調(diào)研顯示：個人信息泄露近八成源自內(nèi)部作案

　　人物檔案

　　高熾揚，工業(yè)和信息化部計算機與微電子發(fā)展研究中心副主任。

　　對話背景

　　4月12日，工業(yè)和信息化部宣布《信息安全技術(shù)：公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》（下稱“《指南》”）已編制完成、通過審議，上報至國家標準化管理委員會。該《指南》預(yù)計將于今年出臺。

　　近年來，國務(wù)院、銀監(jiān)會、保監(jiān)會等多部門已先后發(fā)布個人信息保護有關(guān)規(guī)章近200部，但個人信息泄露案件仍在近期呈集中爆發(fā)之勢。在此背景下，《指南》的出臺有何意義、還需填充哪些細化標準？立法滯后成因何在？公眾的自我保護訴求及保護意識現(xiàn)狀如何？近日，中國青年報記者專訪了《指南》主要起草人高熾揚。

　　中國青年報： 如何看待《指南》出臺的意義？

　　高熾揚： 即將出臺的《指南》是一個整體的標準、框架。這樣一來，個人用戶和相關(guān)機構(gòu)都有了參照標準，行業(yè)主管部門也可以通過這些指標梳理和評價行業(yè)的發(fā)展現(xiàn)狀。

　　《指南》是個人信息領(lǐng)域的國家標準。在這一基礎(chǔ)上，還要根據(jù)各個相關(guān)行業(yè)的性質(zhì)、需求出臺具體的管理要求、技術(shù)要求、評估準則。和個人信息打交道的行業(yè)包括醫(yī)療、保險、銀行、房屋中介、婚戀網(wǎng)站等等。各行業(yè)對個人信息保護的需求不相同，標準自然各異。比如對醫(yī)院而言，用戶的身高、體重等屬于一般信息，但是在婚戀網(wǎng)站上，這些就屬于敏感信息。所以，未來在基本框架的基礎(chǔ)上，還有很多細節(jié)需要填充。

　　中國青年報： 為何該領(lǐng)域的立法停滯不前？

　　高熾揚： 我認為，法律出臺需要兩個前提：其一是法律條文基礎(chǔ)，這需要法學界和行業(yè)主管部門、社會各界的共同認可。目前在這一領(lǐng)域，法律學術(shù)上的很多基本概念、立法角度、依據(jù)都尚未理清。

　　其二是出臺時機，即法律的出臺是否有需求。個人信息泄露案件頻發(fā)、用戶保護訴求增強都是近兩年集中出現(xiàn)的，因此造成了法律的滯后。但我認為，目前立法時機已經(jīng)逐漸成熟了。我們要防止信息安全問題制約未來信息化的發(fā)展。

　　中國青年報： 也有觀點認為，個人信息保護、采集涉及諸多相關(guān)領(lǐng)域和部門。正是各個行業(yè)、部門間的利益關(guān)系仍未理清，才導致了立法的停滯不前。對此你怎么看？

　　高熾揚： 不同的行業(yè)、部門必然有各自的考慮和需求，有爭論是客觀存在的。在個人信息領(lǐng)域劃清其各自的權(quán)利和義務(wù)界限，需要一些時間。

　　中國青年報： 對一些用戶而言，個人信息泄露會帶來哪些危害，仍是個比較抽象的概念。公眾的防范和自我保護意識仍較弱。你能舉例說明住址、財務(wù)狀況等信息泄露會給個人帶來哪些具體傷害嗎？

　　高熾揚： 比如手機詐騙是常見的犯罪手段。近幾年，這一犯罪手段衍生出了新的方式。犯罪分子在獲得了該號碼用戶的姓名及手機內(nèi)聯(lián)系人的號碼后，往往會用一個新號碼短信通知聯(lián)系人：我換號碼了，我是某某某，請惠存。收到這樣的信息后，我們通常不會進一步確認短信的發(fā)送人是誰。這樣一來，犯罪分子使用的號碼就替代了原用戶的號碼。

　　這只是前期鋪墊。過了幾周后，犯罪分子便會用這個號碼向聯(lián)系人借錢。這樣一來，整個詐騙環(huán)節(jié)的可信度就增強了很多。這個事例僅僅是個人信息泄露危害性的冰山一角。還有許多數(shù)目巨大的商業(yè)詐騙也都源自個人信息泄露。

　　中國青年報： 目前，個人信息泄露的主要渠道是什么？

　　高熾揚： 在調(diào)研中，我們發(fā)現(xiàn)近八成的個人信息泄露源自信息所有者的內(nèi)部作案。但調(diào)研還發(fā)現(xiàn)，在內(nèi)部泄露事件中，泄露主體大多是員工個人，而非相關(guān)機構(gòu)。原因在于，對于某一機構(gòu)而言，出售用戶信息所獲得的回報和因此造成的經(jīng)濟及名譽損失不成比例。大部分企業(yè)還是能夠做好自律工作的。但對于某些個人員工而言，出售用戶信息帶來的收入確實可觀。

　　這暴露了一個問題：正因作為信息管理者的相關(guān)機構(gòu)并未有效履行自身職責，才使得技術(shù)和管理制度上存在漏洞，導致客戶信息泄露。因此，如何彌補這些漏洞，才是相關(guān)機構(gòu)應(yīng)當反思的。

　　在近年調(diào)研中，我們發(fā)現(xiàn)作為信息的管理者，一些機構(gòu)缺乏起碼的防范意識。比如在其內(nèi)部手機、電腦等電子設(shè)備的使用，應(yīng)當嚴格限制；比如存貯個人信息電腦的安裝位置要有所注意，不能屏幕直接沖外；比如用戶信息在使用之后，應(yīng)當做到及時徹底刪除；比如應(yīng)嚴格限制可能接觸到用戶信息的人群，等等。

　　中國青年報： 在當前技術(shù)、法律保護缺失的背景下，個人用戶應(yīng)當具備哪些防范意識？

　　高熾揚： 目前，個人用戶對信息保護的訴求很強烈，但保護意識普遍薄弱。比如復(fù)印身份證后，我們應(yīng)當在四周寫上“本身份證用于某某用途”，以防別人拿作他用。對于無用的個人信息，我們應(yīng)當做到自行粉碎或?qū)⒅匾�信息劃去。在被要求填寫住址、年齡、單位、身份證號等信息時，我們腦海中要有所警惕：我需要提供這些信息嗎？比如在商場辦會員卡，其實只需填寫姓名就足夠了，其他信息理應(yīng)拒絕提供。

　　對個人而言，最為重要的信息包括身份、財產(chǎn)、位置三方面。還有，信息的加工和處理環(huán)節(jié)，個人用戶無法參與和控制，但收集和刪除環(huán)節(jié)則是我們可以改善的。

新聞中心 兩岸 社會 國際　臺灣頻道

相關(guān)新聞