導語:在關于個人信息安全的撰寫旅程中���,學習并吸收他人佳作的精髓是一條寶貴的路徑���,好期刊匯集了九篇優(yōu)秀范文���,愿這些內容能夠啟發(fā)您的創(chuàng)作靈感���,引領您探索更多的創(chuàng)作可能。
第1篇
[基金項目]本文為國家社會科學基金(BSH031)階段性成果���。
一 、網絡時代的個人信息安全危機
網絡時代���,隨著信息產業(yè)的日益發(fā)達和互聯(lián)網的迅猛發(fā)展,以計算機為基礎的信息技術使得收集���、儲存���、傳輸���、處理和利用個人信息變得易如反掌���,個人信息的收集與交換出現(xiàn)了爆炸式發(fā)展的態(tài)勢?��?茖W技術從來都是一把“雙刃劍”���,網絡在使信息流動便捷的同時,也給個人信息安全帶來挑戰(zhàn)���,提高了個人信息保護的難度���。近年來,個人信息泄露事件頻發(fā),并呈現(xiàn)迅猛發(fā)展的態(tài)勢,人們越來越強烈地感受到個人信息安全危機給生活帶來的種種困擾���。
網絡時代的個人信息危機主要有如下表現(xiàn):一是個人信息失控的危機。隨著信息技術的發(fā)展���,個人信息有可能在系統(tǒng)安全存在漏洞的情況下被不法訪問、使用甚至篡改���,信息自決權成為空談[1]���。2011年底中國互聯(lián)網遭遇了史上最大規(guī)模的用戶信息泄露事件���,多家大型網站的用戶數據被泄露���,幾千萬個用戶賬號和密碼被公開���,給社會秩序和人民切身利益造成嚴重危害。二是個人隱私和尊嚴的危機���。在網絡環(huán)境下���,人們越來越多地把自己的生產和生活移到了網絡空間,這個空間是由“個人信息”組成的“數字人”的交往空間���。大量個人信息在不知不覺中被收集���,個體在社會生活中急速“被透明化”���,現(xiàn)代人因此而成為“透明人”或“半透明人”���,個人毫無隱私可言���,尊嚴難以保證���。三是信息利益的危機���。個人信息主體的信息收益權被不法商家奪取���,個人信息利益喪失���,信息主體的財產權因此而受到侵害���。更為嚴重的是���,個人信息危機帶來的“信息陰影”已經日漸擴散,正常的社會秩序正因此而面臨嚴峻的考驗���。個人信息安全的危機���,將破壞商業(yè)秩序���,滋長犯罪���、危害社會穩(wěn)定���,制約經濟發(fā)展���,甚至引發(fā)公共安全危機。鑒于此,公民的個人信息保護勢在必行���。
目前���,我國在個人信息保護領域的行動主要體現(xiàn)在對泄露公民個人信息的行為和當事人進行追究和打擊等補救措施上���,這實際上屬于一種“事后救濟”的反饋控制,不僅已經泄露的個人信息“覆水難收”���,而且個人維權成本非常之高���,根本無法控制已經泄露信息的網絡傳播���,既治不了標���,更治不了本。如何應對網絡時代對個人信息安全的挑戰(zhàn)?我們建議對個人信息保護引入一種新的思想和機制——前饋控制���。
二、 前饋控制與個人信息保護的關系
前饋控制(feedforward control)早期是一個工科領域的名詞���,后來被引申到管理學中,指通過觀察情況���、收集整理信息���、掌握規(guī)律���、預測趨勢,正確預計未來可能出現(xiàn)的問題,提前采取措施���,將可能發(fā)生的偏差消除在萌芽狀態(tài)中���,為避免在未來不同發(fā)展階段可能出現(xiàn)的問題而事先采取的措施���。簡而言之���,就是事先分析和評估即將輸入系統(tǒng)的擾動因素對輸出結果的影響���,并將期望的管理目標同預測結果加以對照���,在出現(xiàn)問題之前就發(fā)現(xiàn)問題���,事先制訂糾偏措施���,預控不利擾動因素���,將問題解決在萌芽或未萌狀態(tài)[1]���。由此可見���,前饋控制是與反饋控制相對而言的���。反饋控制是面對結果的控制���,旨在亡羊補牢;前饋控制是面向未來的控制���,旨在防患于未然���。前饋控制的優(yōu)勢在于可以避免反饋控制的“時滯”缺陷���。[2]
凡事預則立不預則廢。前饋控制立足于“預控”,是對公民個人信息保護的一個新視角���、新方法、新技術和新手段���。前饋控制將事先分析和評估個人信息傳播過程中可能出現(xiàn)的各種問題和困境并對其問題實施超前控制���。比如說充分利用法律法規(guī)的前饋控制功能制定專門的《個人信息保護法》���,對個人信息的收集和使用過程中的違法違規(guī)行為進行預測,并做出詳細的處罰規(guī)定���,從而有效防止違法行為的出現(xiàn)���。對掌握公民個人信息的單位進行全方位監(jiān)管,對個人信息的收集���、利用���、提供和刪除等各環(huán)節(jié)進行嚴格排查���,盡量避免任何環(huán)節(jié)的紕漏。提高安全管理技術和全民的個人信息保護意識���,都能在很大程度上防止個人信息安全危機的發(fā)生���,使個人信息保護更有效���,進步更顯著���。
總之���,前饋控制能使我們在網絡時代個人信息保護的過程中掌握更大的主動權���,只有前饋控制做好了���,才能真正保護好公民個人信息安全���。
三���、 對個人信息安全保護實施前饋控制的若干建議
對個人信息安全保護實施前饋控制所包含的內容非常廣泛���,限于目前的認識水平和篇幅���,我們主要提出以下建議���。
1.建立和完善個人信息安全保護的法律法規(guī)
法律是一種社會規(guī)范���,具有規(guī)范作用,法的規(guī)范作用表現(xiàn)為指引���、評價���、教育���、預測和強制五個方面���。其中,教育作用是指通過法的實施使法律對一般人的行為產生影響���。這種作用又具體表現(xiàn)為示警作用和示范作用���。預測作用是指憑借法律的存在���,可以預先估計到人們相互之間會如何行為,對行為的預期是社會秩序的基礎。完善法律法規(guī)是對公民個人信息安全危機進行前饋控制的關鍵環(huán)節(jié)���,充分發(fā)揮法律法規(guī)“令人知事���,明其法禁”[3]的前饋控制功能���,用有強制力的條文明確各方的權利與義務關系���,能夠在很大程度上對個人行為起到規(guī)范作用���。大多數發(fā)達國家都制定了關于個人信息保護的法律���,如美國有《信息自由法》和《隱私法》,德國有《聯(lián)邦資料保護法》���,日本和韓國都有專門的《個人信息保護法》,我國香港地區(qū)有《個人資料(隱私)條例》等。然而,我國大陸在個人信息立法上卻處于滯后狀態(tài)���,專門的個人信息保護法律歷經多年卻仍然難產���。近期通過的《關于加強網絡信息保護的決定》(以下簡稱“決定”)對于我國網絡信息保護具有突破性的意義���,重點解決了我國網絡信息安全立法滯后的問題,體現(xiàn)了國家對于網絡信息安全的高度重視���,但是《決定》更多的帶有宣示性意味���,后續(xù)仍需要細化工作���。
個人信息牽涉每一個人���,網絡時代最大的特點就是信息的匯聚性,當所有人的信息匯集的時候���,信息保護就不是哪個部門的事了���,而是在國家層面上需要考慮的戰(zhàn)略性問題���。從現(xiàn)實看,當前最需要的是加緊推動《個人信息安全保護法》的研究和制訂,明確買賣個人信息罪名的界定標準并加大懲罰力度���,對擅自披露他人個人信息和未經許可的二次開發(fā)利用者給予嚴厲打擊���。除了刑事責任外,其他相關的行政責任���、民事責任等還應當及時跟進���、完善。要保障個人在信息泄露后有獲得補償和救濟的權利���,明確機構對公民個人信息流失所造成損失的賠償責任和責任劃分原則,比如銀行信息泄露后個人賬戶中的錢被盜,銀行需對個人損失進行補償。繼續(xù)細化《決定》中的規(guī)定,對與《決定》有關的行政法規(guī)進行清理���,對有些不一致���、有沖突的地方���,還要進一步加以銜接���,同時抓緊制訂相關的配套法規(guī)。通過法律法規(guī)的制訂���,將公民個人信息保護過程中可能出現(xiàn)的問題進行合理預測���,讓規(guī)定走在行動前面���。但是保護個人信息本不應該犧牲信息的流動性���,好的立法應該在保證個人信息的合理流動與個人信息的全面保護之間尋找到平衡點���,選擇吸收各種立法模式的有益經驗并結合本國的法律傳統(tǒng)和具體國情做出合理的制度設計。
2.建立個人信息安全保護的監(jiān)管機構
網絡時代個人信息泄露的形式多樣���、手法靈活,應對網絡時代的個人信息安全危機���,單靠法律不足以解決所有問題���,要做到有法必依、執(zhí)法必嚴���,否則法律不過是紙上談兵���。強有力的行業(yè)監(jiān)管是實施前饋控制的重要手段和有效途徑���。新通過的《關于加強網絡信息保護的決定》明確規(guī)定,有關主管部門應當在各自職權范圍內依法履行職責���,防范���、制止和查處竊取或者以其他非法方式獲取���、出售或者非法向他人提供公民個人電子信息的違法犯罪行為以及其他網絡信息違法犯罪行為���。在我們國家���,個人信息保護目前仍然處于各自為政的狀態(tài)���,某種程度上說���,管理者和被管理者并沒有嚴格地區(qū)分開���,管理部門和被管理對象處在同一個行業(yè)���,很難完全客觀、公正地進行執(zhí)法���。機動車銷售���、房產中介、醫(yī)院等行業(yè)及其從業(yè)人員往往有機會接觸���、掌握大量公民個人信息。這些行業(yè)雖然有內部系統(tǒng)出臺的關于個人信息的查詢規(guī)范���、查詢電子信息備案及保護工作意見等,但由于部分從業(yè)人員法律意識不強���,企業(yè)管理���、執(zhí)行不到位等情況,存在制度漏洞���。因此,這些行業(yè)成為個人信息泄露的“重災區(qū)”���。 從其他各國情況來看,建立一個獨立���、統(tǒng)一、權威���、有效的監(jiān)管機構是普遍經驗,比如英國的網絡自律協(xié)會IWF(Internet Watch Foundation)���,它能夠超出行業(yè)的局限,獨立公正地執(zhí)法���。公民個人信息安全保護���,在法律法規(guī)之下,需要政府強化監(jiān)管���,只有完善和加強監(jiān)管才能讓無良者無處遁形���。應該設立專門的個人信息保護監(jiān)管執(zhí)法機構,加強對信息持有單位的監(jiān)管,進一步加大監(jiān)督檢查力度���,建立預警和預控相結合的前饋控制機制���,強化對個人信息的事前管理���,包括個人信息的獲得���、收集、持有和使用各個環(huán)節(jié)全面監(jiān)管���,不要等信息泄露,危機發(fā)生之后才補救���。充分重視自律機制在個人信息保護中的作用���,擁有個人信息采集權的部門和單位要加強行業(yè)管理,用行業(yè)制度規(guī)范個人信息的處理行為���,通過行政執(zhí)法、刑事執(zhí)法���、民事救濟手段配合建立政府引導下的行業(yè)自律機制和模式,從源頭上預防和遏制對個人信息的侵害行為���。拓寬公民監(jiān)督舉報渠道���,進一步暢通舉報受理機制���,鼓勵公民個人參與個人信息泄露的監(jiān)督���。
此外���,尊重網絡用戶的個人選擇權利。就是說���,個人角色選擇及隱私設置,想匿名還是實名應該由網絡用戶自己決定���?��?梢蕴岢行┥虡I(yè)網站的做法���,對用戶信息采取“分級查看”的權限設置,除了必要的管理員���,一般員工無權從后臺查看用戶的注冊信息���,倘若確有必要查看���,必須按照嚴格的程序報批���。在互聯(lián)網上,必要時應明確限制政府的權力���,有些數據政府必須得到合法的授權才可以看。
3.建立個人信息安全保護的前饋控制技術支撐體系
前饋控制不僅是方法���,某種程度上更是一種技術和手段���。對個人信息進行保護���,除了法律和監(jiān)管���,還需要安全管理技術的提高���?��!昂诳汀钡墓?��,是一些網站數據庫失陷的原因。一些網站的疏于防范���,給“黑客”造成了不少可趁之機���。通過技術手段可落實安全保障���,要加強網絡安全防護,依據分區(qū)域���、按等級���、多層次的防護思路進行安全規(guī)劃、安全評估���、安全加固與安全維護,并且對已有的安全技術進行改進與完善���。建立信息安全管理體系(ISMS)���,通過系統(tǒng)���、全局的信息安全管理整體規(guī)劃,確保用戶所有信息資源和業(yè)務的安全與正常運行[1]���。網站要在安全建設方面加大資金投入力度���,網絡運營商應該盡到自己的保密義務���,改變數據庫存放策略���,在當前技術范圍內最大限度保證信息安全。比如我們可以設計一種軟件���,如果我們把自己的個人信息輸入到某個網站之后���,該網站三個月之后會自動刪除我們輸入的信息���,不會把我們的個人信息留下���,這樣的話在技術層面上能夠保證個人信息的保護���。還可構建信息安全平臺,為用戶提供保護信息安全的產品���。
建立個人信息安全前饋控制系統(tǒng)���。研究個人信息所處環(huán)境中可能存在的缺陷���、漏洞及面臨的威脅,通過安全風險評估技術���,觀察���、測試���、收集���、評估���、分析個人信息存在風險的不確定性和可能性等因素,構建預警體系���,制訂預控策略和方法���,最大限度地避免和減少可能的損失���。
4.提高公民的個人信息安全保護意識
第2篇
關鍵詞:個人信息���;安全現(xiàn)狀���;立法保護
伴隨著信息技術的不斷提高���,各種新型利益不斷出現(xiàn)���,個人信息作為一項無形資產已成為現(xiàn)代信息社會的一種重要資源���。然而最近幾年我國個人信息泄露情況嚴重���,尚無一部完整的關于個人信息安全保護的法律且目前相關法律不完善���,難以對個人信息起到有效的保護作用���,因此完善個人信息安全保護的法律制度顯得尤為迫切。
1 國外個人信息保護立法概述
當前世界各國未對個人信息保護形成共識,但是發(fā)達的西方國家大多根據本國國情和需要制定了較為系統(tǒng)的個人信息安全保護法律體系���。以美國���、德國���、日本為例���。美國模式大體可以總結為分散立法與行業(yè)自律相結合���,在公領域制定單行法進行分類保護,如1998年的《兒童網上隱私保護法》���;在私領域則采取行業(yè)自律模式���,在政府主導下制定行業(yè)準則,通過自我約束保護公民的個人隱私���。德國模式則是在公私領域對個人資料采取統(tǒng)一立法模式進行保護,其于1977年制定《聯(lián)邦數據保護法》對公私領域進行統(tǒng)一規(guī)范���,同時又制定了適用于所有洲個人資料保護的法律即《洲數據保護法》���,并設立獨立的監(jiān)督機構���。日本關于個人信息的法律保護模式是建立在美���、德模式之上���,兼具統(tǒng)一立法規(guī)制與行業(yè)自律特點,即采用綜合性的保護模式���。以上三種模式側重點不同���,但都有其合理性。
2 我國個人信息安全法律保護的現(xiàn)狀及其缺陷
(一)我國個人信息安全法律保護的現(xiàn)狀���。由于歷史等諸多原因,我國目前沒有出臺一部專門的關于個人信息安全保護的法律���,直接保護個人信息安全的法律數量很少���,現(xiàn)有法律對其的保護主要為間接方式���,即在個人信息相關的范疇給予局部立法���。主要見于以下幾個方面:在民事法律方面:《民法通則》規(guī)定:公民享有姓名權���,有權決定���、使用和依照規(guī)定改變自己的姓名���,禁止他人干涉���、盜用���、假冒等;在刑事法律方面���,《刑法修正案(七)》規(guī)定:國家機關或者金融、電信���、交通���、教育���、醫(yī)療等單位的工作人員,違反國家規(guī)定���,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人���,情節(jié)嚴重的���,處三年以下有期徒刑或者拘役���,并處或者單處罰金;在行政法律方面《行政訴訟法》規(guī)定人民法院審判涉及個人隱私的案件可以不公開審理等���;憲法方面���,《憲法》規(guī)定:公民的人格尊嚴不受侵犯���、公民住宅不受侵犯、公民享有通信自由和通信秘密的權利等���。
(二)我國個人信息安全法律保護的缺陷���。我國從《憲法》���、《民法通則》、《刑法》���、《居民身份證法》���、《侵權責任法》、《護照法》等都體現(xiàn)了對公民個人信息安全的保護規(guī)定,學界也有很多論述���。但是理論學說存在一定爭議���,對于該保護怎樣的個人信息���,如何保護?還沒有完善的措施和體系���。更何況信息的內核和外延又在不斷變化發(fā)展之中���。歸納不足之處在于:我國現(xiàn)有法律制度并不能很好的保護個人信息的安全。主要存在以下幾個方面的問題���。首先���,相關概念界定不清���。如對于“個人信息”范圍未加明確規(guī)定從而易造成信息泄露案件取證及責任認定困難���,司法實踐時可操作性差等���。其次���,懲罰力度過小���,難以起到警示作用���。如我國刑法修正案(七)處以非法獲取公民罪三年以下有期徒刑或者拘役���,并處或者單處罰金���,同犯罪分子豐厚的經濟收益和巨大的社會危害相比���,處以三年以下有期徒刑顯得懲罰力度過小,難以對犯罪分子起到有利打擊與警示世人的作用���。再次���,沒有建立相應的民事補償制度���。對于濫用個人信息的責任僅僅停留在刑事責任和行政責任上���,忽視個人信息泄露后對權力主體可能造成的經濟損失���,沒有建立一套完整的民事補償機制���。最后���,現(xiàn)有法律還存在效力層次低���、系統(tǒng)性差的缺陷。現(xiàn)行法律多為地方性���、行政性法律���,層次效用較低且往往是針對特定的部門���、地方以及個人信息的某一方面,缺乏系統(tǒng)性���。
3 建議盡快出臺宏觀意義上的《個人信息保護法》
鑒于我國具體國情和歷史背景���,筆者認為我國應當借鑒德國的統(tǒng)一立法模式���,在公私領域制定一部基礎法律對個人信息安全進行統(tǒng)一立法保護。理由如下:
第一���,從我國法律自身特點來看,我國法律文化深受大陸法系的影響���,對大陸法系的接受相對容易���。
第二���,從我國現(xiàn)實國情來看���,現(xiàn)階段個人信息安全受到威脅的來源主要在兩個方面,即政府機關內部及其他個人信息處理者,因此出臺一部既適用于政府內部���,又適用于其他個人信息處理者的法律顯得尤為迫切���。我國市場經濟不夠完善���,行業(yè)自我約束的意識等尚存在很大不足���,單靠行業(yè)自律很難保護個人信息的安全���,因此需國家統(tǒng)一立法做出規(guī)范。
第三���,從國際相關發(fā)展趨勢來看���,雖然美國排斥統(tǒng)一立法而更在意市場的自我調節(jié)���,但其于2000年與歐盟簽署的“安全港”協(xié)議可視為以美國為代表的行業(yè)自律與分散立法模式向以德國為代表的統(tǒng)一立法模式做出的一次讓步,因此從整個國際發(fā)展趨勢來看采用德國的統(tǒng)一立法模式將對我國同歐美國家關于個人信息的交流提供便利���,從而有利于促進我國同國際社會的交流與合作���。
4 同時完善微觀性的法律法規(guī)體系
個人信息保護需要的不僅是一部宏觀意義上的“母法”���,更要求構建起一個微觀性的法律法規(guī)體系���,如此才能為公民個人信息權提供全面而細致入微的保障���。
第一,作為社會信息化程度相對較低的國家���,信息立法首先面臨著信息種類和范圍的界定難題。從概念上講���,凡一切與公民個人相關的資訊都應屬于個人信息���,但對于立法而言,只能將其中的部分信息納入保護范圍���,如何劃分這個界限就考驗著立法者的智慧。是為應受法律保護的個人信息設置具體的標準���,還是深入實踐排列出個人信息的具體類別���,是抽象化地對一般人信息作出規(guī)范���,還是區(qū)分性地對公眾人物的信息進行單獨規(guī)范,這些難題都應當進行科學論證���。
第二���,如何增強立法的可操作性和公民信息權的可救濟性���,也是個人信息立法所必須考慮的重要問題。個人信息保護立法必須在確立起一個法律制度框架的同時,于條文設計上注重規(guī)范的可操作性���,不僅規(guī)定公民個人信息的權利范圍和對個人信息的保密義務���,更需要具體設定國家公權力的相關職責,明確違背職責和保密義務的各種具體法律后果。這樣做的最終目的���,在于為司法機關提供具體的指引,為公民信息權提供堅實的司法保障���,以防止個人信息立法成為裝飾性的“花瓶立法”���。
第三���,對立法模式的選擇,也制約著個人信息保護的立法質量���。是選擇“大一統(tǒng)”的法典模式���,還是實行分門別類的法規(guī)模式���?結合外國立法的相關經驗及我國的目前現(xiàn)狀個人信息保護需要的不僅是一部宏觀意義上的“母法”,更要求構建起一個微觀性的法律法規(guī)體系���,如此才能為公民個人信息權提供全面而細致入微的保障。
總之���,個人信息的安全保護問題是我國在社會信息化轉型過程中必須面對的���,而僅僅通過行業(yè)規(guī)范���、公民個人防護意識等非強制性手段并不能對個人信息的安全起到全面保護作用���,只有進行專門立法規(guī)制,從宏觀和微觀兩個層面���,架構科學的法律法規(guī)體系才能確保個人信息的安全���。
參考文獻
[1]齊愛民:《論個人信息的法律保護》���,《民商法學》���,2005年第8期���。
[2]周漢華:《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》���,北京:法律出版社���,2008年���。
[3]張新寶:《隱私權研究》���,《法學研究》,1990年第3期���。
[4]龍西安:《個人信用信息私有產權性質及其保護原則》���,《金融法苑》,2003年第8期���。
[5]劉修軍:《公民個人信息權的刑事保護芻論》���,《甘肅社會科學》���,2009年第6期。
第3篇
關鍵詞:網絡安全;個人信息;法律保護;重要性
一���、我國個人信息網絡安全法律保護的現(xiàn)狀
(1)不完備的統(tǒng)計稱���,我國現(xiàn)有約40部法律���,30多部法規(guī)和近200部規(guī)章都牽涉了公民個人信息保護���,然而都是法律對個人信息安全的間接保護。這一情況體現(xiàn)出當前我國對個人信息的保護不夠重視���,將個人信息安全保護分散到各種法律規(guī)章中���,沒有一部完全、系統(tǒng)地保護個人信息安全的法律。這一情況還表現(xiàn)出我國的個人信息安全保護的法律保護不能適應如今人們的需要���,它并沒有與時俱進。之前我們忽略了的這些安全問題導致了如今的各種網絡安全問題的產生���,現(xiàn)在���,它發(fā)展成為我們必須看重的問題���。(2)當前有關法律對于網絡個人信息的保護不僅立法不夠完備���,現(xiàn)有的法律法規(guī)對信息的保護也不夠有效���。原因是有關法律沒有明確規(guī)定個人信息的范疇���。致使公民本人沒有辦法識別自己受到了哪種侵害,也就沒法使用法律保護自己?��;诖耍裨獾角趾笸ǔJ怯秒[私權來自保���。但隱私權與網絡個人信息有異���,在被侵害網絡信息后���,受害者很難得到救助。(3)有學者指出已有的法律體系不能完全處理法律問題���,依靠法律制度的完備規(guī)范和調整網絡行徑,網絡將不能發(fā)展���。這體現(xiàn)出單一的法律約束并不夠���,還應該對行政監(jiān)管部門的監(jiān)管有需求���。就當前來說���,很多企業(yè)的統(tǒng)籌和保護體制都忽略了對信息安全的掌控���。利益驅動有些網站的商家鉆法律的空子,以便免法律的責���。
二、網絡個人信息安全保護立法的必要性
很多人都了解保護自己的隱私權,但是我們并不知道網絡個人信息和網絡個人隱私的定位是不是相同的���?��;诖?��,法律能夠對網絡隱私和網絡個人信息有個界限,有了確切的界限之后,人們就可以使用法律保護自己的個人權利和利益���。如今���,網絡購物消費十分流行���,很多小商家也會選擇使用支付寶或者微信支付的新型的付款方式來使人們購物更方便���,然而在方便的時候也為人們帶來了擔心���,擔心自己的信息被盜���。特別是杭州���,原因是每天都有很多去杭州旅行的人,支付寶支付隨處可見���。如果支付寶支付這種方法讓一些不法分子有機可乘���,將給消費者帶來無盡的傷害���。這只是一個城市做例子���,如果缺乏法律保護���,侵害了消費者的權利和利益���,那么就會產生信任危機���,網絡的發(fā)展也將止步不前���。我們都了解現(xiàn)在講求科技革新���,如果互聯(lián)網不能站住腳的話���。那么我國的經濟和科技的發(fā)展也會受到波及,社會就無法進步���。同時,現(xiàn)在說的只是消費者這個小主體���,如果國家機關工作人員的個人信息被走漏的話,將會影響到整個國家的信息安全���。
三���、個人信息網絡安全立法的方式與途徑
我們應當對于個人信息進行確切的界限,個人信息是個很抽象而且涉及范圍十分廣泛的概念���,包括所有與個人有關的資料���、數據,例如電話號碼���、身份證號、家庭住址���、銀行卡號等���。這些個人信息的外漏會使不法分子有機可乘���。之前網絡曝出準大學生不堪網絡詐騙的自身壓力,最后選擇自殺���。這些不法分子盜取了高考學生的個人信息���,利用了高中生善良易輕信的特點���,逐步套出學生自己的個人信息���,最后進行詐騙。還有很多不法分子會偽造身份證���,在當事人一無所知的情況下違法犯罪。若是對個人信息有確切的界限���,在立法過程中就應當明確提出���,若是個人行為盜取淘寶賬號等信息進行詐騙的���,應當接受何種法律制裁���。這樣就會給那些喜歡鉆空子的人震懾���,重新?lián)炱鹞覀儗τ诰W絡的信任���。此外就是與個人固定財產有關的信息���,例如個人房產、車輛信息。大多數的情況下���,我們買房和車的時候都要填寫個人的詳細信息,有時甚至想讓買車人寫出自己的孩子在哪里上學���。我們填寫的信息有些售樓中心或者汽車4s店會賣給服務類公司���,例如保險公司���。有些時候���,我們可能會接到一些保險公司的電話���。這些信息一定是我們在購買產品時留給商家的���,商家在利益的驅動下變賣我們的信息���。立法時應當明確規(guī)定商家處理客戶個人信息的規(guī)定���。人們的健康���、婚姻狀況���,手機相冊等這些不能公布的公民隱私的信息,如果一旦被走漏���,就會侵害公民的隱私權���,影響受害者的生活和工作。立法時���,不單單要制約走露信息的公司和個人���,還要增加對個人信息網絡安全監(jiān)管部門的限制���。
四���、加大對侵犯個人信息安全犯罪的懲罰力度
目前���,侵犯個人信息安全的違法行為屢禁不止,其根本原因是我國當前的法律制度懲治力度不足���。不足以讓投機的不法分子懼怕���,所以也就沒有辦法阻止犯罪行為的產生。我們應當仿照國際的方法���,大力懲罰侵害個人信息網絡安全的不法分子���?��;诖?��,應當將保護個人信息權寫入憲法。然而個人信息權的范圍很明顯比隱私權籠統(tǒng)只是從隱私權的保護上不能夠解決所有侵權問題���。當今許多國家都將個人信息權獨立為一項公民權利,從而使個人信息權利有更完備的保護���。
五���、結語
我國是法治大國���。我們應當做到讓我們的公民,“有法可依���,有法必依���?��!睗崈舻木W絡環(huán)境可以使我們的公民的個人信息在法律的保護下會變得更加安全���。我們的研究結果一定能引發(fā)有關部門的關注���。個人信息網絡安全立法就在不遠的將來���。
參考文獻:
[1]王華永.關于網絡信息安全人才建設的研究[J].勞動保障世界���,2019(14):55.
第4篇
關鍵詞:云計算;個人信息;安全風險
一、云計算及其潛在風險概述
云計算是繼分布式計算、網格計算���、對等計算之后的一種新型計算方式���,通過互聯(lián)網上異構���、自治的服務���,為用戶提供定制化的計算。云計算是將網絡儲存技術���、虛擬化技術���、網格計算技術���、并行處理技術���、分布式處理技術等軟硬件技術融合發(fā)展的集大成者���,也是集合了網絡���、服務器���、計算���、儲存���、應用軟件等資源并提供快速便捷���、即需即取服務的共享平臺���。云計算具有按需服務���、廣泛的網絡接入���、資源池化、快速彈性以及按使用量計費等5個特點;涵蓋私有云���、社區(qū)云、公有云、混合云等4種開發(fā)模式]���。云計算有3大優(yōu)勢:
一是具有強大的存儲和計算能力���,能提供即需即取的服務。最大的云計算平臺的服務器數量達到百萬級別���,一般的云計算企業(yè)的服務器數量在幾十萬臺���,比較小的企業(yè)私有云服務器數量也要數百上千臺���。另外���,云計算還能夠彈性配置���、動態(tài)伸縮,以滿足用戶規(guī)模和計算量增長的需要���。二是具有開放性,能實現(xiàn)資源共享���。云計算將虛擬化技術、分布式計算技術、效用計算技術和定制���、計量���、租用的商業(yè)模式相結合���,最大效率地利用了隨時連接���、隨時訪問���、分布存取的各個服務器,實現(xiàn)了資源的共享���。三是具有管理成本最小化以及與服務供應商的交互最小化的優(yōu)勢���,能降低使用成本���。云計算具有規(guī)模效應和網絡效應,在硬件成本���、管理成本���、電力成本、資源利用率方面都有極大的成本優(yōu)勢���,企業(yè)和個人也省去了服務器的磨損���、閑置和管理成本,只需按需要使用相應功能���、按服務量支付費用。云計算潛在的安全風險與云計算的技術優(yōu)勢和經濟效益總是如影隨形���。用戶對于個人信息安全的擔憂是云計算服務推廣應用的首要障礙���,云計算的理念是開放和共享���,而個人信息安全注重封閉和私權���,兩者之間存在一定的矛盾���。個人信息是指個人姓名���、住址���、出生日期、身份證號碼、醫(yī)療記錄���、人事記錄���、照片等單獨或與其他信息對照可識別特定個人的信息[5]���。個人信息涉及用戶的人身自由���、人格尊嚴、財產權利等基本權利���,事關重大���,一般具有極高的敏感性。用戶在決定是否使用云計算之前會對云計算的安全風險加以衡量���。使用云計算功能在線存儲的文檔���、圖片���、視頻等文件大量涉及個人信息���,一旦云計算的安全體系被攻破���,則可能發(fā)生個人信息泄露���、販賣等事件���,嚴重危及用戶的人身財產安全���,甚至會造成社會恐慌���。與傳統(tǒng)的互聯(lián)網技術相比���,云計算環(huán)境下保護個人信息的必要性更加突出���。一是因為云計算下個人信息脫離了用戶的控制范圍���,一旦云計算服務商的數據中心發(fā)生事故���,用戶無法知悉���,也無法及時采取措施,只能被動挨打���。
二是因為云計算的交互式���、參與性���、網絡化的特點���,用戶幾乎將所有個人信息被動或者主動地全部暴露在云計算服務商平臺上���,存在信息不對稱和能力不對稱的問題���,一旦發(fā)生侵權事件,用戶損失巨大���,而且難以維權。
三是因云計算的普及性和規(guī)模性���,小的漏洞都會造成巨大的破壞,損害具有連鎖反應���。比如���,2011年亞馬遜的EC2業(yè)務由于出現(xiàn)一點小的漏洞,整個云計算數據中心出現(xiàn)全范圍宕機;2012年微軟的WindowsAzure平臺由于個人服務的設置問題���,導致所有集群的功能不能使用���。目前,研究云計算時代個人信息安全保護的學者大多從國家立法���、行業(yè)立規(guī)的角度展開���。針對個人信息保護的建章立法固然重要���,特別是構建規(guī)制云計算環(huán)境下個人信息保護問題的法律規(guī)范和行業(yè)標準正當其時,法律的具體執(zhí)行���,特別是建立個人信息安全風險的防控機制和措施更是迫在眉睫���,本文擬從這一角度進行探析。
二���、云計算中的個人信息安全體系與技術風險
云計算架構分為基礎設施層���、平臺層和軟件服務層3個層次,分別對應簡稱IaaS���、PaaS和SaaS3個服務類型���。IaaS是由政府或者企業(yè)建立的大規(guī)模服務器和網絡傳輸連接裝置等基礎設施,同時采用虛擬技術將分散到各個數據中心的服務器集中起來���。PaaS包括基本硬件���、基礎軟件���、儲存設備等,起到應用支持的作用���。SaaS的作用是制定一系列標準和協(xié)議���,構建公共平臺���,提供最終的應用服務���。分層是橫向的��、縱向的管理系統(tǒng)將這些資源進行統(tǒng)一的配置和統(tǒng)一運行��,實現(xiàn)一站式的服務�。不同的云計算服務模式意味著不同的個人信息安全體系,目前大多數個人信息安全體系就是基于云計算服務模型構建的�。
(一)IaaS層的個人信息安全體系與技術風險IaaS服務提供商將基礎設施,包括服務器�����、儲存���、網絡等IT設施進行組合,形成不同規(guī)模��、不同用途的服務產品����,大到集網絡、數據計算�、數據處理于一體的應用系統(tǒng),小到一臺處理簡單業(yè)務的服務器��,然后以套餐的形式提供給用戶�����。用戶可以像在麥當勞點餐一樣����,租用產品目錄上的IT基礎設施服務套餐�,將自己的應用部署在上面�����,開展各種業(yè)務��。使用IaaS服務的信息安全風險比較大��,無論是物理設施��、虛擬化技術��、接口設施��、還是應用程序��,如果發(fā)生自然災害或者操作錯誤��,將會對信息安全造成釜底抽薪般的巨大影響��。其中��,虛擬化安全風險是防范重點��。一方面是虛擬機自身存在的安全風險��,包括可能面臨用戶劫持��、脆弱的防火墻等;另一方面是虛擬化軟件帶來的安全風險��,包括未經授權的訪問��、非法刪除��、非法添加等[6]��。在傳統(tǒng)計算機技術下��,對于個人信息的保護已經有比較成熟的技術��,包括加密和密鑰管理��、身份識別和訪問控制��、安全事件管理等��。云計算環(huán)境更加復雜��,更加開放��。云計算環(huán)境下的IaaS個人信息安全體系的關鍵是將這些技術進行融合��,按照一定的技術標準��,形成兼容的��、完備的安全閉環(huán)��,確保物理安全��、網絡安全��、虛擬化安全��、接口安全��。一是要加入安全防護技術��,利用防火墻��、病毒防護墻等對整個IaaS進行防護;二是要加入訪問控制技術��,利用加密和解密管理��、身份識別等技術為用戶提供用戶登錄管理��、用戶認證��、數字簽名等安全管理服務;三是要加入審計技術��,對用戶的登錄和使用情況進行統(tǒng)計分析��,按照不同的風險級別區(qū)分不同的安全域��,實施不同等級的安全干預[7]��。
(二)PaaS層的個人信息安全體系與技術風險
PaaS層處在云計算的中間層��,具有承上啟下的作用��,其對于個人信息的整體安全具有重要作用��。PaaS服務商提供的是應用基礎設施服務��,即中間件服務��。PaaS用戶可以將其應用系統(tǒng)布置到PaaS平臺上��,應用系統(tǒng)服務器��、網絡��、操作系統(tǒng)、信息管理等應用系統(tǒng)運行的環(huán)境��,由PaaS服務商提供保障��。所有PaaS服務商不僅提供平臺��,還提供安全服務��。他們的職責是提供安全可靠的運行環(huán)境��,保證用戶的信息安全��。PaaS個人信息安全體系要求數據處理符合國家法律法規(guī)的要求��,主要包括:數據存放位置��、數據刪除或持久性��、數據備份和恢復重建��、數據發(fā)現(xiàn);同時禁止一些不當的個人信息處理行為��,比如:不同客戶數據的混合、數據聚合和推理��。PaaS個人信息安全體系重點在于對價值較高的個人信息的保護,尤其是防范對個人信息的交叉查詢��。
(三)SaaS層的個人信息安全體系與技術風險
與等軟件服務模式類似��。在SaaS平臺上��,用戶不用購買軟件��,也不用維護管理��,只需要按照服務類型和服務時間支付費用��,就可以選擇使用符合自己需求的軟件��。SaaS服務商不僅要管理維護自身的軟件��,而且要將用戶的個人信息儲存在自己的服務器上��,以便用戶隨時隨地可以接著使用軟件��。個人信息違法犯罪的概率總是與管理權限成正比��。特別是在SaaS層下��,存在一個基本的矛盾��,一方面,SaaS需要將用戶的個人信息進行備份��,保存在多個不同位置的服務器上��,防止數據丟失��、數據刪除��,提供及時的數據恢復服務;另一方面��,SaaS可能涉嫌秘密保存和永久保存用戶的個人信息��,在用戶不知情或者已經刪除軟件上的個人信息的情況下��,仍然保留電子痕跡并隨時可以恢復數據��。所以SaaS應該提供給用戶透明的個人信息儲存��、刪除和保護方案��。當然��,由于SaaS的共享性��,用戶的個人信息安全風險主要來自第三方的攻擊、竊取和篡改等��。SaaS層的個人信息安全體系應該包括以下4個方面內容:
一是應用的安全��,軟件運行的環(huán)境安全可靠,軟件能夠及時更新?lián)Q代��,確保沒有漏洞;
二是個人信息數據庫的安全��,數據庫與應用軟件數據應該隔離分開��,多個服務器進行分別儲存��,并使用防火墻��、密鑰管理等技術進行數據庫的保護;
三是個人信息的傳輸安全��,采用加密的傳輸協(xié)議��,確保用戶在客戶端和云計算服務器之間傳輸個人信息時不被截留;四是訪問控制機制��,由于多個用戶共用云計算服務器��,需要對個人信息進行分塊隔離��,采用身份識別、數字簽名和訪問控制技術對訪問登錄進行嚴格管理��。上述分析是著眼于云計算平臺3個層次本身的技術漏洞��,除此之外��,云計算用戶的服務終端也是個人信息安全風險的重要源頭��。一方面��,云計算環(huán)境下��,服務終端與云計算平臺連為一體��,構成一個統(tǒng)一的系統(tǒng)��,具有極強傳染性和破壞性的病毒很可能從服務終端侵入到整個云平臺��,導致整個云的崩潰或者癱瘓��。特別是現(xiàn)在手機服務端日益普及��,APP使用率日益增高��,手機病毒的傳播更加猖獗��,也極易侵入云計算網絡��。另一方面��,黑客也很可能通過云計算網絡對服務端發(fā)起攻擊,即使用戶的計算機采取防火墻��、殺毒軟件等安全措施,但畢竟防范投入和水平有限��,未必能阻擋病毒的侵襲��。惡意代碼制作者、病毒郵件發(fā)送者以及其他惡意攻擊者可能直接竊取用戶服務端的個人信息��,這種竊取采取各個擊破��、螞蟻搬家的形式,更加難以覺察和防范��。他們也可能破解或者盜取用戶在云計算平臺上的登錄名稱和登錄密碼��,盜取用戶儲存在云計算數據中心上的海量個人信息��。
三��、云計算中的個人信息安全管理風險
除了云計算技術風險,云計算的管理不善也可能帶來個人信息的安全風險��。天災易避��,人禍難防,云計算時代個人信息安全管理風險更大��,后果也更為嚴重��。技術風險多為概率事件,偶然性較強��,而管理風險存在主觀故意��,發(fā)生的可能性更高。技術風險可能造成個人信息的破壞或者丟失��,但不一定立即引起直接損失��,而管理風險一般伴隨著惡意商業(yè)目的��,緊接著就可能造成用戶財產的損失或者人格權利的侵害。技術風險可以由云計算服務商通過技術改進進行補漏��,通過人工操作進行補救��,但是��,在信息不對稱的現(xiàn)狀下��,道德缺失造成的云計算服務商監(jiān)守自盜所帶來的風險幾乎是難以防范的��。下面筆者將從個人信息的收集��、利用��、處理3個方面歸納總結各種安全風險��。
(一)道德的失范導致的個人信息收集風險
在云計算產業(yè)巨大利益的驅使下��,云計算服務商可能有意或者無意地大量收集用戶的個人信息��。云計算的主要商業(yè)模式是由云計算服務商運用數據挖掘技術��,海量收集各類政府機關��、企事業(yè)單位��、個人用戶的信息��,進行儲存��、信息交換��、個��、定向營銷等��。信息量越大��,服務功能越強��,商業(yè)價值就越大��,這直接激發(fā)了云計算服務商收集個人信息的動力��。首先��,用戶在使用云計算上的軟件時,并不知悉個人信息已經被計算服務商獲取��。雖然法律規(guī)定服務商必須履行告知義務��,但是軟件的告知明細往往過于復雜��,用戶如果不仔細閱讀一般都難以發(fā)現(xiàn)��。特別是信息收集技術的不斷進步��,云計算服務商的信息收集能力不斷增強��,信息收集的種類和數量往往超出了用戶能夠知曉的范圍��。有時候,云計算服務商秘密收集或者備份用戶的個人信息��,但有時用戶知道自己的個人信息要被收集��,為了享有便利的服務��,不得不放棄個人信息權��。其次��,由于數據挖掘、數據比對等眾多信息收集技術的出現(xiàn)��,云計算服務商具備了強大的信息比對��、分析��、歸納��、推理��、整理能力,能夠將用戶在不同平臺不同服務中的碎片化個人信息整理成完整的個人信息圖譜��,能夠掌握用戶完整的特征和清晰的活動軌跡。雖然這些個人信息能夠更方便地為用戶提供優(yōu)質的個性化服務��,但這些脫離信息主體的個人信息��,往往處于事實上的權利失控狀態(tài)��,信息主體并不知道誰收集��、處理和利用了他們的信息��,以及以何種手段收集、處理和利用他們的信息��,這構成了巨大的個人信息收集風險[8]��。第三��,不同云計算平臺之間可能存在不正當的個人信息交換,秘密簽訂個人信息共享協(xié)議��,實現(xiàn)云計算服務商的商業(yè)利益最大化��。特別是在云計算不區(qū)分國界的情況下,個人信息的跨境傳輸更難以管控。斯諾登事件就曝光了一些云計算企業(yè)在國家力量的支持下��,收集其他國家公民的個人信息。這樣的跨境收集個人信息的行為,不僅侵害了公民的民事權利,還侵害了一個國家的信息。
(二)規(guī)則的缺失導致的個人信息利用風險
云計算產業(yè)發(fā)展迅猛,但是云計算領域的規(guī)則和標準的建構與完善卻相對滯后��,這種不對稱的發(fā)展造成了個人信息安全領域的無序狀況,容易造成個人信息利用的違法和犯罪。首先��,云計算安全技術標準還有待強化和細化。沒有統(tǒng)一的云安全技術標準,無法強制要求云計算服務商布設有關安全技術措施,導致一些服務商重視能夠帶來盈利的商業(yè)技術��,而忽視了不能帶來直接利益的安全技術。沒有安全技術標準的約束,一些云計算服務提供商還可能在云計算系統(tǒng)中插入秘密收集個人信息的軟件��,比如等等。其次��,云計算行業(yè)的制度規(guī)范也尚未制定��。云計算產業(yè)需要一套關于個人信息保護的完整的行為準則��,確立個人信息數據庫的管理制度��,明確個人信息處理人員��、安全管理人員��、系統(tǒng)開發(fā)人員和系統(tǒng)操作人員的職責范圍和操作規(guī)程。云安全規(guī)則的缺失極其容易造成個人信息的濫用。云計算服務商可能將個人信息應用于定向推送廣告��、不斷騷擾下的強迫交易��、信息銷售等��。在現(xiàn)實生活中��,用戶將身份證復印件提供給服務商時��,往往在身份證上注明“僅限用作……”等字樣��,確保身份證復印件的有限使用和特定用途使用��。但是電子數據形式的個人信息極易被復制��,很難保證服務商不將其挪作他用��。第三��,由于個人信息相關法律不夠健全��,云計算環(huán)境下個人信息的保護法更是少之又少��,個人信息缺乏有力的司法強制力的保護��。云計算用戶在個人信息遭受侵犯時��,往往難以獲得有效的救濟。云計算沒有地域性,個人信息案件的管轄難以明確��,造成立案難;云計算具有虛擬性,電子數據極易篡改,造成個人信息案件的取證難;另外,個人信息具有非物質性,其價值難以計量,造成個人信息案件的賠償難。
(三)管理的失位引發(fā)的個人信息處理風險
我國云計算產業(yè)剛剛起步,無論是監(jiān)管機構還是云計算企業(yè),都尚未建立完整有效的管理機制��。一方面��,政府監(jiān)管力度不夠��。目前��,我國云計算的監(jiān)管部門是國家工信部��,由于其職能主要是促進產業(yè)發(fā)展��,因此往往重發(fā)展而輕安全��。個人信息的違法犯罪涉及司法權和行政執(zhí)法權��,信息化管理部門還無法行使調查取證��、強制措施��、搜查凍結��、罰款沒收等權力��。另外��,由于條件的限制��,信息化管理部門進行個人信息安全執(zhí)法的力量較為薄弱��。另一方面��,企業(yè)管理動力不足��。云計算服務商利用個人信息的利益和用戶保護個人信息的權利存在一定的矛盾��,企業(yè)沒有足夠的動力投入更多的人力物力進行個人信息的管理��。云計算企業(yè)對于能夠產生經濟價值的個人信息的利用較為重視��,而對于不能直接產生經濟效益��,甚至有可能產生負效益的個人信息的管理重視不夠��。云計算服務提供商如果不加強內部操作人員的管理��,不加強個人信息保護內部控制的建設,操作人員違規(guī)處理個人信息的現(xiàn)象將不斷出現(xiàn)��。云計算時代��,所有IT設備或數據被放到一起集中管理��,內部人員擁有的權限讓其能輕易獲取重要個人信息甚至得到整個云服務平臺的完全控制權��。用人失察或監(jiān)管缺位都會給個人信息安全帶來災難性的損失��。
四��、云計算下的個人信息安全防控措施
云計算下的個人信息安全已經不是一個純技術問題��,僅僅依靠云計算企業(yè)采用先進的云安全技術去遏制個人信息的違法犯罪是不夠的��。唯有法律才能明確管理責任��,才能明晰處理個人信息的權限��,才能懲罰和防范一些犯罪分子利用個人信息謀取私利��。違法收集��、利用��、處理行為主要承擔民事責任��、行政責任和刑事責任[9]��。個人信息相關法律法規(guī)的制定非常重要��,而且迫在眉睫��。但是個人信息安全防控機制的構建��、個人信息安全防范措施的完善同樣非常重要��。作為以保障公共安全��、保護人民生命財產安全為職能的公安機關��,在防范和控制個人信息安全違法犯罪中��,具有得天獨厚的優(yōu)勢��。我國應該構建以公安機關為主��,信息化管理部門協(xié)調配合��,法律規(guī)制與行業(yè)管理相結合的個人信息安全防控體系��,構建并完善云計算下的個人信息安全監(jiān)控機制、偵查機制和應急機制��。
(一)云計算下的個人信息安全監(jiān)控機制
信息的公開具有不可逆性��,云計算個人信息安全事故一旦發(fā)生��,造成的損害無法恢復原狀��。因而個人信息的保護不能依賴事后的被動處理��,而應該著重于監(jiān)控與預警��,從事后救濟��、被動維護向事前設計��、事中報告��、主動監(jiān)控轉移��,形成常態(tài)的監(jiān)控機制[10]��。首先��,應該制定統(tǒng)一的技術標準��,要求云計算服務商在系統(tǒng)中植入安全監(jiān)控技術;制定統(tǒng)一的行業(yè)規(guī)范��,要求云計算服務商建立完善的內部控制制度��。利用安全監(jiān)控技術��,公安機關��、信息化管理部門和云計算服務商都能及時了解云計算系統(tǒng)運行狀態(tài)��。監(jiān)控技術不僅起到預警作用��,也為云計算安全的內部控制提供數據支撐��。其次��,應該建立常態(tài)的個人信息安全報告機制��,要求云計算服務商及時報告?zhèn)€人信息流動的異常情況��。個人信息安全的報告機制可以借鑒我國《反洗錢法》中的“大額交易和可疑交易監(jiān)控與報告”制度��,要求云計算服務商將可疑的個人信息流動報告給公安機關和信息化管理部門��?�?梢傻膫€人信息流動是指個人信息流動在數量、頻率��、流向和性質等方面表現(xiàn)異常��,或與客戶身份��、登錄狀況��、活動規(guī)律不符��,存有個人信息違法犯罪嫌疑的流動��。
(二)云計算下的個人信息安全偵查機制
嚴格的偵查機制和過硬的偵查能力是個人信息安全保護的根本保障��。要整合公安機關��、信息化管理部門��、行業(yè)自律組織的資源��,司法��、行政與行業(yè)之間無縫對接��,協(xié)調配合,共同執(zhí)法��。在行政和刑事執(zhí)法過程中��,取證難嚴重降低了打擊違法犯罪行為的力度��。在云計算環(huán)境下��,某些電子證據依靠目前的偵查技術��,還難以充分偵測與提取��。如在云應用服務中��,有許多服務通過運行的虛擬專用網絡(VPA)訪問��,現(xiàn)有偵查技術幾乎檢測不到[11]��。對此��,可以采用面向取證的現(xiàn)場遷移技術等進行偵查��,采取遷移取證監(jiān)管來調度和監(jiān)控鏡像證據提取層的每一次遷移操作��,并記錄下全部的遷移過程信息��,保證取證數據符合證據法要求的可靠性和完整性[12]��。
(三)云計算下的個人信息安全應急機制
云計算服務提供商應當設置個人信息安全監(jiān)控中心��,負責系統(tǒng)安全的全面維護��、個人信息安全的總體監(jiān)控��、個人信息安全情況報告和個人信息安全事件的處置等[13]��。公安機關和信息化管理部門要根據云計算服務商提交的可疑個人信息流動報告��,進行認真研判��、仔細甄別��。對篩選出來的違反法律規(guī)定的個人信息安全事件��,要根據嚴重程度��,啟動個人信息安全應急機制��。應急機制分為輕微��、一般��、重大、特別重大等不同等級��。不同等級的警報對應不同級別的應急方案��。應急方案包括提醒客戶��、數據隔離��、數據恢復��、停止運行等��。其中數據隔離可以保證用戶的個人信息運行于封閉且安全的范圍內��,防止進一步地泄露��,避免用戶間的相互影響��,減少用戶錯誤操作或受到計算機病毒攻擊時對整個系統(tǒng)帶來的安全風險��。數據恢復是針對計算機病毒攻擊的重要應急措施��,包括恢復個人信息和遭受病毒侵害的軟件等��。數據恢復是典型的事后應急措施��,可以保證云計算服務可靠性和可用性��。
五��、結語
技術的進步必然引起法律制度的變革��,產業(yè)的發(fā)展必須依賴法律機制的完善��。云計算時代��,個人信息安全的法律規(guī)制迫在眉睫��。隨著云計算成為人類基本的工作��、生活環(huán)境��,個人信息都無法避免地集中到云上��,海量個人信息的安全問題是公安機關必須面對的難題��。個人信息安全監(jiān)控機制旨在防范犯罪��,個人信息安全偵查機制旨在打擊犯罪��,個人信息安全應急機制則是處理已經發(fā)生的犯罪��。建立系統(tǒng)的個人信息安全防控機制,多方位協(xié)同發(fā)揮效力��,方能最大程度確保個人信息安全可控和云計算產業(yè)健康發(fā)展��。
參考文獻:
[1]周漢華.個人信息保護法(專家建議稿)及立法研究報告[M].北京:法律出版社��,2006:3.
[2]姜茸��,張秋瑾��,李彤��,等.電子政務云安全風險分析[J].現(xiàn)代情報��,2014(12):14-15.
[3]李連��,朱愛紅.云計算安全技術研究綜述[J].信息安全與技術��,2013(5):44-45.
[4]齊愛民��,陳星.云計算時代的個人信息安全危機與法律對策[J].中國信息安全��,2012(11):83-84.
[5]何培育.個人信息盜竊的技術路徑與法律規(guī)制問題研究[J].重慶理工大學學報(社會科學)��,2015(2):159-162.
[6]林闖��,蘇文博��,孟坤��,等.云計算安全:架構��、機制與模型評價[J].計算機學報��,2013(9):1775-1776.
[7]丁秋峰��,孫國梓.云計算環(huán)境下取證技術研究[J].信息網絡安全��,2011(11):36-38.
[8]周剛.云計算環(huán)境中面向取證的現(xiàn)場遷移技術研究[D].武漢:華中科技大學��,2011:29.
第5篇
(1)實名制網絡信息安全風險分析
實名制工作實行后所面臨的網絡信息安全風險��,主要體現(xiàn)在個人用戶資料保護��、營銷渠道管理��、系統(tǒng)防護等方面��。
1)個人用戶資料保護��。企業(yè)在收集存儲個人用戶資料信息后��,若缺乏相應的企業(yè)內部管理機制,則會存在企業(yè)隨意濫用個人用戶資料信息從事其他業(yè)務的風險��,導致個人用戶信息資料泄露和濫用��。
2)營銷渠道管理��。企業(yè)為減輕運營負擔��,允許一些社會營銷機構等加入到企業(yè)營銷渠道中��,雖然拓展了企業(yè)營銷渠道��,但因無相應的網絡信息安全保護方面的要求��,將導致個人用戶信息等資料通過渠道隨意擴散��。
3)系統(tǒng)防護��。一般而言��,企業(yè)都為用戶提供互聯(lián)網業(yè)務辦理渠道��,相當于個人用戶資料庫暴露于網絡之上��。在當前網絡信息安全的形勢日趨嚴峻的形勢下��,若不加強系統(tǒng)網絡安全防護��,個人用戶資料也面臨著泄露的風險��。
(2)實名制網絡信息安全監(jiān)管
基于以上關于實名制工作的網絡信息安全風險的分析��,國家行業(yè)主管部門應當從以下幾方面考慮對實名制工作的網絡信息安全進行監(jiān)管��。
1)督促企業(yè)完善實名制關于網絡信息安全的管理機制��。國家行業(yè)主管部門應督促企業(yè)在實名制工作中制定較為完備的管理機制��,杜絕實名制工作網絡信息安全的風險��。如制定實名制營銷管理渠道的管理規(guī)章��、實名制下個人信息保護制度規(guī)定等企業(yè)內部的管理制度等��。
2)對實名制網絡信息安全進行監(jiān)督檢查��。為有效推動實名制工作及保護網絡信息安全��,國家行業(yè)主管部門應對各企業(yè)的實名制網絡信息安全進行監(jiān)督檢查��,內容包括:實名制各類管理規(guī)章制度的建立��、實名制相關系統(tǒng)的安全防護、個人信息保護等方面��。
第6篇
數據表明��,2013年中國的信息消費迎來了爆炸式發(fā)展��。2013年上半年��,我國信息消費規(guī)模達2.07萬億元��,同比增長20.7%�,電子交易總額達4.98萬億元。由此可見�,信息消費已經成為引領消費、擴大內需�、提振經濟的新動力。2013年以來移動互聯(lián)網發(fā)展迅猛�,信息消費領域的服務和產品快速增長,以家庭寬帶接入�、網絡視頻、網絡購物�、微媒體、手機支付�、手機視頻為依托的新興消費對經濟增長的拉動作用增強�。
此前三年�,中國的消費增速逐年放緩趨勢明顯�,2014年我國消費仍將呈現(xiàn)比較平穩(wěn)的次高速增長并將主要依靠消費內生增長動力拉動,在這樣的大環(huán)境下信息消費有望成為最大亮點�。帶動消費增長的內生動力之一就是隨著信息化水平的提升,信息消費的增長將會帶動社會整體消費增長�。2014年,除了信息消費的必備工具如智能手機�、智能家電、穿戴型設備等硬件�、軟件和通訊消費將有較大增長外,電子商務網購�、音頻視頻等間接信息消費也將有不俗表現(xiàn)。
但自信息消費而來的不全是好消息�,信息安全已經逐漸成為了阻礙信息消費發(fā)展的隱患。
眾所周知�,當前信息消費市場不規(guī)范、網絡誠信體系不健全�、個人信息保護機制不完善等問題已經妨礙了信息消費市場的良性發(fā)展。2013年第四季度中國消費者協(xié)會開展了信息消費調研工作�,根據調研結果顯示:廣大消費者對于現(xiàn)階段信息安全滿意度一般,尤其是一線城市以及主要通過互聯(lián)網獲取信息的消費者對于信息安全問題的滿意度較低�。具體來講,在調研中受訪者最擔憂的信息消費安全問題主要是:個人信息泄露�、支付詐騙以及賬號被竊。
這些問題和現(xiàn)象既侵犯了公民的合法權益,更對信息消費安全構成了威脅�。這就要求相關部門必須堅持促進信息消費和規(guī)范信息消費市場并舉,也要求相關部門順應信息化發(fā)展內在要求的同時要把握住消費發(fā)展的趨勢特點�。
信息消費能否保持持續(xù)增長的勢頭,很大程度上依賴于我們的政策是否具備長效機制�,更依賴于能否建立安全可信的信息消費環(huán)境,能否切實實現(xiàn)依法加強個人信息保護�,規(guī)范信息消費市場秩序,提高網絡信息安全保障能力�,這對相關政策法規(guī)及其環(huán)境建設提出了更加緊迫的要求。
為了進一步規(guī)范信息消費市場秩序�、完善信息消費環(huán)境,有關部門一方面要加強法規(guī)標準建設�,加強誠信體系建設,打擊侵權假冒�、商業(yè)欺詐以及市場壟斷、欺行霸市等行為�,解決突出矛盾和問題,從而清除市場壁壘�,凈化消費環(huán)境。另一方面有關部門要加強網絡信息安全保障體系的不斷完善�。隨著社會的發(fā)展以及人們物質文化和精神文化生活需求的提高,虛擬網絡越來越貼近現(xiàn)實�。在網絡日益發(fā)達的今天,越來越多的信息消費平臺如雨后春筍般出現(xiàn)�。一個斯諾登事件�,把公民個人信息消費安全和國家信息安全問題切實擺在了人們面前�,構建安全可信的信息消費環(huán)境迫在眉睫。
完善安全環(huán)境建設
完善信息消費安全環(huán)境建設�,是一個多方合力的工作�。
一是,要進一步提高對信息消費環(huán)境安全保障體系的認識�,提升對持續(xù)完善信息安全保障體系建設的重視程度,積極構建信息消費的安全環(huán)境�,這是部署促進信息消費、推動信息消費市場有序安全發(fā)展的基本要求�。作為主導信息消費市場的職能部門和企業(yè),參與信息消費的公民個人�,都必須在思想上高度認識,發(fā)揮各自應該發(fā)揮的作用�,積極建言獻策,為安全信息消費營造良好的社會環(huán)境和輿論環(huán)境�。
二是加強法律法規(guī)建設。要構建良好的信息消費環(huán)境�,制度要先行。信息消費�,確實還是一個新事物,其中的發(fā)展規(guī)律�,運行規(guī)則目前都不完善,這就迫切需要我們的職能部門和廣大消費者共同努力�,加強頂層設計�,加強有關法律法規(guī)建設的調研�,加強制度建設的探索,完善個人信息保護國家標準�,加快信息消費立法步伐。我們要盡早實現(xiàn)信息消費走上法治軌道�,讓信息消費有法可依,有法必依�,違法必究。完善的法律是加強網絡與信息安全監(jiān)管以及提升網絡與信息安全監(jiān)管能力和系統(tǒng)安全防護水平的有力保障�。信息消費在中國經濟發(fā)展中的權重越來越大,必須盡快對信息消費和網絡安全進行立法�,應將以往的部門規(guī)章統(tǒng)一整合成一部法律,從而構建起一道信息消費的安全屏障�。
三是亟待重視加強消費者隱私保護。建立信息消費安全可信環(huán)境既要強調加強網絡安全�,更需加強隱私保護,要充分保障消費者個人信息安全�。所謂消費者個人信息是指那些對經營者具有商業(yè)價值、經濟價值的�,而對消費者具有個人隱私性質的,也是最容易被侵犯的相關信息�,具體而言一般包括四個方面的內容:其一、身份信息�,具體包括姓名、電話號碼�、家庭地址�、證件號碼�、電子郵箱號碼等;其二�、財產信息,包括銀行賬戶密碼�、房產、機動車等�;其三�,健康信息,具體包括血型�、血壓、視力等�;其四,其他個人信息�,包括學歷、職業(yè)等�。消費者信息安全問題是指伴隨消費活動所產生的消費者個人信息的泄露、濫用等對消費者權益造成侵害或對消費環(huán)境構成威脅的問題�。
要想認識到消費者信息的重要性,要明確消費者信息的幾個特性:
首先�,消費者信息具有信息的無形性特點,這就決定了其本身所具有的價值并不依賴于有形的支付�,而是對信息本身的知悉,以及控制和開發(fā)信息的過程�。這一特性也意味著對消費者信息安全的法律保護將有別于對消費者財產權益的保護�,其更有難度�,也更加具有技術性。其次�,消費者信息具有信息的積累性和非消耗性,使得信息的使用不會有損其具有的價值�。再次,消費者信息的數字化趨勢為其信息安全帶來了潛在的隱患�。最后,消費者信息具有可傳輸性�,網絡的發(fā)達和信息的數字化使得信息產品可以在世界范圍內進行幾乎零成本、即時地傳播�,這也就意味著,侵犯消費者信息安全的違法成本也更為低廉�,為消費者信息安全的法律保護帶來了新的挑戰(zhàn)。因此消費者信息在新型商業(yè)模式下成為一種具有巨大經濟價值的資源�,而其本身所具有的特點使其安全性面臨著巨大的挑戰(zhàn)。
在商業(yè)活動中�,消費者信息往往被非法收集和使用。具體包括以下三種情形:第一�,違反約定使用信息。也即經營者與消費者之間就信息使用的目的是有約定的�,而經營者在具體使用時卻違反此約定,如垃圾郵件的存在�。第二,擅自轉賣信息數據�。消費者在提供自身信息時并未同意將這些信息傳播給他 人�,更不用說轉賣�,這在現(xiàn)實中十分普遍。第三�,非法運用收集到的個人信息擾亂他人的生活,給消費者帶來精神和物質上的損失�。如各種詐騙短信、郵件�、電話,嚴重的可給消費者帶來人身或財產上的侵害�。因此在信息消費時代,數據的掌握者和使用者最應該成為數據保護的主要責任人�。同時�,法律應對于數據使用做出明確規(guī)定。而今世界由于互聯(lián)網的存在�,每一個人、每一個企業(yè)都會變成透明的“玻璃人”�,如何提升信任和安全感尤為重要。特別是在大數據時代�,每一個網民的每一次上網都會留下“痕跡”、這些痕跡將變成數據被存儲和研究�,從而成為商家研判消費者行為習慣的重要依據。如何保護隱私構建一個安全的信息網絡有很多方法�,比如對于每一個數據的使用都要有告知和許可的過程,一旦出現(xiàn)問題�,使用數據者需要負責任等�。但最關鍵的還是政策法規(guī)要有可操作性�,否則制定了實施效果不好,會大打折扣�。因此必須盡快對信息消費和網絡安全進行立法。
為了保障信息消費的安全可靠�,有關部門還需要加強技術體系的建設。要統(tǒng)籌規(guī)劃�、打好基礎,加強人力�、財力和物力的投入,借此機會�,確定一個行動計劃和時間表,要按照相關政策法規(guī)�,切實落實重要信息系統(tǒng)和基礎信息網絡要與安全防護設施同步規(guī)劃、同步建設�、同步運行,切實提高防攻擊�、防篡改、防竊密能力�。通過構建并完善支撐信息消費信息安全保障的基礎設施,規(guī)劃�、設計和開發(fā)建設支撐信息消費的各類信息資源,加強國內民族信息產業(yè)與企業(yè)的集成創(chuàng)新�、引進消化吸收再創(chuàng)新和自主創(chuàng)新,逐步實現(xiàn)信息化裝備的國產替代和技術產品的升級換代,面向全社會提供安全可信的信息網絡�,寬帶服務、無線服務�;加強加快公共信息服務平臺建設,提升公共服務能力�。只有加強信息安全基礎設施和信息安全保障技術體系的建設,才能更好地保證個人用戶的信息安全�,保障企業(yè)的信息安全,保障信息消費安全�。
提高管理能力建設也是信息消費中的一個重要方面。任何一項工作�,都必須有效有序地管理。加強管理能力的建設,要配備一支精干的人員隊伍。對參與信息消費的管理部門和人員加強業(yè)務及法律法規(guī)的學習和培訓,提高管理者的管理水平至關重要。與此同時�,還要加強引導,培育優(yōu)質高效的信息消費企業(yè)�,對不按照規(guī)則出牌的信息消費平臺予以堅決取締�。只有保障基本的信息消費安全,才能實現(xiàn)信息網絡通暢�、生產生活便捷、城市管理高效�,才能惠及全國人民。
重視維權問題
打造安全健康的信息消費環(huán)境是目前促進信息消費發(fā)展中尤為重要的一環(huán)�,因此更要高度重視信息消費中的維權問題,網絡消費容易遭遇維權無門�,這些都阻礙了信息消費的良性發(fā)展�。所以信息消費市場若想繁榮�,消費者的安全顧慮先要打破。以網購維權為例�,網購中以異地購物居多,按照屬地管理原則�,哪里買的東西就該找哪里的消保委處理,一旦網上賣家是外地的�,消費者想要維權就得找賣家所在地的相關部門,這樣一來維權的成本比較高�,過程也比較麻煩。此外�,網購一般沒有發(fā)票或小票等有效的消費憑證,出現(xiàn)糾紛后�,消費者維權沒有憑據,網上商家是虛擬的�,很多網店不會像現(xiàn)實中的商家一樣進行工商登記,甚至沒有實體店�,消費者想要維權卻找不到經營主體。這就要建立新型的線上線下相結合的糾紛調處機制�,切實及時妥善處理網絡消費糾紛,進一步提升消費者的信息消費意愿�,增強對信息消費的信任和安全感。
對比歐盟�、美國等發(fā)達國家和地區(qū),其信息消費的網絡信息安全保障環(huán)境建設與發(fā)展水平都比我國高出很多,我國目前遇到的一些信息消費問題這些地區(qū)和國家早已遇到�,其經驗值得借鑒。歐盟和美國早在上世紀七八十年代就已意識到保護個人信息安全對于整個消費環(huán)境的平穩(wěn)順利發(fā)展的重要意義�,并以立法形式予以體現(xiàn)。此外�,從歐盟和美國在消費者信息保護方面采取的做法來看,立法規(guī)制和行業(yè)自律兩者不可偏廢�,這一點同樣可以應用在我國促進信息消費的保障環(huán)境建設之中,即既注重以立法規(guī)制為主的對于個人隱私的充分保護�,同時也要堅持促進行業(yè)自律,并加以法律監(jiān)督等多種監(jiān)督方式�,以保證其規(guī)則的公平、公正�。
第7篇
事實上,關于快遞面單加密的訴求近兩年已在不斷重申�,很多快遞公司也做過很多努力,讓快遞面單盡可能地保護大多數消費者的隱私�,但實際效果卻并不理想。如今�,“隱形面單”的推出雖無法從根源上保護消費者的信息安全,但也是一次可F的嘗試�。
毋庸置疑�,“隱形面單”的出現(xiàn)是一種尊重消費者意愿的良性市場選擇。在以往收取快遞的具體情境中�,消費者總擔心快遞包裹信息被利用,導致個人信息遭到泄露,并且這種擔心還在快遞包裹日漸增加的趨勢中被放大�。許多人收發(fā)快遞的習慣也不夠仔細,導致個人隱于一種“完全曝光”的狀態(tài)�,雖有一些小竅門教消費者怎樣抹掉面單信息,但對于制作面單的快遞公司來說�,顯然更需要這種小竅門的隱私保護意識。
首先�,快遞包裹的安全性一直就存有爭議,但相比于爭議�,很多保護隱私的措施卻總是無疾而終。一方面�,從技術手段來說,在快遞面單上增加隱私保護流程�,勢必會相應增加制作成本,對快遞公司來說�,恐怕并不愿選擇這樣做。另一方面�,從個人保護意識來說,快遞面單的隱私保護還沒有在人們心中形成一個不需要提醒的常識�,以至于隱私泄露的很大一部分原因是人們的不細心所致。
第8篇
傅聰(1992-)�,男,廣東梅州�,工作單位:廣東金融學院,職務:學生�。
徐文敬(1992-)�,男�,廣東梅州,工作單位:廣東金融學院�,職務:學生。
摘要:近年來�,商業(yè)銀行儲蓄金錢的同時貯存了大量的個人信息,我國的法律�,法規(guī)對商業(yè)銀行在保護個人財務信息管理制度上是很不完善的,儲戶對信息保護較低的商業(yè)銀行的很不滿意�,常常一起糾紛。本文章簡述了個人金融信息保護管理和商業(yè)銀行對個人信息問題的現(xiàn)狀�,并提出相關的改進措施或意見。
關鍵詞:商業(yè)銀行�;個人金融信息;保護管理
由于金融領域應用的信息透明和網絡虛擬化水平不斷上升�,造成現(xiàn)代社會個人的信息安全無法有效保護,產生個人財產危害相關問題的不斷上升�。銀行作為一個從公民到政府之間的信息收集專業(yè)權利機構,以及為公民財產提供重要的存儲和托管的組織�,銀行必須有責任和義務,為公民的信息安全提供保障�。近年來經常發(fā)生的銀行個人信息泄漏,致使很多公眾感到驚訝和恐懼�,所以,我國銀行應在民眾的要求下加強保護個人金融信息�。
1.個人金融信息泄漏渠道
1.1銀行泄漏
一是銀行在有利可圖的時候可能會將一些關于個人財務的信息透露給購買方。據調查在2010年�,金融管理局披露有6家銀行將60多萬客戶個人金融信息泄露給相關的購買者,這種現(xiàn)象這幾年在大陸是很常見的�,我們有時是很不容易判別是接到的電話是來自銀行還是保險銷售公司,還是從事非法活動的的保險公司�;二是,銀行機構的的內部人員為了個人的利益�,倒賣客戶的個人財務信息。在上海最近追查到市面上有出售的銀行客戶信息的情況�,后來這兩名嫌疑人被依法定罪,罪名包括涉嫌盜竊�,出售賄賂,非法提供信用卡信息罪�;三是,由于銀行外包服務管理出現(xiàn)問題�,導致外包商非法的、未經授權訪問的個人金融信息及銀行賬戶信息�。
1.2商戶及支付服務機構泄漏
近年來,許多現(xiàn)場購物和網上購物�,可以通過POS機安裝商戶終端或支付服務平臺,并在交易過程中�,通過系統(tǒng)內的商家終端或是支付服務平臺可記憶個人金融信息,之后商家和支付服務平臺人員可隨時訪問用戶的財務信息�,最終導致泄漏。 在2010年�,警方就已破獲一起商場員工在其工作期間�,利用便利條件�,收銀員通過POS機記憶功能,盜用POS機程序致使客戶的銀行卡信息被盜�,銀行卡被復制數張,破譯一個相對簡單的銀行卡密碼�,從而竊取了數張銀行卡內的金額,超過20萬美元的現(xiàn)金�。
1.3黑客及不法分子入侵導致泄漏
黑客自身可以制作腳本,通過無線網絡或者植入惡意程序的方式入侵金融系統(tǒng)的電腦程序�,進入后端數據庫進行盜取,包括復制信息個人行為�,賬戶信息。 在2011年�,美國花旗銀行就受到黑客的非法攻擊,影響到了大約360�,000左右的信用卡用戶,黑客盜取了客戶的姓名�,帳號,聯(lián)系信息�。可見多么危險�。
2.個人金融信息泄漏的主要原因
2.1銀行個人金融信息管理意識淡薄、制度不健全
目前�,銀行相關機構對個人金融信息的保護不夠重視,沒有意識到給個人影響巨大�,保護個人財務信息�,就是保護一項重要的資產銀行�,就是保護銀行的信譽,保護客戶隱私的一個綜合能力�,相反如果個人的金融信息泄露�,會帶來一個時代的風險來對待,不保護個人財務信息�,銀行的整體風險管理框架會受到嚴重的影響。這些往往是由于銀行對個人金融信息保護管理機制不健全造成的�。所以,要想形成一個完善的個人金融信息保護管理系統(tǒng)�,現(xiàn)有分散的相關制度在各業(yè)務管理系統(tǒng)需要統(tǒng)一,成立組織的系統(tǒng)性保護�,覆蓋工作包括信息收集,存儲和銷毀的所有方面�。
2.2銀行個人金融信息管理內控機制不健全
現(xiàn)在,銀行一般不進行有效的保護個人財務信息�,提高信息系統(tǒng)的安全性,各個部門在保護個人財務信息方面凌亂�,信息系統(tǒng)沒有信息進行整體收集,缺乏統(tǒng)一的管控�。內部管控方面,主要是沒有形成專門的個人信息的管理機構�,缺少專業(yè)的人員進行保護個人信息,從而難以實現(xiàn)個人信息保護�,無法充分發(fā)揮保護功能�。其次�,內部監(jiān)管和檢查比較薄弱,缺少個人信息保護制度執(zhí)行的專項檢查�,檢查內容未進行常規(guī)檢查,定期進行機構檢查的覆蓋率較低�。再一個就是,信息查詢跟蹤審計工作落實不到位�,銀行和其他賬戶的信息當進行過信息查詢時缺乏記錄過程,難以跟蹤誰在這個過程中使用過個人信息�。最后一點是,外包管理缺乏�,外包人管理的控制的行為是需嚴格保密的,保密外包整個過程接受審計�,評審。
2.3對商戶及支付服務機構的管理不規(guī)范�,缺乏有效制約
與銀行合作的商戶或是第三方支付服務平臺需要提供商為個人金融信息的保護的責任,個人金融信息保護對銀行和第三方支付平臺也是一種義務�。但是,目前銀行簽約商戶沒有規(guī)范的管理�,第三方機構更是缺乏有效的監(jiān)督,從而造成銀行和支付服務平臺或提簽約商家松散的管理�。沒有簽署合作協(xié)議,落實責任�。沒有明確使用個人金融信息的權力,沒有足夠的安全的保護技術,銀行更是缺乏定期檢查監(jiān)督�,常規(guī)檢查經常流于形式上的。其次�,我國未出善的機制進行監(jiān)督支付服務的企業(yè)和組織。付款服務給為商家和用帶來了方便�,但對個人財務信息往往造成泄漏,這樣的監(jiān)管機制目前缺乏有效的實施�。
3.個人金融信息保護的建議與對策
3.1銀行層面要提升意識、構建機制
首先是要加大銀行內部的管理�。銀行業(yè)金融機構應有約束自身提高客戶的個人信息安全管理的制度和法規(guī)�,主要對客戶的個人信息的采集,存貯�,信息有效周期等整個過程實施有效地保護,確??蛻舻膫€人信息安全,建立完善的信息安全和內部管理規(guī)范�,將各崗位人員的任務和職責包含信息安全管理與控制,并且對過程中各崗位人員和管理職責和權限實施監(jiān)督考核�,做到切實保密,將帶有個人信息的紙張和電子文件集中統(tǒng)一安全監(jiān)管�,個人信息的瀏覽,復制等必須經過嚴格的審核�,登記和監(jiān)督管理,加強考核責任制�,定期檢查信息安全的情況,通過審計工作及時進行用戶信息的風險和脆弱性評估。其次提高信息系統(tǒng)的組建和管控�。一方面在大量的銀行信息系統(tǒng)的基礎上,進行信息整合�,真正實現(xiàn)以客戶為中心的理念�,全面整合個人財務信息,方便統(tǒng)一保護和管理�;另一個方面要不斷的完善信息安全管理機制。銀行業(yè)金融機構應對信息系統(tǒng)可能遇到問題應用先進的科學技術來評估風險�,運用防火墻等工具,數字證書認證等第三方認證技術�。
3.2加強銀行業(yè)個人金融信息保護工作監(jiān)管
首先,我們必須考慮將保護個人財務信息納入銀行的整體風險監(jiān)管體系�。監(jiān)管部門按照有關的法律法規(guī)保護公民信息,客戶的個人信息保護需要有關部門制定不同機構部門的規(guī)范進行執(zhí)行�,明確銀行對客戶的個人信息的收集,使用整個過程受保護的詳細的規(guī)章制度�,明確違反的銀行業(yè)機構的責任和個人賠償力度,造成客戶較大的經濟損失的或者造成不良社會后果�,視情節(jié)給予處罰,或采取強制措施�。其次�,銀行可以啟用標準化技術委員會�,制定客戶的個人金融信息的保護規(guī)范和標準,推動建立完善的監(jiān)督體制�,促進銀行業(yè)良性發(fā)展�,從而更好地保護個人信息�,使人民利益不受侵害。最后通過加強對銀行的師弟監(jiān)督和非現(xiàn)場監(jiān)測�,加強客戶的個人金融信息數據庫的維護和管理,銀行機構需建立安全管理體系�,規(guī)范個人金融信息數據庫,以防止信息被泄漏�、盜用。
3.3國家層面要加快立法進程
首先�,國家相關部門建立統(tǒng)一的系統(tǒng)�,多角度的法律和法規(guī),創(chuàng)建一整套以保護個人信息法律標準�,法律規(guī)定要求銀行具有完善的信息管理系統(tǒng),約束金融監(jiān)管機構的規(guī)則及法規(guī)�,建立合法合理的個人信息的查詢方法�,獎勵行業(yè)監(jiān)管機制。其次成立專業(yè)的信息資源管理部門�,對使用個人信息的組織或個人嚴格監(jiān)督。最后�,提高我國民眾的自我保護意識。經常開展宣傳活動,培訓公眾注意保護個人信息能力�,減少因自身意識不強帶來的損失。(作者單位:廣東金融學院)
參考文獻:
[1]盛雅琴. 論個人金融信息的保護[J]. 法律事務�,2011(3):11~14.
第9篇
在金融業(yè)信息化程度不斷提升的現(xiàn)代社會,個人金融信息安全與財產安全的關聯(lián)度日益提升�。作為個人金融信息最主要的收集和使用者以及公民財產重要的貯藏和代管者,金融機構有責任和義務成為保護個人金融信息安全的“排頭兵”�。若是缺乏有效的法律規(guī)制難免會出現(xiàn)個人金融信息被誤用、濫用的情形�,損害信息主體的利益。近年來頻頻發(fā)生個人金融信息泄漏事件�,讓公眾震驚和憂慮,個人金融信息保護工作亟待加強�。
一、個人金融信息保護概述
(一)個人金融信息的內涵和外延
個人金融信息是指與公民個人開展金融活動相關�,在借貸交易、監(jiān)管�、征信等活動中產生、采集的公民個人身份信息�、金融交易信息以及衍生信息。一般應包括:1�、個人身份信息,如個人姓名�、身份證件種類和號碼等;2�、個人財產信息�,如個人收入狀況�、不動產狀況等;3�、個人賬戶信息,如賬號�、開戶時間、開戶行等�;4、個人信用信息�,如信用卡還款情況、貸款償還情況等�;5、個人金融交易信息�,如銀行業(yè)金融機構在支付結算、理財�、保險箱等中間業(yè)務過程中獲取、保存�、留存的個人信息�;6、衍生信息�,如個人消費習慣、投資意愿等對原始信息進行處理�、分析所形成的反映特定個人某些情況的信息;7�、個人其他信息�。
(二)隱私權和個人金融信息
1890 年�,美國學者沃倫和布蘭代斯發(fā)表了《論隱私權》一文,標志著隱私權概念的產生�,自此隱私權逐漸走入各國立法的視野。美國最高法院將隱私權劃分為三類:私事決定隱私權�、身體隱私權和信息隱私權。信息隱私權是個人對自身可識別信息的收集�、披露和使用的控制權。
個人金融信息作為個人信息的重要組成部分�,與個人隱私有非常密切的聯(lián)系。一方面�,個人金融信息往往具有私密性,另一方面�,侵害個人金融信息的行為一般表現(xiàn)為非法披露個人金融信息資料。然而�,保護隱私權的主旨在于保護權利人免受外界的非法干擾,維護個人私密的空間�,具有一定的被動性。個人金融信息的保護除了不應被他人非法披露之外�,還包括信息主體對個人金融信息的控制權。同時�,個人金融信息也不僅僅是私密的信息,部分個人金融信息資料因為涉及公共利益必須在一定范圍內公開�。 對于侵害個人金融信息的救濟,除了精神損害賠償之外�,還應當包含財產損失賠償�??梢姡m然隱私權和個人金融信息具有交叉關系�,但是二者無論是從權利內容上還是權利救濟途徑上看都有一定區(qū)別。
(三)個人金融信息保護的必要性
1.保護個人金融信息是對個人隱私權的尊重
隱私權是人的自然權利�,它使人成為獨立的個體,獲得獨立的人格�,自由支配自己的生活,其重要性不言而喻�。對建立在隱私權基礎上的個人金融信息權的保護也是對其根基隱私權的保障。個人金融信息中的許多信息是不愿被公開的私人隱秘領域或者是期望排除他人干涉的領域�。對于這些信息的侵犯不僅會使個人的財產蒙受損失,而且會使個人的精神受到打擊�。
2. 保護個人金融信息是信息分享的前提
金融機構通過獲取大量個人金融信息,并且對其進行開發(fā)利用�,能夠產生可觀的經濟價值。但對個人金融信息的分享是以個人金融信息獲得充分保護為前提的�。如果一個國家的個人金融信息保護處于無序、混亂的狀態(tài)�,個人將會對金融機構和當局失去信任,從而不愿意提供這些信息�,個人金融信息分享也就成為空談�。
3.保護個人金融信息是國家金融和信息安全的題中之意
個人金融信息保護關系到國家金融和信息體系的穩(wěn)定和安全,個人金融信息的泄露將造成金融系統(tǒng)的混亂�,破壞金融系統(tǒng)的穩(wěn)定性和安全性�。我國網絡購物用戶規(guī)模占網民的41.6%�,遠低于發(fā)達國家水平,一大原因就是我國網民對通過網絡提供個人金融數據的擔憂�,主要體現(xiàn)在擔心被詐騙、信息被泄露或盜取以及個人信息被非法利用�。目前,我國金融機構已出現(xiàn)個人金融信息泄露的跡象�,而美國信用卡泄露事件更足以讓我國提高對個人金融信息保護的重視程度,在該事件中有 8660 名中國客戶受到牽連�。
二、主要國家和地區(qū)個人金融信息保護制度概述及比較
(一)國際上個人金融信息保護的法律制度比較
1.美國
美國在對個人信息保護總體上采取自律模式�,主要通過行業(yè)性自律規(guī)范對個人信息進行保護,而在醫(yī)療�、金融等領域則通過制定特別法對個人信息予以保護。美國的個人金融信息保護具有以下特點:
(1)實行區(qū)別行業(yè)保護�。對于銀行業(yè)金融信息保護依據的主要是聯(lián)邦法律,對于保險業(yè)的金融信息保護則依據各州自己制定的法律�。在證券業(yè)方面,以聯(lián)邦監(jiān)管機構制定的規(guī)則為主�,以行業(yè)自律為輔。主要法律依據有:1966 年《信息公開法》�、1971年《公平信用報告法》、1974 年《隱私權法》�、1978 年《金融隱私權法》、1999年的《金融服務現(xiàn)代化法》�、2003 年《公平正確信用交易法》和2010 年《多德―弗蘭克法案》等�。
(2)確立了權利協(xié)調和公益優(yōu)先原則�。如果金融機構嚴格執(zhí)行保密義務,不允許向外披露�,很可能會放縱違法犯罪行為的發(fā)生,因此有必要對個人金融信息權利加以適當的限制�。由此,美國確立了協(xié)調和公益優(yōu)先的原則�。當一項消費者信息涉及公共利益時,法律規(guī)定國家有權力要求金融機構向其披露消費者信息�。但同時,這種權力的行使必須限制在一定范圍內�,由此確立了政府、客戶�、金融機構、法院四方主體共同構成的金融信息平衡關系�。
(3)特別重視行業(yè)自律的管理模式。作為以市場為導向的國家�,美國特別重視運用行業(yè)自律的模式管理金融領域。除個別領域外�,金融行業(yè)協(xié)會制定的自律規(guī)范成為金融機構保護個人金融信息的重要基礎性依據。
2.歐盟
歐盟則并不區(qū)分領域�,采取統(tǒng)一保護的模式,對各類數據實行同一水平的保護�。1995 年歐盟通過了《關于個人資料處理及自由流通個人保護指令》,該指令一出臺即成為了歐盟最重要的個人信息保護法律,其為所有行業(yè)的個人信息保護提供了統(tǒng)一的標準�,該指令主要規(guī)定以下內容:
(1)保護的數據類型�。指令對保護的數據類型規(guī)定非常廣泛,任何與一個被證實的或可以證實的自然人有關的信息均納入保護的類型中�。
(2)信息主體的主要權利。包括:數據主體對個人信息的存取權�、獲得信息權和拒絕權。數據控制者必須向數據主體提供身份�、數據處理目的等信息。數據主體有權隨時拒絕關于本人的數據處理�,有權拒絕為直接營銷目的而進行的處理,或者在個人數據被使用前有權知悉�。
(3)信息處理的合法性基礎。指令規(guī)定在以下情形下可處理個人信息:一是數據主體明確同意�。二是為履行約束數據控制者的義務有必要處理時。三是當涉及稅收�、反洗錢等公共利益時。
3.日本
日本主要是通過法律與自律規(guī)范的緊密結合來對個人金融信息進行保護�。
(1)建立了相對完善的保護法律體系。自1987 年起�,日本相關機構先后制定了《辦理關于金融機構保護個人資訊指南》、《關于民間部門保護個人信息指導方針》�、《個人信息保護法》、《金融領域個人信息保護方針》與《金融領域個人信息保護方針的安全管理措施實務指南》等法律文件�,是日本個人金融信息保護的重要依據。
(2)依靠法律規(guī)范和自律規(guī)則做好保護工作�。主要是通過成文法律與行業(yè)性自律規(guī)則建立對個人金融信息保護的制度體系。日本全國銀行協(xié)會參照監(jiān)管部門的個人資料保護指南�,制定了行業(yè)內的自律性規(guī)則,用以指導金融機構做好個人信息保護工作�。
(二)國際個人金融信息保護法律制度的評述
綜觀各國對個人信息的保護制度,具有以下特點:
1.個人金融信息保護皆有法可依�,制度相對完善。美歐日等發(fā)達國家或地區(qū)大都制定了包括個人金融信息在內的保護法律規(guī)范�,法律體系相對完善,在保護個人信息安全的理念上具有一致性�。
2.基于法律文化差異等原因,個人金融信息保護的模式選擇不盡相同�。美國是判例法國家,金融監(jiān)管體制不同于其他國家和地區(qū)�,采取銀行、證券和保險行業(yè)分別保護的模式�。歐盟作為國家的聯(lián)盟性機構,考慮各國的不同情況�,只能制定涵蓋范圍廣泛的保護規(guī)定,因此�,采取了全面性保護模式。
3.均規(guī)定了信息的來源渠道和收集手段合法�。金融機構首次獲得信息必須基于建立業(yè)務關系的初次契約中,契約的生效也就包含了消費者同意或授權的意思表示�。在信息的收集上�,必須堅持“最少必需”的原則�。在信息流出金融機構時,區(qū)別不同的信息類型�,決定是否需要獲得消費者的明確意思授權。
4.均規(guī)定了金融信息保護的例外內容�。為合理平衡個人金融信息保護和信息披露之間的關系�,保證金融業(yè)務的正常開展,在規(guī)定金融機構保密義務和客戶權利的同時�,一些例外規(guī)定應運而生。這些例外情況逐漸發(fā)展并滲透在以后的有關金融信息保護的法律中�,對于解決金融信息權益保護與其他相關規(guī)定的沖突起到了一定的平衡作用。
三�、我國個人金融信息保護立法及監(jiān)管情況
(一)現(xiàn)行法律中關于個人金融信息保護的規(guī)定
目前,我國個人金融信息保護的制度尚不完善�,對個人金融信息的保護主要體現(xiàn)在以下法律法規(guī)和規(guī)范性文件中。
1.法律層面�。我國《民法通則》、《刑法》和《商業(yè)銀行法》有部分條款直接或間接涉及個人信息的保護�。《民法通則》第99-101條分別對公民的姓名權�、肖像權和名譽權作出保護規(guī)定?!缎谭ㄐ拚福ㄆ撸芬?guī)定了出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名�。《商業(yè)銀行法》第二十九條規(guī)定了商業(yè)銀行應當遵循為存款人保密的原則、有權拒絕任何單位或者個人查詢�、凍結、扣劃個人儲蓄存款(但法律另有規(guī)定的除外)�。
2.行政法規(guī)層面。1992年的《儲蓄管理條例》(國務院令第107號)第五條規(guī)定“儲蓄機構辦理儲蓄業(yè)務�,必須遵循……為儲戶保密的原則”。2000 年的《個人存款賬戶實名制規(guī)定》(國務院令第285號)第八條也規(guī)定了金融機構為儲戶保密的義務�。2013年3月15日起施行的《征信業(yè)管理條例》(國務院令第631號)是我國個人金融信息保護工作上的一個里程碑,條例共47個條款�,有將近一半直接涉及個人金融信息保護。其中關于個人金融信息保護的主要制度設計包括:盡可能地擴大履行個人金融信息保護職責的機構范圍�、提高征信機構的準入門檻、規(guī)范信息的采集和使用�、保障信息主體的知情權、設立個人信息糾錯機制�、嚴格法律責任等。
3.部門規(guī)章層面�。人民銀行、銀監(jiān)會等在其部門規(guī)章中針對電子銀行�、反洗錢及信用卡業(yè)務等方面對銀行客戶個人信息的保護作出了相關規(guī)定。如中國人民銀行2005 年制定了《個人信用信息基礎數據庫管理暫行辦法》(中國人民銀行令〔2005〕第3號)�,對個人信用信息采集、整理�、保存、查詢�、異議處理�、用戶管理�、安全管理等方面進行了規(guī)范。其中第十三條要求商業(yè)銀行獲取個人信用信息必須取得當事人的同意�,使其享有知情權。此外�,罰則部分對征信機關、商業(yè)銀行違反保護規(guī)定�,泄露個人信用信息行為制定了相應的處罰措施。該暫行辦法是我國頒布的第一個專門針對個人信用信息保護的規(guī)章�?!峨娮鱼y行業(yè)務管理辦法》(銀監(jiān)會令2006年第5號)第五十二條規(guī)定:“金融機構應采取適當措施,保證電子銀行業(yè)務符合相關法律法規(guī)對客戶信息和隱私保護的規(guī)定”�。人民銀行、銀監(jiān)會�、證監(jiān)會和保監(jiān)會聯(lián)合頒布的《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》(中國人民銀行令〔2007〕第2號)第二十八條規(guī)定:“金融機構應采取必要管理措施和技術措施,防止客戶身份資料和交易記錄的缺失�、損毀,防止泄漏客戶身份信息和交易信息”�。《商業(yè)銀行信用卡業(yè)務監(jiān)督管理辦法》(銀監(jiān)會令2011年第2號)第三條規(guī)定:“商業(yè)銀行經營信用卡業(yè)務�,應當依法保護客戶合法權益和相關信息安全。未經客戶授權�,不得將相關信息用于本行信用卡業(yè)務以外的其他用途”。
4.規(guī)范性文件層面�。人民銀行《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》(銀發(fā)〔2011〕17號)第2條規(guī)定:“銀行業(yè)金融機構在收集�、保存�、使用、對外提供個人金融信息時�,應當嚴格遵守法律規(guī)定,采取有效措施加強對個人金融信息保護�,確保信息安全,防止信息泄露和濫用”�。
(二)個人金融信息保護現(xiàn)狀分析
目前,我國對個人金融信息的保護已在相關立法上有所體現(xiàn)�,但也應該看到,與其它國家或地區(qū)相比�,我國在個人金融信息保護方面仍然存在較大的缺陷,主要表現(xiàn)在以下幾個方面:
1.法律制度不完善
一是法律體系不完備�。目前對個人信息保護的民事法律依據主要是《民法通則》有關個人姓名權、肖像權和名譽權的規(guī)定�,刑事法律依據主要是刑法修正案(七)有關出售或非法提供、獲取公民個人信息犯罪的規(guī)定�,無法規(guī)制那些侵犯個人信息但尚未構成犯罪的行為,信息主體的權利得不到全面確認和保護�。各類經濟主體收集、保存�、交換個人信息等所應遵循的基本原則、程序和制度也得不到統(tǒng)一的規(guī)范�。二是相關規(guī)定較為抽象、零散?,F(xiàn)行金融法律�,如《商業(yè)銀行法》�、《證券法》、《保險法》等僅對金融機構保密義務進行原則性規(guī)定�,導致金融機構難以執(zhí)行?!秱€人存款賬戶實名制規(guī)定》、《銀行卡業(yè)務管理辦法》等金融法規(guī)規(guī)章僅對某類個人金融信息�,或者某個金融業(yè)務領域或環(huán)節(jié)作了保密規(guī)定,無法覆蓋全部個人金融信息�。三是相關規(guī)定效力層級低。中國人民銀行出臺了《個人信用信息基礎數據庫管理暫行辦法》�、《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》,《辦法》和《通知》對個人金融信息收集�、保存�、使用等做了相應規(guī)定,但前者屬效力層級較低的部門規(guī)章�,后者為規(guī)范性文件,不屬于廣義法律的范疇�。四是信息主體享有的權利不明,救濟手段有限�。信息主體對其個人金融信息應享有知情權、異議權�、索賠權等權利,而這在我國現(xiàn)行法律體系中未得到明確�。從司法實踐看�,個人金融信息遭受非法侵犯后�,受害人多數獲得的僅僅是停止侵害、消除影響等名譽補償方式�,經濟和精神賠償請求基本得不到司法部門支持。尤其是因個人金融信息泄露導致詐騙�、資金被盜等,除犯罪分子承擔刑事責任以外�,受害人難以獲得經濟賠償。
2.立法理念有偏差
從我國個人金融信息保護的相關規(guī)定來看�,個人金融信息保護的法則與保護例外的規(guī)則對比較為失衡。對個人金融信息保護的規(guī)定主要是原則性的內容�,比較抽象,操作性不強�。而與此相反,對個人金融信息保護例外性的規(guī)定無論是從實體權利與義務的安排上�,還是從對個人金融信息披露的程序上都比較具體,更具有操作性�。這表明我國在個人金融信息保護立法上存在“重信息披露、輕信息保護”的價值取向�,立法理念有一定的偏差。
3.監(jiān)管效果不明顯
《中國人民銀行法》�、《商業(yè)銀行法》、《銀行業(yè)監(jiān)督管理法》等法律法規(guī)沒有明確規(guī)定個人金融信息保護工作的監(jiān)督管理部門�。由于缺乏基礎性制度支持,金融監(jiān)管部門執(zhí)法時�,對違法行為的認定和處理存在較大困難�,能夠用來處理違法金融機構的手段少之又少�,只能運用通報、約見談話等懲戒性不強的手段�,不能對違法機構產生威懾力。
4.保護意識待強化
一方面�,金融機構對個人信息安全保護認識不足。缺乏個人信息安全管理制度�,對客戶個人信息保密責任不明晰,沒有對信息實行有效的安全等級分類管理�;對制度的執(zhí)行監(jiān)督檢查、評估不夠�,而問責更少,對掌握重要信息的離崗人員的保密責任沒有嚴格的約束措施�。另一方面,公眾對個人信息保護雖有一定的認識�,但對個人信息的重要性及個人信息保護制度的相關細節(jié)卻普遍缺乏深入的了解,對個人信息保護的意識并不高�,風險防范意識較為薄弱。
四�、加強我國個人金融信息保護的建議
(一)立法理念
1.保護模式的選擇
美國采取分散立法模式�,歐盟采取綜合性的立法模式。兩種立法模式均有其深刻的歷史和社會背景�。分散立法模式使得美國對個人信息的保護顯得錯綜復雜。不同類的信息由不同的法律管轄�,不同機構涉及個人信息的行為也由不同法律管轄�,這種“支離破碎”的模式要較歐盟的“綜合”模式在法律保護的充分性上相對弱一些�。歐盟模式是對所有行業(yè)實行統(tǒng)一標準,并在歐盟內部確立了個人信息保護的最低標準�,該模式有利于個人信息得到全面的保護。但同時�,歐盟的全面立法也可能阻礙個人信息的正常流通。
鑒于兩種制度都各有其利弊�,我國比較好的選擇是采用統(tǒng)一立法與行業(yè)自律結合的保護模式,制定個人信息保護法作為對我國個人信息保護的基本法�,并結合金融行業(yè)的行業(yè)自律,為個人金融信息的保護構建出一個基本的框架�。同時,修正我國現(xiàn)行法律已有的相關條款�,對銀行保密做出明確的規(guī)定,并根據經濟�、社會發(fā)展之需要而在金融領域制定專門的法律法規(guī)來完善對個人金融信息的保護。
2.隱私權保護和信息公開的協(xié)調
為平衡對個人金融信息的保護與信息公開之間的關系�,協(xié)調其相互沖突的價值,需要遵循以下原則:
(1)公共利益優(yōu)先原則
這項原則要求凡是與社會政治和公共利益有關的信息�,政府享有知情權,有權將此信息公開�。個人金融信息利益與公共利益發(fā)生沖突時,個人金融信息利益應讓位于公共利益�,以確保公共利益的優(yōu)先實現(xiàn)。
(2)權利協(xié)調原則
這項原則要求對具體情況進行具體分析,達到權利的協(xié)調與平衡�。在社會生活中,金融信息權和政府知情權都十分重要�,對任何一種權利都不能完全拋棄。因此�,權利協(xié)調原則就是要求一種權利做出讓步以便使另一種權利得到基本滿足。
(3)最大限度保護人格尊嚴原則
在一些特殊情況下�,金融隱私權必須讓位于政府知情權,但是政府在利用個人信息時必須最大限度的保護公民的人格尊嚴�。必須對行政機關收集和利用個人信息做出限定,賦予信息主體知情權和救濟權�,確立政府、個人�、金融機構、法院四方主體共同構成的金融信息獲知與保密的平衡關系�。
(4)信息流通原則
高度發(fā)達的信用體系在防范金融風險,提高市場資源配置效率等方面發(fā)揮著積極作用�。信用從封閉走向公開,這是現(xiàn)代商業(yè)社會發(fā)展的需要�。信息時代對個人金融信息保護的原則是力求獲得兩者的平衡,即既要保護個人金融信息�,又不能使對個人金融信息保護成為信息自由流通的障礙。個人信息立法應該兼顧個人權利的保護與信息自由流通兩個目標�。
(二)構建我國個人金融信息保護制度的具體建議
1.明確個人金融信息的法律地位
構建個人金融信息保護制度,首先必須明確個人金融信息的法律地位�。加快個人信息保護立法步伐,條件成熟時�,制定專門的《個人信息保護法》;盡快修改《中國人民銀行法》�、《商業(yè)銀行法》、《證券法》�、《保險法》等法律,明確金融機構保護個人金融信息的義務和法律責任�;進一步強化金融部門規(guī)章立法建設。形成以專門法律為核心�、其他法律法規(guī)相配合、部門規(guī)章和制度為補充的個人金融信息保護法律體系�。
2.明確個人金融信息的主體
個人金融信息主體應當是個人金融信息的所有者,個人金融信息主體對其自身的金融信息享有所有權�,能夠占有、使用�、收益和處置自己的金融信息??擅鞔_規(guī)定信息主體至少應包括以下權利:一是知情權,信息主體有權知曉金融機構收集�、使用、披露�、轉移個人金融信息等的目的、范圍�;二是選擇權,信息主體可自主選擇是否接受金融機構對其個人金融信息的收集�、披露等�;三是訪問權�,有權查詢其在金融機構的個人金融信息及其管理情況;四是異議權�,信息主體有權要求金融機構對其個人金融信息進行適當更改、刪除�;五是索賠權,信息主體有權要求其信息免受非法和不當使用的侵害�,并在遭受侵害時要求賠償。
3.明確個人金融信息的內容
如果將金融信息視為個人產權的話�,權利的行使必然涉及產權界定,而明確金融信息保護的范圍實質上就是界定產權的邊界�。因此,要科學劃定個人金融信息的包含內容�,建議以列舉加兜底的方式,明確個人金融信息保護的范圍�,如個人身份信息、財產信息�、賬戶信息、信用信息�、金融交易信息、衍生信息�,以及金融機構在與個人建立業(yè)務關系過程中獲取、保存的其他個人信息�。
4.明確個人金融信息保護的例外情形
在強調對個人金融信息保護的同時,出于對國家利益�、社會公共利益等因素的考慮�,也應明確對個人金融信息保護的例外情形――信息披露�。例外情形可以包括以下幾方面的內容:源于法律的規(guī)定而進行的信息公開�、出于公共利益的考慮而對個人金融信息的披露、基于征信的需要而進行的信息交流�、金融機構基于自身的利益而進行的合理披露以及經客戶同意而進行的信息公開等。
5.明確個人金融信息保護的監(jiān)管機關
可設立獨立的機構或指定機構負責個人金融信息保護的監(jiān)管�,明確監(jiān)管職責。監(jiān)管機構負責建立個人金融信息保護的統(tǒng)一規(guī)范和標準�,督促金融機構加強信息安全管理,強化個人信息數據庫的管理�,防止信息被濫用等。為確保監(jiān)管機構更好第履行個人金融信息保護職責�,法律應賦予監(jiān)管機構必要的監(jiān)管手段,對違規(guī)泄漏個人金融信息�,造成個人損失或引發(fā)不良社會影響的,可實施行政處罰或采取其他監(jiān)管措施�。
6.明確個人金融信息保護的救濟機制
我國現(xiàn)行法律制度對個人金融信息侵權的民事責任缺乏規(guī)定或是規(guī)定得過于抽象,信息主體在權利受到侵害后不能尋求充分的救濟�。我國在制定及修正相關法律法規(guī)時應對法律責任進行重構,能夠對民事責任給予更多的關注�,以建立更為科學的個人金融信息保護法律責任體系。我國《民法通則》第一百三十四條規(guī)定了承擔民事責任的方式�,包括:(1)停止侵害;(2)排除妨礙�;(3)消除危險�;(4)返還原物�;(5)恢復原狀;(6)消除影響�、恢復名譽;(7)賠禮道歉�;(8)賠償損失。在侵害個人金融信息所應承擔的民事責任方面�,賠償責任是關注的焦點。個人金融信息侵權行為侵害的是信息主體于個人金融信息上的一般人格權�,對人格權的侵害將可能造成本人的財產利益損害和人身利益損害。因此�,侵害個人金融信息的賠償責任也應包括財產損害賠償和精神損害賠償。
參考文獻:
[1]張磊.個人金融信息保護管理現(xiàn)狀與改進[J]. 中國金融電腦�,2012,(2).井慧寶�,常秀嬌.個人信息概念的厘定[J].法律適用,2011�,(3).
[2]艾瑞咨詢.2011 年中國網絡購物年度數據. http:///others//20120113/161491.shtml,2012-01-10.
[3]人民網.信用卡泄密波及中國持卡人 四商業(yè)銀行緊急應對. http://.cn/GB/3493444. html�,2005-06-24.
[4]王寶剛,張立先�,馬運全,荊偉�,陳 晨.個人金融信息保護法律問題研究[J].金融理論與實踐,2013�,(2).
[5]周學東.關于完善個人金融信息保護法律體系的思考[N].金融時報.2013-03-18.
[6]陳永.歐盟和美國關于信息隱私保護的比較研究―兼論“9.11”后隱私立法政策的變化[A].北大國際法與比較法評論[C].2003.
[7]熊遠艷.論個人金融信息的法律保護[D].重慶大學�,2008.
[8]齊愛民.制定個人信息保護法的人權意義與經濟功能[J].嘉興學院學報�,2007.
