从“两会”多位委员提案立法保护个人信息安全,到“3.15” 中国电信被爆垃圾短信横行,再到“2012中国个人信息保护大会”中《信息安全技术 公共及商用服务信息系统个人信息保护指南》的制订完成,短短的十几天时间,个人信息安全保护就出现了实质性变化,真正进入全方位(包括法律法规、行业规范以及技术防御)护卫个人信息安全的时代。
法律法规:个人信息立法已成共识
3月15日,工业和信息化部副部长杨学山在“2012中国个人信息保护大会”上指出,个人信息保护关系每个人,也关系到产业发展、社会稳定和网络秩序。随着网络发展,个人信息集中度越来越高,个人信息保护成为法制建设关注的重要内容。加快个人信息保护工作,要从三方面着手,一是加快推动个人信息保护相关立法;二是收集个人信息的机构、单位、公司在业务开展过程中要切实做好个人信息保护工作;三是社会公众要关注个人信息不被盗卖或滥用,社会各界和媒体要加强监督。
无独有偶,在刚刚过去的2012全国两会上,全国政协委员、北京银行董事长闫冰竹则认为,公共部门和企业通常需要并乐于收集个人信息,却没有采取有效的措施保证信息安全,使个人信息处于危险之中,相关法律的缺失,更是放大了这种危险。他也建议尽快出台《个人信息保护法》。此外,清华同方专家电脑总工程师刘峰也认为:只有加强个人信息立法,才能从根本上解决个人信息保护的问题。
在众多专家、两会代表、委员及媒体等社会各界的呼吁下,通过立法保护公民个人信息主权的安全,已在全社会范围内形成广泛共识,并已成为我国经济信息化发展的必然趋势。
行业规范:多层面规范个人信息保护
当去年年底“泄密门”事件爆发之后,“明文保护密码”被千夫所指。但其实不是“明文保护密码”的错。清华同方专家电脑总工程师刘峰认为:“密码门”事件最为重要的焦点问题是通过合法系统让黑客拿到非授权的数据如何解决,而非是否应当用密文进行数据存储。主要责任在网站运营方。
的确在个人信息保护上,需要有明确的规范,单靠某一方面不可能实现。不过在3月15日举行的主题为“保护个人信息增强行业自律”2012中国个人信息保护大会上有了可喜的变化。在大会上,主办方中国软件评测中心介绍了我国第一个“个人信息保护”专项国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)的制定与主要内容,同时还发布了《2012年网站个人信息保护政策测评报告》及《2012年Android手机软件个人信息安全报告》。
据介绍,《指南》已制定完成,正按程序报批。工业和信息化部信息安全协调司副司长欧阳武在会上说,该标准定义了个人信息保护的相关概念,明确在个人信息处理的收集、加工、转移、删除4个环节中,信息主体、管理者、获得者和独立测评机构的角色与职责,为行业开展个人信息保护工作提供了行为准则。
技术护卫:多维度进行技术防御
除了个人信息立法以及多层面规范个人信息保护之外,技术上的防御同样至关重要。而从技术防御的角度来看,广大网民在进行保护个人信息时显然是弱势群体。对于个人信息的保护,谁应该负起更多的责任呢?清华同方电脑总工程师刘峰认为,在保护互联网个人信息安全的过程中,网站、政府和信息安全公司必须做到协同一致,才能构建起个人信息保护的防卫安全。
首先是网站,保护网民隐私不仅是网站的责任,而且必须要把保护网民隐私当成头等大事去办,要不然一切都形同虚设。其次是政府,政府要通过立法和确定相关规范、标准明确相关责任、约束企业行为,如此能促进企业更加重视保护网民隐私。最后是信息安全公司,它们需要通过高效的攻防演练不断进步,在产品和技术研发上持续改进,才能为企业和个人用户降低个人信息泄露的风险。清华同方电脑总工程师刘峰介绍说,清华同方已经拥有诸多基于国密算法、同方自主安全芯片和TST安全技术的成熟产品和解决方案,涵盖网络安全设备、安全计算机、安全外设、行业解决方案。这些产品方案被广泛应用于政府、机密单位、公共服务和金融行业,以及对数据有安全有各种需求的普通企业和个人消费者。清华同方是目前国内唯一能提供软件、硬件、网络、应用全方位可信信息安全解决方案的供应商。
结语:事物总是相伴相生,当各种信息安全事件频繁发生的时候,相应的立法、行业规范也在逐步的完善,这就是通常所说的倒逼机制。当然,当个人信息安全法律法规以及相应的行业规范确立之后,信息安全事件无疑将会得到根本的遏制,未来随着信息安全产品和技术的不断发展,相信个人信息安全将得到极大的保障。