近日,“快递员贱卖快递单号,泄露消费者隐私”事件在国内掀起了轩然大波,媒体、消费者、公众人物纷纷加入相关讨论中。再联系花旗银行分析员泄密、美海豹突击队员泄密等近期众多泄密事件,我们不得不惊叹,尽管国内外防泄密技术突飞猛进,但泄密事件仍然层出不穷。如何才能有效防泄密,保障信息安全呢?笔者认为,唯有立法与技术双管齐下,才能真正做到防泄密。
随着互联网在中国的飞速普及与发展,一方面给人们的工作和生活带来了便利,另一方面却也带来了大量数据安全隐患,特别是掌握大量个人信息的政府、金融、通信、交通、医疗等社会公共服务机构,一旦信息保护力度不到位,大量个人信息落入不法分子之手,后果将不堪设想。针对个人信息权益维护,既要有一整套完善的法律体系作保障,又要从技术上加强防护措施。立法与技术双管齐下、协调发展才能从根本上保障个人信息权益不被侵犯。在这方面,国外先例值得借鉴。
对于维护个人信息权益,国际上已经有50多个国家和地区建立了个人信息保护相关法规和标准。以德国为代表,通过统一的立法模式,制定综合性的个人信息保护法,来规范个人信息的搜集、处理和利用,并设置一个综合监管部门集中监管,适用于公共部门和非公共部门。又如:美国通过了《隐私权法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《社会安全号码保护法》等一系列法律加强对个人信息的保护,对触犯信息保护法的制裁也相当严厉。比如,冒用他人身份申请信用卡,可罚款1000美元和最高5年的监禁。
一些国家对个人信息权益保护在法律制度上有一套比较完善的体系,在防止数据泄密的技术方面也有许多常用的产品,如 Symantec DLP 、McaFee DLP,但这些产品引进到国内都面临语言、法律规则,用户需求等本地化适应问题。
在我国现行的法律体系中,2009年10月“两高”司法解释新增了“出售、非法提供公民个人信息罪”的新罪名,《民法通则》、《身份证法》、《护照法》、《物业管理法》、《电信条例》等法律法规也有保护公民个人隐私、个人信息的规定,但这些规定零散地分布在各部法律法规之中,相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,因而操作性差,对侵犯个人信息的违法行为打击不力。显而易见,相对于国外某些较完善的法律保障体系而言,我国保护个人信息权益的法律建设还处在刚刚起步的阶段,至今仍没有专门的法律条文落实,这也是导致目前某些泄密案件明明已经造成不良后果,证据也十分充分,但维权却无法真正落实到位的尴尬现状的原因之一。
技术上,国内主流的数据防泄密一体化解决方案已经能对信息安全起到相当强的数据防护效果了。以其中的佼佼者天锐绿盾数据防泄密一体化解决方案为例,通过文件过滤驱动层透明加解密、文件外发控制、文件安全管理、数据安全网关、U盘安全认证、打印审计、内网管理、上网管理等众多手段,不仅能实现事前主动防御、事中全程控制、事后有据可查的一体化防泄密效果,而且,对操作行为、内网资源使用、上网管理、打印资源使用、U盘管理等等都能起到管控效果,集众多功能于一身,相辅相成,共同构筑全方位防泄密体系。
通过技术手段,告别了以往对泄密者举证困难的窘境,但若相关的法制建设落后,立法不完善,进而导致缺乏对泄密者有效的惩治,必将削弱技术对防泄密的作用。因此,只有立法与技术双管齐下,才能真正实现防泄密,保障信息安全。
共有条评论 网友评论