雖然法規(guī)不少�,然而由于內(nèi)容較為分散�、法律法規(guī)層級(jí)偏低,防范信息泄露方面的效果并不理想���,需要我們通過認(rèn)真解讀��,來將相關(guān)法規(guī)深入推行下去�。以下就個(gè)人信息保護(hù)三個(gè)具有里程碑意義的法律和標(biāo)準(zhǔn)進(jìn)行一下比較:
從“刑法修正案(七)”到“信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南”再到“關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定”(以下簡(jiǎn)稱決定),充分體現(xiàn)了國(guó)家整治個(gè)人信息泄露思路的演進(jìn):事后追責(zé)——事中控制——事前預(yù)防���。
包括客戶基本資料��、客戶身份鑒權(quán)信息���、客戶通信信息、客戶通信內(nèi)容信息在內(nèi)的各種客戶信息廣泛存在于電信運(yùn)營(yíng)商的各類業(yè)務(wù)系統(tǒng)�����,其中涉及的人員�、設(shè)備更是數(shù)不勝數(shù)���。筆者認(rèn)為要想全面��、徹底的保障客戶信息安全��,一定要以運(yùn)營(yíng)化思路在全生命周期維度審視客戶信息的流轉(zhuǎn)使用過程��,如此才能不留死角的梳理并保護(hù)客戶信息安全���。
電信運(yùn)營(yíng)商客戶信息保密現(xiàn)狀
在2009年中央電視臺(tái)3·15晚會(huì)對(duì)某運(yùn)營(yíng)商省公司以盈利為目的��,大量發(fā)送商業(yè)廣告短信的行為進(jìn)行曝光后�,三大運(yùn)營(yíng)商都把個(gè)人信息安全�����、內(nèi)容安全 提高到更受重視的程度����。但由于管理歸口、要求與業(yè)務(wù)系統(tǒng)結(jié)合不緊密等問題��,在三大運(yùn)營(yíng)商中普遍存在的問題是針對(duì)色情淫穢�����、欺詐虛假等內(nèi)容安全問題整治的卓 有成效���,而針對(duì)個(gè)人信息安全并沒有真正做到構(gòu)建事前防范�����、事中阻斷����、事后溯源的信息安全保障體系。
為了強(qiáng)化個(gè)人信息安全保護(hù)�,十一屆全國(guó)人大常委會(huì)第三十次會(huì)議通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,三大運(yùn)營(yíng)商也均表示將嚴(yán)格貫徹落實(shí)��,確保網(wǎng)絡(luò)信息安全����。
《決定》有利于推動(dòng)三個(gè)創(chuàng)新:一是有利于推動(dòng)信息保護(hù)機(jī)制創(chuàng)新。這次審議將明確網(wǎng)絡(luò)信息泄露和垃圾短信傳播各環(huán)節(jié)的法律責(zé)任和義務(wù)�,必將促進(jìn)建立跨 企業(yè)、跨行業(yè)的協(xié)同處置機(jī)制��,形成統(tǒng)一監(jiān)管和保護(hù)的信息安全保障機(jī)制���。二是有利于推動(dòng)信息安全技術(shù)創(chuàng)新�。決定草案的審議將有力推動(dòng)電信運(yùn)營(yíng)商在“垃圾短信 治理����、電子商務(wù)平臺(tái)�、防惡意網(wǎng)絡(luò)攻擊”等信息安全領(lǐng)域的技術(shù)創(chuàng)新和推廣應(yīng)用。三是有利于推動(dòng)信息業(yè)務(wù)服務(wù)創(chuàng)新��。決定草案不僅提出了對(duì)各類信息收集、使用主 體的明確規(guī)定和要求�,也明確了“公民有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止”等監(jiān)督權(quán),這有利于推動(dòng)電信運(yùn)營(yíng)商提供更加安全的 信息業(yè)務(wù)和服務(wù)��。
解讀《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》
《決定》在宏觀維度對(duì)網(wǎng)絡(luò)服務(wù)提供者等責(zé)任主體提出了強(qiáng)制要求��,具體操作還需相關(guān)部委��、電信運(yùn)營(yíng)商制訂大量實(shí)施細(xì)則����,筆者就《決定》在電信運(yùn)營(yíng)商客戶信息保護(hù)方面展開以下分析:
《決定》第一條“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”,能夠旗幟鮮明地用法律的形式來保護(hù)公民個(gè)人隱私是我國(guó)法制進(jìn)步的一 大里程碑�����?�!稕Q定》全文共十二條��,其中有十條都是針對(duì)網(wǎng)絡(luò)服務(wù)提供者��、其他企業(yè)事業(yè)單位及其工作人員和任何組織的��,其中最為突出的責(zé)任主體就是網(wǎng)絡(luò)服務(wù)提 供者�����。
《決定》從公民個(gè)人電子信息保護(hù)出發(fā)���,對(duì)治理垃圾電子信息�、網(wǎng)絡(luò)身份管理以及網(wǎng)絡(luò)服務(wù)提供者和網(wǎng)絡(luò)用戶的義務(wù)與責(zé)任���、政府有關(guān)部門的監(jiān)管職責(zé)等做出 了明確規(guī)定���,體現(xiàn)了管理與發(fā)展相協(xié)調(diào)、規(guī)范與保護(hù)相統(tǒng)一���、權(quán)利與義務(wù)相一致的原則�����,兼顧了個(gè)人�����、網(wǎng)絡(luò)服務(wù)提供者和政府等相關(guān)主體的權(quán)責(zé)關(guān)系,為保障網(wǎng)絡(luò)信 息安全�,保護(hù)公民��、法人和其他組織的合法權(quán)益�,維護(hù)國(guó)家安全和社會(huì)公共利益提供了法律保障�����。
《決定》第二條“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集����、使用公民個(gè)人電子信息,應(yīng)當(dāng)遵循合法�����、正當(dāng)���、必要的原則��,明示收集��、使用信息 的目的���、方式和范圍,并經(jīng)被收集者同意,不得違反法律��、法規(guī)的規(guī)定和雙方的約定收集���、使用信息�。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集��、使用公民個(gè)人電子 信息�,應(yīng)當(dāng)公開其收集���、使用規(guī)則��。”其中最突出的概念就是“明示”��、“公開”�,并要征得“同意”�。以往電信運(yùn)營(yíng)商在個(gè)人客戶辦理業(yè)務(wù)時(shí)����,經(jīng)常收集一些非必 要信息,如家庭住址等�����。為滿足《決定》要求電信運(yùn)營(yíng)商需裁減收集信息內(nèi)容并明確告知客戶如何使用���。
《決定》第四條“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全����,防止在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息泄露、 毀損���、丟失。在發(fā)生或者可能發(fā)生信息泄露����、毀損、丟失的情況時(shí)�����,應(yīng)當(dāng)立即采取補(bǔ)救措施�����。”非常明確的提出了在業(yè)務(wù)活動(dòng)過程中對(duì)于個(gè)人信息安全的保護(hù)要求, 重點(diǎn)強(qiáng)調(diào)了事前采取技術(shù)措施的必要性��,相比過去只關(guān)注事后追責(zé)是一個(gè)積極的進(jìn)步�。
收集個(gè)人信息要做好數(shù)據(jù)安全梳理
天融信公司通過多年的信息安全領(lǐng)域研究認(rèn)為,電信運(yùn)營(yíng)商要想做好客戶信息安全防護(hù)�,需要以運(yùn)營(yíng)化+全生命周期維度來開展工作。以下僅就客戶信息防護(hù)第一階段“數(shù)據(jù)安全梳理”展開說明:
圖:客戶信息視圖整理方法
客戶信息泄露途徑主要貫穿各系統(tǒng)開發(fā)�����、維護(hù)和使用環(huán)節(jié)�,通過對(duì)如下圖所示角色和信息泄露可能性分析,可以清晰對(duì)各系統(tǒng)客戶信息安全泄露途徑的梳理��。
針對(duì)可能泄露的途徑����,要采用管理、技術(shù)措施進(jìn)行風(fēng)險(xiǎn)的有效控制�����。
打造端到端的數(shù)據(jù)保護(hù)
在新的計(jì)算環(huán)境條件下�,“以信息為中心”和“以信息系統(tǒng)連續(xù)為目的”的安全需要以往關(guān)聯(lián)不大的傳統(tǒng)的信息安全產(chǎn)業(yè)與傳統(tǒng)的數(shù)據(jù)備份保護(hù)產(chǎn)業(yè)進(jìn)行融合����、整合�、拓展���,不僅要在“防”上下功夫�,而且也要在“有備無患”上做文章����,從而為用戶提供端對(duì)端的數(shù)據(jù)保護(hù)解決方案����。
端對(duì)端的解決方案包括數(shù)據(jù)的完整生命周期保護(hù)、包括數(shù)據(jù)流動(dòng)的各環(huán)節(jié)的保護(hù)����、包括數(shù)據(jù)使用相關(guān)人員的管理和整體的安全策略管理等。端對(duì)端的數(shù)據(jù)安全 解決方案從產(chǎn)品上不僅需要邏輯邊界訪問控制設(shè)備�、數(shù)據(jù)傳輸安全設(shè)備、終端防護(hù)產(chǎn)品�����、安全管理與4A審計(jì)產(chǎn)品���,同時(shí)也需要數(shù)據(jù)備份產(chǎn)品��、系統(tǒng)容災(zāi)產(chǎn)品��、敏感 信息集中管控產(chǎn)品����、數(shù)據(jù)管理產(chǎn)品等,實(shí)現(xiàn)了完整的端對(duì)端的數(shù)據(jù)保護(hù)��,從而達(dá)到不僅在各種數(shù)據(jù)損壞情況下有備無患和數(shù)據(jù)各種狀態(tài)下的安全管控�,也達(dá)到了業(yè)務(wù) 信息系統(tǒng)的可靠連續(xù)保障。
天融信一直致力于信息安全技術(shù)研究���、產(chǎn)品開發(fā)和用戶信息安全保障�����,憑借對(duì)國(guó)家政策��、用戶需求�、技術(shù)趨勢(shì)的深刻理解�,依靠龐大專業(yè)的研發(fā)隊(duì)伍,完全自 主產(chǎn)權(quán)的網(wǎng)絡(luò)衛(wèi)士數(shù)據(jù)安全管理系統(tǒng)TDSM為用戶的端對(duì)端數(shù)據(jù)保護(hù)提供了完善的保護(hù)����,為新的信息環(huán)境的數(shù)據(jù)保護(hù)提供了產(chǎn)品���、方案和服務(wù)的保障。
