可信身份平臺步入2.0版本 個人數(shù)據(jù)保護走向系統(tǒng)化
每日經(jīng)濟新聞
2018-09-18 19:12:18
對個人數(shù)據(jù)的過度使用已成為數(shù)據(jù)信息泄露愈演愈烈的“元兇”����,并形成了一條灰色產(chǎn)業(yè)鏈����。要解決問題,需要尋求更多從源頭止損�����,還要根據(jù)產(chǎn)業(yè)鏈的特點對癥下藥�����。據(jù)公安部第一研究所副所長于銳介紹�,在多個城市試點的可信身份平臺即將在近期推出2.0版本。
每經(jīng)記者 楊棄非 每經(jīng)編輯 楊歡
每經(jīng)記者 張建 攝
“華住集團5億客戶信息疑似泄露���,明碼標價37萬人民幣�;順豐3億快遞信息疑似泄露�����,同樣被標價近10萬人民幣;英航38萬用戶信息疑似泄露���;瑞士數(shù)據(jù)管理公司Veeam4.45億條用戶數(shù)據(jù)、200G數(shù)據(jù)庫信息疑似泄露�。”成都科來軟件有限公司總監(jiān)左堅展示的一組數(shù)據(jù)令人矚目——這些僅僅是8月20日至今一個月內(nèi)惡性信息泄露事件的一部分。
在9月18日于成都舉辦的2018國家網(wǎng)絡(luò)安全宣傳周“大數(shù)據(jù)安全和個人信息保護分論壇”上���,多位嘉賓指出��,對個人數(shù)據(jù)的過度使用已成為數(shù)據(jù)信息泄露愈演愈烈的“元兇”�����,并形成了一條灰色產(chǎn)業(yè)鏈�����。要解決問題���,需要尋求更多從源頭止損,還要根據(jù)產(chǎn)業(yè)鏈的特點對癥下藥��。
《每日經(jīng)濟新聞》記者了解到,已有更多體系化的措施推動問題解決���。一個例子是�,本月初�,十三屆全國人大常委會公布的立法規(guī)劃中,“個人信息保護法”被列為“條件比較成熟��、任期內(nèi)擬提請審議”的法律草案����。另外,據(jù)公安部第一研究所副所長于銳介紹�,在多個城市試點的可信身份平臺即將在近期推出2.0版本。
向信息泄露灰色產(chǎn)業(yè)鏈“動刀”
隨著互聯(lián)網(wǎng)經(jīng)濟深入日常生活的細枝末節(jié)���,個人信息愈加成為數(shù)據(jù)信息泄露的“重災(zāi)區(qū)”�。根據(jù)今年8月中國消費者協(xié)會公布的一項統(tǒng)計顯示�����,在其調(diào)查的5000余份問卷中����,有超過8成受訪者遇到過個人信息泄露情況�,其中���,推銷電話或短信騷擾����、詐騙電話�、垃圾郵件是遭遇最多的三種問題����。
信息泄露造成的財產(chǎn)損失亦不在少數(shù)。在論壇現(xiàn)場�,國家計算機病毒應(yīng)急處理中心常務(wù)副主任陳建民對外公開的《全國計算機和移動終端病毒疫情調(diào)查分析報告》內(nèi)容顯示,2017年����,僅網(wǎng)絡(luò)詐騙一項,有14.39%的受訪者損失金額超過5000元��。
盡管個人信息泄露已帶來嚴重影響��,但與之相對的是����,能夠用來保護信息的手段卻屈指可數(shù)�。為可能造成信息泄露的設(shè)備安裝安全軟件是可行的方法之一�����,但軟件提供方的可信性同樣存疑�����。而在四川大學網(wǎng)絡(luò)空間安全研究院特聘副研究員洪延青看來��,僅針對源頭的保護是遠遠不夠的�����。
一個例子是��,盡管網(wǎng)絡(luò)經(jīng)濟向生活領(lǐng)域的不斷滲入�����,導致更多個人信息不得不被提供給虛擬主體�����,這提高了信息泄露的可能性。但于銳發(fā)現(xiàn)�����,其根本問題實際上來源于信息接收方——大量個人信息被不加節(jié)制的索取��、儲存����,特別是長期儲存。
“個人信息和因素保護的根本解決之道是必要化����、最小化使用個人信息�����。”于銳指出����,“要將疏、堵����、治、管相結(jié)合,實質(zhì)性區(qū)分網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)使用���、存儲��、管理個人信息的必要性��。”
而遵循這種思路��,信息泄露的背后還有更多參與方�����,它們組成了一條灰色產(chǎn)業(yè)鏈條�,基于此����,每一個環(huán)節(jié)都需要進行有效管理。
在洪延青看來�,以此為切入口,可以多管齊下��,推動組織內(nèi)部的安全保護機制建設(shè)����。“可以通過建立安全事件應(yīng)急處置和報告機制���、任命個人信息保護負責人和個人信息保護工作機構(gòu)、定期開展個人信息安全影響評估�����、建立適當?shù)臄?shù)據(jù)安全能力�����、與從事個人信息處理崗位上的相關(guān)人員簽署保密協(xié)議�����、以及對隱私政策��、相關(guān)規(guī)定和安全措施的有效性進行安全審計�,這些都需要被納入個人信息的安全管理要求當中����。”他說。
打造平臺合力為信息“加密”
在一個信息泄露事件當中����,往往存在大量可能造成泄露的平臺和眾多泄露參與方�����,僅依靠企業(yè)自身自律性規(guī)范不足以有效降低其概率����。需要更多系統(tǒng)性的約束和解決辦法�,推動整個數(shù)據(jù)行業(yè)的規(guī)范運作。
值得注意的是�����,我國個人信息保護立法正不斷完善�����。在去年6月正式實施的《網(wǎng)絡(luò)安全法》中明確指出�����,“網(wǎng)絡(luò)運營者應(yīng)當對其收集的用戶信息嚴格保密����、并建立健全用戶信息保護制度。”在今年1月獲批的國家標準《信息安全技術(shù)個人信息安全規(guī)范》�����,則將這種原則性規(guī)范進一步具化。
諸多參會嘉賓提到����,本月初,十三屆全國人大常委會公布的立法規(guī)劃中��,“個人信息保護法”被列為“條件比較成熟�����、任期內(nèi)擬提請審議”的法律草案���。
作為制定該標準的參與者���,洪延青將多元化的保護機制視作有效保護個人信息的重要領(lǐng)域。在他看來���,需要在信息的收集����、處理�����、使用�、保存、刪除���、更正以及發(fā)生信息安全事件等多個節(jié)點設(shè)置對信息持有人的有效告知機制�����,讓個人對其個人信息有選擇的���、增強式的控制權(quán),并以此提升個人信息保護水平基線�����。
而更為具體的實踐����,則是由公安部一所研發(fā)的“互聯(lián)網(wǎng)+”可信身份認證平臺。
據(jù)于銳介紹��,正是由于基于不同身份標識的憑證形成了相互獨立的身份管理系統(tǒng)�,這些系統(tǒng)產(chǎn)生了獨立的信任域���,不僅重復(fù)建設(shè)嚴重,而且多平臺下的實名認證增加了個人信息泄露的幾率��。
基于此��,該平臺所推行的網(wǎng)絡(luò)可信身份技術(shù)不僅能夠產(chǎn)生指向唯一信用根的身份信息�,同時,其采用的“間接實名制”的方式��,使用戶在核驗用戶身份時��,系統(tǒng)僅留存可關(guān)聯(lián)到用戶真實身份的網(wǎng)絡(luò)身份���,大大降低了個人信息被收集和非法利用的幾率��。
在于銳看來���,建設(shè)可信生態(tài)體系正是該系統(tǒng)有效的關(guān)鍵所在。“不久后����,該系統(tǒng)的2.0版本也將上線。”他說。
