■ 个人应时刻处于自我防护的状态 防止可能造成的损害后果
[网友龙侠客]:现在要用到个人信息的地方是越来越多,上网、求职、银行存取款、买车、买房等等,都要填写个人信息,信息怎么能不泄露?请问嘉宾,应该怎样来保护我们的信息?标准、法律管用吗?我看这是社会道德和公民道德问题,您觉得是不是该提高公民的素质?要不然有法也很难执行啊?因为防不胜防?
【黄子河】:对于个人来说,填这些表之前要先想一想干什么事,要这些东西起什么作用。我在实践中也会经常问,这个事情是不是留一个座机就可以了,不用留身份证号对方也接受。还是对这个东西的规范性做得不够,而这些如果我们自己做好保护,其实能够杜绝、预防很多事情。举个例子来说,我们经常去商场让我们去办优惠卡,如果只是为了当场做电子积分的,我的通讯地址、电话肯定没有必要留,如果是实体卷可能需要通信地址、邮政编码或者联系电话,但是也没有必要要身份证,也没有必要关心我的收入情况。在实际处理中,相应的情况没有填也把这些卡都办了,所以我觉得自我意识很重要。很多人都觉得有东西老老实实都填了,其实没有必要。
个人信息保护其实不是道德问题,发生的问题是有很强的利益诉求的,是不良的利益诉求。所以,是需要法律、标准配合来执行的。我们今天看到,如果不做工作可能就会防不胜防,我们只要做工作了,就向着更好的防护在不断迈进。
【周汉华】:这个网友的观点有一定的道理,每个人其实是自己个人信息的最好保护者,如果自己不能提高自我防护的能力,再多的法律也很难保护你的权利。所以,当每一次需要提供个人信息的时候,网友必须要有自我防护意识。要看一看是否必须提供,提供多少,以及是否需要多留一个心眼,很多情况下,如果有自我防护意识,是可以很大程度上避免个人信息泄露的,比如有些商业促销的计划,可以不用参加。比如求职信息当中,有些信息要适当地有所保留,能不填的就不填。在网络环境下,可以通过加装安全软件的方式加强信息安全的保护。所以,个人时时刻刻应该要处于自我防护的状态,防止可能造成的损害后果。当然,很多情况下,消费者个人没有选择权,比如买车、买房、看病等等,对于这种领域就需要政府立法和监管来保护消费者,免除他们的后顾之忧。
[网友糊涂神侠]:周主任,请问即将出台的新国标中的个人信息保护的八项原则,从法律上来说对公民个人有何保护意义?如果我的个人信息被商家泄露我能怎么维权?
【周汉华】:新国标中的个人信息保护的八项原则,吸收和借鉴了其他国家,尤其是欧盟的立法经验,其实是把法律原则转化成了国家标准,因此,它对于个人信息保护来说,具有系统性的意义,实现了对个人信息的全流程管理,从收集到使用、交流、保护、销毁都有涉及,符合个人信息保护的内在要求。当然,刚才已经说过这个标准是一个推荐性的标准,还不是强制性标准,更不是立法。所以,在目前这个阶段,直接根据这个标准来维权可能还比较困难。建议网友综合运用不同的手段来维护自己的权益,比如民事诉讼、行业监管和标准的管理等等。
[E政21478号]:应建立统一规范的网络认证标准体系,从技术角度降低个人信息被盗用的风险。http://ezheng.people.com.cn/proposalPostDetail.do?id=486109&boardId=1&view=1
【黄子河】:个人信息保护现在从标准的体系来讲,确实是很庞大的标准体系。现在仅仅是做了其中一个,就是指南,对它的原则、基本的规则做了规定。今后从我们的计划来讲,还会出台个人信息保护相关的一系列标准,相当于一个标准组进行个人信息保护,是三个管理上的要求,技术上的要求,第三方对他进行评价的规范,上面是国标层面的。根据不同的行业特点制订行业标准,更有针对性地指导和推荐行业开展好个人信息保护工作。所以整个是比较庞大的、比较完备的标准体系。
我们今天制订的这个标准是一个总体性的框架性标准,应该说把最基本的东西约束清楚,后续再做标准工作,已经报了相应的指导部门,信安标委。今后我们也会出台相关的测试标准,和个人信息保护相关的一系列标准都会出来。我们也可以看到,去年国家发改委的信息安全专项中,专门对个人信息保护标准的制订提出给予支持。今年工信部的电子房产基金专门列了个人信息保护软件的研发项目支持,今年4月份就会答辩,指南已经发出来了。相关的东西各个部委都在做,包括科技部在2013年的征求项目计划中对物联网的个人信息保护,用的是隐私保护这个词。都用相关的技术手段来支持个人信息保护工作。可以看到科技部是做基础的,工信部和发改委做的是产业化的支持。
[网友咖咖小屋]:嘉宾,目前个人信息泄露问题如此严重的原因是什么?
【黄子河】:一放面,个人信息的价值日益凸显,过去知道我的数据了,我也没有什么钱,也买不起什么东西,泄出来也没有什么用。
另外一方面,我们这个标准是针对信息系统的标准,信息系统的大量使用为我们大家提供了便利,但也为不良意图的人提供了途径。过去拿一张纸通过复印的传播形式来传播速度很慢,面很小,但是有不良意图的人通过信息系统可以迅速的、大面积的传播,这样也会造成一定的影响。
所以我们现在经常讲,我们确实要在安全方面做好防护,不要使安全问题影响信息化的进一步深化和发展。
[网友天外来客008]:嘉宾能介绍下啥叫“个人一般信息”和“个人敏感信息”么?这个标准谁来认定?比如我要是知道了您的所有信息,但是我无偿透露给其他人,而其他人用于商业或其他用处,这个责任怎么算?怎么能查到泄露的源头?
【黄子河】:我讲一个例子,强调怎么个人保护。他在几个银行的网站注册用户名时注册的名字不一样,比如在这个银行就把银行的名字写上,所以一接电话时一听到说“你叫x建设吗”就知道哪个银行来的,这是个人保护的方法,但这只是个人的自我防护。当然,实际上我们追查的源头是有代价的,如果是造成损失比较大的肯定会有司法途径,采取相应的技术手段,应该说对于犯罪分子来说要想人不知,除非己莫为,互联网也不是所有东西都不可溯源的。
[E政21475号]:建议成立相关部门监管互联网、电信、银行等行业,受理公众的投诉,对泄露个人信息的行为进行严惩。http://ezheng.people.com.cn/proposalPostDetail.do?id=486101&boardId=1
【周汉华】:这个网友的建议非常正确,符合国际社会的整体发展趋势,那就是要建立一个独立、统一、权威、有效的监管机构,来专门从事个人信息保护的工作,对泄露个人信息的行为进行惩处。从其他各国的情况来看,这样的独立机构是一个普遍的经验,它能够超出行业的局限,独立公正地执法。在我们国家,个人信息保护目前仍然处于各自为政的状态,某种程度上说,管理者和被管理者并没有严格的区分开,管理部门和被管理对象都处在同一个行业,很难完全客观、公正地去严格执法。
所以,我们的一个建议就是要剥离各个管理部门的个人信息保护的职能,把它们集中到一个独立的个人信息保护的专门机构来统一执法。只有这样,才能摆脱现在部门政治的影响,真正把个人信息保护放在一个重要的位置。
[网友人心不足]:每天手机几乎都会收到很多骚扰电话和短信,更可怕的是,有些骚扰电话竟然能喊出我们的名字,我们的个人信息是如何泄露的,新国标对这类行为有什么惩处?
【黄子河】:今后一些行业组织可以做个人信息保护方面的检查,对做得不好的进行曝光或者是利用行业组织对他的违规行为进行处罚。但是从国家行政角度来说,从目前的情况来看我估计很难。任何技术标准都谈不到惩治的问题,标准更多讲是事先的,如何预防的,而法律的问题才是事后惩戒的,这二者是不可偏废的。个人信息保护不仅仅是网站,还涉及到房地产公司,小学的培训机构等等,我整天会接到这样的培训电话,让参加培训班,所以不仅是网站的,涉及到各种服务机构,都存在这样的问题,尤其是教育部门,像医疗、银行等部门,都有这样的情况。
[网友纸醉金弥]:为什么有些网站有窃取别人的个人信息,这样做对他们有什么好处呢?
【黄子河】:个人信息的正当利用对个人是没有什么坏处的,关键问题是信息被有不良目的的利用的话有可能会产生损害。因为现在很多网站盈利的模式都是通过广告或者是通过推销等手段进行的,利用这些信息一是有可能交换贩卖,还有可能是针对特定的人群来推网站的内容,更有针对性地推他的东西。但如果网站仅仅是这样做问题也不是很大,怕的是这些信息被怀有不良目的的人获得。实际上很多网站是希望提供更好的服务的,所以收集信息之后把指向个人的内容取消删除掉,比如说我为了针对某一个年龄的人推出一项服务,并没有必要知道他的具体名字和身份证号,只要作出统计数据,推出相应的服务就可以了。
【黄子河】:非常高兴今天有机会跟各位网友以及主持人,包括周教授能够就个人信息保护的问题进行交流,个人信息保护任重而道远。
【周汉华】:今天很高兴有机会交流相关的问题,希望以后有更多的机会进行更深入的交流,谢谢大家!
(责任编辑:)
