|
解説:個人信息洩露屢禁不絕,個人信息保護國標有望&&。
歐陽武(工信部信息安全協調司副司長):估計今年上半年可能能&&。
解説:指導性行業標書細節有哪些?我的信息該如何保護?《今日觀察》正在評論。
主持人(陳偉鴻):這裡是正在播出的《今日觀察》,歡迎各位的收看。今天我們要談的話題和每一個人都息息相關,那就是個人信息的保護。買房、買車、生孩子在我們生活當中個人信息洩露的狀況一直是一個熱門的話題,日前,工信部有關負責人&&,今年上半年我國將&&個人信息保護的國家標準。行業標準透露出哪些個人信息保護的新細節呢?在新標準當中我們是否可以紮緊個人信息洩露的籬笆?我們的信息究竟該如何來保護?
今天我們演播室當中的兩位嘉賓是北京郵電大學經濟管理學院信息經濟與競爭力研究中心的主任曾劍秋,以及我們財經頻道的評論員霍德明。好了,節目一開始,讓我們先來看一看新聞。
石家莊市民1:(有推銷)保險的,然後有賣化粧品的,還有什麼,反正好多推銷的東西,有時候甚至一打電話,知道我們叫什麼名字,我還以為是什麼熟人呢。
石家莊市民2:自己的隱私或者説自己的電話號碼,讓別人知道了挺可惡的。
解説:如何多管齊下,紮好信息安全保護的籬笆?工業和信息化部信息安全協調司副司法歐陽武&&,《信息安全技術公共及商用服務信息系統個人信息保護指南》預計上半年&&,標準明確了個人一般信息和個人敏感信息的概念,並提出默許同意和明示同意的概念。
歐陽武(工信部信息安全協調司副司長):對於一些像財務、身體狀況,包括一些婚姻狀況,包括一些你自己感覺對你的隱私、對你的社會評價,你非常在意的一些數據、一些信息,那麼我們把它定義為個人的敏感信息。那麼對於這一類信息如果要處理、要蒐集的話,那就必須首先得到明示同意,就是説你必須得到明確的同意,你才能處理。
解説:而像姓名、通訊地址等信息,則屬於一般信息,這些並不是隱私性非常強的信息,因此在用戶個人不明確&&反對時,個人信息管理者是可以處理的,標準還規定了,個人信息管理者在對個人信息進行處理時,應遵循的基本原則。
像目的明確原則:就是處理個人信息具有特定、明確、合理的目的,不擴大使用範圍,不在個人信息主體不知情的情況下改變處理個人信息的目的。
最少夠用原則:只處理與處理目的有關的最少信息,達到處理目的後,在最短時間內刪除個人信息。
公開告知原則:對個人信息主體要盡到告知、説明和警示的義務。以明確、易懂和適宜的方式如實向個人信息主體告知處理個人信息的目的、個人信息的收集和使用範圍、個人信息保護措施等信息。
下一步有關部門還將培養扶持獨立的第三方專業機構,對企業保護個人信息的工作進行全方位審查,保證系列標準的落實。
主持人:這次當我們在看到個人信息保護指南當中,提到的一些新提法的時候,我們就非常的感興趣,在標準當中提出了“個人一般信息”和“個人敏感信息”這樣兩個概念,同時,也提出了“默許同意”和“明示同意”這兩個概念,這些概念聽上去非常的嚴謹,但是我希望兩位能夠用通俗一些的語言,給大家介紹一下,這些新概念對於我們未來的信息保護會起到什麼樣的作用?
霍德明(財經頻道評論員):是,信息保護這個事,其實2003年工信部就開始着手準備了,但是由於它相當複雜,所以到現在為止,工信部才正式公布《指南》,而這裡面,你剛剛提到説,個人一般信息、個人敏感信息,我的解讀,就跟開車的時候紅燈跟綠燈一樣,基本上這個一般信息就定義為綠燈,如果這種信息一般像我們電子郵件,甚至電話號碼,這個東西,如果説是在收集信息的時候,我們個人很清楚的看到,這是綠燈信息,這個訊息隨時可以比較透露出去,也沒有什麼關係,甚至就是你剛剛説的所謂默許同意你使用這些東西了。但是如果是紅燈信息的話,這就是我們的敏感信息了。
主持人:敏感信息。
霍德明:敏感信息當然有很多事情,比如説包括你的生辰八字。
主持人:對。
霍德明:還有個人比較。
主持人:銀行卡號等等。
霍德明:銀行卡號密碼的話,這肯定是紅色、紅燈信息的。對於一般人以前沒有這個訊息,紅燈綠燈概念的時候,他是搞不清楚的。
主持人:對。
霍德明:這次總算出了一個指南,那麼大家知道了,一看他在收集我的紅燈信息了,我會警惕一點了。
主持人:是,曾教授您是業內人士,你幫我們來分析一下,當我們看到這些《指南》當中的新提法的時候,是不是可以解讀為未來我們將會有一些更具體、更詳細的規定,包括一些技術上的手段,來切實的保障每個人個人信息的安全。
曾劍秋(北京郵電大學經濟管理學院信息經濟與競爭力研究中心主任):對,我同意這麼一個《指南》,應該説是對信息的治理,尤其是當前信息氾濫的今天,一個很好的基礎,可以説,萬里長征開始了第一步。
那麼對於這些概念,我覺得剛才咱們專家也解釋的比較清楚,霍教授都講到了,我想就是從另外一個角度來解讀一下,就是這個指南當中,其實有一個很重要的一個內容,那就是用國外話就是Limited
information,就是有限制的信息,其實我們區分這個信息它是什麼,其實有時候主要是看你怎麼用。
所以我們過去就是談這個實名制的時候,就是搞實名制的時候,我就談過這個,我們實名制其實只需要最基礎的信息就行了,不要就什麼都去把它登記上,比方説……
主持人:別讓我們填那麼大堆。
曾劍秋:不讓你填那麼長,對吧。比方説,知道你的名字,知道你的&&方式,你這個人是男的,是女的,有什麼關係,沒有關係。
所以實名制當時我們也提過這樣的一些概念,就是怎麼樣獲取那些,你這個信息當中要用的這些信息。
所以一個信息它是不是有用,是不是需要去公開,這個其實真正決定的人應該説是用戶自己,就是我的信息,你哪些不能夠洩露,哪些可以洩露,其實應該説是比較複雜的,但是真正的決定權呢,應該是信息擁有者本身。
主持人:很多人也認為,這萬里長征的第一步更多的解決的是一些技術上的一些問題,那我個人也有一個擔心,因為我們的這個《指南》,它並不是一個強制性的執行標準。
曾劍秋:對。
主持人:它到底在多大程度上,能夠真正地保護我們的個人隱私?你們二位怎麼看?
曾劍秋:那麼這一個行業《指南》呢,我覺得主要還是指導性的,那麼在多大程度上能夠保護,我認為很難説,這個咱們要實話實説,目前,畢竟有比沒有要好,那麼在這個過程當中,我覺得最關鍵的部分,就是對於消費者來説最關注的部分,就是説我的信息如果被你洩露出去了,應該怎麼去懲罰。
所以我覺得在這個《指南》頒佈以後,相應的一些其他的一些措施,我覺得也要到位,對於用戶的信息的保護,我認為需要相當多的一些措施,同時也需要一些相應的監管部門的配合。
主持人:我想《個人信息保護指南》的&&,之所以引起如此高的一個關注,是因為在之前我們確實遭受到了個人信息洩露之後的種種的一些不愉快的記憶,甚至在很多媒體的報道當中,我們也看到個人信息被洩露之後,帶來的種種非常令我們失望的後果,我們再看看下面這個小片的記錄。
解説:在北京市二中院近期審理的一起案件中,北京電信客戶投訴處理部的職員張平坐到了被告席上,她將自己利用工作之便獲得的數百條基礎信息和通信清單提供給自己的男友進行銷售。
孫威(北京市人民檢察院第二分院檢察員):他們(信息販子)唯一的難點,就是在於找到這些信息的源頭,於是呢,他們就用各種方法,其中包括金錢收買或者利用親情、友情進行蒙蔽,獲取這些公民個人信息,被拉攏的人員既包括電信單位的工作人員,也有一些其他單位的工作人員,這些單位的共同點就在於能夠通過履行職務獲取到大量的公民個人信息。
解説:另一名被告謝新衝,是北京一家通信技術公司的運維部經理,手機定位是移動公司授權這家公司開通的一項主要業務,謝新衝以此進行牟利,為一些人提供了90多個手機號碼的定位,獲利9萬多元。
謝新衝(被告人):因為他們給的服務費比較高,所以就給他們做了。
公訴人:按照正常的服務費應該是多少?
謝新衝:正常應該是100元。
公訴人:你收是1000到1000多不等對嗎?
謝新衝:對。
解説:記者從北京一些法院獲悉,公司內部工作人員洩露用戶個人信息的案件近年來並不少見,他們中很多只是公司的一般工作人員。
孫威:現在我們看有一些勞務公司委派到電信從事10086客服的工作人員,就可以接觸到大量的公民個人信息,按照一般理解,這些客服人員的級別應當是比較低的。
解説:這些內部人員獲得公民個人信息後,主要是向活躍在公民信息QQ群裏的一些信息販子進行出售。
劉紅波(信息販子):機主信息是30塊錢一個,話單有300元的,然後有500元的,然後還有1000元,1100元、1200元的,然後定位是2000元。
解説:就這樣,簡單的“買賣”二字背後,信息員、中間商和客戶三大群體環環相扣,構成了一條完整的産業鏈條。
在今年本台3�15晚會上,涉嫌非法獲取買賣公民個人信息的上海羅維鄧白氏公司被曝光,這家公司掌握中國中高端消費者數據超過1.5億條,相關公司負責人已被警方立案調查。
主持人:如今在個人信息被買賣的背後,我們看到了這樣一條觸目驚心的産業鏈,其實呢,正像剛才短片當中所説的,在一些商業機構當中,有些人可能是沒有經過授權或者説他的級別本不該接受到如此高級別的一些個人信息的人,他們輕而易舉地就可以獲取我們任何人的個人信息,如果説沒有嚴格的規範的話,這些信息就會被輕易地買賣。所以我在想,你包括了教育機構、包括了醫療機構、電信機構、銀行機構等等,這些商業機構可能需要儲存公民的個人信息,但是怎麼樣來強調他們的責任?來督促企業更好地保護我們個人的隱私?
霍德明:我來給你念一段我們現在《刑法》裏面有規範的,《刑法》第235條規定:國家機關或者金融、電信、交通、醫療、教育等單位的工作人員違反國家規定將本單位在履行職責或者提供過程中間,把這些訊息洩露給其他人的話,情節嚴重者處三年以下有期徒刑或者拘役或者罰金……
好,這個東西,剛剛我們小片裏面看了,其實現在洩露信息的情況遠比這個更廣泛得多,而且很多人罰的話,光用《刑法》規範不到的,這次的《指南》裏面,我剛剛已經把它比喻成紅燈跟綠燈的訊息了。
主持人:是。
霍德明:如果説是你收集一旦綠燈信息的話,包括洩露起來大概也沒有太多的《刑法》上的憂慮,而如果是紅燈信息你收集到了,不僅是國家單位,一般商業公司,你在收集訊息的時候,你要告訴被收集者個人,我在收集你的紅燈信息,這個紅燈信息如果説是將來要被洩露的話,那可能會牽涉到法律的認定的問題。當然目前為止我們對信息洩露只是《指南》,將來我相信《刑法》上面還會有更詳細的一些規範。
曾劍秋:但是呢,信息洩露這樣的問題為什麼屢禁不止?為什麼這樣氾濫成災?我覺得首先要對信息源洩露的“源”要把它搞清楚,就是這個信息哪些方面去洩露出去的。剛才我們談到了,就是説,買房、買車,是吧,上學填的信息可能會有信息源。
主持人:對。
曾劍秋:電信公司你要去在他那註冊,你要有信息。
主持人:要辦銀行卡。
曾劍秋:對,辦銀行卡也要信息,這些信息我們前面時間討論了一個問題,就是要怎麼樣才能夠信息不被洩露出去,尤其是剛才霍教授提到的紅燈的信息不能洩露出去?
主持人:個人敏感信息。
曾劍秋:這個其實可以通過一些方式,比方説,我們前面談到的就是盡量少的信息去登記;還有一個方面,其實在當前信息洩露或者信息氾濫比較嚴重的,那就是信息它可以從多種渠道去收集,現在有一些黑客,比如説他做“拖客”,專門只要你出錢,他就可以去幫助你去找信息,這都説明什麼了,説明有着利益鏈在那裏起作用。
主持人:沒錯。
曾劍秋:有利益,所以呢,我覺得肯定要去加強打擊,但是在那之前,我們應該把這些信息源,把這個洩露的信息源也要去區分清楚。除了我們剛才講的註冊的同時還有在技術方面的,由於信息技術的發展,那麼信息源的渠道多種多樣,這也是我們在新的時期,可能對於用戶、對於消費者的信息保護這方面,尤其是我們未來《指南》定了以後,未來採取哪些措施保護消費者的信息,用戶的信息這個要去注意的,就是不僅要有法律手段,還要有一些技術手段。
主持人:個人信息的保護,可以説是任重道遠,其實在全球範圍裏,個人信息的安全同樣也是我們大家共同面對的一個挑戰,那麼在全球當中,究竟還會有一些什麼好的做法值得我們借鑒呢?稍後的節目繼續我們的評論。
解説:紮緊籬笆,防止信息洩露,個人信息安全出路在何處?《今日觀察》正在評論。
主持人:歡迎回來繼續收看我們今天的《今日觀察》,其實個人信息的保護是一個世界性的話題,國外已經探索出了不少成功的經驗,我們接下來一塊來了解一下。
解説:國外在個人信息保護方面,已取得不少進展,能為我們提供一些借鑒。
美國:自律模式
近期美國信用卡賬戶信息,可能遭大規模盜取,涉及萬事達和威視國際組織等機構信用卡用戶,波及賬戶數量可能多達一千萬。
美國對個人信息的保護起步比較早,且多采用行業自律模式,在互聯網方面,美國在線隱私聯盟於1998年公布了一份《指導網絡和其他電子行業隱私保護的指南》,採取網絡隱私認證計劃,要求那些被許可在網站上張貼其隱私認證標誌的網站,必須遵守在線資料收集的行為資格,並且服從多種形式的監督管理。
此外,針對信息安全事故的增多,美國也頒佈相關法律保護信息安全。
歐洲:嚴格的法律法規
歐洲也經歷過幾次大的數據洩露事件,2007年英國海關及稅務總署保存的兩張數據光盤丟失,上面有2500萬人的姓名、住址及相關銀行帳戶等信息。2008年,1700萬德國電信用戶的個人數據遭洩露。
歐洲在保護個人信息方面成效顯著,這與歐盟採用嚴格的法律法規來加強信息保護不無關係,1995年,歐盟通過《歐盟個人數據保護指令》協調各國國內法以確保個人信息在歐盟範圍內自由流動,各歐盟國家也分別制定國內的相關法律,保護信息安全。
德國與1976年頒佈《聯邦資料保護法》,法國於1978年通過《法國自由、檔案、信息法》,1984年,英國制定《數據保護法》。
日本:各方保護意識強
日本2005年個人信息保護法開始生效,這是日本保護個人信息安全的根本法律,日本企業在管理客戶信息方面非常嚴格,從公司發出的郵件,公司管理人員和監管部門都嚴格審閱,公司的手提電腦一般不允許帶出公司,一旦存有客戶信息的電腦丟失,媒體就會爭相報道。
主持人:剛才我們看到國外在個人信息保護方面,他們已經取得了這樣或者是那樣的一些進展,我也知道目前在保護個人信息方面,國際立法界有一個非常流行的提法或者是做法,叫以預防為主,兩位來幫我們解讀一下,什麼的做法可以稱之為以預防為主。
霍德明:我剛剛舉的比喻,個人信息沒了,紅燈綠燈,在這個交通標誌其實就是一個預防的工具,告訴一般開車的人,看到紅燈你要預備停車了,當然將來也許在個人信息洩露這個指標上面,還可以多個黃燈,黃燈信息,這代表的是你願意告訴別人或者是以某種形式的默許,如果多幾層這種預防標誌的話,對於個人來講,它肯定第一個自己有警惕,而對於收集這個信息的公司來講,他更知道了,我們剛剛小片裏也看到了,大部分是公司的員工把它洩露出去的。
主持人:沒錯。
霍德明:個人警惕心加上公司的如果不警惕的話,個人信息還是沒有用的。
主持人:對。
霍德明:如果把個人保護到了,公司也能保護到,預防上面紅燈、黃燈、綠燈,三個信息把關到的話,再加上事後法律上的嚴懲,可以有警示作用。
主持人:曾教授您的看法?
曾劍秋:首先我們這樣的一個指南的&&,就是一個預防性的這樣的措施,那麼要一步一步走,要讓社會、要讓老百姓,然後還有這些要去洩露信息的人,當然也包括我們這些企業來明白洩露信息這個事情,你是要承擔責任的,是吧。所以我們有一個指南,將來有一個信息的法律,這樣來從法律的角度去保障,這個是第一個方面。
第二個方面我認為非常重要的就是因為信息氾濫,我們剛才講了,它出現了新的趨勢,不是簡單的説,知道這個人家住哪這樣的問題,而是因為信息有編造信息,編造信息,你沒這個事,他給你編造信息洩露出去,這個也是應該説很可惡的事件。
還有就是去接受這個錢,然後幫人家去找信息,這都是應該去防範的,那麼這些方面當然也可以從法律方面去追究、去懲罰,但是我覺得同樣也是要從技術方面去採取一些措施。
第三一個方面,那就是這個社會人的意識對信息,比方説洩露信息有的甚至可能導致家破人亡,這樣的一些事件,有很清醒的認識,這個也是非常重要。
主持人:每個人需要更加珍視自己的信息。
曾劍秋:珍視自己的信息。
主持人:我們接下來也來看一看,今天網友對於我們現在正在討論的這個話題有着什麼樣的一些觀點表達,首先我們看到這位叫“牽牛花”的網友,他提到:標準的&&會對個人信息的保護有一定的促進作用,只是實行起來還需要一定的技術和管理者的責任心。個人信息洩露,問題出在有利可圖。想要根治,就該斬斷利益鏈。對那些洩露信息的人,應該&&非常嚴厲的措施,像查處酒駕一樣力度狠、管得嚴,才能夠真正的出效果。
剛才我們看到的是來自網友的觀點,那麼接下來我們也來看一看,今天的特約評論員對這個話題有着什麼樣的評論。
周漢華(中國社會科學院法學研究所憲法與行政法研究室主任):從標準來看因為它是通過工信部提出,由國家標準委最後來制定發布,所以它一定會對整個行業,對我們的個人信息保護的觀念認識,一些企業的做法,會産生一定的影響。
當然另外一個方面我們也要看到,它只是一個推薦性的標準,不是一個強制性的標準,得到遵守是需要取決於企業或者市場主體,自覺自願的配合,同時作為標準來説,它的執行也相應的缺乏法律的威懾做保障,要真正全面的解決現在個人信息濫用的問題,是一個系統的工程,除了這種行業自律這種機制之外,其實更重要的是要建立法律權威。
所以首先是應該要制定統一的《個人信息保護法》,同時還需要我們一直也建議,應該設立專門的個人信息保護執法機關,通過有效地行政執法、刑事執法,通過民事救濟手段配合上我們這種行業自律的機制,同時也需要進行相應的個人權利保護的教育,使我們的信息主體自己也能知道,怎麼來更好的保護自己的權利。
主持人:那麼在未來你們二位對於提高個人信息的這種保護度,還會有什麼樣的建議?
霍德明:我覺得信息保護,就跟電腦的防毒軟體一樣,它只要技術在進步,永遠就會有病毒出來。
所以這個信息保護和洩露,它是與時俱進的一件事情,我們只有事先預防,就像是電腦病毒,它永遠會出來,我要有新的防毒軟體對付它。
曾劍秋:信息的這種發展,我們剛才講到,我覺得要兩個方面,一個方面我們就是要去相應的立法,是吧,這是國外成功的經驗。
主持人:沒錯。
曾劍秋:另外一個方面,我認為就是技術手段的發展,這兩個方面應該説是相輔相成的,也是相互配合起來的。那麼在信息技術發展今天,可以説,這個信息洩露的方式多種多樣,包括有一些黑客去盜取信息,他手段也很高明,但是呢,發現盜取信息的技術也在發展。
所以我覺得這樣的一個發展過程就是我們從預防也好,從減少和杜絕信息的洩露也好,我們覺得離不開技術手段和這樣的一些相關法律法規的制定……
|