如何保护个人信息安全

2025-02-11

如何保护个人信息安全（精选12篇）

1.如何保护个人信息安全篇一

探析网络个人信息安全

摘要：网络的普及，可以使人们更快捷地共事信息和利用信息，但是，随之而来的网络个人信息安全问题，越来越引起人们的担忧和重视，探析了网络个人信息安全的现状，在此基础上，提出了解决此问题的法律和技术措施。

关键词：网络;个人信息安全;信息窃取;“地下经济” 1 情况分析

“信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等，以及由此带来的风险。具体的表现有：窃取商业机密;泄漏商业机密;篡改交易信息，破坏信息的真实性和完整性;接收或发送虚假信息，破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。”

目前，一个突出问题是网络上个人信息的丢失和被非法窃取。2009年3月15日，央视315晚会曝光了海量信息科技网盗窃个人信息的实录，给国人极大震惊。“海量信息科技网，全国各地的车主信息，各大银行用户数据，甚至股民信息等等，这个网站一应俱全，而且价格也极其低廉。我们仅仅花了100元就买到了1000条各种各样的信息，上面详细记录了姓名、手机号码、身份证号码等等，应有尽有。如果说上面这些信息你觉得还不够全面，接下来的这个木马程序一定会让你心惊肉跳，种了这种木马后，电脑会在你毫不知情的情况下在网上随意任人摆布。”这个事件典型的反映在信息化时代高速发

展的今天，个人信息安全问题的解决提上日程已是刻不容缓。

其实，在2007年12月17日的《瞭望新闻周刊》杂志的热点观察上，就发表了一篇题为《解密网络黑色产业链》的文章，指出“互联网的„地下经济‟已经组织化、规模化、公开化，制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，分工明确。形成了一个非常完善的流水性作业的程序。病毒制售传产业链上的每一环都有不同的牟利方式。据不完全统计，„灰鸽子‟病毒程序直接售卖价值就达2000万元以上，用于窃取账号等的幕后黑色利益可想而知。”

随着网上交易和电子商务的发展，个人信息网上流通日益频繁，加上“产业化的一个明显标志是病毒制造者从单纯的炫耀技术，转变为以获利为目的。前者希望病毒尽量被更多人知道，而后者希望最大程度地隐蔽以更多地获利”，而且，目前国内对于这方面并无专门的法律予以裁制，因此，网络上个人信息安全问题已经日益凸显。2 应对措施 2.1 法律措施

据了解，目前的《计算机信息网络国际联网安全保护管理办法》中规定，制造和传播病毒是违法的，但是对于木马、黑客程序等并没有清晰的界定，这也是„灰鸽子‟等木马程序制造者敢于利用网络公开叫卖的根本原因。此外，目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。黄澄清说，面对黑色病毒产业链，必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全，建立网络安全国家应急体系，加大对网络安全领域犯罪的打击，完善立法。

从个人来说，很多网络个人信息安全问题的产生，一方面是利益的驱动，但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁，并且被侵权者也不能够借助法律的武器有效的保护自己的利益，这就更加助长了侵权行为的发生。从我国经济发展趋势来说，经济发展和信息发展联系愈益紧密，必须加快法治建设水平，使之适应我国经济快速发展的需要。

在实践层面上：“一是要准确界定利用网络技术犯罪案件的管辖范围，这样有利于划清国家安全公安、检察、法院等单位的职责#打击违法犯罪!二是针对当前利用网络技术犯罪的独特特点和发展趋势，制定一套完整的法律，如制定《国家网络安全法》等，并在实践中加以完善!三是对各类利用电脑犯罪的立案标准，应有明确的司法解释。以便于基层安全、司法部门操作，保证查办工作的顺利进行!” 2.2 自我保护措施

防患于未然，自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输入个人信息才能登录的网址或完成操作时，我们输人的个人数据必须限于最小的范围，并且，妥善保管自己的口令、帐号密码，并不时修改。其次，谨慎注意该网站是否有针对个人数据保护的声明和措施，对那些可以匿名登录的网站要坚决匿名登录。最后，对于移动存储设备，因其传染病毒的可能性加大，因此，要选择相对比较保险的移动存储设备。如选用趋势维C片，它“价格更加便宜，更重要的趋势科技将独有的安全存储扫描引擎植入到u盘中，而

不只是将杀毒软件向u盘简单复制。也正因为此，趋势维C片具备个人防火墙，防间谍软件防网络欺诈。漏洞检查、垃圾邮件过滤、家长控制、专用网络控制、无线网络安全等其它所谓杀毒u盘产品所不具备的功能。” 2.3 技术保护措施 2.3.1 网络防火墙技术

防火墙主要是用来隔离内部网和外部网，对内部网的应用系统加以保护。目前的防火墙分为两大类：一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器，可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形成相关的报告。2.3.2 采用安全通信措施，保障个人数据的传输安全

为保证数据传输线路的安全，可将集中器和调制解调器放在受监视的地方，定期检测是否有搭线窃听、外连或破坏行为。通过路由选择控制来限制某些不安全通路。也可采用鉴别技术来鉴别通信方的实体身份和特权，常用的方法有报文鉴别，数字签名和终端识别。此外，还可以通过加密算法来实现数据的加密，例如美国数据加密标准DES和因特网免费提供的PGP系统。2.3.3 加强对用户的管理

在网上银行管理中，身份验证和访问授权是网上管理用户的基本

措施。口令、安全帐号和密码是最常用的验证，可以通过采用加长口令，使用较大字符集构造口令、限制用户键人口令次数及用户注册时间等方法来保证用户登录的安全性，或通过采用访问授权来控制或限制用户对资源的利用。2.3.4 加强对病毒的测控

网络个人信息主要是由病毒和木马进行窃取，病毒对计算机系统的危害最大，为防止计算机病毒和木马的危害，可以通过限制软盘的拷贝进入;采用集中式防病毒管理模式，对整个局域网中所有节点实行集中管理和控制，通过各种检测方法(特征码扫描、完整性检查、变形分析、推断分析等)检测病毒，自动进行特征码更新，实时清除病毒。参考文献：

田桂兰

《网络环境下个人信息安全问题及其保护》

沈建华

2007年1月召开的上海市政协十届五次会议《重视公共事务管理中个人数据保护》提案。

周汉华

《个人信息保护法(专家建议稿)及立法研究报告》陈飞、张新宝译

《个人数据保护：欧盟指令及成员国法律、经合组织指导方针》

张新宝

《中国个人数据保护立法的现状与展望》李泽旭

《谁让我们成为“透明人” 》

2.如何保护个人信息安全篇二

一、个人信息刑法保护的必要性

首先, 个人信息作为一项基本人权, 在刑法中个人拥有充分的支配权, 有效保护个人信息不被滥用是我国人权保护的重要方面; 其次, 个人信息也属于公民的财产权利, 在信息化时代, 个人信息是无形财产, 有些不法份子借用营销手段在网上公开销售个人信息进行, 使得个人的手机号码、住址信息、姓名等诸多信息遭到泄漏, 这是侵犯个人财产安全的行为, 因此有必要进行刑法控制; 再次, 个人信息属于个人因素, 在我国[2], 个人隐私权受法律保护, 虽然公民在网络上会发布自己的个人信息, 但是通常是加密的, 往往不愿意让过多人知道, 而有些不法人员利用网络盗取的方式将公民个人信息公布于网络, 可能导致公民声誉遭受影响, 这严重侵害了个人隐私; 最后, 个人信息安全是公民人身安全的保障, 如果遭到泄漏可能给公民造成财产损失甚至是人身危害, 比如某淘宝买家因为不满淘宝店主的商品, 评论上给予差评, 卖家在反复交涉无果后, 沿着买家提供的收获地址竟然直接进到买家家中, 将买家打伤。我国一直以来呼吁国家完善《个人信息保护法》, 虽然相关部门已经开始了立法工作, 但是短时间内台完善的《个人信息保护法》是不现实的, 面对当前我国个人信息经常被滥用的情况, 应从信息保障方面着手, 在刑事法律中明确侵犯个人信息的处罚措施, 用刑法的威严震慑不法份子, 保障公民个人信息的安全。

二、我国个人信息安全刑法保护现状

( 一) 主体范围有待进一步扩大

目前, 公民因为生活的需要常常会与一些机构建立联系, 个人信息提供是必要的环节, 有的单位因为汇集了大量公民信息, 比如房地产公司、物业公司、中介公司等, 这些主体将公民信息标价出售的情况也屡见不鲜, 常给个人信息主体造成诸多困扰, 比如, 房地产公司会向多家装修公司明码标价业主个人信息, 使得业主经常遭到装修公司的电话轰炸, 这些主体机构将公民个人信息出售或者未经过个人同意提供给他人的行为会给信息主体带来重大的危害[3]。然而目前刑法在对这些主体机构的违法打击上并没有具体完善相应的法律规范, 使得个人信息刑法保护的作用大大折扣。

( 二) 犯罪对象有待进一步明确

个人信息违法范围与定义不明确, 势必会对司法实践造成影响, 在实际认定过程中经常会出现诸多障碍, 需要注意的是, 个人信息与个人隐私在概念界定上有所区别, 个人信息在广义上的概念是指个人生活中涉及到的所有信息, 包括家庭住址、姓名、电话号码、身高、年龄等一系列信息;而隐私的概念范围比个人信息要小的多, 通常是指个人“不愿透露或者不愿被窃取的信息”, 因此, 个人信息在刑法保护界定上是一个难点, 毕竟要想逐一对信息进行判定与保护是非常困难的, 至少目前刑法还没有对个人信息的保护制定具体的规范, 导致社会上出现大量出售或者非法窃取个人信息的行为不能得到刑法惩处[4]。另外, 由于个人信息是多种信息的集合, 目前刑法对于窃取个人信息的犯罪对象难以明确。

( 三) 犯罪情节程度的认定有待进一步规定

我国制定的《中华人民共和国个人信息保护法 ( 草案) 》中对于个人信息犯罪情节认定上只有达到“情节严重”才被认为构成犯罪行为, 但是至今为止, 相关司法仍然没有出台具体的“情节严重”判定标准, 这给刑法执行带来一定程度的困难, 笔者认为, 在个人信息犯罪情节严重的判定上, 必须从以下几个方面进行设定[5]: 1、出售或者未经当事人允许非法提供个人信息的数量是否巨大, 次数是否较多; 2、涉及的个人信息主体范围是否庞大, 非法获利数目是否巨大;3、是否对个人信息主体造成严重的生活困扰以及人身财产安全; 4、是否危害到国家及社会的安定和谐。在这几个方面的界定上, 当前的司法仍需进一步完善。

三、个人信息刑法保护完善建议

( 一) 建议扩大刑法的主体范围

笔者认为, 在个人信息犯罪主体的认定上应该逐渐扩大认定范围, 因此, 为了确保司法实践中的合理理解与适用, 有必要对犯罪主体机构进行明确的法律解释。原因在于, 一方面, 随着信息时代的快速发展, 个人信息搜索变得越来越简单, 国家机关、金融机构、教育机构、银行、医院等主体掌握大量的个人信息, 他们实施侵犯个人信息的可能性更大, 加上现代企业掌握公民个人信息越来越简单, 比如各种办理会员制的机构、美容院、股票交易所、网站等都能汇集大量的个人信息, 如果上述这些单位将个人信息非法出售或者非法提供给他人, 造成的实际危害并不低于侵权行为。因此, 在刑法主体范围界定上应该将能够收集公民信息的主体纳入到犯罪主体认定当中, 从而更好的保护公民的个人信息。另一方面, 从各国立法上来看, 多数国家并不将国家公共部门与社会私营部门加以区分, 在犯罪认定上只是强调对犯罪动机与信息来源进行界定, 很少对个人岗位及所属领域进行划分, 这不仅保证法律的绝对公平, 而且对公民的个人信息安全进行有效保护。例如, 欧盟指令、欧洲理事协会以及其他欧洲国家在相关法律规定上都统一了对个人信息的相关规定, 因此, 我国在对个人信息的主体范围界定上也要从主体实施犯罪的严重性上着手, 给予相应的刑法制裁, 只有这样, 才能符合社会发展的需要。

( 二) 建议对刑法保护的个人信息进行明确界定

个人信息所指的范围比较宽泛, 涉及面较广, 并且个人信息安全内容因人而异, 同一项个人信息或许有的人并不在乎, 有的人却被当成个人隐私, 不容窃取, 因此, 在立法上对个人信息边界界定上会有一定的困难。笔者认为, 个人信息的边界界定能够影响罪与非罪的判定与裁决, 在个人信息刑法界定上应从两个方面着手: 第一, 明确个人信息的立法目的。立法者将个人信息犯罪划归到刑法范畴, 进而通过保护的权益推断出立法者的价值取向, 并以此判断在《刑法》中界定“个人信息”保护范围以及犯罪对象的认定。第二, 对于一些对公民隐私以及个人安全影响较小的个人信息, 可以利用民事或者行政手段进行干预或者规范, 而对于一些涉及金融诈骗、危害公民财产及人身安全的个人信息侵犯事件应该纳入到刑法的规制范围中。因此, 在个人信息范围的界定上刑法应与民事、行政法律有所不同, 但是又不能两者之间又不能完全独立, 个人信息的刑法认定是以民事及行政认定为基础的, 通过刑法、民事与行政手段能够形成完整严密的个人信息安全保护圈, 有效打击犯罪行为, 因此, 笔者认为, 刑法上对个人信息的界定具体应该为:任何单独或者与其他信息向结合能够确定信息主体的真实信息或者涉及个人隐私的信息, 具体包括[6]: 年龄、姓名、住址、出生日期、身份证号码等均应列为刑法保护的范围。

( 三) 建议完善“情节严重”的认定规定

刑法属于国家最严厉的法律, 个人信息犯罪“情节严重”是构成犯罪的必要条件, 如何认定情节是否严重, 是刑法有效保障个人信息的关键, 在具体实践中, 实际上很难判断犯罪主体是否达到情节严重的程度, 同一种信息泄漏或者非法提供个人信息的行为对于不同的人会产生不同的影响。因此, 在法律上要想区别情节的严重程度, 仅仅依靠追求形究责任是不现实的, 对此, 笔者认为, 对于个人信息犯罪情节严重的判定中, 主要是一个司法裁量的过程, 具体可以通过判断违法者主观恶意深浅, 违法者是否对信息主体造成严重的影响, 影响是否恶劣等方面。侵犯个人信息安全“情节严重”考量因素包括: 单位或者个人是否恶意出售或者多次提供个人信息, 是否存在窃取、提供、出售个人信息的网络系统, 窃取、提供、出售的个人信息是否给信息主体带来严重的财产及人身危害等。并且, 在具体实践中, 为了便于司法的统一认定, 可以通过法律解释的方式进一步完善。

四、结语

综上所述, 要想使刑法最大程度的保护个人信息安全, 建立一个有效、全面、公正的法律体系是必不可少的。受当前我国个人信息法空缺的影响, 刑法实际上只能发挥最后的保障功能, 这与日益发展的社会下公民个人信息泄漏加快现状完全不符, 因而全面完善个人信息保护的法律体系才是个人信息安全的保障。

摘要：在互联网快速发展的今天, 个人信息安全逐渐被人们所重视, 对人们的生活产生重要影响, 在个人信息安全保障方面, 为了提高信息安全程度, 有必要将侵犯公民个人信息纳入到刑法处理的范围, 利用刑法的权威性来约束公民的行为以及保证公民个人信息安全。本文主要分析了个人信息刑法保护的必要性以及个人信息保护现状, 探讨实现个人信息安全刑法保护的有效对策。

关键词：个人信息,刑法保护,完善

参考文献

[1]翁孙哲.个人信息的刑法保护探析[J].犯罪研究, 2012 (01) :32-39.

[2]蔡文霞, 龚红卫.论个人信息的刑法保护[J].江苏广播电视大学学报, 2010 (01) :87-91.

[3]梁小龙.论公民个人信息的刑法保护[J].法制与社会, 2010 (17) :24-25.

[4]王格.论我国个人信息权的刑法保护[J].河南司法警官职业学院学报, 2010 (02) :83-85.

[5]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报, 2014 (01) :117-127.

3.个人信息的网络安全保护篇三

确系统的安全隐患

通常，这类系统是由内网和外网构成的，内网构造了一个完整的业务处理环境，运行和处理个人信息核心业务；外网则为利用互联网登录的用户提供了联接、使用本系统的服务窗口。由于互联网使用的自由性、广泛性以及黑客攻击的频繁性，组织内部注③保管的个人信息随时面临着非正常用户的非授权访问。信息被篡改、泄漏甚至丢失等安全威胁，要达到系统安全、可靠、稳定的目标，首先应通过风险分析明确系统的安全隐患，为最终规划系统的网络安全解决方案提供可靠的依据。

由于这类系统构造的庞大性和复杂性，为便于分析，我们一般采用系统工程的方法将系统划分为物理层、网络层、系统层、应用层和管理五个部分来进行分析，各部分存在的主要安全隐患是：

物理层安全隐患：物理层的安全隐患主要是网络周边环境和物理特性导致的网络、线路和设备的不可用(如设备被盗、被毁坏、意外故障等)，进而造成网络系统的瘫痪，它是网络安全的前提。

网络层安全隐患：网络层的安全隐患主要是数据传输中的风险(如：信息的泄漏、丢失、伪造、篡改等攻击)、网络边界风险、服务器安全风险、用户安全风险等。

系统层安全隐患：系统层的安全隐患主要是来自于信息系统采用的操作系统、数据库及相关商用产品的安全漏洞和病毒威胁。

应用层安全隐患：应用层的安全隐患主要是身份认证漏洞和非授权访问，提供信息数据服务的服务器因缺乏安全保护，可能会被非法用户直接访问网络资源，造成信息外泄。

管理的安全隐患：管理是网络安全中最重要的一环，管理制度不健全或缺乏可操作性、各岗位责权不明或管理混乱等都可能造成安全隐患，这些缺陷使得系统在受到安全威胁的情况下不能实时地检测、监控、报告、预警，并可能导致事故发生后，缺乏对系统运行的可控性和可审计性。

建系统的安全保障体系

从个人信息安全隐患的分析中可以看出：系统面临着多层次、多形态的安全隐患，解决系统的安全问题，只依靠某个单一的或孤立的安全技术手段是远远不够的，不仅需要有完善的技术和可靠的设备做支撑，同样需要有与之配套的安全管理制度作保障。因此，组织内部应对系统的过程、策略、标准、监督、法规、技术进行综合后，构建一套完整可行的系统安全保障体系，如下图所示的《系统安全保障体系框架》。

“基础安全服务设施”、“内部安全管理保障机制”、“安全技术支撑平台”、“紧急事件处理与恢复机制”等组成了《系统安全保障体系框架》，各组成部分是相互制约的。《系统安全保障体系框架》表明：完善的“内部安全管理保障机制”是实现系统安全之根本；而“基础安全服务设施”、“安全技术支撑平台”是相互依赖的，只有实现了下层的安全，才能在真正意义上保证上层的安全；“紧急事件处理与恢复机制”是当系统一旦发生紧急事件时，为保障系统尽快恢复运行并将事故损失降到最低的保障预案。

划系统的安全保护策略

从以上的分析中我们知道，控制、管理网络系统和应用操作过程是实现系统安全的重要途径，任何组织内部的系统安全都是制度和技术的结合，要保证系统的个人信息安全，必须根据安全风险分析的结果，从安全管理、安全技术两大方面规划系统的安全保护策略，以实现个人信息在网络环境下的可靠性、保密性、完整性、可用性、可核查性和可控性。

(一)安全管理

安全管理制度是各类安全保障措施的前提，也是其它安全保障措施实施的基础。安全管理保障体系是以文档化的方式管理系统中各种角色的活动，以组织内部的政策和制度为准则，规范操作流程，以工作日志等手段记录和审计操作过程。它主要包括：

1组织管理

应识别组织内部的安全风险，制定对应的安全制度，明确信息安全事故报告流程，确保使用持续有效的方法管理信息安全事故，建立信息安全监查工作制度，发现问题及时改进。

2员工管理

员工是系统安全的操作者，因而是系统安全的管理对象，要提高员工的信息安全意识，落实安全管理责任，责任分离以减少潜在的损失，定期进行信息安全知识培训。

(二)安全技术

安全技术是通过在系统中正确地部署软、硬件，利用各类安全产品和技术手段达到无偏差地实现既定的安全策略和安全目标，为整个网络构筑起一个真实的安全环境。这里重点介绍：

1物理安全要点

物理安全是保证系统所涉及场所的环境、设备、线路的实体安全，防止基础设施的非法使用或遭受破坏。应建立完善的电力保障系统及适宜的温度、湿度等物理运行环境；具有良好的防雷击、抗电磁干扰等基本保障设施；具备抵御地震、洪涝灾害等抗自然灾害能力；等等。

重要工作区域应设置物理安全控制区，建立视频监控系统和防盗设施，鉴别进入人员的身份并登记在案，将准入重要工作区域的人员限制在可监控的范围内。

2主要技术手段

由于网络安全存在很多问题，抵御网络攻击，防止信息泄密，预防信息破坏，控制用户访问范围和权限是规划网络安全的重要内容，通常采用的主要技术手段是：

(1)身份认证，识别技术

身份认证，识别技术是通过物理级、网络级、系统级等多种手段，对网络中用户的访问权限进行控制，是判断和确认用户真实身份的重要环节。它通过识别用户的身份决定是否执行其提出的访问要求，可信的身份服务为验证提供准确的用户身份确认信息，没有可信的身份验证服务，防火墙就可能根据伪造的合法用户身份做出错误的判断。

(2)网络反病毒及安全漏洞扫描技术

反病毒及安全漏洞扫描技术是防御网络病毒和恶意代码侵害的主要手段，反病毒技术可通过预防、查杀等技术手段实现对侵入计算机网络系统的病毒实施安全地防御；而安全漏洞扫描技术则是通过对系统的工作状态进行检测、扫描并加以分析，找出可能威胁系统的异常系统配置，并及时做出反应。

(3)访问控制技术

访问控制技术可用于防止非法用户的侵入并控制合法用户对系统资源的非法使用行为，阻断攻击者从任何一个终端利用现有的大量攻击工具发起对主机的攻击、控制并进行非法操作或修改数据。

(4)防火墙技术

防火墙是保护网络系统不受另一个网络攻击的网络设备，它能够隔离安全区域，根据制定的安全策略控制进出网络的信息流向和信息包，提供使用和流量的日志和审计，隐藏内部IP地址及网络结构的细节，防止内部信息的外泄。

(5)入侵检测技术

入侵检测是能够监视网络或网络设备的网络资料传输行为的网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为，完成对网络攻击的决策分析，可分为实时入侵检测和事后入侵检测。

(6)设备／数据备份技术

设备／数据备份技术是保证系统持续运行的一项重要技术。设备备份是在网络构建时，对重要的连接点考虑链路及设备的冗余和备份，确保网络的高可用性；数据备份是对重要信息进行备份，并提供恢复重要信息的功能。

(7)数据加密技术

数据加密技术是网络技术安全的基础，是用加密密约和加密函数的方式伪装需要保护的数据，使网络设备、操作系统、数据库系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据采用加密的方式实现存储和传输过程中的完整性、保密性和安全性。

(8)日志、审计技术

日志、审计技术可用于检测系统重要的安全相关事件，包括重要的用户行为和重要系统功能的执行等操作，经对检测数据分析后，尽早地发现可疑事件或行为，给出报警或对抗措施。(注意：审计记录应受到保护，避免受到未预期的删除、修改或覆盖等。)

处理个人信息的公共服务系统，与公民的切身利益息息相关，选择最优的网络安全解决方案，是保证个人信息安全、防止公民隐私泄漏的关键环节。因此，个人信息管理者在系统的建设初期，应根据所建设系统的应用环境、网络结构和业务需求等特点，从可能导致个人信息安全的风险隐患分析人手，面向需求，构建一个能够规避系统风险的、符合本部门业务需要的个人信息安全之网络解决方案。

注①系统：本文泛指公共事业部门拥有的利用互联网提供用户服务(含用户个人信息)的信息服务系统。

注②个人信息管理者：本文指“获个人信息主体授权，基于特定、明确、合法目的，管理个人信息的机关、企业、事业、社会团体等组织及个人”。参见《个人信息保护规范》(DB21／T1628.1-2012)

4.如何保护个人信息安全篇四

2.1.1数据本身在传播中具有动态、交互、连续性。大数据时代信息和数据在传播的过程中是动态化、碎片化的，而有着这样特性的数据在网络中更加容易被捕捉和搜索，这就加大了个人信息被泄露的风险。大数据时代用户的数据具有紧密的交互性，拥有庞大数据量的计算机可以依据用户之间的数据的交互分析出两者之间的网络关系。所以，一旦某人信息泄露，就有可能因蛛丝马迹而泄露其好友的个人信息。

2.1.2相关企业过度寻求大数据背后的商业利益。互联网能够及时地追踪到个体的个人信息，其手段之一就是运用浏览器里的浏览记录和 Cookies。如：在“3·15晚会”曝光有关企业对用户的Cookies信息进行无告知收集，通过对数据的分析处理，辨别每一个用户的社会阶层、职业、家庭收入等。更有被利益驱使的企业通过不正当的渠道变卖用户的个人信息，为自己赢取利润。

2.2内在原因

5.如何保护个人信息安全篇五

在使用电脑过程中，系统需要时会发送用户的输入信息等个人数据给相关的应用，这不禁让用户担忧个人隐私安全。Win10在保护用户隐私方面，做得比之前的系统更好，Win10能够清除设备发出的信息以保护个人隐私，

操作方法

1.按Win+I打开系统设置

2.选择隐私

3.点击语音、墨迹书写和键入

4.点击清除

6.个人金融信息保护宣传总结篇六

关于组织开展个人金融信息保护

宣传月活动总结

根据郑银发【2012】136号《关于组织河南省银行业金融机构开展个人金融信息保护宣传月活动的通知精神，我县联社及时传达通知精神，组织有关人员进行了学习，现将组织开展情况总结如下：

一、成立组织，进行分工

按照文件要求，我们成了了以联社财务主任为组长，各网点内部主任为成员的个人金融信息保护宣传领导小组，及时传达了通知精神，要求各营业网点，利用电子流动屏进行宣传，同时对有更会的网点利用更会时间设立宣传台、发放宣传单进行宣传。

二、宣传情况及取得的效果

通过自2012年6月15日至7月15日全辖宣传活动的开展，全辖共利用滚动电子屏宣传网点22个，设立宣传台15个，发放宣传单500份。通过宣传提升了银行业金融机构依法收集、使用和对外提供个人金融信息的意识和水平，进一步提高了广大金融工作者保护客户个人信息的职业素养，增强了广大群众维护个人金融隐私和合法权益的自觉性和主动性，创造稳定和谐的金融经营环境。

附件：宣传图片4张

7.如何保护个人信息安全篇七

关键词：大数据,个人信息,犯罪主体,刑法体系

0引言

随着云计算技术等新兴网络技术的迅猛发展, 数据量呈现出爆炸式增长的趋势, 大数据逐渐渗透到日常生活的方方面面, 这也意味着大数据时代已经到来。大数据因其数据量极大、速度较快、种类多样、价值密度低等特点, 所含信息量较高, 就个人信息保护而言, 传统的信息安全保护措施已经不能满足大数据时代信息安全保护的需要。据《中国网民权益保护调查报告 ( 2015) 》, 网民个人身份信息及个人网上活动信息受侵害极为严重, 高达78. 2% 的网民个人身份信息曾遭泄露, 导致垃圾信息泛滥、非法诈骗猖獗等严重问题。大数据时代下, 仅仅依靠民法、行政法对个人信息安全施以法律保护, 已不足以遏制违法犯罪行为。如何有效预防及打击危害公民个人信息安全的犯罪, 逐渐成为我国目前刑事立法的重要任务。

1大数据时代个人信息安全面临的问题

1. 1受侵害风险增大

当今社会网络极为发达, 日常生活中看似非常普遍的行为都会被“记录在案”, 每一次浏览网页, 查询相关信息等都会在网络上留下“印记”, 极易被其他个人或组织、机构获取。其他个人或相关机构对数据进行收集、筛选、分析、提炼, 从中获取相关信息为自己所用, 甚至会获知涉及他人隐私的信息, 如真实姓名、电话、家庭住址等, 并将这些以数据化的形式予以留存。无论这些信息是否在网络上公开, 是否以非法方式加以使用, 都已成为“达摩克利斯之剑”, 始终存在潜在的风险。

1. 2受侵害途径增多

《2015年第一季度网络诈骗犯罪数据研究报告》显示, 社交工具、电商网站、搜索引擎、分类信息及游戏网站是实施网络诈骗犯罪所使用的主要途径。恶意程序、钓鱼网站、诈骗短信、诈骗电话等网络违法犯罪手段屡禁不止, 个人信息泄露情况非常严重, 主要包括两个方面。

1) 个人非法获取他人信息。黑客会使用一些新型的手段非法获取他人信息, 最为常见的即为利用伪基站给手机用户发送诈骗短信, 诱使其登录钓鱼网站, 盗取他人相关信息, 包括姓名、身份证号、银行卡号等。有些犯罪人在实施诈骗犯罪时, 在对受害者个人信息十分了解的基础上, 有针对性地实施诈骗行为, 令人难以防范。

2) 商业机构泄露他人信息。较多公司及相关机构如快递公司、大型商场、教育培训机构、保险公司等, 需要登记详细个人信息, 以便于为用户提供服务。部分公司将用户信息予以出卖获取利润, 导致个人信息的泄露, 侵害客户的隐私权。

1. 3受侵害后果加重

首先, 公民个人信息的泄露会导致即使公民并未与这些商家有过接触, 也会接收到大量推广、营销类的垃圾短信及邮件, 生活受到了严重的干扰。其次, 公民个人信息的泄露会导致公民的有些信息被用于实现电信诈骗、虚假交易、信用卡套现等, 使公民财物遭到损失, 甚至会诱发敲诈勒索、绑架等侵害公民人身安全的刑事案件。犯罪分子在获知大量他人信息后, 筛选出对自己有利的信息, 以此确定犯罪目标, 并实施具体犯罪。公民个人信息一旦泄露, 会被反复倒卖、反复使用, 公民会受到多次骚扰, 公民的个人权利不断被侵害, 侵害隐私权的后果只会不断加重, 难以挽回。

2现行刑法对大数据时代个人信息安全的法律规制

刑法是我国保障人权、打击犯罪的基础性法律。由于公民个人信息安全的刑事案件频频发生, 如何控制侵害公民个人信息安全的犯罪成为刑法需要考虑的重要课题。2009年通过的《中华人民共和国刑法修正案 ( 七) 》首次构建起防范个人信息安全犯罪的基本框架, 填补法律空白; 2015年通过的《刑法修正案 ( 九) 》对其进行了细致的调整, 进一步完善了其基本体系。本文将以《刑法修正案 ( 九) 》为重点, 探讨我国现行刑法对个人信息犯罪的法律规制。

2. 1 《刑法修正案 ( 九) 》中针对侵害公民个人信息犯罪的具体规定

1) 扩大犯罪主体范围, 加重处罚力度。《刑法修正案 ( 九) 》实施之前, 我国刑法第253条规定, 出售、非法提供公民个人信息犯罪及非法获取公民个人信息犯罪两种罪名的犯罪主体仅限于国家机关、金融、医疗等单位及其工作人员, 即将其限定为特殊主体。这种限定虽然对非法获取公民个人信息的犯罪产生了一定的威慑作用, 但是司法实践中, 法律上的漏洞仍然存在。事实上, 侵犯公民个人信息的犯罪主体不应限于特殊主体, 日常生活中的网络账号注册、网上购物、办理会员卡等行为均有可能导致公民个人信息被侵犯。限定犯罪主体为特殊主体, 使得一些犯罪分子逍遥法外, 得不到应有的惩罚。《刑法修正案 ( 九) 》第十七条将其犯罪主体的范围进行了扩大, 规定一般主体及单位也可以成为本罪的犯罪主体, 应当依法追究刑事责任, 进一步扩大了侵犯公民个人信息犯罪的主体范围。此外, 特殊主体较一般主体而言拥有更多的资源及资金, 渠道多样, 更易获取公民个人信息, 《刑法修正案 ( 九) 》对特殊主体犯罪规定了从重处罚情节, 加重处罚力度, 有利于对其产生威慑力, 全面遏制泄露公民个人信息的行为, 预防侵害公民个人信息犯罪的发生。

2) 扩大犯罪对象范围, 完善法律体系。我国原刑法将出售、非法提供公民个人信息的犯罪限定在国家机关或金融、电信、交通、教育、医疗等领域, 而现实生活对公民个人信息的侵害不仅限于这些领域, 其他领域也存在大量此类行为, 也应当受到法律的规制。《刑法修正案 ( 九) 》使用“公民个人信息”一词, 不再将其限定于特定领域。《刑法修正案 ( 九) 》在扩大犯罪主体及犯罪对象的同时, 相应增加了对非法出售和提供公民个人信息行为的法律规定, 弥补了法律空白, 完善了规制侵害公民个人信息安全犯罪的法律体系。

2. 2现行刑法规定侵害公民个人信息犯罪存在的瓶颈

1) 相关条文设计有待修正。首先, 《刑法修正案 ( 九) 》将侵犯公民个人信息罪根据犯罪情节严重或特别严重, 分别规定了三年以下有期徒刑或拘役、三年以上七年以下有期徒刑, 并对附加刑予以规定。虽然这种刑罚设计正视了侵害公民个人信息犯罪的严重社会危害性, 但存在过于重视之嫌疑。对侵害公民个人信息犯罪的刑罚设计有些甚至高于一些危害公民人身权利的犯罪, 比如侮辱罪、诽谤罪、非法拘禁罪等, 刑罚配置过高, 存在权利失衡的隐患。其次, 《刑法修正案 ( 九) 》中的侵害公民个人信息犯罪的罪名设置较少, 现如今新型犯罪频发, 犯罪种类不断增多, 已有的罪名不仅规定较为松散, 而且不能涵盖需要被刑法所规制的犯罪行为, 即使设置了侵犯公民个人信息罪, 但是对何为“公民个人信息”的界定比较模糊, 存在一定的局限性。再次, 虽然《刑法修正案 ( 九) 》的条文使用了“情节严重”“情节特别严重”一词, 但是并未对何为情节严重或特别严重作出解释, 法律适用时存在障碍。

2) 刑事立法模式较为单一。国外个人信息犯罪立法模式主要有五种类型: 刑法典、单行刑法、附属刑法、刑法典与附属刑法相结合, 特别刑法与附属刑法相结合。我国目前采用的是刑法典的模式, 关于保护个人信息安全的刑法规定均存在于刑法典之中, 方式较为单一, 这种方式为司法适用提供了便利。此外, 通过定期颁布刑法修正案对即存的刑法进行修改, 可以使其符合时代发展的需要。但是, 过于频繁地修改刑法典会损害刑法权威, 降低刑法的公信力。虽说立法机关已经逐步将公民个人信息安全的保护置于重要地位, 但是新型犯罪层出不穷, 频繁修改刑法典, 颁布刑法修正案只能解一时之渴, 难以适应时代变化, 我国目前的刑法体系仍需完善。

3加强公民个人信息安全刑法保护的对策建议

3. 1明确相关概念, 细化量刑标准

罪刑法定原则作为我国刑法所遵循的基本原则, 要求实现犯罪和刑罚的法定化和明确化, 不论是定罪量刑, 都应当在法律中作出详备的明文规定, 以此为司法机关的定罪量刑构建一个合理合法的标准。在设立侵害公民个人信息的犯罪时, 首先应对相关概念予以界定, “公民”“个人信息”等概念, 均应当进行明确的界定。例如, 对“公民”概念在进行界定时, 应当区分其法律含义和社会含义, 侵犯“公民”个人信息的“公民”, 不仅包括中国国民, 还需要根据属地原则、属人原则等相关刑法的效力原则, 具体界定此处“公民”的适用范围。“公民个人信息”等概念也同样如此, 需要通过有关司法解释对其明确界定。其次, 应当细化量刑标准, 对“情节严重”“情节特别严重”应当进行明确规定, 便于法官行使自由裁量权。否则将会导致司法实践中问题频发。

3. 2改革立法模式, 完善刑法体系

我国目前关于个人信息安全的刑法保护仍是以刑法典相关条文的方式来规定, 条文设置较为松散, 条文规定较为单一。因此, 应当完善我国目前的刑法体系, 采用附属刑法与刑法典相结合的方式, 重视附属刑法的作用。如果不法分子实施了严重违反民商事法律、行政法的犯罪行为, 立法机关可以在民商法、行政法等非刑事法律中规定相应的罪状及应当施行的刑罚。现如今犯罪日益复杂化, 仅仅靠刑法典很难达到预防及惩罚犯罪、保障人权的目的。通过设立附属刑法, 可以根据大数据时代瞬息万变的社会现状对个人信息犯罪进行及时地规制, 对相关侵害公民个人信息的犯罪进行详细的规定, 明确相关概念的内涵与外延, 保证了刑法典的权威与公信力不会丧失。

参考文献

[1]陶雪娇, 胡晓峰, 刘洋.大数据研究综述[J].系统仿真学报, 2013 (S1) :142-146.

[2]胡爱军, 樊航.银行网络支付的潜在风险及防范[J].决策与信息 (中旬刊) , 2013 (4) :138-139.

8.启用两步验证保护个人信息安全篇八

1 开启两步验证功能

首先登录谷歌搜索的首页，通过右上角登录自己的谷歌账户，接下来点击页面右上角的用户名称。在弹出的对话框里面选择“隐私权”命令，点击左侧列表中的“安全性”命令后，在右侧窗口就可以看到“两步验证”的项目。点击旁边的“修改”命令后，在弹出页面的右侧点击“开始设置”按钮，这时会要求用户对自己的身份进行验证。谷歌可以采用“手机短信”和“手机应用”两种方式进行验证，这里我们就选择“使用短信”。

首先在手机输入框前面选择中国国旗，接着输入自己的手机号码信息（如图1）。然后选择验证码的发送方式，我们一般选择“短信（SMS）”就可以了。设置完成以后点击“发送验证码”按钮，稍等片刻就可以接收到验证码信息。接下来将收到的验证码信息填充到网页里面的“请输入验证码”输入框里面，点击“确定”按钮进行验证即可。当验证通过以后，会询问用户是否信任当前电脑。如果是自己常用的电脑，就选中网页里面的“信任此计算机”选项。如果当前电脑并不是自己常用的电脑，就不要选择“信任此计算机”选项。

设置完成以后点击“下一步”按钮，最后再点击“确认”按钮，就可以完成谷歌账户两步验证的启动操作。由于验证码信息无法在谷歌的一些客户端或者手机应用里面使用，所以谷歌会提示用户创建一个“应用专用密码”。点击提示框中的“创建密码”按钮，在弹出的网页中首先输入一个设备的识别名称，接着点击“生成密码”按钮，这样系统就会随机创建一个密码信息（如图2）。这个“应用专用密码”有些长，建议大家保存到文本文件里面。

2 选择备用验证方法

由于谷歌的两步验证主要是通过手机来完成的，这个时侯我们就需要考虑手机号的更换以及手机遗失等特殊情况下的处理方式。为此谷歌特别准备了三种方式供用户选择，分别是“备用手机”、“移动应用”和“可打印的备用验证码”，这里我推荐选择最后一种比较传统的验证方法。

首先点击“可打印的备用验证码”后的“显示备份验证码”链接，在弹出的窗口就可以看到十组验证码。将这十组验证码保存为文本文件，或者通过打印机打印出来随身携带。在需要验证码的时候从第一个开始使用，下一次就使用第二个验证码，以此类推，直到所有的验证码用完为止（如图3）。这一点看上去是不是和我们以前使用的银行口令卡非常相似呢！

3 如何使用两步验证

以后当我们在非信任的电脑登录谷歌账户的时候，系统就会自动启动两步验证的操作，向用户设置的手机号码发送一个验证码信息。同样只有在验证码信息通过确认以后，才可以完成整个谷歌账户的登录操作。如果是在非信任电脑的软件应用上登录，那么就需要输入前面创建的“应用专用密码”信息。用户启用“两步验证”之后，如果感觉太麻烦不好用，可以选择关闭两步验证。同样访问开启这项服务的网址，点击“停用两步验证”链接。在弹出的对话框里面选择“同时清除我的两步验证设置”选项，点击“停用”按钮后经过验证就可以关闭这项功能以及对应的设置。

9.个人信息刑法保护研究论文篇九

现代社会，由于计算机和网络的普及应用，信息的流动突破了时间、空间及数量的限制，个人信息的安全问题日益突出，刑法保护更发挥着不可替代的重要作用。

一、我国相关法律规定

（一）窃取、收买、非法提供信用卡信息罪

1997年《刑法》对个人信息的保护没有规定，随着现代技术对隐私的侵犯及人们对敏感信息保护的强烈要求，2005年《刑法第五修正案》在第177条增加了“窃取、收买、非法提供信用卡信息罪”：“窃取、收买或者非法提供他人信用卡信息资料的，处三年以下有期徒刑或者拘役，并处或者单处一万元以上十万元以下罚金；数量巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处二万元以上二十万元以下罚金。”

该规定将进行信用卡信息买卖的行为规定为刑法调整的行为，对运用网络进行此种活动之规制具有十分重要的意义。但这一规定无法结束日益严重的其他侵害个人信息的行为。随着办公自动化之发展，网络已经进入了各银行、邮局或政府机关等部门，尤其是公权力部门掌握着大量的个人信息，由于缺少法律禁性规定，买卖个人信息的活动十分猖獗，对公民的私生活安宁，甚至财产、人身带来巨大威胁。鉴于此，2009年出台了《刑法第七修正案》。

（二）出售、非法提供公民个人信息罪；非法获取公民个人信息罪

《刑法第七修正案》规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”网络的出现给搜集公民个人信息提供了极大的方便，很多信息咨询公司应运而生，其生态链大致如下：成立某信息公司；通过给金钱或关系向掌握公民信息的机构获取信息；通过网络进行买卖。此生态链的核心就是搜集与出卖信息，“搜集”这一环节基本不通过网络实现，主要是通过熟人关系或给予信息提供者一定的金钱回报，甚至通过信息转换的方式；“出卖”这一环节就大量浮现网络的身影，卖家与买家基本上是陌生人关系，他们通过网络获知双方供需信息，进而通过网络进行交易。信息的源头往往来自于有权收集个人资料的金融机构、国家权关等。

二、完善相关立法的建议

（一）规范法律语言、统一法律规定

虽然公民信用卡信息属于个人信息，但《刑法第五修正案》和《刑法第七修正案》仍有不同，无法合并。

首先，犯罪客体不一样，根据我国1994年《关于加强信用卡管理的若干规定》企事业单位可以申办信用卡，因此，《第五修正案》中的信用卡信息不仅指公民个人的信用卡信息还指企事业单位信用卡信息。并且“窃取、收买、非法提供信用卡信息罪”属于第三章第四节 “破坏金融管理秩序罪破坏金融管理秩序罪”，客体不仅是公民个人、企事业单位的合法权益，还是有序的金融管理秩序。

其次，侵犯信用卡信息犯罪是一般犯罪主体，如果是“银行或者其他金融机构的工作人员利用职务上的便利”从事违法行为，从重处罚。侵犯个人信息罪中的“非法提供公民个人信息罪”是特殊主体，非法获取公民信息罪才是一般主体。

最后，量型不同，“非法侵犯信用卡信息罪”与“非法侵犯公民个人信息罪”相比，信用卡信息直接关系到公民法人的财产安全和金融市场秩序，危害较大。

从以上可以看出《第五修正案》中的侵犯信用卡信息罪与《第七修正案》中的侵犯人民个人信息罪并不一样，但也有交叉，如果金融机构工作人员利用职务便利非法提供了公民信用卡信息，则应当属于法条竞合犯，按照特别法优于一般法的原则，适用第五修正案中的规定。尽管以上两规定有众多不同之处，但亦有交叉关系，应当统一。

“出售、非法提供公民个人信息罪”，从词译解释上看“提供”是指：“提出可供参考或利用的意见、资料、物资、条件等，”包括有偿提供和无偿提供，因此准确的表述应为“非法提供公民个人信息罪”。“窃取、收买、非法提供信用卡信息罪”中的“窃取、收买、非法提供”是非法获取和非法提供的具体表述，因此基于法律的严谨性，刑法规范可以将文字表述修改为“非法提供、获取信用卡信息罪”、“非法提供、获取公民个人信息罪”。公民信用卡信息作为一种敏感信息在前罪中予以特别适用，加重处罚。

（二）扩大侵犯公民个人信息犯罪的主体范围

我国第七修正案将非法提供公民个人信息罪的犯罪主体定为国家机关等特殊犯罪主体，而不包括房地产公司、中介机构等私人部门，在实践中有大量的私人机构因为经营、提供服务等方面会收集大量个人信息，如一些购物网站，但这些机构却并不本法的调整范围之内。对这一规定，有不少的争议。有学者认为应当犯罪主体扩大到掌握公民个人信息的一般主体，也有学者认为犯罪主体不宜扩大。

考察其他国家的立法，侵犯公民个人信息犯罪的主体一般规定为一般主体。

英国1984年《数据保护法》并未将非法提供个人信息罪的主体仅限于特殊主体，而是经过有权获取公民个人信息的任何经登记许可的机构。第5条规定：“有关获得登记许可的人，不得将其掌握或使用的经登记许可的个人数据用于登记目的以外的其他任何目的；不得向登记许可范围之外的其他人泄漏其掌握的此类个人数据”。

《日本刑法典》第134条“泄漏秘密罪”，规定有权依法获取公民个人信息的人，都负有保密义务，泄漏他人秘密信息的都属于犯罪，也一是般犯罪主体。

《德国刑法典》力图通过例举的方式将各种犯罪主体清楚明确的规定出来，总体而言是因职业、职责等有权获取公民个人信息的主体，也未仅将犯罪主体限定于公权力部门。第203条侵害他人秘密罪，也将非法提供个人信息罪的主体定一般主体，该罪规定：“因下列各种身份而被告知或知悉他人的秘密，尤其是私生活秘密或企业、商业秘密，未被授权而加以泄露的，处1年以下自由刑或罚金。”接着法条花费大量篇幅列举了医护人员、职心理学家、法律职业者、税务会计从业者、社会工作人员等各行业有权获知公民个人信息的从业人员，并规定公职人员加重处罚。

我国澳门特别行政区《刑法典》第189条规定了违反保密罪，“未经同意，泄露因自己之身份、工作、受雇、职业或技艺而知悉之他人秘密者”，这一规定简单明了，道明了非法提供个人信息罪的犯罪主体的范围。

实际生活中有很多私人部门或个人因职业、职责、身份等原因可以收集大量个人信息，现代人们的生活越来越依赖网络，人们习惯于在网上购物、在网上交流等，在这些活动中通常会留下大量个人信息。购物网站，使用者必须提供姓名、身份证号码、地址、联系方式、甚至银行帐户等，这些信息一旦被披露或公开，势必给隐私权人造成无法补救的损失。但这些大量掌握公民个人信息的主体却不在法律的调控范围之内，不能不说是公民个人信息安全的严重隐患。

综观其他国家的相关刑事立法，犯罪主体应当是通过合法途径掌握公民个人信息的组织或个人，防止这些公民个人信息的掌控者滥用权力，非法侵害公民权益。

10.如何保护个人信息安全篇十

自查报告

中国人民银行长春中心支行：

根据人民银行长春中心支行《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》（长银发［2012］65号）要求，我行成立了领导小组，对本单位个人金融信息保护工作规贯彻落实情况进行自查，现将自查情况汇报如下：

一、组织领导

为确保本次自查工作有效开展，特成立自查领导小组。组长：。副组长：。成员：。

二、自查时间

2012年5月2日—2012年5月15日

三、自查内容

个人金融信息保护工作相关法律法规贯彻落实情况、本机构相关内控制度、信息安全防范技术措施的制定和实施情况、员工的培训教育情况。

四、自查结果

（一）个人金融信息保护工作相关法律法规贯彻落实情

况

能够进行个人信息查询的相关岗位工作人员及业务主管都能够熟悉相关金融信息查询的有关规定，深刻了解法律法规、制度办法，有较强的法律意识、安全意识和责任意识，能够自觉进行个人金融信息保护工作，有效规避业务风险。

（二）本机构相关内控制度、信息安全防范技术措施的制定和实施情况

1.总行制定了《长春农村商业银行股份有限公司个人征信业务管理暂行规定》、《长春农村商业银行股份有限公司个人信用基础信息数据库查询使用管理实施细则》、《长春农村商业银行股份有限公司个人信用信息基础数据库操作规程》、《长春农村商业银行股份有限公司个人信用报告异议信息处理管理暂行办法》、《长春农村商业股份有限公司反洗钱保密业务制度》、《长春农村商业银行股份有限公司金融机构大额交易和可疑交易报告制度》、《长春农村商业银行股份有限公司金融机构客户身份识别和客户身份资料及交易记录保存制度》、《长春农村商业银行股份有限公司反洗钱业务操作规程》等10余项相关制度。

2.总行拟对个人金融信息管理和使用的检查制度、数据库管理员操作规章制度及报告制度等相关内控制度进行逐步完善，并按照制度要求定期检查。对各支行个人金融信息采集、查询的授权、管理等方面进行不定期抽查，发现问题能够及时整改。

3.我行原有的综合业务处理系统对个人金融信息的查

询有权限设置但没有业务人员查询过程的痕迹保留，不便于事后追溯问题责任人。由于我行正在研发新的综合业务操作系统，业务管理人员已经根据相关的文件要求对新系统提出了保留查询痕迹的需求。

（三）员工的培训教育情况

通过对业务主管的专题培训，使业务主管对个人金融信息管理、使用的法律法规及制度办法有了深刻、透彻的了解。业务主管对支行员工进行了全面系统的二级培训，使相关岗位的工作人员都能够深入了解相关制度及业务操作，为有效规避业务风险奠定基础。

在人民银行长春中心支行的指导下，长春农村商业银行积极部署，完成了本次自查工作。在今后的工作中会严格按照法律、法规和人民银行的各项规章制度办理，使我行的个人金融信息保护工作更加规范、合理。

11.个人身份信息“保护神” 篇十一

身份被盗影响大

英国信用监控局Experian的信用记录显示，全球约有2．15亿成年人拥有活跃的信用记录，其中曾遭遇身份被盗用的人约占到总数的4％。而据2005年9月3日美国政府公布的报告说，在过去5年间，美国约有2730万人的身份被盗；仅2002年一年，美国就有超过1000万人的身份被不法分子盗用，造成的经济损失超过了530亿美元。另据加拿大皇家骑警反诈骗组织的统计，2002年至今，约有5万加拿大国民的身份被非法分子盗用。

身份被盗带来的损失不仅仅是金钱，还有时间的耗费。修复个人良好信用记录是一个拖沓冗长且费用昂贵的过程，它往往要耗费数年的时间和上千美元，期间受害人的贷款申请、保险购买、求职都可能遭到拒绝，甚至丧失个人的养老储蓄，许多发展计划因身份被盗而被迫搁置。

身份保险好处多

身份保护计划(Identiy Protec-tion Plan)或身份盗窃保险是国外近年来针对上述风险而开发的一种全新险种，旨在保护客户因身份被盗造成的损失，减少客户为消除身份被盗后的诸多善后事宜而不得不耗费的时间。与此相关的一个服务是信用监控，该服务为客户检查世界三大主要信用报告机构(英国的Experian、美国的Trans Union和Equifax)提供的个人信用报告，并在一旦发生变化(如客户住址的变更、以客户名义开立的新账户)时及时通知客户，或查询个人账户以随时发现可能的问题。除了专门的身份保险，保险公司还将身份保险纳入不同的保险计划中进行捆绑销售，例如房主保险(Homeowner Insurance)、企业营利保险等保单中都可以纳入身份盗窃保险内容。

保险公司推出的这一险种及其相关服务迅速获得了大多数消费者的欢迎，美国一些公司也开始将身份保险作为一项福利待遇纳入员工福利计划之中。在美国最大的保险机构——美国国际集团(AIG)中已有700万的客户投保了身份盗窃保险，而在美国另一保险巨头——圣保罗旅行者保险(st．Paul Travelers)公司，约有350-400万的客户投保了身份保险。在其提供的个人屋主保险附加身份保护险中，投保人每年只需缴纳25美元的身份保险费，保险公司就可以每周向被保险人提供一次信用报告，并提供身份诈骗方面的咨询。

赔偿方面，一旦被保险人身份被盗用，保险公司将支付5000美元的保险赔偿金以弥补受害者因此遭受的工资收入损失，还会向被保险人支付最多2．5万美元的保险金，用于其寻求相关的破案、信用恢复等法律帮助和重新申请贷款。此外，有些推出身份保险的公司还会在接到报告的24小时之内，为客户指派一名提供相关咨询、协助被保险人弥补损失的专人顾问，指导被保险人迅速采取行动，进行补救，力争使被保险人各方面的损失降到最低。

信用报告局很管用

除了身份盗窃保险提供身份保护外，一些个人信用报告局也会提供相关的身份保护措施。

根据美国法律规定，消费者每年可向上述三家信用报告局免费索要一次个人信用报告。这样，消费者每隔4个月轮流向各家信用局索要个人信用报告，以获取个人的全年信用记录。客户可以仔细检查是否存在异常的信用行为或自己不知道的账户，一旦发现可疑项目并认为可能发生身份被盗用时，可以向任意一家信用报告局申请90天的免费欺诈警报服务。该项服务是由信用局警告债权人在同意以该客户名义进行的借贷行为前，务必与客户本人取得联系加以核实。

除了上述免费服务外，这三家信用报告局近年还联合推出了所谓的“三重警报”信用监控计划。消费者每月支付4．95美元，就可以每天收到这三家信用局提供的个人信用报告。同时，一旦身份被盗，客户还可得到最高2000美元的赔偿。

自我保护最重要

买了身份保险不意味着可以高枕无忧，身份保险补偿的也不是受害者被盗的全部金钱。保单只是对因身份被盗而损失的工资收入(通常有最高限额规定)和相关法律费用加以补偿；承保的也只是受害者在解决身份被盗过程中产生的费用，而与债权人交涉、恢复相关信用记录的大量善后事宜仍必须由受害人自己处理。而且，对于家庭成员之间发生的身份盗窃，身份保险是不负经济补偿责任的。

由此可见，身份保险只能给予投保人或被保险人最基本的保障，而无法解决身份被盗后的所有问题；在身份保护上，自我保护、防患于未然更为重要。国外的消费专家为此总结了一些措施，提醒消费者谨慎、全面地做好个人身份的保护工作。

自我保护8招

1．每月检查个人的信用卡账单。发现可疑项目时及时致电信用卡公司质询。向三大信用报告局分别索要个人信用报告。仔细检查每个项目，并对不属于个人账户的记录提出质疑。

2．如果没有在固定的日期收到个人信用卡账单，应立即致电信用卡公司。这个时候有可能已经有人盗用了你的账号并修改了账单邮寄地址，所以你无法看见未授权付费项目。

5．不要乱扔信用卡收据、账单以及其他包含个人信息的文件，要对这些资料进行彻底烧毁、切碎或撕毁。

4．避免在便利店、机场、商场等场所使用ATM机。一般来说，银行的ATM机更为安全。

5．不要使用像生日或电话号码等过于简单的个人密码。

6．有些身份盗贼会向消费者邮寄看上去像是来自合法机构(如银行或正在与消费者发生交易关系的机构)的邮件，要求确认消费者个人信息。不要随便点击E－mail中的链接，防止其误导消费者进入伪造的网站，从而窃取个人信息。

7．在进行网上购物时，对于询问是否需要存储个人信用卡信息以便下次使用更便利的弹出窗口，不要点击确认。更不要在销售商的电脑上存储此类信息。

12.个人信息保护标准综述篇十二

个人信息因“能够单独或者与其他信息结合识别用户”,对大数据、互联网企业来说,“价值堪比石油和黄金”。也正因为个人信息与个人之间的紧密关系,个人信息的收集和使用与个人的利益、权利息息相关,使得如何在个人信息保护和利用之间达成平衡成为新经济时代最重要的命题。

目前,我国尚没有一部对个人信息保护的综合性立法,而且多数含有个人信息保护内容的规范性文件往往流于形式或者仅作宣示性规定,缺乏可操作的具体规则。因此,制定个人信息保护方面的标准显得尤为重要。

今年4月19日,习近平总书记在网络安全和信息化工作座谈会上发表重要讲话,提出“以人民为中心”的理念,以及“网络安全为人民、网络安全靠人民”的基本原则。加强制定个人信息安全方面的国家标准,实际上就是贯彻习近平总书记重要指示的具体体现。

为此,本文将概述国际上主要的个人信息保护标准;鉴于我国已将个人信息保护方面的法律提上了立法日程,本文还将以欧盟将于2018年生效的《通用数据保护条例》为例,分析标准对法律的补充、促进作用。

2 国外个人信息保护标准概述

2.1 国外个人信息保护标准

2.1.1 ISO/IEC JTC1/SC27隐私保护系列标准

ISO/IEC JTC1/SC27专门负责信息安全领域标准化研究与制定工作的分技术委员会,SC27/WG5负责身份管理和隐私保护相关标准的研制和维护,目前最具代表性和体系性当属ISO/IEC 29100系列标准,包括:ISO/IEC 29100《隐私保护框架》、ISO/IEC29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。

ISO/IEC 29100的内容主要分为两部分,第一部分是隐私框架的基本要素,该隐私框架由参与者和角色、交互、对个人可识别信息(PII)的认识、隐私防护要求、隐私策略和隐私控制构成;第二部分列举出了隐私遵守的原则,该原则是从现有一些国家和国际组织所提出的原则中导出,用于指导隐私策略和隐私控制的设计、开发和实现。该标准提出的隐私框架和原则构成了标准体系的基础,服务和指导在此基础上进行的标准开发。

ISO/IEC 29101则将视线转移到了PII,首先描述了PII生命周期的概念,包含了收集、传输、使用、存储、销毁五个阶段;其次以数据主体、组织和数据处理者的角度,从隐私设置层、身份和访问管理层、个人可识别信息层三个层面展开,提出了组织、角色和交互三种结构视图,并对ISO/IEC 29100中的隐私原则予以对应。该标准对设计和维护处理PII的系统具有指导意义。

ISO/IEC 29190主要用于评估企业具备的隐私能力级别,规定了隐私能力评估的关键功能区域(法律符合性、利益相关方期望、组织面临的风险),并将评估级别映射到企业的隐私模型。

ISO/IEC 29134则介绍了隐私影响评估的基本方法,隐私影响评估是组织或第三方实施隐私风险管理的重要手段,有别于传统的安全风险评估,既需要考虑PII处理过程的合规性,又需要结合处理PII的信息系统安全状态,综合评价对数据主体隐私产生的影响。

ISO/IEC 29151描述了可被普遍接受的PII安全控制措施和风险处理指南,该标准基于ISO/IEC27002的基本结构,与ISO/IEC 29100中的隐私原则予以对应,形成实用且针对性强的PII保护措施,供组织使用。

综上所述,ISO/IEC 29100系列标准从隐私保护原则、架构、要求、风险管理、能力评估等多个层次与数据主体、控制者、处理者多个角度对隐私保护过程全方位进行阐述,形成了较成熟的标准体系,具有重要的指导和参考意义。

2.1.2 美国隐私保护标准

在美国国家标准与技术研究院(NIST)SP 800的标准体系中,涉及到隐私保护相关的标准主要包括:NIST SP 800-53v4《联邦信息系统和组织的安全与隐私控制》、NIST SP 800-122《保护个人可标识信息(PII)保密性指南》、NIST SP 800-144《公共云计算安全和隐私保护指南》、NIST IR 8062《联邦信息系统隐私风险管理》等。

NIST SP 800-53v4在其附录中增加了隐私控制目录,其结构与正文中安全控制的结构类似,便于组织在实施安全控制措施的同时,实施隐私控制措施的要求,以便于组织执行有关隐私的联邦法律、政策、法规、方针和标准。隐私控制目录共计8类26个控制措施,其中具体的控制措施分为一般要求和增强要求,分别对应不同的隐私保护级别。

NIST SP 800-122主要描述了针对PII处理过程采取管理、技术、物理等措施对其保护和有效控制的措施,并提出为妥善保护个人可标识信息的保密性,组织应使用基于风险管理的方法。此标准提供了基于风险管理方法保护PII的保密性的指南,是对SP800-53v4附录中提出的“隐私控制”的细化。

NIST SP 800-144是公有云安全和隐私保护的有效结合,描述了公共云环境下,需要在设计云计算解决方案时,充分考虑隐私安全问题,使其符合相关法律法规、政策和组织策略要求。同时,需要持续监控、评估和管理隐私安全风险。

NIST IR 8062中提出了联邦信息系统可参考的隐私风险管理框架及隐私风险模型,其中,隐私风险模型中提出了隐私风险评估的具体步骤和风险计算方法,对组织和第三方实施完善的隐私影响和风险评估具有很高的参考价值。

2.1.3 欧盟隐私保护标准

数据保护和隐私工作组(CEN/ISSS WS-DPP)旨在帮助组织在个人数据保护方面符合相应数据保护规范及国家法律要求,促进ICT技术的合规性,并协调和鼓励评估和监控的一致性。2005年以来,该工作组发布了系列隐私相关标准,其中被欧盟国家广泛使用的标准主要有:CWA 16113:2010《个人数据保护良好实践》、CWA 15263:2005《隐私保护技术、隐私增强技术(PET)、隐私实践体系(PMS)和身份管理系统(IMS),及上述方面的驱动者和标准化需求分析》、CWA 16112:2010《管理者的自评估框架》、CWA 15292:2005《协助遵守数据保护指令95/46/EC的第17条所规定义务的标准格式合同》、CWA15262:2005《数据保护审计实践清单》等。

CWA 16113主要用来帮助中小企业来遵循数据保护指令(95/46/EC)中的一般原则,并在可能或适当的情况下,遵循国家法律,实现数据保护指令要求。该标准在很多欧盟国家得到了认可。标准内容主要包括:数据保护和信息处理合规性、数据跨境、同意权和访问权(数据主体)、数据丢失预防策略及实践、处理个人身份信息良好实践:操作保护措施良好实践。该标准重点描述了数据保护控制的具体措施,具有很强的实用性和参考价值。

CWA 15263主要分析隐私保护的技术要求,并为监管机构推进隐私保护提供长远、统筹的建议。CWA 16112主要描述了组织管理者进行自我评价的步骤和方法,协助管理者了解组织是否遵循基本的隐私原则,明确管理者在个人数据保护过程中的职责和义务。CWA 15292则是标准格式的合同模板供组织使用,以满足个人数据保护要求。CWA 15262给出了当前最佳的数据保护审计实践材料,便于组织制定合理的数据保护审计计划并开展审计活动。

2.2 标准对个人信息保护的补充和促进作用

总的说来,标准对数据保护具有以下方面的促进作用:

第一,标准能进一步明确界定数据保护领域中的定义。例如NIST出版的SP 800-122《保护个人可标识信息(PII)保密性指南》、ISO/IEC JTC1/SC27制定的ISO/IEC 29100《隐私保护框架》等都对个人信息给出了详细而又明确的定义。

第二,标准能充实、细化数据保护方面的法律、法规中规定的义务,并对如何履行法律义务给出指导。例如CWA 15292:2005《协助遵守数据保护指令95/46/EC的第17条所规定义务的标准格式合同》详细列出了格式合同应当具备的基础内容。

第三,标准能提供规范数据控制者与数据主体之间的沟通和交互。例如ISO/IEC 29151《个人可识别信息保护指南》就明确提出数据控制者对数据主体履行告知时,应当告知的内容、告知的方式、告知的时机等。

第四,标准能为开展数据保护方面的审计提供依据。

3 标准对《通用数据保护条例》的支撑

3.1 欧盟《通用数据保护条例》

欧盟《通用数据保护条例》(GDPR)将于2018年5月25日正式生效。相对于1995年的《数据保护指令》,有以下方面的创新:

(1)扩大了适用范围

欧盟境内的数据控制方、数据处理方;欧盟境外的数据控制方、数据处理方,只要其数据处理活动与向欧盟境内的数据主体提供商品、服务(无论免费与否)有关,或其数据处理活动涉及到监测欧盟境内数据主体的行为。

(2)增强了数据主体的权利

GDPR既包含了指令中数据主体已经拥有的权利,还赋予数据主体额外的权利:数据可携带权(从数据控制方获得个人信息的副本);被遗忘权;限制数据处理的权利;反对数字画像和数据自动处理的权利:对于仅仅依据数据自动处理(包括画像)作出的、具有法律效力或可能产生显著影响的决定,数据主体有权要求免于受这样决定的制约。在很多情形下,个人有权选择从数字画像和数据自动处理中退出;数据控制者面临更强的透明度要求。

(3)严格规定了个人同意的条件

个人同意仍然作为个人信息收集和使用的前提,但相对于1995年的指令,GDPR对何为有效的个人同意的前提,做出了更加严格的要求。核心的变化是数据主体做出声明,或者做出清晰的肯定性动作,同意被认为才有效。个人沉默、提前勾选的选项、静止等状态,不足以认定个人表达了同意。GDPR还明确了何种情况下,同意不是由数据主体自由地做出的。数据控制方还应当告知数据主体撤回同意的权利。

(4)详细规定了数据处理者责任

对数据处理方赋予新的合规要求,是GDPR最重要的变化之一。以下是要点:a.数据控制方、数据处理方的定义没有改变;b.GDPR直接对数据处理方课以义务,而且不履行这些义务时,将会直接问责;c.数据处理方的主要义务:采用合适的技术和组织方面的措施,以保证一定的数据安全水平;详细记录数据处理活动;如果数据处理方位于欧盟境外,在某些情形中,数据处理方应在欧盟境内任命一位数据保护官和一位代表;履行与数据控制方一样的数据跨境流动合规要求;就数据安全事件,强制通知数据控制方;d.如不合规,数据处理方将直接受监督机构的管辖;e.GDPR适用于位于欧盟境内的数据处理方,或在欧盟境内发生的数据处理活动。还将适用于位于欧盟境外的数据处理方,不过仅限于向欧盟境内居住的个人提供商品或服务的有关数据处理行为,或者与记录欧盟境内居住的个人的行为有关的数据处理行为;f.数据控制方和数据处理方应当签署详细的数据处理协议。GDPR详细地规定了协议的条款;g.数据处理方只有在获得数据控制方的事先同意后,才能使用次一级数据处理方。次一级数据处理方与上一级数据处理方应当签署数据处理协议,协议中规定的义务,和上一级数据处理方与数据控制方签署的协议的内容相同;h.数据处理方在数据控制方允许的范围外开展的数据处理行为,将被GDPR认定为数据控制方,同时应履行数据控制方相同的责任。

(5)数据处理记录文档化

数据控制方和数据处理方应保留关于数据处理活动的详细记录,并随时应监督机构的要求提供。

(6)通过设计实现隐私保护和通过默认设置实现隐私保护

考虑到最新发展、执行的成本、数据处理的性质、范围、情境、目的,以及对自然人权利和自由的不同程度和大小的风险,数据控制者应在一开始决定数据处理方式,及开始数据处理时,采用合适的技术和组织方面的措施,例如假名化;这些措施的目的在于有效地落实数据保护原则,例如数据最小化原则,及将必需的保护措施整合进数据处理流程中,以满足《条例》提出的要求,并保护数据主体的权利。

数据控制者应采用合适的技术和组织方面的措施,以实现默认的情况下,仅仅处理为实现目的而最少必需的个人数据。此义务适用于收集到的个人数据、数据处理的范围、数据存储周期,以及数据被访问的程度。特别是这些措施应保障在默认情况下,在个人没有作出同意时,个人数据不会被不限定的自然人访问。

(7)数据保护影响评估

如果处理个人信息可能导致个人权益有较高的风险被侵害时(特别是采用新技术时),数据控制方应当进行数据保护影响评估。

在以下场景中,数据保护影响评估被特别要求:自动数据处理包括数字画像,评估对个人的影响;对特定类别的数据进行大规模处理时;对开源数据进行系统性监测时。

(8)问责原则

应当保证采取合适的技术和组织方面的措施,以保证合规,同时具备向外界客观地展现合规的能力。

(9)数据保护官

部分私营部门机构和大多数公共部门机构将被要求任命一名数据保护官,以监督数据处理活动:公共部门处理数据的情形;数据控制方和处理方的核心活动如果包含对数据主体开展常态、系统、大规模的监测时;数据控制方和处理方的核心活动如果包含对特定类别的数据开展大规模处理时;成员国法律有所要求时。

(10)数据跨境流动机制的重构

GDPR保留了1995年指令关于数据跨境流动的机制,同时增加了新的制度安排,例如认证机制、行为守则、以及基于正当目的偶尔为之的数据传输时可一定程度上免除相关义务。

除一定例外之外,国别性质的许可被免除。

GDPR正式认可了有约束力的公司准则。

(11)数据安全事故通知

在数据安全事故发生之后,数据控制方应当及时向监督机构报告,在可行时,应当在72 h内,除非数据安全事故不太可能导致数据主体权益受损;如果未能在72 h内报告,应当提供合理的解释;如果安全事件对个人权益造成损害的可能性高,则数据控制方应当及时通知受影响的数据主体。

(12)执法和处罚

GDPR将会统一各成员国监督机构的权力和任务,并大幅增加处罚标准。为重大违规事件,罚款可高达2 000万欧元或前一财年全球收入的4%。

3.2 落实GDPR离不开标准支撑

虽然GDPR被普遍认为是最完善的个人信息保护立法,但是仍有不少内容亟待后续的标准作为支撑,举例如下:

第一,GDPR第25条规定,应通过设计实现个人信息保护和通过默认设置实现个人信息保护。其规定的实质是要求数据控制者对系统、产品、服务的设计开始,一直到开发、运营等环节,均应将对个人信息保护的要求考虑在内。

第二,GDPR对数据控制者、处理者保护数据安全方面的要求,仅仅用一条原则性的表述概括,即“考虑到数据处理的性质、范围、情境、目的,以及对自然人权利和自由的不同程度和大小的风险,应采取合适的技术和组织方面的措施,以保证数据处理符合《条例》的规定。这些措施应经常评估和更新。措施应与数据处理的风险合乎比例,应包括在内部建立合适的数据保护政策。”

第三,GDPR第20条赋予了数据主体携带其数据的权利,“数据主体有权从数据控制者获得关于其个人数据(仅限其向数据控制者提供的)的副本;副本应以结构化、普遍使用、可机读的形式;数据主体有权要求数据控制者将其个人数据向其他数据控制者提供”。

第四,GDPR第35条规定了特殊情形下应开展数据保护风险评估,“在考虑数据处理性质、范围、情境、目的后,数据控制者如认为数据处理,特别是采用新技术的处理,可能导致个人权益有较高的风险被侵害的,应在处理前,进行数据保护影响评估。”

第五,GDPR第33和34条分别规定了在发生安全事件之后,应向主管部门报告,通知受影响的个人。

在上述五个方面中,GDPR仅仅提出了要求或基本原则,并没有对如何履行上述义务给出具体的指导。在实践中,数据控制者显然需要配套标准作为具体的指引。

4 结语

现阶段,我国个人信息保护方面的标准主要有GB/Z28812-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》,以及《信息安全技术信息技术产品供应方行为安全准则》(报批稿),但与国外相比,无论是体系化、成熟度、可操作性方面都有明显差距。

大数据技术和应用的迅猛发展使得个人信息保护面临更多的挑战:收集环节,移动互联网和物联网的发展使对个人信息的收集日益密集、隐蔽;使用环节,多来源的个人信息组合,形成数字画像、实时追踪,数据挖掘增加个人信息和隐私暴露的风险,显著影响个人权益;披露环节,数据流转、交易形成链条,信息处理主体多元,流转方式纷繁复杂,个人信息跨境流动成为常态。

【如何保护个人信息安全】推荐阅读：

学校如何保护教师安全07-25

商标保护的现状及如何保护商标之探索07-23