“在网站上注册时,我有个习惯。要求填写姓名时,注册Sina的用户我就填张新浪,注册Yahoo我就叫张雅虎,注册Baidu我就写张百度,注册Mop我就用张猫扑,注册Google我就改叫张谷歌。今天接到个电话,问:是张建设小姐吗?我一听就知道,这回是银行把我的个人资料泄露了……”如今,愈演愈烈的个人信息泄露事件,已经让张小姐的这个“小窍门”广为流传,不少网民正在利用这类方法发现个人信息泄露的源头。
伴随网上金融交易和网上购物等互联网应用的兴起,个人的重要信息变成了网络中流动的数据,非法收集、利用、公开个人信息的机会之门也由此大开。近年来,信息和网络的迅速发展,使个人信息保护越来越受到网民的关注与重视。随着信息泄露案件的频繁出现,个人信息的保护已成为各国关注的重要问题。然而,作为一个网民人口大国,中国网民个人信息保护现状却令人忧虑。
2011年12月21日,开发者社区CSDN遭黑客攻击,600万用户账号及明文密码泄露,用户资料被大量传播。几天之后,乌云漏洞平台又爆出天涯社区遭黑客攻击,导致4000万用户资料被泄露的消息。此后,京东商城、当当网、支付宝等多家网站纷纷陷入“漏洞门”, 被指因网站安全漏洞而存在数据泄露的风险……2011年底,中国互联网遭遇的史上最大规模的用户信息泄露事件,直接导致了网民对主流网站的信任危机。由此可见,中国互联网产业的发展已经走到了不得不关注、重视个人信息保护的时代。
个人信息安全保护的中国进程
有关个人信息保护的原则,最重要的是国际经合组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家都以此为据制定了本国的个人信息保护法。这些原则包括:收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。个人信息的保护原则,体现了对人的尊重和对个人信息的规范管理。它的目的实际是在保护个人信息的同时,让个人信息能真正实现自身价值,更好地为公众服务。
互联网行业是一个时刻需要创新和变化的行业。曾有部分企业认为:强调对个人信息的保护,会制约互联网行业的创新精神,阻碍行业的发展。这说明,一些互联网企业对个人信息安全保护的理解,还存在误区。专家指出,对个人信息的保护并不是为了限制个人信息的流动,而是对个人信息的流动进行正规的管理和规范,以保证符合让信息主体同意的目的,保持信息的正确、有效和安全,最终确保个人信息能够在合理、合法的状态下流动。
到目前为止,国际上已经有50多个国家和组织建立了个人信息保护的相关法规和标准,如欧盟理事会《有关个人数据自动化处理的个人保护协定》、国际经合组织《关于保护隐私和个人数据跨国流通指导原则》、欧盟《1995年个人数据保护指南》、《瑞典个人数据法》、欧盟《2002年隐私和电子通信指令》、《美国隐私权法》、《加拿大个人数据保护法》、英国《数据保护法》、美国《电子通信隐私法》、美国《互联网保护个人隐私的政策》、日本《个人信息保护法》等。
与一些发达国家相比,我国在信息安全保护意识与规范制定方面存在一些弱项。特别是个人信息保护意识不足的问题,还曾经直接导致国际市场在选择外包企业时对中国企业的不信任,严重影响了我国软件及信息服务外包业务的发展。
2008年,个人信息保护被纳入工业和信息化部重点工作范畴。2009年,为了消除国际影响,提升国内企业在国际软件与信息服务外包业务中的竞争力,我国成立了首个个人信息保护管理委员会并建立了个人信息保护的评价制度。工业和信息化部信息安全协调司副司长欧阳武告诉记者,这套评价制度启用效果非常明显,它不仅得到了境外相关机构的认可,也为国内企业承接境外业务提供了基本保障。此后,这套评价体系的建立,也确实为个人信息安全保护工作的开展起到了旗帜性的作用。
2011年初,为了全面推动我国信息服务产业个人信息保护体系的建立,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、全国信息安全标准化技术委员会2011年国家标准编制计划(编号:TC260-BZZXD-WG7-2011018)。在“指南”的基础上,信息系统个人信息保护标准体系中其他技术、管理和行业标准也已进入计划制定阶段。
《指南》制定完成后,伴随一些第三方评测平台的努力,如今标准落实工作已出现实质性进展。2011年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心力邀个人信息保护相关专家,组成评测专家组,并根据《指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标。历经六个月,专家组对电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,正式将《指南》通过科学的个人信息安全相关评级机制落实。同时,针对移动互联网带来的个人信息泄露问题,中国软件评测中心还与北京大学互联网安全技术实验室合作,选取了安卓手机各类热门软件对其个人信息安全状况进行了测试评估。
而相关评测报告显示,个人信息安全防护的主战场,正在伴随移动设备和Wi-Fi网络的普及不断蔓延扩大,个人信息安全防护各项工作的开展已刻不容缓。
个人信息保卫战出现第二战场
十年前,地铁里最常见的人群是手拿报纸的上班族。但是今天,手握手机的上网族成了主流。搜索、游戏、阅读、音乐、互动社区,手机支付、手机电视……层出不穷的移动互联网应用在吸引大量用户的同时,也把个人信息安全保卫战推向了更广阔的战场。
2012年1月,中国互联网信息中心(CNNIC)发布了《第29次中国互联网络发展情况统计报告》。该报告显示,截至2011年12月底,手机网民数量超过3.5亿。艾瑞咨询预计,中国手机应用商店2012年和2013年的用户规模将有望分别达1.82亿、2.75亿。手机应用软件商店正在成为各大IT巨头发力的焦点。
但是,在移动互联网应用发展势头一片大好的背后,却暗藏着个人信息泄露的巨大风险。美国标枪战略研究公司(Javelin Strategy & Research)近期公布的的一份报告显示,2011年美国有近1200万人沦为身份盗窃的牺牲品,较2010年增长了13%。主要原因正是智能手机和社交媒体使用的增加。日本的KDDI研究所在调查了400种智能手机热门免费应用软件后发现,约6%的软件会将电话号码、终端ID、位置信息及使用软件一览表在用户不知情的情况下向外部发送。据国外媒体报道,安全厂商Dasient对1万款安卓应用进行了研究,发现逾8%的应用会向没有获得授权的计算机传输用户的个人资料。
360安全中心日前发布的《2011年中国手机安全状况报告》指出,2011年全年新增手机恶意软件及木马8714个,被感染智能手机用户数超过2753万人次。其中,安卓手机操作系统成为安全问题最为严重的平台。根据360手机云安全中心统计,2011年是Android平台恶意软件及木马的“井喷年”,相较2010年全年共发现12个木马样本相比,今年捕获新增安卓木马样本4722个,被感染手机用户数超过498万人次。从2011年8月起,安卓平台每月新增木马数量开始连续4个月超过塞班平台,在新增安全威胁的增速与增量上全面居首。
2011年10月到2012年3月,中国软件评测中心与北京大学互联网安全技术实验室针对Android手机软件的个人信息安全评测结果显示,基于安卓平台的应用存在严重的信息泄露风险。这次评测在中国移动应用商城、中国联通(600050,股吧)沃商店、中国电信天翼空间、机锋网等应用商店中随机选择了几百个测试样本,测试指标选取的原则为信息泄露造成危害程度、用户对信息的敏感性、利益相关方对个人信息的关注点。结果显示:IMEI号码泄露问题最为严重,其次为手机号码泄露,再次为地理位置和SIM卡序列号泄露。而在优亿市场、宝软网、安卓在线、数熊游戏软件等手机软件电子市场采样测试的结果则显示“数熊游戏软件”泄露手机号码情况较为严重。
这些数据显示,移动互联网已经变成了安全攻防的第二个主战场。面对移动互联网的发展和Wi-Fi普及带来的个人信息泄露风险,360总裁齐向东认为只有通过在移动终端上安装安全软件,才能实现有效的防御。在他看来,互联网应用的高速发展正在显示一种趋势——未来人们势必会将更多的个人信息、隐私信息放在互联网中,保护个人信息安全会变成互联网的头等大事。但当前人们对移动设备安全防护的认识还远远不足,比如安卓这类开源操作系统平台在安全性方面要远比Windows系统薄弱,基于这类平台开发的应用在安全机制方面的考虑也远远不够,这些问题会造成安全风险,很多用户对此还没有清醒的认识。和传统的终端相比,移动终端安全防护产品在个人信息安全防护的战场上所起到的作用将更为突出。
如何构建多维防线
欧阳武指出,只有把个人信息保护纳入法制化的轨道,才能实现对个人信息的最好保护。在他看来,只有通过法律,才能明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,明确侵害他人隐私的责任和行政处罚制度。其次,由行业组织依据行业信息保护规则,在照顾行业发展特点的同时,制定出行业信息保护规范,通过行业自律的方式进一步完善事后承接机制,约束行业滥用信息也是非常关键的工作。此外,由于目前个人信息保护的国家标准还没有正式出台,企业的个人信息保护政策的落实的相关措施还没有相应的监督机制,对企业的个人信息保护能力还无法做到客观的评价,广大网络用户对相关的措施和安全管理工作还缺乏认知,实现个人信息保护也需要做大量的细致工作,所以目前根据标准的内容制定测评指标体系,建立第三方测评评估机制非常重要。第三方测评不仅能为行业自律提供可借鉴的标准,还能对提高全社会的个人信息保护意识起到推动作用。
从技术防御的角度来看,广大网民在进行保护个人信息时显然是弱势群体。对于个人信息的保护,谁应该负起更多的责任呢?齐向东认为,在保护互联网个人信息安全的过程中,网站、政府和安全公司只必须做到“三位一体”,才能构建起个人信息保护的坚实防线。网站要把保护网民隐私的事当成头等大事去办,政府要通过立法和确定相关规范、标准明确相关责任、约束企业行为,而安全公司则要通过高效的攻防演练不断进步,为企业和个人用户降低个人信息泄露的风险。此外,他还表示,网站和安全公司的积极性,也需要网民通过监督去不断激发,令网站和安全公司提升使命感。虽然对互联网行业而言,从技术角度实现完全公平的评级有很大难度,但网民如果可以通过第三方评测机构的测评结果从侧面对网站起到监督作用,就能督促互联网企业重视个人信息的保护。
中国软件评测中心对测试指标、测试流程、测试方法采取了公开透明的机制,发布的评测结果都是基于客观数据,对参与测试的电子市场与软件厂商不偏不倚。中国软件评测中心常务副主任、赛迪评测总裁黄子河表示,中国软件评测中心希望通过个人信息保护测试的公共服务平台,帮助整个社会提升个人信息保护的水平。他还希望能够由此建立起个人信息安全事件的发布、通告及实时响应的平台,对个人信息安全事件进行实时监测,通过建立安全知识库,为政府的相关法规提供技术解决方案,落实相关法律法规。
(责任编辑:孙悦)