泛网络时代的个人信息安全
手机淘宝,发红包,订机票……当我们享受着网络给予的便利时,却浑然不知自己的隐私信息正在被非法分子利用。据统计,目前信息安全“黑洞门”已经到触目惊心的地步,网站攻击与漏洞利用正在向批量化、规模化方向发展,用户隐私和权益遭到侵害,特别是一些重要数据甚至流向他国,不仅是个人和企业,信息安全威胁已经上升至国家安全层面。37%的国内网站存在漏洞
补天漏洞响应平台上收录的数据显示,目前该平台已知漏洞就可导致23.6亿条隐私信息泄漏,包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的最主要来源是:互联网网站、游戏以及录入了大量身份信息的政府系统。根据公开信息,2011年至今,已有11.27亿用户隐私信息被泄漏。
“这个数据意味着,我们几乎每一个上网的人,自己的信息都可能已经在不知不觉中被窃取甚至利用。”一位网络安全方面权威人士坦言,这仅仅是冰山一角,更令人担忧的是,实际情况比这一统计数据还要严重。目前越来越多的信息安全泄露都是冲着“钱”去的,下一步金融、网上支付等将成为重灾区,从目前暴露的信号来看,以芯片、电脑、设备等为载体,甚至一些涉及国家安全的能源、资源、航空等领域都将可能爆发信息安全问题。
据了解,自2011年国内最大的IT技术社区CSDN曝出泄密事件以后,网站被拖库和撞库事件不断发生。2014年,撞库攻击达到前所未有的高峰期。从补天漏洞响应平台等渠道披露的信息来看,2014年,包括无秘(原秘密)、大众点评网、搜狐、安智网、汽车之家、搜狗、印象笔记等多家国内知名网站都遭到了撞库攻击,导致大量用户的个人信息泄漏。
从12306信息泄露、携程信息泄露,到近期江苏省公安厅曝出海康威视监控设备安全隐患事件……种种迹象表明,对于正在大力发展信息经济与互联网经济的中国,网络信息安全保护问题已经迫在眉睫。
“在数据泄露的背后更多暴露的是网站的安全。”补天漏洞响应平台负责人说,网站安全直接关系到大量的隐私信息、商业机密、财产安全等数据,目前用户数据的收集、存储、管理与使用等均缺乏规范,更缺乏监管,主要依靠企业自律。但是对门户网站电商等而言,一方面网络信息安全保护意识缺乏,另一方面也缺少网络信息安全的技能,即使出现了信息泄露问题,往往采取“捂盖子”的方法,只要不曝光就行。
一组数据更加值得警惕。据测算,目前超过37%的国内网站存在漏洞,利用网站漏洞的攻击以近5倍速增长,网站信息泄漏的风险越来越大。2014年前11个月,360网站安全检测平台共扫描各类网站164.2万个,较2013年的91.2万个增加了80.0%。其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%。其中,存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,较2013年1.21亿次,增长了约4.8倍。
实际上,如果真正重视保护用户的信息安全并进行相当的技术投入等,80%以上的信息安全事故是可以避免或及时弥补的。但实际上,很多企业明明知道有拖库,信息被泄露,但只要没有被曝光,仍然是睁一只眼闭一只眼。因此,信息安全立法中,国家除了要加大对网络安全方面的人才培养,更要明确网站安全的责任和相应的处罚机制,只有这样才能真正约束企业行为,使其能够保护用户隐私乃至产业安全和国家安全。
公安部第三研究所所长严明表示,我国建立了对信息和信息载体按照重要登记分级保护的信息安全等级保护制度,但因为缺少法律依据,这个机制并未及时启动并发挥作用。而关于追责措施,有关规定也有,但是并没有量化,存在管理的灰色地带,可以说,这个机制是否有效对于国家安全关系很大,因此需要加快信息安全立法。
360公司董事长兼CEO周鸿祎则建议,重塑信息安全要遵循三个基本原则,即以保护用户隐私和数据安全为前提,明确用户对信息数据的所有权,明确企业对信息数据的保障义务,并保障用户在信息交换和使用时的知情权,是互联时代保护信息安全的基础。
两会提案保护个人信息安全
全国两会已拉开大幕,信息安全成为重要议题。李克强总理在3月5日的政府工作报告中提出:加强事中事后监管,健全为企业和社会服务一张网,推进社会信用体系建设,建立全国统一的社会信用代码制度和信用信息共享交换平台,依法保护企业和个人信息安全
还有代表建议加快建设大数据时代个人信息安全保护体系。在3月3日下午召开的政协第十二届全国委员会第三次会议上,全国政协副主席齐续春宣布,网络安全法已经列入相关立法计划 。
在网络信息安全日益凸显的大背景下,网民对个人信息泄露的问题也更加关注。中国人民大学近日发布的一份报告显示,网民最担心泄露的信息类别是网银信息(53.8%),其次是身份信息(23.7%),再次是网站账户、密码(16%)等。网银主要涉及民众的资金安全,所以担心程度最高。此外,身份信息涉及民众的个人隐私,因此担心程度也较高。
对此,全国人大代表、中国电信湖南公司总经理廖仁斌在今年的两会上呼吁,大数据时代的个人信息安全是一个战略问题。只有重视好信息安全问题,大数据才能成为国家强大的生产力和产业链。为此,他建议加快建设大数据时代个人信息安全保护体系。
个人信息安全的保护,首先需要政府的主导和法律的保障。廖仁斌建议,应该加快国家对大数据时代个人信息安全的统一立法工作,规范政府、企业、个人等大数据产业链参与者的行为准则;在国家层面建立统一的监管体系,加强个人信息保护“事前、事中、事后”监管;充分发挥行业自律,引导各个行业制定适合本行业的个人信息保护标准和规范;推动大数据信息安全产业的发展;提升公民信息安全防范技术水平和安全保护意识。
建好大数据时代个人信息安全保护体系,提升网络安全形势,除了政府主导和法律保障外,还需要网络安全行业的共同努力。如果网站真正重视保护用户的信息安全并进行相当的技术投入等,80%以上的信息安全事故是可以避免或及时弥补的。
泛互联网化时代的个人信息安全
信息社会已经成为一个虚拟社会,跟实体社会一样,需要一个完善的个人信息保护法。推动《个人信息安全保护法》的尽快立法,按照“谁经营、谁负责”的原则,对于政府部门、金融、电信、交通、教育、医疗、中介等单位的个人信息保护作出严格规定,全面保护网络个人信息安全。
借鉴新加坡、香港等国家和地区“重典治乱”的治理经验。对侵害公民个人信息的企事业单位和个人,处以高额的罚款,并记入征信档案,据此依法对其贷款、投资经营、购房等行为进行限制。依法严厉打击泄露、倒卖个人信息的违法行为,增加侵害个人信息安全的违法犯罪成本,增强法律的震慑力,切实做到个人信息“依法获取、依法传播、依法使用”。
加强对个人信息保护的宣传,强化公众的个人信息安全保护意识,避免随意透露个人身份证号、银行卡号、家庭住址等重要信息,积极防范各类信息泄露和欺诈。完善个人信息安全的社会监督体系,健全信息安全举报机制,鼓励新闻媒体、公众对个人信息被非法获取利用的违法行为进行曝光、举报,实行群防群治,形成全社会共同保护个人信息安全的良好氛围。
制定行业规范,针对网络个人信息的管理者(如政府单位、企业或个人),一旦收集了信息,就要建立一套“谁收集谁保护 谁泄露谁负责”的信息保护制度。规范对个人信息的收集、储存及使用行为,明确相关的个人信息在使用完毕后应该及时删除;对于泄露个人信息的行为,采取严厉的行业惩罚措施。此外,加强涉及个人信息服务行业的引导,积极推动行业自律。鼓励建立第三方安全评估与监测机制,加强对个人信息接触界面、流转环节和传播渠道的监测和管理。
当前社会,信息网络已是基础设施,就像我们的水、电、煤气一样普通。破解网络个人信息保护难题,切断安全信息泄露已成为全社会共识,它不仅是三大运营商或政府单方面可以解决,而是需要社会各方,包括政府、企业、运营商、个人一起来做!(综合经济参考报、新华日报)
页:
[1]