安全课堂

网络安全周丨如何防范个人信息泄露

  近日,刷爆微信朋友圈的“性格测试”类公众号,因涉嫌盗取公众个人信息被微信官方平台和公安部叫停。这些饶有趣味的“测试类”公众号问题何在?公民在接触网络时,该如何防范个人信息泄露?对待这些盗取公民个人信息并以此谋利的行为,有关部门又该如何从源头做起?

“悄悄”盗取个人信息

前些日子,在某国企上班的杜先生参与了一类性格测试。通过关注一个相关公众号,输入自己的姓名和生日,几秒后系统便生成了一张杜先生的性格标签图片。图片上写满了字,如杜先生的名字、狮子座、超有个性、有领导能力等十多个词,杜先生和他的朋友称其“神准”。

然而,看似有趣的网络测试,实际上存在诸多问题。

首先,很多用户的个人信息在不知不觉中被资质并不合法的“皮包公司”盗取。据媒体曝光,这些进行“性格测试”的公众号运营主体,很多并没有正规运营资质,甚至是“皮包公司”,他们利用用户对微信平台的信任和对个人信息保护意识的淡薄,非法收集个人信息。

其次,这种行为严重侵犯用户的隐私权,并可能被不法分子利用实施诈骗等刑事犯罪。这些“皮包公司”获取用户个人信息后,能随意将众多信息打包出售,卖给相关商家。商家利用买来的个人信息数据库进行广告营销、商品推销等,严重扰乱普通网络用户的正常生活,导致网络用户隐私权受到侵犯。

更严重的是,一些不法分子伪装成国家机关工作人员或者网络通信业务人员等,以掌握的精准的个人信息,降低用户防备之心,从而实施诈骗。此前引发广泛关注的台湾诈骗集团,正是利用获取的大陆公民个人资料,假冒银行行员、公安人员等,以“你涉嫌洗钱”为由诈骗大陆公民。

突击监管治标不治本

对于这些不断翻新的窃取公民个人信息的行为,中国互联网安全大会专家委员会的裴智勇博士表示,“性格标签”和以往所谓“新年签”、“月份签”都不过是“旧瓶装新酒”,通过不同形式收集、整理公民个人信息。

中国信息安全研究院副院长左晓栋认为,类似的公号涉嫌诱骗、窃取公众个人信息,需要加强管理。

不久前,微信公众平台发布关于禁止发布签类测试信息的公告称,一旦发现微信公众账号有发布签类测试行为,将对其进行封号处理。随后,公安部治安局的官方微博“公安部打四黑除四害”发布了一则“安全贴士”,提醒公众小心性格测试泄露隐私,继而引发一系列后续问题。

更多的互联网安全专家担心,目前这方面我国立法还不够完善,虽然有些原则性规定,但缺少强制要求,也缺少对违规者的惩罚措施,通过行业监管和公安部门的专项打击,治标不治本。

用法律和监管筑牢信息安全库

伴随我国移动互联网、物联网和云计算技术的迅猛发展,通过大数据计算、搜集、分析公民个人信息,逐渐成为一些行业的“潜规则”,甚至开始形成集搜集、分析、售卖于一体的黑色产业链。

要防止不法分子钻法律空子,首先要解决公民个人信息安全的刑事立法问题。目前,我国并没有专门的个人信息保护法,只是在《宪法》《民法通则》《刑事诉讼法》《刑法修正案(九)》等法律法规中做了一些具体规定。

新出台的《刑法修正案(九)》将《刑法》第253条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。”法律专家认为,和《宪法》、民法、行政法一样,它并没有对公民的个人信息做出具体解释,而作为区别“罪与非罪”的界限——“情节是否严重”也缺乏明确的界定范围。

专家建议,应将《刑法》对犯罪行为的规定细致量化,同时,《宪法》、民法、行政法也要完善相关规定,才能构建完备的法律体系。这方面,国外的一些做法值得借鉴。例如,德国实行统一交叉的立法模式,制定专门的法律条案,对公民的个人信息进行整体归类,避免了法律的零散化和相互冲突。

目前,国家安标委正在立项,制定个人信息安全规范,这是参照国际惯例以及各国的主要做法,对于收集处理个人信息提出一些具体的要求。

除了法律的他律,行业自身的自律和监管也很重要。目前,互联网行业的自律公约不少,但真正有针对性的自律机制还比较薄弱。

正如《大数据时代》作者维克托·迈尔-舍恩伯格所倡导的,大数据时代个人信息安全应实施管理变革,从个人许可转变到让数据使用者承担责任。相关部门有必要督促涉及公民个人信息采集的医疗、电信、征信、统计等特殊行业,制定强制性的行业规范,以加强个人信息接触界面、传播渠道的监测和管理;对泄露个人信息的行为,采取严厉的行业惩罚措施。同时,应鼓励这些行业建立第三方安全评估与监测机制。

当然,政府工商部门、消费者协会、媒体等相关机构应加强宣传,提高公民的自我保护意识。只有法律完备、政府机关与行业协会之间形成良性互动,公民个人防范意识足够高,公民个人信息的安全库才能称得上牢靠。