个人信息安全保护(精选十篇)
个人信息安全保护 篇1
个人信息泄露:无处不在
“白领名录”、“股民信息”、“豪车车主名单”、“老板手机号码”甚至“家长信息”、“新生婴儿信息”……, 电信机构、需要注册的网站、银行、保险公司、各类中介、教育机构乃至政府部门和医院……, 你若历数自己的信息可能被泄的“端口”, 能列出一长串名字。你能不注册天涯、淘宝、途牛, 但你能不办银行卡、不办手机业务、不买房买车吗?个人重要信息, 联系方式, 家庭住址, 手机号码, 身份证号码, 邮箱与QQ号等。这种信息我们多数是通过一个特定的场合和环境小范围公开, 您把自己的个人信息提供给了他们。如果将这些数据卖给其他组织而从中谋利, 则变成了个人信息泄露。快递公司手里有成千上万的客户具体信息, 如何规范这些行业企业不利用客户信息谋利, 将是未来一段时间的大问题。据公安部有关负责人近日介绍, 近年来, 非法出售、提供和获取公民个人信息犯罪迅速蔓延, 不仅严重危害国家和公民信息安全, 而且极易引发多种犯罪。不法分子借助互联网实时、快捷地交易个人信息数据, 已构成覆盖全国的巨大信息交易犯罪网络。
依法保护个人信息
《关于加强网络信息保护的决定》明确规定, 任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息, 不得出售或者非法向他人提供公民个人电子信息。同时规定, 网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息, 应当遵循合法、正当、必要的原则, 明示收集使用信息的目的、方式和范围, 未经被收集者同意, 不得违反法律、法规的规定和双方的约定收集、使用信息。
注重提高公民的个人信息保护意识
网上填写表格须慎重:加强个人信息保护, 应该从自身做起, 比如, 在网上不要随意填写表格, 应该选择安全防范能力较强的网站存储重要个人信息;在马路上接受市场调查, 或者在商店里填写贵宾卡等时, 要留个心眼, 别随便将自己的资料泄露给他人。遇到介绍、推荐保险业务、房产业务、理财投资以及冒充公安、检察、法院、银行工作人员的点对点电信诈骗案件, 要时刻提高警惕, 以防上当受骗。遇到个人信息被非法使用时, 市民应通过各种途径维权, 别任由自己的个人信息外泄。
实名车票不要随意丢:铁路部门表示, 实名制车票不要随意处置, 丢弃之前, 可将二维码、身份证号码和姓名等部位涂黑或者粉碎处理。
快递收件单要撕干净:很多市民都会网购, 很少有人会留意快递箱上的收件单, 那上面可是赫然印着你的真实姓名、住址和手机号码。假如你撒手不管, 那你的有关信息就有可能经这条“路”径传出去。
个人金融信息安全保护制度 篇2
安 全 保 护 制 度
为进一步加强中信银行宜昌夷陵支行个人金融信息保护工作,履行客户个人金融信息保护义务,确保客户个人金融信息安全,我行员工要严格遵守《个人存款账户实名制规定》、《个人信用信息基础数据管理暂行办法》等法律法规,高度重视客户个人金融信息保护工作:
一、在收集、保存、使用个人金融信息时,要严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用,遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。
二、明确规定各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。
三、按照省分行要求配备完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。
四、按照文件要求加强对员工的培训,强化员工个人金融信息安全意识,防止员工非法使用、泄露、出售个人金融信息。
五、使用客户个人金融信息时,符合收集该信息的目的,不得发生篡改、违法使用客户个人金融信息行为。
六、通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息,严格按照系统规定的用途使用,不得违反规定查询和滥用行为。
七、员工在日常工作互相监督,如若发现非法使用、泄露、出售个人金融信息的情况应立即制止并向上级领导报告。
八、对违反联社客户个人金融信息保护工作制度非法使用、泄露、出售个人金融信息的员工将根据有关规定追究法律后果。
网络个人信息安全与保护 篇3
网络隐私权指人在网上享有的私人生活安宁和私人信息依法受到保护,不被他人非法侵犯、知悉、收集、复制、利用和公开的一种人格权利;网络个人信息是其主要内容之一。[1]网络时代,个人隐私被侵犯已经成为很多网民的隐忧与困扰。公民个人信息通过网络被泄露,个人电脑被黑客入侵,网上购物清单被人留底等情况时有发生。如何既恰当地保护隐私权,又不妨碍网络的正常发展,已经成为网络健康发展面临的重大课题。
二、“方周大战”对网络个人信息保护的冲击
“方周大战”是方舟子和360之间的“口水战”。2012年10月9日,方舟子建议用户卸载“360安全浏览器”,称该浏览器窃取用户数据、侵犯个人隐私。360安全浏览器通过远程控制用户电脑,搜集用户各种隐私数据。“方周大战”被互联网行业视为国内互联网首个针对个人网络隐私安全保护的案例,这不仅是因为普通网民对网络个人信息不甚了解,还由于我国对网络个人信息侵权并无专项司法解释,这可能造成司法审判上的困难。“方周大战”的主要争论点在于“360是否侵犯网友的网络个人信息”。对于360侵犯用户网络个人信息的行为,在2010年底,一些谷歌用户就发现,通过谷歌可以搜索到大量用户使用互联网的隐私记录,而这些数据来源都指向360。对于360浏览器被指侵犯隐私的案例,是否属于网络个人信息保护的范畴,具体侵权事实的认定需根据双方提供的证据来认定,具体案件具体分析。
三、我国网络个人信息保护现状及困境
今年3月15日,中国电子信息产业发展研究院、中国软件评测中心发布的《公众个人信息保护意识调研报告》显示,超过60%的被访者遇到过个人信息被盗用的情况。“方周大战”中,用户的网络隐私看起来无异于在互联网世界中“裸奔”,但除了技术带来的监管难题外,立法的滞后性也使得网络个人信息侵权案件无法可依,这使得保护网络个人信息成为数据时代的难题。根据互联网信息中的最新统计,有84.8%的网民遇到过信息安全事件,在这些网民中,平均每人遇到2.4次信息安全事件。[2]如果有确切证据证明360浏览器侵犯了用户网络个人信息,那么如此庞大的用户群体的网络隐私就是在网络上“裸奔”。试想,没有专业技术背景,又没有完善法律知识的普通网民,该如何判断是否被侵权,又该如何取证,如何有时间、精力打官司,如何索赔,这些都是大难题。下面我们从以下几个方面来分析我国网络个人信息面临的困境:
(一)网络个人信息侵权主体的确定
在网络中,用户的身份绝大部分是自己虚拟出来的,同时这种形式也使得在侵害行为发生时难以找到真实的侵害主体,而且互联网中的侵害证据可以通过技术手段删除,这使得在取证时根本找不到明显的侵害现场,更难知道有多少人参与,以及侵权的时间等情况。现实社会中大部分侵权者都具有丰富的网络技术知识,他们在发明侵犯网络隐私技术的同时,也为自己创造了隐匿技术。“方周大战”中虽然方舟子矛头直指360浏览器,但是在网络隐私侵权过程中,网络服务商、网络提供商和网络用户都有侵权的可能性,如何具体确定侵权人,明确侵权责任承担还是面临巨大的挑战。
(二)网络个人信息侵权举证责任分配
在网络个人信息侵权案件中,事实认定如果根据传统民法侵权案件的一般规则原则的过错原则即“谁主张,谁举证”来分配举证责任的话,则由主张自己权利被侵害的主体承担举证责任。[3]但是网络个人信息侵权案件的被侵权方大多是没有网络专业技术的普通网民,对于自己的网络隐私侵权证据无法通过技术手段取得,而相反网路服务提供商和网络提供商具有专业的互联网技术,在提供技术证据方面能较网民而言容易得多。并且由于网络个人信息侵权没有专项的司法解释,隐私权的精神赔偿没有统一的标准,导致最终审判结果对赔偿金额以及赔偿方式的判决会有较大的不同。
(三)网络个人信息格式合同普遍存在
本人于2013年4月13日在hao123网址之家对其所列网站中选择了20个比较知名的网站做了一项调查,如表1。有的网站在首页已经制定了隐私权声明,而对于网络用户来说,访问这些网站要么只能接受,要么就只能拒绝,从而放弃访问,而网络提供商和网络服务提供商在赚取流量的同时又将用户的网络隐私截取,这样明显是不公平的。网络个人信息声明在一定意义上具有合同性质,其内容就应该由双方协商达成,而不是网站单方面制定。
Table1 the Situation List of 20 Sites’ Online Privacy Statements
四、我国网络个人信息保护的完善建议
(一)实行网络实名制
要求以真实姓名从事各种活动的“实名制”,似乎正在成为解决许多社会问题的终极良方。如存款实名制、手机卡实名制、买火车票实名制等。[4]网络实名制并非我国独有,印度在很早之前就已经实行了火车票实名制,2007年韩国实行网络实名制,要求网络用户以真实姓名发帖。网络兴起后,由于网络匿名的特点,使网络言论空前繁荣。在现实生活中不习惯发表意见的“沉默的大多数”,都会在网上勇敢的发表自己的言论。这也使得一些网络侵权者可以利用此漏洞,收集大量网络个人隐私,从而牟取暴利。2012年12月24日,全国人大常委会审议加强网络信息保护决定草案,草案规定实行网络身份管理,网络服务提供者对用户发布信息的网络身份管理,从而加强网络社会管理,保障网络信息安全。利用实行后台的身份管理办法,用户在发布信息时可以使用其他名称。对于网络个人信息保护而言,实行网络实名制可以通过后台程序确定网络个人信息侵权主体的身份,从而为网络个人信息保护提供更好的条件,也有利于互联网的健康发展。
(二)确立过错归责原则为一般情形
对于传统隐私权侵权中的归责原则,学界一般认为适用过错归责原则。然而对于网络个人信息侵权而言,由于网络的虚拟性,变化性,使得在具体案件中的证据取得变得尤为困难,尤其是作为网络个人信息主体,普通网民不具有专业的互联网知识,所以要根据不同情况来确定网络个人信息侵权的归责原则。首先,对于一般网民侵权来讲,归责原则可以适用一般过错规则原则;其次对于网络服务商而言,其在提供网络服务方面具有专业的技术支持和强大的公司财力支持,如果其实施侵犯网络个人信息的行为在一般公众看来是零容忍的,那么对于这种网络服务商侵权而言,我倾向于适用无过错原则。
(三)制定网络个人信息协商性声明
通过表1中有隐私权声明的网站中的声明条款可以看出,现阶段网站的隐私声明只是单方面的,而且没有统一形式,甚至有些网站还没有保护隐私的声明。声明具有合同的性质,根据订立合同时的平等自愿原则,就要求网络提供商与网民在平等自愿的基础上通过协商订立网络个人信息保护声明,而不是由网络提供商单方面的提供。这就要求我国须成立行业自律组织以加强对网络个人信息的保护,制定统一形式的隐私保护声明,使网络用户在涉及网络隐私方面可以与网站进行协商,协商内容可以具体到哪些上网数据是可以公开并且允许网站搜集的,哪些是不允许的等。
五、结论
网络个人信息的保护是一项重大的课题,完善我国网络个人信息法律保护只是网络个人信息保护的一个措施,它可以提供网络个人信息的权利来源、网络个人信息侵权主体的认定依据及侵权责任的规则原则等法律依据。但是,它不可能覆盖所有网络个人信息保护问题,所以只有要求我们加强行业自律,提供政府监管等多方面的合作,才能使网络个人信息保护取得实际的效果。
参考文献
[1] 赵华明.论网络隐私权的法律保护[J].北京大学学报.2002,(专刊):165.
[2] 中国互联网信息中心.2012年中国网民信息安全状况研究报告[DB/OL]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/mtbg/201212/t20121227_38418.htm.[2012/12/27][2013/4/14].
[3] 卢爱国.论网络隐私权的法律保护[D].吉林大学硕士论文.2007,6.
个人信息安全法律保护模式研究 篇4
一、欧盟专项法模式———以英国立法为例
1995年10月24日通过的《EU数据保护指令》, 即《1995年10月24日欧洲议会和欧盟理事会关于在个人数据处理过程中的当事人保护及个人数据自由流通的第95/46/EC号指令》要求欧盟各成员国投入建设人员、资金、物品、服务自由流动的经济社会所需要的, 作为该指令一项基础设施的数据流通与数据主体权利即个人权利保护的制度, 修改本国法律, 基本建立个人数据保护法律体系。针对迅速建立数据保护法律的要求, 欧盟形成了以EU数据指令为基础、将个人置于核心地位的统一经济法律社会。
以英国为例, 早在1974年英国政府即针对个人信用信息制定了《消费信贷法》 (Consumer Credit Act 1974) , 保护个人信用信息, 该法规定的数据保护涉及的是消费信贷相关的个人数据的处理, 从事个人信用数据提供业务的机构需征得英国公平贸易委员会的许可, 该法同时详细规定了未经本人同意公开个人信息是违法行为以及对错误信息的修改、删除权等。此后的1984年, 英国又颁布《数据保护法》以补充《消费信贷法》仅向保护与消费信贷相关的个人数据的局限性, 该法扩大了收集、登记信息范围、管理主体权利等内容。EU数据指令要求各成员国个人信息保护法与之保持一致, 因此1998年新的《数据保护法》为了适应EU数据指令与国内法相衔接, 主要从个人数据的范围、数据保护原则、数据主体权利以及不适用本法情形、过渡措施、专员的权限和义务、数据管理者对数据主体的通知和违法处置等八个方面规定了英国的个人信息保护现状。
(一) 个人数据的范围。个人数据既包括自动处理数据, 为了扩大保护范围, 现行法律将非自动处理的个人数据, 如以纸张、非自动处理的微缩胶卷上的数据等各种存在形式都纳入法律保护。
(二) 数据保护原则。英国在立法原则的选择上, 遵循欧盟数据指令要求, 从合法、公正、充分必要、数据质量和收集目的等几方面规定了八项原则。
(三) 数据主体权利。新法中承认的数据权利有以下内容, 如数据主体访问数据的权利;阻止可能引起损害或破损的处理的权利;直接阻止用于销售目的的处理的权利;与自动处理的决定相关的权利;因数据管理者违反本法而遭受损害时, 请求赔偿的权利;订正、封锁、删除或注销不正确的数据的权利;要求专员审查是否违反法律规定的权利。
(四) 其它。主要包含不适用数据保护法的情形;专员的权限和义务;数据管理者对数据主体的通知以及违法处置等内容。
二、美国行业自律模式
与欧盟立法模式相对照的是美国的个人信息保护是在隐私权保护的基础上发展起来的, 采用以行业自律为主辅以专项立法的调整模式。美国政府在个人信息保护上, 认为政府不应当过度干涉新兴领域, 应由其自由竞争、发展, 其政策取向是, 既要在国际范围内保护个人隐私, 又不应阻断跨境信息流, 影响电子商务和跨境贸易。美国政府希望通过对隐私保护采取平衡的规制方式, 创造有利于新兴产业的最佳增长环境。美国官方认为, 美国的规制方式更加注重防止对个人信息滥用所造成的实际危害, 因此可以保持商界最大的参与, 相反, 欧盟指令不加区分地适用于所有的行业, 适用于个人数据处理的所有环节。因此, 在立法选择上, 美国并没有统一制订一部联邦行业法律, 而是自律机制配合政府执法保障, 当然在高等敏感领域, 美国政府针对儿童信息、医疗健康档案、种族、政治派别、宗教信仰、性倾向、社会安全号码以及金融等信息通过国会立法或者甄别给予特殊关注。
在国内专项立法上, 美国政府先后制订了《公平信用报告法》 (1971年简称FCRA) 、《联邦隐私权法》 (1974年) 和《金融隐私权法》 (1978年) 。FCRA兼顾个人信用信息的利用和个人信息的保护, 立法目的是抑制征信机构的隐秘行动, 使消费者获得知情权, 给消费者修改错误信用信息的权利, 减少消费者因个人信用信息而受害的情况, 提高个人信用信息的准确性。1974年, 为规制联邦政府及其下属行政机关侵犯公民隐私权的行为, 联邦政府颁行《联邦隐私法》防止政府对个人隐私的侵犯。此外, 美国各个联邦后续也制定了一些涉及个人信息保护的法律, 如《有限电视通信政策法》 (1984年) 、《电子通信隐私法》 (1986年) 和《儿童在线隐私权法》等, 内容涉及个人财务状况、信誉记录、录像租金、有线电视、儿童 (13岁以下) 网上活动、机动车管理等。
三、个人信息保护模式评析
法律是一个社会全部要素的集中反馈, 欧盟和美国选择不同的个人信息保护模式符合各自特有的法律传统, 而迟迟没有完成立法进程的我国, 选择何种立法模式不应生硬照搬。
(一) 欧盟模式评析。欧盟统一立法模式可以说其创设了一种保护标杆或称为保护标准, 正如《EU数据保护指令》第一条, 明确表明欧盟立场, 立法旨在保护个人信息安全的基础上, 促进数据在欧盟成员国间的自由流通和信息产业的发展, 提供个人信息保护的法律保障机制。立法保护模式虽然可以提供强有力的法律保障, 但是法律调整本身具有滞后性和僵化性, 这是任何一部法律都不能克服的。法律条文是最简洁的语言, 而社会现实是在不断变革中, 而以调整网络技术和新兴产业为对象的个人信息保护法律这一矛盾尤为凸显。现今, 网络技术和手机产业结合, 扩展了新的科技领域, 侵害个人信息的手段和方式层出不穷, 法律一旦制定, 很难在短时间频繁修改, 所以单纯依靠法律手段很难适应新情况。美国政府最早反对EU数据保护指令, 其理由之一就是立法过早可能损害电子信息等新兴产业的发展。以电子商务为例, 过高标准的个人信息保护对物流行业、支付第三方业务等都会带来冲击, 如何维护社会公平正义、价值和秩序, 同时推动某个产业的蓬勃发展, 是法律保护机制横平的重要问题之一。欧盟数据保护模式确是个人信息保护的模范, 但有傲慢嫌疑, 在信息自由流动上, 欧盟要求信息流向国家和地区必须经过欧盟委员会判定是否达到欧盟的保护标准, 否则禁止向这些地区流动, 同样不利于信息产业的发展。
(二) 美国自律机制审视。美国虽然制定了《公平信用报告法》等法律保护个人信息, 但是美国缺少适用联邦各境、充分保护各项个人信息的法律, 因此欧盟指责美国政府对个人信息保护不充分, 并限制向美国及美国企业信息流动。但美国立法模式有其卓越优势, 一是以专项法和行业自律相结合, 可以弥补法律的僵化和滞后, 在个人信息安全受到侵害时, 法律层面尚未触及时, 可以通过行业内部机制的申诉和调解等渠道解决。二是行业自律机制可以提供适合各行业的机动的调整机制, 收集处理个人信息的主体多种多样, 各行业都有不同特点, 一刀切的模式不利于行业的发展。三是自律机制相关规范由行业自行制定, 监督和执行成本转嫁给行业内部, 作为内部调整机制, 也容易为行业内部接受, 自动自发执行, 接受监督。
不可否认, 行业自律机制有其固有缺陷。一是行业自律模式是行业发展的内部产物, 行业自律一般由从业者主持并制定的, 在利益分配下, 当利益一致时, 服务商可以自觉行动保证自律规范执行力, 而当出现利益分歧时, 很多服务商极大可能以用户一旦拒绝提供个人信息就拒绝提供相关服务为挟持, 而在客观上行业自律机制很难起到规制作用。二是行业自律模式调整对象有限。行业自律组织是从业者自愿加入的团体, 参加自律组织可能对消费者选择本经营者选择增加消费信任度, 但是既然是自愿加入, 很多从业者可以选择不加入或退出, 行业自律条款很难约束这些群体。行业自律机制, 仍面临着普适性不强, 对个人信息保护“充分性”存疑等多重争议。
四、我国保护模式立法设计
在保护模式选择上, 通过对两种模式的比较研究, 笔者的观点倾向于统一立法的欧盟模式为主, 兼采自律模式。
第一, 我国法律文化倾向于规范化的立法活动, 欧盟立法模式和我国法系传统联系密切。作为个人信息保护立法的倡导者和先行者, 欧盟的标准影响了很多国家的立法, 我国与欧盟模式对接也有利于信息的流动, 从而促进我国信息产业和相关产业的蓬勃发展。
第二, 在我国, 自下而上的行业内部自律机制也有生存空间和优势。一是在法律体系尚未建立时, 单纯依靠原则性的法律规定在复杂的形势前苍白无力, 即使有法可依单纯依靠监管机构规制, 要支付昂贵的执法成本, 法律规制效果也很难达到社会生活的每个角落。二是美国政府最早反对EU数据保护指令其理由之一就是立法过早可能损害电子信息等新兴产业的发展。以电子商务为例, 过高标准的个人信息保护对物流行业、支付第三方业务等都会带来冲击, 如何维护社会公平正义、价值和秩序, 同时推动某个产业的蓬勃发展, 是法律保护机制横平的重要问题之一。
当然, 在我国探索行业自律模式还是应该注重专门监管机构和法律体系的建设, 协调监管机构和行业内部自律机制的良性互动。目前, 我国行业协会的建设仍需要依据法律规定的程序, 在法定的权利义务范围内进行自我规范和自我约束, 那么对于个人电子信息乃至未来所有个人信息的保护, 对于政府信息资源主管部门和监管机构的权限划分, 更需要在复杂的现实环境下长时间的逐渐培育。
参考文献
[1].周汉华.个人信息保护法及立法研究报告[M].北京:法律出版社, 2006
[2].齐爱民.个人信息保护法研究[J].河北法学, 2008
[3].孙斯汀.欧美个人数据保护制度比较研究[D].中国政法大学, 2008
如何安全上网 保护个人信息 篇5
一、网络安全形势严峻
随着互联网的诞生,各种网络技术随之迅猛发展,给人们的生活和工作带来极大的便利,但同时也面临着越来越大的信息安全风险。特别是互联网的网速越来越快,这种安全的风险更加是成倍地增加。
近年来发生的重大网络安全事件:
1、维基解密
2010年7月,创始人阿桑奇利用各种手段,获取92000份美军关于阿富汉军事行动的相关文件。
2、震网病毒事件
美国和以色列,历时2年研制的病毒,致使伊朗纳坦兹20%的铀浓缩离心机瘫痪。
3、3Q事件
360发布“360隐私保护器”“360扣扣保镖”,防止QQ收集个人信息。4、1月21日全国DNS事件
1月21日,我国境内大量互联网用户无法访问“.com、.net”网站,众多网站被指向美国IP:65.49.2.178。(北卡罗莱纳州卡里镇)
近年来发生的几件互联网个人安全案例:
1、丽水网民潜丽娜,利用密码找回功能,破解金某的淘宝密码,进入网店,将其1457张“征途”游戏充值卡和70张盛大充值卡低价出售,非法获利6万多元。
2、QQ视频诈骗
利用木马盗取QQ号,利用视频软件录制被盗QQ使用都 的视频图像,然后登录盗来的QQ号码诈骗好友。
3、影子网站,利用假的银行网站,诱导用户输入自己的卡号和密码,从而盗取用户资金。
二、个人信息安全防范
1、保护自己的个人资料
网上如需要填写个人资料时,不是必须的,不必填写或填写假的个人资料。特别是手机和电子邮件。
2、密码设置
要经常修改,至少6个字符。不要设置空密码或设置与用户名相同的密码。好的密码应包括字母、数字、其它符号,长度为8位以上。
3、不要一个密码通天下
不要处处使用一个密码,这样会造成很大的安全隐患。要谨慎使用“记住密码”功能,及时清除“cookies”、临时文件夹。
4、不要点击来路不明的链接
5、网上交易尽量使用“财付通”“支付宝”等第三方支付平台。使用网银不要在公用的电脑上使用。
启用两步验证保护个人信息安全 篇6
1 开启两步验证功能
首先登录谷歌搜索的首页,通过右上角登录自己的谷歌账户,接下来点击页面右上角的用户名称。在弹出的对话框里面选择“隐私权”命令,点击左侧列表中的“安全性”命令后,在右侧窗口就可以看到“两步验证”的项目。点击旁边的“修改”命令后,在弹出页面的右侧点击“开始设置”按钮,这时会要求用户对自己的身份进行验证。谷歌可以采用“手机短信”和“手机应用”两种方式进行验证,这里我们就选择“使用短信”。
首先在手机输入框前面选择中国国旗,接着输入自己的手机号码信息(如图1)。然后选择验证码的发送方式,我们一般选择“短信 (SMS)”就可以了。设置完成以后点击“发送验证码”按钮,稍等片刻就可以接收到验证码信息。接下来将收到的验证码信息填充到网页里面的“请输入验证码”输入框里面,点击“确定”按钮进行验证即可。当验证通过以后,会询问用户是否信任当前电脑。如果是自己常用的电脑,就选中网页里面的“信任此计算机”选项。如果当前电脑并不是自己常用的电脑,就不要选择“信任此计算机”选项。
设置完成以后点击“下一步”按钮,最后再点击“确认”按钮,就可以完成谷歌账户两步验证的启动操作。由于验证码信息无法在谷歌的一些客户端或者手机应用里面使用,所以谷歌会提示用户创建一个“应用专用密码”。点击提示框中的“创建密码”按钮,在弹出的网页中首先输入一个设备的识别名称,接着点击“生成密码”按钮,这样系统就会随机创建一个密码信息(如图2)。这个“应用专用密码”有些长,建议大家保存到文本文件里面。
2 选择备用验证方法
由于谷歌的两步验证主要是通过手机来完成的,这个时侯我们就需要考虑手机号的更换以及手机遗失等特殊情况下的处理方式。为此谷歌特别准备了三种方式供用户选择,分别是“备用手机”、“移动应用”和“可打印的备用验证码”,这里我推荐选择最后一种比较传统的验证方法。
首先点击“可打印的备用验证码”后的“显示备份验证码”链接,在弹出的窗口就可以看到十组验证码。将这十组验证码保存为文本文件,或者通过打印机打印出来随身携带。在需要验证码的时候从第一个开始使用,下一次就使用第二个验证码,以此类推,直到所有的验证码用完为止(如图3)。这一点看上去是不是和我们以前使用的银行口令卡非常相似呢!
3 如何使用两步验证
以后当我们在非信任的电脑登录谷歌账户的时候,系统就会自动启动两步验证的操作,向用户设置的手机号码发送一个验证码信息。同样只有在验证码信息通过确认以后,才可以完成整个谷歌账户的登录操作。如果是在非信任电脑的软件应用上登录,那么就需要输入前面创建的“应用专用密码”信息。用户启用“两步验证”之后,如果感觉太麻烦不好用,可以选择关闭两步验证。同样访问开启这项服务的网址,点击“停用两步验证”链接。在弹出的对话框里面选择“同时清除我的两步验证设置”选项,点击“停用”按钮后经过验证就可以关闭这项功能以及对应的设置。
个人信息安全保护 篇7
近年来, 中国网络支付迅速发展, 根据艾瑞网《2015年中国电子支付行业研究报告》, 2014年中国第三方互联网支付交易规模达到80 767亿元, 同比增长50.3%, 预期未来仍将高速增长。2014年中国整体网民规模达6.5亿, 网络支付用户规模达到3亿, 网络支付用户规模占整体网民比例46.9%, 具体如图1所示。
因此, 随着网络支付市场规模的井喷式增长, 网络支付安全的重要性将日益凸显, 保证网络支付安全已经和广大社会公众的个人财产权益、人身权益息息相关, 关系到银行卡及网络支付行业的发展, 甚至关系到社会的稳定。
二、近两年媒体报道的主要支付安全事件及分析
(一) 支付信息安全事件
1. 携程用户支付信息安全事件。2014年3月22日, 一个编号为“54302”的漏洞报告在国内安全漏洞监测平台乌云网 (wooyun.org) 上曝光。这份报告表明, 携程把用户信用卡最关键的数据信息存下来, 一个漏洞会导致大量用户银行卡信息泄露, 包含持卡人姓名、身份证、银行卡类别、银行卡号、卡CVV码 (卡背面的3位数验证码) 、6位卡BIN (用于验证支付信息的6位数字) , 而这些信息可能直接引发盗刷等问题。对于乌云网的报告, 携程方面承认了漏洞的存在, 并在两小时内修复了该漏洞。由于直接涉及用户的信用卡安全问题, 该漏洞一经发布, 便引起了极大关注。受“漏洞门”事件影响, 2014年3月25日, 在纳斯达克交易所上市的携程股价盘前一度下跌近10%。
2. 某支付平台被众多持卡人集体投诉。2015年以来出现了众多持卡人集体投诉某支付公司的事件。当事人均反映:银行卡里的钱在当事人不知情的情况下被以购买各种商品、充值话费和游戏点卡等五花八门的方式盗走, 而银行记录中的扣款方都指向了某家第三方支付平台。截至2015年10月13日下午, 关于这家支付公司的有效投诉量已达到101宗。经涉案公司风控部门调查核实发现, 事件是不法分子通过非法手段从各渠道, 如木马、钓鱼网站、黑市购买等, 获取了消费者的银行卡开户信息及取款密码, 仿冒银行卡用户身份通过该平台支付通道进行扣款支付。
3. 利用网络支付平台盗划银行卡资金案。四川省射洪县赵某的5个银行卡存款账户资金在2015年3月7至9日期间遭到连续盗划二十余次, 期间被屏蔽了手机动账短信提示。通过查询赵某5个银行卡个人银行结算账户交易流水, 发现其资金通过上海某网络支付机构划至北京一家公司账户, 是客户个人身份信息被不法分子盗取, 不法分子冒用客户在网上注册第三方理财公司所致。该盗划事件的特点在于屏蔽了银行客户手机动账短信提示功能, 并关联客户所有银行卡个人结算账户。
4. 支付机构安全控制措施不到位导致大量银行卡信息泄露事件。据人民银行通报, 2015年1月, 某支付机构由于防控意识不强, 安全控制措施不足, 泄露了上千万张银行卡信息, 涉及全国16家银行, 截至2015年7月31日由于伪卡而造成的损失已达3 900多万元。
(二) 案例分析
1. 银行卡持卡人身份及支付账户信息安全问题应引起高度重视。近年来随着银行卡使用的普及以及网上支付的盛行, 信用卡、支付账户信息泄密造成当事人财产权益受损, 从而引发的当事人与银行、支付机构之间的纠纷日益凸显。为了保障持卡人的合法权益, 协调支付机构与当事人之间的关系, 以及继续推进网络支付行业的健康稳定发展, 有关部门必须高度重视保护公众的身份、银行卡及支付账户信息安全。
2. 网络支付的信息保护系统存在漏洞。安全性能低的信息保护系统对于持卡人的财产安全是一种极大的威胁。一是支付环节身份认证强度较弱。如在快捷支付业务模式下, 除了首次认证外, 支付环节基本采用用户名加密码的身份认证方式实现支付。由于密码是静态数据, 在验证过程中需要在计算机内存中和网络中传输, 易被驻留在计算机内存中的木马程序或网络中的监听设备截取。二是敏感信息存储与传输存在泄露风险。基于快捷支付的业务流程, 支付机构通过银行获得海量的完整客户和账户信息, 支付机构如在未经客户授权的情况下, 将信息挪作他用, 将带来严重的法律风险和用户信息泄露隐患。三是虚假网站和恶意手机软件。在互联网支付领域, 一些钓鱼网站可以引导客户输入支付账户及密码等敏感信息。四是支付机构由于各种原因违反相关规定留存客户的敏感信息, 也将带来用户信息泄露隐患。
3. 持卡人纠纷解决和权利救济渠道有限。银行卡及支付账户信息泄密的纠纷中, 持卡人举证困难, 凭个人的能力无法查明信息失密的原因所在, 并且不知道通过什么方式追究相关责任人的法律责任。另一方面, 上述案例也反映了对于持卡人银行卡和支付账户信息保护的法律法规还不够完善, 对于一些新型的侵权方式, 持卡人根据现有法律无法得到救济, 损失难以挽回。
4. 社会公众个人信息保护及网络支付安全意识仍待提高。持卡人作为信用卡的所有人、使用人, 同时作为银行卡及账户信息的所有人, 具有不可推卸的保密责任。一定程度上, 目前我国社会公众个人信息权益保护意识不强是造成银行卡及账户信息失密的主要原因之一。
三、个人信息保护法规比较
(一) 境内
我国目前并无关于保护隐私权的专门立法, 具体到网络信息权益保护的法律法规基本只是边缘涉及并且分布十分零散, 例如只是在《侵权责任法》中抽象地规定了隐私权的概念, 《商业银行法》第二十九条“为储户保密”的规定等。而2012年出台了《全国人民代表大会常务委员会关于加强网络信息保护的决定》, 明确“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密, 不得泄露、篡改、毁损, 不得出售或者非法向他人提供。”但在实际执行过程中, 由于没有落实主管部门职责, 明确刑罚责任, 在实际执行中效果不佳。此外, 《银行卡业务管理办法》《银行卡收单业务管理办法》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等关于银行卡信息保护的部门规章和其他规范性法律文件也大都只是规定, 并且相关规定在法律性质上属于部门规章, 其法律位阶比较低, 在司法判决中只可供的参照, 对于持卡人信用卡信息保护不足。
(二) 港澳地区情况
香港和澳门地区则采用成立个人资料保护办公室, 发布《个人资料 (私隐) 条例》的方式来保障个人资料安全, 任何机构如果披露个人信息用于非预先指定的用途, 需要得到客户的同意, 否则将承担法律责任。例如在2015年10月Visa pay Wave信息安全事件中, 在尚未造成任何损失的情况下, 香港金管局要求7家相关银行回收及更换十几万张相关信用卡。而我国境内的部分银联闪付卡也存在与香港同样的信息安全问题, 但并没有引起足够重视。可见香港法律对个人信息保护的重视程度, 非常值得借鉴。
(三) 国外对个人信息保护的情况
欧洲议会和欧盟理事会在总结各国立法和实践的基础上, 于1995年10月24日制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》, 为个人信息提供了全方位、综合性的保护, 在个人信息的保护上具有自身的独特性。美国的隐私保护立法极为发达, 就其立法层级而言, 包括联邦、州和地方法规的立法。总体而言, 有关个人信用信息隐私保护的法律, 除了规范政府部门收集和利用个人信息的隐私立法之外, 还体现为针对个人信用信息隐私保护的专门立法。颁布的重要法规包括《隐私权法》《金融隐私权法》《金融服务现代化法》《公平信用报告法》《公平准确信用交易法》《持卡人权益保护法》等。
四、总结与建议
人们在享受互联网支付带来的便捷生活的同时, 也须高度防范其带来的交易风险。针对犯罪分子花样百出的互联网犯罪方式, 银行和第三方支付机构正不断提高支付安全标准来改善。与此同时, 支付安全的根本问题在于个人信息的安全保护, 只有全社会意识到个人信息安全的重要性, 以及国家和行业主管部门加强立法并加大对不法行为处罚力度, 才能从根本上保证互联网安全支付环境, 促进中国“互联网+”业务的健康发展。
(一) 建立健全相关法律法规
考虑到由全国人大常委会制定法律的程序较为复杂, 建议可以由国务院先制定行政法规即《个人信息保护条例》, 对各类个人信用信息的收集、整理、保存和使用过程中的隐私保护提供统一的标准和原则。待时机成熟后再出台《个人信息保护法》, 通过更高层次的立法予以调整。同时, 在统一立法的基础上, 授权人民银行等行业主管部门通过行业立法形式制定适用于该行业的更高的保护标准, 从而建立起完善的个人信用信息隐私保护制度。例如, 建议人民银行尽快颁布已两次向社会征求意见的《非银行支付机构网络支付业务管理办法》 (讨论稿, 以下简称《办法》) , 为有关各方提供包括账户实名制、账户管理、清算与结算等各方面都要遵守的互联网支付法规与监管规定, 为客户个人信息保护、防范网络支付风险提供重要的法规依据。
(二) 要加大创新力度, 积极利用新的技术手段强化信息安全管控
信息安全管理方面必须积极利用先进技术手段, 大力推进包括金融IC卡推广、网上安全认证、风险评分、风险预警监控等在内的技术应用, 并不断针对新的风险苗头和隐患开发创新风险控制手段和技术, 以保障业务的发展。特别针对第三方快捷支付业务的特征与信息安全问题, 采取强化用户身份认证机制、保障信息传输安全、完善风险防控系统建设、在应用提供方和发布方之间建立互信机制等策略, 确保资金交易的可靠性, 降低业务风险。
(三) 完善网络支付纠纷解决及救济机制, 切实保护金融消费者权益
《办法》第四十一条规定了“支付机构应当建立健全网络支付业务差错争议和纠纷投诉处理制度, 向客户公告相关受理机制和流程, 并配备专业部门和人员, 据实、准确、及时处理交易差错和客户投诉。”建议《办法》尽快实施后, 推动支付机构责无旁贷履行处理客户投诉的义务。同时, 还应推动监管部门、司法部门等第三方重视网络支付纠纷的解决及救济工作, 合力建立起完善的纠纷解决机制, 从协商、和解、调解、仲裁、诉讼等方面给投诉客户提供帮助。
(四) 加大宣传教育力度, 提高公众信息权利保护意识和水平
相关部门和机构应开展宣传、教育, 引导公众重视对个人信息和金融领域消费者权利保护, 充分了解并认真遵守与网络支付相关的信息保护法律文件。同时, 在网络支付业务办理过程中权益受到侵害时, 积极通过协商、和解、调解甚至仲裁、诉讼的方式尽力追回损失, 追究相关责任人的法律责任, 保护自己的财产权益、人身权益, 同时为网络支付的发展创造一个稳定健康的环境。
(五) 建立行业风险警报系统和黑名单共享机制
建议人民银行、银联及同业的其他第三方支付机构, 共同建立风险交易实时警报系统和黑名单共享机制, 共同打击盗卡犯罪。执法机构针对跨区域的互联网金融犯罪设置全国范围的报警系统, 便于各地警方建立联动机制, 提高案件侦破效率。
摘要:近年来, 中国网络经济市场规模发展迅速, 为电子支付行业的发展提供了良好的交易环境, 第三方网络支付发展迅猛, 但在其发展的过程中, 也因支付安全因素引发全社会的关注, 维护第三方网络支付安全亟须加强个人信息保护。
关键词:第三方支付,信息安全,信息保护法
参考文献
[1]姚朝兵.个人信用信息隐私保护的制度构建——欧盟及美国立法对我国的启示[J].情报理论与实践, 2013 (3) :20-24.
个人信息安全保护 篇8
随着计算机和互联网的迅速发展以及各种网络接入方式和接入终端的日益普及,网络与人们的生活结合的越来越紧密,网上办公、娱乐、购物等各种网络应用已充斥着我们每天的生活,人们在享受着互联网带来的各种便利的同时也不断遭受它带来的各种困扰,各种个人信息和隐私在不知不觉中通过网络泄露出去,正在给人们的正常生活带来越来越严重的影响。据人民网推出的“谁来保护我们的隐私”调查显示,90%的网民曾遭遇过个人信息泄露,89%的网民表示不堪个人信息泄露之忧。而且随着网络的发展,这些数据还在不断的增长之中。如何有效保护个人信息的安全以及如何对其合理利用已成为我们急需解决的问题。
1 个人信息的概念和范畴
要做到有效保护个人信息,必须先要理清个人信息的相关概念。从世界范围来看,各国对个人信息的称谓尚未统一,虽然很多国家已对个人信息安全进行了立法保护,但对于个人信息的立法描述却各不相同。如美国的《隐私权法》将其称为个人隐私,德国的《联邦数据保护法》将其称为个人资料,欧盟先后制定的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于个人数据自动化处理之个人保护公约》和《关于保护自动化处理过程中个人数据的条例》都将其称之为个人数据,而加拿大的《个人信息保护及电子文档法案》和日本的《个人信息保护法》又将其称之为个人信息。
当前我国对于个人信息的称谓分歧也比较大,国内的主要学者在个人信息名称确定问题上存在不同的观点,即使是同一学者在不同时期也会有不同的看法,但从人们的语言使用习惯和理解力来看,采用“个人信息”来描述和个人相关的电子化信息资料比较合理。2005年由国务院信息办委托中国社科院法学研究所成立课题组起草的《中华人民共和国个人信息保护法》专家建议稿也使用了个人信息的称谓。建议稿中对于个人信息的描述为:个人信息指个人姓名、住址、出生日期、身份证号、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。
2 当前我国网上个人信息保护现状
(1)个人信息通过网络被盗用和滥用情况非常严重
中国互联网络信息中心发布的报告显示:2011年上半年,遭遇过病毒或木马攻击的网民为2.17亿,占网民总数的44.7%,有过账号或密码被盗经历的网民达1.21亿,另有8%的网民最近半年内在网上遇到过消费欺诈。问题更为严重的是个人信息盗用已经由原来的个体盗用行为发展为相关行业有组织的针对个人信息进行收集、加工、倒卖的一条完整的“产业链”。近几年央视的3.15晚会也不断对相关行业通过盗用和贩卖个人信息来谋取利益进行曝光。我们可以发现一些金融机构和政府部门已经成了个人信息泄密的新渠道。
(2)个人自我保护意识差
我国网民在个人信息的自我保护意识上还有待加强。大部分网民缺乏安全意识,很多人还没有个人信息的保护概念,如总是不加选择的浏览网站,随意安装网上的各种插件和来历不明的软件,使用的电脑没有安装杀毒软件或者没有养成定期杀毒的习惯。尤其是新网民在刚接触网络的时候没有意识到网络的虚拟性和个人信息保护的重要性,在网上随意填写个人资料和各种联系方式,在填写注册信息或者在论坛发帖、聊天室聊天的时候将个人的敏感信息随意泄露,给不法分子和别有用心的人以可乘之机。据《中国互联网发展状况统计报告》显示,截至2011年12月底,我国网民数量达到5.13亿,全年新增网民达到5580万。新网民开始加速向低学历人群扩散,我国网民中初中学历人群由2010年的32.8%上升为35.7%。随着低学历新网民的不断增加,个人信息泄露的情况会更加严重,因此政府在尽快提升网民自我保护意识的宣传和增强网民自我保护能力的培训工作上已刻不容缓。
(3)网站对用户敏感信息保护不力
网站对保护用户注册信息和个人敏感信息的安全负有不可推卸的责任,但现实情况是大多数网站对注册用户的相关信息没有承担起有效保护的责任,例如前段时间的CSDN因为管理不善导致600多万条用户的用户名和密码泄露,就给客户造成了巨大的损失。甚至有些网站监守自盗,通过倒卖注册用户个人信息来进行获利,严重违反了互联网行业的自律规范和国家的相关法律规定。
(4)我国尚未出台专门的个人信息保护法
近年来各种个人信息的被盗和非法使用案例层出不穷,不仅给个人的正常生活造成影响,也给社会和经济的发展造成了巨大的损失。个人信息保护已到了刻不容缓的地步。与日益恶化的个人信息侵权状况相比,我国尚未有专门的个人信息保护法律出台。
目前世界上已有很多国家已相继出台了专门的法律对公民的个人信息和隐私加以保护,虽然我国现有的法律法规对个人信息保护也有所涉及,但这些规定都是零散的分布在各部法律法规之中,相关条款不仅个别、分散、抽象,而且面对信息时代层出不穷的新问题也已经漏洞百出,在应对现实中的具体问题时缺乏可操作性。
3 个人信息泄露的主要途径和危害
随着网民数量的逐年增多和上网方式的多样化,个人信息泄露的途径也变的多样化,人们正越来越习惯于利用互联网处理和交换各种生活和工作上的信息,但这些信息绝大多数都在以非加密的形式在网上进行传递,只需要通过简单的黑客工具就可以将这些信息进行截获,因此尽量减少个人信息的随意填写和对重要信息进行加密传送是减少个人信息泄露的有效手段。一般来说,个人信息泄露可分为主动泄露和被动泄露两种。
主动泄露是指个人在无意或被欺骗的情况下将自己的个人信息主动泄露给网站或他人,如在网上申请邮箱或会员注册时填写的个人信息,网络购物时填写的收货人地址和电话信息,在网络硬盘或邮箱中存储未加密的个人资料,通过邮箱或通讯软件传输未经加密的个人信息等。
被动泄露是指在个人不知情的情况下信息被别有用心的人盗取或贩卖。如个人电脑被黑客、病毒或木马入侵,不安全的第三方插件的安装、cookies的不安全设置,别有用心的人通过嗅探工具获取网上传输的未加密信息,单位或个人将利用各种渠道收集到的个人信息在网上出售,单位或个人未经个人同意将个人敏感信息在网上公布等。
个人信息一旦被泄露,危害极大,一般来说可以概括为以下几点:
(1)给个人工作和生活带来影响
一旦个人的电话或住址、电子邮件等信息被泄露出去,就会不断遭受到源源不断的垃圾短信、莫名其妙的推销电话以及铺天盖地的垃圾邮件的骚扰。除非你更换电话号码、家庭住址和电子信箱地址,否则这种骚扰会一直持续下去,给个人的工作和生活造成严重影响。
(2)给个人财产安全造成损失
如果个人的银行账号或者身份证号码被别有用心的人获取到,可能会造成个人账户中的钱被莫名其妙的转走,使个人的财产受到损失。如果犯罪分子通过获取到身份证号码等信息办理假身份证申请信用卡进行恶意透支,不仅会给个人造成财产损失,还会给个人的信用造成影响。更为严重的是犯罪分子利用获取到的大量身份信息从事洗钱等违法犯罪活动,给国家的经济造成巨大损失。
(3)个人名誉受到侵害
不法分子冒用个人的身份信息从事违法犯罪活动,或者在网络上诽谤他人、造谣生事、从事违反国家安全等活动,最终公安机关会找到个人头上,即使最后调查清楚,还个人以清白,但整个过程也会给个人正常生活造成影响,甚至给个人声誉造成损失。
4 如何有效保护个人信息及隐私安全
要有效保护个人信息和隐私的安全,需要个人、相关行业和政府的共同参与,一般来说可从以下几方面着手:
(1)增强网民安全意识,提升网民自我保护能力
网民的网络安全意识和个人信息保护意识淡薄给了不法分子可乘之机,要有效保护个人信息安全,就要从网民安全意识和自我保护能力抓起。一方面要通过各种宣传途径使网民意识到个人信息安全的重要性和一旦泄露的危害性,另一方面要通过各种方式的教育培训来增加网民网络知识,提高其自我保护能力。日本在这方面的做法就很值得我们借鉴。日本在健全法律的同时,日本政府同样注重提高公民的个人信息保护意识。经过不断的宣传和普及教育,个人信息安全意识已渗透到日本人的生活中。例如,在手机维修点,工作人员会在顾客的监督下删除送修手机内的电话号码、邮件等个人信息。如果顾客把淘汰下来的手机交给零售店回收,店员会当着顾客的面用专用工具在手机上打4个孔,消除个人信息。
(2)利用技术手段构筑网络安全屏障
随着计算机技术的发展和互联网的迅速普及,互联网上的网站数量急剧增长,在网上建立网站的门槛越来越低,很多网站开发人员或者个人网站站长由于水平和技术的参差不齐,所开发的网站会存在这样或那样的漏洞,这就导致了别有用心的攻击者利用这些漏洞来入侵网站后台数据库,从而获得一些重要的用户数据和个人注册信息。只有不断加强技术创新和采取各种技术手段,构筑安全的网络屏障,才能从技术手段上最大限度的保障个人信息安全。虽然技术手段不能完全杜绝信息泄露,但更为先进和成熟的技术手段是保护信息安全不可或缺的有效手段。
(3)加强行业自律,增强守法意识
国外个人信息保护各个相关行业都会参与进来,他们通过制定相关的行业规范来对各种侵权和违法行为进行约束。如美国就有9个著名的互联网信息安全行业组织,这些行业组织分别从信息安全的技术、教育培训、信息交流、从业资质认证、网络安全应急响应、从业人员社会责任等方面制定了许多详细的职业道德规范。只有加强互联网行业自律,增强其守法意识,增加其违法成本,才能从源头上遏制个人信息的泄露。但同时我们也应清楚的看到行业自律仅仅是行业内部形成的共识,这种自律往往只是建立在自觉遵守的前提下,并无法律强制性,因此行业自律仅仅可以作为法律之外的有益补充,并不能完全取代法律来对个人信息进行有效保护。
(4)健全相关法律,做到有法可依
当然,保护公民个人隐私权仅仅依靠提高公民隐私权保护意识和通过行业自律来加以自治是远远不够的,必须要有专门的个人信息保护的相关法律作为依据才是有效保护个人信息不被非法利用的必要保障。目前世界上已有70多个国家和组织制定了个人信息保护的相关法律和法规。我国在个人信息保护立法方面的工作也正在开展,近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。同时我们也期待着我国专门的个人信息保护法能尽快出台。
参考文献
[1]李振汕.基于互联网的个人信息保护的探讨.网络安全技术与应用.2009.
[2]朱峰.论我国个人信息保护的现状及对策.金卡工程.经济与法.2010.
[3]中国互联网络信息中心.中国互联网络发展状况统计报告.2012.
个人信息安全保护 篇9
在电信网络新型违法犯罪中, 公民的个人信息泄露已然成为其诈骗手段持续翻新、诈骗性不断增强的有力支撑。5分钟就能获取上千银行卡信息, 并且密码正确, 连账户里的余额都分毫不差, “下料”、“洗料”形成了一条盗取银行卡的黑色产业链。特别地, 在现今大数据的时代, 海量的个人信息数据让人们更直接地呈现在大众面前。一旦犯罪分子掌握公民详尽的个人信息就能升级诈骗方式, 从“广撒网”型诈骗逐渐演化为针对“特定对象”更高级别的诈骗。
一、电信网络新型违法犯罪的演变
(一) 传统阶段
在电信诈骗发展之初, 犯罪分子一般并无具体特定对象, 或者也仅面向特定的人群, 针对受害人惧损避害、贪图利好、情义救助或者特殊需求等心理, 抓住其安全意识薄弱、临场判断力低等特点, 根据当下情况步步深入, 诱骗受害人到ATM操作转账, 常见的有“电话欠费”、“电话中奖”、“冒充熟人急需用钱”、“重金求子”等诈骗。但有些类型的诈骗, 如“医保卡”、“购车退税”、“邮包藏毒”等, 是在犯罪分子购买泄露的个人信息后实施的精准诈骗, 诱骗成功后威胁恐吓受害人将钱转至安全账户, 从而成功实施诈骗。除了骗取汇款, 犯罪分子还利用在ATM机上加装仿真卡槽读取储户银行卡信息, 而后复制银行卡实施盗刷。
在此阶段, 早期个人信息泄露的途径还较为简单, 泄露的主体亦较为单一。
(二) 现阶段
随着社会信息化发展, 通讯、互联网金融等技术的革新, 电信诈骗与之融合而不断升级, 个人信息安全问题的日益严峻。
现当下, 犯罪分子通过多种渠道窃取或者购买公民个人信息, 而后实施准确诈骗。一般, 利用通讯、网络骗盗结合的主要手法有:通过伪基站发送含木马链接的电子密码器升级短信诱骗机主点击, 或者通过淘宝旺旺联系买家称其订单取消需办理退款手续发送虚假网站, 诱骗事主输入账号及密码, 再利用骗取的账号密码冒充受害人注册网上快捷支付或第三方支付结合进一步骗取的手机验证码信息盗窃存款, 或直接利用部分银行的电子银行存在;诱骗事主安装远程操控软件, 操作网银盗窃存款;利用运营商提供的换卡业务补办机主手机卡, 而后通过与手机关联的第三方支付或者手机银行进行转账。以上所涉及的环节皆需事主配合间接, 但亦存在银行卡在手, 无任何操作, 存款消失的诈骗手法。犯罪分子从其他犯罪团伙的虚假网站上通过撞库等手段获取银行储户账密和关联手机信息, 然后发送木马短信拦截银行验证码, 最后成功窃取账户存款。不仅是银行账户信息, 《中国网民权益保护调查报告 (2015) 》指出78.2%的网民个人信息包括姓名、家庭住址、身份证号及工作单位等、63.4%的网民网上通话记录及网上购物记录等网上活动信息曾被泄露, 个人信息买卖已形成一条黑色产业链。
(三) 发展趋势
1. 诈骗方式升级更新
借助社会信息化的快速发展, 诈骗方式不断更新 (已增至60种以上) , 即使是同类型诈骗方式, 其具体步骤、方法也依据当下犯罪分子所获“情报”不断更新变化, “骗盗结合”, 利用网络诈骗的特征凸显。窃取个人信息的多少就成了诈骗是否能够成功的关键, 如冒充熟人诈骗或因部分恶意APP获权限读取手机通讯录然后上传, 或因方便上传通讯录至网络云端被恶意获取账密进而下载, 最后由黑市交易流转至犯罪分子手中。犯罪分子通过越来越多的手段窃取银行账户或网络账户及其密码、获取个人信息, 基本保持每段时间总有几种典型的诈骗方式获取较高的得逞率, 防不胜防。
2. 案件呈高发趋势
电信网络新型违法犯罪活动猖獗, 全国范围的打击防范形势严峻, 打不胜打。个人信息的泄露程度不断加深, 案件侦办的难度继续加大, 骗盗的赃款洗白方式进一步专业化、无痕化。犯罪原籍地、犯罪窝点等聚集地“久治不愈”, 有些甚至“愈演愈烈”。群众的防范意识因诈骗方式的持续更新存在滞后现象亦难打破, 宣传防范工作只能在比较有限的程度上发挥作用。即使在公安部举全国之力严厉打击下, 案件仍持续高发。
3. 窃取信息后盗窃存款犯罪趋势明显
随着互联网的发展, 网络购物、网上支付、转账、网络社交行为的激增, 个人在网络上留下的个人信息就越来越多, 这使得犯罪分子有机可乘, 通过网络技术或者非法买卖等方式获取公民个人信息, 结合设定好的诈骗剧情, 骗局油然展开。受害人在不知情的状况下, 一步步走进骗子精心设计好的陷阱中。更有甚者, 存款莫名蒸发, 骗局都不设, 直接通过购买来的银行卡信息实施网络盗刷, 难防难打, 个人信息安全岌岌可危。
二、个人信息泄露问题的分析
电信网络新型违法犯罪活动呈井喷之势难以压制, 其中一个重要原因即借力于公民个人信息的泄露。特别是大数据时代的到来, 信息与社会生活联结得更紧密, 带来足不出户便知天下事的便利, 同时信息浏览、网上注册、线上购物等产生的海量数据也助长了犯罪的势头。个人信息的非法买卖, 冒充熟人、领导, 盗号、盗刷银行卡等电信网络新型违法犯罪更加剧侵财类犯罪的社会危害。近期, 某市特勤大队查获的贩卖个人信息的犯罪团伙中, 犯罪嫌疑人就利用自己的工作之便, 包括金融公司业务员、房产中介、POS机相关工作等直接接触公民个人信息, 而后非法获取, 整合售卖。
(一) 互联网金融业务为求便捷降低安全性
随着“互联网+”深度融合的不断推进, 互联网金融行业快速发展, 其中第三方支付因其便利、快捷的支付手段让越来越多的人接受并使用, 但也遭受着巨大的挑战。在电信网络新型违法犯罪中, 犯罪分子通过非法网站骗取储户银行卡信息及关联手机或其他非法方式获取的储户银行卡信息, 再通过木马病毒拦截手机接收到的验证码等手段将账户注册或绑定第三方支付工具进而将诈骗金钱悉数转走, 大大降低了储户账号的安全。同时, 第三方支付平台亦成为犯罪分子进行洗钱的主要渠道, 他们通过电商网站购买实物再低价变现, 其中包括虚拟货币、虚拟点卡等等。
之所以能够让犯罪分子利用就因互联网金融行业发展落于互联网之后, 风险隐患多、部分领域存在立法空白, 致使对第三方支付等业务监管不力, 影响其本身的健康发展。
(二) 银行与通讯行业社会责任难落实
在电信网络新型违法犯罪中, 常常会涉及到银行及通讯行业, 但其行业方面的社会安全及法律责任难以落实, 防控方面的问题就更难解决, 势必会影响全面打击电信网络新型违法犯罪的成效。
在个人信息安全保护上银行方面存在的不足主要存在于安全性上:存储服务器安全防护不足, 犯罪分子入侵服务网站窃取用户银行账号、取款及网银登录密码、存款余额、交易明细等等而后再非法售卖, 更有甚者, 自身行业的内部人员违反职业道德利用职务之便非法盗取储户个人信息;终端设备安全监管不足, 在ATM机的服务终端加装仿真卡槽读取储户银行卡信息, 而后通过非法购得的复制器复制银行卡进行售卖, 另一盗刷团伙则将复制卡里的余额通过改装的POS机进行盗刷;开户安全验证不足, 利用假身份证或者非法购买的身份证批量开户以多次转移诈骗资金干扰侦查或者利用网银购买理财产品等方式进行洗钱操作。
而对于通讯运营商, 对于个人信息的安全防护亦存在问题:手机“实名制”名不副实, 即使手机现已实名仍存在大量套用他人身份开户的现象, 行业员工并不对此认真审核;业务定制存在安全漏洞, 为使用户便利而开设的网上业务无法在安全上进行把关, 犯罪分子利用泄露的个人信息及系统漏洞骗取验证码进行补卡盗取手机绑定银行卡内金钱。
(三) 个人信息安全立法工作滞后社会发展
大数据时代的到来加剧了个人信息泄露的程度, 电信网络新型违法犯罪中, 犯罪分子利用泄露的个人信息提高诈骗剧本的可信度, 诱受害人步步深入直至诈骗成功, 并随时翻新诈骗手法, 令人防无可防, 个人信息的安全关系着民众的财产安全。但明显地, 我国的立法工作滞后于时代和社会的发展, 直接关乎个人信息安全保护的法律少之甚少, 或零散地分布于《宪法》、《民法通则》、《行政诉讼法》、《刑法修正案 (七) 》等法律、法规和最高法院的司法解释中。在民众遭遇电信网络新型违法犯罪如在银行卡在手存款却“蒸发”的现实案例中, 一般都是通过与银行的调解来结束诉讼, 并无可利用的专门个人信息安全保护法来维护自身利益。
(四) 民众个人信息安全与防范意识薄弱
我国电信诈骗兴起于2003年, 在这十余年间迅速发展, 并且随着网络的发展, 电信网络新型违法犯罪与互联网快速融合, 犯罪分子不断翻新诈骗手法, 更新作案工具, 升级结伙模式, 扩散侵害区域, 发展蔓延迅速。加之个人信息的泄露, 精准的“情报导骗”, 民众防不胜防。但同时, 民众对于个人信息安全的保护意识淡薄, 对于个人信息安全保护范围的认知相对较小, 主动或被动接受教育学校个人信息安全知识的意愿相对较弱, 这就使得民众在电信网络新型违法犯罪中处于劣势。
生活中, 民众因安全知识的缺乏或者安全理念的缺失, 如注册会员或优惠活动等随意填写个人信息、身份证丢失不及时挂失补办, 并且随着互联网的普及、手机等只能移动设备的兴起, 民众任意下载未知来源的软件、上传涉及个人隐私的照片或数据信息、轻易点开未知信息中的链接等等, 已然将自己推上个人信息高危的悬崖, 需引起警惕。
三、个人信息安全的防范措施
(一) 提升互联网金融的安全支付
现当下, 互联网金融其他业务越来越多地与第三方支付挂钩, 形成一个巨大的网络交易平台, 但也成了犯罪滋生的土壤。电信网络新型违法犯罪中, 犯罪分子利用第三方支付进行诈骗所得资金的转账、洗钱、套现等不法活动, 这就需要提升互联网金融, 特别是第三方支付平台的监管力度, 以保障金融账户的安全支付。
第一, 完善准入退出机制。过去虽有法规规定了第三方支付的准入条件, 但抽象不具有可操作性, 应进一步完善具体操作流程, 而对于淘汰退出机制, 人民银行至今已撤销3家第三方支付公司的业务许可证, 对多家机构发出罚单, 可见重点整顿之决心。第二, 提高风险防控能力。平衡支付的便捷与安全, 升级支付系统、修补漏洞, 加强交易过程的安全提示, 利用大数据技术、生物识别等身份认证技术等新兴科技, 以提高资金账号的安全性, 保护好用户个人信息。特别地, 人民银行出台的《非银行支付结构网络支付业务管理办法》于7月1号开始施行, 该《办法》明确支付机构地位、坚持支付账号实名制、兼顾支付安全与效率并保护个人消费者合法权益等等的创新监管机制亦使第三方支付朝健康发展的轨道前行, 而不再为犯罪分子所利用。
(二) 加强银行与通信行业的行业自律
银行方面, 应从技术入手强化安全防护, 除了设置防火墙、加装杀毒软件等传统信息防护方式外, 采用混合加密以提高网银验密方式安全性, 运用科学技术验证开户人身份, 如面部、瞳孔识别等多种生物识别技术, 提高系统识别的可靠性, 防止密码或者身份信息被窃取和伪造;应开展联合防范, 加强银行工作人员的职业道德素质培养以及反诈骗知识培训, 防止违反职业操守及法律的一切信息泄露现象, 提高对ATM机的监管, 杜绝加装设备的出现, 利用张贴小贴士或语音提示等方式, 提醒用户注意个人信息安全防范, 实行事中干预;应强化行业自身风险防控团队的建设, 严格把控银行卡开户身份验证的准入标准, 从源头上遏制电信网络新型违法犯罪的快速蔓延, 并积极配合警方冻结犯罪分子的资金流转, 实行事后干预;应建立相关的行业监管与补偿机制, 改进内务业务定制, 如设置账户等级, 使用混合加密等高级别验密方式较为安全的账户即为高等级账户, 而使用普通密码或者口令的低等级账户则取消其网银转账的即转即取功能, 推出金融账户保险业务, 分散资金风险, 保障用户利益。
通讯运营商方面, 应加强警通联合, 警方严厉打击冒用他人身份开卡, 通讯运营商严格审核开卡人身份, 切实落实“实名制”, 保护好个人账户密码信息, 遏制犯罪分子利用未实名手机进行电信网络新型违法犯罪;应提高技术风险防范, 利用日益成熟的大数据技术分析统计得出可疑号码来电、短信拦截, 形成预警机制, 实行事前干预;应切实做好定制业务的售后安全服务, 在安全上严格把关, 不过分追求便捷, 特别是那些可以通过网络进行操作的网上业务, 关闭网上补卡功能等存在安全问题的业务。
(三) 完善个人信息安全的法律保护
完善个人信息安全的立法保护是一个漫长的过程, 所以立法工作的滞后也不能迅速改变, 大多数学者不论是对相关发条、具体条文的修改, 还是立法原则的探讨, 都在无形中大大推动了个人信息安全立法的完善。特别地, 个人信息安全涉及公共领域, 亦涉及个人隐私, 唯有兼顾两者, 且注意避免所立法的适用性, 既需对个人信息安全进行保护, 但又不能影响个人信息的合理流动, 阻碍企业或社会发展。
在电信网络新型违法犯罪的现阶段, 网络盗刷愈发频繁, 可见对个人信息安全的保护需要重拳出击。相关的立法上除了条文的制定, 法律、司法解释的出台, 亦需要行业自律保护。充分利用立法的实践成果, 如福建省龙海市一市民存款莫名消失的案例中, 法院判于银行负全责, 落实了银行的赔偿责任, 就体现了相关行业自律在完善个人信息安全立法保护的重要作用。
(四) 树立个人信息安全意识
在电信网络新型违法犯罪中, 犯罪分子利用泄露的个人信息升级诈骗手段, 更新诈骗剧本, 普通群众难以跟上这样快节奏变换的诈骗方式, 这就需要提升群众的个人信息安全意识, 提高对于这类犯罪的防范能力。
1. 养成良好上网习惯
随着互联网的发展, 群众得到便利的同时也增加了信息泄露的风险, 为防止个人信息泄露的进一步扩大, 就需养成良好上网习惯:电脑安装杀毒软件并定期查杀病毒、切勿把个人敏感照片、数据信息等随意上传至云端存储并启用手机辅助安全验证、避免在陌生网站上注册、注册网站时尽可能少填写个人隐私信息、手机银行登录时核对上一次登录信息并设立适当转账额度、手机丢失要及时解绑关联账号并尽快停机补卡、开通手机短信业务及时获知银行账户资金变动情况、警惕公共场所的免费“蹭网”、不要轻易点开未知链接、登录账号使用多种密码组合、不随意下载安全性未知的应用软件等等。
2. 联合开展防范宣传
由于电信网络新型违法犯罪呈高发趋势, 诈骗方式层出不穷, 金融系统被攻击, 个人信息事件频发, 群众相关知识的空白就需要通过各部门 (包括公安、银行、通信等) 的联合防范进行填补, 以提高个人信息安全保护的意识与能力。
一方面, 银行和通信等行业应保障自身产品的安全服务:银行应对ATM转账或者网银资金使用操作, 增加页面信息阅读与确认操作, 发送短信提醒资金变动情况, 让用户能及时获知相关信息, 并快速进行冻结止付, 减少损失;通信行业应建立自身行业监管体制, 对一人多卡严格把关, 对用户信息详细核实, 适当控制手机开卡数量, 特别是网络电话, 可以在显示号码时添加前缀数字提醒用户警惕此来电, 提高用户防范能力。
另一方面, 公安机关应设立反诈咨询热线, 让群众能有专门、畅通的咨询与报警渠道;配合其他部门做好新政策宣传, 及时向银行、通信等部门通报电信网络新型违法犯罪的新警情与诈骗手段变换, 适时组织开展有针对性的防范宣传活动;通过两微一端、海报、横幅、宣传片等形式进一步扩大反诈宣传的覆盖面, 让群众能快速得知最新的诈骗手段等预警信息。
四、结语
电信网络新型违法犯罪来势汹汹, 并已转向利用个人信息泄露专设剧本, 步步为营进行诈骗, 或是利用非法获取的账密盗取账户存款, 根本无需群众配合就可非法获取金钱, 群众财产损失惨重, 更有甚者都搭上了生命。笔者试图从互联网金融的安全支付、银行和通讯等相关行业的自律、个人信息安全保护法律的完善以及群众个人信息安全意识的树立等方面提出可行性的建议, 希望可以早日遏制电信网络新型违法犯罪发展势头, 还群众一个安全和谐的社会环境。
摘要:随着互联网的普及, 电信网络新型违法犯罪愈演愈烈。其中窃取信息后盗刷存款的犯罪趋势明显, 个人信息泄露问题的进一步扩大, 需从提升互联网金融的安全支付, 加强银行和通讯等行业自律, 完善个人信息安全的法律保护, 树立个人信息安全意识入手, 开展联合防控, 全力打击犯罪, 力求遏制此类犯罪势头, 加强个人信息安全的保护。
关键词:电信网络新型违法犯罪,个人信息泄露,个人信息安全的保护
参考文献
[1]杨震.大数据时代我国个人信息保护立法研究[J].南京邮电大学学报 (自然科学版) , 2016, 4 (2) :1-9.
[2]罗力.上海市民个人信息安全素养评价研究[J].重庆大学学报社会科学版) , 2013 (3) :95-99.
个人信息安全保护 篇10
(一) 个人信用报告应用范围扩大, 保障信用信息安全愈发重要
由中国人民银行组建、中国人民银行征信中心运行维护的个人信用信息基础数据库运行8年来, 已收录8亿多自然人的有关信息, 其中共采集湖南4241万自然人信息, 数据库涵盖了个人基本信息、信贷信息、缴费信息、公共记录信息等多项与个人信用有关的重要信息。目前个人信用报告除了应用于申办房贷、办理信用卡等有借款性质的业务外, 还在人员招聘、股指期货开户、房屋租赁、非公人士评价、评优评先等多领域有着重要作用, 并将逐步应用到个人每一项重大经济活动中。个人信用信息安全涉及到个人的经济利益和隐私, 发生泄密事件后, 不仅会为人民银行引来一系列的法律纠纷, 更会影响整个社会信用体系建设的进程, 所以保障个人信用信息安全在征信管理工作中占越来越重要的地位。
(二) 查询用户较多, 查询数量增大, 信用信息安全保护难度加大
在人民银行对信用报告积极推广应用下, 目前个人信用信息数据库的查询用户数和个人信用报告的查询量都日益增大。一是现阶段个人信用信息数据库查询用户数目较多。2013年11月底湖南全省个人信用信息基础数据库的查询用户数为18548个, 其中人民银行为354个, 金融机构为18063个, 所有查询用户累计启用8799个。查询用户主要授权于人民银行、各商业银行和农村信用社等金融机构, 用户的开设备案、信息变更、账户停用和人员管理都与个人信用信息安全息息相关。二是个人信用报告的查询量快速增长。2013年湖南省人民银行征信柜台共对社会提供个人信用报告查询29.2万人次, 同比增长23%, 查询量的快速增长使得个人信用信息泄密的风险日渐升高。两方面的因素导致人民银行征信管理部门对个人信用信息的安全保护难度越来越大。
二、基层央行个人信用信息安全保护现状
(一) 基层人员配置不足, 管理模式特殊, 监管投入有限
目前人民银行省会分支行征信管理部门即要履行管理征信业的职责, 又要从事征信系统服务, 还承担了征信宣传维权和信用体系协同推动工作, 负责上述各项具体工作的人员通常只有一到两人;市 (州) 中支并未单独设立征信管理部门, 专职负责征信工作的人员平均不超过三人, 其中一人专门负责贷款卡业务和信用报告查询;县支行征信业务由业务股承担, 两到三人同时承担调查统计、信贷管理、金融稳定等多项职能, 更存在一人兼任多岗的情况。人员配置不足使得信用报告查询业务要聘用临时工办理, 临时工流动性较大造成信息安全管理、业务操作培训等工作不系统, 正式员工精力有限更会影响对金融机构的监管投入力度。
(二) 基层缺乏制度指导, 征信数据涉及部门多、监管难度大
虽然《征信业管理条例》已经明确了人民银行的监管职能, 但相应配套制度的推行还需要一定时间。基层行在监管金融机构时, 多以部门规章和地方政府规章为主, 难以把握信用报告的查询部门、查询内容、查询范围、披露方式、授权方式等要素。个人信用报告的应用范围涵盖司法、审计、财政贴息、上市公司监管、“守合同重信用”企业评选、上市后备企业筛选、海关A类企业评选等多个领域, 金融机构中可查询信用报告的部门包括信贷管理部、个人金融部、信息调研部、风险管理部、授信审批部等。信用报告的应用范围广、可查询部门多, 且各单位机构征信业务牵头部门又不尽相同, 一旦出现个人信用信息泄密案件, 举证和调查涉及面较大, 加大了人民银行的监管难度。
(三) 现场检查投入较大, 非现场监测资源有限
为加强征信监督管理, 防范信息泄露, 2012年长沙中支组织省内各市 (州) 对全省金融机构开展了征信制度执行情况检查。此次检查以金融机构自查报告和非现场监测情况为依据, 选择性确定现场检查对象, 历时5个月, 共计成立检查组65个, 召开动员会和培训27次, 组成检查人员278名, 现场检查了604家银行业金融机构及分支机构, 覆盖面达43%, 调阅相关文档2万余份、核对个人信用报告查询13.7万笔, 形成检查报告65份。现场检查虽能反映出许多问题, 但受场地、人员、时间、覆盖面的制约, 不能保证及时、全面的规避各种违规行为, 虽然个人征信系统异常查询监测系统已经正式运行, 但省会分支行拥有的非现场监测资源仍然比较有限, 从系统管理员的角度来看, 不提供实时监测金融机构查询情况的功能, 就不能对金融机构的可疑查询行为进行及时预警。
(四) 金融机构重视程度不够, 公众对维权渠道不了解
现今个人信用报告所含信息愈发完备, 因利益驱动违规查询、贩卖个人信息的案件时有发生, 主要原因在于金融机构对信息主体权益和信息安全保护的重视程度不够。虽然已经按人民银行要求建立了信用报告查询登记和查询授权等征信相关安全制度, 但一些分支机构存在重使用、轻管理的认识误区, 制度流于形式、执行不严, 有些部门更是存在忽视查询授权环节和公用查询账户的情况, 使得不法分子利用漏洞私自查询并贩卖个人信息。通过人民银行近年的大力宣传, 社会公众的信用维权意识较为强烈, 但部分公众在发现信用记录被违规查询的可疑情况后, 可能因违规情况较复杂, 找不准维权的有效渠道, 加之违规行为对自身利益没有明显影响, 最终放弃追究违规部门的责任。
三、相关建议
(一) 探索征信服务新模式, 加强内部安全管理检查
一是稳步推行个人信用报告网上查询业务, 研究小额贷款公司批量授权查询方式, 探讨柜台查询收费方案, 减轻基层行征信柜台业务压力, 将人民银行征信管理部门的工作重心由征信服务转到征信业管理和个人权益保护。二是在基层征信管理部门设立专门的征信安全监督岗, 负责业务人员的上岗操作培训、保密安全教育、泄密存储设备的使用保管和计算机的定期安全检查等, 定期总结业务办理过程中的风险, 完善相应风险防控措施。人民银行各分支行以信息安全自查和互查结合的形式, 定期向上级行汇报安全自查情况, 不定期组织下级行开展互查工作, 并将互查结果与年终考核成绩挂钩。
(二) 加快推行配套制度, 强化征信工作通报制度
一是加快推行《征信业管理条例》的配套制度, 如2013年底下发的《关于规范金融信用信息基础数据库向国家机关提供查询服务的通知》 (银征信函[2013]372号) 等。通过明确国家机关和金融机构各部门对个人信用报告的查询权限, 规范个人信用报告的使用范围, 防止因职责不明而造成的第三方泄露个人信用信息。二是强化征信业务工作通报制度, 由人民银行各分支行定期组织金融机构征信业务牵头部门联席会议, 明确金融机构内部与征信业务相关部门的安全责任, 听取征信业务工作情况报告, 加强对辖内金融机构征信信息安全工作的指导。
(三) 改进现场检查机制, 探索多样化的非现场监测手段
一是改变现场检查的策略, 人民银行各分支机构以定期抽查与不定期全面检查相结合的方式, 开展征信安全制度执行情况检查, 通过缩小检查范围和确立检查重点, 达到较高的检查效率。建立检查考评制度, 完善激励约束机制, 在全辖区通报违规的金融机构名单, 加大对违规机构的监管力度。二是不断探索非现场监测手段, 为省会分支行提供更多监控权限, 如允许系统管理员了解辖内所有查询用户的使用情况, 提取用户查询清单, 实时监测各用户查询操作发生笔数, 并研发按需分配查询用户访问时间和按业务规模动态设定查询笔数预警线等功能。
(四) 围绕个人信用信息维权, 开展针对性强的宣传和培训
一是面向社会大众积极开展宣传活动, 建立维护个人隐私的理念, 明确维护个人信用信息的渠道, 形成人人了解信用信息、关注信用信息、维护信用信息的良好氛围。二是依据不同群体的特点, 组织侧重点不同的培训学习。对人民银行的征信业管理人员, 重点开展执法培训, 培养依法管理的法制观念, 提高依法履职的能力, 建设一支积极维护公众信用信息权益的征信队伍;对金融机构的征信从业人员, 重点开展保护信用信息安全教育, 提高从业过程中的责任意识和风险意识, 减少风险操作和违规操作, 打造一批道德品质优良, 业务素质过硬的征信从业人员。
摘要:保障个人信用信息安全是个人征信活动顺利开展的基础。在人民银行金融信用信息数据库建设初具规模的背景下, 本文对基层央行个人信用信息安全保护的现状进行了分析, 并从探索服务模式、加快制度推行、改进监管方式、强化宣传培训四个方面提出了相关建议。
关键词:个人信用信息,基层央行,安全保护
参考文献
[1]张国柱.征信系统信用信息安全模式探析[J], 征信, 2010, (2) :27-28.
[2]杨勇.个人征信系统运行中存在的风险需引起关注[J], 征信, 2010 (5) :26-27.
【个人信息安全保护】相关文章:
如何安全上网 保护个人信息08-16
个人信息保护论文05-11
公民个人信息的保护05-24
个人信息的民法保护09-12
当代个人信息保护研究09-11
个人用户信息保护措施05-07
个人金融信息保护考核08-01
大数据个人信息保护08-18
个人信息保护立法构思06-11
香港个人信息保护研究07-30