本的工作、生活环境,个人信息都无法避免地集中到云上,海量个人信息的安全问题是公安机关必须面对的难题。个人信息安全监控机制旨在防范犯罪,个人信息安全侦查机制旨在打击犯罪,个人信息安全应急机制则是处理已经发生的犯罪。建立系统的个人信息安全防控机制,多方位协同发挥效力,方能最大程度确保个人信息安全可控和云计算产业健康发展。
作者:魏光禧 单位:华中科技大学法学院
一、公民个人信息安全问题概述
(一)公民个人信息的基本概念
从基本概念进行分析的话,首先,个人信息的主体是公民,根据我国宪法规定,凡具有中华人民共和国国籍的人都是中华人民共和国的公民,国家尊重和保障人权,任何公民享有宪法和法律规定的权利,同时必须履行宪法和法律规定的义务。通过法律规定我们可以了解到,个人信息的主体并不仅限于居住在国内的中国公民,还包括获得中国国籍的外国人和无国籍人士,在这些人的个人信息权受到不法分子侵害时,一律享有我国刑法的保护。其次,关于个人信息的解读,各学派一直存在着争议,无论哪种观点,都没办法准确涵盖个人信息的全部。笔者认为,公民个人信息是公民个人所拥有的,能够直接或间接的识别本人的特定资料所反映出的内容。如姓名、性别、年龄、身高、体重、肖像、身份证号码、职业、教育状况、联系方式、家庭背景等等和本人人身密切相关的信息,还包括着隐私范畴内的如既往病史、财产收入等信息。与此同时,对于个人信息的定义,还需要根据社会的发展,在日后的立法过程中进一步完善。
(二)公民个人信息的法律属性
在公民个人信息的保护中,其法律属性一直颇具争议,成为法学界研究的重点。就目前来说,关于个人信息的法律属性,主要有三种观点:一是所有权学客体说,他们认为个人信息具有实际利用价值,所有者对其具有支配权,可以作为商品买卖出售,从而为信息的所有者带来经济上的收益,具备财产属性,因此被列入所有权范畴;二是以隐私权客体说,认为个人信息属于个人隐私,个人隐私包含个人信息,在这方面美国是最早将个人信息纳入隐私范畴进行立法的国家,比如《隐私权法》和《联邦电子通讯隐私权法案》中对个人信息都有详尽的保护措施;三是人格权客体说,将个人信息划分到人格权中,认为保护公民的个人信息安全就是维护公民作为人最基本的尊严,体现的是公民个人的人格利益,因此应该受宪法和其他法律的严格保护。
(三)公民个人信息与相关概念的区别和联系
公民的个人信息涉及内容较广,和很多专有名词的概念都有着相似之处,通过分析,笔者主要将目光集中在个人隐私上面。个人隐私指私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开。比如我国在《侵权责任法》中明确规定:“未经公民许可,公开其姓名、肖像、住址和电话号码”以及“私拆他人信件,偷看他人日记,刺探他人私人文件内容,以及将他们公开”等行为,都属于侵犯公民的隐私权。由此可见,个人隐私大多是公民不希望被外人所知的、敏感的信息,而个人信息不仅包括禁止他人干涉的敏感信息,还包括可以向大众公开的信息。因此,个人信息与个人隐私是两个相互交叉,又在外延方面相互区别的名词概念。就对公民的立法保护工作来说,个人信息的保护比个人隐私的保护更加全面。
二、公民个人信息安全的法律保护现状
(一)公民个人信息安全受侵害的具体表现
当今社会,互联网的使用,让人们的生活被手机、电脑等各种电子产品包绕,在这种大环境下,人们在从事购物、交友、出行、入住宾馆等各种社会活动时,很多情况下都会将自己的个人信息告知与商家,进行登记,这就造成了个人信息泄露的可能和隐患。对于商家而言,信息就是资源,信息就是商机,那么利用信息进行违法犯罪的活动就应运而生了。一些机构疏于管理再加上一些不法分子的违法犯罪行为,致使我国公民信息泄露的情况非常严重,大量兜售车主房主信息、大学毕业生应聘人员信息、商务人士信息、患者信息、电信用户信息的现象在社会上层出不穷,一些商家将自己搜集到的客户信息进行出售,甚至形成了一个新兴的“信息倒卖”产业。商家利用这些信息进行推销,违法犯罪分子利用这些信息进行诈骗,甚至通过“人肉搜索”对当事人进行名誉侵害,通过某些编程窃取网银密码盗取用户存款等等,这些行为已经严重影响到人们正常的工作和生活,应当给予严厉的打击和制裁。
(二)现有法律对公民个人信息安全的保护
宪法、民法、行政法和刑法是构建我国法律框架的四个关键部位,对于公民个人信息安全保护的相关法律法规,也应该由这四个方面进行分析。首先是国家的根本大法———宪法明确规定:“公民个人尊严不容侵犯,任何侵犯公民的行为都要受到法律制裁。”这一规定虽然没有出现“个人信息”的字眼,但个人尊严与个人信息紧密相关,从此种意义上来讲,宪法对公民的个人信息安全提供了原则性的保护;其次是民法,对与公民的个人信息有关的姓名权、名称权、肖像权和荣誉权做出了相关的司法解释,任何人如果侵害公民的这四项权益,都将受到民法的制裁;另外,涉及公民个人信息保护的行政法近些年才开始颁布施行,有《居民身份证法》、《物业管理法》、《电信条例》等等;直到《刑法修正案(七)》的出台,才首次将侵害公民个人信息安全的行为定罪入刑,填充了我国刑法保护公民个人信息的空白。
(三)刑法保护公民个人信息安全的必要性
刑法作为法律的最底线,只有在其他法律都无效的前提下,才会实行刑事处罚,给予犯罪分子最沉重的打击。在我国现有阶段,对公民的个人信息安全的相关法律的制定还不到位,虽然宪法、民法以及行政法都对公民的个人信息安全保护有所涉及,但通过施行效果可知,宪法作为国家的根本大法,其中的法律条文尽是原则性的规定,没有触及到根本,仅仅提供了一些原则性的间接性的保护;民法虽然明确提出了对姓名权、名称权、肖像权以及名誉权的保护,但公民的个人信息涉及的内容远远不止于此,过于零散的法律规定,削弱了民法的可操作性,针对公民个人信息的犯罪行为得不到应有的制裁;行政法对于破坏公民个人信息安全的实施主体限制范围相对狭小,主要针对行政机关人员,而且处罚力度较小,不能对公民的个人信息提供全方位的保护。因此,加强刑事立法,对公民的个人信息安全保护有着显著的现实意义。
三、公民个人信息安全的刑法完善建议
(一)明确公民个人信息的概念和犯罪主体范围
要解决公民个人信息安全的刑事立法问题,首先要明确个人信息的基本概念和犯罪主体范围。现阶段,我国在这方面的刑事法律还不够完善,新出台的《刑法修正案(七)》中规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”虽然指出犯罪对象是公民的个人信息,但同宪法、民法、行政法一样,没有对公民的个人信息做出具体的解释,不管是公开信息还是属于个人隐私的信息,在量刑规定中没有针对不同的犯罪情节做出清晰的界定,以至于不法分子得不到相应的惩罚。同时,在条文规定中使用“等”字,也让犯罪主体模糊化。为了避免法律上的漏洞,给犯罪分子以严厉的打击,明确公民个人信息的概念以及犯罪主体的范围,是当前完善刑法的重中之重。
(二)根据犯罪的行为和情节细致刑罚
《刑法修正案(七)》中,第七条增设了出售、非法提供公民个人信息罪及非法获取公民信息罪,根据刑法规定,区别本罪“罪与非罪”的界限就是情节是否严重。而根据我国的立法情况来看,当前并没有任何法律条文对情节是否严重划分出明确的界定范围。因此,在裁判过程中,对于“罪与非罪”就存在争论,司法机关必须根据案情酌情评判情节的轻重,给司法机关的案件处理带来不小的难度。如果出台的法律能够将犯罪行为细致量化,司法机关审判案件的压力将会大大减小,比如立法机关可以根据公民个人信息被出售的份额,或者非法提供公民个人信息所得利益对刑事处罚的幅度进行划分,份额由小到大对应犯罪情节由轻到重,相应的刑罚也会逐渐增加,尤其是给当事人带来重大人身或财产损失时,犯罪行为更不可姑息。如此一来,犯罪主体都能够得到与之犯罪情节相对应的惩罚,不会出现钻法律漏洞的现象,实现司法的公平性。
(三)构建立法司法执法部门工作一体化机制
在保护公民个人信息安全的过程中,必须要贯彻“有法可依、有法必依、执法必严、违法必究”的基本要求。因此,首先从立法层面上讲,立法机关要深入社会调查,根据实际情况构建法律条文,尤其要充分听取群众的意见和建议,对于刑法的完善有着积极的现实意义;其次从执法层面而言,公安机关要严格按照法律规定处理对公民个人信息进行侵害的犯罪分子,绝不姑息养奸,让犯罪分子有机会逃脱法网;从司法层面来说,法院及检察院在裁定犯罪结果的过程中,要秉承公平公正的原则,给受害者一个满意的答复。同时,立法、执法、司法机构要互相监督,互相制约,才能有效打击此类犯罪。
(四)借鉴学习国外在公民个人信息保护方面的立法经验
在公民的个人信息安全保护中,不仅要完善刑法,宪法、民法、行政法都要同时完善,只有构建完备的法律体系,才能为公民的个人信息安全提供坚实的堡垒。将来随着立法的逐步完善和条件的逐步成熟,借鉴国外的先进经验无疑是明智的选择。从立法模式上,笔者比较倾向于以德国为代表的统一交叉立法模式,制定专门的法律条案,对公民的个人信息进行整体归类,同时视情节轻重给予相应的处罚措施,避免了法律零散化带来的不便。
四、结语
综上所述,刑法作为保护公民个人信息安全的最后一道屏障,它的完善对于公民个人权益的保护有着极为重要的意义。对于刑法涉及到的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,要切实做好法律宣传,对核心的工作人员做好监督工作。同时,有关部门也要加强对公民保护个人信息安全的宣传教育,只有提高公民个人信息安全自我保护的法律意识,才能从根本上遏制犯罪行为的产生。
作者:王晓 单位:河南理工大学
【摘要】社交网络已经成为我们生活和学习中不可或缺的重要组成部分,在这一背景下,信息安全问题已经受到了社会各界的广泛关注。本文主要分析社交网络中用户个人信息安全的保护措施。
【关键词】社交网络;用户个人信息;安全保护
在科技的发展下,我们已经步入了大数据时代,社交网络开始兴起,越来越多的人利用社交网络来分享自己的所见所闻,我们也开始通过电脑、手机来记录信息,社交网络中的个人信息也开始成为商家博弈的焦点,在开发社交网络的过程中如何保护个人信息是大数据时代亟待解决的一个问题。
1社交网络用户个人信息安全存在的挑战
社交网络运营商必须要在掌握大量数据的基础上来分析用户、预测市场走向,这样才能够在激励的竞争中一直都处在不败之地,但是,这同时也是一把双刃剑,虽然能够帮助商家准确的预测信息,但是也给个人信息安全性带来了巨大的挑战。其风险主要表现在以下几个方面:
1.1账号被盗的风险
账号安全是我们使用社交网络的基本要求,在大数据环境下,人们的社交网络账号越来越多,为了方便记忆,常常使用同一个手机号与邮箱进行认证,为了便于后续的操作,网络运营商之间也在不断的进行合作,同一个账户可以享受多个网站的服务。同时,数据的关键性非常强,一旦其中一个账户被盗,就会波及其他的账户,账户安全问题是非常严峻的。
1.2个人信息控制权问题
与传统环境相比而言,人们对于个人信息的控制权变得越来越低,在传统环境下,信息控制需要付出较高的代价,但是在现阶段的时代,个人的信息很容易被收集、访问以及传播,对不同社交网络的信息进行分析与整合,能够建立起一种包括朋友圈、喜好、个人履历、信仰的信息体系。如果这些信息被黑客获取,很容易影响我们的信息控制权。
1.3隐私安全问题
隐私安全问题是目前个人信息安全面临的最严峻威胁,人们的地理位置、日程、情绪已经被数据化,与传统互联网时代相比,大数据时代数据之间的关联性更加高,虽然运营商对于这些信息都会进行匿名处理,但是,不安好心的人可以通过软件将这些分离的数据关联起来,导致数据匿名性失效。
2在社交网络中如何保护个人信息的安全性
如何保障个人信息的安全性是使用社交网络必须要考虑到的重要问题,需要从行业、国家与用户层面进行应对,充分发挥出创新用户的优势:
2.1要有法律保障
大数据在我国还属于一种新生事物,行业需要不断的前进和努力,关于大数据还没有完善的法律制度,这是无法保障个人信息安全的。目前,《信息安全技术、公共及商用服务信息系统个人信息指南》是保护个人信息的最高标准,其实施时间是2013年3月份,对于相关信息予以了明确的界定,但是这是无法保护个人信息安全性的。同时,散落的信息也难以满足用户的信息控制权,为了最大限度的保障个人信息安全,必须要及早制定好完善的法律法规,出台《个人信息保护法》。
2.2完善行业自律公约
良好的行业自律公约是保障这一行业和谐发展的前提条件,要让社交网络之路走得更加长远,就需要构建起关于本行业的规章制度。这可以采取几个措施:第一,尊重每一个用户的知情权,为他们提供授权的方式,在服务条款中阐述信息数据的使用期限和使用方式;第二,寻求个人信息的拥有者,为数据服务商、数据消费者以及个人信息拥有者制定出完善的行业自律公约,保障数据应用的科学性,保障用户个人信息的安全性和隐蔽性,为他们营造出良好的数据使用环境。
2.3提升用户的信息安全素养
用户是使用社交网络的主人,要真正保证个人信息的安全,用户必须要具备一定的安全素养,信息安全素养主要由信息安全知识以及信息安全能力有机组成。实际上,信息安全知识是非常丰富的,作为使用者的我们需要加强学习,积极主动的了解病毒、木马的特性,提升自己的信息安全意识,明确自己的责任与义务。同时,在使用社交网站的过程中,要遵循相关的法律法规,对于重要资料,要定期进行备份,此外,还要定期对自己的移动设备和电脑进行更新,避免使用公共网络,这样才能够最大限度的保障个人信息的安全性。
2.4提升社交网络企业信息安全管理水平
无论是法律制度与行业自律,都离不开外部力量的保障,社交网络企业必须要采取合理的措施提升用户信息安全性,用户信息安全保护的主体主要针对社交网络企业,他们为了开展业务,需要收集大量的信息,各个社交网络企业必须要将保障用户信息的安全提升到一定的高度,加强管理力度。目前,大多数社交网站都采用了Ajax技术,在运行过程中,必须要关注CSRF以及XSS的攻击,在网站成立初期,可以限制用户的输入内容,对页面开展代码测试。同时,还要具备良好的信息伦理道德,注重对用户信息的保护,细化隐私条款,制定出安全的网站访问指南,在收集以及利用信息时,应该设置好限制,明确收集目的,对于涉及财产安全和用户隐私的信息,必须要加大保密级别,严格限制其利用和访问。此外,还要注意到的问题是,目前很多社交网站都开始与第三方应用程序进行协作,这些程序能够获取到用户的信息,社交网站是无法对此进行监控的,因此,相关部门需要进一步推出与第三方应用程序相关的安全保护准则。
3结语
社交网络的不断普及和广泛应用,使人们的个人信息与日常活动在网络上得到越来越多的展现。但是,社交网络为用户提供交流和展示平台的同时,如果不能对涉及用户切身利益的个人隐私信息加以保护和控制,将会给用户带来严重的困扰和损失。提高社交网络的信息安全,需要用户提高信息安全意识,从自身做起,保护隐私信息,社交网站则需要坚守保护用户隐私的承诺,加强对自身以及第三方的监控和管理。同时,政府也需要制定相关的法律政策,创造良好的法律环境,为社交网络用户提供有效的法律保障。
作者:徐子琳 单位:湖南省长沙市第一中学
一、引言
信息与网络安全是当今计算机研究领域的一个重要研究方向,随着信息技术的发展,特别是互联网的迅速普及和广泛应用,信息安全的地位越来越重要,已经引起各政府、企业部门的高度重视。目前,我国在信息安全技术方面的起点还较低,国内只有少数高等院校开设信息安全技术专业,信息安全技术人才奇缺。特别是在政府机关、国家安全、银行、金融、证券等部门和领域,对信息安全人才的需求量更是惊人。因此信息安全变得至关重要,信息安全已成为信息科学的热点课题。因此信息安全技术的专业人才培养在高校计算机专业中的重要性日益凸显。从市场需求来看,需要大量的熟悉信息安全产品销售、推广、安装、维护与用户培训的信息安全人才,也需要从事网络安全管理、保证企业网络安全运行的信息安全人才,还需要能够迅速排除或解决网络故障的信息安全人才。由此而论,信息安全专业的市场需求是潜力无限的。我院信息安全技术专业自开设以来,就以培养技能型安全技术应用人才为目标,经过专家委员会指导,结合社会市场调研,制定培养计划和教学计划,力求让培养体系达到科学合理。我校作为应用型本科人才的培养基地,在计算机本科各专业中逐渐开设了“信息安全技术”课程,其中有课内实践环节。早在教育部教高[2001]4号文件中就明确提出“实践教学对于提高学生的综合素质、培养学生的创新精神与实践能力具有特殊作用。”。基于目前的课程设置,对“信息安全技术”课程中实践教学环节的教学研究和改革任务非常迫切。信息安全技术课程是“软件工程”专业和“计算机科学与技术”专业分别在大学三年级上学期和下学期开设的专业必修课。课程的目的与任务是使学生了解信息与网络安全的基本知识,理解现代主流的信息加密与解密方法,掌握当前常用的信息与网络安全技术。由于信息安全技术是一门实践性较强的课程,如果仅仅通过书本内容,没有动手操作,学生是不可能深入地掌握信息安全的常用技术。因此如何合理安排有限的实验课时,如何编写合适的实验项目指导是实践教学环节中的重要任务。
二、实践方案设计
在确定软件工程专业为卓越计划试点专业后,软件工程专业的培养计划进行了较大调整,特别是“信息安全技术”课程结合“卓越工程师”培养目标,减少了理论课时数,而实践环节从无到有,总学时数减至40,其中实践环节课时数为8。依据此调整,向卓越班开设的“信息安全技术”课程需要重新组织,而其中新增加的仅8个学时实践课,如何与理论课结合,创新地进行实践设计和编写实验项目指导,的确需要深入细致的探讨和设计。首先,由于课程开设时间短,课时数有限,要想将信息安全技术的全部知识都灌输给学生,是不可能的任务。教师的第一要务是授之以渔,而不是授之以鱼。计算机专业的日新月异是大家面对的常态,今天教会学生某种程序语言,可能过几年后早已被淘汰。因此在设计实验方案时,不能过于注重具体的某种软件环境,而应该关注教给学生设计思路和方法,具体实现和执行可以有多种表现形式。其次,在设计实践方案时,参考和借鉴了国内外同行们的教学理念,基于教与学是一个双方互动的过程,在实验方案的设计中采用了“任务驱动模式”,在实验项目中安排一些需要学生思考或者课后完成的任务。这也是对学生实践进行考评的重要依据。在测评学生实践成绩时,不是简单地看实验报告或结果,而是注重实验过程和学生自己查找问题、解决问题的创新能力。第三,实践教学中要充分发挥学生的主观能动性。编写实验项目时不能只有规定好的步骤和参数,学生简单地重复实验指导的内容。这样的弊端是学生做完后容易遗忘。因此实验项目的编写要有创新性,不再是从实验数据到实验结果都与老师做的一模一样的“死的实验”,而是每个学生可能有不同答案的实验。由于结果是未知的,学生更能兴致盎然地投入其中。在实验中还可以安排一些学生可能感兴趣的选做内容,以便自己去研究探索。
三、实验项目实现
在新的指导思想下,创新地设计了六个实验项目,包含了必做实验和选做实验,学生可以根据自己的兴趣方向和实践能力选择完成4个实验项目。实验项目具体内容在新编写的实验指导书中描述,下表是新建实验项目简介。由于课程的理论基础是不变的,在理论课时中已介绍了目前常用的加密和解密方法,体现在实验中分别是古典加密算法实验和现代加密算法实验。在古典加密算法实验中选取了相对较易编程实现的凯撒密码,给出了加密和解密公式,并且有关键实现语句的提示,这样学生在编程实现时比较容易完成。在思考任务中,要求学生扩展思路,改变密钥关键值,从而得出不一样的密文,使得算法更具有扩充性。学生可以用不同的流程图和编程语言,只要有正确的算法思想,无论什么样的软件开发环境,都可以加以实现,也体现出了更具个体化的教学特点。现代加密算法实验由于算法复杂,加密过程庞大,学生较难独立编程完成,因此在授课时采取了简化的DES算法(Simple-DES)讲解和作业,讲清算法原理,在加密步骤中用S-DES让学生完成作业。实验项目中选取了非对称加密体制的RSA算法,学生只要掌握了加密原理,可以采用较简单的可分解小素数来编程实现加密和解密过程。在实验中还增加了让学生自行查找如何判断大素数的算法任务,学生可能会找到不同的检验算法,这也是实践成绩评价的重要组成部分。“信息安全技术”课程内容广泛,既涵盖基础密码理论,还有当前与每个人息息相关的计算机安全。这部分内容又包含着计算机系统安全、网络安全、软件安全、Web安全等等丰富的内涵,在有限的课时内不可能全部讲深讲透。因此在介绍理论知识之后,实践内容中安排了系统安全实验和Web安全实验,这2部分内容可以让学生根据每个人对计算机操作系统和软件的熟悉程度,自行选做部分实验,体现出因材施教的特点。随着计算机网络和网上购物的普及,网络安全问题被越来越多地重视。因此在设计实践方案时,将网络安全实验和网上支付作为必做实验,帮助学生了解常用的网络服务工具,掌握基本的网络安全技能,培养课后对网络安全的重视和研究。现在基本上学生都有接触网络的条件,但是很多人还没有建立网络安全的意识,在上网时面临着巨大的风险。实验项目中选择常见网络问题,常用网络工具,来帮助学生掌握网络安全基础知识。在实践教学中我们欣喜地看到,学生的潜力是无穷的,当他们喜欢钻研某件事,某个问题时,不需要老师太多的帮助,学生会废寝忘食地研究,激发出巨大的潜能。在以往的教学和实践中,我们已经看到了这样的成果。这也是在“信息安全技术”实践教学中探索的重要课题。教育的目的是通过教学的过程去唤醒受教育者的内力,而不是灌输无尽的知识。只有当学生主动地“我想要知道它”时,而不是老师主动地“我要你知道它”时,才是回归教育的本源。
四、结束语
相对于其他课程,“信息安全技术”实际上是综合性极强的一门计算机技术,课程内容也极为丰富。此次通过增加实践教学环节,迈出了改革和探索的第一步。设想今后能否增加“信息安全技术”的课程实践环节,要求学生在学习了理论和实践知识后,分组为自己的宿舍或者校园机房设计一套综合安全防御体系,提交的课程设计结果可以有多种方案,只要能利用所学知识,将加密算法、访问控制、入侵检测、病毒防范等技术应用到信息安全的不同层次。这样对于提高学生的创新能力和动手实践能力,提高实践教学效果无疑有着极大的益处。
作者:张成姝 林捷 于万钧 单位:上海应用技术学院
摘要:随着互联网科技信息技术的发展,越来越多的人使用计算机进行工作,已经成为了人们生活中不可或缺的一部分,作为计算机的使用者来说,个人信息的保护很重要,但是在目前网络环境下计算机个人信息安全保护做得还不够到位,很多的制度、技术还不能完全的满足人们对个人信息保护的需要,而且人们的个人保护意识也不是很强,因此,本文针对目前计算机个人信息安全的保护现状,对存在的问题进行分析,进而提出相关的解决对策。
关键词:网络;计算机;信息安全
1网络环境下个人信息概述
1.1网络环境下个人信息内涵
网络环境下个人信息主要是指利用互联网技术对个人相关信息进行识别和获取,涉及了邮件、账号、IP地址、域名、身份、地址等等信息,也包括个人的姓名、电话、身份、社交信息、标志、指纹、基因、身份证等,网络环境下个人信息受到了窃取,本质上是侵犯了个人的隐私权,所谓的隐私权主要是个人的秘密、姓名以及肖像、私生活以及真实的社会形象。很多的不法分子通过互联网等相关技术对个人信息进行窃取,为了一已私利,不但影响到个人的安全,也是触犯法律的行为。[1]
1.2网络环境下个人信息侵犯的种类
1)IP地址IP地址属于目前最容易被侵犯的个人信息途径之一,通过计算机服务器记录,犯罪分子便可以据此攻击个人的计算机,进而控制他人的计算机,以便获取所想要的信息,或者植入病毒,损害个人计算机。2)账号密码现在计算机网络用户想要使用互联网提供的服务,一般都需要注册账号,比如求职网站、人人网、微信、QQ等社交媒介、或者会员等账号,这尽管对于规范网络秩序有了一定的积极作用,但是不法分子通过一些技术手段可以窃取个人的账号密码,导致了个人大量的社交信息被泄露。[2]3)个人的姓名、电话、照片、身份证等泄露这些与个人比较贴近的信息如果被泄露,就会给人们的日常生活带来极大的困扰,比如推销电话、电信诈骗、广告等信息接连不断,这些信息一部分是人们在生活中需要办理各种业务也无意间被泄露的,大部分是通过网络注册或者填写一些资料而泄露的,这是目前个人信息泄露比较普遍的方式之一。4)社会关系以及职业信息泄露当前很多的诈骗都是通过冒充受骗人的亲戚朋友或者同学同事进行钱财诈骗,现在人们相互之间联系主要是微信、微博、QQ以及一些主流的贴吧等等,很多时候由于疏忽大意,就会被犯罪分子获取到了个人的社交信息以及相关职业信息,以此对受骗人进行诈骗、敲诈、勒索等等,使得受害人的生活受到了极大的干扰,对受害人的个人身体健康以及心理、精神健康都产生了极大的打击。
2网络环境下计算机个人信息安全的主要问题
2.1不正当手段收集个人信息
很多人在进行浏览网页、查询、下载、购物、参与论坛以及竞拍的时候就可能存在信息泄露的风险,特别是很多的软件和网站,需要验证身份方可进入,所以在整个过程中就容易被不法分子利用相关技术软件窃取了个人的信息。同时,也有利用不同的追踪软件进行手机的,这类软件存在着非法检测用户的行为,在访问、浏览、社交聊天等网络环境下,对个人的信息进行记录和追踪,因此造成了人们的个人信息泄露,这些行为极大地损害了人们的个人权益。
2.2不合理利用个人信息资料
对于获取到的个人信息,很多的不法分子对其进行储存,建立数据库,比如今夜,可以用来调查消费者的消费行为,或者分析市场,或者房地产企业、银行等对消费者进行电话营销,甚至很多的不法分子可以利用这些获取来的信息进行敲诈、勒索、诈骗等等,在日常的生活中,很多的人都会接到莫名的陌生电话,比如办理信用卡、小额贷款、找工作等等,人们甚至都不知道是什么时候自己的电话、姓名、身份被泄露,因此这类问题如果不加以处理,或产生很严重的后果。[3]
2.3非法交易获取的个人信息
现在由于很多的商业需要,在个人信息方面,已经形成了巨大的利益链,很多网民在上网过程中浏览安全性较低的网站并在这类网站上注册时留下的个人信息很容易被窃取或转卖。很多的不法分子在获取个人信息之后,找到买主对其进行转卖,而且价格很高,尤其是一些利用电话来进行营销的企业,比如教育机构、培训学校、咨询公司等等,都会利用买卖得来的个人信息进行交易,在行业内称之为“名单”,这样的现象已经屡见不鲜,如果个人信息在未经过允许的情况被转卖,属于违法的行为,因此,必须加强对这类的行为控制,保证人们的个人信息安全,维护社会良好的只需。
2.4未经允许非法传播个人信息
在社交聊天软件盛行的今天,很多的个人照片、姓名、电话、甚至视频都会在网上被搜索到,比如很多明星的“艳照”、视频等,这类信息不但损害了当今社会的文明,同时也对当事人的个人心理、精神产生了很大的影响,再比如“人肉搜索”这是典型的可以利用网络中的个人信息保护不当而进行传播,进而能够使得通过互联网即可搜索到当事人的具体住址、电话、工作单位等等,因此,非法的个人信息传播给当事人造成了极大的伤害,有必要加大对其的惩治力度,建设健康、绿色、和谐的网络秩序。[4]
3网络环境下计算机个人信息安全问题的主要原因
3.1信息资料用户对个人信息泄露
人们过分的相信网络运营商,相信各大网站以及软件开发者、经营者会坚守协议中所遵循的条例,但是事实并不是这样,少数的软件开发商、运营商因为个人利益或者信息保护不当,很容易将个人信息进行非法的使用或者被盗取,这主要是软件开发商以及网络运营商缺乏对用户个人信息的保护意识,也不重视管理用户个人信息,比如购物网站、医院、银行、房地产企业,屡屡出现这类问题,因此必须加强对网络运营商以及软件开发者的管理和约束,对于违反法律的行为必须给予严重的惩罚。
3.2计算机相关保护技术运用不足
随着社会科技的发展,互联网信息技术层出不穷,但是在保护个人信息方面却还是做的不到位,很多的木马、病毒、黑客肆意而为,可以窃取个人的信息、盗用软件,为一已私利进行犯罪,很多的网络环境都是窃取个人信息的地方,因此这为网民使用网络进行工作和生活带来了很大的不便,甚至诚惶诚恐,影响了互联网环境和正常的网络秩序,通过网络下载、浏览、局域网、邮件、社交媒体很多的木马、病毒、黑客就会攻击进来,因此给个人的财产和健康造成了极大的影响。
3.3网络环境下个人信息保护立法欠缺
相对于发达的国家来说,我们的网络起步比较晚,尽管是世界使用互联网最多的国家,但是在个人信息保护方面却是相对比较落后的,针对于一些个人信息窃取以及传播的行为还没有细化,很多的行为只是进行民事、行政处罚,缺乏有力度的刑事处罚,因此也助长了不法分子的犯罪行为,同时在处罚过程中,很多是以罚金、拘留、协商为主,极少数的犯罪是通过量刑进行处罚的,因此在法律制度方面的缺失,也是导致个人信息泄露行为得不到制止的主要原因。
3.4人们对个人信息保护意识不强
对于目前新接触网络的人们来说,由于在认识上缺乏很多,所以很少注重个人信息的保护,随意在网站平台上注册账号留下个人信息,主要是相信网络运营商,这是主要原因,其次是对于很多的网民来说,为了能够急切达到自己的需求,也很少顾及自己的个人信息安全,比如注册游戏账号、购物网站、社交聊天软件及网站,在这个时候很多的网民缺乏这种保护的意识,同时,很大部分也是由于没有相关的渠道进行验证或者了解关于个人信息安全或者注册风险等途径,因此导致了很多人在无意中泄露了个人信息。
4网络环境下计算机个人信息安全的解决对策
4.1完善网络安全协议、约束管理人员
针对网络运营商以及软件开发者,必须对内部的管理人员进行普法教育,对计算机个人信息泄露的问题进行宣传,企业的管理者也应该担负起这些责任,确保数据信息管理人员能够对用户的信息负责,不要因为个人的利益损害企业和消费者的利益,同时对用户协议也应该有明确的规定,制定相关的泄密惩罚措施,使得有法可依,也在用户个人信息泄露以后,能够依据相关协议规定维护自己的合法权益。目前Internet中各网站所采取的安全防卫方式,网络安全防卫方式也就是将注意力集中在控制不同主机的网络通道和所提供的服务上,网络安全防卫包括建立防火墙来保护内部系统和网络、运用各种可靠的认证手段(如:一次性密码等),对敏感数据在网络上传输时,采用密码保护的方式进行。
4.2使用先进的网络保护技术,保护个人信息安全
用户应选取健壮完善的操作系统,这样的工作平台可以有效地避免黑客的入侵,应选取软件工具齐全、丰富、缩放性强,如果有多种的操作系统应选取使用人群最少的一种,这样可以有效地减少入侵者攻击计算机的可能性。政府应该加大对计算机个人信息保护方面的技术投入,加强在资金以及政策上给予帮助,鼓励相关的技术人员对计算机个人信息保护方面研发出有效的技术,来制止黑客、病毒、木马等程序和软件的攻击,保护人们的财产和个人信息不受到非法的侵害,为人们的生活和正常地使用网络提供一个安全、健康的环境。
4.3加强对侵犯个人信息侵犯的违法犯罪的打击
国家应该在法律上进行严惩个人那些泄露的不法分子,加大打击的力度,对于违法犯罪的行为给予坚定的回击,结合国内外先进的法律制度,结合我国目前的互联网环境的具体状况,在个人信息违法犯罪方面,不缺法律的空白,保护个人的合法权益,制止类似事情的发生,这对于保障社会的和谐有着至关重要的作用。
4.4扩大宣传,培养个人信息保护意识
在当下社会,每个人都离不开互联网,因此国家应该在教育方面入手,比如在小学、初中、高中乃至大学的课本或者课程中,假如关于网络犯罪或者个人信息相关的知识宣传和学习;对于社会人员,在小区内进行相关的宣传,同时在网络上也要给予一定的警示,保证人们了解个人信息的重要性以及了解犯罪分子的犯罪方式和行为特征,将这类事情扼杀在发生之前,数据显示目前有60%的网民受到网络安全威胁的直接攻击,这个数据还在不断增加。所以加强个人信息的保护意识很重要。
5结论
通过文中对网络环境下,计算机个人信息安全的问题分析,我们可以了解到,随着信息技术逐渐发达的今天,人们的个人信息保护的确是刻不容缓的事情,我们不但要从法律上对其进行管理,也要从道德上对其进行约束,同时加强在技术上的研发和投入,提高人们的自我保护意识,对违法犯罪的行为给予极大的打击,为建设健康、和谐的网络环境而努力,保障人们的人身、财产的安全,维护良好的社会秩序,同时,希望通过本文的研究,能够让人们知道泄露和不合理的利用、交易、传播个人信息是属于不道德且违法的事情,我们要约束好自己的言行,为社会主义社会的健康发展做出自身应有的贡献。
作者:朝鲁 单位:辽宁对外经贸学院
摘要:数据引领生活的新变化,我们生活在一个“数据”的时代。但与此同时,大数据在收集、保存、利用等环节中仍存在着许多信息安全风险问题。该文就在大数据下个人信息安全问题提出三种有效保护措施,社会网络企业的信息安全管理水平,加强立法安全和行业自律,提高用户信息安全素养。
关键词:大数据;信息安全;保护机制
1引言
“无论你认不认同,大数据时代都已经来临,并将改变我们的工作和生活”中程院高文院士说。近年来,大数据一直是业界的热门话题。在2015年5月给国际教育信息化大会的贺信中说,“当今世界,科技进步突飞猛进,互联网、云计算、大数据等现代信息技术深刻改变着人类的思维、生产、生活、学习方式,深刻展示了世界发展的前景。”世界已经进入数据驱动的时代。我们生活在一个“数据”的时代,我们在网络上的行为也在不断地产生数据量,例如淘宝购物,微信朋友圈,网上挂号,都在不断填充大数据中的数据库。也可以说大数据已经与我们形影不离。
2大数据的重要性
无论学术界还是产业界都在试图分析大数据挖掘其潜在价值。据统计,在使用谷歌搜索用户平均每秒200万次,用户数每天在脸谱网上的份额超过40亿。同时,其他行业也有大量的数据在不断地产生。有数据显示2012年产生了2.7zb的信息量,在其后3年可能会达到8zb的信息量,这将是何等大的数据量。在在大数据环境下,数据成为原材料,已成为一种新型能源,为经济创造了巨大的价值,促进了创新,提高了生产力和效率,做出了重大贡献。在中科院视察时就指出“大数据是工业社会的重要资源,数据被谁掌握了,谁也就获得了优先权,获得了主动权。”大数据将会是推动社会经济发展的又一新动力。
2.1大数据影响生活方式
“大数据”并不神秘。事实上,大数据每时每刻都在影响着我们的生活,或许你并不在意它,关注它。但是它确确实实的就在我们的身边。如今我们生活在一个充满“数据”的世界,我们的生活在不断地产生数据,和访问英国帝国理工学院时,学校赠送给的羊绒披肩就有大数据的功劳,该校用计算机图像分析技术计算披肩的尺寸。运用大数据的方法学校还为演示分析了“一带一路”政策的国际影响力,国内人口迁移情况,以及应用大数据进行医疗的推广等。对这种利用技术帮助人民提高生活质量的做法十分赞赏。我们日常中的各个领域都在使用着大数据。飞机的未来票价走势可以通过大数据将其预测出来;谷歌使用用户搜索记录来判断美国流感疫情的状态,比美国疾病预防控制中心的预测早了近两个星期;股市的表现也可以通过剖析网络推特来预测未来走势;实时路况也同样可以通过大数据来完成;沃尔玛通过利用大数据来监测自己超市商品的销售情况,商品的销售速度,以及各个商品的摆放位置所引起的销售变化。与此来制定最有利与库存使用率,销售数量,大大提高了超市运营效率。这足以反映出大数据对我们带来影响是多么的巨大。
2.2大数据引领新的发展方向
数据是发展的产物,同时数据也会带动社会的发展,发展与数据相辅相成,互相促进。大数据时代,数据成为一种生产资料,成为一种稀有资产和新兴产业。无论哪个行业和领域都会有数据的产生,而这些数据的统计、分析、挖掘都会创造出意想不到的价值和财富。面对大数据时代,强调:“机遇是短暂的,抓住了就是机遇,抓不住就是挑战。”
2.3大数据是每个人的大数据
大数据是整个国家的大数据,也是我们每个人的大数据。大数据时代,我们应该拥抱大数据,五年计划中的提案已经说明了在大数据的到来,必须抓住机遇,抓住大数据、促进大数据的发展,实施大数据国家战略。创造一个基于大数据的生活,城市。大数据有利于整合与共享管理信息。我们每个人都会因大数据的爆发而受益匪浅。
3大数据带来的安全风险
科学技术是把双刃剑,大数据的收集给我们带来隐形的财富的同时,也在悄悄地给我们带来信息危机,和对信息保护的挑战。这是我们不得不面对的问题,也是需要我们亟待解决的问题。如果我们仅仅是沉浸在大数据带来的利益,而不想面对其带来的麻烦,日后我们必将会为此受到其惩罚。例如,“棱镜门”事件更加剧了人们对大数据安全的担忧,大数据下的信息安全战争一定会是不可避免的。大数据威胁的根本原因是归结到最后,是在市场经济和信息社会条件下,用户的个人信息已经成为其重要的市场资源之一,也就是说,信息对市场来说有刚性需求。这种需求是商业活动和犯罪分子实施的“下游”的犯罪活动。信息泄露的元凶主要是网络服务商、管理员、网站经营者、黑客、通信运营商。本文将对大数据的安全分析划分为2个部分,一是拥有数据的组织内部问题;二是数据外部环境。
3.1拥有数据组织的内部环境
3.1.1非人为因素
非人为因素带来的大数据信息安全主要是指自然因素和网络本身硬件因素所带来的信息安全。(1)自然因素自然因素指不可抗力因素包括地震、水灾、火灾、台风等。大数据所依赖的服务器一旦出现自然灾害,便会导致服务器损坏,严重则会导致数据丢失,无法恢复。(2)硬件设备如今已经进入大数据时代,数据量与日俱增,增长迅速。数据的存储需求越来越大,而硬件存储不在能满足要求,都有可能会引起数据的无从存储,得不到很好的利用,另外系统的漏洞会使数据数据在计算机中存储的数据风险加大,还有可能会造成计算机服务器的崩溃,造成已存储数据流失。
3.1.2数据管理问题
大数据时代数据管理对数据安全起着至关重要的作用,数据在收集管理过程中造成的风险主要有操作失误,恶意泄露两个方面。(1)操作失误数据收集之后,数据管理人员面对繁多的数据或多或少会出现操作失误的情况。或许删除重要的信息,或许更改重要的信息。面对众多的数据,操作失误的情况会各种各样。这样势必会影响数据的完整性。从而影响数据的安全。还有就是组织内部没有严格的管理规章制度,使工作人员工作时没有规范,造成数据的泄露。(2)恶意泄露组织即使想要保护数据的不外流和用户的权益不被泄露,但是有时候还是会落入不法分子手中,并且被其滥用,从事不法活动。这样就会造成客户信息的泄露。
3.1.3技术漏洞
大数据时代数据的爆炸性增长,现在的技术难以确保大数据被安全的保存,加大数据的安全风险。
3.2数据的外部环境
大数据时代数据安全的外部环境是指除内部环境外有可能因潮流所导致的信息泄露,外部环境主要包括:行业自律,法律法规,黑客攻击以及用户自己的个人隐私意识。
3.2.1行业自律和法律法规
行业自律和法律法规也尤为重要,目前,关于信息安全方面的法律法规还没有健全和完善,这就导致了拥有数据的公司企业利用她们已有的客户资料进行非法交易,使自己牟利。现在目前约束企业对信息使用的权限,也仅仅是自己公司对自己制定的有利于自己的规章制度,并不能实际有效的对信息实行安全掌控,企业们仍然有可能会为了自己的利益而去肆意出卖用户信息。也就是说目前还没有真正有效措施来保护数据安全。这些都使数据安全受到了极大的威胁。
3.2.2黑客攻击
黑客攻击也将会是影响大数据的信息安全的重要因素。因为大数据下信息变得越来越重要,黑客受到利益的驱使会去窃取有价值的信息。大数据下,数据的繁多,背景的复杂,组织数据内部的缺陷,都为黑客的攻击创造了有机可乘的机会。这也就导致了大数据下信息安全的风险加大。
4面对大数据个人信息的保护措施
个人信息保护的挑战,自古至今都存在着,在大数据的时代下,使个人信息的泄露更加容易,成本更加廉价。已经不再是政府在暗中监视着我们。例如,淘宝监视着我们的购物情况,百度监视着我们的搜索记录,微信、qq似乎对我们的情况更是了如指掌,在大数据时代下这种情况势必会加深这种威胁。近年来,非法泄露个人信息,网上诈骗、谣言等现象不胜枚举,严重地影响了我们每个人的生活安宁和生活秩序,甚至还会造成个人的人身财产损失。因此,在大数据时代,我们应该保护好自己的个人信息。
4.1完善相关法律法规
完善大数据时代的法律法规迫在眉睫,必须纳入个人信息安全保护的相关法律规定。虽然在2005,已经完成了“个人信息保护法”的专家咨询,但今天的“个人信息保护法”仍然没有颁布。所以我们必须加快个人信息保护法的出台,充分保护个人信息安全。
4.2严厉打击非法窃取个人信息的行为
由于《个人信息保护法》到目前还没有颁布,所以在大数据的时代下,各种数据发生爆炸性增长,个人信息也发生着空前的泄露。加强严厉打击非法窃取个人信息的行为尤为重要。
4.3健全监督机制
大数据时代,个人的信息是种无形资产。许多企业可能会对保留在其公司的个人信息进行商业化利用,从而泄露用户的个人信息,侵害用户权益。因此,建立健全政府的监督机制尤为重要,不容忽视。一是建立监督检查机构,专门对互联网的个人信息使用的情况进行监督。二是制定严格的监督制度,限制个人信息拥有者对信息的使用权限,严格规范个人信息使用的标准,确保个人信息不被肆意使用。
4.4提高自我保护意识
在《个人信息保护法》未出台,相关法律法规未健全,我们应该提高自己的保护意识,加强自我保护。在网络上尽量不随意输入个人信息,不随意共享个人信息,删除跟踪行为的临时文件,养成良好习惯。加强日常学习,学习互联网相关安全知识。提高维权意识,当发现自己的个人信息被泄露时,要及时维权,必要时可采取诉讼手段。5结语安全问题不仅仅是个人问题,企业问题,而是关乎国家的每一个方面,不容忽视。在大数据时代的到来,一方面我们在获得了巨大收益,另一方面我们也要注意个人信息的安全风险。如何降低安全风险保障自己的个人信息不被泄漏,就要综合从组织所处的内部环境和外部环境考虑。在自然因素,数据管理,技术漏洞,法律法规,行业自律,黑客攻击以及个人的安全防范意识等几个方面来应对风险。
作者:张豪爽 单位:辽宁对外经贸学院
摘要:当前,智能设备逐渐深入,互联网技术不断发展,因特网已经逐渐渗透到我们的日常生活中,成为我们生活的便捷助手。社交网络就是通过互联网将全球的个人联系在一起,组建一个开放性的社交平台。社交网络在一定程度上拉近了朋友之间的友谊,与此同时,社交网络中用户个人信息的安全受到越来越多人的关注,成为影响互联网发展的一道屏障,为了保护社交网络中用户个人信息安全,本文通过对当前社交网络个人信息安全现状进行分析,对当前一些较为流行的互联网保护措施进行研究,并提出一些保护用户个人信息安全的措施。
关键词:社交网络;隐私保护;个人信息安全;信息安全举措
社交网络平台是互联网应用中非常重要的组成部分,随着当前科技的发展,移动互联终端迅速普及,智能手机、移动电脑等设备充实人们的生活。社交平台为社会上的个人创建了一个平台,在这个平台上,用户可以逐渐发展自己的人脉关系,扩充自己的人脉网络,寻找曾经的朋友;用户还可以通过这个平台分享自己的照片等;还有就是近两年逐渐流行的朋友圈之间互发红包等等,通过该平台逐渐拉近了朋友间的友谊。但是,分享的同时,个人信息也被上传到网络平台,成为一些不法分子注意的对象,近年来,网络犯罪的比例日益变大,社交网络中个人信息安全的保护迫在眉睫。
一、社交网络安全性分析
社交网络是一种基于因特网的网络使用方式,它为用户提供了一个扩充人脉的平台,在这个平台上,用户相当于整个社交网络中的节点,用户之间通过交流与沟通,将节点与节点之间的连线越来越复杂,互联沟通面得到不断扩展,社交网络普及面越来越广阔。当前,Android系统和IOS系统中的聊天通讯应用更新频率不断加快,应用软件层出不穷,因此,为社交网络的进一步发展和普及提供了良好的条件基础。因此,未来社交网络的覆盖面将会更加广泛,用户活跃度将会更加高昂。但是,正是由于社交网络的开放性,使得网络上的虚拟人物良莠不齐,相关用户很难从表面上去进行辨伪,很容易上当受骗;此外,当前许多通讯聊天应用为了实现更加精准化的交友条件选择,对用户的个人信息完全透明化,虽然在一定程度上使得用户能够更加轻松的找到自己需要找的人,但是也为网络犯罪创造了绝佳的搜索平台;还有,当前许多人过分依赖网络,为了让别人相信自己的真实存在,对自己的信息毫无忌惮地展现在社交网络上,希望通过这种方法来提高自己的空间浏览量和关注度,用户在进行分享的同时,用户个人的信息有可能会被不法分子所关注,进而进行违法犯罪行为。据调查,2014年我国因网络犯罪造成的经济损失将近万亿元人民币,高达90%的互联网用户都受到过网络犯罪的攻击。因此,增强社交网络中用户个人信息安全保护势在必行。
二、隐私保护控制方法
为了在社交网络中保护用户个人信息安全,许多专家学者提出了许多理论研究,常见的有以下几种技术:①Sweeney专家提出的K-匿名技术,该技术将用户信息数据库的部分信息数据进行泛化处理,使得其中包含个人敏感信息的K个位置的信息数据形成匿名集,进而实现对用户隐私的保护;②Chen等人提出的生成虚假信息的隐私保护方法,在用户位置信息的服务器中形成多种不同位置信息,进而使得攻击者难以正确识别用户信息;③MatsuuraK和HuangL提出的基于区域划分的轨迹隐私保护理论,将用户的轨迹进行分析分类,对用户经过的敏感区域进行用户个人信息的保护,防止用户个人信息的泄漏;④Gabrial提出基于分布式协议的prive方法等等。
三、用户个人信息安全保护措施
3.1建立健全相关法律条文
在当前法制社会里,通过建立健全对用户个人信息保护的法律条文非常必要,通过法律保护社交网络中用户个人信息安全不受侵犯,是立法机构当前非常紧要的事务。对于当前有些不法分子通过非法手段搜集个人信息,然后通过各种渠道用于违法犯罪的行为,相关法律应该给予严惩,对于一些通过设计开发包含有非法搜集个人信息漏洞的应用软件,然后用于从事非法商业活动的商家个人,相关法律条文也应该严厉惩罚。
3.2社交网络企业加强用户信息保护管理
社交网络企业应用实名制注册,在一定程度上能够减少不法分子通过注册一些非法账号用于网络诈骗,防止个人信息的泄漏,但是,这种情况下,注册的用户需要填写的信息更为透明化,如果账号被盗泄漏的信息将会更严重。在这种矛盾下,这就需要社交网络企业加强对用户信息的保护和管理。通过不断优化相关软件应用,对其中的漏洞进行不断修复升级,提升系统稳定性,运用先进手段对网络攻击者进行拦截。
3.3提高社交网络用户安全意识
除了需要国家和相关企业提高对用户个人信息的保护以外,用户个人也需要了解一些保护个人信息的方法。虽然社交网络是一个开放性的社交平台,但相关用户也不能过于放开自己,将自己的全部信息全盘透露给好友,将自己的一举一动都分享给好友,这样就会存在许多安全隐患。所以,作为社交网络用户,需要时刻提防社交网络的局限性,及时对自己的软件进行升级,完善系统漏洞,对自己的一些敏感性信息有防范保护意识,对自己的信息安全负责。
四、结论
社交网络有利有弊,它在拉近朋友间距离的同时,也拉近了用户与网络犯罪的距离,为了保护社交网络中用户个人信息安全,立法机构、相关网络管理企业、用户本人都应该具备时刻保护用户个人信息安全的意识,通过相应的措施不断完善社交网络,使得社交网络平台更加安全、便捷、实用。
作者:刘伟彦 单位:武汉市第六中学
“阳光是最好的防腐剂,但对隐私而言,阳光却并非总代表着正义。”的确,对个人信息而言,需要的不是“阳光”,而是法律“保护伞”。
所谓个人信息,据《个人信息保护法》专家建议稿课题组介绍,是指现实生活中“能够识别特定个人的一切信息”,其范围很广,有文档、视频音频文件、指纹、档案等,包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面,即指有关个人的一切数据、资料。个人信息同我们个人生活密切相关。
然而,我国目前个人信息频繁受到侵犯,个人信息安全问题日益引起政府和社会各界的广泛关注,而关于个人信息保护方面的立法却很缓慢,这不得不引起我们的重视,个人信息安全的现状令人担忧。
一、个人信息安全受到严重威胁
我们来看几则报道:
《新京报》:一家名为“上海OK信息有限公司”的网站显示,该公司正在出售“*年最新全国股民资料”,资料系由证券公司内部获得,内容包括全国100万股民的姓名、性别、手机号码等信息。记者调查后发现,该份资料中的股民信息基本属实。
新华社合肥电:上网求职资料屡屡泄露,安徽省教育部门提醒学生对个人信息应加强自我保护。
《羊城晚报》:一个名为“Ucloo”的网站在网上叫卖9000万华人私人信息,而价钱仅仅是1元人民币!随后,《北京青年报》、《新闻晨报》等国内多家媒体对此进行了跟踪报道,进一步得知这些个人隐私信息可能来自中国第一大同学门户网站“中国同学录”。
《市场报》:“手机监听王”惊现京城威胁个人信息安全。
《新快报》:500中学生隐私泄露网上家长频遭电话诈骗。
“商业推销‘指名道姓’,陌生拜访铺天盖地”。个人信息越来越多地被别有用心地进行着种种操作。个人信息安全正受到严重威胁。现代人在享受信息社会带来的诸多便利、好处的同时,也开始品尝接踵而至的烦扰。
1、个人信息被泄露的渠道。
在今天这信息网络时代里,个人信息被泄露的渠道繁多,在各行各业都有可能存在:如各电信运营商、银行、自来水公司、电力公司、燃气公司、保险公司、证券营业部、航空公司、互联网公司、人才市场、中介公司、物业公司、房地产交易市场以及各类零售商等等登记有个人信息的各行政、企事业单位。
2、个人信息泄露的原因和途径。
个人信息泄露的原因也是有很多种,归纳起来主要有以下几个方面:
①出于商业目的而被恶意套取,一些单位和部门为了一己私利而恶意泄露。
②信息安全的重要性还没引起我们一些机关、单位、企业的足够重视,对个人信息管理不善,信息安全工作还处于被动的状态,没有形成“主动采取措施、积极应对”的意识,信息系统的整体防护能力低。
③社会个体对的个人信息保护意识不强也给了别有用心者可乘之机,为日后信息泄露埋下隐患。
④现有的法律规定显得比较滞后,不足以有效地震慑和打击侵害个人信息安全的违法犯罪现象。
个人信息泄露的途径主要有利用关系网络帮忙收集、利用问卷调查、网络注册、会员登记等方式自行套取、利用金收买等等。
3、个人信息安全受到严重威胁,信息泄露,将导致很多不良后果。
个人信息泄露后将导致很多不良后果:公民个人信息安全受损、人们经常受到各种骚扰、安全感丧失、政府管理受干扰、为刑事犯罪提供了土壤。
特别是在信息社会里,个人信息的泄露,不但会侵害个人的合法权益,影响社会和谐,导致人人自危,严重制约我国电子商务的发展。有专家称:“个人信息保护不仅是基本人权问题,也极有可能成为某种新的贸易壁垒,一个个人信息保护法制不健全的国家肯定会在国际贸易方面受到其他国家或国际组织的打压。”
二、个人信息安全的保护措施。
个人信息泄露已经成为社会的一大公害,由于个人信息泄露给当事人带来侵害或损失的案件屡屡发生,所以个人信息保护变得刻不容缓、迫在眉睫。
对个人隐私的尊重与保护,反映一个社会的文明程度,也体现着社会管理的精细化程度。在信息技术飞速发展的今天,那我们要怎样来保护个人信息免遭侵害呢?
个人信息安全的保护的基本原则:以人为本,以法为本,事前保障,多管齐下,多方努力。
个人信息安全的保护的主要措施:
1、加强自我保护。
①我们在思想上要引起高度重视,提高个人信息的自我保护意识。
②要多学习了解一些个人信息安全保护方面的知识,提高自我防范能力。
2、加强行业管理,增强行业自律性。
掌握了个人信息的各行政、企事业单位,特别是象各电信运营商、银行、自来水公司、电力公司、燃气公司、保险公司、证券营业部、物业公司、房地产交易市场等等这类掌握了较多个人信息的各行政、企事业单位,一定要从思想上高度重视,模范守法,提高行业对个人信息的管理技能和水平,制定相应的管理个人信息的制度、规范,增强行业对个人信息管理的自律性。
3、加强技术保护的研究,实施技术保护措施。
为了保护的个人信息安全和隐私,相关行业、部门要增大投入,研究开发更先进的技术,如,数字签名技术、数字证书技术、身份鉴别技术、信息加密技术、反病毒技术等等技术,真正做到“魔高一尺,道高一丈”。
4、制定、完善法律制度,撑起法律“保护伞”。
我国现有的法律对公民个人信息安全问题给予了充分的关照。在《民法通则》、《刑法》、《消费者权益保护法》及其他一些经济类法律、法规、司法解释中,都有保护公民个人信息安全的具体条款。
例如,《民法通则》第九十九条:公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒。第一百条:公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。
又如,《反不正当竞争法》第十条规定:“经营者不得采用下列手段侵犯商业秘密:……本条所称的商业秘密,是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。”
又如,最高法院在《审理名誉案件若干问题的解答》中规定:“对未经他人同意,擅自公布他人的隐私,致人名誉受到损害的,应按照侵害他人名誉权处理。”
然而,现有的法律规定仍然显得比较滞后,不足以有效地震慑和打击侵害个人信息安全的违法犯罪现象。“按照我国目前的法律,侵犯他人名誉权只能承担民事责任。如果《个人信息保护法》一旦正式出台,侵害他人信息的就要承担民事责任、行政责任或刑事责任。”
世界上已50多个国家建有个人信息保护体系。我国自*年以来,正在研究《中华人民共和国个人信息保护法》。但该项立法尚处研究阶段,无实质进展。
因此,我们要加快《中华人民共和国个人信息保护法》的立法程序,尽早出台,以更有效地保护个人信息安全,促进社会和谐。
总之,现在个人信息安全受到严重威胁,个人信息保护已刻不容缓,让我们从多方面、多角度共同努力,加强对个人信息安全的保护,相信我们的社会也将会进入一个安全、高效、文明的新时代。
十年前,大多数计算机用户面临的安全问题主要集中在病毒、垃圾邮件等威胁上。而今天,网络中的不法分子则锁定了计算机用户的重要数据,企图盗取信息以获得更大利益。这些仅仅是冰山一角,邮箱、论坛、网银、QQ等账号密码登录令人云山雾罩,家有儿女却无暇监督孩子的上网安全,如何保证照片、视频、工作文档等隐私数据的绝对安全,个人用户的网络安全问题日趋复杂。
安全威胁促使需求分化
在复杂的网络环境里,用户随着自身安全需求程度的不同出现分化、形成分级。初级用户仅仅需要个人安全软件产品的防护就可以满足安全需求,免费的安全软件产品就是这类用户的最好选择。而专业级用户往往对某一类互联网操作有特殊的安全需求,比如针对网上银行的操作、针对网络购物的操作,需要专门针对这些特殊操作的安全软件提供安全防护。还有一部分用户希望安全厂商能够提供不同程度的针对个人的安全服务,为其解决所遇到的安全问题,这些个人安全服务可能是:初级的机器智能个人安全服务、按次计算的个人咨询安全服务、包月包年的安全检测服务、高端VIP安全服务等。
安全厂商可以分别通过机器智能安全检测方式、一对多的人工安全咨询方式、专家级别的高端安全服务方式,为不同的用户,根据其不同的个人安全需求,提供不同程度的个人按需服务。
卡巴斯基亚太区董事长张立申说:“互联网诱发了复杂多变的安全威胁,复杂的安全威胁促进了人们安全需求的分化,针对不同的安全需求,需要提供不同的安全产品、安全服务。从当前各家安全企业所探索的方向来看,按需提供服务将很有可能成为今后个人安全软件的一种新型商业模式,这也标志着个人安全将从产品步入服务时代。 ”
正因如此,卡巴斯基了全新个人旗舰产品――卡巴斯基PURE。作为卡巴斯基实验室的旗舰型个人安全解决方案,卡巴斯基PURE从网络威胁抵御、密码便捷管理、重要数据保护和家庭网络维护四大方面提供了完善的个人信息安全解决方案。
独享 VIP专属服务
作为一款售价为599元的安全软件,卡巴斯基PURE几乎可以被称为安全软件中的奢侈品。在免费安全软件大行其道的今天,卡巴斯基却反其道而行,必然有其杀手锏。
首先,对网络威胁的抵御,PURE延续了卡巴斯基实验室产品一贯的技术优势,能够防御所有类型的恶意软件及各类网络威胁,包括内核保护、高级保护、操作系统和应用程序控制、浏览器和安全免疫区、网络和互联网安全、数字信息保护、阻止垃圾内容、数字信息安全和自我保护等。PURE还融入了全新的功能――密码管理器,它令用户只需记住一个主密码即可进行一键登录,还可以帮助用户创建复杂的高强度密码。在对重要数据的保护方面,用户可通过PURE对数据进行加密、备份,或利用文件粉碎器对文件进行永久删除。对于家庭网络用户,PURE的上网管理模块可以监控未成年子女的上网情况,保护他们不受恶意内容侵害,保证家人健康上网。
除了技术方面的创新,PURE还为用户带来了更好的使用体验和更多的帮助。卡巴斯基实验室专门为PURE用户开辟了一条专属服务通道,只要购买PURE成为精英会会员,即可获得由卡巴斯基定制的PURE贵宾卡,并享受免费一年的私人安全顾问服务,具体形式包括电话、邮件、短信及十次预约式用户上门服务。如果用户不希望个人隐私、机密数据、公司核心商业秘密被泄露,卡巴斯基PURE还能够提供VIP专属服务。虽然这类服务并非卡巴斯基首创,但却被其首先应用在安全领域。
[摘要]运用问卷调查对常州市本科大学生社交网络个人信息安全意识和能力方面进行评价,提出大学生社交网络个人信息保护方面的对策。
[关键词]个人信息安全;大学生;社交网络;安全意识
1数据来源
通过查阅相关文献,搜集与社交网络个人信息安全意识的相关资料,确定了调查问卷内容,共16个问题。本次问卷主要在常州市四所本科高校发放,回收有效问卷578份。本次调查时间为:2016年7月2日至7月8日。本次调查涉及河海大学常州校区学生176名、常州工学院学生76名、常州大学学生152名和江苏理工学院学生173名。其中,调查对象以大一、大二、大三的学生为主,大四学生偏低,男女比例相对均衡。
2个人信息认知
最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)明确规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
21个人信息保护范围认知
关于受访者对个人信息保护范围的理解,44%的受访者大概知道,31%的受访者知道,14%的受访者不太清楚,只有10%的受访者表示非常清楚,而有41%的受访者表示不知道。其中,个人信息与个人隐私的范围难以界定。个人信息与个人隐私存在联系,个人信息与个人隐私的保护范围之间具有交错性,但不可简单等同。个人信息范围的界定,取决于对个人信息的定义:个人信息具有可识别性,能与某个特定个体的人格和身份建立起联系;个人信息具有交互性,其发挥自身作用的空间就是信息主体与外界的交互过程,信息主体依循自身的意愿对个人信息进行合理的利用,以便在社会交往过程中占据一个有利的地位。
将调查数据按受访者的年级进行细化分析,不同年级受访者对于个人隐私的掌握情况大体一致。相对而言,非常清楚安全隐私范畴的大四受访者比例为1724%;知道安全隐私范畴的大三受访者比例为3526%,大概知道安全隐私范畴的大一受访者比例为4651%,不太清楚安全隐私范畴大二受访者比例为1943%。可见,随着年级的增长,对个人信息范围的理解有所深入。
22个人信息暴露在社交网络上的看法
在大数据环境下,用户对社交网络上的个人信息的控制能力减弱,易被非法分子利用。如身边出现的多起身份窃取案件,通过获取用户微信号里动态、头像等信息,进行账号完全“复制”,假冒本人向亲友借钱。通过用户的动态、地理位置、跟踪用户、实施盗窃等。可见,社交网络上个人信息安全面临着前所未有的威胁。关于对个人信息暴露在社交网络上的看法,3189%的受访者认为个人信息暴露在社交网络上很严重,应该采取措施避免不良影响,5806%的受访者表示有点担心,应注意个人信息安全,919%的受访者表示个人信息暴露在社交网络上无关紧要、很正常。这反映出大部分大学生在社交网络上个人信息保护方面有一定的安全意识。
23是否会阅读社交网络服务商的用户服务协议
社交网络服务商和用糁间通常存在着一个用户服务协议,以明确相互之间的权利义务关系,通常由用户在向社交网络服务商注册时,通过点击确认而成立,对双方都具有约束力。首先,用户协议内容由服务商预先拟定,用户只能接受或拒绝接受,没有协商的余地;其次,服务商往往在用户协议中极力维护自身利益,对用户权利则多加限制:一般将用户协议分布在其他页面中,内容晦涩繁杂,将对用户权利造成不利影响的条款隐藏在其他条款中;社交网络服务商可随时单方修改服务条款内容,一旦用户继续使用则意味着接受新条款;社交网络服务商保留自己对条款内容的最终解释权。
关于是否会阅读社交应用服务商的用户服务协议上,4974%的受访者偶尔阅读,3692%的受访者不会阅读,1179%的受访者经常阅读,而156%的受访者根本不知道用户服务协议。调查结果反映出,大部分大学生对于用户服务协议的态度是知道有用户服务协议,但不够重视。
24个人信息被泄露时是否维权
在社交网络上个人信息泄露的途径有很多:服务商泄露个人信息(不良商家泄露或黑客入侵)、用户社交网络上晒信息(自拍、姓名、学校等)、电脑感染木马病毒导致信息被窃取、不法分子利用网站漏洞入侵数据库、用户随意连接免费Wi-Fi或扫描二维码等。而个人信息被泄露后,轻则广告骚扰源源不断,重则人财两空。而相应维权方式有:向互联网管理部门、工商部门等相关机构进行投诉举报;向公安部门报案;向侵权人索赔。然而一般金额相对较小的案件追回概率低。从数据可以看出,大部分大学生个人信息被泄露时,维权意识不强,2882%的受访者表示会利用法律手段为自己维权,6736%的受访者表示只要没造成太大损失不会维权,382%的受访者选择其他方式解决。这跟目前信息安全侵害所带来的总体损失程度不严重有一定关系。
3个人信息安全能力
31个人信息填写
4479%的受访者表示在知名的社交网络会填写真实信息,但是在一些论坛或者别的需注册的网站说不准了,2587%的受访者如实填写,2535%的受访者会填写真假参半的个人注册信息,278%的受访者表示网络上的都是假的,所以随便填,122%的受访者选择了其他。
在社交网站上公布的个人真实信息
32设置
密码设置是个人信息保护的重要部分。调查结果显示,超过一半受访者倾向于设置安全性较低、安全性一般的密码,其中5277%的受访者表示设置密码时会采用字母、数字、符号中两种的组合等安全性一般的密码,而3754%的受访者表示设置密码时会采用字母、数字、符号三种的组合等安全性较高的密码。可见,大学生个人密码设置能力不高。
33网络应用之间的相互绑定现象
6932%的受访者表示社交应用间存在相互绑定现象,3068%的受访者不存在相互绑定现象。这里绑定是指用一个社交应用的账号密码可以授权登录另一个社交应用,应用间相互关联、分享信息。这在方便用户的同时,大大增加了个人信息被盗的风险。一个账号密码丢失,可能引起多个应用上个人信息被窃取,从而使用户信息更加透明,更易使不法分子侵害用户权益。调查结果显示,大多数大学生社交应用间存在相互绑定情况,个人信息被盗风险增加。
个人信息安全问题程度认知
4社交网络个人信息保护对策
41提高大学生个人信息安全素养
用户的安全意识是保障网络信息系统安全的首要因素。大学生应谨慎对待个人信息,有基本安全意识。当个人信息被不法分子利用时,能够有效维权。
高校可结合本校学生的实际情况,与相关信息安全部门、公安部门合作,开展相关安全知识普及工作,提高大学生个人信息安全意识。
42加强个人信息安全法律法规建设
目前,政府的相关法律体系等还未构建完全,相应的奖罚机制还不够成熟,政府应将信息安全保障政策体系化,建立完善的体制系统。应尽快制定出台《信息安全法》,并将其作为网络信息安全法律体系的基本法。对信息保护明确标准,对信息泄露苛以责任。要求网监部门切实担负起监管职责,执法部门应严惩网络犯罪。明确各部门之间的协作互动机制,形成监管合力,提高对网络环境进行治理的效率。从而规范社交网络服务商行为。立法还应充分考虑到信息技术发展的持续性,为信息技术的发展预留空间。
摘 要 大数据作为继云计算之后信息技术领域一个新的产业增长点,正在影响着人们的工作、学习和生活,包括生活方式、工作习惯和思考模式等。但是,人们在与大数据环境交互过程中,个人信息安全正在受到极大的威胁。本文以此为出发点,探讨了大数据背景下个人信息的具体应用以及存在的安全问题,并针对这些安全风险提出了应对的措施和具体的建议。
【关键词】大数据 大数据背景 个人信息安全 隐私保护
1 引言
在互联网环境下,“信息爆炸”产生了海量的数据,催生了大数据时代的到来。据统计,Facebook每天生成的日志数据达300TB以上;互联网上每天产生的数据内容可以刻满1.68亿张DVD;Twitter每天处理的推特数量超过3.4亿;等等。这些数据足够表明,我们已经身处大数据环境下。在大数据时代,大数据以及深深影响着人们的工作、学习和生活,人们在互联网上的行为都会被系统所记录,包括个人基本信息、购买记录、日常操作习惯等。对于商家而言,这些数据一方面可以深入发掘用户的需求,从而改善相应的产品和服务,同时也可以实现精准营销,从而产生更多的经济效益。但是,这些数据也会暴露个人的隐私,个人信息安全存在很大的风险。因此,本文站在大数据背景下,来对个人信息安全这一关键问题进行深入探讨,在分析信息安全风险的同时,结合相应的技术提出具体的解决措施和方案。
2 大数据背景下个人信息的使用现状
在大数据时代,大数据与传统行业进行了深度融合,从而诞生了新的业务和新的商业模式,在此过程中,个人信息得到了具体的应用。
2.1 商业领域
在商业领域,特别是零售行业,个人信息会被准确的记录并存储。消费者的每一次消费,包括购买商品的名称、时间、地点等,系统都会进行保存,通过这些数据,商家就会进行深入分析,分析消费者的购物偏好,进而预测消费者的消费需求,从而实现精准营销的目的。基于消费者消费的大数据,可以准确反映消费者消费商品之外的某些信息。比如,一个典型的案例是美国的一家零售商通过用户消费数据的分析,比家长更早知道其女儿怀孕的事实,并通过邮件告之
2.2 医疗领域
在医疗领域中,通过个人信息的记录可以实现个性化的治疗。比如,基因组数据,是以个人基因组信息为基础,通过大数据创新技术研究疾病和特殊药物之间的关系,在此过程中,由于考虑到了遗传突变的因素,医生可以根据基因的不同需要实现不同的用药,进而为患者制定最佳的治疗方案。
2.3 社交领域
随着社交软件的不断增多,大大丰富了人们的社交需求。在国内,最具代表性的是为腾讯2011年推出的微信,该软件能够快速地文字、语音和图片等多媒体信息,而且通过朋友圈使得信息在瞬间被更多的人关注。在功能上,微信已经不仅仅是一款简单的聊天社交工具,而是营销推广、商业支付等的一款综合性工作平台。用户在使用微信的过程中,个人信息也会被不断记录,比如基于位置的服务(Location Based Service,称LBS),让朋友圈的好友准确知道用户在什么位置了什么信息,同时,通过“附近的人”可以结交更多的好友等,这些都是个人信息在微信软件应用中的具体体现。
3 大数据背景下个人信息安全问题的提出
随着新技术、新工具、新平台的出现,用户在具体使用这些媒体的过程中,个人信息都会被记录,一方面方便了用户自己的工作、学习和生活,同时,也让用户觉得系统无时无刻地在“监控”着自己的各种行为。
随着硬件存储成本的下降,以及商家对消费者个人信息和消费数据的重视,他们更乐意通过较低的成本存储更有商业价值的数据。据中国互联网网络信息中心统计,截止2016年底,我国网民规模为7.31亿,较2015年的6.88亿增加了0.43亿。伴随着“互联网+”的深入推广和应用,个人信息会被各个系统和平台所记录和存储,这也在一定程度上提高了个人信息被泄露的可能,个人信息安全已经成为一个重要的社会问题。因此,非常有必要作为一个社会普遍关注的问题被提出来,以期从多个方面引起高度重视。从具体的表现来看,个人信息安全具体如下:
3.1 帐户被盗风险加剧
在大数据环境下,人们为了体验各种工具和平台,就会有多个帐户存在,每一个帐户在申请时平台会要求与邮箱或手机号进行绑定,这样,一个邮箱或手机号就会与用户的多个帐户进行关联。同时,各种工具或平台间也为了方便用户操作,也会加强合作,通过一个帐户就可以访问多个应用或平台。这样,无形中加剧了帐户被盗的风险。
3.2 隐私问题堪忧
在大数据背景下,人们在心情、互动交流过程中,会在不经意间泄露个人的一些信息,比如地理位置以及日程安排等。同时,大数据背景下数据的关联性很强,随着数据来源的增多和数据量的增加,通过数据和数据之间的深度分析,就会暴露个人的某些隐私信息。
3.3 用户个人信息控制权减弱
在大数据背景下,个人的图片、心情或交流的话题等,很容易被访问和传播,使得用户个人信息控制权明显减弱,在一定程度上会加剧个人信息被泄露的风险。
在传统的网络环境中,商家控制了数据的存储与运行环境(这里的数据主要是商家自身的业务数据),用户可以通过密码学技术手段保护自己的数据,也就是说,用户的个人信息安全是有一定保障的。但是,在大数据背景下,一些商家既是数据的生产者,同时又是数据的管理者和使用者,所以,用户使用传统的技术手段保护个人信息是非常困难的。
4 大数据背景下个人信息安全的建议
4.1 优化个人信息安全保护技术
在传统的网络环境下,一般采用数据加密等技术手段实现信息的安全保护,与此同时,通过安全漏洞修补、防篡改等手段保护敏感的和重要的一些数据。但是,在大数据环境下,这些技术手段具有一些局限性,不能实现更广泛、更深入的保护。大数据环境下,需要建立针对云、管、端的安全模型,在个人信息安全保护方面,要主动感知。要根据海量数据的特点,建立适合用户身份信息验证的“符号化”手段,通过符号标记用户身份信息,有效规避了大数据背景下数据内容的交叉检验,这样在技术上提高了个人信息的安全性,同时也便利了使用网络的方便性。除此之外,还有以下技术可供参考:
4.1.1 数据匿名保护技术
大数据背景下,数据匿名保护是比较复杂的,但却是实现其隐私保护的核心关键技术与基本手段,其具体原理和算法这里不做讨论。
4.1.2 社交网络匿名保护技术
社交网络中的典型匿名保护隐藏了用户的标识和属性信息,同时也隐藏了用户之间的关系。因此,要获取用户的个人信息,就需要通过各种攻破属性获取用户身份信息,这是非常困难的。
4.1.3 数据水印技术
4.1.4 数据溯源技术
4.2 加快个人信息安全保护的统一立法
目前,从信息安全的相关法规来看,我国已出台了一些制度和措施,比如2013年2月实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》,使得我国个人信息保护工作正式进入“有标可依”阶段,其显著特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。但是,在具体实施过程中,效力等级不高、惩罚力度过小,未能真正起到保护个人信息安全的目的。因此,在大数据背景下,迫切需要针对大数据环境的个人信息安全立法,规范相关商机和利益平台的行为准则,提高个人信息泄露的犯罪成本。
4.3 提高公民个人信息安全防范意识
互联网特别是移动互联网等技术的发展,给人们的工作、生活和学习带来了极大的便利,但是也在一定程度上增加了个人信息泄露的风险。因此,在大数据背景下,要提高公民自身的信息安全防范意识,通过宣传教育等措施,提高人的安全防范技能,增强个人信息安全保护的意识。比如,不能随意上传个人的私密图片,不能随意登录银行帐户,一般不要开启智能终端定位功能等,除此之外,要提供安全措施,比如使用完某项应用后要及时清除Cookies,增强密码安全设置级别,定期扫描并修复系统漏洞等。
5 结束语
大数据时代的到来极大促进了社会的发展,并与传统行业融合过程中催生了新的产业和商业模式,但是,大数据也带来了新的个人信息的安全问题。本文从个人信息在大数据背景中的应用现状出发,提出了个人信息安全的问题,并在借鉴国外做法和中国实际的基础上,提出了具体的解决措施和建议,以最大限度地降低个人信息泄露的风险,从而促进个人信息在大数据背景下得以有效保护。
作者简介
曹敏(1981-),男,福建省建瓯市人。大学本科学历。讲师。主要研究方向为计算机网络技术。
作者单位
福建江夏学院 福建省福州市 350108
摘 要:微信作为一种新型的即时通信工具,虽然方便快捷,但却引发了诸多安全问题。本文分析了在微信社交平台中购物及娱乐引发的个人信息安全风险,针对这些风险提出了相应的保护对策。
关键词:微信平台;个人信息安全;社交网络
随着信息技术的不断发展, 移动互联网已经渗透到了人类生活的方方面面。微信作为一种新型的即时通信工具,是大数据时代移动互联网成为发展趋势的必然写照。它以操作简单,支持文字输入、 语音、 图片等特点,拥有了大量用户,这种新型的通信工具已然成为了人们的新宠。然而,微信就像是一把双刃剑,带给我们便利的同时也蕴藏着无限的危机,近几年,由于微信社交功能而造成的个人信息安全风险层出不穷。如何认清在虚拟网络下的安全风险及如何在新形势下加强个人信息安全保护,成为大数据时代首当其冲的问题。
一、微信平台下的个人信息安全风险
微信,作为一种全新的社交媒介,最大的成功之处在于传播技术的不断创新满足了受众追求新事物的好奇心理,改变了传统意义上的人际交往格局。用户通过使用 “附近的人”“摇一摇” 等社交功能, 从附近众多显示出来的用户中,结交自己想认识的朋友。虽然这种交友功能便于用户找到或结识具有吸引力的新朋友,但使用者的信息也会暴露于公众之中,加剧了个人信息的安全隐患。
1、查找附近的人。点击查找 “附近的人”功能后用户会看到 100 m~1 000 m 范围内同样使用过此功能的用户。一些不法分子对用户的图片等个人信息加以收集、 加工、 利用,得出有利于自己的信息,进行敲诈勒索行为。据统计,近几年仅国内媒体报道的利用微信引起的犯罪案件就多达 60 余起,其中强奸案高达半数。
2、摇一摇。“摇一摇” 是微信推出的一个随机交友程序。通过摇动手机可以匹配出同一时间使用此功能的用户,这种有筛选性的择友方式使得用户既张扬了个性,又满足了自己的需求。因此,“摇一摇”上线后很快便达到了每日多达 1 亿次的使用次数,它的简单、 便利,快速地帮助人们扩大了社交圈,然而这样的便捷也对个人信息安全构成了巨大的威胁。微型 “摇一摇” 的社交功能并没有信息控制及筛选功能,人们的交流具有极大的自由化、 开放性、 匿名性, “u一摇” 的便捷使得人们对于微信另一端的使用者降低了警觉性。不法分子利用用户的这些心理,可以轻易地获得用户的个人信息。
二、微信购物和娱乐平台下的个人信息安全风险
微信原本是一款基于手机端的社交软件,在第三版更新后出现了微信 PC 端,于是社交形式由最初的微信好友和朋友圈扩展到微信公众平台,使群发消息给关注的用户得以实现。 无数的商家眼球被用户群吸引,更看到了隐含在人群之后的巨大商机。
1、微信购物。“微店”“微商城” 等购物方式,是基于微信平台而研发的一种电子商务系统,能够实现大多数个体的商业需求。消费者只要通过微信商城平台,就可以实现商品查询、 选购、 订购与支付的线上线下一体化服务。由于这些平台建立成本较低, 只需按照要求填写申请后便可以进行交易,没有相关的安全体系进行保障,因此易发生纠纷。
2、测试游戏。“测出你的前世今生”“测算基因看你未来开什么车” ,等等。近来,不少人通过朋友圈的信息共享玩一些游戏并随手转发。虽然这些只是名义上的测试游戏,但实际上却很可能是不法商家利用测试来吸引用户的眼球而随之盗取个人信息的方式。据了解,绝大多数游戏在进行测试时均需要输入姓名或手机号等个人信息,商家很容易全方位掌握用户的相关信息。此外,有网络安全人士指出,有的游戏或社交网络还会向手机软件植入木马程序,致使用户手机中的手机银行和支付宝等交易软件安全性降低。
三、微信平台下的个人信息安全保护对策
1、加强对微信平台的监督管理。不法分子屡用微信进行犯罪的最根本原因是由于我国未实行微信实名注册用户,不法分子可以用不同的手机号进行多个账户的注册,案件发生后若罪犯注销或停用账户我们就无法进行追踪。因此,应当在确保个人信息不会泄露的前提下实施微信后台实名制原则,减少不法分子运用这一漏洞而进行犯罪活动。与此同时,应该加大对微信的监管力度,对交流中可能出现的不法信息、 敏感话题予以提醒。
2、加强个人信息保护。在我国,人们对个人信息的认识比较模糊,重视不足。个人信息的随意传播、 公开、 泄露、 滥用的现象随处可见。微信的使用,朋友间的交流或朋友圈信息的公开、 共享使我们有意或无意地泄露了个人信息。开启定位系统、 打开测试网页,每一次社交程序的应用都可能将我们的个人信息输入商家预先设计的数据库中,成为商家日后获利的筹码。国家相关部门应当加快建立与个人信息安全相关的法律体系,对个人信息进行正规的管理和规范,以保证个人信息能够在合法、合理的状态下流动。
3、加强思想道德教育以提高道德风尚底线。面对网络信息纷繁复杂、 难以辨别真伪这一现象,腾讯公司应当在大力宣传推广微信产品的同时,定期推送具有加强思想道德教育的短文,开展网络伦理道德教育,并在道义上提醒广大微信用户可能存在的安全隐患。
4、提高自身防范意识。许多微信用户习惯于在朋友圈随意公开自己的状态及位置信息,同时晒出自己或与朋友、 家人的近照并伴随各种炫富行为,以渴求得到他人的赞美或崇拜。岂不知这样的行为容易使有些不法分子利用。因此,我们在朋友圈中应该少用真实照片或者在使用“附近的人” 后应当及时 “清除地理位置” 并退出,同时开启 “加我为好友需要验证” 功能。此外,在与陌生人进行交流时要随时保持警惕,尤其是女大学生,不要因为对方的花言巧语而放松警惕,泄露个人的重要信息。另外,面对网络上新兴起的代购行为,我们不能盲目地相信及追求,应该用怀疑的态度去辨别商品的真假性及卖家的信用,从而提高自身防范意识。
四、结束语
如今的微信已经不仅仅是一种即时通信工具,更是一种新型的社交网络平台。面对个人信息泄露的现象,我们应当提高个人信息安全的保护力度,根据微信的特点,加强对微信的监管力度,并要求各监管部门分工明确,承担不同的监管职责,建立和加强微信的监管体系。