近日,據一些媒體報道,國內安全漏洞監測平臺烏云發布報告稱,如家等酒店使用了某網絡公司開發的酒店wifi管理、認證管理系統,并且酒店客戶的信息被存儲在該網絡公司的服務器上,但是,由于該系統存在漏洞,酒店客戶個人信息面臨被泄露的風險。這意味著,酒店客戶的姓名、身份證號碼、入住和離開酒店的時間等信息,都有可能被黑客輕松截獲。由此,個人信息保護問題再次引發了社會公眾的關注。

三大原因拖慢信息安全立法進程

首先,我國立法機關的立法任務非常繁重,立法有輕重緩急之分,特別是在去年全國人大常委會剛剛通過了《關于加強網絡信息保護的決定》,就目前的情況來看,可能尚有更為重要的法律需要制定。

其次,一項立法草案需要達到一定的成熟程度才能順利通過。從這個角度來講,個人信息保護還有一些問題需要進行研究、協調和解決。例如,數據挖掘技術是近些年才出現的一項信息技術,它的出現對于個人信息的采集和使用規則亦提出了挑戰。

第三,個人信息保護法是一部個人信息保護的基礎性法律,它不僅規范金融機構、電信機構等對個人信息的獲取和使用,政府機構對個人信息的獲取和使用亦應受其約束。因此,在立法時需要征集多部門的意見并進行協調,這些亦會導致立法進程緩慢。

法雖未立 但整治必須先行

《法制日報》記者在采訪中發現,在個人信息保護領域,我國許多省市都已經制定了有關個人信息保護的地方性法規。此外,全國人大常委會、國務院及其部委也制定了若干專門領域的個人信息保護規定。例如,在網絡信息保護方面,有《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、工信部制定的《電信和互聯網用戶個人信息保護規定》;在金融信息保護方面,國務院制定了征信業管理條例等。另外,我國刑法亦規定有“非法獲取個人信息罪”和“非法買賣、提供公民個人信息罪”。

結合此次酒店客戶個人信息存在泄露風險一事,周學峰指出,網絡公司應該預見到,如果其所提供的信息系統有缺陷,將會導致所存儲的個人信息受到嚴重泄露,因此,網絡公司負有保障其提供的信息系統具備安全性的義務。當然,這種安全性應當是一種合理的安全性,而不是絕對的安全性。在判斷網絡公司是否盡到了安全保障義務時,可以參照工業和信息化部于2013年7月制定的《電信和互聯網用戶個人信息保護規定》。除此以外,《信息安全技術、公共及商用服務信息系統個人信息保護指南》作為我國首個個人信息保護的國家標準,雖然不具有法律上的強制約束效力,但具有指南性,亦可作為衡量互聯網企業是否有過失的參考性標準。

此外,據了解,從世界范圍來看,目前關于個人信息保護立法存在兩種立法模式,一種是集中立法模式,如歐盟的《個人信息保護指令》;另一種則是分散的立法模式,例如,美國并不存在像歐盟《個人信息保護指令》那樣的一部法典,而是分散在若干部法規之中。周學峰認為,如果我們要采取集中立法的模式,歐盟的《個人信息保護指令》可以作為借鑒的對象。

獨辟蹊徑 加密軟件自主防護個人信息安全

雖然法律是信息安全防護的最終目標，但是對于復雜多樣的信息安全問題，光靠法律是不夠的，更由于現在處于法律建立的準備期，更多的主動防護能帶來更好的安全防護效果。而主動防御中加密防護則是最出色和效果最好的。

加密技術直接作用數據本身，使得數據即使因為意外丟失了，被竊取了，監聽、監控了，加密防護依然存在，真實內容也不會泄露。而如果使用國際先進的多模加密技術，就更能靈活的選擇多種加密模式，從而使用戶應對各種安全風險。而這項技術使用的典型代表正是山麗的防水墻系列。

個人信息、企業信息、國家機密將成為信息時代洪流中敏感的元素，這些敏感元素最大的威脅就是遭遇來自個人、企業甚至是國家政府的竊取、竊聽甚至是控制。完善法律是遏制邪惡的重要力量，但要確實的抵抗邪惡，主動防護必不可少，而采用具有針對性的加密軟件則是最好的選擇!