發布時間:2022-05-18 02:59:16
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇個人信息安全論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
一、移動移動智能終端信息安全的發展現狀
目前信息安全是一個所有人都比較關注的問題,作為唯一一個對用戶的移動業務體現形式的移動終端,同時作為載體存儲用戶個人的信息,是要與移動網絡配合以保證安全的移動業務,實現移動終端與移動網絡之間可靠安全的通信通道,同時還要使具有機密性、完整性的用戶個人信息得以保證。不斷強大的和逐漸普及的移動終端功能,不可或缺的用品逐漸成為移動終端在日常生活中人們的普遍共識,而同時在帶給用戶便利的這些具有強大功能的智能終端,也導致了一系列日益突顯的信息安全的問題。一方面,越來越多的個人信息存儲在智能終端中;而另一方面,信息的泄露與病毒的傳播也會為數據交換功能和豐富的通信所引起。在管理進網檢測中,分析現有的信息安全威脅,并對移動智能終端通過專業的安全檢測工具檢測操作系統,讓終端自身的防護能力被移動智能終端的制造商所提高,以保護原本沒有防護能力的智能終端。使用戶在使用通過行業標準規范的應用程序時可知、可控。但是,目前仍有水平不足的自我管理、意識不強的信息安全的一部分用戶,同樣會導致暴露部分用戶在移動智能終端上的個人信息。
二、分析個人信息安全的技術問題
隨著不斷發展的科學技術,越來越多的新業務集成在移動終端之上,對信息安全來說,部分的新業務是有其特殊的要求的,新的安全隱患可能伴隨著用戶的部分新的業務。例如移動終端集成了定位業務,其自身的位置信息時可以隨時隨地獲得的,而個人用戶的私密信息也是包含位置信息的;例如移動終端集成了生物識別的技術,則可以記性保護用戶的個人信息的,但是在終端設備上同樣會緩存生物識別的信息的,所以移動終端具備定位業務是有特殊的要求的,尤其是在對于信息安全方面。不存在絕對安全的軟件系統,應在做好相關工作的同時規避不同的風險,可從以下幾方面來實施防范個人信息安全受到威脅:
(1)應用程序的權限進行限制。
安裝應用程序的時候,該應用程序的最小權限必須得以確認,應遵循的原則是最小權限的原則,將大大降低受到惡意軟件攻擊的可能性。但是對于不一定懂得如何驗證是否合理權限要求的應用程序的廣大普通用戶,用戶在大多數情況下對于系統所要求的權限會直接授予。所以則需要在設定權限或申請權限時的開發者,使最小權限的原則嚴格的執行。
(2)認證程序應用。
最有效的手段之一就是認證并防范惡意的程序。審查相關的代碼經過應用程序以及完整的測試,可得到權威機構的認證并確認其合理的使用權限,這力的防范了惡意程序。
(3)設置數據信息的加密功能。
用戶在使用瀏覽具有個人隱私性質的信息或是應用時,硬通過設置一系列的登錄用戶口令來使某些移動智能終端的功能解鎖,以減少威脅安全的情況發生。
(4)備份私有數據以及做好防護措施。
用戶在使用私有數據時,應提早及時的做好數據的備份以及防護措施能,以免在數據發生損毀或是泄漏時能夠有效的找回,而且做好數據的防護措施例如密碼找回。則可防止信息的二次泄露以免造成巨大的損失。
三、結語
加強宣傳培養用戶信息的安全意識是個持續性的戰略,安全的智能終端的信息常識的普及,只到正規的應用程序商店下載安裝、避免安裝來源不明的軟件、只安裝通過認證的應用程序、避免連接不明的網絡以及不明的終端設備、只連接可信的主機或其他終端設備、設置用戶口令、加密隱私數據、安裝防病毒軟件等,從而實現智能終端的個人信息安全。使自我的管理水平得到顯著地提升。
作者:林春 李瑞 單位:南京郵電大學
一、個人信息概念的界定
對于個人信息,解釋繁多。一般認為是可識別的所有本人信息的總和。1995年歐盟公布的《歐洲聯盟數據保護規章》定義:“個人信息是有關一個被識別或可識別的自然人(數據主體)的任何信息:可識別的自然人是指一個可以被證明,即可以直接或間接地,特別是通過對其身體的、生理的、經濟的、文化的或身份的一項或多項識別”。國頒布的《個人數據保護法》定義:個人信息是指可識別的、活著的個人的數據組合,包括數據控制者占有或可能占有的其他個人信息、任何關于該個人觀點的表述、數據控制者或與該個人有關的其他個人意圖的表述。我國學者楊立新認為:“個人信息是隱私權保護的內容,凡屬于個人的與公共利益無關的個人資訊、資料,包括計算機存儲的個人資料、域名、網名、電子郵件地址等都是個人信息。”在我國的公共范圍內對于個人信息大體范圍可以概述為可以直接或間接識別的本人的信息。其中能夠直接識別的個人信息是可以單獨識別的本人信息如姓名、肖像、身份證號、基因等;而那些與其他個人信息相結合才能被識別的信息則稱之為間接個人信息,如性別、愛好、生活習慣、興趣、學歷、職業、收入等等。我們日常所使用的個人信息的范圍為以上兩者的總和,這些信息包括了一個人從生理到心理、從個體到社會、從經濟到文化的方方面面,它涵蓋一個真正社會意義上的人所有的內在面與呈現面,包括了一個人的健康狀況、家庭結構、社會活動以及名譽等涉及人格權的事項并囊括了著作和財產等關涉財產權的事項。需要引起注意的是個人信息并不等同于個人信息本人所知的全部。無論是本人了解的還是不了解的,在我國個人信息法中都明確其為個人信息的范疇,如被網絡服務商非法收集的個人信息以及那些掌握在醫生手中的絕癥患者未知的醫療信息等等。在互聯網時代,當人們的日常生活高度依賴于網絡的時候,這些個人信息以個人數據的形式存載于計算機中,當大數據時代的到來,云計算等先進的信息共享技術的開發,使得存儲于虛擬網絡中的真實信息成了隨時可供提取查閱的“待宰羔羊”,這些涵蓋了個人隱私的相關信息的安全性也就變得岌岌可危,鑒于網絡的開放性與共享性,以及當前技術方面的某些漏洞,使得個人數據一旦進入互聯網就有可能在全球范圍內無限制的被轉載、復制、傳播,而在當前市場利益的驅使下,被某些人窺視到了個人信息中所蘊藏的巨大商業價值。個人信息的污染與破壞、被竊取與侵權等種種道德失范的行為使個人信息安全的問題成了當下“新技術時代”特殊的存在于虛擬世界卻對人們的現實生活產生深入影響的社會道德問題,也是倫理學發展到當下所應面對和亟待解決的學術問題。
二、個人信息安全道德失范行為的表現形式
當下我們所處的信息時代為人類信息的利用與傳播開啟了一個嶄新的模式,尤其是電子計算技術的普及與發展,網絡生活中的虛擬技術將網絡活動主體的個人信息數字化和符號化發展成為人們信息交往的實踐手段。這種模式極大地豐富了人們在網絡社會中的活動但與此同時負面效應也接踵而至,正如恩格斯曾預言的那樣,人類每進步一次就加大一步對自己的懲罰力度,我們在網絡共享這一平臺,可以接收到來自于世界各地的信息,但與此同時我們的個人信息也有可能被世界各地的任何人傳播或復制,信息的“販賣”、“丟失”“、陷阱”,等等失范行為,使我們在網絡生活的每一分一秒都如履薄冰。
(一)、信息“販賣”
進入當下的電子商務時代,很多社交網站、電子商務網站都采用“會員制”,用戶需要注冊會員后才能享受相關服務,而注冊會員需要填寫大量的個人信息,這寫個人信息關涉到個人的姓名、職業、收入、愛好、興趣、個人家庭狀況甚至于真實的身份證號就相當于在這個虛擬的網絡界面內注冊了一個真實身份,這些真實的信息存儲的網站數據庫中;此外為了得到更多便利的服務,很多用戶不得不將個人信息存儲于網站的數據庫中,比如電子商務網站,用戶將自己的信用卡號、住址、聯系電話等信息存儲在數據庫中,可以款素地完成交易。由于會員信息具有很好的商業價值,因此,很多網站以及網站的內部工作人員都覬覦這一塊的利益,有些網站甚至將販賣會員信息作為公司的主要收入來源之一。目前,由于網店、快遞公司等需要用戶填寫詳細的家庭住址、工作單位地址、固定電話、身份證號、信用卡號等高質量的個人信息,故而成為會員信息泄露的一個主要源頭。如淘寶網站就有通過一元秒殺活動,借機獵取個人信息,在當事人全不知情的情況下將這些具象的個人信息以低價批量出賣;在網絡的環境里人們缺乏明確的約束力,放縱了自己對于利益的盲目沖動,這也是一些潛在的道德異化進而外化的現實惡行。
(二)信息“丟失”
不僅網絡的“內部人”覬覦會員信息,社會上的一些黑客和黑客組織也對各大網站的會員信息抱有極大的興趣,想方設法通過網站服務器,竊取會員信息并販賣或用作其他用途。2011年底,中國知名的“天涯社區”1.7G的會員數據被黑客竊取,并被散播到互聯網上,這些會員資料包含4000萬天涯用戶的賬號、密碼、郵箱等信息,給用戶造成的損失無法估量。除了貢獻網站服務器之外,一些黑客也通過手工或專門的軟件破解特定用戶名和密碼,盜取用戶存在網站上的信息。更有甚者,有些黑客通過“釣魚”網站或發送有“木馬”的電子郵件,誘導用戶點擊后,將木馬或病毒植入用戶電腦中,竊取用戶電腦中的隱私信息,如各種賬號和密碼、聊天記錄、文件等,并將這些信息打包,悄悄地發送出去。2011上半年,共有1.21億中國網民的賬號或密碼被盜,占中國網民總數的24.9%。2012年,瑞星公司的《中國信息安全報告》中指出,我國共有超過7億網名被病毒感染過。這種運用技術竊取個人信息的失范行為給很多網絡用戶帶來了巨大的經濟利益的損失,甚至是私生活的曝光,造成當下眾網民在某些技術者的“迫害”下的當眾“裸奔”。
(三)信息“陷阱”
當下,有很多軟件廠商在其發售的軟件中內置竊取用戶信息的程序,如有網絡“小甜餅”之稱的軟件cookies,用戶安裝后,軟件就會將用戶的信息發送到軟件廠商的服務器上。在智能手機快速普及的今天,由于android系統安全門檻很低,因此,安裝android系統的智能手機成為個人信息泄露的“重災區”。比如,有一款名為“高德地圖”的導航軟件,就有竊取用戶登錄賬號、密碼等信息的“后門”,該軟件將竊取到的賬號、密碼等信息以明文的方式發送到高德地圖的服務商手中,以作他用。復旦大學計算機科學技術學院的研究團隊曾對某款主流智能手機的系統300余款應用軟件進行分析,發現58%的軟件存在泄露用戶隱私的風險。從網民儲存于電腦中、網站中、手機中的個人信息,每一種可以登錄網絡的電子設備都存在著無可規避的風險,種種道德失范行為的產生使網民在網絡活動中的所有社會性行為都顯得猶如刀尖上的行走,可這種種并非是技術發展的必然產物,而是在網絡時代,人性的一種惡性異化的表現,當下網絡環境中所呈現的這些道德負面現象真是倫理學多應研究并攻克的一道難題。
三、針對失范行為倫理層面的分析
當代的信息技術是一個特殊的統一體,它涵蓋了特定的知識體系和行動過程,一方面被當下的社會價值觀念所影響,又同時對社會價值觀念產生反作用。主體人這一概念在網絡社會中的喪失,使得數據鴻溝的不斷拉大,技術的工具理性與價值理性的斷裂,使人們在應用信息技術的同時不斷沉淪,沉淪于技術的工具性而喪失了主體的思維,超越了道德的禁忌,使得人們在網絡社會中的生活如同困于囹圄,人們逐漸迷失、在無意識的情況下漸被技術異化,技術之于倫理,倫理之于技術,兩者并軌而行才能完成人類于當下社會更健康的發展。
(一)網絡活動中人主體性的喪失
海德格爾提出現代技術的在實質層面上來講就是一種展現方式,在信息化的社會下,信息技術通過編碼化、數據化的展現,通過“強制”、“限定”是人進入到了一種非自然的狀態也就是一種失去了主體性意識的人,加之網絡的匿名性,是網絡中生活的主體人處于一種不被現實社會道德約束的假象之中,導致了人們現實與虛擬世界中分飾二角的分裂性人格,海德格爾指出在現代技術的作家中,一切事物包括人都成了必不可分的東西,而當人被吸納入這種系統之后,他“就被一股力量安排著、要求著,這股力量是在技術的本質中顯現出來的而又是人自己所不能控制的力量”,當技術操作者在運用自身掌握的網絡技術進行示失范的行為時,完全沒有意識到他并非技術的操作者,反而成了技術的奴役者,在這種技術的異化下逐漸失去了一個主體人本身所具有的自我約束能力和所有遵守的道德規約,逐漸淪為技術符號的附屬品,由主動變為了被動,有操控者變為了被控制者。
(二)技術的工具理性與道德價值理性的斷裂
針對技術的本身其使用的限度是受自然屬性的制約的,而現代的信息技術又帶有社會屬性,人們在帶有自身價值觀念去使用技術時就意味著人類多余技術的使用有可能超過所能承受的限度范圍。當人們在出于自身利益考量來過度開發的同時也就埋下了技術異化的因子。作為技術發展的最新形態,信息技術也同樣具有這兩種屬性,它的工具理性就如同其自然屬性一樣,其實質是呈現世界的實然狀態,但是在人們應用信息技術的過程中,把其工具理性推到一個至高的地位上,而其社會屬性也即是具有一定正向約束力的價值理性卻被“束之高閣”。技術的工具理性與道德價值理性本應并軌而行才能保證技術在發展的過程中能呈現一種自然的狀態,造福社會而又不違背其自身發展的規律,可人們為了謀取自身的利益,把技術本身視為一種客體,對其任意球取,沉浸在勝利的喜悅中卻毫無背德意識,“這種理性化的潛在邏輯,是加強支配與壓迫的邏輯。人對自然的支配變成了人對人的支配,而且最終會墮入自我支配的噩夢之中”。如此,工具理性與價值理性就此在人為的作用下發生了斷裂,“技術的‘真’與倫理的‘善’也就此斷裂,在空間上:技術則具有開放性和前瞻性,以獲取足夠的利潤支持,從而研發更先進的技術;倫理則具有封閉性和保守性,以獲取本體論意義上的家園感和安全感,即技術的‘利’與倫理的‘善’之間的斷裂。”信息技術的發展過程中若不將倫理的價值觀念納入考量的范圍之內,那么信息技術的工具理性就會與其價值理性就會分軌而行,造成工具理性的無限放大性的畸形發展,也就造成當下人們道德失范的種種后果。
(三)網絡信息技術使人的異化
馬克思曾指出:“勞動所產生的對象,即勞動的產品,作為一種異己的存在物,作為不依賴于生產者的力量,同勞動相對立。勞動的產品就是固定的某個對象中,物化作為對象的勞動,這就是勞動的對象化。勞動的實現就是勞動的對象化。在被國民經濟學作為前提的那種狀態下,勞動的這種實現表現作為工人的失去現實性,對象化表現為對象的喪失和被對象的奴役,占有表現為異化、外化。”人們在網絡社會中所掌握的信息技術,對人類的生活所產生的影響的范圍必然不會超出生產力與生產關系這一維度“,在異化的狀態下,信息技術成為統治人和剝奪人的異己和敵對力量,這時的人成了信息技術的附屬物。所以信息技術的異化的實質就是人與信息技術矛盾的激化,網絡信息在被濫用的情況下沒成了人的異己力量。記載信息社會中變成了數據化、符號化的人,人被異化成信息產品。人們不斷被信息同化、物化。”這種信息技術的異化使網絡社會中的人漸漸失去了其原有的價值品格,加之利益的驅使,使其原有道德品格喪失,在操縱他人個人信息時,自己也變為網絡社會中一個傳輸數據的中介,將其自身也數據化、符號化了。海德格爾曾言“和機器一樣,工業化時代的人本身也依賴于技術系統,人與其說是利用技術,不如說是為技術所用,因而人本身成了技術體系的職員、附屬、輔助,甚至是它的手段。”海德格爾的語言不僅適用于工業社會,在當下的網絡時代,信息社會里也同樣適用,在信息社會里,作為主體的人在進入這個虛擬化的網絡社會里,在信息技術的操縱下,在改造社會的同時,也改造了自己,由主體人變為數據人,這種技術的異化,改變了以往的社會結構,更對人們已然約定俗成的倫理道德構成了威脅。
四、針對失德行為的對策分析
網絡社會的迅速發展,信息化進程的加快,加之網絡空間的虛擬性與開方向,使得網絡社會生活的秩序出現的管理失控,信息的泄露與侵權已成為當下不可規避的難題之一,也逐漸從網絡社會中演化為現實生活中的矛盾,既對傳統的倫理規法發起了挑戰,也制約著網絡社會自身的平衡發展。因此網絡社會的健康發展呼吁建立是應用于當下的倫理道德規范,增進責任機制的培養,加大法律的保護力度,同時引導自律機制來調整當下社會的倫理困境,從而建立一個良好的網絡環境。
(一)責任機制的培養
網絡社會中信息技術的飛速發展使得人們原有的生活格局發生了翻天覆地的變化,而這種變化的發生可以說是于潛移默化中的一種徹底顛覆,人們從開始對信息技術的折服發展到當下對信息技術的崇拜,進而迅速沉淪,可是在這種環境下生存的道德觀念卻沒有及時梳理成型,就如美國學者理查德?斯皮內洛指出的:“技術往往比倫理學理論發展得快,而這方面的之后效應往往會給我們帶來相當大的危害。”當下網絡生活中道德相對主義盛行、無政府主義泛濫、人際關系淡漠以及道德人格的扭曲皆由因此而生,歸其本質是道德責任的淡漠,責任倫理遂成為信息技術時代的必然訴求,引導責任機制的建立成為當下解決道德失范行為的一個先導機制“,責任倫理”的概念是德國社會學家馬克思?韋伯于1919年在其所著的題為《作為職業的政治》一文中所提出的概念。隨著當下伴隨著網絡社會出現的一系列倫理范疇內的失范行為,責任倫理成為當下的必然訴求,面對利益與道德之間的矛盾時,全社會都應肩負起自身的責任來,不僅要注重個人對其職業的責任理念,更應該注重社會團體的責任意識,進而整個社會的責任觀念才會得以樹立,喚起我們這一時代的責任觀念,自身的本我價值觀念才能與社會公共的價值觀念才得以統一。針對當下網絡中的信息技術本身,本無善惡之分,技術的最初職能即是呈現實物的自然面,但當網絡的虛擬空間的獨特屬性,人置身于網絡社會中,在運用信息技術的過程中人為附加了人性化的元素于其中,有加之隱匿性的掩護,使人的劣根性不斷放大。若要在網絡空間這一亞社會領域里構建一個完整的價值觀體系,那么首先要構建的就是人們的責任意識,這是至關重要的,用責任意識去約束相關人員的行為“,因為倫理精神不僅僅是指信念或良心,責任是更為重要的,而用責任意識去衡量相關人員的行為,較以至善的信念作標準更為明確具體。”而對于我們前文所提到的針對個人信息安全,相關執業人員的一些違反自身職業道德或者社會規約的失范行為來講,最需要的就是對自身的責任機制的架構,在發揮其才能的同時又承擔相應的社會責任。西方的責任倫理大師尤納斯認為“:‘責任與謙遜’是最重要的倫理精神,由于科技行為對人和大自然的長遠和整體形象很難為人全面了解和預見,存在一種‘責任的絕對命令’”,所以,符合當下網絡時代,信息技術時間主體的新的責任意識必須是與技術的發展并軌而行的,這要求專業的技術人員在設計與應用技術的同時擔負起自身的責任,參與相關活動的運營團隊也同樣承擔起自身的社會責任,形成上行下效的責任機制,從而實現技術的健康發展,為社會的進步提供優化的保障。
(二)加強個人信息權的立法保護
針對于個人信息的保護除了我們之前提到的道德倫理和技術手段的保護之外,還有一個比較優秀的保護手段也是約束力最強的手段即是法律手段,在針對個人信息處理過程中造成的個人權利傷害的種種行為中,最能對個人提供保護并對相關人員起到強制約束力的有效手段。在我國針對個人信息權益的保護立法還只是臺灣地區和香港特別行政區有專門的個人信息保護法,而我國大陸的個人信息保護法尚在制定之中。在沒有專法保護的情況下,有關個人信息的問題是被拆分為保護人格與保護隱私等法律規范內來實施保護的。換言之,我國大陸地區還沒有出具保護個人信息權益的專法。從全球范圍看,絕大部分的大陸法系國家,包括少部分的英美法系國家都選擇了統一立法模式。統一立法模式是在立法上將個人信息保護法作為基本法對待。其特點在于充分考慮到個人信息保護的統一性,照顧到行政機關和私人機關處理個人信息行為的內在聯系,同時也主語在司法上采用同一標準。美國的分散式立法模式是在針對不同領域定制單行法,此種模式的最大優點在于立法明確,內容界定清晰。其弊端是無論從立法角度還是司法角度都容易造成法治的不統一。基于對一兩種立法模式的考量,在結合我國的法律體制和一貫法律傳統,我國的個人信息保護法應該選擇同一立法的模式為立法基礎,并在此基礎上引入自律模式,相互融合取長補短。針對我國的個人信息保護法的制定除了其基本的立法模式外,我國還應在各國立法的基本原則上梳理適合我國實際情況的立法基本原則。在梳理了各個指導原則后,筆者認為,OECD指針的第二部分適用于國內法律的實際范疇,而該部分規定的個人資料保護的八大原則也可為我國立法所借鑒。即,限制收集原則、資料品質原則、目的特定原則、限制利用原則、安全保護原則、公開原則、個人參與原則、責任原則,實踐證明,指針確立的原則對其后的國家立法以及國際文件都產生了示范作用,同樣為我國個人信息保護法的確立提供一個優良的基礎。一部完善的個人信息保護法就如同一面沒有漏洞的天網,能夠為個人信息的保護提供一道難以跨越的屏障同時也會讓諸多破壞個人信息安全的行為無所遁形,成為一種無懈可擊的保障力。
(三)完善個人自律機制
鑒于網絡社會的虛擬性、開放性等特質,網絡主體的行為帶有一定的隱匿性,使人們逐漸背離了現實社會中那些已然被大家接受并遵守的道德規約,加之法律、規范的約束力的滯后,使人們的劣根性不斷放大,以為可以在這個虛擬空降為所欲為。從心理學的角度來講,當人們認為自己在一個隱蔽的環境里,自己的行為不易被察覺,或者認為可以不受時時約束,可以逃避監督的情況下,行為主體就會自行卸下道德法規的“包袱”,而此時道德準則也就喪失其原有的作用。由此看來,完善自律機制是繼責任機制與法律保障后,又一需要架構的針對個人信息安全的保障機制。在信息社會中,網絡中的行為主體大多處于“獨處”的狀態之中,每個人都如穿著隱形衣一般,這時道德規約的貫徹實施就要求更高層次的自律。《禮記?中庸》有云:“道也者不可須臾離也,可離非道也。是故君子戒慎乎其所不睹,恐懼乎其所不聞。莫見乎隱,莫見乎微,是故君子慎其獨也》。”鑒于國人思想體系中儒家思想根深蒂固的地位,針對網絡社會中自律機制的建立,應以儒家“慎獨”思想為“入德之方”。“慎獨”思想所倡導的“獨處時堅守道德準則”對應于我們當下于網絡社會中的“獨處”狀態的道德戒律達成契約,強調我們在網絡社會中必須審慎的行動,在這種強烈的道德感的感召下,嚴于律己,恪守道德信念,進而達到網絡社會中個體人格與道德情操的高度統一。網絡社會是一個真正意義上的數字化與虛擬化的生存空間,在這一空間的道德理論的建立需要每個網絡活動主體的慎獨精神力,才能將外在的道德規約轉化為內在的一種約束體系,就如編寫程序一般編入每個操作者的操作流程中,將道德內化為一種習慣、一種網絡生活中自然的狀態,將規范轉化為一種責任感,才能盡可能從根源上規避失范行為的產生,當每個網絡活動主體都對自己的網絡行為審慎于獨處,戒其于微小,這種內在維系力便結成,道德的自律意識也便成型。
五、結論
在人類的歷史上普通民眾,從未有過像今天一樣,如此擔憂和害怕自己的個人信息安全,各種道德失范行為的肆意橫行,不僅給人們造成巨大的心理壓力更干擾其正常生活也會造成經濟損失,甚至是造成人身傷害,本文從倫理的角度出發深入地探究了道德失范行為的根源并從社會團體、法律機制及網絡主體個角度提出了解決這一難題的預想策略,希望對這一問題的理論研究供以微薄之力,先賢黑格爾曾提醒世人:成為一個人,并尊重他人為人。筆者這樣理解這句話:尊重他人是自己為人的前提。
作者:劉焱 單位:燕山大學文法學院
1網絡環境下檔案信息的特征
檔案信息化以計算機技術為基礎,與以往的紙質檔案資料相比,具有以下特征:
1.1設備依賴性。
不同于過往的檔案記載,信息化的檔案資料再也不是一支筆、一份紙記錄的過程,從輸入到輸出都是經由計算機與其輔助設備實現,管理與傳輸也都依賴各種軟件與網絡資源共享,信息處理速度與質量在某些程度上依賴于計算機的性能與軟件的適應性。
1.2易控性和可變性。
信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲存下來,這給信息共享帶來了便利,但也增加了檔案資料的易控性和可變性,對于文檔資料可以通過office工具刪除修改文字、對于圖片資料可以通過photoshop輕易地改變其原有的面貌、對于音頻和視頻資料可以通過adobeaudition和premiere工具的剪輯變成完全不同的模樣,這些都造成了檔案信息易丟失的現象。
1.3復雜性。
檔案信息量不斷增加、信息存儲形式也變得豐富多樣,不僅有前文所述的文檔、圖像、視頻、音頻等形式,不同格式之間的信息資料還可以相互轉換,如視頻與圖片、文字與圖片的轉換等等,進一步增加了檔案信息的復雜性。
2目前網絡環境下檔案信息安全管理存在的問題
2.1網絡環境下檔案信息安全問題的特性。
檔案信息化有其顯著特征,在此基礎上的檔案信息安全問題屬性也發生了較大變化。首先表現在信息共享的無邊界性,發達的網絡技術使得整個世界變成一張巨大的網,上傳的信息即使在大洋彼岸也能及時查看,一旦信息泄露,傳播的范圍廣、造成的危害難以估量。同時,在某種程度上檔案信息化系統也存在著脆弱性問題,計算機病毒可以入侵系統的眾多組成部分,而任何一部分被攻擊都可能造成整個系統的崩潰。此外,網絡安全問題還存在一定的隱蔽性,無需面對面交流,不用對話溝通,只需打開一個網頁或是鼠標輕輕點擊,信息就會在極短時間內被竊取,造成嚴重后果。
2.2網絡環境下檔案信息安全面臨的主要問題。
1)檔案信息化安全意識薄弱。很多情況下,檔案信息被竊取或損壞并不是因為入侵者手段高明,而是檔案信息管理系統自身安全漏洞過多,其本質原因是檔案信息管理安全意識不夠。受傳統檔案管理觀念的桎梏、自身技術水平的限制,很多管理人員并未將檔案信息看作極為重要的資源,對相關資料處理的隨意性大,也無法覺察到潛在的風險,日常操作管理不規范,增加了檔案安全危機發生的可能性。2)檔案信息化安全資金投入不夠。現代信息環境復雜多變,數據量急劇增加,信息管理難度也越來越大,對各種硬件、軟件設備的要求也進一步提高,需要企業在檔案信息管理方面投入更多的人力、物力,定期檢查系統漏洞。而就目前情況而言,大部分企業在這方面投入的資源還遠遠達不到要求,檔案信息管理的安全性得不到有效保障。3)檔案信息化安全技術問題。技術問題首先表現在互聯網自身的開放性特征中,互聯網的基石是TCP/IP協議,以效率和及時溝通性為第一追求目標,必然會導致安全性的犧牲,諸如E-mail口令與文件傳輸等操作很容易被監聽,甚至于不經意間計算機就會被遠程操控,許多服務器都存在可被入侵者獲取最高控制權的致命漏洞。此外,網絡環境資源良莠不齊,許多看似無害的程序中夾雜著計算機病毒代碼片段,隱蔽性強、傳染性強、破壞力大,給檔案信息帶來了嚴重威脅。
3網絡環境下實現檔案信息安全保障原則
3.1檔案信息安全的絕對性與相對性。
檔案信息安全管理工作的重要性是無需置疑的,是任何企業特別是握有優秀技術的大型企業必須注重的問題,然而,檔案信息管理并沒有一勞永逸的方法,與傳統檔案一樣,不存在絕對的安全保障,某一時期看起來再完善的系統也會存在不易發現的漏洞,隨著科技的不斷發展,會愈來愈明顯地暴露出來。同時,檔案信息安全維護技術也沒有絕對的優劣之分,根據實際情況的需求,簡單的技術可能性價比更高。
3.2管理過程中的技術與非技術因素。
檔案信息管理工作不是單一的網絡技術維護人員工作,也不是管理人員的獨角戲,而需要技術與管理的有機結合。檔案管理人員可以不具備專業網絡技術人才的知識儲備量,但一定要具備發現安全問題的感知力與責任心,對于一些常見入侵跡象要了然于心,對于工作中出現的自身無法解決的可疑現象應及時通知更專業的技術人員查看。可根據企業實際情況建立完善的檔案安全管理機制,充分調動各部門員工的力量,以系統性、全面性的理念去組織檔案信息管理工作。
4網絡環境下檔案信息安全管理具體保障方法
4.1建立制度屏障。
完善的制度是任何工作順利進行的前提與基礎,對于復雜網絡環境下的檔案信息安全管理工作來說更是如此。在現今高度發達的信息背景下,檔案管理再不是鎖好一扇門、看好一臺計算機的簡單工作,而是眾多高新技術的集合體,因此,做好檔案信息安全管理工作首先要加強安全意識的宣傳,包括保密意識教育與信息安全基礎教育,加強檔案管理人員特別是技術操作人員的培訓工作。同時,應注重責任制度的落實,詳細規定庫房管理、檔案借閱、鑒定、銷毀等責任分配,詳細記錄檔案管理培訓與考核工作、記錄進出檔案室的人員信息,具體工作落實到人。在實際操作中,應嚴格記錄每一個操作步驟,將檔案接收、借閱、復制等過程完整、有條理地編入類目中,以便日后查閱。
4.2建立技術屏障。
網絡環境下的信息安全技術主要體現在通信安全技術和計算機安全技術兩個方面。1)通信安全技術。通信安全技術應用于檔案資料的傳輸共享過程中,可分為加密、確認與網絡控制技術等幾大類。其中,信息加密技術是實現檔案信息安全管理的關鍵,通過各種不同的加密算法實現信息的抽象化與無序化,即使被劫持也很難辨認出原有信息,這種技術性價比高,較小的投入便可獲得較高的防護效果。檔案信息確認技術是通過限制共享范圍達到安全性要求,每一個用戶都掌握著識別檔案信息是否真實的方案,而不法接收者難以知曉方案的實際內容,從而預防信息的偽造、篡改行為。2)計算機安全技術。從計算機安全角度入手,可采用芯片卡識別制度,每一名合法使用者的芯片卡微處理機內記錄特有編號,只有當編號在數據庫范圍內時方可通過認證,防止檔案信息經由計算機存儲器被竊的現象發生。同時,應加強計算機系統的防火墻設計,注意查找系統漏洞。
4.3建立法律屏障。
面對如此復雜的網絡環境,法律條令是最為有力的防護武器,建立系統完備、結構嚴謹的法律體系將極大地促進檔案信息安全管理工作的進行,應從維護網絡資源、維護用戶正當權益方面入手,以法律的強制力為檔案信息安全管理保駕護航。
作者:徐麗艷 單位:鶴崗市林業局
摘要:大數據征信使個人信息安全處于空前的威脅與挑戰,本文簡述了大數據征信的概念與發展,探討其在個人信息安全的保護過程中存在的主要問題,并為完善大數據征信中個人信息保護提出對策與建議。
關鍵詞:大數據征信;保護;個人信息
一、大數據征信的概念與發展
大數據征信是指對海量在線交易記錄、社交網絡數據等個人的信息進行收集整理,并運用大數據分析和刻畫出信用主體的違約率和信用狀況,進而控制金融信用風險。解決了傳統征信因信息分散導致的采集成本高,效率低下等問題,與傳統征信天然互補。由于大數據采集的覆蓋面廣、信息維度豐富,評估個人信息的信用風險全面而廣泛,成為互聯網金融和眾多相關行業的基石。
二、大數據征信中個人信息安全保護現狀及存在的問題
由于互聯網征信企業極度依賴于大數據技術的收集與分析,一切信息皆信用,使得個人信息的安全性受到了空前挑戰和威脅。近年來違法倒賣、泄露個人信息事件屢見不鮮,極大地影響了社會正常的經濟秩序。由于個人信息在我國立法中仍處于薄弱環節,相關法規的制定存在較大的不足與滯后,商業化的大數據征信可能會成為侵害個人信息的工具,需用法律手段加以規制。
(一)立法保護滯后于現實需要
我國目前尚未出臺專門的個人信息保護法,盡管個人信息安全保護不斷出現在各種法律法規、司法解釋中,但相關法律法規的制定過于分散且層次效力不一,在實踐中缺乏可操作性,無法滿足當前對個人信息保護的高質量法規的需求。現行的《征信業管理條例》與大數據征信的發展不適配,對于大數據征信中個人信息的采集、整理、保存、加工和公布等環節缺乏明確的界定,條例規范范圍過于狹窄,對于涉及網絡個人信息保護問題未作出合理規范。
(二)征信信息泄露嚴重監管缺乏
大數據征信涉及大量用戶敏感信息,隨著越來越多的數據被采集利用,用戶面臨著面臨的信息安全風險變得更加嚴峻。與普通個人信息相比,征信信息由于價值和敏感性,泄露的危害更為嚴重。當前信息泄露已經形成產業鏈,數據黑市犯罪成本低利潤高。再加上互聯網征信公司內部管理制度不完善,存在業務操作和人員道德雙重風險,近年來許多互聯網公司人員存在監守自盜的風險,例如京東泄露了12G的用戶數據造成其嚴重后果。2016年的“5?26信息泄露案”,湖南銀行行長非法出售個人信息257萬余條,包括身份證號、征信記錄、賬戶明細等眾多敏感信息。而在國外全球第一大個人征信機構益博睿涉及2億的身份信息泄露,涉案金額超過6500萬美元。
(三)個人維權法律救濟困難
隨著未來信息開發和利用的日益成熟,個人信息尤其是信用信息具備相當的商業、社會和法律價值。大數據時代使個人信息的權利邊界消失,給個人信用信息主體維護自己合法權益帶來巨大的挑戰。由于個人信息主體往往處于弱勢地位,與征信信息管理機構存在著信息和技術不對稱,讓受侵害的個人信息舉證維權之路難上加難。在個人信息受到非法收集泄露等侵害時,由于通過法律救濟途徑解決糾紛可能產生的成本和風險過高,只好選擇放棄訴訟維權,使得本應該成為最終保障的司法救濟渠道起不到應有的保護作用。
三、大數據征信中保護個人信息安全的對策與建議
(一)完善個人信息立法保護
針對大數據征信的特點,以征信業規制和網絡個人信息保護的專門立法現有成果出發,通過立法出臺統一的個人信息國家技術標準,給已有的普遍分散立法以操作的指引,制定最低標準網絡個人信息保護法,明確規定個人隱私的信息、個人信息采集基本原則和使用目的,采集收集的負面清單制度,防止個人信息被濫用。通過構建完善的個人信息保護法律體系,為征信體系安全建設提供更有力的法律支撐。
(二)加強行政監督管理與行業自律
加強數據安全體系和信息監管體系建設,防范非法入侵造成信息泄露,對于信息泄露問題完善危機應急預案和補救措施。加強信息安全執法監管,嚴厲打擊非法泄露、買賣信用數據的行為,加大對泄露個人信息企業的問責和處罰。對征信管理機構開展內部安全認證和行業自律機制建設,充分發揮征信行業協會其協調溝通征信機構與監管機構的作用,加強征信行業業務交流和制定技術標準,開展征信信息保護宣傳提高民眾意識。
(三)探索多元化個人信息保護救濟方法
建立征信機構內部的糾紛處理機制,完善信息異議處理解決機制,縮短錯誤征信數據信息的更正時限,提高征信信息錄入質量。完善個人對征信機構的投訴渠道,引入征信行業調解、仲裁和第三方糾紛非訴解決的法律機制。對于公民維護個人合法權益面臨取證難、訴訟難等問題,完善互聯網情景中個人信息侵權賠償制度,并在個人信息保護中引入舉證責任倒置和集體訴訟機制,優化個人信息司法保護程序,提供便捷高效的法律救濟渠道。
作者:林周 單位:武漢工程大學
摘要:云計算時代的個人信息安全體系初步形成,但個人信息安全技術風險和管理風險還大量存在,可能導致個人信息的違法收集、利用和處理,因而有必要構建云計算下的個人信息安全監控機制、偵查機制和應急機制,確保個人信息安全可控和云計算產業健康發展。
關鍵詞:云計算;個人信息;安全風險
一、云計算及其潛在風險概述
云計算是繼分布式計算、網格計算、對等計算之后的一種新型計算方式,通過互聯網上異構、自治的服務,為用戶提供定制化的計算。云計算是將網絡儲存技術、虛擬化技術、網格計算技術、并行處理技術、分布式處理技術等軟硬件技術融合發展的集大成者,也是集合了網絡、服務器、計算、儲存、應用軟件等資源并提供快速便捷、即需即取服務的共享平臺。云計算具有按需服務、廣泛的網絡接入、資源池化、快速彈性以及按使用量計費等5個特點;涵蓋私有云、社區云、公有云、混合云等4種開發模式]。云計算有3大優勢:
一是具有強大的存儲和計算能力,能提供即需即取的服務。最大的云計算平臺的服務器數量達到百萬級別,一般的云計算企業的服務器數量在幾十萬臺,比較小的企業私有云服務器數量也要數百上千臺。另外,云計算還能夠彈性配置、動態伸縮,以滿足用戶規模和計算量增長的需要。二是具有開放性,能實現資源共享。云計算將虛擬化技術、分布式計算技術、效用計算技術和定制、計量、租用的商業模式相結合,最大效率地利用了隨時連接、隨時訪問、分布存取的各個服務器,實現了資源的共享。三是具有管理成本最小化以及與服務供應商的交互最小化的優勢,能降低使用成本。云計算具有規模效應和網絡效應,在硬件成本、管理成本、電力成本、資源利用率方面都有極大的成本優勢,企業和個人也省去了服務器的磨損、閑置和管理成本,只需按需要使用相應功能、按服務量支付費用。云計算潛在的安全風險與云計算的技術優勢和經濟效益總是如影隨形。用戶對于個人信息安全的擔憂是云計算服務推廣應用的首要障礙,云計算的理念是開放和共享,而個人信息安全注重封閉和私權,兩者之間存在一定的矛盾。個人信息是指個人姓名、住址、出生日期、身份證號碼、醫療記錄、人事記錄、照片等單獨或與其他信息對照可識別特定個人的信息[5]。個人信息涉及用戶的人身自由、人格尊嚴、財產權利等基本權利,事關重大,一般具有極高的敏感性。用戶在決定是否使用云計算之前會對云計算的安全風險加以衡量。使用云計算功能在線存儲的文檔、圖片、視頻等文件大量涉及個人信息,一旦云計算的安全體系被攻破,則可能發生個人信息泄露、販賣等事件,嚴重危及用戶的人身財產安全,甚至會造成社會恐慌。與傳統的互聯網技術相比,云計算環境下保護個人信息的必要性更加突出。一是因為云計算下個人信息脫離了用戶的控制范圍,一旦云計算服務商的數據中心發生事故,用戶無法知悉,也無法及時采取措施,只能被動挨打。
二是因為云計算的交互式、參與性、網絡化的特點,用戶幾乎將所有個人信息被動或者主動地全部暴露在云計算服務商平臺上,存在信息不對稱和能力不對稱的問題,一旦發生侵權事件,用戶損失巨大,而且難以維權。
三是因云計算的普及性和規模性,小的漏洞都會造成巨大的破壞,損害具有連鎖反應。比如,2011年亞馬遜的EC2業務由于出現一點小的漏洞,整個云計算數據中心出現全范圍宕機;2012年微軟的WindowsAzure平臺由于個人服務的設置問題,導致所有集群的功能不能使用。目前,研究云計算時代個人信息安全保護的學者大多從國家立法、行業立規的角度展開。針對個人信息保護的建章立法固然重要,特別是構建規制云計算環境下個人信息保護問題的法律規范和行業標準正當其時,法律的具體執行,特別是建立個人信息安全風險的防控機制和措施更是迫在眉睫,本文擬從這一角度進行探析。
二、云計算中的個人信息安全體系與技術風險
云計算架構分為基礎設施層、平臺層和軟件服務層3個層次,分別對應簡稱IaaS、PaaS和SaaS3個服務類型。IaaS是由政府或者企業建立的大規模服務器和網絡傳輸連接裝置等基礎設施,同時采用虛擬技術將分散到各個數據中心的服務器集中起來。PaaS包括基本硬件、基礎軟件、儲存設備等,起到應用支持的作用。SaaS的作用是制定一系列標準和協議,構建公共平臺,提供最終的應用服務。分層是橫向的、縱向的管理系統將這些資源進行統一的配置和統一運行,實現一站式的服務。不同的云計算服務模式意味著不同的個人信息安全體系,目前大多數個人信息安全體系就是基于云計算服務模型構建的。
(一)IaaS層的個人信息安全體系與技術風險IaaS服務提供商將基礎設施,包括服務器、儲存、網絡等IT設施進行組合,形成不同規模、不同用途的服務產品,大到集網絡、數據計算、數據處理于一體的應用系統,小到一臺處理簡單業務的服務器,然后以套餐的形式提供給用戶。用戶可以像在麥當勞點餐一樣,租用產品目錄上的IT基礎設施服務套餐,將自己的應用部署在上面,開展各種業務。使用IaaS服務的信息安全風險比較大,無論是物理設施、虛擬化技術、接口設施、還是應用程序,如果發生自然災害或者操作錯誤,將會對信息安全造成釜底抽薪般的巨大影響。其中,虛擬化安全風險是防范重點。一方面是虛擬機自身存在的安全風險,包括可能面臨用戶劫持、脆弱的防火墻等;另一方面是虛擬化軟件帶來的安全風險,包括未經授權的訪問、非法刪除、非法添加等[6]。在傳統計算機技術下,對于個人信息的保護已經有比較成熟的技術,包括加密和密鑰管理、身份識別和訪問控制、安全事件管理等。云計算環境更加復雜,更加開放。云計算環境下的IaaS個人信息安全體系的關鍵是將這些技術進行融合,按照一定的技術標準,形成兼容的、完備的安全閉環,確保物理安全、網絡安全、虛擬化安全、接口安全。一是要加入安全防護技術,利用防火墻、病毒防護墻等對整個IaaS進行防護;二是要加入訪問控制技術,利用加密和解密管理、身份識別等技術為用戶提供用戶登錄管理、用戶認證、數字簽名等安全管理服務;三是要加入審計技術,對用戶的登錄和使用情況進行統計分析,按照不同的風險級別區分不同的安全域,實施不同等級的安全干預[7]。
(二)PaaS層的個人信息安全體系與技術風險
PaaS層處在云計算的中間層,具有承上啟下的作用,其對于個人信息的整體安全具有重要作用。PaaS服務商提供的是應用基礎設施服務,即中間件服務。PaaS用戶可以將其應用系統布置到PaaS平臺上,應用系統服務器、網絡、操作系統、信息管理等應用系統運行的環境,由PaaS服務商提供保障。所有PaaS服務商不僅提供平臺,還提供安全服務。他們的職責是提供安全可靠的運行環境,保證用戶的信息安全。PaaS個人信息安全體系要求數據處理符合國家法律法規的要求,主要包括:數據存放位置、數據刪除或持久性、數據備份和恢復重建、數據發現;同時禁止一些不當的個人信息處理行為,比如:不同客戶數據的混合、數據聚合和推理。PaaS個人信息安全體系重點在于對價值較高的個人信息的保護,尤其是防范對個人信息的交叉查詢。
(三)SaaS層的個人信息安全體系與技術風險
與等軟件服務模式類似。在SaaS平臺上,用戶不用購買軟件,也不用維護管理,只需要按照服務類型和服務時間支付費用,就可以選擇使用符合自己需求的軟件。SaaS服務商不僅要管理維護自身的軟件,而且要將用戶的個人信息儲存在自己的服務器上,以便用戶隨時隨地可以接著使用軟件。個人信息違法犯罪的概率總是與管理權限成正比。特別是在SaaS層下,存在一個基本的矛盾,一方面,SaaS需要將用戶的個人信息進行備份,保存在多個不同位置的服務器上,防止數據丟失、數據刪除,提供及時的數據恢復服務;另一方面,SaaS可能涉嫌秘密保存和永久保存用戶的個人信息,在用戶不知情或者已經刪除軟件上的個人信息的情況下,仍然保留電子痕跡并隨時可以恢復數據。所以SaaS應該提供給用戶透明的個人信息儲存、刪除和保護方案。當然,由于SaaS的共享性,用戶的個人信息安全風險主要來自第三方的攻擊、竊取和篡改等。SaaS層的個人信息安全體系應該包括以下4個方面內容:
一是應用的安全,軟件運行的環境安全可靠,軟件能夠及時更新換代,確保沒有漏洞;
二是個人信息數據庫的安全,數據庫與應用軟件數據應該隔離分開,多個服務器進行分別儲存,并使用防火墻、密鑰管理等技術進行數據庫的保護;
三是個人信息的傳輸安全,采用加密的傳輸協議,確保用戶在客戶端和云計算服務器之間傳輸個人信息時不被截留;四是訪問控制機制,由于多個用戶共用云計算服務器,需要對個人信息進行分塊隔離,采用身份識別、數字簽名和訪問控制技術對訪問登錄進行嚴格管理。上述分析是著眼于云計算平臺3個層次本身的技術漏洞,除此之外,云計算用戶的服務終端也是個人信息安全風險的重要源頭。一方面,云計算環境下,服務終端與云計算平臺連為一體,構成一個統一的系統,具有極強傳染性和破壞性的病毒很可能從服務終端侵入到整個云平臺,導致整個云的崩潰或者癱瘓。特別是現在手機服務端日益普及,APP使用率日益增高,手機病毒的傳播更加猖獗,也極易侵入云計算網絡。另一方面,黑客也很可能通過云計算網絡對服務端發起攻擊,即使用戶的計算機采取防火墻、殺毒軟件等安全措施,但畢竟防范投入和水平有限,未必能阻擋病毒的侵襲。惡意代碼制作者、病毒郵件發送者以及其他惡意攻擊者可能直接竊取用戶服務端的個人信息,這種竊取采取各個擊破、螞蟻搬家的形式,更加難以覺察和防范。他們也可能破解或者盜取用戶在云計算平臺上的登錄名稱和登錄密碼,盜取用戶儲存在云計算數據中心上的海量個人信息。
三、云計算中的個人信息安全管理風險
除了云計算技術風險,云計算的管理不善也可能帶來個人信息的安全風險。天災易避,人禍難防,云計算時代個人信息安全管理風險更大,后果也更為嚴重。技術風險多為概率事件,偶然性較強,而管理風險存在主觀故意,發生的可能性更高。技術風險可能造成個人信息的破壞或者丟失,但不一定立即引起直接損失,而管理風險一般伴隨著惡意商業目的,緊接著就可能造成用戶財產的損失或者人格權利的侵害。技術風險可以由云計算服務商通過技術改進進行補漏,通過人工操作進行補救,但是,在信息不對稱的現狀下,道德缺失造成的云計算服務商監守自盜所帶來的風險幾乎是難以防范的。下面筆者將從個人信息的收集、利用、處理3個方面歸納總結各種安全風險。
(一)道德的失范導致的個人信息收集風險
在云計算產業巨大利益的驅使下,云計算服務商可能有意或者無意地大量收集用戶的個人信息。云計算的主要商業模式是由云計算服務商運用數據挖掘技術,海量收集各類政府機關、企事業單位、個人用戶的信息,進行儲存、信息交換、個性服務、定向營銷等。信息量越大,服務功能越強,商業價值就越大,這直接激發了云計算服務商收集個人信息的動力。首先,用戶在使用云計算上的軟件時,并不知悉個人信息已經被計算服務商獲取。雖然法律規定服務商必須履行告知義務,但是軟件的告知明細往往過于復雜,用戶如果不仔細閱讀一般都難以發現。特別是信息收集技術的不斷進步,云計算服務商的信息收集能力不斷增強,信息收集的種類和數量往往超出了用戶能夠知曉的范圍。有時候,云計算服務商秘密收集或者備份用戶的個人信息,但有時用戶知道自己的個人信息要被收集,為了享有便利的服務,不得不放棄個人信息權。其次,由于數據挖掘、數據比對等眾多信息收集技術的出現,云計算服務商具備了強大的信息比對、分析、歸納、推理、整理能力,能夠將用戶在不同平臺不同服務中的碎片化個人信息整理成完整的個人信息圖譜,能夠掌握用戶完整的特征和清晰的活動軌跡。雖然這些個人信息能夠更方便地為用戶提供優質的個性化服務,但這些脫離信息主體的個人信息,往往處于事實上的權利失控狀態,信息主體并不知道誰收集、處理和利用了他們的信息,以及以何種手段收集、處理和利用他們的信息,這構成了巨大的個人信息收集風險[8]。第三,不同云計算平臺之間可能存在不正當的個人信息交換,秘密簽訂個人信息共享協議,實現云計算服務商的商業利益最大化。特別是在云計算不區分國界的情況下,個人信息的跨境傳輸更難以管控。斯諾登事件就曝光了一些云計算企業在國家力量的支持下,收集其他國家公民的個人信息。這樣的跨境收集個人信息的行為,不僅侵害了公民的民事權利,還侵害了一個國家的信息主權。
(二)規則的缺失導致的個人信息利用風險
云計算產業發展迅猛,但是云計算領域的規則和標準的建構與完善卻相對滯后,這種不對稱的發展造成了個人信息安全領域的無序狀況,容易造成個人信息利用的違法和犯罪。首先,云計算安全技術標準還有待強化和細化。沒有統一的云安全技術標準,無法強制要求云計算服務商布設有關安全技術措施,導致一些服務商重視能夠帶來盈利的商業技術,而忽視了不能帶來直接利益的安全技術。沒有安全技術標準的約束,一些云計算服務提供商還可能在云計算系統中插入秘密收集個人信息的軟件,比如等等。其次,云計算行業的制度規范也尚未制定。云計算產業需要一套關于個人信息保護的完整的行為準則,確立個人信息數據庫的管理制度,明確個人信息處理人員、安全管理人員、系統開發人員和系統操作人員的職責范圍和操作規程。云安全規則的缺失極其容易造成個人信息的濫用。云計算服務商可能將個人信息應用于定向推送廣告、不斷騷擾下的強迫交易、信息銷售等。在現實生活中,用戶將身份證復印件提供給服務商時,往往在身份證上注明“僅限用作……”等字樣,確保身份證復印件的有限使用和特定用途使用。但是電子數據形式的個人信息極易被復制,很難保證服務商不將其挪作他用。第三,由于個人信息相關法律不夠健全,云計算環境下個人信息的保護法更是少之又少,個人信息缺乏有力的司法強制力的保護。云計算用戶在個人信息遭受侵犯時,往往難以獲得有效的救濟。云計算沒有地域性,個人信息案件的管轄難以明確,造成立案難;云計算具有虛擬性,電子數據極易篡改,造成個人信息案件的取證難;另外,個人信息具有非物質性,其價值難以計量,造成個人信息案件的賠償難。
(三)管理的失位引發的個人信息處理風險
我國云計算產業剛剛起步,無論是監管機構還是云計算企業,都尚未建立完整有效的管理機制。一方面,政府監管力度不夠。目前,我國云計算的監管部門是國家工信部,由于其職能主要是促進產業發展,因此往往重發展而輕安全。個人信息的違法犯罪涉及司法權和行政執法權,信息化管理部門還無法行使調查取證、強制措施、搜查凍結、罰款沒收等權力。另外,由于條件的限制,信息化管理部門進行個人信息安全執法的力量較為薄弱。另一方面,企業管理動力不足。云計算服務商利用個人信息的利益和用戶保護個人信息的權利存在一定的矛盾,企業沒有足夠的動力投入更多的人力物力進行個人信息的管理。云計算企業對于能夠產生經濟價值的個人信息的利用較為重視,而對于不能直接產生經濟效益,甚至有可能產生負效益的個人信息的管理重視不夠。云計算服務提供商如果不加強內部操作人員的管理,不加強個人信息保護內部控制的建設,操作人員違規處理個人信息的現象將不斷出現。云計算時代,所有IT設備或數據被放到一起集中管理,內部人員擁有的權限讓其能輕易獲取重要個人信息甚至得到整個云服務平臺的完全控制權。用人失察或監管缺位都會給個人信息安全帶來災難性的損失。
四、云計算下的個人信息安全防控措施
云計算下的個人信息安全已經不是一個純技術問題,僅僅依靠云計算企業采用先進的云安全技術去遏制個人信息的違法犯罪是不夠的。唯有法律才能明確管理責任,才能明晰處理個人信息的權限,才能懲罰和防范一些犯罪分子利用個人信息謀取私利。違法收集、利用、處理行為主要承擔民事責任、行政責任和刑事責任[9]。個人信息相關法律法規的制定非常重要,而且迫在眉睫。但是個人信息安全防控機制的構建、個人信息安全防范措施的完善同樣非常重要。作為以保障公共安全、保護人民生命財產安全為職能的公安機關,在防范和控制個人信息安全違法犯罪中,具有得天獨厚的優勢。我國應該構建以公安機關為主,信息化管理部門協調配合,法律規制與行業管理相結合的個人信息安全防控體系,構建并完善云計算下的個人信息安全監控機制、偵查機制和應急機制。
(一)云計算下的個人信息安全監控機制
信息的公開具有不可逆性,云計算個人信息安全事故一旦發生,造成的損害無法恢復原狀。因而個人信息的保護不能依賴事后的被動處理,而應該著重于監控與預警,從事后救濟、被動維護向事前設計、事中報告、主動監控轉移,形成常態的監控機制[10]。首先,應該制定統一的技術標準,要求云計算服務商在系統中植入安全監控技術;制定統一的行業規范,要求云計算服務商建立完善的內部控制制度。利用安全監控技術,公安機關、信息化管理部門和云計算服務商都能及時了解云計算系統運行狀態。監控技術不僅起到預警作用,也為云計算安全的內部控制提供數據支撐。其次,應該建立常態的個人信息安全報告機制,要求云計算服務商及時報告個人信息流動的異常情況。個人信息安全的報告機制可以借鑒我國《反洗錢法》中的“大額交易和可疑交易監控與報告”制度,要求云計算服務商將可疑的個人信息流動報告給公安機關和信息化管理部門。可疑的個人信息流動是指個人信息流動在數量、頻率、流向和性質等方面表現異常,或與客戶身份、登錄狀況、活動規律不符,存有個人信息違法犯罪嫌疑的流動。
(二)云計算下的個人信息安全偵查機制
嚴格的偵查機制和過硬的偵查能力是個人信息安全保護的根本保障。要整合公安機關、信息化管理部門、行業自律組織的資源,司法、行政與行業之間無縫對接,協調配合,共同執法。在行政和刑事執法過程中,取證難嚴重降低了打擊違法犯罪行為的力度。在云計算環境下,某些電子證據依靠目前的偵查技術,還難以充分偵測與提取。如在云應用服務中,有許多服務通過運行的虛擬專用網絡(VPA)訪問,現有偵查技術幾乎檢測不到[11]。對此,可以采用面向取證的現場遷移技術等進行偵查,采取遷移取證監管來調度和監控鏡像證據提取層的每一次遷移操作,并記錄下全部的遷移過程信息,保證取證數據符合證據法要求的可靠性和完整性[12]。
(三)云計算下的個人信息安全應急機制
云計算服務提供商應當設置個人信息安全監控中心,負責系統安全的全面維護、個人信息安全的總體監控、個人信息安全情況報告和個人信息安全事件的處置等[13]。公安機關和信息化管理部門要根據云計算服務商提交的可疑個人信息流動報告,進行認真研判、仔細甄別。對篩選出來的違反法律規定的個人信息安全事件,要根據嚴重程度,啟動個人信息安全應急機制。應急機制分為輕微、一般、重大、特別重大等不同等級。不同等級的警報對應不同級別的應急方案。應急方案包括提醒客戶、數據隔離、數據恢復、停止運行等。其中數據隔離可以保證用戶的個人信息運行于封閉且安全的范圍內,防止進一步地泄露,避免用戶間的相互影響,減少用戶錯誤操作或受到計算機病毒攻擊時對整個系統帶來的安全風險。數據恢復是針對計算機病毒攻擊的重要應急措施,包括恢復個人信息和遭受病毒侵害的軟件等。數據恢復是典型的事后應急措施,可以保證云計算服務可靠性和可用性。
五、結語
技術的進步必然引起法律制度的變革,產業的發展必須依賴法律機制的完善。云計算時代,個人信息安全的法律規制迫在眉睫。隨著云計算成為人類基本的工作、生活環境,個人信息都無法避免地集中到云上,海量個人信息的安全問題是公安機關必須面對的難題。個人信息安全監控機制旨在防范犯罪,個人信息安全偵查機制旨在打擊犯罪,個人信息安全應急機制則是處理已經發生的犯罪。建立系統的個人信息安全防控機制,多方位協同發揮效力,方能最大程度確保個人信息安全可控和云計算產業健康發展。
作者:魏光禧 單位:華中科技大學法學院
一、公民個人信息安全問題概述
(一)公民個人信息的基本概念
從基本概念進行分析的話,首先,個人信息的主體是公民,根據我國憲法規定,凡具有中華人民共和國國籍的人都是中華人民共和國的公民,國家尊重和保障人權,任何公民享有憲法和法律規定的權利,同時必須履行憲法和法律規定的義務。通過法律規定我們可以了解到,個人信息的主體并不僅限于居住在國內的中國公民,還包括獲得中國國籍的外國人和無國籍人士,在這些人的個人信息權受到不法分子侵害時,一律享有我國刑法的保護。其次,關于個人信息的解讀,各學派一直存在著爭議,無論哪種觀點,都沒辦法準確涵蓋個人信息的全部。筆者認為,公民個人信息是公民個人所擁有的,能夠直接或間接的識別本人的特定資料所反映出的內容。如姓名、性別、年齡、身高、體重、肖像、身份證號碼、職業、教育狀況、聯系方式、家庭背景等等和本人人身密切相關的信息,還包括著隱私范疇內的如既往病史、財產收入等信息。與此同時,對于個人信息的定義,還需要根據社會的發展,在日后的立法過程中進一步完善。
(二)公民個人信息的法律屬性
在公民個人信息的保護中,其法律屬性一直頗具爭議,成為法學界研究的重點。就目前來說,關于個人信息的法律屬性,主要有三種觀點:一是所有權學客體說,他們認為個人信息具有實際利用價值,所有者對其具有支配權,可以作為商品買賣出售,從而為信息的所有者帶來經濟上的收益,具備財產屬性,因此被列入所有權范疇;二是以隱私權客體說,認為個人信息屬于個人隱私,個人隱私包含個人信息,在這方面美國是最早將個人信息納入隱私范疇進行立法的國家,比如《隱私權法》和《聯邦電子通訊隱私權法案》中對個人信息都有詳盡的保護措施;三是人格權客體說,將個人信息劃分到人格權中,認為保護公民的個人信息安全就是維護公民作為人最基本的尊嚴,體現的是公民個人的人格利益,因此應該受憲法和其他法律的嚴格保護。
(三)公民個人信息與相關概念的區別和聯系
公民的個人信息涉及內容較廣,和很多專有名詞的概念都有著相似之處,通過分析,筆者主要將目光集中在個人隱私上面。個人隱私指私人生活安寧與私人信息秘密依法受到保護,不被他人非法侵擾、知悉、收集、利用和公開。比如我國在《侵權責任法》中明確規定:“未經公民許可,公開其姓名、肖像、住址和電話號碼”以及“私拆他人信件,偷看他人日記,刺探他人私人文件內容,以及將他們公開”等行為,都屬于侵犯公民的隱私權。由此可見,個人隱私大多是公民不希望被外人所知的、敏感的信息,而個人信息不僅包括禁止他人干涉的敏感信息,還包括可以向大眾公開的信息。因此,個人信息與個人隱私是兩個相互交叉,又在外延方面相互區別的名詞概念。就對公民的立法保護工作來說,個人信息的保護比個人隱私的保護更加全面。
二、公民個人信息安全的法律保護現狀
(一)公民個人信息安全受侵害的具體表現
當今社會,互聯網的使用,讓人們的生活被手機、電腦等各種電子產品包繞,在這種大環境下,人們在從事購物、交友、出行、入住賓館等各種社會活動時,很多情況下都會將自己的個人信息告知與商家,進行登記,這就造成了個人信息泄露的可能和隱患。對于商家而言,信息就是資源,信息就是商機,那么利用信息進行違法犯罪的活動就應運而生了。一些機構疏于管理再加上一些不法分子的違法犯罪行為,致使我國公民信息泄露的情況非常嚴重,大量兜售車主房主信息、大學畢業生應聘人員信息、商務人士信息、患者信息、電信用戶信息的現象在社會上層出不窮,一些商家將自己搜集到的客戶信息進行出售,甚至形成了一個新興的“信息倒賣”產業。商家利用這些信息進行推銷,違法犯罪分子利用這些信息進行詐騙,甚至通過“人肉搜索”對當事人進行名譽侵害,通過某些編程竊取網銀密碼盜取用戶存款等等,這些行為已經嚴重影響到人們正常的工作和生活,應當給予嚴厲的打擊和制裁。
(二)現有法律對公民個人信息安全的保護
憲法、民法、行政法和刑法是構建我國法律框架的四個關鍵部位,對于公民個人信息安全保護的相關法律法規,也應該由這四個方面進行分析。首先是國家的根本大法———憲法明確規定:“公民個人尊嚴不容侵犯,任何侵犯公民的行為都要受到法律制裁。”這一規定雖然沒有出現“個人信息”的字眼,但個人尊嚴與個人信息緊密相關,從此種意義上來講,憲法對公民的個人信息安全提供了原則性的保護;其次是民法,對與公民的個人信息有關的姓名權、名稱權、肖像權和榮譽權做出了相關的司法解釋,任何人如果侵害公民的這四項權益,都將受到民法的制裁;另外,涉及公民個人信息保護的行政法近些年才開始頒布施行,有《居民身份證法》、《物業管理法》、《電信條例》等等;直到《刑法修正案(七)》的出臺,才首次將侵害公民個人信息安全的行為定罪入刑,填充了我國刑法保護公民個人信息的空白。
(三)刑法保護公民個人信息安全的必要性
刑法作為法律的最底線,只有在其他法律都無效的前提下,才會實行刑事處罰,給予犯罪分子最沉重的打擊。在我國現有階段,對公民的個人信息安全的相關法律的制定還不到位,雖然憲法、民法以及行政法都對公民的個人信息安全保護有所涉及,但通過施行效果可知,憲法作為國家的根本大法,其中的法律條文盡是原則性的規定,沒有觸及到根本,僅僅提供了一些原則性的間接性的保護;民法雖然明確提出了對姓名權、名稱權、肖像權以及名譽權的保護,但公民的個人信息涉及的內容遠遠不止于此,過于零散的法律規定,削弱了民法的可操作性,針對公民個人信息的犯罪行為得不到應有的制裁;行政法對于破壞公民個人信息安全的實施主體限制范圍相對狹小,主要針對行政機關人員,而且處罰力度較小,不能對公民的個人信息提供全方位的保護。因此,加強刑事立法,對公民的個人信息安全保護有著顯著的現實意義。
三、公民個人信息安全的刑法完善建議
(一)明確公民個人信息的概念和犯罪主體范圍
要解決公民個人信息安全的刑事立法問題,首先要明確個人信息的基本概念和犯罪主體范圍。現階段,我國在這方面的刑事法律還不夠完善,新出臺的《刑法修正案(七)》中規定:“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。”雖然指出犯罪對象是公民的個人信息,但同憲法、民法、行政法一樣,沒有對公民的個人信息做出具體的解釋,不管是公開信息還是屬于個人隱私的信息,在量刑規定中沒有針對不同的犯罪情節做出清晰的界定,以至于不法分子得不到相應的懲罰。同時,在條文規定中使用“等”字,也讓犯罪主體模糊化。為了避免法律上的漏洞,給犯罪分子以嚴厲的打擊,明確公民個人信息的概念以及犯罪主體的范圍,是當前完善刑法的重中之重。
(二)根據犯罪的行為和情節細致刑罰
《刑法修正案(七)》中,第七條增設了出售、非法提供公民個人信息罪及非法獲取公民信息罪,根據刑法規定,區別本罪“罪與非罪”的界限就是情節是否嚴重。而根據我國的立法情況來看,當前并沒有任何法律條文對情節是否嚴重劃分出明確的界定范圍。因此,在裁判過程中,對于“罪與非罪”就存在爭論,司法機關必須根據案情酌情評判情節的輕重,給司法機關的案件處理帶來不小的難度。如果出臺的法律能夠將犯罪行為細致量化,司法機關審判案件的壓力將會大大減小,比如立法機關可以根據公民個人信息被出售的份額,或者非法提供公民個人信息所得利益對刑事處罰的幅度進行劃分,份額由小到大對應犯罪情節由輕到重,相應的刑罰也會逐漸增加,尤其是給當事人帶來重大人身或財產損失時,犯罪行為更不可姑息。如此一來,犯罪主體都能夠得到與之犯罪情節相對應的懲罰,不會出現鉆法律漏洞的現象,實現司法的公平性。
(三)構建立法司法執法部門工作一體化機制
在保護公民個人信息安全的過程中,必須要貫徹“有法可依、有法必依、執法必嚴、違法必究”的基本要求。因此,首先從立法層面上講,立法機關要深入社會調查,根據實際情況構建法律條文,尤其要充分聽取群眾的意見和建議,對于刑法的完善有著積極的現實意義;其次從執法層面而言,公安機關要嚴格按照法律規定處理對公民個人信息進行侵害的犯罪分子,絕不姑息養奸,讓犯罪分子有機會逃脫法網;從司法層面來說,法院及檢察院在裁定犯罪結果的過程中,要秉承公平公正的原則,給受害者一個滿意的答復。同時,立法、執法、司法機構要互相監督,互相制約,才能有效打擊此類犯罪。
(四)借鑒學習國外在公民個人信息保護方面的立法經驗
在公民的個人信息安全保護中,不僅要完善刑法,憲法、民法、行政法都要同時完善,只有構建完備的法律體系,才能為公民的個人信息安全提供堅實的堡壘。將來隨著立法的逐步完善和條件的逐步成熟,借鑒國外的先進經驗無疑是明智的選擇。從立法模式上,筆者比較傾向于以德國為代表的統一交叉立法模式,制定專門的法律條案,對公民的個人信息進行整體歸類,同時視情節輕重給予相應的處罰措施,避免了法律零散化帶來的不便。
四、結語
綜上所述,刑法作為保護公民個人信息安全的最后一道屏障,它的完善對于公民個人權益的保護有著極為重要的意義。對于刑法涉及到的“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”,要切實做好法律宣傳,對優秀的工作人員做好監督工作。同時,有關部門也要加強對公民保護個人信息安全的宣傳教育,只有提高公民個人信息安全自我保護的法律意識,才能從根本上遏制犯罪行為的產生。
作者:王曉 單位:河南理工大學
【摘要】社交網絡已經成為我們生活和學習中不可或缺的重要組成部分,在這一背景下,信息安全問題已經受到了社會各界的廣泛關注。本文主要分析社交網絡中用戶個人信息安全的保護措施。
【關鍵詞】社交網絡;用戶個人信息;安全保護
在科技的發展下,我們已經步入了大數據時代,社交網絡開始興起,越來越多的人利用社交網絡來分享自己的所見所聞,我們也開始通過電腦、手機來記錄信息,社交網絡中的個人信息也開始成為商家博弈的焦點,在開發社交網絡的過程中如何保護個人信息是大數據時代亟待解決的一個問題。
1社交網絡用戶個人信息安全存在的挑戰
社交網絡運營商必須要在掌握大量數據的基礎上來分析用戶、預測市場走向,這樣才能夠在激勵的競爭中一直都處在不敗之地,但是,這同時也是一把雙刃劍,雖然能夠幫助商家準確的預測信息,但是也給個人信息安全性帶來了巨大的挑戰。其風險主要表現在以下幾個方面:
1.1賬號被盜的風險
賬號安全是我們使用社交網絡的基本要求,在大數據環境下,人們的社交網絡賬號越來越多,為了方便記憶,常常使用同一個手機號與郵箱進行認證,為了便于后續的操作,網絡運營商之間也在不斷的進行合作,同一個賬戶可以享受多個網站的服務。同時,數據的關鍵性非常強,一旦其中一個賬戶被盜,就會波及其他的賬戶,賬戶安全問題是非常嚴峻的。
1.2個人信息控制權問題
與傳統環境相比而言,人們對于個人信息的控制權變得越來越低,在傳統環境下,信息控制需要付出較高的代價,但是在現階段的時代,個人的信息很容易被收集、訪問以及傳播,對不同社交網絡的信息進行分析與整合,能夠建立起一種包括朋友圈、喜好、個人履歷、信仰的信息體系。如果這些信息被黑客獲取,很容易影響我們的信息控制權。
1.3隱私安全問題
隱私安全問題是目前個人信息安全面臨的最嚴峻威脅,人們的地理位置、日程、情緒已經被數據化,與傳統互聯網時代相比,大數據時代數據之間的關聯性更加高,雖然運營商對于這些信息都會進行匿名處理,但是,不安好心的人可以通過軟件將這些分離的數據關聯起來,導致數據匿名性失效。
2在社交網絡中如何保護個人信息的安全性
如何保障個人信息的安全性是使用社交網絡必須要考慮到的重要問題,需要從行業、國家與用戶層面進行應對,充分發揮出創新用戶的優勢:
2.1要有法律保障
大數據在我國還屬于一種新生事物,行業需要不斷的前進和努力,關于大數據還沒有完善的法律制度,這是無法保障個人信息安全的。目前,《信息安全技術、公共及商用服務信息系統個人信息指南》是保護個人信息的最高標準,其實施時間是2013年3月份,對于相關信息予以了明確的界定,但是這是無法保護個人信息安全性的。同時,散落的信息也難以滿足用戶的信息控制權,為了最大限度的保障個人信息安全,必須要及早制定好完善的法律法規,出臺《個人信息保護法》。
2.2完善行業自律公約
良好的行業自律公約是保障這一行業和諧發展的前提條件,要讓社交網絡之路走得更加長遠,就需要構建起關于本行業的規章制度。這可以采取幾個措施:第一,尊重每一個用戶的知情權,為他們提供授權的方式,在服務條款中闡述信息數據的使用期限和使用方式;第二,尋求個人信息的擁有者,為數據服務商、數據消費者以及個人信息擁有者制定出完善的行業自律公約,保障數據應用的科學性,保障用戶個人信息的安全性和隱蔽性,為他們營造出良好的數據使用環境。
2.3提升用戶的信息安全素養
用戶是使用社交網絡的主人,要真正保證個人信息的安全,用戶必須要具備一定的安全素養,信息安全素養主要由信息安全知識以及信息安全能力有機組成。實際上,信息安全知識是非常豐富的,作為使用者的我們需要加強學習,積極主動的了解病毒、木馬的特性,提升自己的信息安全意識,明確自己的責任與義務。同時,在使用社交網站的過程中,要遵循相關的法律法規,對于重要資料,要定期進行備份,此外,還要定期對自己的移動設備和電腦進行更新,避免使用公共網絡,這樣才能夠最大限度的保障個人信息的安全性。
2.4提升社交網絡企業信息安全管理水平
無論是法律制度與行業自律,都離不開外部力量的保障,社交網絡企業必須要采取合理的措施提升用戶信息安全性,用戶信息安全保護的主體主要針對社交網絡企業,他們為了開展業務,需要收集大量的信息,各個社交網絡企業必須要將保障用戶信息的安全提升到一定的高度,加強管理力度。目前,大多數社交網站都采用了Ajax技術,在運行過程中,必須要關注CSRF以及XSS的攻擊,在網站成立初期,可以限制用戶的輸入內容,對頁面開展代碼測試。同時,還要具備良好的信息倫理道德,注重對用戶信息的保護,細化隱私條款,制定出安全的網站訪問指南,在收集以及利用信息時,應該設置好限制,明確收集目的,對于涉及財產安全和用戶隱私的信息,必須要加大保密級別,嚴格限制其利用和訪問。此外,還要注意到的問題是,目前很多社交網站都開始與第三方應用程序進行協作,這些程序能夠獲取到用戶的信息,社交網站是無法對此進行監控的,因此,相關部門需要進一步推出與第三方應用程序相關的安全保護準則。
3結語
社交網絡的不斷普及和廣泛應用,使人們的個人信息與日常活動在網絡上得到越來越多的展現。但是,社交網絡為用戶提供交流和展示平臺的同時,如果不能對涉及用戶切身利益的個人隱私信息加以保護和控制,將會給用戶帶來嚴重的困擾和損失。提高社交網絡的信息安全,需要用戶提高信息安全意識,從自身做起,保護隱私信息,社交網站則需要堅守保護用戶隱私的承諾,加強對自身以及第三方的監控和管理。同時,政府也需要制定相關的法律政策,創造良好的法律環境,為社交網絡用戶提供有效的法律保障。
作者:徐子琳 單位:湖南省長沙市第一中學
一、引言
信息與網絡安全是當今計算機研究領域的一個重要研究方向,隨著信息技術的發展,特別是互聯網的迅速普及和廣泛應用,信息安全的地位越來越重要,已經引起各政府、企業部門的高度重視。目前,我國在信息安全技術方面的起點還較低,國內只有少數高等院校開設信息安全技術專業,信息安全技術人才奇缺。特別是在政府機關、國家安全、銀行、金融、證券等部門和領域,對信息安全人才的需求量更是驚人。因此信息安全變得至關重要,信息安全已成為信息科學的熱點課題。因此信息安全技術的專業人才培養在高校計算機專業中的重要性日益凸顯。從市場需求來看,需要大量的熟悉信息安全產品銷售、推廣、安裝、維護與用戶培訓的信息安全人才,也需要從事網絡安全管理、保證企業網絡安全運行的信息安全人才,還需要能夠迅速排除或解決網絡故障的信息安全人才。由此而論,信息安全專業的市場需求是潛力無限的。我院信息安全技術專業自開設以來,就以培養技能型安全技術應用人才為目標,經過專家委員會指導,結合社會市場調研,制定培養計劃和教學計劃,力求讓培養體系達到科學合理。我校作為應用型本科人才的培養基地,在計算機本科各專業中逐漸開設了“信息安全技術”課程,其中有課內實踐環節。早在教育部教高[2001]4號文件中就明確提出“實踐教學對于提高學生的綜合素質、培養學生的創新精神與實踐能力具有特殊作用。”。基于目前的課程設置,對“信息安全技術”課程中實踐教學環節的教學研究和改革任務非常迫切。信息安全技術課程是“軟件工程”專業和“計算機科學與技術”專業分別在大學三年級上學期和下學期開設的專業必修課。課程的目的與任務是使學生了解信息與網絡安全的基本知識,理解現代主流的信息加密與解密方法,掌握當前常用的信息與網絡安全技術。由于信息安全技術是一門實踐性較強的課程,如果僅僅通過書本內容,沒有動手操作,學生是不可能深入地掌握信息安全的常用技術。因此如何合理安排有限的實驗課時,如何編寫合適的實驗項目指導是實踐教學環節中的重要任務。
二、實踐方案設計
在確定軟件工程專業為卓越計劃試點專業后,軟件工程專業的培養計劃進行了較大調整,特別是“信息安全技術”課程結合“卓越工程師”培養目標,減少了理論課時數,而實踐環節從無到有,總學時數減至40,其中實踐環節課時數為8。依據此調整,向卓越班開設的“信息安全技術”課程需要重新組織,而其中新增加的僅8個學時實踐課,如何與理論課結合,創新地進行實踐設計和編寫實驗項目指導,的確需要深入細致的探討和設計。首先,由于課程開設時間短,課時數有限,要想將信息安全技術的全部知識都灌輸給學生,是不可能的任務。教師的第一要務是授之以漁,而不是授之以魚。計算機專業的日新月異是大家面對的常態,今天教會學生某種程序語言,可能過幾年后早已被淘汰。因此在設計實驗方案時,不能過于注重具體的某種軟件環境,而應該關注教給學生設計思路和方法,具體實現和執行可以有多種表現形式。其次,在設計實踐方案時,參考和借鑒了國內外同行們的教學理念,基于教與學是一個雙方互動的過程,在實驗方案的設計中采用了“任務驅動模式”,在實驗項目中安排一些需要學生思考或者課后完成的任務。這也是對學生實踐進行考評的重要依據。在測評學生實踐成績時,不是簡單地看實驗報告或結果,而是注重實驗過程和學生自己查找問題、解決問題的創新能力。第三,實踐教學中要充分發揮學生的主觀能動性。編寫實驗項目時不能只有規定好的步驟和參數,學生簡單地重復實驗指導的內容。這樣的弊端是學生做完后容易遺忘。因此實驗項目的編寫要有創新性,不再是從實驗數據到實驗結果都與老師做的一模一樣的“死的實驗”,而是每個學生可能有不同答案的實驗。由于結果是未知的,學生更能興致盎然地投入其中。在實驗中還可以安排一些學生可能感興趣的選做內容,以便自己去研究探索。
三、實驗項目實現
在新的指導思想下,創新地設計了六個實驗項目,包含了必做實驗和選做實驗,學生可以根據自己的興趣方向和實踐能力選擇完成4個實驗項目。實驗項目具體內容在新編寫的實驗指導書中描述,下表是新建實驗項目簡介。由于課程的理論基礎是不變的,在理論課時中已介紹了目前常用的加密和解密方法,體現在實驗中分別是古典加密算法實驗和現代加密算法實驗。在古典加密算法實驗中選取了相對較易編程實現的凱撒密碼,給出了加密和解密公式,并且有關鍵實現語句的提示,這樣學生在編程實現時比較容易完成。在思考任務中,要求學生擴展思路,改變密鑰關鍵值,從而得出不一樣的密文,使得算法更具有擴充性。學生可以用不同的流程圖和編程語言,只要有正確的算法思想,無論什么樣的軟件開發環境,都可以加以實現,也體現出了更具個體化的教學特點。現代加密算法實驗由于算法復雜,加密過程龐大,學生較難獨立編程完成,因此在授課時采取了簡化的DES算法(Simple-DES)講解和作業,講清算法原理,在加密步驟中用S-DES讓學生完成作業。實驗項目中選取了非對稱加密體制的RSA算法,學生只要掌握了加密原理,可以采用較簡單的可分解小素數來編程實現加密和解密過程。在實驗中還增加了讓學生自行查找如何判斷大素數的算法任務,學生可能會找到不同的檢驗算法,這也是實踐成績評價的重要組成部分。“信息安全技術”課程內容廣泛,既涵蓋基礎密碼理論,還有當前與每個人息息相關的計算機安全。這部分內容又包含著計算機系統安全、網絡安全、軟件安全、Web安全等等豐富的內涵,在有限的課時內不可能全部講深講透。因此在介紹理論知識之后,實踐內容中安排了系統安全實驗和Web安全實驗,這2部分內容可以讓學生根據每個人對計算機操作系統和軟件的熟悉程度,自行選做部分實驗,體現出因材施教的特點。隨著計算機網絡和網上購物的普及,網絡安全問題被越來越多地重視。因此在設計實踐方案時,將網絡安全實驗和網上支付作為必做實驗,幫助學生了解常用的網絡服務工具,掌握基本的網絡安全技能,培養課后對網絡安全的重視和研究。現在基本上學生都有接觸網絡的條件,但是很多人還沒有建立網絡安全的意識,在上網時面臨著巨大的風險。實驗項目中選擇常見網絡問題,常用網絡工具,來幫助學生掌握網絡安全基礎知識。在實踐教學中我們欣喜地看到,學生的潛力是無窮的,當他們喜歡鉆研某件事,某個問題時,不需要老師太多的幫助,學生會廢寢忘食地研究,激發出巨大的潛能。在以往的教學和實踐中,我們已經看到了這樣的成果。這也是在“信息安全技術”實踐教學中探索的重要課題。教育的目的是通過教學的過程去喚醒受教育者的內力,而不是灌輸無盡的知識。只有當學生主動地“我想要知道它”時,而不是老師主動地“我要你知道它”時,才是回歸教育的本源。
四、結束語
相對于其他課程,“信息安全技術”實際上是綜合性極強的一門計算機技術,課程內容也極為豐富。此次通過增加實踐教學環節,邁出了改革和探索的第一步。設想今后能否增加“信息安全技術”的課程實踐環節,要求學生在學習了理論和實踐知識后,分組為自己的宿舍或者校園機房設計一套綜合安全防御體系,提交的課程設計結果可以有多種方案,只要能利用所學知識,將加密算法、訪問控制、入侵檢測、病毒防范等技術應用到信息安全的不同層次。這樣對于提高學生的創新能力和動手實踐能力,提高實踐教學效果無疑有著極大的益處。
作者:張成姝 林捷 于萬鈞 單位:上海應用技術學院
摘要:隨著互聯網科技信息技術的發展,越來越多的人使用計算機進行工作,已經成為了人們生活中不可或缺的一部分,作為計算機的使用者來說,個人信息的保護很重要,但是在目前網絡環境下計算機個人信息安全保護做得還不夠到位,很多的制度、技術還不能完全的滿足人們對個人信息保護的需要,而且人們的個人保護意識也不是很強,因此,本文針對目前計算機個人信息安全的保護現狀,對存在的問題進行分析,進而提出相關的解決對策。
關鍵詞:網絡;計算機;信息安全
1網絡環境下個人信息概述
1.1網絡環境下個人信息內涵
網絡環境下個人信息主要是指利用互聯網技術對個人相關信息進行識別和獲取,涉及了郵件、賬號、IP地址、域名、身份、地址等等信息,也包括個人的姓名、電話、身份、社交信息、標志、指紋、基因、身份證等,網絡環境下個人信息受到了竊取,本質上是侵犯了個人的隱私權,所謂的隱私權主要是個人的秘密、姓名以及肖像、私生活以及真實的社會形象。很多的不法分子通過互聯網等相關技術對個人信息進行竊取,為了一已私利,不但影響到個人的安全,也是觸犯法律的行為。[1]
1.2網絡環境下個人信息侵犯的種類
1)IP地址IP地址屬于目前最容易被侵犯的個人信息途徑之一,通過計算機服務器記錄,犯罪分子便可以據此攻擊個人的計算機,進而控制他人的計算機,以便獲取所想要的信息,或者植入病毒,損害個人計算機。2)賬號密碼現在計算機網絡用戶想要使用互聯網提供的服務,一般都需要注冊賬號,比如求職網站、人人網、微信、QQ等社交媒介、或者會員等賬號,這盡管對于規范網絡秩序有了一定的積極作用,但是不法分子通過一些技術手段可以竊取個人的賬號密碼,導致了個人大量的社交信息被泄露。[2]3)個人的姓名、電話、照片、身份證等泄露這些與個人比較貼近的信息如果被泄露,就會給人們的日常生活帶來極大的困擾,比如推銷電話、電信詐騙、廣告等信息接連不斷,這些信息一部分是人們在生活中需要辦理各種業務也無意間被泄露的,大部分是通過網絡注冊或者填寫一些資料而泄露的,這是目前個人信息泄露比較普遍的方式之一。4)社會關系以及職業信息泄露當前很多的詐騙都是通過冒充受騙人的親戚朋友或者同學同事進行錢財詐騙,現在人們相互之間聯系主要是微信、微博、QQ以及一些主流的貼吧等等,很多時候由于疏忽大意,就會被犯罪分子獲取到了個人的社交信息以及相關職業信息,以此對受騙人進行詐騙、敲詐、勒索等等,使得受害人的生活受到了極大的干擾,對受害人的個人身體健康以及心理、精神健康都產生了極大的打擊。
2網絡環境下計算機個人信息安全的主要問題
2.1不正當手段收集個人信息
很多人在進行瀏覽網頁、查詢、下載、購物、參與論壇以及競拍的時候就可能存在信息泄露的風險,特別是很多的軟件和網站,需要驗證身份方可進入,所以在整個過程中就容易被不法分子利用相關技術軟件竊取了個人的信息。同時,也有利用不同的追蹤軟件進行手機的,這類軟件存在著非法檢測用戶的行為,在訪問、瀏覽、社交聊天等網絡環境下,對個人的信息進行記錄和追蹤,因此造成了人們的個人信息泄露,這些行為極大地損害了人們的個人權益。
2.2不合理利用個人信息資料
對于獲取到的個人信息,很多的不法分子對其進行儲存,建立數據庫,比如今夜,可以用來調查消費者的消費行為,或者分析市場,或者房地產企業、銀行等對消費者進行電話營銷,甚至很多的不法分子可以利用這些獲取來的信息進行敲詐、勒索、詐騙等等,在日常的生活中,很多的人都會接到莫名的陌生電話,比如辦理信用卡、小額貸款、找工作等等,人們甚至都不知道是什么時候自己的電話、姓名、身份被泄露,因此這類問題如果不加以處理,或產生很嚴重的后果。[3]
2.3非法交易獲取的個人信息
現在由于很多的商業需要,在個人信息方面,已經形成了巨大的利益鏈,很多網民在上網過程中瀏覽安全性較低的網站并在這類網站上注冊時留下的個人信息很容易被竊取或轉賣。很多的不法分子在獲取個人信息之后,找到買主對其進行轉賣,而且價格很高,尤其是一些利用電話來進行營銷的企業,比如教育機構、培訓學校、咨詢公司等等,都會利用買賣得來的個人信息進行交易,在行業內稱之為“名單”,這樣的現象已經屢見不鮮,如果個人信息在未經過允許的情況被轉賣,屬于違法的行為,因此,必須加強對這類的行為控制,保證人們的個人信息安全,維護社會良好的只需。
2.4未經允許非法傳播個人信息
在社交聊天軟件盛行的今天,很多的個人照片、姓名、電話、甚至視頻都會在網上被搜索到,比如很多明星的“艷照”、視頻等,這類信息不但損害了當今社會的文明,同時也對當事人的個人心理、精神產生了很大的影響,再比如“人肉搜索”這是典型的可以利用網絡中的個人信息保護不當而進行傳播,進而能夠使得通過互聯網即可搜索到當事人的具體住址、電話、工作單位等等,因此,非法的個人信息傳播給當事人造成了極大的傷害,有必要加大對其的懲治力度,建設健康、綠色、和諧的網絡秩序。[4]
3網絡環境下計算機個人信息安全問題的主要原因
3.1信息資料用戶對個人信息泄露
人們過分的相信網絡運營商,相信各大網站以及軟件開發者、經營者會堅守協議中所遵循的條例,但是事實并不是這樣,少數的軟件開發商、運營商因為個人利益或者信息保護不當,很容易將個人信息進行非法的使用或者被盜取,這主要是軟件開發商以及網絡運營商缺乏對用戶個人信息的保護意識,也不重視管理用戶個人信息,比如購物網站、醫院、銀行、房地產企業,屢屢出現這類問題,因此必須加強對網絡運營商以及軟件開發者的管理和約束,對于違反法律的行為必須給予嚴重的懲罰。
3.2計算機相關保護技術運用不足
隨著社會科技的發展,互聯網信息技術層出不窮,但是在保護個人信息方面卻還是做的不到位,很多的木馬、病毒、黑客肆意而為,可以竊取個人的信息、盜用軟件,為一已私利進行犯罪,很多的網絡環境都是竊取個人信息的地方,因此這為網民使用網絡進行工作和生活帶來了很大的不便,甚至誠惶誠恐,影響了互聯網環境和正常的網絡秩序,通過網絡下載、瀏覽、局域網、郵件、社交媒體很多的木馬、病毒、黑客就會攻擊進來,因此給個人的財產和健康造成了極大的影響。
3.3網絡環境下個人信息保護立法欠缺
相對于發達的國家來說,我們的網絡起步比較晚,盡管是世界使用互聯網最多的國家,但是在個人信息保護方面卻是相對比較落后的,針對于一些個人信息竊取以及傳播的行為還沒有細化,很多的行為只是進行民事、行政處罰,缺乏有力度的刑事處罰,因此也助長了不法分子的犯罪行為,同時在處罰過程中,很多是以罰金、拘留、協商為主,極少數的犯罪是通過量刑進行處罰的,因此在法律制度方面的缺失,也是導致個人信息泄露行為得不到制止的主要原因。
3.4人們對個人信息保護意識不強
對于目前新接觸網絡的人們來說,由于在認識上缺乏很多,所以很少注重個人信息的保護,隨意在網站平臺上注冊賬號留下個人信息,主要是相信網絡運營商,這是主要原因,其次是對于很多的網民來說,為了能夠急切達到自己的需求,也很少顧及自己的個人信息安全,比如注冊游戲賬號、購物網站、社交聊天軟件及網站,在這個時候很多的網民缺乏這種保護的意識,同時,很大部分也是由于沒有相關的渠道進行驗證或者了解關于個人信息安全或者注冊風險等途徑,因此導致了很多人在無意中泄露了個人信息。
4網絡環境下計算機個人信息安全的解決對策
4.1完善網絡安全協議、約束管理人員
針對網絡運營商以及軟件開發者,必須對內部的管理人員進行普法教育,對計算機個人信息泄露的問題進行宣傳,企業的管理者也應該擔負起這些責任,確保數據信息管理人員能夠對用戶的信息負責,不要因為個人的利益損害企業和消費者的利益,同時對用戶協議也應該有明確的規定,制定相關的泄密懲罰措施,使得有法可依,也在用戶個人信息泄露以后,能夠依據相關協議規定維護自己的合法權益。目前Internet中各網站所采取的安全防衛方式,網絡安全防衛方式也就是將注意力集中在控制不同主機的網絡通道和所提供的服務上,網絡安全防衛包括建立防火墻來保護內部系統和網絡、運用各種可靠的認證手段(如:一次性密碼等),對敏感數據在網絡上傳輸時,采用密碼保護的方式進行。
4.2使用先進的網絡保護技術,保護個人信息安全
用戶應選取健壯完善的操作系統,這樣的工作平臺可以有效地避免黑客的入侵,應選取軟件工具齊全、豐富、縮放性強,如果有多種的操作系統應選取使用人群最少的一種,這樣可以有效地減少入侵者攻擊計算機的可能性。政府應該加大對計算機個人信息保護方面的技術投入,加強在資金以及政策上給予幫助,鼓勵相關的技術人員對計算機個人信息保護方面研發出有效的技術,來制止黑客、病毒、木馬等程序和軟件的攻擊,保護人們的財產和個人信息不受到非法的侵害,為人們的生活和正常地使用網絡提供一個安全、健康的環境。
4.3加強對侵犯個人信息侵犯的違法犯罪的打擊
國家應該在法律上進行嚴懲個人那些泄露的不法分子,加大打擊的力度,對于違法犯罪的行為給予堅定的回擊,結合國內外先進的法律制度,結合我國目前的互聯網環境的具體狀況,在個人信息違法犯罪方面,不缺法律的空白,保護個人的合法權益,制止類似事情的發生,這對于保障社會的和諧有著至關重要的作用。
4.4擴大宣傳,培養個人信息保護意識
在當下社會,每個人都離不開互聯網,因此國家應該在教育方面入手,比如在小學、初中、高中乃至大學的課本或者課程中,假如關于網絡犯罪或者個人信息相關的知識宣傳和學習;對于社會人員,在小區內進行相關的宣傳,同時在網絡上也要給予一定的警示,保證人們了解個人信息的重要性以及了解犯罪分子的犯罪方式和行為特征,將這類事情扼殺在發生之前,數據顯示目前有60%的網民受到網絡安全威脅的直接攻擊,這個數據還在不斷增加。所以加強個人信息的保護意識很重要。
5結論
通過文中對網絡環境下,計算機個人信息安全的問題分析,我們可以了解到,隨著信息技術逐漸發達的今天,人們的個人信息保護的確是刻不容緩的事情,我們不但要從法律上對其進行管理,也要從道德上對其進行約束,同時加強在技術上的研發和投入,提高人們的自我保護意識,對違法犯罪的行為給予極大的打擊,為建設健康、和諧的網絡環境而努力,保障人們的人身、財產的安全,維護良好的社會秩序,同時,希望通過本文的研究,能夠讓人們知道泄露和不合理的利用、交易、傳播個人信息是屬于不道德且違法的事情,我們要約束好自己的言行,為社會主義社會的健康發展做出自身應有的貢獻。
作者:朝魯 單位:遼寧對外經貿學院
摘要:數據引領生活的新變化,我們生活在一個“數據”的時代。但與此同時,大數據在收集、保存、利用等環節中仍存在著許多信息安全風險問題。該文就在大數據下個人信息安全問題提出三種有效保護措施,社會網絡企業的信息安全管理水平,加強立法安全和行業自律,提高用戶信息安全素養。
關鍵詞:大數據;信息安全;保護機制
1引言
“無論你認不認同,大數據時代都已經來臨,并將改變我們的工作和生活”中程院高文院士說。近年來,大數據一直是業界的熱門話題。在2015年5月給國際教育信息化大會的賀信中說,“當今世界,科技進步突飛猛進,互聯網、云計算、大數據等現代信息技術深刻改變著人類的思維、生產、生活、學習方式,深刻展示了世界發展的前景。”世界已經進入數據驅動的時代。我們生活在一個“數據”的時代,我們在網絡上的行為也在不斷地產生數據量,例如淘寶購物,微信朋友圈,網上掛號,都在不斷填充大數據中的數據庫。也可以說大數據已經與我們形影不離。
2大數據的重要性
無論學術界還是產業界都在試圖分析大數據挖掘其潛在價值。據統計,在使用谷歌搜索用戶平均每秒200萬次,用戶數每天在臉譜網上的份額超過40億。同時,其他行業也有大量的數據在不斷地產生。有數據顯示2012年產生了2.7zb的信息量,在其后3年可能會達到8zb的信息量,這將是何等大的數據量。在在大數據環境下,數據成為原材料,已成為一種新型能源,為經濟創造了巨大的價值,促進了創新,提高了生產力和效率,做出了重大貢獻。在中科院視察時就指出“大數據是工業社會的重要資源,數據被誰掌握了,誰也就獲得了優先權,獲得了主動權。”大數據將會是推動社會經濟發展的又一新動力。
2.1大數據影響生活方式
“大數據”并不神秘。事實上,大數據每時每刻都在影響著我們的生活,或許你并不在意它,關注它。但是它確確實實的就在我們的身邊。如今我們生活在一個充滿“數據”的世界,我們的生活在不斷地產生數據,和訪問英國帝國理工學院時,學校贈送給的羊絨披肩就有大數據的功勞,該校用計算機圖像分析技術計算披肩的尺寸。運用大數據的方法學校還為演示分析了“一帶一路”政策的國際影響力,國內人口遷移情況,以及應用大數據進行醫療的推廣等。對這種利用技術幫助人民提高生活質量的做法十分贊賞。我們日常中的各個領域都在使用著大數據。飛機的未來票價走勢可以通過大數據將其預測出來;谷歌使用用戶搜索記錄來判斷美國流感疫情的狀態,比美國疾病預防控制中心的預測早了近兩個星期;股市的表現也可以通過剖析網絡推特來預測未來走勢;實時路況也同樣可以通過大數據來完成;沃爾瑪通過利用大數據來監測自己超市商品的銷售情況,商品的銷售速度,以及各個商品的擺放位置所引起的銷售變化。與此來制定最有利與庫存使用率,銷售數量,大大提高了超市運營效率。這足以反映出大數據對我們帶來影響是多么的巨大。
2.2大數據引領新的發展方向
數據是發展的產物,同時數據也會帶動社會的發展,發展與數據相輔相成,互相促進。大數據時代,數據成為一種生產資料,成為一種稀有資產和新興產業。無論哪個行業和領域都會有數據的產生,而這些數據的統計、分析、挖掘都會創造出意想不到的價值和財富。面對大數據時代,強調:“機遇是短暫的,抓住了就是機遇,抓不住就是挑戰。”
2.3大數據是每個人的大數據
大數據是整個國家的大數據,也是我們每個人的大數據。大數據時代,我們應該擁抱大數據,五年計劃中的提案已經說明了在大數據的到來,必須抓住機遇,抓住大數據、促進大數據的發展,實施大數據國家戰略。創造一個基于大數據的生活,城市。大數據有利于整合與共享管理信息。我們每個人都會因大數據的爆發而受益匪淺。
3大數據帶來的安全風險
科學技術是把雙刃劍,大數據的收集給我們帶來隱形的財富的同時,也在悄悄地給我們帶來信息危機,和對信息保護的挑戰。這是我們不得不面對的問題,也是需要我們亟待解決的問題。如果我們僅僅是沉浸在大數據帶來的利益,而不想面對其帶來的麻煩,日后我們必將會為此受到其懲罰。例如,“棱鏡門”事件更加劇了人們對大數據安全的擔憂,大數據下的信息安全戰爭一定會是不可避免的。大數據威脅的根本原因是歸結到最后,是在市場經濟和信息社會條件下,用戶的個人信息已經成為其重要的市場資源之一,也就是說,信息對市場來說有剛性需求。這種需求是商業活動和犯罪分子實施的“下游”的犯罪活動。信息泄露的元兇主要是網絡服務商、管理員、網站經營者、黑客、通信運營商。本文將對大數據的安全分析劃分為2個部分,一是擁有數據的組織內部問題;二是數據外部環境。
3.1擁有數據組織的內部環境
3.1.1非人為因素
非人為因素帶來的大數據信息安全主要是指自然因素和網絡本身硬件因素所帶來的信息安全。(1)自然因素自然因素指不可抗力因素包括地震、水災、火災、臺風等。大數據所依賴的服務器一旦出現自然災害,便會導致服務器損壞,嚴重則會導致數據丟失,無法恢復。(2)硬件設備如今已經進入大數據時代,數據量與日俱增,增長迅速。數據的存儲需求越來越大,而硬件存儲不在能滿足要求,都有可能會引起數據的無從存儲,得不到很好的利用,另外系統的漏洞會使數據數據在計算機中存儲的數據風險加大,還有可能會造成計算機服務器的崩潰,造成已存儲數據流失。
3.1.2數據管理問題
大數據時代數據管理對數據安全起著至關重要的作用,數據在收集管理過程中造成的風險主要有操作失誤,惡意泄露兩個方面。(1)操作失誤數據收集之后,數據管理人員面對繁多的數據或多或少會出現操作失誤的情況。或許刪除重要的信息,或許更改重要的信息。面對眾多的數據,操作失誤的情況會各種各樣。這樣勢必會影響數據的完整性。從而影響數據的安全。還有就是組織內部沒有嚴格的管理規章制度,使工作人員工作時沒有規范,造成數據的泄露。(2)惡意泄露組織即使想要保護數據的不外流和用戶的權益不被泄露,但是有時候還是會落入不法分子手中,并且被其濫用,從事不法活動。這樣就會造成客戶信息的泄露。
3.1.3技術漏洞
大數據時代數據的爆炸性增長,現在的技術難以確保大數據被安全的保存,加大數據的安全風險。
3.2數據的外部環境
大數據時代數據安全的外部環境是指除內部環境外有可能因潮流所導致的信息泄露,外部環境主要包括:行業自律,法律法規,黑客攻擊以及用戶自己的個人隱私意識。
3.2.1行業自律和法律法規
行業自律和法律法規也尤為重要,目前,關于信息安全方面的法律法規還沒有健全和完善,這就導致了擁有數據的公司企業利用她們已有的客戶資料進行非法交易,使自己牟利。現在目前約束企業對信息使用的權限,也僅僅是自己公司對自己制定的有利于自己的規章制度,并不能實際有效的對信息實行安全掌控,企業們仍然有可能會為了自己的利益而去肆意出賣用戶信息。也就是說目前還沒有真正有效措施來保護數據安全。這些都使數據安全受到了極大的威脅。
3.2.2黑客攻擊
黑客攻擊也將會是影響大數據的信息安全的重要因素。因為大數據下信息變得越來越重要,黑客受到利益的驅使會去竊取有價值的信息。大數據下,數據的繁多,背景的復雜,組織數據內部的缺陷,都為黑客的攻擊創造了有機可乘的機會。這也就導致了大數據下信息安全的風險加大。
4面對大數據個人信息的保護措施
個人信息保護的挑戰,自古至今都存在著,在大數據的時代下,使個人信息的泄露更加容易,成本更加廉價。已經不再是政府在暗中監視著我們。例如,淘寶監視著我們的購物情況,百度監視著我們的搜索記錄,微信、qq似乎對我們的情況更是了如指掌,在大數據時代下這種情況勢必會加深這種威脅。近年來,非法泄露個人信息,網上詐騙、謠言等現象不勝枚舉,嚴重地影響了我們每個人的生活安寧和生活秩序,甚至還會造成個人的人身財產損失。因此,在大數據時代,我們應該保護好自己的個人信息。
4.1完善相關法律法規
完善大數據時代的法律法規迫在眉睫,必須納入個人信息安全保護的相關法律規定。雖然在2005,已經完成了“個人信息保護法”的專家咨詢,但今天的“個人信息保護法”仍然沒有頒布。所以我們必須加快個人信息保護法的出臺,充分保護個人信息安全。
4.2嚴厲打擊非法竊取個人信息的行為
由于《個人信息保護法》到目前還沒有頒布,所以在大數據的時代下,各種數據發生爆炸性增長,個人信息也發生著空前的泄露。加強嚴厲打擊非法竊取個人信息的行為尤為重要。
4.3健全監督機制
大數據時代,個人的信息是種無形資產。許多企業可能會對保留在其公司的個人信息進行商業化利用,從而泄露用戶的個人信息,侵害用戶權益。因此,建立健全政府的監督機制尤為重要,不容忽視。一是建立監督檢查機構,專門對互聯網的個人信息使用的情況進行監督。二是制定嚴格的監督制度,限制個人信息擁有者對信息的使用權限,嚴格規范個人信息使用的標準,確保個人信息不被肆意使用。
4.4提高自我保護意識
在《個人信息保護法》未出臺,相關法律法規未健全,我們應該提高自己的保護意識,加強自我保護。在網絡上盡量不隨意輸入個人信息,不隨意共享個人信息,刪除跟蹤行為的臨時文件,養成良好習慣。加強日常學習,學習互聯網相關安全知識。提高維權意識,當發現自己的個人信息被泄露時,要及時維權,必要時可采取訴訟手段。5結語安全問題不僅僅是個人問題,企業問題,而是關乎國家的每一個方面,不容忽視。在大數據時代的到來,一方面我們在獲得了巨大收益,另一方面我們也要注意個人信息的安全風險。如何降低安全風險保障自己的個人信息不被泄漏,就要綜合從組織所處的內部環境和外部環境考慮。在自然因素,數據管理,技術漏洞,法律法規,行業自律,黑客攻擊以及個人的安全防范意識等幾個方面來應對風險。
作者:張豪爽 單位:遼寧對外經貿學院
摘要:當前,智能設備逐漸深入,互聯網技術不斷發展,因特網已經逐漸滲透到我們的日常生活中,成為我們生活的便捷助手。社交網絡就是通過互聯網將全球的個人聯系在一起,組建一個開放性的社交平臺。社交網絡在一定程度上拉近了朋友之間的友誼,與此同時,社交網絡中用戶個人信息的安全受到越來越多人的關注,成為影響互聯網發展的一道屏障,為了保護社交網絡中用戶個人信息安全,本文通過對當前社交網絡個人信息安全現狀進行分析,對當前一些較為流行的互聯網保護措施進行研究,并提出一些保護用戶個人信息安全的措施。
關鍵詞:社交網絡;隱私保護;個人信息安全;信息安全舉措
社交網絡平臺是互聯網應用中非常重要的組成部分,隨著當前科技的發展,移動互聯終端迅速普及,智能手機、移動電腦等設備充實人們的生活。社交平臺為社會上的個人創建了一個平臺,在這個平臺上,用戶可以逐漸發展自己的人脈關系,擴充自己的人脈網絡,尋找曾經的朋友;用戶還可以通過這個平臺分享自己的照片等;還有就是近兩年逐漸流行的朋友圈之間互發紅包等等,通過該平臺逐漸拉近了朋友間的友誼。但是,分享的同時,個人信息也被上傳到網絡平臺,成為一些不法分子注意的對象,近年來,網絡犯罪的比例日益變大,社交網絡中個人信息安全的保護迫在眉睫。
一、社交網絡安全性分析
社交網絡是一種基于因特網的網絡使用方式,它為用戶提供了一個擴充人脈的平臺,在這個平臺上,用戶相當于整個社交網絡中的節點,用戶之間通過交流與溝通,將節點與節點之間的連線越來越復雜,互聯溝通面得到不斷擴展,社交網絡普及面越來越廣闊。當前,Android系統和IOS系統中的聊天通訊應用更新頻率不斷加快,應用軟件層出不窮,因此,為社交網絡的進一步發展和普及提供了良好的條件基礎。因此,未來社交網絡的覆蓋面將會更加廣泛,用戶活躍度將會更加高昂。但是,正是由于社交網絡的開放性,使得網絡上的虛擬人物良莠不齊,相關用戶很難從表面上去進行辨偽,很容易上當受騙;此外,當前許多通訊聊天應用為了實現更加精準化的交友條件選擇,對用戶的個人信息完全透明化,雖然在一定程度上使得用戶能夠更加輕松的找到自己需要找的人,但是也為網絡犯罪創造了絕佳的搜索平臺;還有,當前許多人過分依賴網絡,為了讓別人相信自己的真實存在,對自己的信息毫無忌憚地展現在社交網絡上,希望通過這種方法來提高自己的空間瀏覽量和關注度,用戶在進行分享的同時,用戶個人的信息有可能會被不法分子所關注,進而進行違法犯罪行為。據調查,2014年我國因網絡犯罪造成的經濟損失將近萬億元人民幣,高達90%的互聯網用戶都受到過網絡犯罪的攻擊。因此,增強社交網絡中用戶個人信息安全保護勢在必行。
二、隱私保護控制方法
為了在社交網絡中保護用戶個人信息安全,許多專家學者提出了許多理論研究,常見的有以下幾種技術:①Sweeney專家提出的K-匿名技術,該技術將用戶信息數據庫的部分信息數據進行泛化處理,使得其中包含個人敏感信息的K個位置的信息數據形成匿名集,進而實現對用戶隱私的保護;②Chen等人提出的生成虛假信息的隱私保護方法,在用戶位置信息的服務器中形成多種不同位置信息,進而使得攻擊者難以正確識別用戶信息;③MatsuuraK和HuangL提出的基于區域劃分的軌跡隱私保護理論,將用戶的軌跡進行分析分類,對用戶經過的敏感區域進行用戶個人信息的保護,防止用戶個人信息的泄漏;④Gabrial提出基于分布式協議的prive方法等等。
三、用戶個人信息安全保護措施
3.1建立健全相關法律條文
在當前法制社會里,通過建立健全對用戶個人信息保護的法律條文非常必要,通過法律保護社交網絡中用戶個人信息安全不受侵犯,是立法機構當前非常緊要的事務。對于當前有些不法分子通過非法手段搜集個人信息,然后通過各種渠道用于違法犯罪的行為,相關法律應該給予嚴懲,對于一些通過設計開發包含有非法搜集個人信息漏洞的應用軟件,然后用于從事非法商業活動的商家個人,相關法律條文也應該嚴厲懲罰。
3.2社交網絡企業加強用戶信息保護管理
社交網絡企業應用實名制注冊,在一定程度上能夠減少不法分子通過注冊一些非法賬號用于網絡詐騙,防止個人信息的泄漏,但是,這種情況下,注冊的用戶需要填寫的信息更為透明化,如果賬號被盜泄漏的信息將會更嚴重。在這種矛盾下,這就需要社交網絡企業加強對用戶信息的保護和管理。通過不斷優化相關軟件應用,對其中的漏洞進行不斷修復升級,提升系統穩定性,運用先進手段對網絡攻擊者進行攔截。
3.3提高社交網絡用戶安全意識
除了需要國家和相關企業提高對用戶個人信息的保護以外,用戶個人也需要了解一些保護個人信息的方法。雖然社交網絡是一個開放性的社交平臺,但相關用戶也不能過于放開自己,將自己的全部信息全盤透露給好友,將自己的一舉一動都分享給好友,這樣就會存在許多安全隱患。所以,作為社交網絡用戶,需要時刻提防社交網絡的局限性,及時對自己的軟件進行升級,完善系統漏洞,對自己的一些敏感性信息有防范保護意識,對自己的信息安全負責。
四、結論
社交網絡有利有弊,它在拉近朋友間距離的同時,也拉近了用戶與網絡犯罪的距離,為了保護社交網絡中用戶個人信息安全,立法機構、相關網絡管理企業、用戶本人都應該具備時刻保護用戶個人信息安全的意識,通過相應的措施不斷完善社交網絡,使得社交網絡平臺更加安全、便捷、實用。
作者:劉偉彥 單位:武漢市第六中學
“陽光是最好的防腐劑,但對隱私而言,陽光卻并非總代表著正義。”的確,對個人信息而言,需要的不是“陽光”,而是法律“保護傘”。
所謂個人信息,據《個人信息保護法》專家建議稿課題組介紹,是指現實生活中“能夠識別特定個人的一切信息”,其范圍很廣,有文檔、視頻音頻文件、指紋、檔案等,包括了一個人的生理的、心理的、智力的、個體的、社會的、經濟的、文化的、家庭的等等方面,即指有關個人的一切數據、資料。個人信息同我們個人生活密切相關。
然而,我國目前個人信息頻繁受到侵犯,個人信息安全問題日益引起政府和社會各界的廣泛關注,而關于個人信息保護方面的立法卻很緩慢,這不得不引起我們的重視,個人信息安全的現狀令人擔憂。
一、個人信息安全受到嚴重威脅
我們來看幾則報道:
《新京報》:一家名為“上海OK信息有限公司”的網站顯示,該公司正在出售“*年最新全國股民資料”,資料系由證券公司內部獲得,內容包括全國100萬股民的姓名、性別、手機號碼等信息。記者調查后發現,該份資料中的股民信息基本屬實。
新華社合肥電:上網求職資料屢屢泄露,安徽省教育部門提醒學生對個人信息應加強自我保護。
《羊城晚報》:一個名為“Ucloo”的網站在網上叫賣9000萬華人私人信息,而價錢僅僅是1元人民幣!隨后,《北京青年報》、《新聞晨報》等國內多家媒體對此進行了跟蹤報道,進一步得知這些個人隱私信息可能來自中國第一大同學門戶網站“中國同學錄”。
《市場報》:“手機監聽王”驚現京城威脅個人信息安全。
《新快報》:500中學生隱私泄露網上家長頻遭電話詐騙。
“商業推銷‘指名道姓’,陌生拜訪鋪天蓋地”。個人信息越來越多地被別有用心地進行著種種操作。個人信息安全正受到嚴重威脅。現代人在享受信息社會帶來的諸多便利、好處的同時,也開始品嘗接踵而至的煩擾。
1、個人信息被泄露的渠道。
在今天這信息網絡時代里,個人信息被泄露的渠道繁多,在各行各業都有可能存在:如各電信運營商、銀行、自來水公司、電力公司、燃氣公司、保險公司、證券營業部、航空公司、互聯網公司、人才市場、中介公司、物業公司、房地產交易市場以及各類零售商等等登記有個人信息的各行政、企事業單位。
2、個人信息泄露的原因和途徑。
個人信息泄露的原因也是有很多種,歸納起來主要有以下幾個方面:
①出于商業目的而被惡意套取,一些單位和部門為了一己私利而惡意泄露。
②信息安全的重要性還沒引起我們一些機關、單位、企業的足夠重視,對個人信息管理不善,信息安全工作還處于被動的狀態,沒有形成“主動采取措施、積極應對”的意識,信息系統的整體防護能力低。
③社會個體對的個人信息保護意識不強也給了別有用心者可乘之機,為日后信息泄露埋下隱患。
④現有的法律規定顯得比較滯后,不足以有效地震懾和打擊侵害個人信息安全的違法犯罪現象。
個人信息泄露的途徑主要有利用關系網絡幫忙收集、利用問卷調查、網絡注冊、會員登記等方式自行套取、利用金收買等等。
3、個人信息安全受到嚴重威脅,信息泄露,將導致很多不良后果。
個人信息泄露后將導致很多不良后果:公民個人信息安全受損、人們經常受到各種騷擾、安全感喪失、政府管理受干擾、為刑事犯罪提供了土壤。
特別是在信息社會里,個人信息的泄露,不但會侵害個人的合法權益,影響社會和諧,導致人人自危,嚴重制約我國電子商務的發展。有專家稱:“個人信息保護不僅是基本人權問題,也極有可能成為某種新的貿易壁壘,一個個人信息保護法制不健全的國家肯定會在國際貿易方面受到其他國家或國際組織的打壓。”
二、個人信息安全的保護措施。
個人信息泄露已經成為社會的一大公害,由于個人信息泄露給當事人帶來侵害或損失的案件屢屢發生,所以個人信息保護變得刻不容緩、迫在眉睫。
對個人隱私的尊重與保護,反映一個社會的文明程度,也體現著社會管理的精細化程度。在信息技術飛速發展的今天,那我們要怎樣來保護個人信息免遭侵害呢?
個人信息安全的保護的基本原則:以人為本,以法為本,事前保障,多管齊下,多方努力。
個人信息安全的保護的主要措施:
1、加強自我保護。
①我們在思想上要引起高度重視,提高個人信息的自我保護意識。
②要多學習了解一些個人信息安全保護方面的知識,提高自我防范能力。
2、加強行業管理,增強行業自律性。
掌握了個人信息的各行政、企事業單位,特別是象各電信運營商、銀行、自來水公司、電力公司、燃氣公司、保險公司、證券營業部、物業公司、房地產交易市場等等這類掌握了較多個人信息的各行政、企事業單位,一定要從思想上高度重視,模范守法,提高行業對個人信息的管理技能和水平,制定相應的管理個人信息的制度、規范,增強行業對個人信息管理的自律性。
3、加強技術保護的研究,實施技術保護措施。
為了保護的個人信息安全和隱私,相關行業、部門要增大投入,研究開發更先進的技術,如,數字簽名技術、數字證書技術、身份鑒別技術、信息加密技術、反病毒技術等等技術,真正做到“魔高一尺,道高一丈”。
4、制定、完善法律制度,撐起法律“保護傘”。
我國現有的法律對公民個人信息安全問題給予了充分的關照。在《民法通則》、《刑法》、《消費者權益保護法》及其他一些經濟類法律、法規、司法解釋中,都有保護公民個人信息安全的具體條款。
例如,《民法通則》第九十九條:公民享有姓名權,有權決定、使用和依照規定改變自己的姓名,禁止他人干涉、盜用、假冒。第一百條:公民享有肖像權,未經本人同意,不得以營利為目的使用公民的肖像。
又如,《反不正當競爭法》第十條規定:“經營者不得采用下列手段侵犯商業秘密:……本條所稱的商業秘密,是指不為公眾所知悉、能為權利人帶來經濟利益、具有實用性并經權利人采取保密措施的技術信息和經營信息。”
又如,最高法院在《審理名譽案件若干問題的解答》中規定:“對未經他人同意,擅自公布他人的隱私,致人名譽受到損害的,應按照侵害他人名譽權處理。”
然而,現有的法律規定仍然顯得比較滯后,不足以有效地震懾和打擊侵害個人信息安全的違法犯罪現象。“按照我國目前的法律,侵犯他人名譽權只能承擔民事責任。如果《個人信息保護法》一旦正式出臺,侵害他人信息的就要承擔民事責任、行政責任或刑事責任。”
世界上已50多個國家建有個人信息保護體系。我國自*年以來,正在研究《中華人民共和國個人信息保護法》。但該項立法尚處研究階段,無實質進展。
因此,我們要加快《中華人民共和國個人信息保護法》的立法程序,盡早出臺,以更有效地保護個人信息安全,促進社會和諧。
總之,現在個人信息安全受到嚴重威脅,個人信息保護已刻不容緩,讓我們從多方面、多角度共同努力,加強對個人信息安全的保護,相信我們的社會也將會進入一個安全、高效、文明的新時代。
十年前,大多數計算機用戶面臨的安全問題主要集中在病毒、垃圾郵件等威脅上。而今天,網絡中的不法分子則鎖定了計算機用戶的重要數據,企圖盜取信息以獲得更大利益。這些僅僅是冰山一角,郵箱、論壇、網銀、QQ等賬號密碼登錄令人云山霧罩,家有兒女卻無暇監督孩子的上網安全,如何保證照片、視頻、工作文檔等隱私數據的絕對安全,個人用戶的網絡安全問題日趨復雜。
安全威脅促使需求分化
在復雜的網絡環境里,用戶隨著自身安全需求程度的不同出現分化、形成分級。初級用戶僅僅需要個人安全軟件產品的防護就可以滿足安全需求,免費的安全軟件產品就是這類用戶的最好選擇。而專業級用戶往往對某一類互聯網操作有特殊的安全需求,比如針對網上銀行的操作、針對網絡購物的操作,需要專門針對這些特殊操作的安全軟件提供安全防護。還有一部分用戶希望安全廠商能夠提供不同程度的針對個人的安全服務,為其解決所遇到的安全問題,這些個人安全服務可能是:初級的機器智能個人安全服務、按次計算的個人咨詢安全服務、包月包年的安全檢測服務、高端VIP安全服務等。
安全廠商可以分別通過機器智能安全檢測方式、一對多的人工安全咨詢方式、專家級別的高端安全服務方式,為不同的用戶,根據其不同的個人安全需求,提供不同程度的個人按需服務。
卡巴斯基亞太區董事長張立申說:“互聯網誘發了復雜多變的安全威脅,復雜的安全威脅促進了人們安全需求的分化,針對不同的安全需求,需要提供不同的安全產品、安全服務。從當前各家安全企業所探索的方向來看,按需提供服務將很有可能成為今后個人安全軟件的一種新型商業模式,這也標志著個人安全將從產品步入服務時代。 ”
正因如此,卡巴斯基了全新個人旗艦產品――卡巴斯基PURE。作為卡巴斯基實驗室的旗艦型個人安全解決方案,卡巴斯基PURE從網絡威脅抵御、密碼便捷管理、重要數據保護和家庭網絡維護四大方面提供了完善的個人信息安全解決方案。
獨享 VIP專屬服務
作為一款售價為599元的安全軟件,卡巴斯基PURE幾乎可以被稱為安全軟件中的奢侈品。在免費安全軟件大行其道的今天,卡巴斯基卻反其道而行,必然有其殺手锏。
首先,對網絡威脅的抵御,PURE延續了卡巴斯基實驗室產品一貫的技術優勢,能夠防御所有類型的惡意軟件及各類網絡威脅,包括內核保護、高級保護、操作系統和應用程序控制、瀏覽器和安全免疫區、網絡和互聯網安全、數字信息保護、阻止垃圾內容、數字信息安全和自我保護等。PURE還融入了全新的功能――密碼管理器,它令用戶只需記住一個主密碼即可進行一鍵登錄,還可以幫助用戶創建復雜的高強度密碼。在對重要數據的保護方面,用戶可通過PURE對數據進行加密、備份,或利用文件粉碎器對文件進行永久刪除。對于家庭網絡用戶,PURE的上網管理模塊可以監控未成年子女的上網情況,保護他們不受惡意內容侵害,保證家人健康上網。
除了技術方面的創新,PURE還為用戶帶來了更好的使用體驗和更多的幫助。卡巴斯基實驗室專門為PURE用戶開辟了一條專屬服務通道,只要購買PURE成為精英會會員,即可獲得由卡巴斯基定制的PURE貴賓卡,并享受免費一年的私人安全顧問服務,具體形式包括電話、郵件、短信及十次預約式用戶上門服務。如果用戶不希望個人隱私、機密數據、公司優秀商業秘密被泄露,卡巴斯基PURE還能夠提供VIP專屬服務。雖然這類服務并非卡巴斯基首創,但卻被其首先應用在安全領域。
[摘要]運用問卷調查對常州市本科大學生社交網絡個人信息安全意識和能力方面進行評價,提出大學生社交網絡個人信息保護方面的對策。
[關鍵詞]個人信息安全;大學生;社交網絡;安全意識
1數據來源
通過查閱相關文獻,搜集與社交網絡個人信息安全意識的相關資料,確定了調查問卷內容,共16個問題。本次問卷主要在常州市四所本科高校發放,回收有效問卷578份。本次調查時間為:2016年7月2日至7月8日。本次調查涉及河海大學常州校區學生176名、常州工學院學生76名、常州大學學生152名和江蘇理工學院學生173名。其中,調查對象以大一、大二、大三的學生為主,大四學生偏低,男女比例相對均衡。
2個人信息認知
最高人民法院、最高人民檢察院、公安部《關于依法懲處侵害公民個人信息犯罪活動的通知》(公通字〔2013〕12號)明確規定:“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料。”
21個人信息保護范圍認知
關于受訪者對個人信息保護范圍的理解,44%的受訪者大概知道,31%的受訪者知道,14%的受訪者不太清楚,只有10%的受訪者表示非常清楚,而有41%的受訪者表示不知道。其中,個人信息與個人隱私的范圍難以界定。個人信息與個人隱私存在聯系,個人信息與個人隱私的保護范圍之間具有交錯性,但不可簡單等同。個人信息范圍的界定,取決于對個人信息的定義:個人信息具有可識別性,能與某個特定個體的人格和身份建立起聯系;個人信息具有交互性,其發揮自身作用的空間就是信息主體與外界的交互過程,信息主體依循自身的意愿對個人信息進行合理的利用,以便在社會交往過程中占據一個有利的地位。
將調查數據按受訪者的年級進行細化分析,不同年級受訪者對于個人隱私的掌握情況大體一致。相對而言,非常清楚安全隱私范疇的大四受訪者比例為1724%;知道安全隱私范疇的大三受訪者比例為3526%,大概知道安全隱私范疇的大一受訪者比例為4651%,不太清楚安全隱私范疇大二受訪者比例為1943%。可見,隨著年級的增長,對個人信息范圍的理解有所深入。
22個人信息暴露在社交網絡上的看法
在大數據環境下,用戶對社交網絡上的個人信息的控制能力減弱,易被非法分子利用。如身邊出現的多起身份竊取案件,通過獲取用戶微信號里動態、頭像等信息,進行賬號完全“復制”,假冒本人向親友借錢。通過用戶的動態、地理位置、跟蹤用戶、實施盜竊等。可見,社交網絡上個人信息安全面臨著前所未有的威脅。關于對個人信息暴露在社交網絡上的看法,3189%的受訪者認為個人信息暴露在社交網絡上很嚴重,應該采取措施避免不良影響,5806%的受訪者表示有點擔心,應注意個人信息安全,919%的受訪者表示個人信息暴露在社交網絡上無關緊要、很正常。這反映出大部分大學生在社交網絡上個人信息保護方面有一定的安全意識。
23是否會閱讀社交網絡服務商的用戶服務協議
社交網絡服務商和用糝間通常存在著一個用戶服務協議,以明確相互之間的權利義務關系,通常由用戶在向社交網絡服務商注冊時,通過點擊確認而成立,對雙方都具有約束力。首先,用戶協議內容由服務商預先擬定,用戶只能接受或拒絕接受,沒有協商的余地;其次,服務商往往在用戶協議中極力維護自身利益,對用戶權利則多加限制:一般將用戶協議分布在其他頁面中,內容晦澀繁雜,將對用戶權利造成不利影響的條款隱藏在其他條款中;社交網絡服務商可隨時單方修改服務條款內容,一旦用戶繼續使用則意味著接受新條款;社交網絡服務商保留自己對條款內容的最終解釋權。
關于是否會閱讀社交應用服務商的用戶服務協議上,4974%的受訪者偶爾閱讀,3692%的受訪者不會閱讀,1179%的受訪者經常閱讀,而156%的受訪者根本不知道用戶服務協議。調查結果反映出,大部分大學生對于用戶服務協議的態度是知道有用戶服務協議,但不夠重視。
24個人信息被泄露時是否維權
在社交網絡上個人信息泄露的途徑有很多:服務商泄露個人信息(不良商家泄露或黑客入侵)、用戶社交網絡上曬信息(自拍、姓名、學校等)、電腦感染木馬病毒導致信息被竊取、不法分子利用網站漏洞入侵數據庫、用戶隨意連接免費Wi-Fi或掃描二維碼等。而個人信息被泄露后,輕則廣告騷擾源源不斷,重則人財兩空。而相應維權方式有:向互聯網管理部門、工商部門等相關機構進行投訴舉報;向公安部門報案;向侵權人索賠。然而一般金額相對較小的案件追回概率低。從數據可以看出,大部分大學生個人信息被泄露時,維權意識不強,2882%的受訪者表示會利用法律手段為自己維權,6736%的受訪者表示只要沒造成太大損失不會維權,382%的受訪者選擇其他方式解決。這跟目前信息安全侵害所帶來的總體損失程度不嚴重有一定關系。
3個人信息安全能力
31個人信息填寫
4479%的受訪者表示在知名的社交網絡會填寫真實信息,但是在一些論壇或者別的需注冊的網站說不準了,2587%的受訪者如實填寫,2535%的受訪者會填寫真假參半的個人注冊信息,278%的受訪者表示網絡上的都是假的,所以隨便填,122%的受訪者選擇了其他。
在社交網站上公布的個人真實信息
32設置
密碼設置是個人信息保護的重要部分。調查結果顯示,超過一半受訪者傾向于設置安全性較低、安全性一般的密碼,其中5277%的受訪者表示設置密碼時會采用字母、數字、符號中兩種的組合等安全性一般的密碼,而3754%的受訪者表示設置密碼時會采用字母、數字、符號三種的組合等安全性較高的密碼。可見,大學生個人密碼設置能力不高。
33網絡應用之間的相互綁定現象
6932%的受訪者表示社交應用間存在相互綁定現象,3068%的受訪者不存在相互綁定現象。這里綁定是指用一個社交應用的賬號密碼可以授權登錄另一個社交應用,應用間相互關聯、分享信息。這在方便用戶的同時,大大增加了個人信息被盜的風險。一個賬號密碼丟失,可能引起多個應用上個人信息被竊取,從而使用戶信息更加透明,更易使不法分子侵害用戶權益。調查結果顯示,大多數大學生社交應用間存在相互綁定情況,個人信息被盜風險增加。
個人信息安全問題程度認知
4社交網絡個人信息保護對策
41提高大學生個人信息安全素養
用戶的安全意識是保障網絡信息系統安全的首要因素。大學生應謹慎對待個人信息,有基本安全意識。當個人信息被不法分子利用時,能夠有效維權。
高校可結合本校學生的實際情況,與相關信息安全部門、公安部門合作,開展相關安全知識普及工作,提高大學生個人信息安全意識。
42加強個人信息安全法律法規建設
目前,政府的相關法律體系等還未構建完全,相應的獎罰機制還不夠成熟,政府應將信息安全保障政策體系化,建立完善的體制系統。應盡快制定出臺《信息安全法》,并將其作為網絡信息安全法律體系的基本法。對信息保護明確標準,對信息泄露苛以責任。要求網監部門切實擔負起監管職責,執法部門應嚴懲網絡犯罪。明確各部門之間的協作互動機制,形成監管合力,提高對網絡環境進行治理的效率。從而規范社交網絡服務商行為。立法還應充分考慮到信息技術發展的持續性,為信息技術的發展預留空間。
摘 要 大數據作為繼云計算之后信息技術領域一個新的產業增長點,正在影響著人們的工作、學習和生活,包括生活方式、工作習慣和思考模式等。但是,人們在與大數據環境交互過程中,個人信息安全正在受到極大的威脅。本文以此為出發點,探討了大數據背景下個人信息的具體應用以及存在的安全問題,并針對這些安全風險提出了應對的措施和具體的建議。
【關鍵詞】大數據 大數據背景 個人信息安全 隱私保護
1 引言
在互聯網環境下,“信息爆炸”產生了海量的數據,催生了大數據時代的到來。據統計,Facebook每天生成的日志數據達300TB以上;互聯網上每天產生的數據內容可以刻滿1.68億張DVD;Twitter每天處理的推特數量超過3.4億;等等。這些數據足夠表明,我們已經身處大數據環境下。在大數據時代,大數據以及深深影響著人們的工作、學習和生活,人們在互聯網上的行為都會被系統所記錄,包括個人基本信息、購買記錄、日常操作習慣等。對于商家而言,這些數據一方面可以深入發掘用戶的需求,從而改善相應的產品和服務,同時也可以實現精準營銷,從而產生更多的經濟效益。但是,這些數據也會暴露個人的隱私,個人信息安全存在很大的風險。因此,本文站在大數據背景下,來對個人信息安全這一關鍵問題進行深入探討,在分析信息安全風險的同時,結合相應的技術提出具體的解決措施和方案。
2 大數據背景下個人信息的使用現狀
在大數據時代,大數據與傳統行業進行了深度融合,從而誕生了新的業務和新的商業模式,在此過程中,個人信息得到了具體的應用。
2.1 商業領域
在商業領域,特別是零售行業,個人信息會被準確的記錄并存儲。消費者的每一次消費,包括購買商品的名稱、時間、地點等,系統都會進行保存,通過這些數據,商家就會進行深入分析,分析消費者的購物偏好,進而預測消費者的消費需求,從而實現精準營銷的目的。基于消費者消費的大數據,可以準確反映消費者消費商品之外的某些信息。比如,一個典型的案例是美國的一家零售商通過用戶消費數據的分析,比家長更早知道其女兒懷孕的事實,并通過郵件告之
2.2 醫療領域
在醫療領域中,通過個人信息的記錄可以實現個性化的治療。比如,基因組數據,是以個人基因組信息為基礎,通過大數據創新技術研究疾病和特殊藥物之間的關系,在此過程中,由于考慮到了遺傳突變的因素,醫生可以根據基因的不同需要實現不同的用藥,進而為患者制定最佳的治療方案。
2.3 社交領域
隨著社交軟件的不斷增多,大大豐富了人們的社交需求。在國內,最具代表性的是為騰訊2011年推出的微信,該軟件能夠快速地文字、語音和圖片等多媒體信息,而且通過朋友圈使得信息在瞬間被更多的人關注。在功能上,微信已經不僅僅是一款簡單的聊天社交工具,而是營銷推廣、商業支付等的一款綜合性工作平臺。用戶在使用微信的過程中,個人信息也會被不斷記錄,比如基于位置的服務(Location Based Service,稱LBS),讓朋友圈的好友準確知道用戶在什么位置了什么信息,同時,通過“附近的人”可以結交更多的好友等,這些都是個人信息在微信軟件應用中的具體體現。
3 大數據背景下個人信息安全問題的提出
隨著新技術、新工具、新平臺的出現,用戶在具體使用這些媒體的過程中,個人信息都會被記錄,一方面方便了用戶自己的工作、學習和生活,同時,也讓用戶覺得系統無時無刻地在“監控”著自己的各種行為。
隨著硬件存儲成本的下降,以及商家對消費者個人信息和消費數據的重視,他們更樂意通過較低的成本存儲更有商業價值的數據。據中國互聯網網絡信息中心統計,截止2016年底,我國網民規模為7.31億,較2015年的6.88億增加了0.43億。伴隨著“互聯網+”的深入推廣和應用,個人信息會被各個系統和平臺所記錄和存儲,這也在一定程度上提高了個人信息被泄露的可能,個人信息安全已經成為一個重要的社會問題。因此,非常有必要作為一個社會普遍關注的問題被提出來,以期從多個方面引起高度重視。從具體的表現來看,個人信息安全具體如下:
3.1 帳戶被盜風險加劇
在大數據環境下,人們為了體驗各種工具和平臺,就會有多個帳戶存在,每一個帳戶在申請時平臺會要求與郵箱或手機號進行綁定,這樣,一個郵箱或手機號就會與用戶的多個帳戶進行關聯。同時,各種工具或平臺間也為了方便用戶操作,也會加強合作,通過一個帳戶就可以訪問多個應用或平臺。這樣,無形中加劇了帳戶被盜的風險。
3.2 隱私問題堪憂
在大數據背景下,人們在心情、互動交流過程中,會在不經意間泄露個人的一些信息,比如地理位置以及日程安排等。同時,大數據背景下數據的關聯性很強,隨著數據來源的增多和數據量的增加,通過數據和數據之間的深度分析,就會暴露個人的某些隱私信息。
3.3 用戶個人信息控制權減弱
在大數據背景下,個人的圖片、心情或交流的話題等,很容易被訪問和傳播,使得用戶個人信息控制權明顯減弱,在一定程度上會加劇個人信息被泄露的風險。
在傳統的網絡環境中,商家控制了數據的存儲與運行環境(這里的數據主要是商家自身的業務數據),用戶可以通過密碼學技術手段保護自己的數據,也就是說,用戶的個人信息安全是有一定保障的。但是,在大數據背景下,一些商家既是數據的生產者,同時又是數據的管理者和使用者,所以,用戶使用傳統的技術手段保護個人信息是非常困難的。
4 大數據背景下個人信息安全的建議
4.1 優化個人信息安全保護技術
在傳統的網絡環境下,一般采用數據加密等技術手段實現信息的安全保護,與此同時,通過安全漏洞修補、防篡改等手段保護敏感的和重要的一些數據。但是,在大數據環境下,這些技術手段具有一些局限性,不能實現更廣泛、更深入的保護。大數據環境下,需要建立針對云、管、端的安全模型,在個人信息安全保護方面,要主動感知。要根據海量數據的特點,建立適合用戶身份信息驗證的“符號化”手段,通過符號標記用戶身份信息,有效規避了大數據背景下數據內容的交叉檢驗,這樣在技術上提高了個人信息的安全性,同時也便利了使用網絡的方便性。除此之外,還有以下技術可供參考:
4.1.1 數據匿名保護技術
大數據背景下,數據匿名保護是比較復雜的,但卻是實現其隱私保護的優秀關鍵技術與基本手段,其具體原理和算法這里不做討論。
4.1.2 社交網絡匿名保護技術
社交網絡中的典型匿名保護隱藏了用戶的標識和屬性信息,同時也隱藏了用戶之間的關系。因此,要獲取用戶的個人信息,就需要通過各種攻破屬性獲取用戶身份信息,這是非常困難的。
4.1.3 數據水印技術
4.1.4 數據溯源技術
4.2 加快個人信息安全保護的統一立法
目前,從信息安全的相關法規來看,我國已出臺了一些制度和措施,比如2013年2月實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》,使得我國個人信息保護工作正式進入“有標可依”階段,其顯著特點是規定個人敏感信息在收集和利用之前,必須首先獲得個人信息主體明確授權。但是,在具體實施過程中,效力等級不高、懲罰力度過小,未能真正起到保護個人信息安全的目的。因此,在大數據背景下,迫切需要針對大數據環境的個人信息安全立法,規范相關商機和利益平臺的行為準則,提高個人信息泄露的犯罪成本。
4.3 提高公民個人信息安全防范意識
互聯網特別是移動互聯網等技術的發展,給人們的工作、生活和學習帶來了極大的便利,但是也在一定程度上增加了個人信息泄露的風險。因此,在大數據背景下,要提高公民自身的信息安全防范意識,通過宣傳教育等措施,提高人的安全防范技能,增強個人信息安全保護的意識。比如,不能隨意上傳個人的私密圖片,不能隨意登錄銀行帳戶,一般不要開啟智能終端定位功能等,除此之外,要提供安全措施,比如使用完某項應用后要及時清除Cookies,增強密碼安全設置級別,定期掃描并修復系統漏洞等。
5 結束語
大數據時代的到來極大促進了社會的發展,并與傳統行業融合過程中催生了新的產業和商業模式,但是,大數據也帶來了新的個人信息的安全問題。本文從個人信息在大數據背景中的應用現狀出發,提出了個人信息安全的問題,并在借鑒國外做法和中國實際的基礎上,提出了具體的解決措施和建議,以最大限度地降低個人信息泄露的風險,從而促進個人信息在大數據背景下得以有效保護。
作者簡介
曹敏(1981-),男,福建省建甌市人。大學本科學歷。講師。主要研究方向為計算機網絡技術。
作者單位
福建江夏學院 福建省福州市 350108
摘 要:微信作為一種新型的即時通信工具,雖然方便快捷,但卻引發了諸多安全問題。本文分析了在微信社交平臺中購物及娛樂引發的個人信息安全風險,針對這些風險提出了相應的保護對策。
關鍵詞:微信平臺;個人信息安全;社交網絡
隨著信息技術的不斷發展, 移動互聯網已經滲透到了人類生活的方方面面。微信作為一種新型的即時通信工具,是大數據時代移動互聯網成為發展趨勢的必然寫照。它以操作簡單,支持文字輸入、 語音、 圖片等特點,擁有了大量用戶,這種新型的通信工具已然成為了人們的新寵。然而,微信就像是一把雙刃劍,帶給我們便利的同時也蘊藏著無限的危機,近幾年,由于微信社交功能而造成的個人信息安全風險層出不窮。如何認清在虛擬網絡下的安全風險及如何在新形勢下加強個人信息安全保護,成為大數據時代首當其沖的問題。
一、微信平臺下的個人信息安全風險
微信,作為一種全新的社交媒介,最大的成功之處在于傳播技術的不斷創新滿足了受眾追求新事物的好奇心理,改變了傳統意義上的人際交往格局。用戶通過使用 “附近的人”“搖一搖” 等社交功能, 從附近眾多顯示出來的用戶中,結交自己想認識的朋友。雖然這種交友功能便于用戶找到或結識具有吸引力的新朋友,但使用者的信息也會暴露于公眾之中,加劇了個人信息的安全隱患。
1、查找附近的人。點擊查找 “附近的人”功能后用戶會看到 100 m~1 000 m 范圍內同樣使用過此功能的用戶。一些不法分子對用戶的圖片等個人信息加以收集、 加工、 利用,得出有利于自己的信息,進行敲詐勒索行為。據統計,近幾年僅國內媒體報道的利用微信引起的犯罪案件就多達 60 余起,其中強奸案高達半數。
2、搖一搖。“搖一搖” 是微信推出的一個隨機交友程序。通過搖動手機可以匹配出同一時間使用此功能的用戶,這種有篩選性的擇友方式使得用戶既張揚了個性,又滿足了自己的需求。因此,“搖一搖”上線后很快便達到了每日多達 1 億次的使用次數,它的簡單、 便利,快速地幫助人們擴大了社交圈,然而這樣的便捷也對個人信息安全構成了巨大的威脅。微型 “搖一搖” 的社交功能并沒有信息控制及篩選功能,人們的交流具有極大的自由化、 開放性、 匿名性, “u一搖” 的便捷使得人們對于微信另一端的使用者降低了警覺性。不法分子利用用戶的這些心理,可以輕易地獲得用戶的個人信息。
二、微信購物和娛樂平臺下的個人信息安全風險
微信原本是一款基于手機端的社交軟件,在第三版更新后出現了微信 PC 端,于是社交形式由最初的微信好友和朋友圈擴展到微信公眾平臺,使群發消息給關注的用戶得以實現。 無數的商家眼球被用戶群吸引,更看到了隱含在人群之后的巨大商機。
1、微信購物。“微店”“微商城” 等購物方式,是基于微信平臺而研發的一種電子商務系統,能夠實現大多數個體的商業需求。消費者只要通過微信商城平臺,就可以實現商品查詢、 選購、 訂購與支付的線上線下一體化服務。由于這些平臺建立成本較低, 只需按照要求填寫申請后便可以進行交易,沒有相關的安全體系進行保障,因此易發生糾紛。
2、測試游戲。“測出你的前世今生”“測算基因看你未來開什么車” ,等等。近來,不少人通過朋友圈的信息共享玩一些游戲并隨手轉發。雖然這些只是名義上的測試游戲,但實際上卻很可能是不法商家利用測試來吸引用戶的眼球而隨之盜取個人信息的方式。據了解,絕大多數游戲在進行測試時均需要輸入姓名或手機號等個人信息,商家很容易全方位掌握用戶的相關信息。此外,有網絡安全人士指出,有的游戲或社交網絡還會向手機軟件植入木馬程序,致使用戶手機中的手機銀行和支付寶等交易軟件安全性降低。
三、微信平臺下的個人信息安全保護對策
1、加強對微信平臺的監督管理。不法分子屢用微信進行犯罪的最根本原因是由于我國未實行微信實名注冊用戶,不法分子可以用不同的手機號進行多個賬戶的注冊,案件發生后若罪犯注銷或停用賬戶我們就無法進行追蹤。因此,應當在確保個人信息不會泄露的前提下實施微信后臺實名制原則,減少不法分子運用這一漏洞而進行犯罪活動。與此同時,應該加大對微信的監管力度,對交流中可能出現的不法信息、 敏感話題予以提醒。
2、加強個人信息保護。在我國,人們對個人信息的認識比較模糊,重視不足。個人信息的隨意傳播、 公開、 泄露、 濫用的現象隨處可見。微信的使用,朋友間的交流或朋友圈信息的公開、 共享使我們有意或無意地泄露了個人信息。開啟定位系統、 打開測試網頁,每一次社交程序的應用都可能將我們的個人信息輸入商家預先設計的數據庫中,成為商家日后獲利的籌碼。國家相關部門應當加快建立與個人信息安全相關的法律體系,對個人信息進行正規的管理和規范,以保證個人信息能夠在合法、合理的狀態下流動。
3、加強思想道德教育以提高道德風尚底線。面對網絡信息紛繁復雜、 難以辨別真偽這一現象,騰訊公司應當在大力宣傳推廣微信產品的同時,定期推送具有加強思想道德教育的短文,開展網絡倫理道德教育,并在道義上提醒廣大微信用戶可能存在的安全隱患。
4、提高自身防范意識。許多微信用戶習慣于在朋友圈隨意公開自己的狀態及位置信息,同時曬出自己或與朋友、 家人的近照并伴隨各種炫富行為,以渴求得到他人的贊美或崇拜。豈不知這樣的行為容易使有些不法分子利用。因此,我們在朋友圈中應該少用真實照片或者在使用“附近的人” 后應當及時 “清除地理位置” 并退出,同時開啟 “加我為好友需要驗證” 功能。此外,在與陌生人進行交流時要隨時保持警惕,尤其是女大學生,不要因為對方的花言巧語而放松警惕,泄露個人的重要信息。另外,面對網絡上新興起的代購行為,我們不能盲目地相信及追求,應該用懷疑的態度去辨別商品的真假性及賣家的信用,從而提高自身防范意識。
四、結束語
如今的微信已經不僅僅是一種即時通信工具,更是一種新型的社交網絡平臺。面對個人信息泄露的現象,我們應當提高個人信息安全的保護力度,根據微信的特點,加強對微信的監管力度,并要求各監管部門分工明確,承擔不同的監管職責,建立和加強微信的監管體系。
