个人信息安全管理范文

引言：寻求写作上的突破？我们特意为您精选了4篇个人信息安全管理范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

2011年深圳警方抓获了一名贩卖婴儿信息的女子，其贩卖的信息当中记载了深圳15万名新生婴儿的详细资料，还搜查出深圳楼盘业主、车主名单等数十万份个人信息。

2012年3月20日，北京警方宣布成功破获CSDN网站用户数据泄露案，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严重威胁互联网用户的合法权益。在2009年刑法修正案（七）中，虽然确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，但未明确该罪的具体界定标准，且追究的犯罪主体只是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，法律对信息泄露者的惩罚机制还远远不够。

据国家互联网应急中心《2011年我国互联网网络安全态势综述》显示，近年来以用户信息泄露为代表的与网民利益密切相关的事件频发高发，“轻伤”者被垃圾信息“攻击”，“重伤”者财物、名誉双双受损，引起公众对网络安全的广泛关注。

“三律”加强个人信息安全防御

面对垃圾短信和洗钱、诈骗等违法违规信息推送以及网络上办假身份证骗取银行信用卡恶意透资、盗取他人账户资金等种种乱象，如何全面加以防范和打击已经迫在眉睫。

针对个人信息泄露的三种主要渠道：一是用户的电脑或手机被木马软件劫持；二是个人信息在互联网传输的过程中，经过一些传输路由时被他人控制；三是网站运营或信息管理机构对个人信息没有尽到妥善保管的义务，在使用过程当中把个人信息泄露出去。与技术因素相比，网站运营或信息管理机构泄露用户信息已经成为侵犯个人信息安全更为重要的原因。必须从源头加以治理，坚持法律、他律与自律三律并施的原则，切实加强个人信息安全防护。

健全法律。工业和信息化部副部长杨学山日前在“2012中国个人信息保护大会”上指出：“个人信息安全已成为目前网络发展的重要问题，加强相关法律法规建设具有重要意义”、“个人信息安全是重要的问题，与网络秩序、社会的稳定与安定均息息相关，个人信息在网络上的集中度越来越高，法律建设的相关环节也就更加具有重要的地位”。立法保护个人信息，是国际上通常的做法。目前世界上已有50多个国家和组织制定了个人信息保护的相关法规和标准。而在我国，虽有近40部法律、30余部法规和近200部规章涉及个人信息保护，2009年《刑法》将泄露个人信息入罪，《民法通则》中也有关于个人隐私的条例，但这些法律法规条例零散、抽象，在现实中普遍缺乏可操作性。《个人信息保护法》初稿已出台6年，但至今未进入正式立法程序。加快推动个人信息保护立法进程，成为社会共识。

加强他律。掌握公民信息的，往往是具备政府管理职能和提供公共服务的机构及社会团体组织，他们掌握着80%以上的个人信息，80%以上的个人信息往往也经由他们泄露出去。因为单凭个人没有如此强大的信息收集能力，只有这些单位趁着工作上留存公民信息的需要而使工作人员有违规操作的可能。因此，各级信息安全工作主管部门必须切实加强对政府机关、公共事业单位和社会团体等组织的信息安全监管，督促其在做好信息系统等级保护和风险评估工作的基础上，切实加强对员工的信息安全管理，促其管束好工作人员遵守职业道德，不趁职务之便而谋利。

严格自律。网民在利用即时通讯工具聊天、在电子商城购物或在交友开博过程中，不知不觉中已经将个人信息存储在网站运营商的服务器中，这些个人信息不仅涉及个人姓名、性别、身份证、电话、邮箱等内容，甚至包括个人银行卡、支付密码、家庭住址等更为私密的内容，而公众所熟悉的杀毒软件重点在保护用户端的电脑安全，对于存储在运营商服务器上的数据安全鞭长莫及。新近提交审批的《信息安全技术、公共及商用服务信息系统个人信息保护指南》，提出个人信息在收集、加工、转移、删除4个主要环节中所要遵循的基本原则、注意事项，应引起个人信息提供者与使用者的高度重视并严格执行。作为个人，要做到不该上的网站不上、不该提供的信息不提供；作为机构，要做到不该征集的信息不征集、使用后不该存储的信息不留存。

“三建议”提升个人信息防护对策

个人信息安全防护是一项系统工程，政府部门作为公民个人信息最大的拥有者，首先应高度重视在个人信息应用方面的管理，为公民网上活动和互联网产业发展提供良好的法律环境。同时，相关企业要加强技术管理，条件成熟时还可设立企业首席隐私官,专门负责处理与用户隐私权相关事宜。而普通大众也要提高个人信息安全保护的意识和能力，防范网络行为可能带来的潜在风险。笔者结合从事信息化与信息安全工作的实践，提出以下建议：

加强学习，强化意识。首先要认真学习修订后的《保守国家秘密法》，深刻领会并全面掌握结果论为行为论的核心要义，严守12条禁令，不碰红线、高压线；按照“四个不得危及、三个不得公开”的原则，处理政务信息公开工作；其次要做好网络技术防范管理，严格遵照《江苏省信息化条例》要求，在信息化规划与建设、信息资源共享与开发利用、信息产业发展与技术推广应用、信息安全保障及其相关管理活动中，逐一落实到位。尤其是信息安全保障系统应当与信息化工程项目同步规划、同步建设、同步运行，使用财政性资金建设的信息网络和信息系统投入使用前，应当进行信息安全登基保护和信息安全风险评估。

篇2

1.调查方法和对象

1.1调查对象

本次调查对象的选择采取随机选取的方式。

1.2调查方法

通过对调查问卷的填写和反馈，实现调查目的。

1.3调查时间

2014年9月1日至9月30日。

1.4调查范围

本次调查问卷的发放和回收，主要采取两种方式。一种是实地调查，在人群密集处随机发放纸质调查问卷，请调查对象现场填写和反馈。另一种是利用网络调查平台，和回收调查问卷。两种调查方式相结合，使本次调查达到了覆盖范围较广，形式多样的效果。同时以不记名方式填答，保证了答卷结果的真实性。

本次调查发放调查问卷1000份，去除无效问卷146份，共回收有效问卷854份，回收率为85.4%。调查问卷回收后，对相关数据进行详细地统计和汇总，并做出分析。

2.调查数据分析

本次调查主要包含三个内容：一是公众对个人信息及其安全的认识；二是公众对电子商务及其安全的认识；三是公众对电子商务中信息安全的态度。

2.1公众对个人信息及其安全的认识方面

在公众对个人信息安全的关注度上，“一般关注”所占比例略高于“非常关注”，两者所占比例均达到40%以上，“不关注”所占比例很小。调查情况与“非常关注”比例应高于“一般关注”的理想状态相比，存在一定差距。在获取他人个人信息的渠道方面，“各种业务的办理”所占比例最高，其次是“自愿告知”、“聊天交友”。这说明公众透露自己的个人信息大多是出于实际需要或个人意愿，“自愿告知”和“聊天交友”所占比例均高于理想状态。这说明调查对象对个人信息安全普遍有较为充分和准确的认识，对待个人信息的基本态度是正确的，但对个人信息安全的关注还没有达到应有的高度。主要表现为大部分人对个人信息安全的关注程度不够高，还有相当一部分个人信息是主动泄露的。因此，为提高公众对个人信息安全的认识，有必要借助各类媒体进行宣传教育，提高公众对个人信息的重视程度，增强保护意识，防止因主观原因造成的信息泄漏。

2.2公众对电子商务及其安全的认识方面

与实体交易相比，在对电子商务的信任程度上，调查对象表示“一般信任”的接近80%，“非常信任”和“非常不信任”的比例相当，在10%左右；在电子商务的安全性的考虑上，大部分调查对象“比较关注”，但也有相当一部分调查对象表示“一般不会考虑”。以上结果表明，公众对目前的电子商务安全状况还不是十分满意，只是基本接受。有相当一部分调查对象“一般不会考虑”电子商务的安全性说明，公众在信息技术方面普遍存在知识欠缺的情况，对电子商务安全性的认识不足，容易造成盲目信赖或跟风。在使用电子商务时会否考虑采取安全措施方面，“经常采取”的所比例最大，接近40%，其次是“一般不会采取”的接近30%，“必须采取”和“没考虑过”的分别占20%和10%左右。这说明，公众有意愿采取安全措施，抵御电子商务中存在的安全风险，但是，实际采取的比例并不高。这主要受限于公众的信息技术素养和能力不足，还有相当一部分人有意愿采取安全措施，但自己又缺乏这方面的能力，只能坐以待毙。这组数据表明在电子商务及其安全性上：一方面，无论电子商务的安全现状，还是公众对电子商务安全问题的认知，都存在很大的不足。另一方面，公众对电子商务及其安全性的认识还处于初级阶段，现在还比较幼稚，但正在不断成熟、发展，具有一定的改善趋势。

2.3对电子商务中信息安全的态度方面

针对第三个内容的调查结果显示，虽然超过70%的调查对象表面对电子商务中信息安全现状“基本满意”，但是，与此同时，认为“大部分已经泄漏，安全感明显降低”和“不是很多，还可以接受”的比例都超过了25%。这表明，电子商务中信息安全的现状不容乐观。大多数调查对象表示基本满意，并不能说明电子商务中信息安全现状真的可以满足实际需求，而是因为现状长期得不到改善，致使公众对这一问题的关注陷入麻木状态。所以，我国电子商务中的信息安全问题不容小视，个人信息的安全保障水平亟待提高，而单方面的改善是难以见效的。公众对提高电子商务信息安全水平的要求是迫切的，并且已经采取了相应的措施，但这些是远远不够的，要保障电子商务中个人信息的安全，必须采取多种措施，齐抓共管，国家、企业和个人共同努力，构建信息安全管理体系，才能全面消除安全隐患，建立一个健康安全的电子商务环境。

2.4改进建议

本次调查最后一题采取了开放式的答题模式，收集到了一部分公众对电子商务信息安全方面提出的建议。这些建议主要集中在：提高用户安全意识和能力；建立健全法律法规，完善规章制度；加强对从业机构和人员的管理和培训；提高安全保障技术水平四个方面上。通过本次调查，可以进一步总结出应对各种安全风险的有效措施，并提高措施的可行性和有效性。

2.5调查评价

为提高调查的效度[1]，本次调查采用了网络调查和实际调查两种调查方式，提高了抽取样本的随机性。网络调查的对象主要是经常上网的人群，而实际调查由于调查时间、地点和方式的不同，则具有更大的随机性。

为提高调查的信度[1]，本次调查抽取了的足够多的调查样本。大量的调查对象，扩大了调查的人群覆盖面；网络调查方式有效的避免了实地调查的地理局限性，而实地调查克服了网络调查真实度低的问题，二者相互弥补。

3.构建电子商务信息安全管理体系

基于问卷调查所得数据，有必要构建电子商务信息安全管理体系。信息安全管理体系是以实现全面保障电子商务中信息的安全为目标，通过完善政策法规和监督机制，配置精良设备，掌握核心技术，增加安全投入，强化培训和准入，配备精干力量，提高公众的自我保护能力等各种措施配合与协调，构建全方位高层次的保障体系，从根本上提高信息的安全管理水平。该体系可大体分为技术和管理两个方面。

3.1技术方面

3.1.1反病毒和安全扫描技术

通过病毒查杀和实时防御，可以及时清除已存在的病毒并防止新病毒植入，防止病毒对数据的破坏和窃取。安全扫描可以发现软件中存在的漏洞和“后门”程序，通过添加补丁，防止漏洞和“后门”程序被恶意利用，危及信息安全。

3.1.2防火墙和入侵检测技术

防火墙是软件和硬件的结合体，能根据安全策略对进出网络的数据行为及其流向实行控制，并保留日志，进行审计。入侵检测技术实时监控数据传输状况，并对数据访问请求进行甄别，能够及时拒绝、中断、抵御可疑的访问和传输行为。

3.1.3身份识别技术

密码作为使用最方便也最普遍的身份识别技术得到极为广泛地使用。为了加强身份识别技术的可靠性，密码常与生物技术、物理令牌等识别方式联合使用。[2]

3.1.4访问控制技术

主要用于控制用户、进程、计算机等对主体对系统资源或个人信息的访问。访问控制可以防止非法用户的入侵和合法用户的非法行为，有效防止信息被非法访问、窃取或篡改。

3.1.5数据加密技术

数据加密技术是在安全工程领域对数学知识的应用，达到对明文进行伪装处理，输出密文的作用。这样即使数据被窃取，非法入侵者得到的也只是一堆杂乱无章的无用信息。数据加密技术在使用中应以适用、高效为原则，选择功能适当、操作简便的，可以单独使用一种加密技术，也可以多种技术结合使用。

3.1.6设备及数据备份技术

设备备份为计算机及网络系统的关键设备配备冗余和备份，数据备份为重要数据提供备份，并具有恢复重要数据的功能。

3.1.7日志和审计

日志用于实时记录系统的主要运转情况，审计是在事后对日志进行分析研究。根据日志和审计报告，可以及时发现系统的异常状况，甄别可疑事件和可疑行为，并作出警报或采取必要的抵御措施。[3]

3.1.8推广使用国产软硬件

一是安全可控。国产产品是我国自主研发的成果，制造维护过程完全符合国家的相关安全标准，消除了“后门”程序、植入代码的危险。二是国产产品充分考虑我国国情，更适应我国电力供应状况及技术人员操作习惯，后期维护和保障水平高等。

3.2管理方面

3.2.1完善法律法规及相关政策

通过进一步完善立法，加强执法，提高制度的适用性和可操作性，健全监督机制，发展社会监督，才能促进信息安全工作的进步。也可借鉴他国经验，引入第三方评测机构，对收集和保有个人信息的企业的安全管理水平进行测评，为政府执法提供可靠依据，规范企业的信息保护行为。

3.2.2增加安全投入

企业在安全管理方面的支出要占到总支出的8%以上才能达到设备齐全，人员充足，制度规范的管理状态。大中型网站有必要配备专职安全工程师和隐私工程师，人员数量由网站的规模和访问流量决定。 [4]小型网站则可以将安全工作外包，由专业安全企业对网站的安全事务进行管理。

3.2.3强化培训和准入

对安全管理人才的培养，可以借鉴网络工程师及软件工程师的认证方式。同时，由于安全管理不同于其他技术工作，其对专业要求的强制性更高，标准更严，因此有必要借鉴会计从业的相关规定，采取准入制度，并打破职业资格终身制，定期对从业人员进行再教育和资格考核。

3.2.4提高自我保护能力

一方面，政府和电子商务企业，有责任和义务利用媒体等多种渠道开展宣传，使公众认识到信息安全的重要性。另一方面，要提高公众的信息技术素养和对个人信息的保护能力。一是指导公众掌握辨别不安全网站的基本方法，识别和抵御网络钓鱼、身份伪装、恶意传播病毒等不法行为；二是帮助公众掌握必要的安全保障手段，如安装杀毒软件、定期查杀病毒漏洞、维护计算机系统等，以保护信息存储和运行环境的安全。

【参考文献】

[1]Floyd J.Fowler.Improving Survey Questions：Design And Evaluation[M].USA： Sage Publications，Inc，1995：5.

篇3

社交网络中的数据量非常大，其信息的开放程度也较高，这在很大程度上吸引了更多用户的使用，用户之间的关系也由此变得更为复杂，不易管理。因此，怎样在社交网络中保护用户的因素，更好地进行数据访问和身份认证控制则成为了当前社交网络发展所重点关注的内容。

1 社交网络下用户信息安全的内涵

社交网络是指在遵循实名制原则的前提下，通过社会性软件所建立起来的社会化的网络平台，这一平台被用于管理个人或者机构的各种社会关系。在该平台上，用户可以自行分享各自的兴趣和爱好，以此促进和其他用户的了解和交流。目前，国内外都有不少社交平台，Twitter、Facebook、人人网、开心网、微信、微博、腾讯QQ等，都是非常常见的社交平台。个人用户信息又包含其各种身份（地址、姓名和点哈等）和非身份的信息（性别和年龄等）。而社交网络用户信息安全则是指用户的个人信息的安全问题，具有如下五个特征。

（1）保密性，用户的所有信息仅为授权者所使用。

（2）完整性，要保证用户的信息不被删除、伪造、或者修改等。

（3）可用性，要摆正用户的信息能够被授权者获取、使用。

（4）可控性，用户的所有信息及该信息系统时刻处于较为安全的监控管理当中。

（5）可靠性，在规定的条件下，信息系统所完成特定功能的概率。

2 社交网络下用户信息安全现状

2.1 法律法规的不健全

2009年我国出台了《刑法修正案（七）》，其中便有对用户信息的获取和使用做了规定，所有个人组织不能非法向他人出售或提供用户的个人信息，否则，将会承担一定的法律责任。可见，我国对保护我国公民个人信息不收侵犯还是有一定决心的。但是，仅凭这一条例是不可能涵盖所有相关犯罪行为的，如果没有相关的司法解释作为辅助，仍旧还是孤掌难鸣。而实践也表明，各地法院也很难通过这一条例对相关的犯罪行为定罪，尽管也有专家建议出立的《个人信息保护法》，但是最后仍旧由于各种各样的原因没有成功。到目前为止，我国针对这一问题增加了一些条例和办法，但是由于其约束力不够，操作性较低。

2.2 社交网络企业的管理水平较低

在各类用户信息侵害案件中，大多数的过错方都在于各社交网络企业，并且其所占比重仍在不断增大。广大社交网络企业是保护信息安全的主体，也可以说其是第一责任人。然而在实践过程中，少有企业认识到这一点，同时也就更无法提及使其明白维护信息安全的重要性了。相反，一方面，这些企业反而用过误导和引诱等方式吸引更多的用户填写姓名、年龄、性别、住址、手机号、学历、QQ账号等真实信息。其中，游戏积分奖励和新功能优先享受都是其较为常用的方式。另一方面，这些企业对用户的信息安全保护工作也极不重视，不仅没有做好黑客的入侵防范工作，也没有投入经费组建专业的信息安全管理团队。

2.3 用户的信息安全素养不高

在网络时代背景下，用户的信息安全素养提升速度并不如网络信息产业发展的速度快，呈现出严重的滞后状态。用户对信息安全的认识还不是特别到位，没有具备一定的信息安全意识，对信息安全知识的了解程度不高，处理信息安全侵犯事件的能力也相对较低。不少用户都会习惯性地回复一些看似朋友发送过来的诈骗信息而泄露了自己的真实信息，中了黑客的圈套。还有的用户习惯性地用一个邮箱享用多个平台的服务，例如，人人网和开心网都使用网易邮箱，并且连密码都没有修改，这样一来，一旦其中一个账号的信息被泄露出去，另一个账号也会受到影响。

3 社交网络下保护用户信息安全的对策

3.1 加强立法的保障

在整个互联网的立法工作中，首先要做的就是要通过各种法律规范形式对用户信息加以保护，使其免受侵犯。而像不得在网上散布恶意信息，侵犯他人权利之类的法律规定，其实并不具被很强的操作性。所以，当前应该做的就是要对这类法律法规加以界定，到底哪一类信息属于恶意信息，其具体的判定标准是什么等等。此外，在具体实施过程中，我国也可以借鉴国外其他发达国家相关经验，欧盟关于个人信息安全的保护立法就是一个非常值得借鉴的优秀案例。另外，法国所建立的国家信息与自由委员会也是极具借鉴价值的。

3.2 提高各社交网络企业的信息安全管理水平

除了加强国家立法保障之外，各企业也要通力协作，形成行业自律。行业规范能够有效地提高用户信息的安全管理水平。企业作为保护用户信息安全不受侵害的主体，理应承担大部分责任。广大社交网络企业需要通过收集用户信息扩展自身的业务范围，这并没有错，但是如果不对收集来的用户信息进行安全管理，就是不对的。所以，企业必须加大用户信息安全管理的力度，充分利用Ajax技术的优越性，加强对用户信息的安全管理。不仅如此，企业还用当具备具备一定的信息伦理道德，以强化自身对用户信息安全的保护意识。

3.3 提升用户的信息安全素养

由上文可知，用户信息被泄露，除了体制和企业的原因外，用户自身也是很重要的影响因素。如果用户具备一定的信息安全素养，了解信息安全的重要性，知道如何避免信息泄露，那么因信息安全泄露所引起的纠纷事件就会少很多。正因为如此，才需要其不断提升自己的信息安全素养。用户可以通过网络了解相关知识，也可以多多参加各类与信息安全相关的讲座，还可以阅读一些相关的书籍，以加深自己对信息安全的了解，提升自己的信息安全素养。

4 结束语

由此可见，在互联网时代背景下，保护用户的信息安全势在必行。无论是国家、社交网络企业还是用户个人，都应该为信息安全的维护承担相应的责任，只有大家通力协作，才有可能做好用户信息安全维护工作，才能促进我国社交网络的发展。

参考文献

篇4

一 、网络时代的个人信息安全危机

网络时代，随着信息产业的日益发达和互联网的迅猛发展，以计算机为基础的信息技术使得收集、储存、传输、处理和利用个人信息变得易如反掌，个人信息的收集与交换出现了爆炸式发展的态势。科学技术从来都是一把“双刃剑”，网络在使信息流动便捷的同时，也给个人信息安全带来挑战，提高了个人信息保护的难度。近年来，个人信息泄露事件频发，并呈现迅猛发展的态势，人们越来越强烈地感受到个人信息安全危机给生活带来的种种困扰。

网络时代的个人信息危机主要有如下表现：一是个人信息失控的危机。随着信息技术的发展，个人信息有可能在系统安全存在漏洞的情况下被不法访问、使用甚至篡改，信息自决权成为空谈[1]。2011年底中国互联网遭遇了史上最大规模的用户信息泄露事件，多家大型网站的用户数据被泄露，几千万个用户账号和密码被公开，给社会秩序和人民切身利益造成严重危害。二是个人隐私和尊严的危机。在网络环境下，人们越来越多地把自己的生产和生活移到了网络空间，这个空间是由“个人信息”组成的“数字人”的交往空间。大量个人信息在不知不觉中被收集，个体在社会生活中急速“被透明化”，现代人因此而成为“透明人”或“半透明人”，个人毫无隐私可言，尊严难以保证。三是信息利益的危机。个人信息主体的信息收益权被不法商家夺取，个人信息利益丧失，信息主体的财产权因此而受到侵害。更为严重的是，个人信息危机带来的“信息阴影”已经日渐扩散，正常的社会秩序正因此而面临严峻的考验。个人信息安全的危机，将破坏商业秩序，滋长犯罪、危害社会稳定，制约经济发展，甚至引发公共安全危机。鉴于此，公民的个人信息保护势在必行。

目前，我国在个人信息保护领域的行动主要体现在对泄露公民个人信息的行为和当事人进行追究和打击等补救措施上，这实际上属于一种“事后救济”的反馈控制，不仅已经泄露的个人信息“覆水难收”，而且个人维权成本非常之高，根本无法控制已经泄露信息的网络传播，既治不了标，更治不了本。如何应对网络时代对个人信息安全的挑战？我们建议对个人信息保护引入一种新的思想和机制——前馈控制。

二、 前馈控制与个人信息保护的关系

前馈控制（feedforward control）早期是一个工科领域的名词，后来被引申到管理学中，指通过观察情况、收集整理信息、掌握规律、预测趋势，正确预计未来可能出现的问题，提前采取措施，将可能发生的偏差消除在萌芽状态中，为避免在未来不同发展阶段可能出现的问题而事先采取的措施。简而言之，就是事先分析和评估即将输入系统的扰动因素对输出结果的影响，并将期望的管理目标同预测结果加以对照，在出现问题之前就发现问题，事先制订纠偏措施，预控不利扰动因素，将问题解决在萌芽或未萌状态[1]。由此可见，前馈控制是与反馈控制相对而言的。反馈控制是面对结果的控制，旨在亡羊补牢；前馈控制是面向未来的控制，旨在防患于未然。前馈控制的优势在于可以避免反馈控制的“时滞”缺陷。[2]

凡事预则立不预则废。前馈控制立足于“预控”，是对公民个人信息保护的一个新视角、新方法、新技术和新手段。前馈控制将事先分析和评估个人信息传播过程中可能出现的各种问题和困境并对其问题实施超前控制。比如说充分利用法律法规的前馈控制功能制定专门的《个人信息保护法》，对个人信息的收集和使用过程中的违法违规行为进行预测，并做出详细的处罚规定，从而有效防止违法行为的出现。对掌握公民个人信息的单位进行全方位监管，对个人信息的收集、利用、提供和删除等各环节进行严格排查，尽量避免任何环节的纰漏。提高安全管理技术和全民的个人信息保护意识，都能在很大程度上防止个人信息安全危机的发生，使个人信息保护更有效，进步更显著。

总之，前馈控制能使我们在网络时代个人信息保护的过程中掌握更大的主动权，只有前馈控制做好了，才能真正保护好公民个人信息安全。

三、 对个人信息安全保护实施前馈控制的若干建议

对个人信息安全保护实施前馈控制所包含的内容非常广泛，限于目前的认识水平和篇幅，我们主要提出以下建议。

1.建立和完善个人信息安全保护的法律法规

法律是一种社会规范，具有规范作用，法的规范作用表现为指引、评价、教育、预测和强制五个方面。其中，教育作用是指通过法的实施使法律对一般人的行为产生影响。这种作用又具体表现为示警作用和示范作用。预测作用是指凭借法律的存在，可以预先估计到人们相互之间会如何行为，对行为的预期是社会秩序的基础。完善法律法规是对公民个人信息安全危机进行前馈控制的关键环节，充分发挥法律法规“令人知事，明其法禁”[3]的前馈控制功能，用有强制力的条文明确各方的权利与义务关系，能够在很大程度上对个人行为起到规范作用。大多数发达国家都制定了关于个人信息保护的法律，如美国有《信息自由法》和《隐私法》，德国有《联邦资料保护法》，日本和韩国都有专门的《个人信息保护法》，我国香港地区有《个人资料（隐私）条例》等。然而，我国大陆在个人信息立法上却处于滞后状态，专门的个人信息保护法律历经多年却仍然难产。近期通过的《关于加强网络信息保护的决定》（以下简称“决定”）对于我国网络信息保护具有突破性的意义，重点解决了我国网络信息安全立法滞后的问题，体现了国家对于网络信息安全的高度重视，但是《决定》更多的带有宣示性意味，后续仍需要细化工作。

个人信息牵涉每一个人，网络时代最大的特点就是信息的汇聚性，当所有人的信息汇集的时候，信息保护就不是哪个部门的事了，而是在国家层面上需要考虑的战略性问题。从现实看，当前最需要的是加紧推动《个人信息安全保护法》的研究和制订，明确买卖个人信息罪名的界定标准并加大惩罚力度，对擅自披露他人个人信息和未经许可的二次开发利用者给予严厉打击。除了刑事责任外，其他相关的行政责任、民事责任等还应当及时跟进、完善。要保障个人在信息泄露后有获得补偿和救济的权利，明确机构对公民个人信息流失所造成损失的赔偿责任和责任划分原则，比如银行信息泄露后个人账户中的钱被盗，银行需对个人损失进行补偿。继续细化《决定》中的规定，对与《决定》有关的行政法规进行清理，对有些不一致、有冲突的地方，还要进一步加以衔接，同时抓紧制订相关的配套法规。通过法律法规的制订，将公民个人信息保护过程中可能出现的问题进行合理预测，让规定走在行动前面。但是保护个人信息本不应该牺牲信息的流动性，好的立法应该在保证个人信息的合理流动与个人信息的全面保护之间寻找到平衡点，选择吸收各种立法模式的有益经验并结合本国的法律传统和具体国情做出合理的制度设计。

2.建立个人信息安全保护的监管机构

网络时代个人信息泄露的形式多样、手法灵活，应对网络时代的个人信息安全危机，单靠法律不足以解决所有问题，要做到有法必依、执法必严，否则法律不过是纸上谈兵。强有力的行业监管是实施前馈控制的重要手段和有效途径。新通过的《关于加强网络信息保护的决定》明确规定，有关主管部门应当在各自职权范围内依法履行职责，防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。在我们国家，个人信息保护目前仍然处于各自为政的状态，某种程度上说，管理者和被管理者并没有严格地区分开，管理部门和被管理对象处在同一个行业，很难完全客观、公正地进行执法。机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息。这些行业虽然有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等，但由于部分从业人员法律意识不强，企业管理、执行不到位等情况，存在制度漏洞。因此，这些行业成为个人信息泄露的“重灾区”。 从其他各国情况来看，建立一个独立、统一、权威、有效的监管机构是普遍经验，比如英国的网络自律协会IWF（Internet Watch Foundation），它能够超出行业的局限，独立公正地执法。公民个人信息安全保护，在法律法规之下，需要政府强化监管，只有完善和加强监管才能让无良者无处遁形。应该设立专门的个人信息保护监管执法机构，加强对信息持有单位的监管，进一步加大监督检查力度，建立预警和预控相结合的前馈控制机制，强化对个人信息的事前管理，包括个人信息的获得、收集、持有和使用各个环节全面监管，不要等信息泄露，危机发生之后才补救。充分重视自律机制在个人信息保护中的作用，拥有个人信息采集权的部门和单位要加强行业管理，用行业制度规范个人信息的处理行为，通过行政执法、刑事执法、民事救济手段配合建立政府引导下的行业自律机制和模式，从源头上预防和遏制对个人信息的侵害行为。拓宽公民监督举报渠道，进一步畅通举报受理机制，鼓励公民个人参与个人信息泄露的监督。

此外，尊重网络用户的个人选择权利。就是说，个人角色选择及隐私设置，想匿名还是实名应该由网络用户自己决定。可以提倡有些商业网站的做法，对用户信息采取“分级查看”的权限设置，除了必要的管理员，一般员工无权从后台查看用户的注册信息，倘若确有必要查看，必须按照严格的程序报批。在互联网上，必要时应明确限制政府的权力，有些数据政府必须得到合法的授权才可以看。

3.建立个人信息安全保护的前馈控制技术支撑体系

前馈控制不仅是方法，某种程度上更是一种技术和手段。对个人信息进行保护，除了法律和监管，还需要安全管理技术的提高。“黑客”的攻击，是一些网站数据库失陷的原因。一些网站的疏于防范，给“黑客”造成了不少可趁之机。通过技术手段可落实安全保障，要加强网络安全防护，依据分区域、按等级、多层次的防护思路进行安全规划、安全评估、安全加固与安全维护，并且对已有的安全技术进行改进与完善。建立信息安全管理体系（ISMS），通过系统、全局的信息安全管理整体规划，确保用户所有信息资源和业务的安全与正常运行[1]。网站要在安全建设方面加大资金投入力度，网络运营商应该尽到自己的保密义务，改变数据库存放策略，在当前技术范围内最大限度保证信息安全。比如我们可以设计一种软件，如果我们把自己的个人信息输入到某个网站之后，该网站三个月之后会自动删除我们输入的信息，不会把我们的个人信息留下，这样的话在技术层面上能够保证个人信息的保护。还可构建信息安全平台，为用户提供保护信息安全的产品。

建立个人信息安全前馈控制系统。研究个人信息所处环境中可能存在的缺陷、漏洞及面临的威胁，通过安全风险评估技术，观察、测试、收集、评估、分析个人信息存在风险的不确定性和可能性等因素，构建预警体系，制订预控策略和方法，最大限度地避免和减少可能的损失。