摘要：近年来信息技术发展日新月异，并已融入每个人的衣食住行和工作。社交通讯、出行导航、购物、娱乐音影、新闻阅读等软件应用无时无刻不在对用户个人信息进行处理。同时，个人信息数据处理的流程较多，传播具有隐蔽和复杂等特性，这为不法分子非法使用和贩卖个人信息提供了便利条件。本文通过对我国个人信息安全现状及个人信息安全的主要威胁进行分析，从个人信息控制者的角度，分析造成个人信息安全问题的根本原因，结合当前主流网络安全技术和相关标准，对网络环境下个人信息保护策略进行研究，并提出一些保护用户个人信息安全的策略。

关键词：个人信息；个人信息控制者；个人信息保护策略

最近几年不断发生利用个人信息侵害公民人身财产安全事件，一系列因个人信息泄露导致的网络电信诈骗案件发生后，全社会的关注再次聚焦于个人信息安全。个人信息安全保护形势不容乐观。网络环境下个人信息在收集、传输、存储、使用、销毁等信息处理环节中，个人信息控制者占据着主导地位，应当担负个人信息安全保护的责任，制定个人信息保护策略，采取必要措施对个人信息进行保护，最大限度地保障社会公共利益和个人的合法权益。

1我国个人信息安全现状

1.1个人信息泄露问题严重

此前，中国青年政治学院互联网法治研究中心与封面智库联合撰写《中国个人信息安全和隐私保护报告》，该报告是基于1048575份关于个人信息保护情况的问卷调查反馈的信息。《报告》披露，认为个人信息泄露问题严重的被调研者占比高达72%；每天收到垃圾短信2条以上的被调研者占比26%，近一个月每天收到骚扰电话2个以上的被调研者占比20%；曾接到过陌生电话且知道自己详细个人信息的被调研者高达81%；因网页搜索、浏览后被特定推销广告长期骚扰的被调研者占比达53%；电子信箱、QQ等通讯软件、游戏等账号密码曾经被盗的调研者占比达40%。

1.2贩卖个人信息已成黑色产业

央视记者曾披露，贩卖简历信息已经形成了黑色产业。很多人接到招聘类骚扰电话前都曾在招聘网站上传过简历。招聘网站将公民的个人简历信息通过社交软件进行贩卖。目前在社交平台等贩卖集中地可购买到的个人信息主要有：物流单据信息、个人征信报告信息、定位信息、学籍档案信息等几大类，各类不同价值的信息均有明确价码。

1.3公民个人信息安全关注度高且普遍担忧

2020年全国多家知名网络安全行业协会和网络安全相关民间组织联合发起本年度全国网民网络安全满意度调查，调查结果显示超过八成的被调查者对于侵犯个人信息的关注度极高，近半的被调查者认为自己的个人信息遭遇过侵害。

2网络环境下个人信息安全的主要威胁

通过中国裁判文书网检索2016年1月1日至2020年12月31日间侵犯公民个人信息罪的刑事案件，共检索到判决书7574篇，通过对该类判决书分析，发现网络环境下个人信息安全的主要威胁是黑客窃取和个人信息控制者内部泄露。

2.1黑客窃取

个人信息资源是一项无形资产，对个人信息资源收集、整理、加工、分析、开发和利用能带来经济效益。在经济利益的驱使下，黑客通过网络攻击、病毒等手段窃取个人信息后进行贩卖的情况时有发生。从对交通、电商、高校、大型国企、政府机构等重点行业机构遭受网络黑客入侵的监测记录数据看，黑客入侵重要信息系统窃取个人信息的情况逐年递增，攻击技术也越来越多样化。黑客窃取已成为影响个人信息安全的一项主要因素。

2.2个人信息控制者内部泄露

个人信息控制者在取得公民个人信息数据之后，予以非法利用的情况时有发生。侵犯公民个人信息罪的刑事案件中，被告人在工作过程中获取到公民个人信息，然后进行售卖等违法处置的情况非常常见。获取个人信息的被告人主要有利用职务之便的公职人员和利用工作便利能接触到公民个人信息的服务行业人员（如酒店服务员、房屋中介、电商客服等）。

3网络环境下造成个人信息安全问题的根本原因

对近年来个人信息安全事件分析发现，网络环境下造成个人信息安全问题的原因是多方面的，从个人信息控制者角度分析，客观原因是个人信息数据生命周期长，保护难度大，主观原因是涉及个人信息的信息系统（以下简称信息系统）自身脆弱性。

3.1个人信息数据生命周期长

个人信息数据生命周期包括个人信息数据采集、保存、传递、使用、销毁等处理的整个过程。采集是合法获取个人信息（包括姓名、身份证、住址、职业、学历、行程信息等）的过程；保存是个人信息数据在信息系统内保存的过程；传递是个人信息数据在网络上传递的过程；使用是对个人信息数据进行加工处理、展示、转让等操作过程；销毁是对个人信息数据进行删除、销毁的过程。个人信息数据生命周期的各环节，除信息收集外，每个环节都可能造成个人信息数据泄漏，因此个人信息数据保护的难度较大。

3.2信息系统自身脆弱性

信息系统自身脆弱性使得系统无法抵御黑客窃取、个人信息控制者内部泄露等威胁，个人信息数据泄露的可能性增大。信息系统自身脆弱性主要体现在信息系统的技术防护体系不完善和个人信息管理体系不完善两方面。

4网络环境下个人信息控制者对用户个人信息保护策略

面对内外部的安全威胁，网络环境下个人信息控制者保护用户个人信息安全的核心思路是：建立信息系统脆弱性评估机制，及时发现信息系统在技术体系和管理体系方面的脆弱性；建立信息系统的技术防护体系，消除或降低系统自身技术方面的脆弱性；建立信息系统的管理体系，消除或降低系统自身管理方面的脆弱性。

4.1建立信息系统脆弱性评估机制

信息系统脆弱性评估机制的目标是评估威胁源利用信息系统脆弱性后发生安全事件的可能性，以及产生的后果的严重程度，并结合资产的重要性来判断信息系统的安全风险。并确定安全风险的应对策略。为建立技术防护体系和管理体系提供依据。信息系统脆弱性评估要依据相关法律法规和技术标准并结合最新信息系统漏洞发现技术开展，可通过个人信息安全风险评估、网络安全等级保护测评、漏洞扫描、渗透测试、软件代码审计等方式进行。

4.2建立信息系统的技术防护体系

信息系统的技术防护体系的目标是建立统一的安全策略，抵御来自外部拥有较为丰富资源、有组织的团体的威胁源发起的入侵攻击、重大自然灾难灾害，保障个人信息数据不被窃取、篡改和删除。建立信息系统的技术防护体系包括保障物理环境安全、网络通道安全、网络边界安全、计算节点安全几个方面。

（1）保障物理环境安全需要建设符合相关要求的机房，保障机房具备物理访问控制、防盗窃和破坏、防雷、防火、防水和防潮、防静电等基本能力，防止未授权人员信息系统关键设备导致个人信息数据泄露，防止因自然灾害导致个人信息数据丢失。

（2）保障网络通道安全需要建立完善的网络结构，合理划分网络区域，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。同时采用密码技术建立安全的通信传输通道，在网络传输通道建立第一道屏障，使个人信息数据在传输过程中不被窃取。

（3）保障网络边界安全需要建立较完善的网络边界完整性措施、网络层访问控制措施、网络层入侵防范措施、网络层恶意代码防范措施，在网络边界建立第二道屏障，使系统能够抵御来自外部的入侵行为。

（4）保障计算节点安全需要建立身份鉴别措施、设备及应用层访问控制措施、设备及应用层入侵防范措施、设备及应用层恶意代码防范措施、数据备份恢复措施、个人信息数据采集、保存和使用保护措施，在计算节点建立第三道屏障，使个人信息数据在采集、保存、使用过程中不泄露。

4.3建立信息系统的管理体系

建立信息系统的管理体系的目标是建立完善的管理制度并保证管理制度能够有效执行。建立信息系统的管理体系包括管理制度体系、机构设计、人员管理、信息系统建设期管理、信息系统运维期管理。

（1）管理制度体系需要制定个人信息安全保护工作的方针策略；建立涵盖个人信息管理活动（个人信息数据采集、传递、保存、使用、销毁等）中的管理制度和操作规范；形成由记录表单、操作规范、管理制度、安全方针策略等构成的管理制度体系。

（2）机构设计需要明确个人信息安全管理活动的责任部门和岗位，定义各岗位职责，建立个人信息数据管理流程授权和审批机制，建立管理制度执行情况审核和检查机制。

（3）人员管理需要规范个人信息保护关键人员的聘用、离职管理和个人信息保护意识培训考核。

（4）信息系统建设期管理需要规范个人信息安全保护方案设计、个人信息安全产品采购和使用、涉及个人信息的应用软件开发、测试验收、供应链安全管理。

（5）信息系统运维期管理需要规范机房环境管理、个人信息资产管理、个人信息数据介质管理、个人信息设备维护管理、信息系统漏洞和风险管理、网络恶意代码防范管理、系统密码管理、系统变更管理、个人信息数据备份与恢复管理、个人信息安全事件处置、个人信息安全事件应急预案管理、信息系统外包运维管理等。

5结束语

个人信息保护关系每个人的衣食住行和工作，一旦个人信息被恶意人员非法使用，可能导致个人人身、财产安全受到威胁或遭遇歧视等不公正待遇。个人信息控制者应当履行法定义务，保障用户个人信息安全。建议从建立信息系统脆弱性评估机制、建立信息系统的技术防护体系、建立信息系统的管理体系三个方面保护用户个人信息安全。

参考文献：

[1]张金年.我国大数据时代个人信息研究现状与热点分析[J].图书情报导刊，2020（4）.

[2]王端瑞.大数据时代我国个人信息的民法保护研究[J].西北民族大学学报，2020.

[3]栗倩.大数据时代个人信息安全问题研究[J].法制与社会，2018．

[4]王利民.数据共享与个人信息保护[J].现代法学，2019.

[5]中国个人信息安全和隐私保护报告[R].

[6]GB/T35273-2005.信息安全技术个人信息安全规范[S].

[7]JR/T0171-2020.个人金融信息保护技术规范[S].

[8]中华人民共和国个人信息保护法（草案）[Z].

作者：李康   单位：云南南天电子信息产业股份有限公司信息安全测评中心