调研显示个人信息泄露近八成源自内部作案- [复制链接]

调研显示个人信息泄露近八成源自内部作案 x]({Po4  
　　人物档案 p1dqDgF*  
　　高炽扬，工业和信息化部计算机与微电子发展研究中心副主任。 6bL"ZOEu  
　　对话背景 0(owFNUBs  
　　4月12日，工业和信息化部宣布《信息安全技术：公共及商用服务信息系统个人信息保护指南》(下称“《指南》”)已编制完成、通过审议，上报至国家标准化管理委员会。该《指南》预计将于今年出台。 oB3,"zY  
　　近年来，国务院、银监会、保监会等多部门已先后发布个人信息保护有关规章近200部，但个人信息泄露案件仍在近期呈集中爆发之势。在此背景下，《指南》的出台有何意义、还需填充哪些细化标准？立法滞后成因何在？公众的自我保护诉求及保护意识现状如何？近日，中国青年报记者专访了《指南》主要起草人高炽扬。 D,aJ`PK~  
　　中国青年报：如何看待《指南》出台的意义？ Ek!$Ary  
　　高炽扬：即将出台的《指南》是一个整体的标准、框架。这样一来，个人用户和相关机构都有了参照标准，行业主管部门也可以通过这些指标梳理和评价行业的发展现状。 S-FoyID\H  
　　《指南》是个人信息领域的国家标准。在这一基础上，还要根据各个相关行业的性质、需求出台具体的管理要求、技术要求、评估准则。和个人信息打交道的行业包括医疗、保险、银行、房屋中介、婚恋网站等等。各行业对个人信息保护的需求不相同，标准自然各异。比如对医院而言，用户的身高、体重等属于一般信息，但是在婚恋网站上，这些就属于敏感信息。所以，未来在基本框架的基础上，还有很多细节需要填充。 W#pA W  
　　中国青年报：为何该领域的立法停滞不前？ rcc.FS  
　　高炽扬：我认为，法律出台需要两个前提：其一是法律条文基础，这需要法学界和行业主管部门、社会各界的共同认可。目前在这一领域，法律学术上的很多基本概念、立法角度、依据都尚未理清。 n&?]GyQ  
　　其二是出台时机，即法律的出台是否有需求。个人信息泄露案件频发、用户保护诉求增强都是近两年集中出现的，因此造成了法律的滞后。但我认为，目前立法时机已经逐渐成熟了。我们要防止信息安全问题制约未来信息化的发展。 Jm%hb,  
　　中国青年报：也有观点认为，个人信息保护、采集涉及诸多相关领域和部门。正是各个行业、部门间的利益关系仍未理清，才导致了立法的停滞不前。对此你怎么看？ yIS.'mK  
　　高炽扬：不同的行业、部门必然有各自的考虑和需求，有争论是客观存在的。在个人信息领域划清其各自的权利和义务界限，需要一些时间。 .3(=UQ  
　　中国青年报：对一些用户而言，个人信息泄露会带来哪些危害，仍是个比较抽象的概念。公众的防范和自我保护意识仍较弱。你能举例说明住址、财务状况等信息泄露会给个人带来哪些具体伤害吗？ bL=32YS  
　　高炽扬：比如手机诈骗是常见的犯罪手段。近几年，这一犯罪手段衍生出了新的方式。犯罪分子在获得了该号码用户的姓名及手机内联系人的号码后，往往会用一个新号码短信通知联系人：我换号码了，我是某某某，请惠存。收到这样的信息后，我们通常不会进一步确认短信的发送人是谁。这样一来，犯罪分子使用的号码就替代了原用户的号码。 {H$F!}a  
　　这只是前期铺垫。过了几周后，犯罪分子便会用这个号码向联系人借钱。这样一来，整个诈骗环节的可信度就增强了很多。这个事例仅仅是个人信息泄露危害性的冰山一角。还有许多数目巨大的商业诈骗也都源自个人信息泄露。 3@k;"pFa<  
　　中国青年报：目前，个人信息泄露的主要渠道是什么？ >R5qhVYFb  
　　高炽扬：在调研中，我们发现近八成的个人信息泄露源自信息所有者的内部作案。但调研还发现，在内部泄露事件中，泄露主体大多是员工个人，而非相关机构。原因在于，对于某一机构而言，出售用户信息所获得的回报和因此造成的经济及名誉损失不成比例。大部分企业还是能够做好自律工作的。但对于某些个人员工而言，出售用户信息带来的收入确实可观。 @IaK:  
　　这暴露了一个问题：正因作为信息管理者的相关机构并未有效履行自身职责，才使得技术和管理制度上存在漏洞，导致客户信息泄露。因此，如何弥补这些漏洞，才是相关机构应当反思的。 3I)!.N[m  
　　在近年调研中，我们发现作为信息的管理者，一些机构缺乏起码的防范意识。比如在其内部手机、电脑等电子设备的使用，应当严格限制；比如存贮个人信息电脑的安装位置要有所注意，不能屏幕直接冲外；比如用户信息在使用之后，应当做到及时彻底删除；比如应严格限制可能接触到用户信息的人群，等等。 \wmNeGC2  
　　中国青年报：在当前技术、法律保护缺失的背景下，个人用户应当具备哪些防范意识？ O*af`J{  
　　高炽扬：目前，个人用户对信息保护的诉求很强烈，但保护意识普遍薄弱。比如复印身份证后，我们应当在四周写上“本身份证用于某某用途”，以防别人拿作他用。对于无用的个人信息，我们应当做到自行粉碎或将重要信息划去。在被要求填写住址、年龄、单位、身份证号等信息时，我们脑海中要有所警惕：我需要提供这些信息吗？比如在商场办会员卡，其实只需填写姓名就足够了，其他信息理应拒绝提供。 Sb&sW?M  
　　对个人而言，最为重要的信息包括身份、财产、位置三方面。还有，信息的加工和处理环节，个人用户无法参与和控制，但收集和删除环节则是我们可以改善的。</td> #y~`nyg%|  
               l8n}&zX