个人保护信息安全的措施 探索我国个人信息数据安全的保护策略
下面是好好范文网小编收集整理的个人保护信息安全的措施 探索我国个人信息数据安全的保护策略,仅供参考,欢迎大家阅读!
随着计算机、网络信息技术的迅猛发展,物联网、人工智能等高科技新兴领域不断衍生,网络计算机数据已成为保障当代社会工作与生活有序运作的重要资源。对于个体而言,个人信息的广泛数据化使得以数据为载体的个人信息不仅包含个体的人格利益,也具有商业、科研等社会利用价值,形成了与传统隐私信息相区别的价值内涵。
保护个人信息数据的重大意义。保护个人信息数据安全,不仅是保障个体权益,提高人民生活幸福感的重要路径,亦是维护社会稳定和安全的必要条件。同时,当前世界各国尚处构建各自个人信息数据保护策略的尝试阶段,在此背景下,积极探索我国个人信息数据安全保护策略,既是满足我国高质量发展需求的应有举措,也为全球保护个人信息数据安全的探索提供了中国方案。
个人信息数据安全的界定。个人信息数据不同于个人信息,个人信息是广义的概念,一般指代能够单独或结合其他信息识别特定自然人的各种信息。个人信息数据则更加具体和技术化,指数字形式的个人信息,包括但不限于计算机文件、数据库、日志、音频或视频记录等。个人信息数据通常生成于计算机系统或其他数字设备的客观处理行为,需要依靠专业技术和知识来处理和管理。概言之,个人信息是广义的概念,包括个人身份相关的各种信息,而个人信息数据则是具体化、数字化的形式。故而,个人信息数据安全是指个人信息数据的合法管理者负有在应有技术水平的范围内,保障个人信息数据免遭泄露、篡改或毁损、非法利用的义务,并负担相应个人信息数据安全被侵害而对个体造成的损害责任。
非技术安全保障方法的核心作用。如何有效保护个人信息数据安全,一方面涉及从计算机网络技术层面探索升级、改进、革新的方法,另一方面则需从非技术层面,探索以社会科学理论为基础的管理策略和保护方法。加密、身份验证等技术保护方法是个人信息数据的客观保护方法,具有工具性价值,但技术手段无法从根本上预防人为主观因素或客观失误导致的安全风险。而非技术保护方法即管理方法,属于个人信息数据安全的主观保护方法,基于对各项有效社会价值衡量的结果,制定社会保护个人信息数据安全的规则和制度方案,更能发挥核心保护作用,产生全面的保护效果。
个人信息数据安全的多环节风险。造成个人信息数据泄漏的原因,往往并非由单一环节的安全隐患所致,而是由多环节产生的系统性安全风险共同形成。例如,导致个人网络相册中的照片信息发生泄漏的原因可能来自多方面的共同安全风险,包括但不限于:个人设置的薄弱账户密码,误点带病毒弹窗、链接,存在原始安全漏洞的网络相册软件设计,软件运营企业懈于日常安全监管等。因此,个人信息数据泄漏的最终形成,多源于数个原本存在的潜在安全风险诱发。整合个人信息数据处理的各个环节,从全流程系统性地进行安全行为行到和风险行为规避,是探索保障个人信息数据安全的重要方法。
个人信息数据系统由多个环节的参与者组成,其中导致个人信息泄露或非法利用的主要角色由以下四个构成:第一、计算机硬件、软件开发者。计算机硬、软件的设计通常围绕目的功用性展开,在缺乏市场和法律对安全性提供足够激励机制的前提下,不以安全保障为主要目的的软件类别难以具备足够的数据安全保障条件。出于鼓励技术进步、支持产业发展的原因,市场和法律对待因软件设计缺陷导致的数据泄漏相对宽容,软件开发商通常通过系统升级,发布补丁的方式弥补设计缺陷,而免于承担过重的损害赔偿责任;第二、应用或网络平台经营者。平台经营者相当于软件分销商的角色,平台汇集了众多软件开发商的软件,但同样以功用性为主导,却难以对安全性做主动过滤和筛选;第三、消费者服务资源数据库。类似于收集商品或服务评价的消费信息数据库,他们在向消费者提供商品和服务数据的同时,也对大量消费信息进行了收集和处理。如果这些消费者数据库的管理者不能提供完善的数据安全保障,大量的消费数据聚集会导致更高的个人信息数据安全风险;第四、缺乏数据安全意识的个体。即便诸多网络账户在注册阶段推荐用户使用设置更高安全级别的密码,启用双重验证,定期强制变更密码等防护手段,不少网络账户用户依然继续使用单一甚至默认密码作为个人网络账户的安全屏障。
保护个人信息数据安全的系统管理策略。通过对威胁个人信息数据安全的主要角色进行分类分析,可进一步推知导致个人信息数据安全风险的致因源于三方面:一为、缺乏强劲的个人信息数据安全保护市场激励机制;二为、欠缺有效的系统监管方法;三为、公众个人信息数据安全常识尚待普及。针对此三项问题,可从以下两方面探索系统性的应对策略。
一方面,从企业和机构的内部治理上,可从以下三个层次制定科学的个人信息数据管理方案。
首先,对个人信息数据进行分类,明确不同类别个人信息数据的价值和风险,制定分级保护措施。根据管理学定理“帕累托法则”( Pareto principle),80%的结果来自于20%的原因,也就是说,对于个人信息数据,其中的一小部分数据可能会对整个系统造成很大的影响,因此需要更加关注隐私信息数据的安全性,对隐私信息数据设置更高级别的安全保护措施。
其次,合理分配和优化个人信息数据安全管理任务。在确定了数据的价值和风险之后,需要制定合理的安全策略。“泰勒原理”指出,在任何组织中,管理者应该为每个员工分配最合适的任务,并且确保每个员工都能够按照最优化的方式完成自己的任务。在保护个人信息数据安全时,同样需要制定最优化的策略,使得每个人都能够按照最佳的方式保护数据安全。在网络科技企业的实践场景中,个人信息安全与数据安全分置于不同部门,且二者的责任范围具有显著差别。个人信息安全通常归于法务合规部分,主要负责审核和监管企业的数据处理等积极行为,评估是否存在侵犯他人个人信息权益的法律风险;数据安全保护责任通常归于信息技术部分,主要负责从技术层面防范他人对企业系统和数据的违规或非法侵入。两个互相分离的部门导致企业在设计应用或软件的安全功能时倾向关注客观上的技术防御手段,而忽视个人信息数据保护监管的实质应用需求。融合两部门的职责或为二者创造更多的专类交流渠道,是整合和优化安全管理策略的途径之一。
最后,提高员工的数据安全意识和技能,同时建立完善的个人信息数据安全内部监管机制。提高员工的安全意识和技能,能够更好地保障个人信息数据的安全。根据“赫茨伯格双因素理论”(hygiene-motivational factors),在提高员工的安全意识时,需要从内在(例如工作本身的挑战性和意义)和外在(例如薪资、福利和工作环境)两方面入手,包括加强安全教育和培训,建立激励机制,提高员工对数据安全的重视。
管理学中的“控制环境”原则指出,在任何组织中,需要建立一个完善的控制环境,以确保所有员工都能够按照规定的流程进行工作。在保护个人信息数据安全时,同样需要建立一个完善的监管机制,包括权限管理、访问控制等,以确保数据的安全性。其中,设置“个人信息数据牧羊人”监管机制,建立完善的数据档案和数据索迹制度(Data Mapping)最为重要。据统计,大多数数据泄露和入侵是由低技术错误引发,而这些低技术错误中“数据遗忘”是导致数据大规模泄露的高发因素。出于系统更新换代,或网络平台、应用软件等被市场和时代淘汰的原因,大量记录个人信息数据的旧有数据库被机构和企业丢失、遗忘,停止系统补丁升级使得这些陈旧数据库的原有防御措施近乎失效,被遗忘的数据游离于任何活跃的安全保护措施之外,甚至进入公众访问的服务区内。因此,设立专门的数据监管岗位,建立完整的数据档案和数据地图,对新建数据库和历史数据库建立统一的责任和管理机制,有益于保障机构和企业对所辖数据的全面管理,防止数据遗忘导致的泄漏,并能及时对低技术数据泄漏进行补救和问责。
另一方面,从社会引导、宏观调节、行政管理的外部视角来看,可通过以下路径加强个人信息数据安全的保障。
建立保护个人信息数据安全的社会氛围。在政府引导和法律保护的基础上,媒体、企业和学校等机构可以利用多种宣传渠道向公众传递个人信息数据安全保护的知识和方法,增强公众的安全意识和自我保护能力。
建立个人信息数据安全的综合激励机制。从正面鼓励的角度而言,政府可以为在个人信息数据安全保护方面表现出色的企业提供相应的奖励措施,例如税收优惠、优先融资、政府采购等。从反向激励的角度而言,可通过公示企业的数据安全政策和数据泄露事故处理情况等信息,增强消费者等个人信息数据主体的知情权和选择权,使企业或机构迫于市场压力而加大对个人信息数据安全的保护力度。
建立个人信息数据安全审计制度。包含如下基础内容:数据安全审计的目标,即确保个人信息数据的保密性、完整性和可用性;数据安全审计的范围,确定哪些数据、系统、流程和部门需要被纳入安全审计政策的范围;数据安全审计标准和频率;违反数据安全审计规定的后果和处罚。
建立隐私、个人信息与数据安全的联合法律保护规则。1980年世界经合组织(OECD)发布的个人信息数据“安全保障原则”(Security Safegurads Principle),既是包括我国在内的200多个国家个人信息数据的处理原则,同时也是多数国家个人信息权法的蓝本。欧盟颁布的《通用数据保护条例》(General Data Protection Regulation)更是将隐私、个人信息保护与网络数据安全统一归于数据安全(data protection)这一术语之下。但是,21世纪以降,部分国家开始围绕数据安全发展出以泄漏通知法(Breach notification law)和数据安全法(safeguards law)为中心的独特法律体系,这些法律专注建立数据安全的刻板标准,却忽略隐私与个人信息法律原则内含价值配比的深度影响,导致数据安全与隐私、个人信息保护法律相分离,最终将个人信息数据安全的法律保护引向浮于表面的流程规制。我国《网络安全法》《数据安全法》与《个保法》在个人信息保护范围、个人信息处理原则等问题上互有交织。在此基础上,一方面应防范个人信息与数据安全分离的法律保护发展方向,另一方面强化个人信息处理原则,细化个人信息法律保护规则,制定能广泛适用于机构与企业的个人信息数据安全合理评判标准,构建涵盖个人信息数据安全协同保护规则在内的我国个人信息法律保护体系。
2022年国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书,其中提出“提高数据安全保障能力,积极应对经济社会数字化转型带来的数据安全挑战”目标。如今,互联网已经成为社会经济发展的重要支柱,而个人信息数据则成为了数字经济的核心资源之一。探索个人信息数据安全的有效保护策略,不仅有利于提高我国数字经济的发展水平,促进信息产业的健康发展,同时也有助于为国际社会提供规范化、共享化、开放化的信息交流和合作环境,有益于全球治理和共同发展。(作者:孟婕,中山大学法学博士,美国锡拉丘兹大学访问学者)