近年来,个人信息被泄露和滥用事件大有蔓延之势,甚至已成为社会公害。它所导致的莫名骚扰让人不胜其烦。为了整顿这种社会不良之风,目前已有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范信息规定、医疗信息规定、个人信用管理办法等。
虽然法规不少,然而由于内容较为分散、法律法规层级偏低,防范信息泄露方面的效果并不理想,需要我们通过认真解读,来将相关法规深入推行下去。以下就个人信息保护三个具有里程碑意义的法律和标准进行一下比较:
从“刑法修正案(七)”到“技术公共及商用服务信息系统个人信息保护指南”再到“关于加强网络信息保护的决定”(以下简称决定),充分体现了国家整治个人信息泄露思路的演进:事后追责——事中控制——事前预防。
包括客户基本资料、客户身份鉴权信息、客户信息、客户通信内容信息在内的各种客户信息广泛存在于电信运营商的各类业务系统,其中涉及的人员、设备更是数不胜数。笔者认为要想全面、彻底的保障客户信息安全,一定要以运营化思路在全生命周期维度审视客户信息的流转使用过程,如此才能不留死角的梳理并保护客户信息安全。
电信运营商客户信息保密现状
在2009年中央电视台3·15晚会对某运营商省公司以盈利为目的,大量发送商业广告短信的行为进行曝光后,三大运营商都把个人信息安全、内容安全提高到更受重视的程度。但由于管理归口、要求与业务系统结合不紧密等问题,在三大运营商中普遍存在的问题是针对色情淫秽、欺诈虚假等内容安全问题整治的卓有成效,而针对个人信息安全并没有真正做到构建事前防范、事中阻断、事后溯源的信息安全保障体系。
为了强化个人信息安全保护,十一届全国人大常委会第三十次会议通过了《关于加强网络信息保护的决定》,三大运营商也均表示将严格贯彻落实,确保网络信息安全。
《决定》有利于推动三个创新:一是有利于推动信息保护机制创新。这次审议将明确网络信息泄露和垃圾短信传播各环节的法律责任和义务,必将促进建立跨、跨行业的协同处置机制,形成统一监管和保护的信息安全保障机制。二是有利于推动信息安全技术创新。决定草案的审议将有力推动电信运营商在“垃圾短信治理、平台、防恶意网络攻击”等信息安全领域的技术创新和推广应用。三是有利于推动信息业务服务创新。决定草案不仅提出了对各类信息收集、使用主体的明确规定和要求,也明确了“公民有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止”等监督权,这有利于推动电信运营商提供更加安全的信息业务和服务。
解读《加强网络信息保护的决定》
《决定》在宏观维度对网络服务提供者等责任主体提出了强制要求,具体操作还需相关部委、电信运营商制订大量实施细则,笔者就《决定》在电信运营商客户信息保护方面展开以下分析:
《决定》第“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,能够旗帜鲜明地用法律的形式来保护公民个人隐私是我国法制进步的一大里程碑。《决定》全文共十二条,其中有十条都是针对网络服务提供者、其他企业事业单位及其工作人员和任何组织的,其中最为突出的责任主体就是网络服务提供者。
《决定》从公民个人电子信息保护出发,对治理垃圾电子信息、网络身份管理以及网络服务提供者和网络用户的义务与责任、政府有关部门的监管职责等做出了明确规定,体现了管理与发展相协调、规范与保护相统一、权利与义务相一致的原则,兼顾了个人、网络服务提供者和政府等相关主体的权责关系,为保障网络信息安全,保护公民、法人和其他组织的合法权益,维护国家安全和社会公共利益提供了法律保障。
《决定》第二条“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”其中最突出的概念就是“明示”、“公开”,并要征得“同意”。以往电信运营商在个人客户办理业务时,经常收集一些非必要信息,如家庭住址等。为满足《决定》要求电信运营商需裁减收集信息内容并明确告知客户如何使用。
《决定》第四条“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”非常明确的提出了在业务活动过程中对于个人信息安全的保护要求,重点强调了事前采取技术措施的必要性,相比过去只关注事后追责是一个积极的进步。
收集个人信息要做好数据安全梳理
天融信公司通过多年的信息安全领域研究认为,电信运营商要想做好客户信息安全防护,需要以运营化+全生命周期维度来开展工作。以下仅就客户信息防护第一阶段“数据安全梳理”展开说明:
图:客户信息整理方法
客户信息泄露途径主要贯穿各系统开发、维护和使用环节,通过对如下图所示角色和信息泄露可能性分析,可以清晰对各系统客户信息安全泄露途径的梳理。
针对可能泄露的途径,要采用管理、技术措施进行风险的有效控制。
打造端到端的数据保护
在新的计算环境条件下,“以信息为中心”和“以信息系统连续为目的”的安全需要以往关联不大的传统的信息安全产业与传统的数据备份保护产业进行融合、整合、拓展,不仅要在“防”上下功夫,而且也要在“有备无患”上做文章,从而为用户提供端对端的数据保护解决。
端对端的解决方案包括数据的完整生命周期保护、包括数据流动的各环节的保护、包括数据使用相关人员的管理和整体的安全策略管理等。端对端的数据安全解决方案从产品上不仅需要逻辑边界访问控制设备、数据传输安全设备、终端防护产品、安全管理与4A审计产品,同时也需要数据备份产品、系统容灾产品、敏感信息集中管控产品、数据管理产品等,实现了完整的端对端的数据保护,从而达到不仅在各种数据损坏情况下有备无患和数据各种状态下的安全管控,也达到了业务信息系统的可靠连续保障。
天融信一直于信息安全技术研究、产品开发和用户信息安全保障,凭借对国家政策、用户需求、技术趋势的深刻理解,依靠庞大专业的研发队伍,完全自主产权的网络卫士数据安全管理系统TDSM为用户的端对端数据保护提供了完善的保护,为新的信息环境的数据保护提供了产品、方案和服务的保障。