个人信息泄露论文
个人信息泄露论文范文第1篇
关键词:供应链;信息共享;信息泄露
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,grossman和stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在r&d的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在r&d过程中研发信息的无意传播,因为从r&d中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年wal-mart宣布不再和information resources inc.和acnielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了wal-mart的竞争对手,从而使walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由supplychainaccess.com进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是soundscan,还有newbury comic的上游供应商——唱片公司。
另外,从supplychainaccess.com的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,gm公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于internet网络体系构建的。internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为人。在供应链信息共享过程中,人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦人违反保密协议就给出相应的惩罚。
除了和人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网vpn来构架信息安全框架。vpn可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献:
[1] grossman s j, stiglitz j e. on the impossibility of informationally efficient markets[j].american economic review, 1980, 70(3):393-408.
[2] baccara m. outsourcing, information leakage, and consulting firms[j].rand journal of economics, 2007, 38(1):269-289.
[3] li l. information sharing in a supply chain with horizontal competition[j].management science, 2002, 48(9):1196-1212.
[4] hays c l. what wal-mart knows about customers′ habits[n].the newyork times, 2004.
[5] dye r a, sridhar s s. investment implications of information acquisition and leakage[j].management science, 2003,49(6):767-783.
个人信息泄露论文范文第2篇
年12月19日,民间组织COG(信息安全专业委员会)创始人龚蔚(goodwell)了一条微博称,互联网信任危机一触即发。
这条微博似乎成了中国互联网2011年度的预言――48小时后,中国互联网泄密事件发生。
自12月21日开始,在不到10天的时间中,由技术网站CSDN、知名论坛天涯开始,大量网站被爆存在用户数据泄露,据CNCERT(国家互联网应急中心)公布的不完全统计,截至12月29日,被外界怀疑泄露的数据库已达26个,涉及账号、密码2.78亿条。
12月27日晚,中国计算机学会青年计算机科技论坛广州分会(下称“CCF广州”)召开了 “互联网用户资料泄露事件紧急会议”。16名与会专家一致认为,这次事件是迄今为止“中国互联网史上最大信息泄露事件。”
当天,工信部通信管理局和国家计算机网络应急技术处理协调中心也在北京紧急召集多家互联网企业、信息安全企业和多位网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。据不愿具名的消息人士透露,公安部门也已对此次事件立案侦查。
在业界看来,此次恐慌事件后,互联网信息安全可能由一个甚至不受行业重视的技术问题,变成如同药品、食品、教育一般受到社会广泛重视的问题。
破而后立,这或将成为中国信息安全生态进化的宝贵契机。
网站利益局中局
此次泄露风暴最终影响了多少中国网民,目前无法确切统计。
国家互联网应急中心的通报认为,此前能够确认数据泄露的只有CSDN与天涯两个网站,其他的数据库被公布的“泄露信息”只有部分属实,部分数据则被证伪。
“在业内看来,类似的事情早已多到近乎麻木。”信息安全公司启明星辰(001439.SZ)首席战略官潘柱廷说,其实每年都有多起重大的用户数据库被盗事件(黑客们习惯称为刷库或拖库),国外类似事件的规模更大,且因涉及信用卡账号等关键信息,危害普遍大于国内的泄露事件。比如,2011年已被证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,就包括索尼、世嘉等大型游戏设备厂商、花旗银行等金融机构及RSA等安全厂商巨头,仅日本索尼4月被黑客窃取的客户信息就高达7700万,其中还包括信用卡账号。
业内人士告诉记者,此次事件之所以影响大,是利益驱动下“搅浑水”的互联网江湖众生百态。
“关于密码泄密后的事情:1、某上市公司忙着造假库往外扔。栽赃其他公司,想摆脱被曝明文库的证据;2、有网站通知所有用户修改密码,乘机激活用户;3、还有网站把这些公开库的数据直接导入自己用户库,也发通知给用户改密码;4、钓鱼的、垃圾邮件的也都活跃起来。”12月27日,CSDN创始人蒋涛微博说。
“其实,很多用户根本就记不清自己在哪些网站注册过用户名与密码,”一位网站负责人说,以前,他们发展用户需要花钱做广告、群发邮件,而且效果并不理想,但这一次有现成的用户资料,而且这些已经泄露密码的网民非常恐慌,收到邮件后会积极的“改密码”,这让很多中小网站一夜之间就发展了大量“老用户”。
“这反过来又加剧了公众的恐慌,因为有越来越多的网站说数据泄露了,快来改密码吧,一夜之间仿佛整个互联网都变得不可信任。”该负责人说。
一位黑客说,与之对应的是,也有发现数据库泄露的网站不动声色,悄悄地给用户发邮件,让用户“防患于未然,避免受到其他网站数据库泄露影响”。
在业内人士看来,此次泄露事件对网民造成的直接损失其实小于外界想象。
“破而后立,从长远来看,对中国互联网来说,这或许反而是一件好事。”一位安全厂商负责人认为,经过恐慌的放大效应,事件虽然没有带来重大的经济或社会损失,但却让互联网企业和公众意识到信息安全面临的风险,这有助于中国互联网的安全生态得以进化。
或转化产业契机
“网络安全其实可以分成两个层次。”潘柱廷说,一个层次是政府、军事乃至电力、通信、金融等事关国家安全的关键基础网络,在这个层次上,中国一直非常重视,有相对严格的安全保护机制,此次事件中也没有受到影响;另一个层次则是以商业、社会公用为主的互联网络,这一层次则相对脆弱,比如大量的中小网站,就普遍缺乏信息安全的意识及投入。
潘柱廷同时也表示,这一问题全球皆然。
“用户的安全防范能力永远滞后于黑客的技术能力,因此仅靠用户自己的话,数据泄露问题是‘无解’的。”国家网络信息安全技术研究所所长杜跃进说,如同世界上总会有小偷一样,数据泄密事件在互联网领域也无法杜绝。杜跃进认为,互联网的信息安全防护水平其实一直在不断提高,比如现在攻击一个网站的难度,已经远大于以前,只是因为互联网不断发展,应用更加深入,吸引攻击者的“有价值目标”不断增长,需求产生市场,导致了黑客等地下产业链日益繁荣。
在2011年6月的中国计算机学会YOCSEF特别论坛上,中科院软件所副研究员蒋建春就曾对互联网的攻击演变进行回顾总结:在上世纪七十年代,网络攻击是一件难以想象的事情;八十年代出现了学术攻击;九十年代出现非利益性攻击;二十一世纪则演变为面向价值攻击。
“不过,目前国内地下产业中相对更多的还是信息倒卖,真正直接在网上损失财产的还相对较少。”陈睿说,“就目前而言,中国自行车被偷的人,还比在互联网上丢了东西的人多。”
不过,也有一些安全厂商负责人认为,中国过去的网络安全风险不可小视。
“中国互联网的竞争相对更加激烈,中小网站可能有100个原因死亡,其中最小的可能就是安全问题,所以安全意识一直相对淡薄。”该负责人说,在成本一定的前提下,安全与方便性是矛盾的,比如增加验证码手段,在提升安全性同时,却会影响用户体验的方便性,可能会流失部分潜在用户,所以网站经营者往往先把安全放一边,投入先集中在吸引和发展用户。
甚至一些大中型网站也并不重视网站安全。“比如每年的互联网行业会议,安全分论坛都放到最后,而且到开会时网站的老总甚至CTO(首席技术官)都全走光了,只留下一堆没有决策权的技术员。”该负责人说,在此之前,我国信息安全占IT投资的比例只有1%,而西方发达国家是8%到12%。
此次泄露事件的爆发,则让很多网站开始反省安全问题。
潘柱廷说,最近已经有很多网站开始主动联络安全厂商讨论提高网站安全防护能力,“对整个中国互联网来说,这是一个良好的信号。”
陈睿表示,在网络技术到了一定层次后,个人的力量将越来越弱化,网络信息安全的对抗更多将趋向投入的对比、资源的对比、设备的对比。
业内人士认为,经过此次事件之后,无论是信息安全投入、还是信息安全的行业自律和流程规范,都将得到强化。像以前网站使用明文存放密码、用户使用简单密码等安全业屡次提醒、互联网站和公众一直未予重视的问题有望缓解,这些都将有助于互联网络的信息安全提高。
催生政策与商业模式变革
信息安全业界认为,此次事件的深远影响将在2012年以后逐渐显现,将可能在立法、政策、商业模式及格局等环节带来变革。
杜跃进说,其实中国的信息安全的很多领域在国际上并不落后,甚至领先,比如中国是最早出台国家层面的信息安全协调机制、部级网络应急响应组织的国家,国家互联网应急中心从2003年就开始了对互联网络的病毒与木马全面监测,而在此次事件后,公众网络信息安全的防护或许还会得到进一步提升。
“在2008年以前,中国针对网络犯罪的立法曾相对滞后,但在过去两三年,尤其是2010年以来的法律修订过程中,已经有较大的完善,比如对制作病毒、木马,盗窃虚拟资产等行为,都已经有执法依据,此前也已有犯罪分子因为涉及触犯条例被刑事处罚。”陈睿说,“但在公民的网络信息安全、网络财产等权益保障环节,立法仍有一定空白,这在此次事件后可能会有所加速。”
很多安全人士则呼吁政府,对涉及用户信息保存与使用的网站,出台新的规范,以相对硬性的规定,约束网站达到一定的安全规范。
一位政府人士向《财经国家周刊》记者透露,未来政府可能会对互联网企业进行评估,社会影响较大的网站或服务将会进行强制性的安全要求,“增值电信领域的尝试近期就将开始。”
与此同时,互联网自身的市场竞争,也正在催生提高用户信息安全的新商业模式出现。
比如OPEN ID(通用账号)。互联网企业人士透露,目前新浪、腾讯、支付宝等大网站都已经在各自联合大量合作伙伴推广OPEN ID。通过这一服务,用户只需要记住一个统一的账号和密码,就可以同时登陆多家网站,而其账号、密码等信息,只存储于核心企业数据库中,这既减少了用户记忆密码的难度,也因为可以集中保护,减低了数据泄露的风险。
而在2011年8月,金山网络也推出了新的业务“网购敢赔”,承诺只要金山毒霸2012用户开启网购“敢赔模式”,如果网购仍感染木马或登录钓鱼网站遭遇财产被盗,金山网络将进行上限500元的现金赔付。在业内人士看来,在目前中国仍未出现虚拟财产保险的情况下,这一商业模式也正是迎合了信息安全风险不断加大的网络生态,在增加用户安全保障同时为企业吸引用户。
潘柱廷则认为,未来面向中小企业的信息安全防护业务也可能得到迅速发展。因为中小企业往往难以单独进行大量的信息安全投入,但地方政府、数据中心、运营商、云计算服务商等平台可能在服务中整合信息安全功能,在自身获得业务增值同时,也让整个互联网产业的信息安全也得以提升。
网络保护的法理求解
文/《财经国家周刊》记者 雍忠玮
用户数据库泄密事件之后,无论是数据库已经泄密的CSDN和天涯等社区网站,还是被用户担心和疑虑的新浪、腾讯等门户网站,无一例外地采取了“低调”或“沉默”的应对方式,而数以亿计的用户此时发现,保护自身信息安全,除了修改密码之外几乎无计可施。
还没有单独立法
在CSDN和天涯用户数据库泄密之后,大量的普通互联网用户在担忧自己的注册信息是否泄密的同时,也参与到泄密数据库的下载和转发过程中。
“需要提醒的是,普通用户得到这些数据库密码信息,再进行传播,也是违法的。” 中国政法大学知识产权中心研究员、法律专家赵占领对《财经国家周刊》记者表示。他进一步提出,“政府和法律界应更为重视类似事件的处理,从法理和法规上,对互联网信息安全进行政策和法律的制定。”
根据赵占领的介绍,围绕互联网个人信息保护的法律法规,中国当前的主要参照依据,仍然是刑法的相关规定,“相关的判例也有,但那些都是涉及到明确的主体、明确的资金,在民事赔偿和行政处罚领域,仍然缺乏明确依据。”
由此不难理解,为何CSDN和天涯两大泄密网站一方面分别在北京和海南向公安机关报案,而另一方面绝口不提对用户的任何赔偿方案,仅以道歉作为终结事件的底线。
CSDN相关负责人告诉《财经国家周刊》记者,公司内部对于如何处理此次注册用户数据库泄密事件已有结论,“一方面通过各种方式,包括和其他网站合作,通知用户修改密码;另一方面我们也对存在安全隐患的用户,进行临时的密码锁定,敦促用户在登录过程中修改密码。”
该人士多次强调,CSDN早于2009年4月开始,就已经使用加密密码保存用户数据库,“已泄密数据属于早前数据,甚至相当一部分密码用户已经修改过,但业界媒体和很多用户对此并不了解。”在谈及是否已有对涉及泄密的用户提供赔偿方案或者弥补措施时,该人士表示,通知密码修改和临时锁定就是弥补措施,对于赔偿方案,对方拒绝讨论,并称“这个事情甚至不是我们公司所能决定。”
天涯网站一位副总裁则私下对《财经国家周刊》表示,“国内在用户赔偿方面,还没有什么具体可依据的标准,而且用户的损失究竟如何界定,也不是很清楚。”该人士透露,天涯内部证据显示,有些用户数据库泄密,其原因并不是因为天涯网站,而在于用户在其他网站使用了同样的ID和密码,“那些网站发生泄密后,我们发现了极少数用户在天涯也使用了同样的ID和密码。这种泄密,天涯根本无法预防。”同样,该副总裁也对记者表示,虽然并不具体负责技术部门,但也明确知晓公司至2009年以来,就一直采用的是非明文密码数据库。
包括CSDN、天涯、网易等网站在内的超过2亿个账户及密码泄密事件,所涉及的金额数量目前仍然难以估计。在《财经国家周刊》调查过程中,无论是网站主体,还是普通用户,都认为大部分网站注册用户的相关数据“是免费的,没有太多实际资金的损失。”
“其实从法律的角度,虽然没有单独立法,但从多个法律条款已经对用户信息保障有所规定,难点仍然是在执法上,这个问题从全球看都是一样的,就如同美国和欧洲也有黑客盗取信息。”互联网领域的知名律师于国富对《财经国家周刊》表示,“例如中国的法律就规定了,对于非法入侵他人电脑获取信息,可以判处三年或以下拘役徒刑,但年轻的黑客们甚至都不知道这个法律条文,他们精通互联网技术,却在法律方面面临大片的盲区。”
同样,发生于2011年底的互联网用户数据库泄密事件,并非中国互联网发展过程中的第一次规模性安全事件。2005年底,中国互联网曾爆发了第一次大规模个人信息泄密事件,即“9000万人信息泄露”事件,该次事件将“优库网Ucloo”和“中国同学录”直接推至浪尖。
立法纠结之处
1994年由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,但这一条例更多的是从计算机病毒和国家信息安全的角度,对计算机信息领域安全进行了规范,而这之后,随着中国互联网的发展,有关个人信息保护的立法,多年来一直是让法律界和政府主管部门纠结的环节之一。
2002年,国务院信息化办公室联合中国社科院,开始了“个人数据法律法规比较课题”的研究,并于2005年在此基础上形成了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。此后没有更进一步立法进展。
在过去近十年中,试图牵头个人信息保护领域立法工作的部委,分别包括了国务院信息化办公室、原信息产业部(现为工业和信息化部)、商务部等多个部委,然而,缺乏统一的牵头单位,成为中国个人信息领域尤其是互联网个人信息领域立法推进缓慢的核心原因。
“就目前而言,中国政府目前甚至没有专门的信息资源主管部门。如果无法从源头厘清这一现状,制定个人信息保护的法律法规,就无从谈起,即便制定出这一法律,也无法得到有效实施和规范。”北京邮电大学教授、法律专家谢明敦对《财经国家周刊》说。
作为中国互联网业务上的主管部委,工业和信息化部于2011年2月曾《信息安全技术个人信息保护指南》,但由于该文件仅属于建议性和规范性范畴,因此并没有对互联网信息泄露有任何可执行的规范和处罚条文。
个人信息泄露论文范文第3篇
[关键词]大学生 网上个人信息 保护意识 调查
[中图分类号]D923 [文献标识码]A [文章编号]1009-5349(2012)02-0201-03
一、研究背景
网络的普及,可以使人们更快捷地共享信息和利用信息,但是,随之而来的网络个人信息安全问题,越来越引起人们的担忧和重视。通过网络侵害隐私权,利用个人信息泄露进行的不道德行为和计算机犯罪逐年攀升。近年来,骚扰电话、骚扰短信以及垃圾邮件对人们来说已经屡见不鲜,利用网上个人信息泄漏进行诈骗的案例亦不在少数,轻则骗取钱财,更有甚者利用他人个人信息进行刑事犯罪。
事实上,在许多行业,个人信息倒卖甚至形成了“黑金产业链”。在调查过程中我们了解到,在电信、银行、保险、互联网等诸多行业,都有不少专门收集和出售个人信息的机构。在这里,个人信息成了这些人明码标价的“摇钱树”。只要肯掏钱,就能得到相关人员的姓名、年龄、住址、联系方式、银行账号等信息。①
大学生是网络使用重要主体之一,网上个人信息泄露给大学生生活带来诸多不便甚至威胁。2007年6月,沪上某高校数千名学生和老师的电子学籍管理系统账号和密码外泄,用这些账号,不仅可以查看在校学生的学籍、个人和家庭信息,部分权限大的账号甚至还可以对学生的个人信息进行修改。②另外,西安某大学共有一万多学生在毫不知情的情况下被校方冒用个人信息办理了信用卡。高校大学生通过网络求职,将个人资料在互联网上公开,并将手机、寝室电话同时公布,被骗的案例也时常发生。
增强网上个人信息保护意识对于网上个人信息保护具有至关重要的作用,为了解大学生网上个人信息保护意识的现状,我们小组通过调查问卷、访谈等方式对长春十所高校大学生进行了调研,并凭借网络对全国其他地方的大学生进行了网上调研。
二、研究意义
(一)理论价值
1.行政管理学价值:网络时代的到来,意味着政府的管理不再局限于现实的问题,也要进军网络,而网上个人信息保护又是网络管理的一个重要分支,此课题的研究将为政府有关部门搜集基础数据和信息,为政府进行网上个人信息保护的管理提供一定的建议。
2.社会学价值:网上个人信息作为识别本人的所有数据资料,包括一个人生理、心理、智力、个体、社会、经济、文化、家庭等方面。而个人信息泄露带来了各种各样的社会问题,诸如,网络诈骗、网银被盗等,给人们生活带来诸多不便。此课题将网上个人信息放入社会学角度进行分析,能够将社会学理论进一步深化。
3.法学价值:我国关于个人信息保护的法律很不完善,此课题研究为法律研究的深入、立法的进行提供更多的细节,为立法提供更多依据。
4.伦理学价值:此课题将揭露许多网上信息窃取的行为渠道和方式,网上社会公德伦理道德成为伦理学又一个关注的焦点。
(二)现实意义
个人信息是个人隐私的一部分,应征得个人信息的主体同意,才可在限定的目的范围内使用。由于我国缺乏保护个人信息的法律,公民和社会普遍缺乏个人信息保护意识,个人信息一度被不合理地公开甚至滥用。像人人网、腾讯QQ、网易邮箱、会员注册、网游注册等都是大学生网络生活的重要部分,在使用这些网站的时候大学生是否有强烈的个人信息保护意识与大学生个人信息泄露息息相关。我们旨在通过这次调研对大学生个人信息保护意识现状有所了解,找出相关问题,并予以对策,增强大学生个人信息保护意识。
三、研究现状
网络信息技术的飞速发展,给人类社会带来巨大的便捷和商业机遇,但是一系列的由网络产生的问题也随之产生,个人信息通过网络泄露便是其中重要的问题之一。随着这一问题的加剧,国内外学者研究机构也都在这一方面展开了一系列的研究。
(一)国外的研究状况
国外对这一问题的重视要早于国内,Warren和Brandeisy在1890年,于“哈佛法学评论”提出的“隐私权”(The Right to Privacy)论文,开启了后世对于隐私权的讨论。1997年,克林顿政府公布了《全球电子商务发展框架》报告,其中,把保护网络隐私权作为一项基本原则提了出来。除此之外,国外还有对整体公民的个人信息情况进行调查研究,有些调查研究主要针对某一群体进行的,例如美国的Jerry Finn《A Survey of Online Harassment at a University Campus》研究是针对在校大学生个人信息保护的现状进行的,主要从网络在大学生中的普及率、大学生个人信息泄露的途径、个人信息的公开程度以及什么原因造成信息泄露等方面系统地分析了大学生网上个人信息泄露以及问题解决措施。《Determinants of Online Privacy Concern and Its Influence on Privacy Protection BehaviorsAmong Young Adolescents》从青少年的保护意识来分析网络安全问题。
(二)国内的研究情况
国内对个人信息的研究情况,相对落后于国外,还没有像国外那样不仅从宏观上把握对个人信息进行立法保护,更没有像国外一些研究报告那样具体到某一个群体,比如大学生。
国内对个人信息方面的研究主要集中在以下几个方面:
1.网络时代个人信息保护的必要性和意义。例如李沫的《个人信息保护的法律解析》中指出了个人信息保护亟待解决以及各国解决的方法和作用。
2.个人信息保护的途径主要从技术和法律方面来进行防范。例如罗冰眉的《网上个人隐私信息保护策略》提出了个人信息保护直接保护方法和间接保护方法,但是这些方法存在例如成本过高等因素无法实施。
3.对个人信息应该保护的内容进行分析以及对现行法律的不完善进行立法建议。如李娜的《论网上隐私权的法律保护问题》探讨了法律保护过程中存在的问题及相关对策。
4.对信息泄露的途径进行分析归类。例如李大章,刘洋《我国高校学生个人信息保护的现状探究》对大学生个人信息泄漏的途径进行了归类并且提出来了一些相关的建议。文章中也有关于大学生个人信息保护意识的分析,但是还不够系统完善。
5.针对一些网络现象和政策进行的理论研究。如:《记者部落•茶座》中关于网络实名制之前思后想的采访和观点的发表。
6.对于保护隐私信息和正常流通信息界限的研究,像李晓秋的《“需要知道”与“合理期待”――多伦多大学保护学生个人信息的实践及启示》中通过对多伦多大学保护大学生个人信息的方式来分析个人隐私与必要的信息流通之间的关系。
四、调研过程
在项目审批下来的第一个月,我们小组成员通过书籍、杂志了解在校大学生网上个人信息保护意识问题的相关信息,另外我们充分利用网络资源、各种资料库查阅收集与课题有关的最新资料,了解有关大学生网上个人信息保护意识方面的最新动态。通过文献法,我们对所要调研的内容有了初步的了解。
从2010年5月到9月,我们小组成员利用星期天和节假日开始了全面的问卷调查阶段。首先是问卷设计,我们在专业老师指导下,设计出炉了“关于大学生网上个人信息保护意识问题调查”的问卷。在发放前,我们先在身边同学进行试发,由同学们提出意见又进行了修改。第二批网上问卷和实地问卷的发放是在中期评估后,根据调查的现状和中期评估汇总老师提出的建议,我们对问卷进行了修改完善。第一阶段在长春10所高校进行了500份问卷的发放。主要在每所高校的食堂和教室进行随机发放。问卷的填写者从本科一年级到研究生。第二阶段,我们通过网上问卷对全国各地的高校进行了网上问卷的发放。然后,我们对回收的问卷进行了统计和分析。
在2010年9月到12月之间,我们主要的调研是实地访谈和网上访谈,实地访谈主要是在长春各大高校,在实地访谈的基础上,我们又通过校内网、QQ以及邮件的形式进行了网上访谈。
在调研的最后阶段,我们将查阅到的和访谈过程中的各种关于网上个人信息泄露的真实案例进行剖析,深刻了解网上个人信息泄露的各个方面。
五、存在问题、原因及影响
(一)在校大学生网上个人信息保护意识存在的问题
在校大学生网上个人信息面临的现状令人担忧。从问卷来看,67%的同学都在网上注册过个人信息。问卷调查中,约52%的同学有过一次以上的网上信息被盗情况;从访谈来看,约一半同学都对于网上个人信息持有不在乎的态度,觉得网上个人信息无关紧要,没有必要因为怕信息泄露而担心,即使泄露也没有什么严重后果;从案例分析看,有些大学生因为网上个人信息保护意识的薄弱,造成了身心不同程度的危害。
(二)在校大学生网上个人信息保护意识存在问题的原因
1.从上网行为来看,大学生在上网过程中,填写的个人信息大部分都是真实的,26.51%的同学会在注册会员、找工作、QQ等网站使用自己真实的信息,而58.87%的同学填写的信息大部分真实。大量真实的信息暴露在网络空间里。
2.从上网习惯看,40%的同学在公共场所,如网吧等,登陆有自己真实信息的网站之后,退出时从不或偶尔检查自己的账号是否退出,这给盗取信息的不法分子有机可乘。这也反映出上网过程没有保护个人信息的意识习惯问题。
3.从网上个人信息保护自我评价上看,54.46%的同学认为自己的网上个人信息保护意识一般,11.01%的同学认为自己网上个人信息保护意识不强。另外,将近50%的同学会对有可能会泄漏自己个人信息的网络调查进行不同程度的填写。从信息泄露后采取措施方面来看,60%的同学觉得不需要理睬。可见,大学生网上个人信息保护意识并不够强烈,亟待增强。
(三)网上个人信息泄露对大学生的影响
网上个人信息泄露给大学生带来了诸多的危害,从问卷看,57%的同学因为网上个人信息泄露收到电话骚扰,80%的同学因为网上个人信息泄露收到垃圾短信、垃圾邮件,19%的同学因为网上个人信息泄露而内心担心受怕,另外还有少部分同学受到登门推销和家人受到骚扰的危害;从访谈看,和问卷情况相似,有些同学曾经因为网上个人信息泄露遭受到陌生人的短信或电话威胁,造成心神不宁,担心受怕。
“社会物质文明愈发达,交际手段和传播媒介愈现代化,人们就愈觉得有必要保留只属于自己的内心世界的安宁,以及与纷繁复杂的外界相对隔离的安宁居所或独处环境。遗憾的是,在物质文明现代化的进程中,人们的这种精神需求往往被忽视。”③在个人信息被泄露后,经常受到各种骚扰,不仅使个人的生活安宁遭到破坏,更会给信息主体带来精神方面的痛苦。通过分析我们可以看出,网上个人信息泄漏已经严重影响到大学生的日常生活,不仅使其在物质上受到危害,更严重的是给其带来心理和精神上的损害。
我们可以看出,目前大学生已经认识到个人信息对自己的重要意义。为了维护自己生活的安宁,免受不必要的骚扰,都在有意识地对自己的个人信息予以保护。但是,当个人信息被不当泄露之后,大部分大学生却采取消极的应对方式。
(四)大学生认为能有效提高自身网上个人信息保护意识的途径
60%的同学认为我国关于网上个人信息保护的法律欠缺。在采取措施方面,80.24%的同学认为网上个人信息保护最主要靠提高个人信息保护意识。28.48%的同学认为网上个人信息保护需要靠法律的维护。18.5%的同学认为应该减少泄露个人信息的行为。在访谈过程中,同学们就提高网上个人信息保护意识提出了更加具体的方法:如,在正规网站注册信息,政府宣传提高大学生保护个人信息意识,建设完善法律法规,学校集中教育,国家严厉打击盗窃个人信息行为,对需要注册身份的网站,国家进行统一排查,政府发放统一合法注册网站标志,提高大学生对合法与非法网站的辨别。
综上所述,可以看出大学生一方面有保护信息的意识,但是这是非常不完善的保护意识,大部分大学生对个人信息泄漏的途径了解甚少,所以在具体行为上的保护程度和效果并不理想。
六、解决措施
大学生群体是网络大军之一,在日常生活中处处都依赖网络,针对在校大学生网上个人信息保护意识不足的情况和调研得出的结果,我们提出以下建议:
(一)国家方面
1.国家应该加强网上个人信息保护的宣传力度,让不论是大学生还是普通公众都能在意识上重视网上个人信息保护的问题。让网上个人信息保护成为网络使用者的共识。
2.制定与时俱进的网上个人信息保护意识法律法规,并且加大法律法规的宣传力度,让网络使用者都能知法用法守法,使信息受到损害的人能通过法律渠道获得赔偿,使盗用信息的违法者受到应有的惩罚。
3.统一设计开展全国高校网上信息管理和保护课程,使大学生能够系统地了解网上个人信息泄漏的途径,全面掌握网上个人信息管理和保护等方面的知识。
(二)学校方面
1.设立网上个人信息管理和保护等网上个人信息保护的相关课程。利用各种渠道宣传网上个人信息保护等知识。
2.设立专门的网上个人信息保护咨询机构。使大学生可以随时找到渠道了解相关信息,同时,如果遇到信息泄漏的威胁,可以有触手可及的求助渠道,避免盲目慌张。
(三)大学生自身方面
1.对于需要填写自己真实信息的网站要提高警惕,对于不正规网站要谨慎填写或者不予填写;必须要填写的真实信息做好保密工作,比如QQ、人人网、博客等要设置访问权限,避免不法分子信息盗取的行为。
2.对于自己的关键信息,更要保持高度的谨慎,不要有侥幸心理,对获奖等信息轻信,不要轻易去填写自己的银行卡号及相关信息,以免造成严重的后果。
3.公共场合,如网吧、电子阅览室等上网要做好自己的信息保护工作,例如使用软键盘,结束时关闭所有有自己个人信息的网站。
4.提高个人信息保护意识。首先要积极地了解网上个人信息泄露的最新动态和途径。其次,要学习避免信息泄露的方法,提高个人信息保护意识。再次,对于信息泄露后要采取有效的措施,不能采取不予理睬的态度。
注释:
①拿什么保护个人信息.工人日报(第007版,法治•望),2009.1.5.
②李大章.我国高校学生个人信息保护的现状探究.消费导刊,2009.5.
③张新宝.隐私权的法律保护.群众出版社,2004年版,第2页.
【参考文献】
[1]Jerry Finn.A Survey of Online Harassment at a University Campus[R].J Interpers Violence 2004.19:468.
[2]朱峰.论我国个人信息保护的现状及对策[J].金卡工程•经济与法,2010(2).
[3]卢艳宁.网络中个人信息隐私权及其法律保护[J].经济与社会发展,2009(4).
[4]王虎,李宁.大学生个人信息安全课程内容探析[J].当代教育理论与实践,2010(1).
[5]李大章,刘洋.我国高校学生个人信息保护的现状探究[N].消费导刊管理视野,2009(5).
[6]李沫.个人信息保护的法律解析[J].法制与社会,2009(4).
[7]赵金.网络实名制之前思后想[N].青年记者,2009(3).
[8]谢新洲,李娜.论网上隐私权的法律保护问题[J].中国图书馆学报,2000(4).
[9]罗冰眉.网上个人隐私信息保护策略[J].现代情报,2003(11).
[10]殷国伟.网络环境下高校学生个人信息资料的法律保护[J],2009(3).
[11]拿什么保护个人信息.工人日报(第007版,法治•望),2009.1.5.
[12]李大章.我国高校学生个人信息保护的现状探究.消费导刊,2009.5.
个人信息泄露论文范文第4篇
关键词:网络技术;信息保密;信息泄露
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-02
Network Information Privacy and Security Maintenance
Tang Liang
(Head Office of China's Auto Industry International Cooperation,Beijing100080,China)
Abstract:Network information leakage and its information security safety hidden danger of more and more attention by people.This paper analyzes the network information leakage of the four kinds of performance,the maintenance information confidential and prevent information leakage puts forward the countermeasures.
Keywords:Network technology;Information secret;Information leakage
信息资源、信息技术和信息产业对社会和经济的发展关系密切,信息安全关系到一个企业、一个机构乃至一个国家、一个民族的盛衰兴亡。随着人类的生产和生活等一切社会活动越来越依赖于计算机网络系统,网络信息泄露及其给信息安全带来的安全隐患愈来愈受到人们的普遍关注,研究网络信息保密的安全维护有十分重要的意义。
一、网络信息保密安全维护的意义
信息论和控制论的奠基者美国学者维纳认为:“信息就是我们在适应外部世界和控制外部世界的过程中,同外部世界进行交换的内容的名称。”现在一般认为,信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。信息的保密性、完整性、可用性、真实性等是网络安全的关键。而信息的保密性是指信息不泄漏给非授权的用户、实体或过程,或供其利用的特性。一旦信息泄露给某个未经授权的实体,那么信息就会出现泄密问题。信息的保密性是信息安全中最主要的核心内容。
对个人来讲,通常个人电脑中发生的个人密码泄露、隐私信息泄露、银行账号泄露等事件通常都是病毒、木马以及恶意程序造成的,当然也可能是个人信息保管不善造成的信息泄露。当前,个人信息泄露正日益严重地妨碍着公众的正常生活,不仅让当事人不堪其扰,更可能为刑事犯罪提供土壤。
对社会经济来讲,信息保密性更为重要。信息作为社会的重要战略资源,已经成为人类最宝贵的资源,信息资源、信息技术和信息产业对社会和经济的发展关系密切信息关系到整个经济体系的良好运行,一旦重要信息非法泄露,就会对社会经济造成重大影响。
对国家安全来讲,信息保密最为重要。重要信息的泄露将直接导致国家安全的问题。当今各国都在努力的利用网络、间谍等方式来获得所需的情报,而网络又是最直接便利的途径,因此如何确保网络上的信息保密性就是摆在我们面前的突出问题。
二、网络信息泄漏的表现
目前,随着计算机科学技术的不断发展,信息的搜集渠道愈来愈多,范围也愈来愈广,信息泄露的机会也愈来愈多,使得信息保密性遭到极大威胁。下面主要介绍是常见的几种信息泄露的途径。
(一)各种途径和方法的窃听、窃取所造成的信息泄露
在网络时代,信息的传输干线主要通过光纤线路进行,传统的窃听手段和方法都将面临失效。当然,新的窃听、窃录、窃收方法和技术也在不断产生,比如把窃听、窃录、窃收装置放在计算器、打火机、电话或各种电器的插座内,甚至可以放在电容器、计算机芯片内。另外,在办公室、宿舍、汽车等地方谈话时声波在玻璃表面引起极微小的振荡,都可以通过光学接收机将其变为可以听到的谈话。美国甚至研究出了可以窃听海底光缆的先进潜艇。
(二)网络设备和线缆工作中电磁辐射造成的信息泄露
目前许多信息都离不开电脑和网络。除光纤外,这些设备在输入、输出、加工处理信息过程中,必然会产生电磁辐射。通过高科技设备就可以在离工作间几十米甚至上百米处检测测到计算机等设备的电磁辐射状况。将收集到的电磁辐射信号,经过专用仪器,就可以还原成正在处理的信息和显示装置上正在显示的内容。因此,在早期使用同轴缆线连接网络中,重要的军事部门的缆线必须在视力所及的范围内布线,主要就是为了防止电磁辐射造成的信息泄露。
(三)信息在有线网络及无线网络传输中的信息泄露
信息要通过电话线、网络、卫星等媒介来传输,如不采取有效的安全保护措施,这些信息就存在着传输泄露的可能性,随时可能被截获,甚至有人会以合法的身份访问网络内的信息。
随着近年来计算机和无线通信技术的发展,移动无线网络技术得到了越来越广泛的普及和应用,无线网络的安全问题也成为不可忽视的主题。由于不再受到线缆铺设的限制,配备移动计算机设备的用户能够方便而自由地移动,并可以与其他人在没有固定网络设施的情况下进行通讯。然而很多的无线网络都没有设置安全机制,使用默认的口令供人连接进入。这就给对无线网络进行非法攻击提供了机会,最终导致信息泄密的可能。
(四)信息储存介质管理不当造成的信息泄露
信息的存储介质没有统一的管理,在计算机软盘、硬盘、光盘,U盘等介质上随意存放一些十分重要的秘密资料。而存储在这些介质上的信息如不采取安全保护措施,就存在丢失和被人窃取的可能。另外,信息存储在芯片、软盘、硬盘等载体上,由于操作不当或机器发生故障等原因,可能造成这些信息载体的报废。而报废的载体,经过某种技术处理就可获得其内部的信息,导致信息的泄露。
三、维护信息保密和防止信息泄漏的策略
(一)树立全民的信息安全意识
三分技术和七分管理是网络安全的核心内容。在我国,网络用户乃至网站易受攻击的主要原因,是由于多数网民粗心大意、网站管理者缺乏保护意识。因此,强化人的信息安全意识是防止信息泄露的第一步。各级组织应该把加强网络信息安全教育,提高全民网络安全观念放到战略地位,使人人都能认识到网络信息安全的重要性,自觉地维护网络信息安全。这就要求对相关人员进行计算机软、硬件及数据信息和网络等方面的安全教育,提高他们的保密观念和责任心;加强业务、技术培训,提高操作技能;制定完善的管理机制并教育工作人员严格遵守操作规程和各项保密规定,专人负责定期或不定期对网络系统进行检查和维护。此外,国民的信息安全教育也不容忽视,当前环境下,彻底改变中国民众普遍存在的信息安全意识观念较差的状况,对于维护中国的信息安全极为重要。
(二)使用防火墙等有关的网络技术提供网络的安全保护。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙的核心技术是包过滤,就是根据定义好的过滤规则审查数据包是否与过滤规则匹配,从而决定数据包能否通过。当然,仅使用防火墙所提供的访问控制能力是不能够完全保护信息的安全,还需要与其它技术共同使用。如身份认证、负载平衡流量分析、网络地址翻译、服务器等。服务器是使用技术阻断内外网络间的通信,达到隐藏内部网络的目的。它具有设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过服务器访问Internet网。也可以利用在服务器上做安全设置,实现网络防火墙的功能。
(三)使用恰当的技术对信息进行加密处理
信息加密是使用数学或物理加密手段,来实现系统内信息传输和存储的安全、保密、真实和完整,它是保障信息安全最基本、最核心的技术手段。到目前为止,正式公布的加密算法已有数百种,主要有两种类型,一种是对称加密,用户使用同一个密钥加密和解密;一种是非对称加密,加密者和解密者各自拥有不同的密钥。比较著名的对称加密算法有的DES、RC4、RCS等,它要求密钥必须保密,需要用不同于发送信息的另一更安全的信道来分发密钥。RSA、RAB取则是较有名的不对称密码系统,它的密钥管理简单,可以实现数字签名和验证,更适应网络的开放性要求。使用数字签名可以保证信息的不可抵赖性,数字签名是利用字符串代替书写签名或印章,起到与手写签名或印章同样的法律效用。它在电子商务中应用广泛,通过电子签名证明当事人身份和数据的真实性,主要通过对称算法实现。
参考文献:
个人信息泄露论文范文第5篇
论文关键词:特殊身份;过失犯罪;内幕信息
根据刑法第180条的规定,所谓“内幕交易、泄露内幕信息罪,就是指证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员,在涉及证券的发行、交易或者其他对证券的价格有重大影响的信息尚未公开前,买入或者卖出泫证券,或者泄露浚信息,情节严重的行为。有关“内幕交易、泄露内幕信息罪”,国内已有已有部分学者进行了相关研究,笔者现就该罪的几个问题谈一谈自己的粗浅看法,以求教于同仁。
一、关于犯罪主体——是特殊主体还是一般主体
有学者认为,内幕交易、泄露内幕信息罪的主体属特殊主体,即证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员,具体来说包括两个方面的人员,一方面是证券交易内幕信息的知情人员,即内幕人员;另一方面是内幕知情人员之外的通过各种非法途径获取证券交易内幕信息的人员,即非内幕人员。粗看刑法第180条第1款的规定,内幕交易、泄露内幕信息罪的主体似乎是“特殊主体”只有“内幕知情人员”和“非法获取内幕信息的人员”才构成该罪。其实不然,我们只要仔细分析刑法中“特殊主体的内涵与外廷就会发现,“非法获取证券交易内幕信息的人员”并不是刑法意义上的“特殊主体”。
在刑法理论中,以主体是否要求以特定身份为要件,犯罪主体可以分为一般主体与特殊主体;刑法规定以特殊身份作为要件的主体,称为特殊主体。判断某一犯罪构成的主体是否为“特殊主体”,其关键之处即在于是否要求犯罪主体必须具备“特定身份”。何为“特定身份”?正如某些学者所指出的,刑法学所研究的“特定身份”就是指对决定刑事责任存在与否或影响刑事责任程度有意义的身份。这种身份既包括法律赋予的某种特定资格,也包括业务上的某种特定资格,还包括基于特殊事实而发生的其他特定关系。大致可以归纳为以下几种类型:①具有特定职务的人,如公务人员和军人;②从事特定职业的人,如医生;③具有特定法律地位的人,如刑事诉讼活动中的证人、鉴定人、记录入、翻译人;④具有特定人身关系的人,如家庭关系中的父亲、母亲、儿子等;被逮捕关押的犯罪分子。
然而,“非法获取证券交易内幕信息的人员”并不具有任何刑法意义上的特殊身份”某些学者之所以将“非法获取证券交易内幕信息的人员”视作“特殊主体”,其理由可能在于:一般人没有掌握证券交易内幕信息,当然也就不可能去实施内幕交易或泄露内幕信息;只有具备特殊身份即“非法获取了证券交易内幕信息”的人(以及通过职权掌握了内幕信息的人即内幕人员)才具备实施上述犯罪行为的条件。
其实,稍加思索就会发现,“非法获取证券交易内幕信息”并不是犯罪主体方面的特征,而是犯罪客观方面的表现,因为,社会中的任何一个人都有可能去实施“非法获取证券交易内幕信息”的行为。刑法学中的“复杂危害行为”理论认为,某些犯罪存在复数实行行为(即两个或两个以上的实行行为)。具体到“内幕交易、泄露内幕信息罪”而言,笔者认为,非内幕人员构成该罪既遂),就必须同时具备“非法获取证券交易内幕信息”以及“内幕交易或泄露内幕信息”两个行为。也就是说,“非法获取证券交易内幕信息”只是内幕交易、泄露内幕信息罪客观方面所要求的两个实行行为中的一个,是犯罪一般主体(非内幕人员)所实施的全部犯罪行为的一部分(而且是整个犯罪行为中最先实施的那个部分)。因此。“非法获取证券交易内幕信息”是犯罪客观方面的表现,而不是犯罪主体方面的特征,即不能代表行为人的“特殊身份”。
如果将“非法获取证券交易内幕信息”作为犯罪主体特征(即特殊身份)予以认定,那么,在司法实践巾也会导致混乱,放纵犯罪。例如,某甲(非内幕人员)意闭实施内幕交易,采取非法手段获取了内幕信息,但是,还没有来得及买入或卖出证券,就被有关机关发现井及时制止。在这里,某甲的行为可能构成“内幕交易、泄露内幕信息罪(未遂)”,因为,某甲已经着手实施犯罪(非法获取证券交易内幕信息),未能得逞是出于其意志以外的原因造成的但是,“非法获取证券交易内幕信息”一旦从犯罪客观方面分离出去,并被理解为犯罪主体方面的特征(即“非法获取证券交易内幕信息”作为行为人的特殊身份予以认定),那么,行为人就只是符合了犯罪主体的特殊身份要求,而不能认定其实施了“犯罪行为”,当然也就不能追究行为人犯罪(未遂)的刑事责任,这显然是不妥当的。
因此,内幕交易、泄露内幕信息罪的犯罪主体应该是一般主体,而不是特殊主体。“非法获取证券交易内幕信息”是行为人实施的全部犯罪行为的一部分,而不是犯罪主体方面的特征。
二、关于犯罪主观方面——是否包括过失
内幕交易行为构成犯罪,其主观方面必须是故意,这基本上没有争议;但是,“过失”泄露内幕信息的行为是否构成犯罪,学界却有不同看法。例如,有学者认为,内幕交易罪的主观方面只能是直接故意,并且是以为自己或者他人牟取非法利益为目的;但泄露内幕信息罪的主观方面可以是故意。也可以是过失。
笔者认为,上述观点值得商榷,过失泄露证券交易内幕信息的行为不构成泄露内幕信息罪。
刑法第l5条第2款明确规定:“过失犯罪,法律有规定的才负刑事责任。”过失泄露国家秘密之所以构成犯罪,其根本原因就在于刑法第398条有明文规定。但足,我们不能简单地以此作类比,就认为“泄露内幕信息罪”的主观方面也包括“过失”。因为,刑法第180条并没有规定“过失”泄露证券交易内幕信息的行为构成犯罪。其他条款也没有相应的内容。因此,内幕交易、泄露内幕信息罪的主观方面只能是故意,不包括过失。
三、关于“内幕信息”的认定——信息公开的判断标准
刑法第180条第3款规定:“内幕信息的范围,依照法律、行政法规的规定确定。”国务院证券委员会干1993年9月2日的《禁止证券欺诈行为暂行办法第5条规定:“本办法所称内幕信息是指为内幕人员所知悉的、尚未公开的和可能影响证券市场价格的重大信息。”刑法第180条有关内幕交易罪的罪状也明确指出:“……在涉及证券的发行、交易或者其他对证券的价格有重大影响的信息尚未公开前,买入或者卖出该证券……”
从上述法律规定可以看出,“内幕信息”的认定,相关信息是否已经公开至关重要。然而,某些学者对“信息公开”的判断标准却存在误解,认为:“信息公开,应以市场消化了该消息为标准。知名度高的公司与一般公司的消息,市场消化的时间应当有所不同。至于多少时问可以认为足已经消化了公开的消息,则应由有关证券法规加以规定或由司法解释予以确定。”’在这里。“信息公开”的判断标准披人为地强加了“市场消化”这一要求,这显然是不妥的。因为,刑法只是禁止“信息尚未公开前”进行证券交易,并没有将此时间界限推延到“市场消化”之时。从罪刑法定的原则出发,在“信息公开”至“信息消化”这段时间进行交易,并不为我国刑法所禁止,即使棚关行政法规、行政规章以及其他非刑事法律有禁止性规定,也不能将此类禁止性规定理解为刑法意义上的禁止要求,并进而追究行为人的刑事责任。
我国刑法第180条以及禁止证券欺诈行为暂行办法》第5条关于“信息公开”的表述,“公开”一词不可能含有“市场消化”之含义。况且,“市场消化”的判断和认定在我国现行法律中也没有任何依据可循,其在刑事司法实践中无法贯彻执行。因此。证券交易的棚关信息一旦向社会公开,也就不成其为“内幕信息”,更不可能再出现“内幕交易”。
某些学者在分析案例时所主张的观点也与上述“市场消化”观点极为类似。“资产评估师楼某在为某上市公司进行资产评估的过程中,了解到该上市公司发生重大经营性亏损。在资产评估公开的当天,楼某迅速抛出所持该公司股票2万股,及时收回了投入的资金。”对此案件,某些学者认为:“在我国,有关法规主要是从时间、证券种类等方面作出硬性规定,从而界定出有关内幕人员交易行为的正当性、合法性与否。我国股票发行与交易管理暂行条例》规定,‘为上市公司出具审计报告、资产评估报告、法律意见书等文件的有关专业人员。在其审计报告、资产评估报告、法律意见书等文件成为公开信息前,不得购买该公司的股票;成为公开信息后的5个工作日内,也不得购买该公司的股票。’
