人才网注册带来的烦恼
小张是大四学生,为了找到好工作,前段时间在多个人才网站注册了自己的求职信息,在网站留下包括个人手机、住址、邮编、身份证等隐私信息。令人想不到的是,没有接到几个真正招聘企业的电话,倒是收到一大堆骚扰电话。
有理财服务商打来的,说是看到小张简历中有参加模拟期货的介绍,询问他是否需要他们公司提供的理财服务。有电信客服发来的催款短信,说是他在从来没去过的某地购买的手机卡已经欠费了,请及时缴费,否则后果自负(想都不要想,是有人借自己身份证号码盗办了电话卡)。有XX公司发到自己家庭地址的中奖信件,说小张抽到了大奖,请速汇2000元领奖。
诸如此类的骚扰信息让小张烦不胜烦,到底是谁泄露的呢?思来想去,小张最近只是在人才网站留下了这些信息,显然隐私就是从这里泄露的。其实类似这样的隐私无故泄露案例,在我们生活中随处可见。那么在日常的生活中,有哪些操作容易泄露我们的隐私,又该如何进行防范?
日常电脑操作带来隐私泄露
在日常电脑操作中,很容易留下各种隐私,比如你浏览的网站记录、本地文件搜索记录等,一不小心,这些隐私就可能被使用我们电脑的人截取。
防范措施:借助History Sweeper(历史清道夫,试用下载:)定期清理。History Sweeper可以清除计算机中的无用文件和历史记录,如注册表无用项、文档、运行、查找记录等。只要定期启动程序,然后勾选需要扫描的选项,扫描完成后点击“确定”清除即可。
电脑送修带来隐私泄露
几年前冠希同学的电脑维修带来的烦恼想必路人皆知,随着笔记本电脑的普及,如何在电脑送修时保护个人隐私成了大家关注的话题。
防范措施:Windows 7用户,可使用系统自带的“BitLocker加密”。首先将个人隐私文件全部保存在一个分区,假设为D驱动器,打开资源管理器,右击D盘选择“启用BitLocker”即可激活BitLocker加密,然后按照加密向导选择“使用密码解锁驱动器”即可。成功完成驱动器的加密并重启后,BitLocker加密就自动激活了,下次如果要访问加密分区,系统则会弹出BitLocker解密窗口,要求我们输入指定的密码才能访问该驱动器,只要自己密码不泄露,即使本本在他人手中(比如送修),也可有效保护隐私的安全(图1)。
网上求职带来隐私泄露
就像上述介绍的实例,由于我们(特别是当前大四学生)求职时需要在人才网站填写详细的个人信息,这样那些规模小、不正规的人才网站经常会将我们的个人信息贩卖给他人,导致自己隐私的泄露,造成不必要的麻烦。
防范措施
1.填写个人信息时,关键的个人信息要保留。求职信息主要是自己的教育、工作经历等招聘企业感兴趣的信息,对于类似家庭婚姻状况、身份证号码、家庭住址等信息尽量不要留在网站,因为这些信息对招聘企业来说是无关紧要的,填写了反而容易泄露,给自己带来不必要的麻烦。
2.选择正规、大型的人才网站。比如中华英才网()、前程无忧()、智联招聘()、中国国家人才网(.cn)等权威性的招聘网站。
3.过期简历及时删除或者更改。正规的人才网站大多提供简历删除或者编辑功能,因此在找到一份稳定的工作后,可以登录人才网删除自己的简历,减小隐私泄露的风险。以中华英才网为例,登录之后,点击“编辑”按钮,将自己的隐私信息删除即可(图2)。
网购带来的隐私泄露
现在越来越多的朋友使用网络购物,不过每一次的购物活动都可能带来隐私的泄露。比如被打着低价、低折扣、抢购的钓鱼网站欺诈,泄露自己的网银账号;贪图便宜,被免费试用吸引,通过收货地址泄露自己的实际家庭住址等。怎么防范网络购物带来的风险?
防范措施
1.专款专用,为网购设置专用账户。为了自己资金的安全,为网络支付设置一个专用银行卡账户是必需的。现在网络支付大多支持工、中、农、建四大银行,我们可以在这些银行开立一个专用账户,然后根据自己的网络购物消费,定期存入适当的金额。当然还可以设置限定的支付限额,比如中行用户登录自己的账户后,切换到“电子支付网上支付交易限额设置”,根据自己的需要设置合适的支付额度(图3)。
2.加强支付账户的安全措施。现在很多支付账户都提供强大的安全措施,我们应该尽可能使用。比如支付宝提供数字证书,申请数字证书之后,如果在当前的电脑中没有导入数字证书,那么只能进行账户的查询,而无法进行支付等操作,即使他人进入我们支付宝账户也无法窃取财物。
为了保证账户的安全,一定要为自己的账户设置强劲的密码。可以参考防盗密码七原则:密码不得少于8位数原则;密码采用各种符号穿插原则;密码采用无意义组合原则,避免使用易被获取的个人信息;密码避免使用单词、派生词、衍生词原则;不同账户使用不同密码原则;建立规范定期更新个人密码原则;切勿将密码立档保存并告知他人原则。
3.设置合适的收货地址。网购大多需要留下详细的收货地址,为了防止泄露自己的家庭地址,对于有固定单位的用户,强烈建议使用公司地址作为收货地址。
论坛、博客文章泄露隐私
现在很多朋友都喜欢在论坛或者博客发表自己的文章,为了增强文章的可读性,常常在文章里图文并茂,很多截图一不小心就容易泄露自己的QQ、银行账号、邮箱等隐私信息。
防范措施:使用画图工具遮掩敏感信息。在每次发表文章之前,详细检查图片是否包含隐私信息,如果有,先将其在画图中打开,然后点选橡皮擦工具,在隐私信息上擦除这些信息即可(图4)。
手机上网或丢失导致隐私泄露
自2011年12月21日开始,中国最大开发者技术社区CSDN的600万用户数据被泄露,其中包含极为敏感的用户名、明文密码;次日,垂直游戏网站多玩网被传泄露800万用户数据;25日,号称“最有影响力华人论坛”天涯社区4000万用户数据包被疯传;51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等相继被卷入用户数据泄露风波;支付宝、当当网以及京东商城等电子商务网站亦未幸免;29日,网络传言交通银行7000万及民生银行3500万用户卡号、姓名及密码泄露,恐慌感被推至高点,“泄密门”达到高潮。
一时间,各种消息真假难辨,人人自危。
2011年12月28日,国家工业和信息化部(下称工信部)发表声明称,已经启动应急预案。其下属国家互联网应急中心(CNCERT)30日数据显示,截至2011年12月29日,已通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
2012年开年后,中国正式进入“5亿网民”时代,网络又传出新浪7000多万用户信息可被攻破,网络信息安全显现出前所未有的脆弱。
2012年1月10日晚间,国家互联网信息办(下称国信办)就连环泄密事件所做的情况调查通报,却显得风平浪静。通报披露,近期查处的五起信息泄露事件中,最终确认被黑客入侵并遭泄露者仅CSDN和天涯社区两家网站,被入侵均为2009年前的陈年往事;其余数据泄露或为公司内部职员监守自盗,或是“一些人编造或炒作网站用户信息被大规模泄露的消息”。
国信办称,“其中既有出于个人进行炫耀或骗取钱财的目的,也有一些网络安全公司销售人员想以此提高知名度、推销自己的产品,还有个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。”
1月11日,“泄密门”中第一个登场的CSDN在北京召开媒体会称,将与阿里云计算有限公司合作,联手为开发者打造一个安全可信的服务平台。闪光灯频照,频受泄密诘问的CSDN以“受害者”形象出现。其余相关信息被泄露的网站亦作出类似反应。
同日,一位接近工信部通信保障局的人士向《财经》记者表示,该部门对泄密事件的调查工作已经“告一段落”。
泄密风暴来得迅猛,淡化也快,在这背后,国内网络信息安全现状仍然脆弱,这意味着反思不够却刻不容缓:黑客产业链如何存在、当如何应对,用户信息泄露如何追责,互联网法制建设仍待健全。
哪些信息丢了:“泄密”实与虚
依据国信办2012年1月10日的通告,此次泄密事件中,最终被判定确实发生了网站、论坛用户数据泄露事件的,仅有CSDN、天涯社区以及广东“YY”语音聊天网站三起。其中除后者属公司员工利用职务之便监守自盗外,前二者皆因2009年以前被黑客入侵致信息泄露。
事件最早披露是在2011年12月4日,黑客“臭小子”(网名)在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。
2010年5月上线的乌云网,定位为“自由平等的”漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。截至2011年11月,已有接近4000个安全问题得到反馈和处理。
随后半个多月内,事情并未引发公众关注。直到2011年12月21日,金山毒霸产品经理韩正奇在微博爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露。一份名为 “CSDN-中文IT社区-600万.rar”的文件在网上疯传。
四天后,12月25日,一份大小为386M的泄露文件“天涯数据.kz”让“泄密门”升级,该文件保存了天涯社区的用户名、密码、邮箱三个数据。经网友验证,大部分数据可登录成功。
事后,CSDN与天涯的回应时机、措辞如出一辙,均称被盗并遭泄露的明文密码数据系2009年前的备份数据,升级后已采取加密保护措施,但并未对泄露规模予以确认。两者亦已在第一时间向当地公安局报案。不过,有用户质疑,2009年后注册的账号也被泄露。
“此次信息泄露并无任何商业目的。”天涯市场部公关经理初蒙向《财经》记者表示不解。据了解,数据为何泄露,为何在年底集中爆发,是公安机关侦查的重点。CSDN董事长蒋涛则告诉《财经》记者,北京市公安局已抓获涉嫌入侵CSDN的黑客。据了解,这两名黑客或为互联网公司的技术人员。
依据国信办通报,其他多起网络传播的社交网站及电子商务网站泄密事件,公众不必多虑:新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵,网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。
但与上述说法矛盾的是,在2011年12月28日时,当当网官方已就“当当网1200万用户信息遭泄露”发出公告称,该数据系2011年6月之前的老数据,是由于之前遭到网络黑客攻击被盗取;2012年1月4日,游侠安全网创始人张百川在其网站上了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录魔术师刘谦的微博进行验证。该帖子称,这涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。
国信办通报还称,犯罪嫌疑人要某(网名“我心飞翔”)入侵京东商城网站后,在乌云网发帖称掌握京东商城漏洞,后以公布该安全漏洞要挟京东商城支付270万元。但要某并未窃取、泄露该网站相关数据,因涉嫌敲诈勒索,现被刑事拘留。
而对于“泄密门”高潮,交通银行、民生银行被传泄露数以千万计的用户信息,及卡号、密码、姓名的截图传播,国信办表示,这纯属24岁青年王鹏辉(网名“挨踢客”)凭空捏造,是为提高所在网站知名度的自我炒作,公安机关已对其予以训诫。
通报当晚,王鹏辉向《财经》记者表达了委屈,他坚持自己并非捏造者,只是从一个IT交流QQ群里看到信息,出于善意提醒到个人网站,并非信息源头。
此外,包括支付宝账户信息在内的更多在网络流传的数据包问题,国信办并未提及。
被“忽略”的还包括广东省公安厅出入境政务服务网网上申请数据泄露问题:2011年6月24日至12月29日期间,在广东申请出入境的用户信息包括真实姓名、出生年月、电话、护照号码、港澳通行证号码等在内的个人信息遭到泄露。该事件已为广东省公安厅证实。网友估计泄露总信息量超过444万条。
令人担忧的是,即便如通报所言,仅有CSDN与天涯社区发生大规模数据泄露,这些账号信息也会对用户关联账户产生巨大危害,并为恶意黑客用做建设密码破解数据库。
有网民由此认为:“CSDN明文储存密码,不是技术问题,而是道德问题。”
“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码。”专业IT博客“月光博客”撰文表示,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的论坛还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。”
对此质疑,CSDN与天涯社区的官方回应表示,早就放弃明文密码这种不负责任的存储方式,所泄露部分只是网站早期账号密码数据库,因历史原因并未及时清理。
蒋涛承认,过去安全意识薄弱:“从来没想过在安全上要做一些什么样的工作。”他回忆,早在2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让他大吃一惊,“你的数据是怎么保存的,谁能获得它?”
“因为自认为CSDN是以论坛用户为主的社区,数据并不属于敏感数据,技术网站可能也没有太多商业利益给黑客挖掘。”蒋涛解释。
用户信息泄露后,CSDN请杭州安恒信息技术有限公司对其进行安全审计,结果表明主要有四方面问题:第三方系统漏洞;已停用的老系统;应用程序漏洞;系统后台认证。蒋涛对此表示,“我们有100台服务器,但是只有三名运维人员。”
窃密者为什么:“黑产业”演进
在网络安全圈内,CSDN和天涯网站被“拖库”的消息早有流传。“一年前就听说过了。”张百川告诉《财经》记者。
“拖库”在业内被戏称为“脱裤”,即黑客入侵有价值的网络社区,把会员资料数据库全部盗走,之后再利用这些数据库信息,或开展定点攻击,或利用用户在不同网站通用一套账号和密码的特点来“撞库”,扩大战果。
“拖库”成功后,可以直接将数据整库出售,如卖给被“脱裤”网站的竞争对手,也可以按照数据所蕴含的价值进行“洗库”,即将各种含有虚拟货币、游戏装备和QQ号等账户洗出来,直接或间接变现,几番“洗库”之后,数据库还能卖给产业链的下游――利用账号信息来发送广告、垃圾短信和垃圾邮件的推销公司。
其时,网络信息地下黑色产业链的两大牟利手段“挂马”和“钓鱼”正发生着截然相反的变化。
所谓“挂马”,是指不法分子在网页中嵌入恶意代码,当用户访问这些网页时,会自动下载、激活木马程序,变成受控的“肉鸡”,通过弹出广告、推广流氓软件等方式为远程控制者赚钱;而“钓鱼”则是不法分子模仿银行、购物网站、炒股网站、网站等建立网站,将钓鱼网站和线下诈骗广泛结合,使得诈骗者的犯罪成本急剧下降,跨地区、甚至跨国性犯罪呈上升趋势。
根据瑞星互联网安全报告,2011年上半年截获的“挂马”网站总数目为236万个,比上年同期下降了91.2%,这也是连续第二年以90%以上的幅度下降。原因在于,“挂马”受到各大网络安全公司严重打击,免费杀毒软件在个人终端的普及程度也大幅上升,这种网络攻击手段越来越无利可图。
与之相反,网络“钓鱼”的危害程度达到新高,2011年上半年瑞星截获钓鱼网站218万个,逾1亿零53万人次网民遭钓鱼网站侵袭。按照此类诈骗的平均金额计算,造成直接经济损失至少在百亿元以上。
与此同时,“拖库”作为一种网络犯罪形式日渐流行。在国际上,“拖库”已造成多起重大网络安全事件。例如2011年4月开始,索尼旗下的多个网站陆续被黑客攻陷,约1亿用户个人信息被黑客盗走,该事件导致索尼的直接经济损失超过千万美元,对其声誉和业务的影响更是巨大。
一位不愿具名的某“网络安全俱乐部”组织者透露,在国外一些需要熟人推荐才能加入的地下站点,论坛里会列出求购的网站及相应悬赏报价。“在黑客眼中,库不在大,而在于精。”该组织者对《财经》记者称,曾有个非常小众的国外站点――一个高尔夫球俱乐部社区,“整个库的数据量也就几百M,却卖到了100多万元人民币”。
实际上,“很多人不敢去深度开发,将数据库转手卖掉是最好的获利方式。”游侠安全网创始人张百川说。
根据自2011年9月1日起生效的最高法院、最高检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息十组以上;获取其他如账号、口令等身份认证信息500组以上;非法控制计算机信息系统20台以上;违法所得5000元以上或者造成经济损失1万元以上,即可判处三年以下有期徒刑等刑罚。如达到上述标准的5倍以上,可处三年以上七年以下有期徒刑。
在纽约证券交易所一家美国上市公司就职的一位企业架构师分析,黑客凭借自身网络技术,找一份体面的工作并不难,大部分人不会去实施犯罪行为,而是游走在边缘地带。从理论上说,黑客的入侵行为都会在网站日志里留下痕迹,一旦犯事,这些蛛丝马迹就会成为破案线索。
然而,数据库所蕴藏的价值极具诱惑,部分黑客依然会实施深度发掘,只不过会主动控制风险。该企业架构师透露,最常见的手法是严格执行对被盗账户的小额操作――即使单个账户中的虚拟货币很多,也只转出一部分,让账户主人很难察觉;即使被发现,由于每个孤立的窃取行为被控制在立案标准以外,账户主人也难以申诉。而且,要立案必然涉及跨地域问题,大大增加了追查成本。
这样,尽管对每个账户攫取的价值不高,但汇集起来就是一个很大的规模。
你安全吗:信息安全家底
安天实验室首席架构师肖新光(网名江海客)告诉《财经》记者,攻击者在此前较长的时间里,获取了大量资源,应是这次泄密事件的前提。而后期的心理跟随效应、一些厂商各有初衷的推动、一些假库和假消息各怀目的的传播,起到了推波助澜的效果,这些影响也会慢慢消散。
然而,“攻击者群体手中还有更多的库是完全有可能的”。肖新光说。
北京神州绿盟信息安全科技股份有限公司(下称绿盟科技)一位网络安全专家甚至称,“几乎所有国内互联网大站都出现过大批量的信息泄露问题”,只是碍于声誉不愿公开。
多位网络安全专家向《财经》记者表示,目前国内网站安全整体现状不容乐观。
这背后的原因,首先是安全意识淡薄。1月6日,在中国计算机学会青年计算机科技论坛上,国家计算机网络应急技术处理协调中心副总工程师杜跃进指出,国内很多网站都是“编程好了就完了,口令写在程序里面,直接在电信运营企业那里跑”,很少有人重视代码安全。
此外,国内网站在信息安全方面的资金投入严重不足,中国的安全市场占全球的比例仅为个位数,安全投入在信息系统建设投入中的比例,与先进国家有太大差距。根据国际数据公司(IDC)数据,2010年全球信息安全市场的总额达到1188亿美元,同期中国信息安全市场的规模仅为12.48亿美元。IDC对12个国家2850家公司开展的一项调查结果显示,目前国外信息安全投入占整体IT信息投入的比例为14.5%,但在中国这一数字仅为6.5%。
本已捉襟见肘的信息安全投入,还面临着贫富不均的尴尬。在肖新光看来,“如果没有对安全价值的共识,安全厂商一般很难和网站形成很紧密的合作。”互联网巨头建立了较大的安全运维团队,甚至会和安全厂商争抢人才;但在多数中小型网站,安全投入普遍很低,甚至没有独立的安全人员。此外,网站应用比较复杂,编程人员安全编码能力较差,也是很普遍的现象。
360网站安全检测平台的数据显示,目前国内约83%的网站存在各种安全漏洞,其中34%为高危漏洞。这些漏洞导致最严重的后果就是用户数据库泄露。
不过,如果采取了适当的加密方式,即使被“拖库”也不等于密码泄露,当“拖库”与不正确的加密方式同时发生时,才会导致密码泄露。
此次泄密风波中,最让公众震惊的是交通银行等金融机构数据泄露的网络传言。北京宇信易诚科技有限公司网银产品部副总经理梁强认为:“对网银用户,传言造成的主要是心理上的影响。”
与其他互联网服务将用户体验放在第一位不同,网银和第三方支付平台如支付宝等,在网站架构时就把安全性放在首位,宁可牺牲一些用户体验。
网银系统的安全保障大致来自三个方面。在客户端,通过增加专用密码输入键盘、U盾等措施,降低安全风险。
而在通信网络上,目前所有网银都是使用HTTPS通道。与网络常用的HTTP通道的直观区别在于,网络地址栏的开头显示为“”,而非“”。它相当于在HTTP通道构建了一个秘密安全通道,保证了用户与银行终端间信息传输的安全,提高侵入难度。
为什么大多数网络社区不用这种更安全的传输方式呢?一个最关键的问题是成本的增加,如购买设备、后期维护及证书等,证书还要数年更换一次。同时,这也不利于有关机构对网络信息的监管。
功夫下得最多的还是在银行的服务器端,包括网络架构安全、系统设计安全、Web应用安全、数据安全等方面,都有远胜普通网站的严格规范。仅以防火墙为例,一般网银系统至少设置三道防火墙,且在采购时,一定会选择不是同一家同一型号的产品。
据梁强所知,在业内,网银安全事件曾有发生,但整体比例很小。“多数原因是内部的管理疏忽和内部程序逻辑等,外部攻击的案例极少;直接攻破服务器的案例,则几乎没有。”
2010年1月28日,中国人民银行《网上银行系统信息安全通用规范(试行)》,对网银业务的发展提出了更多具体的保障要求,如明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作;强调客户端的安全性;对硬件数字证书的应用提出规范要求;交易机制的规范化基于客户计算机终端不安全的假定;关注Web应用安全等。
梁强认为,对普通用户来说,过分担心网银和支付宝的安全问题意义不大,更应该注意的是,将在网银使用的用户名和密码与在普通论坛、网站使用的加以严格区分。
实际上,多位受访专家均表示,此次泄露出的数据,受伤最重的是网民的隐私。一个直接的后果就是,你可能会接到更多的垃圾邮件、垃圾广告和推销电话。
泄密的成本:无奈的用户
黑客入侵的刑事案件进展备受关注。据国信办披露,截至目前,公安机关此次已查处入侵、窃取、倒卖数据案件九起,编造并炒作信息泄露案件三起,刑事拘留四人,予以治安处罚八人。
在现有法律框架内,《刑法修正案(七)》规定,“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,并增加了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息等三项罪名。
“信息泄露要制源头,要打‘老虎’,而不是打‘苍蝇’。”中国社会科学院法学研究所研究员周汉华表示。
为何“苍蝇”难打?广东佛山网监支队一位警察向《财经》记者解释,黑客操作会被记录在被入侵方服务器日志上,网警通过电信部门查看路由日志查找入侵者IP地址。但很多时候,黑客往往几经兜转,连到国外服务器上去了,给其查找工作带来困难。
CSDN等网络服务提供者,既是黑客入侵受害者,对用户而言,也是密码泄露责任者之一,用户能否追责?在国外,2011年4月索尼PlayStation游戏网络遭黑客入侵事件中,索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息被窃取,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区。之后一个月内,美国各级联邦法院就收到至少40起集团诉讼,指控索尼未能充分保护玩家个人数据和信用卡信息。
这类案件通常遵循统一的模式:用户隐私信息被泄露引发大规模诉讼,企业为了维护信誉支付巨额赔偿金。最终索尼正式道歉并对用户做出补偿。2004年,日本雅虎约有460万用户的个人信息外露,日本雅虎向每位用户“赔偿”6美元购物券。
中国网络法律网首席法律顾问赵占领认为,国内用户也可以依据侵权责任法和民法,泄密网站;但最大的操作难点在于,用户如何证明自己曾注册该网站,且拥有被泄露的账户信息;经济损失界定亦是难点。
接近工信部通信保障局的人士向《财经》记者表示,目前并没有计划也缺乏明文依据对此次泄密的网站做出惩罚。
上述接近工信部通信保障局的人士称,下一阶段的工作重点是,依据工信部2009年12月的《通信网络安全防护管理办法》(下称11号令)通知各企业加强网络信息安全保障。
11号令是目前监管部门针对网络安全问题的主要处理依据,根据各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高划分为五级,实行分级管理。
杜跃进向《财经》记者解释,自11号令实施以来,依照定级结果,工信部对通信行业网络单元展开了大量的安全评测和检查工作。2011年8月又启动了包括网站、论坛等在内的增值电信业务的安全防护试点工作。
“本次用户数据泄露事件后,工信部加快了这方面的工作,目前已经完成了对一些试点网站业务的定级工作,下一步就需要进一步完善标准和实施安全评估、符合性评测以及安全检查等工作了。”蒋涛向记者表示,CSDN正在申请第二级等级保护。
网络“裸奔”隐忧:法制待健全
“网站的安全是不可信任的,无论是国内的还是国外的,你只能尽量控制信息的源头,一旦流出去了就基本脱离了你的控制。”绿盟科技上述网络安全专家说。
用户名、密码及其他用户信息,是网站最大的价值所在。前述企业架构师说,做网站安全体系架构时,有一个重要原则,“永远不要保存无法保证安全的数据”。
在这方面,韩国推行了四年有余的网络实名制面临尴尬。
2007年7月,韩国正式开始实施网络实名制,成为世界上当时唯一实行这一监管政策的国家。该政策最初要求,每天访问人数超过30万的35家主要网站实行真实姓名和身份证号注册,网民只有通过网站的身份验证后才能进行留言。从2009年4月起,这项制度进一步扩大,每天访问人数超过10万的153家主要网站亦被划入。
但是,随着时间的推移,网民个人信息遭泄露的情况时有发生。2011年7月,韩国SK通讯公司承认,旗下门户网站Nate和社交网站Cyworld被黑客攻击,不计算两家网站的用户重合部分,被盗取信息的用户数达3500万,而韩国总人口数为4900万。由于实行实名制,被盗取的用户信息非常详尽,包括电话号码、身份证号、生日、电子邮箱地址,甚至血型。
在向韩国总统李明博提交的2012年业务计划中,韩国互联网监管机构广播通信委员会提出了有关重新检讨网络实名制的方案。韩国部分媒体认为,虽然该方案是“重新检讨”,但事实上更侧重于取消这一制度。
“泄密门”发生后一周内,2011年12月29日,工信部调研一年之久的《互联网信息服务市场秩序管理若干规定》,以部门规章的形式强调“互联网信息服务提供者应当妥善保管用户个人信息”。
《财经》记者获得的一份由工信部信息安全协调司指导、全国信息安全标准化技术委员会秘书处组织起草的《信息安全技术信息系统个人信息保护指南》(送审稿)中,对上述“妥善保管义务”作出解读,即“保护个人信息不为处理目的之外的任何个人或机构所知,采取门禁、数据加密、数据完整性检验等方式防止对个人信息处理场所和个人信息存储介质的未授权访问、损害和干扰”。
该指南何时最终出台尚未可知,而且,“这只是一个推荐实施的国家标准,违反了也没有后果”。周汉华并不乐观。
工信部电信研究院法律专家蔡雄山指出,在国内立法上,对个人数据控制者未尽妥善保管义务的法律后果规定得并不完善,惩罚力度也不够。
关于个人信息保护条款散见于《刑法修正案(七)》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等法律法规中;在监管机关层面,国内也缺乏明确的专职的个人信息保护机构,而以欧盟为例,27个成员国每个国家都有一个专门的信息保护机构。
据了解,《个人信息保护法》的立法工作在2003年曾一度启动,如今仍处于搁置中。
在网络信息安全监管层面,中国已有相关法律规范有百余部,除去《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》等专门立法外,还散见于《宪法》、《刑法》、《国家安全法》、《保守国家秘密法》、《治安管理处罚法》等中。承担信息安全监管工作的工信部、公安部、国家保密局以及国家密码管理局等都曾部门规章或相关规范性文件;而国家食品药品监督管理局、卫生部、银监会、证监会以及铁道部等也曾就各自主管领域规章文件。
似乎每一天,我们都能听到关于某政府机关、教育机构或知名公司泄露了敏感信息的消息。这些信息通常是个PII,包括社会保险号码、驾驶执照信息、银行账号和信用卡号、医疗记录等。
如果某机构泄露了敏感的信息,其品牌和声誉定会受到影响,这才是他们尽力保护个人信息的最大动力。没有哪家公司愿意看到自己的名字因为泄露信息而上了报纸、电视或广播的头条新闻。
另外,很多规定利用罚款或监禁的惩罚措施来强迫组织机构保护PII。有些规定是针对某个行业的,比如针对银行和信用合作社的金融服务现代化法案(HGLBA)、针对医疗和保健机构的健康保险流通与责任法案(HIPAA)。还有些法律规定的涉及面更广,比如支付卡行业的数据安全标准,对任何处理信用卡号码的组织都有约束力;加利福尼亚违反安全信息法(SB-1386),要求加州的公司披露所有信息泄露事件。
显然,无论是为了防止PII落入坏人之手,还是单纯地为了避免泄露信息所要承担的责任,企业都越来越积极地部署安全措施。但实施安全措施是一项巨大的工程,这涉及到大量不同格式的个人数据,既包括Excel文件,也有XML文件。即使在监管有力的行业中,要辨别网络中可能诱发风险的内容也需要很大的投入。况且,仅仅维护现有的安全措施就已经很麻烦了。
关键词:计算机安全 数据保护 企业安全
中图分类号:F426.6 文献标识码:A 文章编号:1672-3791(2014)06(a)-0025-01
1 DLP简介
数据泄露防护(Data leakage prevention,DLP),又称为“数据丢失防护”也称为“信息泄漏防护”。数据泄露防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
2 需求分析
2.1 黑客以及间谍的窃密
国内外越来越多的黑客及间谍,通过层出不穷的技术手段,盗取国内企业各种重要机密数据,已成为中国信息安全的巨大威胁之一。如果置之不理不采取相关的应急和长远措施,必将造成无法估量的损失。
2.2 行业竞争对手的有意窃取
信息技术的发展为盗取信息提供了一定的便利,怎么样做好防护是不得不采取的必要措施。如果企业不重视自身重要机密信息的保护,不但会造成商业竞争的被动,直接导致经济损失,更会导致整个行业因恶性竞争带来的衰落与灭亡。
2.3 在职员工无意或者恶意的泄密
目前,企事业单位人员对于信息安全资产的重要性认识不够,导致部分人员无意泄密,为部分不良分子提供了可乘之机。另外部分不良的人员,出于对企业的不满,肆意将机密信息公之于众,带来巨大的无法挽回的损失和不良影响。
2.4 内部文档权限失控导致泄密
目前,极大多数单位信息的权限划分是粗放型的,没有细分到相应的个人。因此,内部数据和文档在权限管控方面的失控,会导致不具备权限的人员获得信息,或者是低权限的人员获得高信息。从而导致重要机密数据的泄密,无法从根本上杜绝。
2.5 存储等硬件设备丢失或维修导致失密或泄密
笔记本电脑、移动硬盘、存储卡之类的移动存储设备,一旦遗失或维修,其存储的数据往往暴露无遗。特别是数据一般都有恢复的特别属性,所以移动设备的使用和监管是非常重要的一个步骤。
3 防护方法
3.1 终端数据防泄露
在终端数据防泄露方面,中国人以独有的技术敏感和产品领悟力,推出的文件透明加密、权限管理、外发控制等软件,以文档透明加密为核心,辅以权限控制,外发管理、日志审计等功能,能从源头上确保数据安全。
3.2 磁盘数据防泄露
磁盘是存储数据的物理设备。针对磁盘进行管控,就可以防止数据泄露。当前,防止磁盘数据泄露,全球最领先的技术是全磁盘加密。国家法律规定,凡涉及到商用密码的软件产品,都必须由具备国家商用密码生产定点单位资格和国家商用密码销售许可单位资格的企业生产和销售。而且,还必须具备国家保密局、军队和公安部的相关销售资质才可以在国内销售。因此,国外FDE软件在中国不能得到广泛应用。
3.3 端口数据泄露防护
通过端口管控,来防止数据泄露。从技术上讲,不论是物理端口,还是网络端口,基本上都能得到保护。但是,从理论上说,只要数据进行了加密,就不再需要的端口防护。既已进行了加密,又对端口进行防护,貌似有重复建设之疑。但是企业可以采用多重防护来保护数据,这是可以采用的办法。
3.4 服务器(数据库)数据防泄露
大中型企业的数据安全最重要的地方,应该是保护服务器和数据库。针对文件服务器数据,目前主要还是通过身份认证和权限控制这两种访问控制手段来确保安全。而针对应用服务器数据安全,相应的技术手段是相当孱弱的。
数据库的数据安全保护则更为复杂,有三种主要的手段:(1)基于文件的数据库加密技术;(2)基于记录的数据库加密技术;(3)子密钥数据库加密。但是这三种手段都会给数据库的性能带来极大的影响。针对数据库防泄露,必须采用更为先进的技术手段。
3.5 移动存储设备防泄密
移动存储设备主要指移动硬盘、U盘、PC储存卡、MP3、MP4、数码照相机、数码摄像机、手机、光盘和软盘等。随着移动存储设备的广泛使用,移动存储设备导致泄密的现象越来越普遍。目前针对移动设备泄密的解决办法主要有两方面:一是对计算机及内部网络各种端口进行管控,对接入端口的移动设备进行统一认证,硬件绑定等方式,限制移动存储设备的使用;二是对移动存储设备本身设置口令/密码进行身份识别,并且对移动存储设备内的数据进行加密。通常所谓的介质管理,就是指移动存储设备管理。
4 具体设计
完整的数据安全解决方案应包括从身份认证、授权管理、终端管理、数据加密、传输安全等一系列的内容,需要结合前期数据安全项目咨询、中期数据安全防护产品实现以及后期遵循PDCA思想的循环改进及服务的多种方式进行设计企业数据防泄密解决方案,没有前期的安全咨询和评估作为基础,中期的数据安全产品很难有针对性的部署和实施,数据安全产品没有部署完善,对整个数据安全项目的有效性及后续有针对性的项目改进都会造成非常大的影响。数据安全防护项目需要结合安全评估咨询、数据安全产品实现以及后期的数据安全服务的多种方式进行建设。
企业数据防泄密主要从DLP安全策略和数据安全防护技术两方面来考虑。
DLP安全策略包括基本的安全管理制度和安全管理流程。其中安全管理标准包括:数据资产管理标准,账户安全管理标准,授权管理标准,公司保密制度,安全事件管理标准,应用开发安全标准,备份与恢复管理制度,用户远程接入安全标准等。安全流程包括:新系统上线安全检查流程,数据防泄密授权管理流程,第三方安全管理流程,安全事件监控汇报和处理流程,日志安全维护流程等一系列安全流程。
数据安全防护技术包括:用户身份与信任凭证管理,访问控制,信息流控制,数据完整性保护,安全监控与审计等。用户身份与信任凭证管理包括:企业的集中用户管理,用户权限分配,用户目录管理等。访问控制包括:网络安全域划分,安全策略控制,会话管理,单点登录等。信息流控制包括:数据流加密,数据流内容检测,边界信息流控制,信息传输控制,远程安全接入等。数据完整性保护包括:数据及文件信息加密保护,终端安全管理,恶意代码防护,补丁管理,策略符合性管理,时间同步管理,备份管理和业务持续性管理。数据安全监控和审计包括:数据泄密事件监控,告警,操作审计,数据库审计等。
参考文献
【关键词】 快递 电子信息 个人信息安全
一、引言
随着经济的发展,网络惠及千家万户,改变了人们传统的生活和购物方式。网上购物方便快捷,节省了人们出门购物的时间和隐性成本,破除了地域限制,居民只要坐在电脑前就可以买到自己心仪的商品。网购的普及带动了快递行业的发展,随之而来的就是快递单上的个人信息被泄露出去,给公民带来人身和财产上的威胁。快递实行实名制以来,个人信息的泄露问题严重挫伤了居民参与电子商务的积极性,更引起社会各界的重视。
二、电子信息泛滥下的个人信息安全:以快递倒卖信息为切入点
2.1个人信息的概念界定
个人信息的说法已经耳熟能详,但是究竟何为“个人信息”?国内还没有统一的论断。与个人信息相近的概念有很多,比如个人隐私。个人隐私是指个体对与自己相关的私人信息不愿意公开或者仅限少数人知道的信息,如心理和生理信息,朋友之间的隐秘信息等。个人信息,通常是指与个体有关的各种信息,其范围要远远大于个人隐私。另一个容易与个人信息混淆的概念是“个人数据”,个人数据是个人信息的载体,通过数据可以识别和确认个体,个人数据通常与特定的人对应。
作为个人信息的主体,公民有权利保护其信息不被公众知晓,未经本人允许,任何人都无权泄露、倒卖、利用公民的个人信息。以快递为例,快递单上记载着公民的姓名、住所、电话、购买的商品等信息,一旦被倒卖或者泄露,都会给公民的正常生活带来不便和威胁,甚至威胁财产和人身安全。
2.2快递行业个人信息安全保护的现状
早期的快递服务主要以邮政包裹为主,虽然上面也记载着公民的一些基本信息,但是由于早期电子商务欠缺,包裹多限于亲戚朋友往来走动,因此个人信息的商业价值并没有像现代社会这样凸显。而随着电子商务的发展和网上购物的兴起,快递行业如雨后春笋般发展起来,个人信息的泄露更加严重。一些快递服务行业甚至看准商机倒卖公民个人信息,还有一些商业群体通过快递单上记载的商品信息分析公民的购买力从而上门推销商品或者进行其他不法活动。
目前我国没有专门保护个人信息的法律,对个人信息的保护多散见于各法律条文中。由于个人信息的广泛复杂性,目前的保护条文并不能解决所有的问题。而且电子商务的灵活多变,给个人信息的保护提出了更大的挑战。尽管对于个人信息的保护从无到有,从少到多,但是在系统性和可操作性方面仍有欠缺。因此在现阶段,提高个人信息安全,要依靠国家立法层面,行业协会、快递公司以及公民个人等社会各界的力量。
三、个人信息泄露的原因
由于个人信息带有一定的商业价值,一旦被利用可能会带来严重的后果,在电子信息泛滥的现代社会,要更好地保护个人信息安全必须了解其泄露的原因,再有的放矢地采取对策。目前个人信息泄露的原因主要有以下几个方面:
1、国家立法缺失。上文已经提及,目前我国对个人信息的保护散见于各个法律条文和司法解释中,法律适用凌乱复杂,没有一部专门针对个人信息保护的法律条文,这使得公民权益被侵害后往往求助无门,甚至法院在适用法律的时候也无法可依。而当代电子商务飞速发展,个人信息泄露严重,急需针对个人信息保护的法律。相反地,不法分子倒卖、利用公民的个人信息谋取利益,反而不能及时得到应有惩罚,这导致不法分子更加猖獗,给社会带来不和谐因素。
2、快递企业道德缺失。快递业务的发展催生了许多快递企业,很多小的快递企业没有完善的快递服务流程,达不到快递服务标准甚至没有办理相关的手续。许多快递企业的员工文化水平不高,缺乏保护客户个人信息的意识,法律意识淡薄,经不住商业利益的诱惑,容易泄露客户的个人信息。
(三)公民的保密意识和法律意识淡薄。电子商务活动中,网络上经常会有消费者调查等,通常需要填写相应的个人信息,有些消费者禁不住商家赠送小礼品的诱惑从而泄露了自己的个人信息。还有一些公民在收到快递后随手乱扔快递包装,没有及时处理快递单上的个人信息,导致不法分子有机可乘。在个人信息收到侵犯后,有的人自认倒霉,不懂得运用法律手段维护自己的合法权益,一方面自己的损害得不到补偿,另一方面不法分子的违法行为得不到相应的惩治从而更猖獗。
四、电子信息背景下提高个人信息安全的对策
1、国家层面。一是要高度重视个人信息泄露问题,国家的倡导对提高个人信息安全有着非常重要的意义,国家要积极引导相关企业遵纪守法,保护公民信息,还要鼓励公民在权益受到侵害时积极维权救济。二是出台相应的法律法规,一方面使公民的个人信息受到侵害时有法律救济手段,另一方面使不法分子在盗用、倒卖公民个人信息时有所忌惮,同时让法院在审理案件时能够有法可依,更加准确、公正地适用法律,树立司法权威。此外,还可以参考国外判例,给国内审理相关案件一定的借鉴。
2、行业层面。目前快递企业众多,电子信息泛滥,个人信息的保护不仅需要国家立法的支持,还需要行业的补充和监管,尤其在我国个人信息保护的法律法规不甚完善的情况下,行业协会应该建立健全公民的个人信息安全保障制度。电子信息行业在搜集公民的个人信息时应该通过合法的途径并给予保密,建立责任制度,信息从哪里泄露出去必须对相关责任人问责。另外,行业应该对员工进行培训,提高员工的电子信息操作水平,普及相关法律知识,增强保护公民个人信息的责任感。
3、个人层面。一是要增强防范意识,对于网络上涉及个人信息的内容要提高警惕,不贪图便宜,落入不法分子设置的陷阱;二是要了解法律救济的手段,在个人信息遭到泄露时要及时采取合法的手段救济,避免吃“哑巴亏”的情况;三是谨慎处理快递单,对于废弃的快递包装,应该及时销毁涉及个人信息的内容,要合理保管快递单便于侵权时举证。
4、媒体方面。广大媒体应该加强宣传,可以通过公益广告、网页、微信等新兴媒体宣传保护个人信息的重要性以及救济手段。应该及时通报个人信息泄露的典型案件,增强公民保护个人信息安全的意识。
5、技术层面。应该加强技术支持,对电子商务系统加大技术投入,防止黑客攻击、木马病毒等导致的个人信息泄露,及时更新电子信息设备,配备相关技术人员定期对系统进行维护,发生问题后便于追踪。
五、结语
电子信息泛滥背景下如何提高个人信息安全是目前我国发展电子商务必须面对的严肃而重大的问题,否则将严重威胁公民的人身和财产安全以及我国电子商务产业的健康发展。个人信息安全的保护必须依靠社会各界的力量,需要国家、社会、行业、媒体、个人等多方面的重视,有效地维护个人信息安全,营造健康有序的电子商务环境。
参 考 文 献
[1] 刁胜先.论网络隐私权之隐私范围[J].西南民族大学学报:人文社科版,2004(2):90-94.
[2] 徐敬宏,文利民.论电子商务消费者个人信息及其保护[J].图书情报工作,2009(8):130-133.
[3] 赵秋雁.网络隐私权保护模式的构建[J].求是学刊,2005(3):79-82.
[4] 任宇子,王彩霞.快递形成泄密灰色利益链[J].中国连锁,2012(12):77-79.
[5] 王丽萍.论网络隐私权的行业自律保护[J].山东社会科学,2008(4):27-31.
公布各国外交使节往来文件。维基解密公布的文件称,意大利总理希尔维奥•贝卢斯科尼和俄罗斯总理普京有着“亲密关系”。美国的外交官们永远也无法理解普京为何会偏爱这位“软弱、无能,喜爱狂欢作乐而常常缺乏睡眠”的意大利总理。然而,尽管贝卢斯科尼有这些缺点,普京仍旧乐意送他一些贵重的礼物(作为回礼,贝卢斯科尼也会回赠一些奢侈的礼物。)两位政要总是依托国家资源,签署一些能源协议,这让美国的外交官们非常不解。一时间,美国政府一方面向各相关国家解释道歉,一方面以各种手段打击维基泄密的相关人员,同时禁止政府工作人员阅读、下载或传递泄密电文。关于气候学家擅自更改数据事件,导致人们对全球变暖理论产生怀疑,外界纷纷指责科学家操纵研究结果的行为。为此英格兰东安格利亚大学特别成立独立的调查小组对事件进行调查,并且还解雇了气候研究所主任菲利普•琼斯教授。
“维基解密”事件对档案馆藏的安全保密工作提出全面挑战
维基泄密为何掀起如此轩然大波呢?我们看到,使美国和其他相关国家政府大为惊恐的,并不仅仅是泄密内容,而是泄密的方式和手段———这是有史以来最大批量、最完整、并通过网络的机密文件外泄。在信息交流技术日益发达、人们日益依赖网络进行交流和决策的今天,相关政府除了乏力的道歉和解释之外,几乎毫无反击之力。维基泄密提醒我们:
1在数字化时代,窃取机密更加容易。泄密者也许只需点击一下鼠标就能获取和大量秘密信息,泄密门槛很低。维基泄密事件,无疑给世界各国敲响了数据安全防护的警钟,考验着各行各业从业人员对所从事工作的忠诚度。历年来,我国上至国家政府机密,下到企业商业机密,都在遭受一场空前的信息安全考验!仅仅以企业为例,据有关资料显示,企业的机密资料泄露80%来源于企业内部,其中75%来源于内部电子文档的流失。针对中国500家大型企业的调查发现,国内企业对电子文档几乎没有任何有效的防护措施,采取保护措施的还不到3%,一些机密文件、电子文档可轻易通过电子邮件、MSN、QQ或移动设备泄密到企业外部,从业人员对所从事工作的忠诚度势必成为企业信息化建设的重点。事实证明,无论从技术手段上安装专业的数据泄露防护系统,都不能从根本上解决数据泄密的问题,数字化信息时代的今天,内部和外部都会造成泄密,而一旦造成泄密事件,给我们的各项工作都会造成不可估量的损失。
2在数字化时代,机密外泄信息量巨大,速度极快、波及范围宽广。在档案传统馆藏利用与纸质传媒时代,机密文件易于做好安全防范措施,万一机密泄露,传播需要一定时日,且影响范围有一定限制。时至今日,维基解密网一次就公布逾9万份美国军方关于阿富汗战争的秘密文件,曝光阿富汗战争不少鲜为人知的信息,随后陆续公布的资料,都给各国政府造成恐慌。据【eNet硅谷动力消息】市场研究公司JupiterResearch在其发表的研究报告中指出,到2012年全球网民总数将占总人口的四分之一,达到18亿人。报告认为,从全球的角度来说,“金砖四国”巴西、俄罗斯、印度和中国的网民人数增长速度最快,到2011年,中国将会取代美国成为全球网民人数最多的国家,印度将是继中国和美国之后全球网民第三多的国家。如此规模庞大的网民基础、如此庞大的解密文件信息,无异于互联网的一次次核爆。
3数字化信息时代档案保密工作任重道远。档案馆藏经过数字化处理,所有馆藏都在各自的信息库或挂在互联网上,等同于已“公开”或“暂缓公开”。不妨说,自互联网诞生那天起,大多数互联网技术的创新与发展都是与网络“黑客”、间谍或“内部人员作案”斗争的结果。据网上爆料:2011年12月28日,国家工业和信息化部(下称工信部)发表声明称,已经启动应急预案。其下属国家互联网应急中心(CNCERT)30日数据显示,截至2011年12月29日,已通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。
其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。2012年1月10日晚间,国家互联网信息办(下称国信办)就连环泄密事件所做的情况调查通报。通报披露,近期查处的五起信息泄露事件中,最终确认被黑客入侵并遭泄露者仅CSDN和天涯社区两家网站,被入侵均为2009年前的陈年往事;其余数据泄露或为公司内部职员监守自盗,或是“一些人编造或炒作网站用户信息被大规模泄露的消息”。2012年开年后,中国正式进入“5亿网民”时代,网络又传出新浪7000多万用户信息可被攻破,网络信息安全显现出前所未有的脆弱。这些都给我们档案从业人员提出了严峻的考验。
4打击网络泄密犯罪行为困难重重。维基解密网没有公开机密文件来源,没有传统的犯罪证据和传统犯罪套路,难以调查取证。网上公布维基解密其运作方式为:维基解密每天接到约30份用户匿名提交的文档,一般他们会先经过顾问和志愿者团队的可信度审核后,以原始的、未经编辑的形式把那些可信的材料贴出来,并附上评论。维基解密网站托管在以坚持客户匿名著称的瑞典网络服务提供商PRQ.se,这家公司可以承受法律压力和网络攻击。然后送到位于比利时的服务器上,再送到“另一个法律上较为友善的国家”,然后这些文件被删除,转存到其他地方。有一批匿名的工程师提供技术维护,整个流程和提交的文件都被加密,并使用经过修改的Tor网络匿名传输,整个系统即使核心成员也无法全部进入。此外,维基解密还在系统中一直传递许多虚假的提交文件,以使真正的文件难以被发现。西方世界各国联合打击维基泄密创始人阿桑奇,却无法给他以泄密事件定罪。
如何确保档案馆藏数字化建设网络信息平台安全
目前,我国各地档案数字化建设普遍存在一些问题:软件管理系统功能各异,缺乏通用性;信息难于实现资源共享;标准各地不同、规范化工作亟待提高;信息管理人员队伍建设不到位等。各级档案馆藏都带有国家秘密、企业核心利益等性质等各种纸质文档与电子文档,都有严格的保密规定与保密期限。透过维基泄密,我们应该清醒地意识到,档案管理也面临着前所未有的考验。随着改革开放的深入,利益格局的多元化和意识形态、社会生活方式的多样化,以及来自各方面的拉动和诱惑也越来越多。因此,档案管理战线必须认清自己的工作性质,把握方向,确保档案馆藏数字化建设网络安全。
1国家立法监督部门,加强对互联网监管和打击力度,对原有的相关法律法规,做出必要的完善与补充;对现有的《档案法》进行修订,加大打击各类利用档案数据进行违法犯罪活动的力度;国家档案局要采取措施,出台相关管理规定,出台国家档案管理数字化信息平台建设安保行业标准。
2全国各地要严格档案管理人员的选拔标准,加大对各级各类管理人员的培训工作。除了强调专业素质与能力外,要更加强调政治素质与职业道德。培训工作着重点要放在政治思想教育与职业道德建设上。
3各地市地方与高校档案管理部门,要严格按照国家相关法律法规和行业技术标准,切勿急躁、冒进、好大喜功建立各种数字化档案馆。已建成的数字化档案馆要不断完善安保措施建设,在建的要加强安保措施建设,待建待批的一定要有详细的安保措施预案,要对可能造成本单位档案泄密的地方要及时整改到位。
关键词:内幕交易;内幕信息;特征
中图分类号:F830.91 文献标识码:B 文章编号:1674-2265(2011)011-0081-04
2010年11月16日,国务院办公厅印发了《国务院办公厅转发证监会等部门关于依法打击和防控资本市场内幕交易意见的通知》(以下简称《通知》),就依法打击和防控内幕交易工作进行了统筹安排和全面部署,充分体现了我国对促进资本市场健康发展的高度重视。
为了维护市场秩序,保护投资者合法权益,促进我国资本市场稳定健康发展,证监会、公安部、监察部、国资委、预防腐败局在《关于依法打击和防控资本市场内幕交易的意见》(以下简称《意见》),就依法打击和防控资本市场内幕交易提出以下三点意见:第一是统一思想,提高认识。第二是完善制度,有效防控。第三是明确职责,重点打击。在第二点意见中,五部委提出要抓紧制定涉及上市公司内幕信息的保密制度,包括国家工作人员接触内幕信息管理办法,明确内幕信息范围、流转程序、保密措施和责任追究要求,并指定负责内幕信息管理的机构和人员。
这一意见,涉及如何认定内幕交易罪中的内幕信息的范围和特征,那么内幕信息的范围是什么?内幕信息的特征有哪些?我国刑法学界对于内幕信息的特征主要有哪些不同的观点?笔者主要从这三个方面进行论述,希望对内幕信息的理论研究和司法实践有所帮助。
一、内幕交易、泄露内幕信息罪的立法概况
以前我国的刑法中没有关于惩治内幕交易、泄露内幕信息行为的规定,对于此行为通常限于民事责任或行政责任。为了维护证券市场的正常秩序、保护投资者的合法权益以及惩治证券犯罪的实践需要,1997年《刑法》才正式将内幕交易、泄露内幕信息的行为规定为一种证券犯罪。
根据1997年《刑法》第180条规定,所谓内幕交易、泄露内幕信息罪,是指证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员,在涉及证券的发行,证券交易或者其他对证券交易价格有重大影响的信息尚未公开前,买人或者卖出该证券,或者泄露该信息,情节严重的行为。
1997年《刑法》规定的内幕交易、泄露内幕信息罪仅限于证券犯罪领域,不包括期货领域的犯罪。随着期货市场的出现,期货内幕交易犯罪行为应运而生了。为了打击期货内幕交易犯罪行为,1999年《刑法修正案(一)》将内幕交易、泄露内幕信息罪适用范围扩展到期货领域。
2009年《刑法修正案(七)》关于内幕交易罪的修订主要体现在以下两个方面:一是扩大了内幕交易罪的客观要件,增加了“明示、暗示他人从事交易”的行为特征;二是将内幕交易的主体范围加以扩大,“证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员”,可以作为内幕交易罪的犯罪主体实施内幕交易的犯罪行为。
从内幕交易、泄露内幕信息罪的立法概况,我们可以看出内幕交易、泄露内幕信息罪的适用范围逐渐扩展。
其一,从内幕交易、泄露内幕信息罪的客观要件来看,内幕交易、泄露内幕信息罪的犯罪对象从证券犯罪扩大到期货犯罪;内幕交易、泄露内幕信息罪的犯罪行为从利用内幕信息买卖证券、期货的行为,或者泄露内幕信息的行为,扩大到明示、暗示他人从事利用内幕信息买卖证券、期货的行为。
其二,从内幕交易、泄露内幕信息罪的主体要件来看,内幕交易、泄露内幕信息罪的犯罪主体现在,不仅包括证券、期货交易内幕信息的知情人员或者非法获取证券、期货交易内幕信息的人员,而且还包括证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员。
二、对于内幕信息含义和范围的界定
根据上述《意见》的规定,加强内幕信息管理是防控内幕交易的重要环节,对从源头上遏制内幕交易具有重要意义。
构成内幕交易、泄露内幕信息罪的核心问题是要准确把握什么是内幕信息。我国现行的法律、法规对内幕信息进行了界定。根据《刑法》第180条第3款规定,内幕信息的范围,依照法律、行政法规的规定确定。这说明,内幕交易、泄露内幕信息罪是法定犯。所谓法定犯,又称行政犯,是指违反行政法规中的禁止性规范,并由行政法规中的刑事罚则所规定的犯罪。因而认定内幕交易、泄露内幕信息罪中的内幕信息需要依据证券法的相关规定。
对于证券内幕信息的含义和范围,我国证券法采用了综合式的立法模式。一方面,我国《证券法》第75条第一款明确规定了证券内幕信息的含义。所谓证券内幕信息,是指在证券交易活动中,涉及公司的经营、财务或者对该公司证券、期货的交易价格有重大影响的尚未公开的信息。这一款提出了认定证券内幕信息的实质标准,即证券内幕信息必须是对公司证券的市场价格有重大影响的信息。
另一方面,我国《证券法》第67条第二款和第75条第二款明确列举了证券内幕信息的范围。《证券法》第67条第二款规定了十一项公司的重大事件和一项兜底性条款。《证券法》第75条规定了七项内幕信息和一项兜底性条款。笔者在这里就不一一列举了。证券法的这两个条文,体现了列举式规定和兜底性规定相结合的立法模式,列举性规定具有可操作性的特点,兜底性规定具有补充性的特点。
这样的立法模式,既有利于为司法机关提供具体的操作指引,又有利于为适应证券市场的发展,将遗漏的事项包含进来。但是这种立法模式的缺陷在于,没有规定何为重大性。笔者建议通过证券法修正案的形式或者通过司法解释的方式明确对“重大信息”“重大变化”、“重大变更”、“重大损害赔偿责任”、“重大亏损”、“重大诉讼”的“重大”进行定义。
类似我国证券法第75条关于证券内幕信息的含义和范围的规定,2007年2月7日国务院通过的《期货交易管理条例》对于期货内幕信息的含义和范围也采用了综合式的立法模式。首先,在《期货交易管理条例》第85条第(11)项明确规定了期货内幕信息的内涵。所谓期货内幕信息,是指在期货交易活动中可能对期货的交易价格有重大影响的尚未公开的信息。这一条例提出了界定期货内幕信息的实质标准,即期货内幕信息应该是对期货交易价格有重大影响的信息。
另一方面,《期货交易管理条例》第85条第(11)项具体列举了期货内幕信息的范围。期货内幕
信息包括:国务院期货监督管理机构以及其他相关部门制定的对期货交易价格可能发生重大影响的政策,期货交易所作出的可能对期货交易价格发生重大影响的决定,期货交易所会员、客户的资金和交易动向。该条例最后还规定了一项概括性条款,即中国证监会认定的对期货交易价格有显著影响的其他重要信息。《期货交易管理条例》的该项规定体现了具体规定性和概括性规定相结合的立法模式,具体性规定具有可操作性的特点,概括性规定具有补充性的特点。
这样的立法模式既有利于为司法者、执法者和守法者提供具体的操作指引,又有利于为适应期货市场的发展,将遗漏的事项和将来可能出现的事项包含进来。但是这种立法模式的缺陷在于,没有规定何为重大性。建议通过证券法修正案的形式或者通过司法解释的方式明确规定何为“重大影响”、“显著影响”。
三、对内幕信息特征的厘清
关于内幕信息的特征,理论上存在不同的看法。有的学者认为,内幕信息的特征具有未公开性和敏感性。有的学者认为,内幕信息的特征具有秘密性和重要性。有的学者认为,内幕信息具有三个特征:一是必须是具体的;二是必须不为一定的人所知。三是具有对证券价格造成重要影响的可能性。有的学者认为,内幕信息具有四个特征:一是真实、准确的信息;二是足以影响股价变动和投资者的判断;三是只能是公司本身的经营、财务等信息;四是尚未公开。
以上关于内幕信息的二特征说、三特征说、四特征说,都将未公开性即秘密性作为内幕信息的一个特征。笔者认为,内幕信息具有两个基本特征:一是秘密性,二是重要性。
所谓内幕信息的秘密性是指内幕信息是尚未公开的信息。内幕信息之所以具有“内幕”的性质,就是因为这种信息尚未公开,尚不为普通投资者所知悉。信息一旦公开,其秘密性随之消失,成为广大投资者共同享有的信息,便不再是内幕信息。哪些信息属于未公开的信息?如何判断是否属于未公开?
对于“未公开”的认定,西方采用一种“有效市场理论”。陔理论认为,某项消息一旦被相当数量的投资者知悉时,该项消息就属于公开的消息。反之,则仍属于尚未公开。
关于信息公开后应否给市场一个消化该信息的时间,我国现行有关法律对此未作明确要求。理论上对这一问题有不同的看法。肯定者认为,信息公开应以市场消化了该信息为标准;否定者认为,信息公开不应以市场消化了该信息为标准,而应以报刊或者其他新闻媒介将信息刊登或传播出去为标准。
笔者认为,信息公开应以市场消化了该信息为标准。只有在市场对信息公开作出反应后或经过合理时间证明市场已消化这些信息后,才应允许实现掌握内幕信息的人从事证券交易。理由如下:
首先,从公平竞争的角度来讲,规定一段市场对信息的消化时间比较合理。因为证券、期货市场上的内幕信息一旦公布于众后,一般的投资者事实上需要一定的时间进行消化和理解,而在此之前,掌握内幕信息的人员可能已经早已提前消化和理解了信息的内容。如果有关信息一公布,就允许知情人员进行证券、期货交易的话,对措手不及的广大投资者而言,是极不公平的。
其次,从证券法相关的法条来看,证券法第45条第2款、第70条和第76条的规定前后不一致,这明显违反了宪法上的法律面前人人平等的原则和证券法上的公平原则。由于证券法律规定的不同,就会造成法律适用上的不平等,必然给司法实践中对内幕信息的认定造成困难,难以操作和把握。
我国《证券法》第45条第2款规定,信息公开必须采用市场消化了相关信息的标准。只有信息经法定披露方式公布后,并由市场消化、吸收之后,为上市公司出具审计报告、资产评估报告或者法律意见书等文件的证券服务机构和人员才被允许进行证券交易。
我国《证券法》第76条规定,证券交易内幕信息的知情人员和非法获取内幕信息的人员,在内幕信息公开前,不得买卖该证券、泄露该信息或者建议他人买卖该证券。这里的“信息公开”,根据我国《证券法》第70条的规定,是指只要实施将信息依法在中国证监会指定的媒体,并且同时将信息放置到公司住所、证券交易所的行为。前类人员以外的人员(包括公司内幕人员;证券监督管理机构的工作人员、发行人主管部门、证券登记结算机构的工作人员、证券交易所的工作人员、审批机关的工作人员、工商税务的工作人员;一般投资者以及其他人员等),只要在上市公司依法将必须披露的信息在中国证监会指定的媒体,并且同时将信息放置到公司住所、证券交易所之后,即只要信息依法被披露后,就被允许进行证券交易。
通过比较上述两个法条,我们可以得出:我国证券法对于这两类人规定了不同的义务。对于前一类人,我国证券法规定了更重的义务。这一类人必须在信息依法披露并经过市场消化后才能进行证券交易。而对于后一类人,我国证券法则规定了较轻的义务。这一类人只要在相关上市公司将内幕信息依法进行披露后就可以进行证券交易。
因而笔者认为,对于为上市公司出具审计报告、资产评估报告或者法律意见书等文件的证券服务机构和人员和前类人员以外的人员(包括公司内幕人员;证券监督管理机构的工作人员、发行人主管部门、证券登记结算机构的工作人员、证券交易所的工作人员、审批机关的工作人员、工商税务的工作人员:一般投资者和其他人员等),应当采用统一的公开的方式,二者都采用市场消化了的信息为公开的方式。这样才符合法律面前人人平等的原则和证券交易公平的原则的要求。
最后,从证券法规定信息公开制度的价值来看,应当在信息披露后给投资者消化、吸收的时间,这样才符合信息公开制度的价值和宗旨。证券法规定信息公开制度的价值在于确保证券交易行为平等、公平的竞争。知悉内幕信息的人员在信息正式公开之前已经对所涉股票的行情进行了充分的分析,如果在该信息公开后立即进行交易,这对于那些事先不知悉该信息的投资者明显不公,也违反了证券法的公开、公平、公正的原则。
关键词:移动社交网络用户;隐私安全保护;建议
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)27-0036-03
随着移动社交网络技术的发展以及智能手机的普及,移动社交网络用户的规模也逐渐发展壮大,虽然在一定程度上移动社交网络给人们的交往与人们的生活带来一定的便利,但是由于移动社交网络存在着泄露用户信息的风险,会给人们的生产生活带也带来了很大影响,甚至可能会危害到用户个人的财产与生命的安全。在此种情况移动社交网络用户隐私安全保护成为移动社交网络应用用户的根本需求。
1 移动社交网络用户隐私安全问题
随着移动互联网技术的发展,给人们的交流交往提供了更加广阔的社交平台,在社交网络下使人与人之间的生活联系越来越密切,而且随着社交网络平台的兴起与普及,移动社交网络用户的规模也逐渐增加,但是由于网络技术存在的漏洞给社交网络用户安全带来很大的隐患,社交网络用户隐私暴露的风险逐渐增加,给用户个人的利益带来很大而损害,移动社交网络用户隐私安全问题主要有以下几种:
1.1 用户个人对自身隐私的泄露
随着移动社交网络的兴起,在移动社交网网络平台进行信息交流分享已经人们生活中的必不可少的部分,分享的方式与途径逐渐增多,分享的信息也越来越真实,虽然对于透露这些个人信息存在很大的风险,但是有更多的人没有意识到分享真实生活信息的危害,乐于分享自己生活中的点滴趣事,尤其是在移动社交网站上信息的用户来说,向陌生人一些私人信息会到来一些收益,甚至可能大于信息泄露存在的风险,比如以微信来说通过利用朋友圈分享信息能够引起集权效应,并且可能由于社交平台资料大都属于是真实的信息资料,的一些信息能够引起社交网络人群的盲目信任,为信息的用户带来一定的收益。另外由于互动平台能够通过好友圈能够查看到共同的好友的评论以及留言,一些存有不良思想的用户可能充分的利用共同好友的优势去挖掘其他人的一些私人信息资料,或者骗取某些人的信任去做一些违法的活动。同时随着移动网络社交平台的发展,很多人可能没有经过他人的允许而在互动平台发表一些与他人隐私有关的图片或者是评论,虽然对自身的生活没有多大影响,但是可能在无意中泄露了其他人的重要隐私,甚至是给其他人的生活带来很大而困扰与危害。
1.2 移动社交网站导致的用户隐私安全问题
随着移动社交网络的发展,人们的交友需求也逐渐增强,但是很多社交网站在注册初期一般都要求用户提交真实的个人信息,除了是国家政策规定原因外,社交网站本身也需要用户提供更多的信息,比如:需要用户提供真实的教育背景资料、地理位置信息以及个人爱好等信息,这就会导致用户的个人信息暴露在社交网络之中。而且随着社交网络平台的壮大发展,社交网络平台人数规模会逐渐增多,社交网络本身掌握的用户资料越来越多,在某些情况下可能出现社交网站泄露用户的隐私资料的情况,给移动社交网络用户的个人隐私安全带来很大的影响。比如说:某些移动社交网站出于自身的利益考虑,在未经过用户同意的情况之下擅自将用户上传的隐私资料出卖给第三方的事件,导致用户隐私资料遭到泄露。另外移动社交网站可能由于技术存在很大的漏洞,遭受到病毒、木马以及黑客的攻击,从而导致的用户隐私遭到泄密,给移动社交网络用户带来很大的损失以及危害。
2 引发移动社交网络用户隐私安全问题的根本原因
2.1 移动网络用户缺乏隐私安全保护的意识
随着移动社交网络的发展,移动社交网络的隐私安全问题已经成为社会的普遍问题,但是大多数的移动社交网络用户并没有认识到个人隐私保护的重要,仍旧沉浸在移动社交网络带给个人的社交快乐当中,从而忽视了对个人隐私安全的控制,在移动社交网站的个人资料设置上大多都是设置为系统默认的权限,即对所有人公开,从而导致自身的信息资料遭到泄露。出现此种情况的原因主要是由于移动社交网络用户个人的隐私安全保护意识不强,很多用户个人并没有认识到隐私泄露给个人带来的危害。另外用户个人的隐私安全的法律意识不是很强,即使遇到有泄露了用户个人隐私的情况,也采取忍气吞声的态度,而没有采取法律手段维护自身权利的意识,导致泄露客户资料方不能受到相应的法律制裁,从而更加助长了泄露用户个人资料行为的气焰,对移动社交网络用户个人可能造成很大的精神损害以及财产损失,不利于社会稳定发展。
2.2 相关的法律制度以及政策不是很完善
随着移动互联网技术的发展以及移动社交网络平台的普遍应用,社交网站上逐步汇集了大量的用户个人信息,但是由于相关的法律法规以及政策不是很完善,导致大量的用户个人隐私信息遭到泄露,给移动社交网络用户个人带来很大的危害。首先缺乏移动社交网络用户个人隐私保护的法律体系。随着智能手机的逐步普及,移动网络社交的用户数量不断增多,作为庞大的移动社交群体其社交关系成为系统应用开发商的巨大开发资源,由于社交应用中又存在很多的用户真实信息,很可能遭受其他社交平台的攻击或者是由于社交平台无法经受利益的诱惑与其他商业广告公司进行合作,把用户个人信息当成是牟利工具出买个其他的商业公司,对用户个人的心思安全造成影响,虽然为了避免出现此类事故,我国逐步优化相应的法律法规,但是仍旧存在监管漏洞,导致用户个人隐私信息无法得到有效的保护,个人的隐私安全造成很大的影响。其次移动社交应用的隐私政策存在不足,比如说:政策告示没有放置在突出的位置,导致用户的阅读量非常低,而且大多数移动社交平台只是把相关的隐私政策告示包含在用户协议服务条款中,很少出现单独设立隐私政策的条款,从而没有承担起对用户告知的义务。同时相关政策规定不严谨,在移动社交应用中并没有明确提出要收集用户哪些信息以及应用服务终止之后用户个人信息的归属问题。另外相关的政策缺乏实用性,导致用户隐私无法得到保障。移动社交应用提供的隐私政策都是针对服务商利益方面的免责声明,而没有把用户隐私保护措施以及出现用户隐私安全问题以后的处理方法与补偿方式,导致移动社交网络用户与服务商之间的地位出现不平等,针对此种情况要逐步完善相关的政策与法规,使移动社交网络用户的合法权益得到保护。
3 移动社交网络用户隐私安全保护的相关建议
用户在使用移动社交网络应用服务时,社交网站都会以各种方式鼓励用户填写个人真实的信息,但是由于用户个人信息资料安全保护的措施存在着一些不足,因此很容易导致用户个人的隐私资料被泄露,这在无形中增加用户隐私泄露的隐患,如果客户个人隐私信息遭到泄露有可能会收到信息与电话骚扰等严重影响到用户个人的生活,而且这些隐私资料遭到泄露也可能成为违法分子的作案的工具,给用户本人以及相关人员造成严重的精神与财产损失,甚至可能给用户的人身安全带来很大的危害。因此更要加强对移动社交网络用户隐私安全的保护,可以从以下几个方面做起:
3.1 提升移动社交网络用户的信息安全意识
随着移动互联技术以及智能移动终端的发展与普及,越来越多的人开始应用移动社交网络平台,但是很多用户在使用移动社交网络平台时,仅是注重社交平台所带来乐趣以及交往过程中的享受,而忽视了对个人隐私安全的控制,这就在无形中加大了用户个人隐私信息遭到泄露的风险,导致用户的一举一动都暴露在移动社交网络平台上,甚至可能成为某些不法分子违法犯罪的主要工具,以微信来说,比如说某些犯罪分子可能会盗取用户的头像以及其他详细资料信息,并向用户的好友发送借钱之类的短信,导致用户个人以及其他好友造成财产损失等,因此移动社交网络用户要认识到信息安全的重要性,逐步提高信息安全意识,在使用移动社交网络平台发送信息时尽量考虑该信息是否泄露了自己以及其他人的个人信息,并且要在设置密码时尽量不把自己的生日、身份证等常用的信息作为终端的登录密码,并要定期的更换密码与检查个人设置,要随时更换自己的头像,不要随意加陌生人为自己的好友,最大限度的保护用户个人的信息安全,减少不必要的损失。另外在填写信息资料是不要过于详细,尤其是手机号,收入情况等,在连接好友发来的信息时,如果涉及第三方网站,用户一定要谨慎,不要轻易将自己的隐私信息分享给第三方,从而增大个人隐私泄露的风险。其次如果自身的隐私安全受到侵害,必须及时拿起法律的武器,维护自身的合法权益,从而使非法泄露用户个人资料的个人以及网站受到惩罚,保护自身的合法权益。
3.2 完善隐私保护法律体系
移动社交网络平台是现实社会与虚拟空间相结合的全新的商业模式,虽然在一定程度上给人们的生活带来很大的便捷,但是也给人们带来很多安全隐患,因此移动社交网络用户隐私安全问题也成为社会的热点问题,如果移动社交网络用户隐私信息遭到泄密,很有可能危害社会公共安全,因此必须引起想相关部门的重视,为了保护用户的个人隐私信息,相关部门需要逐步完善隐私保护法律体系,以维护国家的安全以及社会的稳定。首先完善网络隐私安全保护的立法,随着移动互联网络技术的发展,移动社交网络平台的技术更加的先进获取用户隐私信息的手段与途径也逐渐增多,但是目前我国相关的法律却存在着滞后以及不适应的情况,不能够使移动社交网络用户的隐私资料得到很好的保护,导致用户的个人权益受到损害,因此要逐步完善我国的相关的立法,在使用户个人的隐私信息受到安全保护的同时又不能规定太过标准统一,以免限制了移动社交网络平台的个性化发展。这就需要相关部门根据我国的国情以及相关行业的发展情况逐步完善完善网络隐私安全保护的立法体系,使相关的法律法规既能够抑制服务商的不良行为,保护用户个人隐私又能够促进移动社交网络平台的良性发展。其次,加强惩治力度,随着移动社交网络技术的发展,移动社交网络犯罪逐渐增加,虽然相关部门逐步完善相关的监管法律体系,但是盗用用户个人隐私信息的违法行为仍旧能不够得到很好的抑制,出现此种情况的根本原因主要是由于盗用用户隐私信息的违法行为,制裁的力度不大,甚至不及违法成本,另外,用于用户的维权成本相对较大,在面对信息泄露等事件时往往采取退让态度,加大了侵权事件的气焰,因此应该加大相关法律的制裁力度,给不法分子有效的震慑,减少危害用户隐私安全的事件发生,维护移动社交网络用户的合法权益。
3.3 加强行业自律
目前出现移动社交网络用户隐私安全问题的一大主要原因就是移动社交网络平台缺少自律性,移动社交行业的相关标准不是很完善,很多移动社交网络服务商为了自身的利益考虑不惜出卖用户的隐私信息而且盈利,针对此种情况就需要加大移动社交网络服务商的自律。首先要规范行业标准,比如:对移动社交网络平台的默认设置选项要增加用户隐私保护部分,避免出现由于移动社交网络的单项默认,而导致用户的隐私信息被暴露出来。其次要加强对行业监督。随着移动社交市场发展,很多服务商处于自身利益的考虑将技术不是很成熟的应用推入市场,以求得战区市场竞争的优势,但是这就可能因为存在技术漏洞而出现用户信息被盗取的情况,因此需要加大市场监管力度,避免因为社交网络技术出现的漏洞,而导致用户数据遭到泄露的情况出现,最大限度的保护移动社交网络用户的信息安全。
总之,随着移动社交网络的发展以及普遍应用,给人们的日常交往以及日常生活带来很大的便利,但是同时也正是移动社交网络的发展给用户个人的隐私安全带来很大的影响,如果移动社交网络平台由于技术原因或者是由于自身利益原因导致用户私密信息泄露将会给用户个人安全以及社会稳定带来很大的隐患,因此移动社交网络用户要逐步加强自身的信息安全意识,使自身的隐私安全得到保护。相关部门也要逐步完善隐私保护法律体系,加强移动社交网络行业的自律,最大限度的保护移动社交网络用户隐私安全,维护用户的合法权益,促进社会的稳定发展。
参考文献:
[1] 王树义, 朱娜. 移动社交媒体用户隐私保护对策研究[J]. 情报理论与实践, 2013(7).
[2] 李晖, 李凤华, 曹进, 牛模 孙文海, 耿魁. 移动互联服务与隐私保护的研究进展[J].通信学报, 2014(11).
关键词:高级秘书;商业秘密;泄密途径;保密对策
中图分类号:F27 文献标志码:A 文章编号:1673-291X(2015)08-0263-03
引言
随着信息时代浪潮的到来,企业间的竞争进一步加剧,竞争手段更加多样化,作为竞争手段之一的商业秘密的保护工作也在不断加强。企业高级秘书处在为领导层决策服务、为管理层履行职能提供支持的重要位置,由于工作性质的特殊性,高级秘书除负责文件管理、会议管理、涉外接待、企业形象宣传、领导行程管理外,还经常与技术研发部门和经营管理部门有工作往来,触及商业秘密的机会多,这就为高级秘书保护企业秘密提出了更严更高的要求。
一、企业商业秘密的内涵
我国《反不正当竞争法》中将商业秘密明确定义为:不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。具体到企业层面,技术信息是指凭经验或技能所产出的,在实际中尤其是工业中适用的技术情报、数据或知识,如产品、配方、工艺程序、机器设备的改进、研究开发的有关文件、技术的预测等;经营信息是指具有秘密性质的经营管理方法及与经营管理方法密切相关的信息和情报,如交易秘密、营业秘密、管理秘密、人事组织秘密、财务管理秘密等。
这些信息安全与否,关系到企业的兴亡盛衰。不同类型的企业,其商业秘密的指定范围也会有所不同。企业高级秘书在T作时,一定要明确本企业的商业秘密限定,并严守商业秘密,以发挥商业秘密在本企业中的最大效用。
二、企业高级秘书保护商业秘密能力提升的重要性
(一)高级秘书保密工作关系到企业的商业秘密安全
在这个竞争手段多样化的商业社会里,一些企业和个人会不择手段地从其他企业收集情报。他们收集的情报包括企业领导人的家庭情况、企业领导层及管理层人事变动、企业员工薪酬情况、企业发展战略、产品营销战略、新产品研况、产品成本等。高级秘书在日常工作中会经常看到、听到甚至直接参与处理这类机密,因此,高级秘书往往是一些别有用心的人的重点关注对象。另一方面,现在的高级秘书大多是年轻人,社会经验不足,很容易被一些人利用。所以,高级秘书一定要有一种职业性的警惕性。
(二)高级秘书保密工作关系到企业的发展
在科学技术迅猛发展的今天,越来越多的企业凭借其领先的科学技术水平和商业模式在市场竞争中占据着有力地位。因此,商业最大的秘密就是科技发明和企业的经营管理信息,科技发明和经营管理等重要信息是全球企业争夺的焦点。一个企业在同行业中的竞争力如何,与上游供应商议价能力如何,获得政府支持的力度如何,首先取决于企业经营发展的水平和科技进步的程度。在国际经济技术交流与合作日益广泛和频繁的新形势下,企业与企业之间的交流一方面要严守自己的经济的科技情报,另一方面又加紧窃取对方的经济和科技情报。因此,企业科学合理的确定商业秘密等级、制定有针对性和保密措施,高级秘书积极落实企业的保密制度,对企业的发展来说显得至关重要。
(三)高级秘书保密工作关系到领导工作的成败
高级秘书的保密工作与领导工作密不可分。领导的秘书通常被称为“二号首长”。因为,秘书人员在领导者身边和中枢部门工作,经常接触各种商业秘密秘密,包括企业的核心机密。他们不仅知密的时间早、知密的范围广,而且直接经管各项保密事项,如文件保密、会议保密、通讯保密和计算机保密等。秘书和秘书工作的这种机要性质,要求秘书人员必须严守秘密,并认真做好秘书机构的保密工作。如果秘书部门发生失密、泄密事故或窃密事件,就会直接影响领导工作,甚至造成领导工作的失误。因此,高级秘书的保密工作关系到领导工作的成败。
三、企业高级秘书泄露商业秘密的途径分析
作为协调企业领导层和管理层桥梁的高级秘书,工作内容决定了其要接触和掌握有关公司大量的重要商业秘密。无论其泄密是有意行为还是无义行为,都会对企业的利益产生重大不利影响。随着信息科技化水平的进一步提升,信息载体呈现多元化,商业泄密的途径出现多元化的特点,企业商业秘密泄露的途径除传统的言语泄密、文件泄密、通讯泄密、会议泄密这四种传统途径外还包括新闻宣传泄密、办公自动化泄密、网络泄密这三种新技术途径(参见图1)。
图1企业高级秘书泄露商业秘密途径
(一)传统途径泄密
1.言语泄密。言语泄密是商业秘密泄露的主要途径,也是最难以把控的途径。高级秘书作为企业领导层的助手,必然会成为同事、朋友、家人眼中的“明星”,在一些公开场合或非公开场合中难免会谈论一些关乎企业经营情况的话题。如果高级秘书不能熟知企业的商业秘密保护范围,在日常谈话中随意而谈,被有心人从只言片语中了解到企业的商业秘密,都属于言语泄密。
2.文件泄密。文件泄密是商业秘密泄露的传统途径,但也是极为致命的途径。一方面主要表现为高级秘书人员未能正确对企业领导层在工作过程中审阅过的文件进行商业秘密等级划分,导致一些该及时销毁的文件并未及时销毁,该及时封档保存的未及时保存,该在下发过程中标注传阅范围的未正确标注;另一方面,企业高级秘书在明知文件需保密的情况下,为便于工作,将文件内容部分摘抄、复印甚至拍照,在使用完毕后忘记销毁私自留存的资料;此外,还存在由于高级秘书人员岗位轮换,前任秘书离任后未做好资料管理工作,将任期间工作全部带走等现象。这些在文件管理上的疏忽会导致大量含有商业秘密的文件被窃取或泄漏。
3.通讯泄密。通讯泄密对于大众来说,早已不新鲜,不法分子通过窃听领导层和高级秘书人员的通讯信息来窃取商业秘密是较为常见的手段。然而利用先进的通讯设备进行通讯联络是企业与社会沟通的有效手段,不能因为存在被窃听的风险就因噎废食,不使用现代化通讯设备。企业高级秘书人员可借鉴我国政府对领导干部和人员使用手机有“四不准”的规定,即不准使用手机谈论秘密事项;不准将手机带入会议会场(因特殊情况带人应取出电池);不准将手机带入谈论秘密事项的场所;不准使用他人赠予手机。
4.会议泄密。企业高级秘书经常会陪同企业领导层参加会议或参加企业领导层组织召开的会议,这些会议往往会传递大量有关企业商业秘密的信息,企业高级秘书需严格做好会议保密工作。如会议上正在讨论、有待商榷、尚未决定对外公布的决议不能对外宣布。
(二)新技术途径泄密
1.新闻宣传泄密。企业需要进行正面的对外宣传来配合企业的形象策划工作,因此企业的高级秘书有大量的机会和媒体部门接触。一方面,高级秘书如果不能严格把控自己的言行,在新闻宣传报道中出现一些不宜对外公布的消息,会导致企业商业秘密的泄露;另一方面,媒体部门由于其本身工作属性,更喜欢通过挖掘负面新闻来吸引读者眼球,如果高级秘书在言语中出现负面言语都会对企业的形象造成巨大损坏。
2.办公自动化泄密。虽然公司目前的办公自动化系统尚未大范围的应用,但公司已经应用了“公共文件夹”、“公司邮件系统”等类似OA的系统。这些系统大大提高了工作效率,减轻了员工的劳动强度,但同时也给保密工作带来许多新的麻烦和问题。如公共文件夹权限设置遗漏、邮件转发传阅范围过大等。
3.网络泄密。网络泄密是近年来出现较多的泄密途径。一方面是员工为工作便捷,使用电脑连接互联网传递信息,或将U盘等存储介质插入电脑,导致电脑感染木马病毒;另一方面是在近年来,由于微博、朋友圈等社交媒体的兴起,高级秘书如果将与工作相关的信息发送到社交媒体平台,会被有心人沿着蛛丝马迹探查到公司的商业秘密,将为公司造成重大不良影响。
综合以上企业高级秘书泄露商业秘密的途径,可将其泄露商业秘密的原因总结为:岗位职责不清、保密意识淡薄、保密知识缺乏、保密制度不遵守这四大类。虽然很多企业希望通过采购保密设备,引进先进保密技术来保护公司商业秘密,但效果甚微。因为保护商业秘密的重点和难点是在于对“人”的管理,所以本文重点是从加强对“人”的管理的角度来提出提高企业高级秘书保护商业秘密能力的对策。四、企业高级秘书保护商业秘密能力提升的对策
(一)明确高级秘书岗位职责
高级秘书作为企业核心、关键商业秘密的重要掌握者,必须充分认识到商业秘密之于企业的重大意义,要明确高级秘书岗位职责,增强保护商业秘密责任感。但在实际工作中很多企业的高级秘书由于缺乏对自身岗位职责的认知,认为保护商业秘密的职责应由专门的信息安全管理部门负责,造成高级秘书保护企业商业秘密意识淡薄。应将保护企业商业秘密作为高级秘书的重要职责,列入其岗位说明书中去,提高其保护企业商业秘密的责任感和主观能动性。
(二)强化保密宣传教育
企业高级秘书保护商业秘密的主观能动性仅靠岗位职责的约束略显薄弱,还需要企业通过多种渠道对高级秘书进行保护商业秘密的宣传和教育来培养,提高其保护商业秘密意识。企业可以通过图片展览、专家培训、案例分析、内部交流讨论等生动形象的形式对高级秘书进行保密教育培训,让高级秘书了解到企业商业秘密的范围、密级划分、重点区域等知识,提高高级秘书对保护商业秘密重要性的认识,纠正其针对保护商业秘密的消极散漫情绪。通过带有警示性的商业秘密案例教育,还可以让高级秘书在日常工作和生活中随时注意自己的言行,做到“有所说,有所不说;有所为,有所不为”的慎微之道。
(三)规范关键环节制度管理
购物车(0)