可信身份平台步入2.0版本 个人数据保护走向系统化
每经记者 杨弃非 每经编辑 杨 欢
“华住集团5亿客户信息疑似泄露,明码标价37万元;英航38万用户信息疑似泄露;瑞士数据管理公司Veeam4.45亿条用户数据、200G数据库信息疑似泄露。”成都科来软件有限公司总监左坚展示的一组数据令人侧目——这些仅仅是一个月内恶性信息泄露事件的一部分。
在9月18日于成都举办的2018国家网络安全宣传周“大数据安全和个人信息保护分论坛”上,多位嘉宾指出,对个人数据的过度使用已成为数据信息泄露愈演愈烈的“元凶”,并形成了一条灰色产业链。要解决问题,需要寻求更多从源头“止损”,还要根据产业链的特点对症下药。
记者了解到,业内已有更多体系化的措施开始推动问题解决。一个例子是,本月初,十三届全国人大常委会公布的立法规划中,“个人信息保护法”被列为“条件比较成熟、任期内拟提请审议”的法律草案。另外,据公安部第一研究所副所长于锐介绍,在多个城市试点的可信身份平台即将在近期推出2.0版本。
●向信息泄露灰色产业链“动刀”
随着互联网经济深入日常生活的细枝末节,个人信息越来越成为数据信息泄露的“重灾区”。
根据今年8月中国消费者协会公布的一项统计,在其调查的5000余份问卷中,有超过八成受访者遇到过个人信息泄露情况,其中,推销电话或短信骚扰、诈骗电话、垃圾邮件是遭遇最多的三种问题。
信息泄露造成的财产损失亦不在少数。在论坛现场,国家计算机病毒应急处理中心常务副主任陈建民对外公开的《全国计算机和移动终端病毒疫情调查分析报告》内容显示,2017年,仅网络诈骗一项,就有14.39%的受访者损失金额超过5000元。
尽管个人信息泄露已带来严重影响,但与之相对的是,能够用来保护信息的手段却屈指可数。为可能造成信息泄露的设备安装安全软件是可行的方法之一,但软件提供方的可信性同样存疑。
在四川大学网络空间安全研究院特聘副研究员洪延青看来,仅针对源头的保护是远远不够的。
一个例子是,尽管网络经济向生活领域不断渗入,导致更多个人信息不得不被提供给虚拟主体,这提高了信息泄露的可能性。于锐发现,根本问题实际上来源于信息接收方——大量个人信息被不加节制地索取、储存,特别是长期储存。
“个人信息和因素保护的根本解决之道是必要化、最小化使用个人信息。”于锐指出,“要将疏、堵、治、管相结合,实质性区分网络业务系统使用、存储、管理个人信息的必要性。”
遵循这种思路,信息泄露的背后还有更多参与方,他们组成了一条灰色产业链条,基于此,每一个环节都需要进行有效管理。
在洪延青看来,以此为切入口,可以多管齐下,推动组织内部的安全保护机制建设。“可以通过建立安全事件应急处置和报告机制、任命个人信息保护负责人和个人信息保护工作机构、定期开展个人信息安全影响评估、建立适当的数据安全能力、与从事个人信息处理岗位上的相关人员签署保密协议以及对隐私政策、相关规定和安全措施的有效性进行安全审计,这些都需要纳入个人信息的安全管理要求当中。”他说。
●打造平台合力为信息“加密”
在一个信息泄露事件当中,往往存在大量可能造成泄露的平台和众多泄露参与方,仅依靠企业自身自律性规范不足以有效降低其概率。需要更多系统性的约束和解决办法,推动整个数据行业的规范运作。
值得注意的是,我国个人信息保护立法正不断完善。在去年6月正式实施的《网络安全法》中明确指出,“网络运营者应当对其收集的用户信息严格保密、并建立健全用户信息保护制度”。在今年1月获批的国家标准《信息安全技术个人信息安全规范》,则将这种原则性规范进一步具体化。
诸多参会嘉宾提到,本月初,十三届全国人大常委会公布的立法规划中,“个人信息保护法”被列为“条件比较成熟、任期内拟提请审议”的法律草案。
作为制定该标准的参与者,洪延青将多元化的保护机制视作有效保护个人信息的重要领域。在他看来,需要在信息的收集、处理、使用、保存、删除、更正以及发生信息安全事件等多个节点设置对信息持有人的有效告知机制,让个人对其个人信息有选择的、增强式的控制权,并以此提升个人信息保护水平基线。
而更为具体的实践,则是由公安部一所研发的“互联网+”可信身份认证平台。
据于锐介绍,正是由于基于不同身份标识的凭证形成了相互独立的身份管理系统,这些系统产生了独立的信任域,不仅重复建设严重,而且多平台下的实名认证增加了个人信息泄露的几率。
基于此,该平台所推行的网络可信身份技术不仅能够产生指向唯一信用根的身份信息,同时,其采用的“间接实名制”的方式,使用户在核验用户身份时,系统仅留存可关联到用户真实身份的网络身份,大大降低了个人信息被收集和非法利用的几率。
在于锐看来,建设可信生态体系正是该系统有效的关键所在。“不久后,该系统的2.0版本也将上线。”他说。