站内搜索:
  通知公告
   
工作动态
当前位置: 首页>>工作动态>>正文
像保护资产一样保护个人信息
2015-09-22 16:14  
——对话全国政协委员、苏宁云商集团股份有限公司董事长张近东
    

□武 薇

     随着互联网技术的大范围普及和迅速发展,互联网领域信息安全问题日益突出。据业内人士透露,仅2013年,就有超过600个中国网站的用户信息数据库在网上被公开售卖,其中确为真实信息的数据近1亿条。2013年1月至11月间,中国国家互联网应急中心监测发现被黑客骗取的用户银行卡信息达4.7万条。

     不法分子盗用、收集、篡改、恶意使用他人信息,并逐渐形成一条倒卖信息的黑色产业链,个人姓名、职业、身份证号码、电话号码、住址,甚至银行存款、投资状况等各种信息作为“商品”被廉价出售。垃圾短信、邮件、骚扰电话等严重干扰人们的正常生活,甚至危及生命、财产安全。

     在我国现行立法中,对个人信息保护已有一些间接的、局部的立法规定,其中包括首个“个人信息保护”国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》,另外,工业和信息化部公布的《电信和互联网用户个人信息保护规定》、公安部发布的《互联网安全保护技术措施规定》、中国人民银行制定的《个人信用信息基础数据库管理暂行办法》,以及《刑法修正案(七)》、《新消费者权益保护法》、《公证法》、《护照法》、《侵权责任法》、《居民身份证法》等,都对其对应领域的个人信息保护做出了相关规定。

     但另一方面,我国并无专门的《个人信息保护法》,上述法律文件多为零散性和个别性的规定,不能构成体系,对于未涉及的大量其他领域的个人信息保护无能为力。同时在内容上,这些法律法规大多是原则性规定,缺乏可操作性,无法有效保护信息主体的权利。

     今年两会期间,全国政协委员、苏宁云商集团股份有限公司(以下简称苏宁)董事长张近东提交了《加快个人信息安全领域法制建设》的提案。他认为:“个人信息是个人权益的组成部分,是个人的基本身份,也是个人资产。”保护个人信息安全,其实也是维护公民的基本权利,要像保护资产一样保护个人信息。

     近日,记者对话张近东,请他谈谈个人信息的保护问题。

记者:今年两会,您呼吁加快制定《互联网个人信息保护法》。据了解,这并不是您首次呼吁保护个人信息安全,请问您最早关注这个话题是什么时候?

     张近东:随着互联网与移动互联网的迅速发展,个人信息日趋呈现网络化与公开化的特点,但保护机制的短缺,导致个人信息安全事件频发。苏宁从事零售行业,每天都产生海量的消费者购物信息,尤其是2006年,集团升级上线了被誉为“世界零售业灯塔工程”的新系统(SAP/ERP),实现了订单、交易、支付、配送等环节的信息化管理,我们越发意识到个人信息保护的重要性,通过设置查看权限等方式加强个人信息的保护。

     2010年以来,苏宁易购快速发展,苏宁对电子商务行业的了解更加深入,加上近几年非法倒卖个人信息的刑事案件时有发生,个人信息安全问题更加引人关注。目前,网络信息保护仍旧缺乏必要的法律,所以我在2013、2014年两会期间提出了关于个人信息保护的相关议案,呼吁加快立法进程。

     记者:站在企业经营的角度,您为什么一直如此关注个人信息保护?它与企业运营有何关联,特别是对于推动电子商务的健康发展有何裨益?

     张近东:近几年,恶意获取、非法倒卖、失职外泄个人信息的事件频频发生,直接威胁消费者的经济安全与人身安全。与此同时,随着行业内乃至行业间竞争不断加剧,企业商业秘密违法行为的市场越来越大,企业所面临的商业秘密被泄露的风险不断加大,信息安全状况同样堪忧。

     零售服务业需要了解用户的电话号码、家庭住址等信息,才能完成物流配送、售后服务。安全的购物环境是消费者选择网购的前提条件,会员个人账号、交易记录、银行账户等信息的安全对消费者和电商企业来说至关重要。如果消费者个人购物相关信息泄露,可能对消费者人身、财产安全产生影响,从长远来看,也不利于电子商务的健康发展。

     因此,有必要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。

     记者:您的提案从法律基础、责任主体、统一机制三个层面对保护个人信息提出了建议。请您详细谈谈对这三方面的思考。

     张近东:首先,在法律基础层面,要做好“顶层设计”,制定统一的《互联网个人信息保护法》。一方面,要明确规定信息收集主体、收集范围、存储规范、披露规范、使用告知等保护细节;另一方面,要加大处罚力度,对侵害个人信息安全的企事业单位或个人,处以高额罚款甚至吊销营业执照、追究刑事责任等处罚,以此提高违法成本,树立法律权威。

     其次,要明确责任主体,完善自律机制。缺乏统一的主管机构,对泄露和贩卖个人信息的行为缺乏有效的监管,因此必须明确规定涉事个人、企事业单位及监管单位的职责、权限;还要依法要求企事业单位建立完善的信息保护系统和披露审核机制,比如,设置信息“查看权限”,降低信息泄露风险,或聘请外部“监督员”,对信息保护过程进行督察等。

     最后,要建立统一的执法机制,确保法律贯彻执行。建议成立独立、专业的个人信息安全保护部门,严格、公正执法,推动个人信息保护的长期化、日常化。

     记者:您提案的核心内容是“明确责任主体,完善自律机制”,企业作为责任主体中的重要一方,目前还存在哪些失范现象,应如何自律?

     张近东:一方面,企业信息系统可能受到外部非法攻击,导致用户个人资料被盗取;另一方面,企业内部信息管理失范,用户个人资料可能被部分员工泄露。

     因此,网络信息安全不仅是一个技术问题,也是管理问题。做到完善自律机制,肩负主体责任,企业要从两方面入手:其一,需要加大安全方面的资金、人员、技术投入,加快技术升级与设备更新,构建防护网络。其二,需要制定明确的安全防护制度,保证职责明确,同时要有奖惩制度,当出现责任事故的时候,能够及时追究,增强员工的责任意识。

     记者:苏宁作为国内知名的电子商务企业,在保护用户个人信息方面有何经验与心得?

     张近东:我们制定了信息收集、存储安全、使用规范等有关用户信息安全各环节的标准,并确定了IT部门与业务部门的具体职责,在IT总部成立了信息安全中心,全面负责信息系统的软硬件安全,具体业务部门则有针对性地设计了有关用户信息的制度与规范。

     例如,针对门店销售员、物流配送人员、客服等一线员工,若故意泄露会员信息,一经查实立即严惩,后果严重者还将承担法律责任;针对会员数据库,我们实施了信息防火墙、加密技术等保密措施,会员个人信息、密码等均通过加密形式传入数据库,即使是相关技术人员也无法获取其中的信息;针对网络支付工具——苏宁易付宝,我们通过上线限额系统,在不影响客户体验的同时防止洗钱、欺诈、套现等,还推出了数字证书等安全产品。

     除此之外,苏宁还加入了互联网安全工作组(ISWG)等第三方组织,与各家互联网企业结成安全联盟,交流技术、共享信息,发挥整体效应,共同提高软件及服务安全性。

 

关闭窗口
 
设为首页  |  加入收藏

 

泄密举报电话:89724618

沈阳航空航天大学信息网络中心  版权所有