由于DLP软件主要是通过制订规则去执行相应的职责,决策规则过于严格或宽松都将使DLP解决方案的效用降低。若没有正确实施机构的解决方案所需的合适的规则,DLP也可能会带来业务操作上的风险。例如传输中的敏感信息未被成功侦查或其他非敏感信息被过度拦阻。为了尽量减少此类风险,机构的管理层必须制订有关的DLP信息保护规则和业务操作流程,并在需要时雇用专家顾问协助。通过制订并实施有关的规则和业务流程,以实现信息保护的最佳实践。
个人信息保护立法及监管要求
伴随着中国经济的飞速发展和科技的巨大进步,信息时代真正地来到每个人的身边,信息的含金量及其对日常生活的影响日益彰显,为提供定制化的客户服务以提高客户服务满意度,客户的身份、家庭、财务状况等个人信息成为服务提供者需要掌握的基本信息,客户在享受服务提供者提供的量身定制服务的同时,也逐渐注意到,一些推销和诈骗电话对自己的信息了如指掌。此外,由于个人信息泄露导致的信用卡盗用事件的相关报道也不绝于耳,甚至不乏一些人身安全事件。如此诸般,立法机关、行业主管部门、社会媒体等各方力量,越来越多地提到个人信息保护的重要性,也催生了一系列法规及指引的出台。中央电视台2013年3.15晚会曝光的安卓系统第三方应用开发者在未经用户授权的情况下对用户个人信息进行采集,收集了大量用户个人信息的事件,实际上只是以个人移动通信终端为触点,揭示了当前媒体、公众以及个人用户等各方对于个人信息保护的日益关注,事实上,中国政府和监管机构对于个人信息保护监督力度也在逐步加强。
国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
——《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)
一、国家关于个人信息保护的立法
2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议审议通过的这一决定,为加强公民个人信息保护、维护网络信息安全提供了法律依据。为配合《决定》的落实,在具体的指南方面,《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)作为我国首个个人信息保护国家标准,也已于2013年2月1日起正式发布实施。此文件属国家标准“指导性技术文件”类,与从制度上进行监管的《决定》相比,该《指南》侧重于从技术手段、信息系统上进行监管,对利用信息系统处理个人信息的活动起指导和规范作用,目的是为了提高企业的个人信息保护技术水平,促进个人信息的合理利用。
除此之外,在《决定》出台以后,各部委也开始制定更具体的个人信息保护的相关规定。工业和信息化部起草了《电信和互联网用户个人信息保护规定(征求意见稿)》、《电话用户真实身份信息登记规定(征求意见稿)》(以下简称《规定》),并且已经向社会公开征求意见。根据《规定》,电信业务经营者、管理机构及工作人员不得出售或者非法向他人提供电话用户真实身份信息,否则可以处1万元以上3万元以下罚款,构成犯罪的,依法追究刑事责任。
电信行业《规定》的迅速出台,表现了工信部对于个人信息保护的坚决态度和长期以来的渴望。随着电信行业打响了个人信息保护的“第一枪”,我们有理由相信,其他拥有大量用户信息的行业,也将逐步打响保卫个人信息之战。
二、个人信息保护的需求及《指南》概述
造成个人信息泄露有多种因素。首先,随着网络的进一步发展,个人信息的价值越来越高。巨大的利益驱动,使得不法分子铤而走险。然而,中国公众目前对个人信息的保护意识不强,给犯罪分子留下了可乘之机。并且我国一直以来缺乏明确的法律法规,对个人信息的收集和使用到底怎样是合法,怎样是不合法并没有明确的定义。同时,对于明显的个人信息非授权收集或流转,也没有足够的惩处力度以震慑此种行为。总体来看,在个人信息处理流程中,个人信息非授权采集和个人信息第三方流转是个人信息保护的两个主要风险点。《指南》分五个章节,分别描述了个人信息保护的范围、参与对象和相关方的定义、角色和职责以及信息处理阶段的具体标准。在该《指南》中对个人信息的类别、信息相关方的类别和信息处理的环节都进行了明确的区别和划分。
(一) 个人信息
《指南》最显著的特点是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。
(二) 信息相关方
《指南》将信息相关方分为个人信息主体、个人信息管理者、个人信息获得者和第三方测评机构。
(1) 个人信息主体。个人信息指向的自然人,信息的真正所有者。
(2) 个人信息管理者。决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
(3) 个人信息获得者。从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
(4) 第三方测评机构。独立于个人信息管理者的专业测评机构。
(三) 信息处理
《指南》将个人信息处理分为收集、加工、转移和删除四个主要环节,对个人信息的保护贯穿于四个环节中。
(1) 在收集阶段,要求目的合法且告知个人信息主体。
(2) 在加工阶段,要求将加工目的及方法等告知个人信息主体。
(3) 在转移阶段,要求告知个人信息主体转移的范围和目的。
(4) 在删除阶段,要求收集阶段告知的个人信息使用目的达到后,立即删除个人信息。
从以上四个环节的要求来看,《指南》主要强调的是个人信息主体的“知情权”,要求对于个人信息的处理全部要告知个人信息主体,且处理不能超出告知范围。这项标准还提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。
该《指南》为下一步有针对性地打击相关犯罪提供了有力武器。但是,这个《指南》仅是一个技术性标准,缺乏对违反这个标准的惩罚性措施,因此对于打击个人信息犯罪尚不具有威慑性。在网络上保护公民权益免受非法侵害、保障国家安全是一项系统工程,不是单靠一部法律、法规就可以完成的。制定具有可操作性的法律必不可少,但要想从根本上解决个人信息泄露的问题,还需要不断完善相关的网络法律法规,建立健全相应的配套制度。
总体来看,我国在个人信息保护立法方面还处于初级阶段,虽然出台了标准并准备颁布法案,但具体法案的实施,细则的补充以及实施还需很长一段时间。
三、个人信息保护主要风险点的应对
结合我国国情,目前应对个人信息保护风险,主要需要国家完善立法、民众提高个人信息保护意识和企业规范信息使用三方面的努力。
(一) 在国家立法层面,逐步完善国家立法,尤其是加大个人信息相关违法行为的惩处力度,是应对个人信息第三方流转的有效手段之一
其主要目的是提高相关违法行为的犯罪成本,从而对违法人员起到震慑作用,减少此类行为的发生。我国目前各地政府已开始纷纷“试水”,用实际行动立法保护个人信息,如湖北、湖南、江苏等一些地区,对非法泄露、复制及倒卖个人信息的非法者,处以最高50万元的罚款。随着《决定》和《指南》及一系列具体措施的颁布,对个人信息相关违法行为的惩处力度及范围与日俱增,构成犯罪的,也将依法追究刑事责任。
(二) 在公众防范层面,为防范个人信息的非授权采集,需要提高用户的自我保护意识
作为信息的所有者,个人应采取措施对自己的信息进行保护,包括了解个人信息的范围、个人信息保护的原则和可采用的具体措施。姓名、身份证号、电话号码、住址、账号等可以定位到个人的信息都属于个人信息的范畴。
个人在向外界提供个人信息时,应了解对方获取此类信息的原因,并据此判断对方要求取得的信息是否多于实际需要的信息。坚持“最小够用”的原则,只给对方提供必要的信息,避免在不正规的网站、电商留下个人信息。
在提供信息时,应采取措施限定或表明此类信息使用的范围。例如,在提供身份证复印件时,应在不影响复印件使用的情况下,注明该身份证复印件的用途或授权使用人;在网站注册输入信息时,应关注网站是否提供隐私保护政策,限定信息保密要求或限定使用范围。
在处理包含个人信息的介质时,应采取恰当措施销毁信息。常见的信息介质包括:个人简历、快递单、银行业务凭条、刷卡记录等,在弃置此类介质前应保证个人信息不会被获取,可以采用撕毁、涂画等方式保护个人信息。
除个人要加强信息保护外,政府在加强立法保护的同时,还应加大对个人信息保护的宣传力度,借助广播、电视等多媒体,营造良好的舆论氛围,提高全民的信息安全意识。同时,建立个人信息保护制度的奖励机制,鼓励公众举报侵犯个人信息的违法行为,以便从源头上找到真正的元凶。
(三) 在企业层面,出于控制声誉风险和法律风险的角度,企业需加强对个人信息的保护
随着立法和监管力度的加强,企业也需要加强对于个人信息保护的关注,严格遵守与个人信息相关的合规要求,包括信息收集及使用规范、安全保障措施和监督及检查等方面,并接受与配合相关机构的监督与检查,尽量避免由于个人信息相关违法行为导致的法律责任追究。
同时,从企业声誉风险的角度来看,客户群体对自身信息保护的意识和重视程度都在逐步提升,众多信息泄露事件的曝光和各类传媒对此类事件的持续关注,都对企业声誉风险的控制形成了越来越大的压力。出于对客户群体的负责,以及自身品牌的维护,企业都有必要加强对个人信息的保护力度。
企业在使用用户信息时应关注用户信息泄露的两个主要途径,包括内部泄露和外部泄露。
(1) 内部泄露。主要有员工泄露(例如2012年3.15晚会有相关报道,系统管理人员批量出卖用户数据)和非法外来人员泄露(例如商业间谍等)。
(2) 外部泄露。主要途径是在和第三方合作的过程中,用户信息在企业不知情的情况下被第三方获取(例如信用卡短信提醒功能的短信平台提供商,存储银行的用户手机号码)。
由于用户信息收集、加工、转移和弃置的过程中都存在信息泄露的风险,因此企业应建立全流程、多层次的用户信息保护体系,因为:
(1) 一个完整的用户信息保护体系,可以覆盖可能存储信息的管理对象、信息使用管理的全流程,以及信息保护的相关方。
(2) 一个合理的用户信息保护体系,可以兼顾职责分工、管理流程和技术平台,保证执行人、工作内容和操作工具的高度一致。
(3) 一个灵活的用户信息保护体系,可以通过对每个局部领域的深入和细化,制订可落地实施的管控措施。
企业在个人信息保护中应全面考虑信息收集、加工、转移和删除环节的风险,应梳理个人信息在本企业使用过程中的全部流程,包括涉及的系统和外包商、合作伙伴,逐一评估流程环节中个人信息泄露的安全风险、客户通知的合规风险、事件处理的声誉风险等。
企业在收集、使用个人信息时,应至少做到:
(1) 小范围、先认可。在收集环节,只收集必要的个人信息,并根据个人信息的性质,获得信息主体的认可。
(2) 防泄漏、透明化。在加工环节,采取必要措施防止数据泄露,并向信息主体告知加工目的和方法。
(3) 不放松、广告知。在转移环节,对外包商和合作伙伴应要求采取与企业自身管理一样的安全管理要求,保证在个人信息使用的过程中不出现管理的短板,并明确告知信息主体转移的范围和目的。
(4) 及时删、不保留。在删除环节,当使用目的达成后,及时删除个人信息,包括企业自身保存的,以及外包商和合作伙伴保存的数据。
综上所述,企业在管理个人信息时,除做好自身安全管理,关注外包商和合作伙伴的安全水平之外,还要体现对信息主体的尊重和负责,保障信息主体对个人信息使用情况的知情权。
个人资料保护制度建置项目经验谈
许多机构初次听到有新版《个人资料保护法》时,都会问:“我们还要多做什么?”了解法规的内容以后,不禁哀鸿遍野:“这太严格了!对我们的业务执行将造成很大影响!”而那些以往未曾被《电脑处理个人资料保护法》规范的行业,更是惊恐:“罚则这么严?到底应该怎么做才不会被罚?我们连从何开始执行的头绪都没有!”这些冲击都始于2011年5月26日正式公布新版《个人资料保护法》之时,全台湾不管是公务机构或非公务机构都开始“疯”行个人资料保护,并被深深地困扰着。