浅谈个人信息之商品化
关键词: 个人信息人格权商品化财产规则责任规则候补性合同规则
内容提要: 个人信息商品化系人格权立法中的重要议题,直接与间接个人信息在商品化机理和保护路径上存在较大差异。直接个人信息商品化就是传统意义上的人格权商品化,其机理类似于商标之品牌功能; 通过从精神损害赔偿到财产损害赔偿之发展,其二元利益构成得到明确承认,直接个人信息保护路径应适用财产规则实现权利。间接个人信息商品化之机理在于其具有消除“不确定性”、识别目标之效用; 为平衡人格权益保护与信息自由,间接个人信息保护路径应运用责任规则与候补性合同规则,遭遇被动商品化时一般须诉诸精神损害赔偿。
社会主义法律体系形成后,“民事立法的下一阶段就是要加快制定人格权法。”该法之制定,个人信息商品化自是重要议题。对于个人信息,我国多沿袭大陆法系传统,在人格权项下研究,个人信息商品化实际指向人格权商品化问题。笔者认为,个人信息商品化应当区分直接与间接个人信息,二者各自在商品化机理和保护路径上存在较大差别,笔者愿略陈管见,求教大方。
一、直接与间接个人信息之划分
( 一) 个人信息之界定
个人信息在有关国际组织或各国、地区立法上有不同称谓,包括“个人数据”、“个人信息”、“信息隐私”、“个人资料”等,我国学界也是几种称谓并行。其实正如学者所指出,“概念的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容”。除非引文必要,本文一律使用“个人信息”概念。
法律概念之明确通常有三种方法: 概括主义、列举主义和例示主义,个人信息之界定多采概括或例示,但无论哪种均强调个人信息之直接或间接识别性。采概括者如德国《联邦个人信息保护法》,“个人信息是指任何关于得识别或可得识别自然人的属人或属事的信息”; 采例示者如我国台湾地区“个人资料保护法”( 20XX 年 5 月 26 日修订) 规定,“个人资料: 指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其它得以直接或间接方式识别该个人之数据”。个人信息作为得识别
或可得识别、直接或者间接识别个人身份之信息,其“可识别”与“可得识别”性、“直接识别”与“间接识别”性,正是直接与间接个人信息划分之依据。
( 二) 直接与间接个人信息之外延
个人信息之“识别”,指能够将个人信息与信息主体建立起确定。由此,识别之主体、手段对于识别能力至为重要: 专家可以通过上 IP 找到信息主体,普通民众却难做到; DNA 鉴定可从人体组织锁定信息主体,一般手段却无能为力。作为最重要、影响最为广泛的国际立法,欧盟《个人数据保护指令》( 95/46/EC) 陈述第 26 段指出,“任何人都可能成为合法的识别主体”,强调识别主体的一般性; 同时强调识别之“可能性( like-ly) ”与“合理性( r easonably) ”。笔者认为,在“识别”之标准上,应当借鉴以上规定,强调识别之主体、手段的一般性。
按照得否直接识别出信息主体,个人信息有直接与间接个人信息之划分。直接个人信息凭单一信息即可识别出信息主体,无须借助与其他信息的结合; 间接个人信息难以据单一信息识别出信息主体,该信息必须与其他信息相结合。有学者认为,肖像、姓名、身份证号码、社会保险号码等具有唯一性属于直接个人信息; 性别、身高、指纹、婚姻、家庭、教育、职业、病历、基因、性生活、犯罪前科、联络方式、财务情况、上纪录等可以归于间接个人信息,须通过若干信息或信息片段的串联比对,方能与特定个人之身份相。97
笔者认为以上外延划分存在问题,直接个人信息识别特征应当具一定“外显性”,强调一般民众运用一般手段即可识别,身份证号码、社会保险号码虽具唯一性但缺乏外显性,一组数字如果不与其他信息串联比对特别是与姓名相结合往往不具识别价值,识别时尚须信息数据库或者其他个人信息之印证,所以宜归为间接个人信息。同样如指纹信息、DNA 信息虽与信息主体具唯一对应性,因须特殊识别主体或手段( 鉴定专家、鉴定仪器) ,同样不应归于直接个人信息。一般来说,直接个人信息只包括个人姓名、肖像、特殊身体形象、声音等,剩余信息一般属于间接个人信息。直接个人信息对应着传统精神性人格权; 而间接个人信息权益“应属于一般人格权”。虽然所有个人信息都同信息主体之人格尊严具有重要关联,蕴含人格利益,但在面对“商品化”时,直接与间接个人信息存在较大差异,这正是划分之价值所在。
二、直接个人信息之商品化
学者一般认为,人格权商品化是指“因社会经济活动的扩大,科技的发展,特定人格权( 尤其是姓名权及肖像权) 既已进入市场而商业化,如作为杂志的封面人物,推销商品或出版写真等,具有一定经济利益的内涵,应肯定其具有财产权的性质。”对照可以发现,我们迄今所谓“人格权商品化”,实际上仅对精神性人
格权而未含物质性人格权,指直接个人信息尚未涉及间接个人信息。
( 一) 直接个人信息商品化之机理: “名人就是人格化的商标”
有学者指出,随着消费社会的到来,商品客观价值日益“同质化”,通过商业符号化来增加主观价值,成为参与竞争的重要策略。“诸如肖像、姓名等人格特征如商标标识一样,通过宣传、使用,可在其身份特征的本义之外,建立起纯属产权排斥本义的‘消费符号’。名人人格也是驰名符号,它的各种特征也可以用作商标,成为商家垄断市场压抑竞争的利器。就其商标化的人格( 醒目的消费符号位置和无期限的商品化权能) 而言,也可以说,名人就是人格化的商标”。
人格权商品化一般发生于名人身上,以暗示其对该商品或服务的支持,其所适用的只是直接个人信息充任“第二商标”的情形。人物的名气越大,转化为财产利益的可能性就越大,越有可能为他人所侵害,法律的保护也就愈加必要; 而非知名人物的商业开发价值很低,其难以起到符号的甄别和显示作用、为商家带来直接经济利益少,侵害的几率也小,以至于有些学者根本不承认普通民众拥有人格权商品化。笔者认为,直接个人信息商品化属人人有份,只是由于条件限制普通人未能实现出来而已。
( 二) 直接个人信息商品化之逐步承认: 从精神损害赔偿到财产损害赔偿
英美法系对于个人信息( 隐私) 之商品化,美国法“公开权( Right of publicity) ”制度最为成熟。1953 年Haelan Laboratories v. Topps ChewingGum,Inc. 案中,法官明确提出了公开权概念,通过后续先例和美国法学会《侵权法重述( 第二次) 》的整理,公开权正式从隐私权脱胎,专门保护人格因素中的商业利益,属于人格符号化、商品化的产物。[11]
而大陆法系囿于制定法传统,对于直接个人信息商品化之承认要曲折繁复得多。大陆法系传统人格权被认为系专属性精神利益,具绝对性、不可转让性和不可继承性,[12]立法并不认可直接个人信息商品化。但面对商品化潮流之势不可挡,以德国法为代表的立法逐步通过精神损害赔偿管道,明确规定侵害肖像权、姓名权等所获得的利益应在确定精神损害赔偿数额时予以考量,“侵权人获利”因素的引入正是为了解决人格权商品化产生的经济利益剥夺问题。[13]我国《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》( 法释[20XX]7 号) 也采以上处理方式。
对直接个人信息商品化之完整承认应有三个标志: 得许可他人使用、得继承、受侵害时得主张财产损害赔偿。根据德国《艺术着作权法》,肖像权得被许可使用、继承,受到侵害得请求财产损害赔偿; 对于姓名权法院虽尚未明定得许可使用,但1987 年 Nena Case ( BGH GRUR 1987,128. ) 和1999 年着名的
“Marlene Dietrich 案( BGH NJW20XX,2195) ”实际允许了财产利益之继承。
[14]我国实务中,对于肖像、姓名等的许可使用并不存在障碍; 但从鲁迅之子周海婴提起的几起鲁迅肖像权诉讼来看,能否被继承存有疑义。(对于这一问题的阐述,具体参见胡喜盈、顾惠民: 《肖像权能否继承》,载于《人民》,: / /. people. . /GB/channel1/11/20XX1115 /313812. html,20XX 年 11 月 10 日访问。)至于被强制商品化后得否主张财产损害赔偿,已为 20XX 年7 月 1 日施行的《侵权责任法》解决。[15]该法第 20条规定所确立的“受害人损失”、“侵权人获利”和“法院酌定”的三择一计算,实际承认了某些精神性人格权的双重利益构成。
[16]通过三择一计算,我国对直接个人信息财产利益的保护在借道精神损害赔偿之外,又铺就了财产损害赔偿之路,前者尚属间接保护,后者已是直接保护。当然,受害人享有对两种请求权竞合时的选择权。如此处理已经大大超前于大陆法系其他国家和地区的立法和实务做法,而已与美国法上公开权的保护力度相当,同时相较美国法通过隐私权与公开权分别保护人格利益与财产利益的做法更胜一筹。
( 三) 直接个人信息商品化之路径: 财产规则
1972 年,美国耶鲁大学法学院教授 Guido Ca-labresi 和 A. Douglas Melamed 在《哈佛法律评论》上发表了《财产规则、责任规则与不可让与性———一个权威的视角》论文。(Guido Calabresi & A. Douglas Melamed,Property Rules,Liability Rules,and Inalienability: One View of the Cathedral,Harvard Law Review,April 1972,p1090. 其译文可以参见徐爱国组织翻译的《哈佛法律评论·侵权法学精粹》,法律出版社 20XX 年版,第 275 页以下。)所谓财产规则( property rules) ,是指除非事前获得权利人的同意,否则法律禁止他人侵害这个权利,相对人得透过与权利人的磋商谈判,议定彼此主观上能接受的对价,向权利人支付该对价而取得其权利,或者去改变原有的权利归属状况; 所谓责任规则( lia-bility rules) ,指即使未得到权利人的事先同意,相对人仍可侵犯权利人的财产权,但必须依法作适当的补偿; 不可让与性( Ina
lienability) ,指不能基于当事人双方的自由意志进行交易,如身体的脏器、生命等。三种规则的政府管制程度不同,财产规则采取的是最少的政府干预,基本采纳的是市场机制,具有优先适用性; 但如交易成本过高,适用财产规则可能无效率,应适用责任规则; 而不可让与性的适用往往是在涉及到人性尊严的价值考量下,限制权利交易甚至完全禁止,不可让与规则应当作为一种例外而存在。
直接个人信息商品化之历程经历了从不可让与规则、准责任规则到财产规则的转变。大陆法系囿于人格权专属性,最初适用不可让与规则,人格权商品化不被认可; 准责任规则下虽仍未认可人格权之商品化,但在被动商品化时赋予权利人精神损害赔偿请求权,“侵权人获利”成为独立考量因素,实际效果与强制许可之责任规则相仿。及至财产规则,一方面,“人对于自己的个人信息就像支配自己的财产一样进行支配,……这种支配只能是一种负担性的、不改变支配对象‘归属’的‘使用许可’或者‘暂时限制’意义上的支配; 另一方面,他人可能未经信息主体同意擅自利用其个人信息,此与其对物的擅自使用具有相当同质性”。[17]依据科斯定理,[18]产权配置应当考虑交易成本,直接个人信息商品化之路径从政府干预最少、让市场充分发挥机能的角度而言,财产规则应是最佳选择,因为采取财产规则可以让政府的管制成本最低,资源也会由最有效的使用者利用。
三、间接个人信息之商品化
( 一) 间接个人信息商品化之机理: “消除不确定性”之效用价值
在络出现以前,名人许可商家在商品或服务的宣传推销中使用其姓名及肖像就是最典型的个人信息商品化,而在计算机和络出现后,个人其他信息如消费偏好、个人络消费行为纪录、手机号码及电子邮件等个人信息可被商家用于商品或服务个性化推销,使个人信息商品化的现象越来越普遍。间接个人信息不能充当“第二商标”,其商品化机理何在?
个人信息商品化应当遵循信息产品的一般规律。信息经济学上,“信息运动过程中出现的信息在量上、质上和价值上的递增变化,即为信息发生效用”。信息的量“不是指信息内容的多少,也不是指信息符号的多少,而是指信息能够消除‘不确定性’功能的大小”; 信息在质上的效用是指“信息的效用发生变化,即信息满足受信者需要程度的增大”; 信息在价值上的效用是指信息的使用价值和价值。信息的效用发挥具有累积性、间接性和时效性等特征。[19]206在“主体识别”、“消除不确定性”上,间接个人信息可以帮助信息利用者找到自己的目标: 或者直接指向目标客户、目标消费群、目标研究样本( 如基因科技) ,甚至实施犯罪的“目标猎物”; 或者通过逆向运用排除某一群体( 如保险歧视、就业歧视、区别定价等)间接锁定目标。另外,对于间接个人信息,其财产价值可能还表现在予以披露、利用目标群体的“窥私欲”、“好奇心”等用于增加图书销售,增加络点击率、收视率等,但从广义而言,这种营销作用机理同样是用于消除识别上的“不确定性”锁定目标。
当然,当信息作为一种资源,其实现效用的过程需要具备一定条件: 首先要通过信息积累,只有当大量零散的、片面的、互不关联的资料、数据、消息聚
集在一起并达到一定的数量时,才形成为真正意义上的信息资源; 其次,信息的效用必须通过有序化来实现,否则,听任杂乱无章、真伪难辨的各种信息到处泛滥,不但无助于信息资源的开发利用,反而会造成信息污染; 第三,信息的效用必须通过深层次的开发,即经过加工、处理、分析、综合、形成高质量的信息产品。
[19]215 -216个人信息每一次经过加工和处理,其针对性和消除不确定性的能力就越强,信息就越有价值。商业发展,需要一定数量个人信息资源,目前商家对个人信息的收集与处理格外重视,由其加工处理形成的数据库往往被作为商业秘密成为公司资产之一部分。由于这些个人信息数据库具有很高的商业价值,可被用作市场营销和个性化服务,因此,越来越多的专门从事买卖、处理这些个人信息的中间商开始形成,个人信息交易已成为信息时代的一个重要产业,信息收集、处理、利用者的商业秘密、数据库权益与信息主体个人信息自决权、隐私权的冲突也就不可避免,20XX 年美国 Toysmart 破产案中客户名单转让权之争即是典型案例。(Stipulated and consent agreement and final order,See : / / . ftc. gov / os /20XX /07 / toysmartconsent. htm. 最后访问日期 20XX 年 1 月 7日。)我们应当在赋予信息主体本权( 包括人格利益和财产利益) 的同时,通过制度安排实现信息主体权益与收集、利用者信息自由之间的平衡。
( 二) 间接个人信息商品化之制度平衡设计:责任规则与候补性合同规则
1、间接个人信息商品化之责任规则。人格保护与信息自由背后的价值冲突导致了二者在实证中的对峙,个人信息保护的目的在于维护人格尊严,而信息自由则是促进交易发展的重要保障,使制度设计者在利益取向上陷入二难困境。
[20]如何通过制度安排平衡信息主体本权与信息自由? 笔者认为,应适用责任规则而非财产规则: 一则因间接个人信息外延宏大、主体众多,适用财产规则实行个别谈判,交易成本过巨; 二则信息主体若凭借其地位均拒不合作,会影响信息自由造成商业信息闭塞,信息社会不应拒斥信息收集处理,而只能防止被滥用。而在责任规则下,可以不经信息主体同意而为商业收集、处理、利用其个人信息,并给以适当补偿,可以平衡信息主体人格保护与商业信息自由。(纯属行政管理、公共卫生、教育科研等公共利益需要时存在合理使用制度,无须给以补偿,本文只涉及商业利用。)
两大法系基本按照责任规则设计自己的个人信息法律制度。一般认为,从现行个人信息保护立法的哲学基础、政治立场上看,基本上可以概括为以欧盟为代表的本体主义( deontological approa-ches) 和以美国为代表的实用主义( utilitarian ap-proaches) 两种模式。(Burk,Dan L.,“Privacy and Property in the Global Datasphere”( April 28,20XX) . Minnesota Legal Studies
Research Paper No. 05 - 17. ht-tp: / / ssrn. / abstract = 716862,最后访问日期 20XX 年 12 月 25 日。)本体主义在具体制度和规则的设计上以信息主体的权利保护为基点; 实用主义以市场和经济发展为其基本价值取向。欧盟及其成员国立法侧重保护信息主体的“个人信息自决权”,但即使是被称为“激进的****主义”立法的欧盟指令( 95/46/EC) 也并未规定因商业对个人信息之处理须一律经过信息主体之同意,其第 7 条规定,对于一般个人信息( 不包括敏感个人信息) 的处理除了信息主体的明确同意外,还可基于履行当事人一方为信息主体的合同或者为了在订立合同之前依照信息主体的要求,采取措施所必需等收集、处理。美国隐私权政策中责任规则更为明显。美国政府一向主张隐私法的宗旨是防止滥用,而不在于“保护”,41对于商业机构收集、处理、利用隐私,美国法主要采取自律模式,强调隐私应该通过合法的和公平的手段获得,强调“适当的时候”应当告知隐私被采集者或征得他们的同意,美国“在法律和据以获得信息的合同约定中没有禁止性规定时,即使未经本人同意,信息的二次使用一般也被认为是合法的。”[21]根据美国关于保护隐私的规定,当隐私是信息主体主动自愿提供的,它就丧失了隐私期待,不再受到保护,隐私的商业再利用一般不被法律禁止。如此,除了敏感个人信息外,在一般个人信息商业处理政策上,欧盟指令适用责任规则,其成员国立法均依照指令做出了明确规定或修改,尽管在结构和内容上彼此之间有一定差异。美国法由于奉行隐私政策的行业自律,在信息处理上同样坚持了责任规则,并更加强调信息自由和信息流通。其他国际组织或国家、地区立法基本在以上二者之间做出选择,如日本《个人信息保护法》是对美国模式和欧盟模式的折中,试图在保护个****益同保障信息自由流动之间寻找平衡,强调个人信息处理未经本人同意不得进行“特定目的”外处理( 第 16 条) 、不得以虚假或者其他不正当手段获取( 第 17 条) ,利用目的之告知( 第 18 条) 、向第三人提供个人信息的限制( 第 23 条) ,只要告知特定目的后正常商用无须信息主体同意,采取的也是责任规则。我国台湾地区“个人资料保护法”第 19 条规定,个人信息收集处理除“经当事人书面同意”外,商家可依“与当事人有契约或类似契约之关系”、“当事人自行公开或其它已合法公开之个人资料”、“个人资料取自于一般可得之来源”等理由进行,同样坚持责任规则,且比欧盟指令更加侧重信息自由。
适用责任规则,应存在补偿问题。遗憾的是,有关国际组织和各国、地区个人信息保护立法均对信息主体能否获得、如何获得补偿语焉不详。相反,却有立法明确个人信息数据库的商业秘密性质,如美国有 42 个州和哥伦比亚特区已经采用了全国统一州法委员会起草的《统一商业秘密法》( UTSA) ,法院也支持这种观点,“客户名单和相关的信息构成受保护的商业秘密”;[22]在我国,客户
名单也作为商业秘密得到保护,适用《反不正当竞争法》。如此给人以错觉,似乎个人信息本权归属收集、处理者。但国际公约中已对某些个人信息规定了利益分享( benefit sharing) ,如人体组织提供者对于基因科技产品利益之分享,实际承认个人信息主体之本权。(参见人类基因组组织伦理委员会( HUGO) 于 20XX 年所发布“关于利益分享之声明”、联合国教科文组织( UNESCO) 20XX“国际人类基因信息宣言”等。)实践中其实我们可能已经在“分享”: 提供个人信息成为会员会获得一定增值服务、享受优惠定价、赠品等等,这证明了间接个人信息具有一定价值但不“值钱”,其商品化只能采责任规则。
2、间接个人信息流转的候补性合同规则。
为了贯彻信息主体之“信息自决权”,在责任规则之外还应当赋予信息主体对个人信息进一步被交易的控制权,“候补性合同规则( Contractual DefaultRules) ”必不可少。有学者指出,个人信息因自愿性的交易而得以披露,应通过商家与信息主体的合同决定商家可以向第三方披露( 披露信息型合同规则) 或者不得向第三方披露( 保护隐私型合同规则) ,限制披露个人信息的候补性合同规则相对于鼓励披露的规则更具效率。[23]只要无信息主体之明确同意,商家收集、处理的个人信息不得向第三方披露、交易和传输。所以对于特定目的内之个人信息收集、处理与利用应遵循选择退出模式( opt - out) ,合法商业目的即使无信息主体事前明示同意亦可收集处理( 责任规则) ,但允许信息主体“在无须支付费用和陈述原因的条件下,拒绝对有关他的信息进行处理”;(参见欧盟《个人数据保护指令》( 95/46/EC) 陈述第( 30) 段。)对个人信息被收集、处理后之流转,应遵循告知后同意( in-formed consent) 与选择进入模式( opt - in) ,如无明示同意不得流转。正是通过候补性合
同规则,区分特定目的内处理和目的外流转,“个人信息自决权”得以落实,信息主体的各项具体权利也才得到保障,(信息主体的权利介绍,可以参见蒋坡主编: 《个人数据信息的法律保护》,中国政法大学出版社 20XX 年版,第 59 页以下。)并实现了与信息自由之间的平衡。
( 三) 间接个人信息被动商品化之处理: 精神损害赔偿与“侵权人获利”因素
我们虽然认可信息主体对间接个人信息享有财产权益,但实务中因单条个人信息价值有限且估价困难,被动商品化后间接个人信息之保护主要靠精神损害赔偿。
德国法上,间接个人信息属于一般人格权,其侵害可以请求非财产损害赔偿。[24]在日本,通说一般支持个人信息与隐私的区分,但对间接个人信息之侵权多通过对隐私权的保护实现,可以请求精神损害赔偿,加害人的获利成为考量因素。[25]我国台湾地区“个人资料保护法”第 28 条第2 款、第3 款规定: “被害人虽非财产上之损害,亦得请求赔偿相当之金额; 其名誉被侵害者,并得请求为回复名誉之适当处分。依前两项情形,如被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币五百元以上二万元以下计算。”学者认为以上规定系台湾地区“民法”第 195 条之特别法,[26]实际上也是走精神损害赔偿的通道。
在我国,间接个人信息之侵权实际上也多通过隐私权之保护实现,一段时间之内还曾借助名誉权加以间接保护。与直接个人信息不同,间接个人信息之被动商品化只能请求精神损害赔偿,尚不能依《侵权责任法》第 20 条请求财产损害赔偿。
四、结论
个人信息蕴含财产利益的“发现”虽较晚,但姓名、肖像等直接个人信息之商品化已较为成熟,直接个人信息商品化的机理在于其类似商标之标识功能,随着立法对其二元利益构成的明确承认,其保护路径应适用财产规则: 能够许可他人使用;财产利益可被继承; 在被动商品化时既可请求精神损害赔偿,亦可请求财产损害赔偿。间接个人信息商品化之机理在于其能够消除“不确定性”帮助识别目标,虽然其本权归属信息主体,但为与信息自由平衡,其保护路径应适用责任规则与候补性合同规则,且在被动商品化时信息主体一般只能请求精神损害赔偿。对于间接个人信息之商品化,无论比较法还是国际法上尚无定论,当前我国民法学者正在为人格权法制定鼓与呼,对间接个人信息商品化做出妥适价值判断,正是人格权法须面临之重大议题。
注释:
王利明. 论法律体系形成后的典民法制定[J]. 广东社会科学,20XX,( 1) .
周汉华. 中华人民共和国个人信息保护法( 专家建议稿) 及立法研究报告[M]. 北京: 法律出版社,20XX:29 -30.
齐爱民. 拯救信息社会中的人格——个人信息保护法总论[M]. 北京:北京大学出版社,20XX.
杨立新,林旭霞. 论形象权的独立地位及其基本内容[J]. 吉林大学社会科学学报,20XX,(3) .
杨立新,袁雪石. 论声音权的独立及其民法保护[J]. 法商研
究,20XX,( 4) .
洪海林. 个人信息的民法保护研究[M]. 北京: 法律出版社,20XX:40.
王泽鉴. 民法总则( 增订版) [M]. 北京: 中国政法大学出版社,20XX:134.
谢晓尧. 商品化权: 人格符号的利益扩张与衡平[J]. 法商研究,20XX,( 3) .
冯象. 鲁迅肖像权问题[J]. 读书,20XX,( 3) .
吴汉东. 形象的商品化与商品化的形象权[J]. 法学,20XX,( 10) .
[11]J. Thomas McCarthy,The Rights of Publicity and Privacy,( Second Edition) ,( vol. 1.) [M].St. Paul, Minnesota: Published by Thomson /West,20XX: 76 -78.
[12]郑玉波. 民法总则( 十版) [M]. 黄宗乐,修订. 台北: 三民书局,20XX:48 -49.
[13]郭明龙. 论精神损害赔偿中的“侵权人获利”因素[J]. 法商研究,20XX,( 1) .
[14]王泽鉴. 人格权保护的课题与展望( 五) ——人格权的性质及构造: 精神利益与财产利益的保护( 中) [J]. 台湾本土法学杂志,20XX,( 105) .
[15]王胜明,全国人大常委会法制工作委员会民法室. 中华人民共和国侵权责任法解读[M].北京: 中国法制出版社,20XX:91.
[16]王利明. 侵权责任法研究?上卷[M]. 北京:中国人民大学出版社,20XX:674 -675.
[17]马俊驹,张翔. 人格权的理论基础及其立法体例[J]. 法学研究,20XX,( 6) .
[18][美]罗纳德?科斯. 论生产的制度结构[M]. 盛洪,陈郁,编译. 上海: 上海三联书店,1994: 352 - 362.
[19]王宪磊. 信息经济论[M]. 北京: 社会科学出版社,20XX.
[20]齐爱民,李仪. 论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间[J]. 法学评论,20XX,( 3) .
[21][美]阿丽塔?L?艾伦,理查德?C?托克音顿.美国隐私法——学说、判例与立法[M]. 冯建妹,等译.北京:中国民主法制出版社,20XX:209.
[22]Richard A. Bales& Joseph S. Burns,A Survey of Kentucky Employment Law [J]. N. Rev. ,20XX,( 28) : 219,269.
[23]Richard S. Murphy,Property Rights in Personal Information: An Economic Defense of Privacy [J]. Geo. L. J. ,1995,( 84) : 26.
[24][德]马克西米利安?福克斯. 侵权行为法[M]. 齐晓琨,译. 北京:法律出版社,20XX:62.
[25][日]五十岚清. 人格权法[M].[日]铃木贤,葛敏,译. 北京: 北京大学出版社,20XX: 170,193.
[26]刘静怡. 不算进步的立法: “个人资料保护法”初步评析[J].月旦法学杂志,20XX,( 183)
信息系统安全建设重要性 1.信息安全建设的必然性 随着信息技术日新月异的发展,近些年来,各企业在信息化应用和要求方面也在逐步提高,信息网络覆盖面也越来越大,网络的利用率稳步提高。利用计算机网络技术与各重要业务系统相结合,可以实现无纸办公。有效地提高了工作效率,如外部门户网站系统、内部网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而信息化技术给我们带来便利的同事,各种网络与信息系统安全问题也主见暴露出来。信息安全是企业的保障,是企业信息系统运作的重要部分,是信息流和资金流的流动过程,其优势体现在信息资源的充分共享和运作方式的高效率上,其安全的重要性不言而喻,一旦出现安全问题,所有的工作等于零, 2.重要信息系统的主要安全隐患及安全防范的突出问题 依据信息安全事件发生后对重要系统的业务数据安全性和系统服务连续性两个方面的不同后果,重要信息系统频发的信息安全事件按其事件产生的结果可分为如下四类:数据篡改、系统入侵与网络攻击、信息泄露、管理问题。 2.1数据篡改 导致数据篡改的安全事件主要有一下集中情况: 2.1.1管理措施不到位、防范技术措施落后等造成针对静态网页的数据篡改 据安全测试人员统计,许多网站的网页是静态页面,其网站的后台管理及页面发布界面对互联网开放,测试人员使用简单的口令暴力破解程序就破解了后台管理的管理员口令,以管理员身份登录到页面发布系统,在这里可以进行页面上传、删除等操作。如果该网站的后台管理系统被黑客入侵,整个网站的页面都可以被随意修改,后果十分严重。一般导致静态网页被篡改的几大问题为: 1)后台管理页面对互联网公开可见,没有启用加密措施对其实施隐藏保护,使 其成为信息被入侵的重要入口; 2)后台管理页面没有安全验证机制,使得利用工具对登录页面进行管理员账户
浅谈电子信息安全问题及对策 作者:胡巍威 来源:《办公室业务》 2015年第8期 文/ 辽宁省电子信息产品监督检测院(辽宁省信息安全与软件测评认证中心)胡巍威 【摘要】本文介绍了电子信息技术发展特点,围绕管理、技术层面分析了电子信息安全存在的问题,提出加强电子信息安全管理、使用好安全防护工具、发挥人的作用的对策建议。 【关键词】电子;信息;安全;对策 电子信息安全完整、系统、协同、高效的方案及其保密性、完整性和可用性在国家安全、商业竞争、个人隐私保护等方面正起着日益重要的作用,越来越受到各国政府、企业和个人的重视。近些年来,依靠计算机病毒、计算机入侵、DOS 攻击等手段窃取电子信息的事件层出不穷,手段越来越高明,给越来越多的组织及网络和计算机系统安全带来威胁。因此,针对电子信息技术的发展与应用特点及存在问题,制定针对性强的电子信息安全措施,防范网络和计算机诈骗、蓄意破坏、间谍等事件的发生,显得十分重要。 一、电子信息技术发展特点 近几十年来,电子信息技术在世界范围内得到翻天地覆的发展,已经成为一个国家综合国力与国际竞争力的重要标志,正越来越多地深入到人们生活的各个角落,改变着人们的生活方式,在社会中扮演着越来越重要的角色,成为世界经济的支柱产业之一。但是,电子信息技术在给人们带来越来越多的便利与享受的同时,也带来了因安全问题所产生的诸多问题。随着网络和计算机技术的发展,电子信息安全涉及内容日益广泛,大到国家军事机密,小到商业信息和个人隐私。不法分子利用网络和计算机获得用户资料信息的事件时有发生,通过篡改中间环节信息谋取利益的现象随时存在。这些活动往往有周密的计划而不易被察觉,加之有的单位和一些人防护意识差,使电子信息系统本身就缺乏安全应对措施,增大了电子信息安全控制的难度。另一方面,电子信息安全造成的危害较大,一个重要机密的泄露,所导致的损失是无法挽回的,有时后果是不可想象的。杀毒软件公司诺顿公司报告:仅2012 年,由信息安全问题引起的网络犯罪导致全球个人用户所蒙受的直接损失高达l100 亿美元;在中国,每年有超过2.57 亿人次成为网络犯罪的受害者,所造成的直接经济损失高达2890 亿元。 二、电子信息安全存在的问题 (一)管理层面的问题。随着经济社会的高速发展和世界经济融合步伐的加快,信息“公开、透明”已经成为时代的重要特征。在此情况下,有的单位和个人在电子信息安全上存在误区:一是认为电子信息“无密可保”。这是极端错误的,古今中外,“公开”与“保密”历来是矛盾的两个方面,绝对地、纯粹地公开是没有的。二是存在电子信息安全管理不严的倾向。有的单位和个人认为电子信息安全工作可有可无,或者说起来重要,做起来不要;一些单位和个人习惯于用传统的、过时的观念和手段来认识、对待、处理新形势下、新领域中的电子信息安全问题;电子信息安全案件轻查处、不报告等问题时常发生。三是存在电子信息安全防范难的倾向。一些人认为:电子信息网络化、全球化、社会化,人际交往全时空、全天候,通信布局天上有卫星,地上有“黑客”的趋势,大大增加了电子信息安全防范的难度。 (二)技术层面的问题。从技术层面上看,电子信息安全存在以下问题:一是电子信息安全管理局限性问题。在我国,既存在电子信息的发展没有统一规划的问题,也存在电子信息安全因交叉管理不系统和开放性不够的问题,还存在安全管理的设施不完备及网络管理维护人员技术不到位等问题,这对电子信息系统维护、安全管理带来了局限性。二是存在安全漏洞的隐
国外在企业收集、利用公众信息方面的 政策、措施、规定、法规。 一、美国 1.《隐私权法》 1974 年12 月31 日, 美国参众两院通过了《隐私权法》(Privacy Act)1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。 《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。 2.《电子通讯隐私法》 到目前为止,美国并没有一部综合性法典对个人信息的隐私权提供保护,主2摘自《情报科学》,周健:美国《隐私权法》与公民个人信息保护
要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986 年颁布的《电子通讯隐私法》(The Electronic Communication Privacy Act,简称ECPA)3。 尽管《电子通讯隐私法》还存在不足,但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。 3.《金融服务现代化法案》 Financial Services Modernization Act of 1999,也就是格雷姆-里奇-比利雷法(Gramm-Leach-Bliley Act,GLB Act)4,它规定了金融机构处理个人私密信息的方式。这部法案包括三部分:金融秘密规则(Financial Privacy Rule),它管理私密金融信息的收集和公开;安全维护规则(Safeguards Rule),它规定金融机构必须实行安全计划来保护这些信息;借口防备规定(Pretexting provisions),它禁止使用借口的行为(使用虚假的借口来访问私密信息)。这部法律还要求金融机构给顾客一个书面的保密协议,以说明他们的信息共享机制。 4、《儿童在线隐私权保护法案》 The Children’s Online Privacy Protection Act,,简称COPPA5,它规定网站经营者必须向父母提供隐私权保护政策的通知,以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对13 岁以下儿童个人信息的收集和处理。 3摘自
1、中华人民共和国宪法 第三十三条凡具有中华人民共和国国籍的人都是中华人民共和国公民。 中华人民共和国公民在法律面前一律平等。 国家尊重和保障人权。 第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。 第三十九条中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。 第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 第四十一条中华人民共和国公民对于任何国家机关和国家工作人员,有提出批评和建议的权利;对于任何国家机关和国家工作人员的违法失职行为,有向有关国家机关提出申诉、控告或者检举的权利,但是不得捏造或者歪曲事实进行诬告陷害。 对于公民的申诉、控告或者检举,有关国家机关必须查清事实,负责处理。任何人不得压制和打击报 由于国家机关和国家工作人员侵犯公民权利而受到损失的人,有依照法律规定取得赔偿的权利。 第四十七条中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作,给以鼓励和帮助。 第五十一条中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。 中华人民共和国宪法修正案(2004年) 第二十四条宪法第三十三条增加一款,作为第三款:“国家尊重和保障人权。”第三款相应地改为第四款。 2、中华人民共和国民法通则 第九十九条公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒。 法人、个体工商户、个人合伙享有名称权。企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。 第一百条公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。第一百零一条公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。 第一百零二条公民、法人享有荣誉权,禁止非法剥夺公民、法人的荣誉称号。 3、中华人民共和国妇女权益保障法(2005修正) 主席令[2005]第40号 第四十二条妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。
数据安全对企业的重要性 在企业中计算机被普遍运用,数据安全也逐渐成为一个重点课题。数据是任何企业的命脉,例如电子邮件、财务报表和员工档案等都是公司的重点数据,没有它们就无法顺利运作。信息也是资产的观念已被企业所认可,企业如何保护“信息资产”成为数据安全的重中之重。 一、企业有哪些数据需要保护? 1、财务:财务数据对企业的运作起着根本的作用,那串敏感的数字预示着企业的实力。若财务数据一旦丢失,那么企业的一切行动都要被迫停止,所有的计划与交易可能都会因财务数据丢失的不明朗因素而导致搁浅,造成企业直接的损失。 2、人事:人才作为一个企业的重要支持,是一个企业能否持续发展的根本,同时也是核心竞争力的体现。如何对人事部门的资料进行有效的保护和管理将是企业壮大与发展的重要一环。如果大量的人事数据掉失或泄密的话,后果可想而知。 3、客户:客户信息对企业的重要性不言而喻,作为企业发展的重要支持,一旦客户信息方面的数据掉失或遭到竞争对手的窃取的话,后果不堪设想。 4、知识产权:产品研发是制造型企业生存根本。作为一个核心竞争力的体现依据之一,在于拥有的知识产权,专利的多少,如技术、设计、创意等等,这些都是企业的重要财富。 二、企业数据保护中存在哪些问题? 1、重视力度不够:导致数据丢失的其中一个很重要的原因是没数据保护意识或存在侥幸心理,造成数据丢失无法恢复等灾难性事件的大部分因素是由于企业对数据安全缺乏必要的重视力度及相应的防护措施不够而引起的。在进入知识经济的今天,在备份上心存侥幸,无异于将企业主体资产用于高风险赌博。 2、财政预算所限:企业的财政力度对数据安全的支持不足,很大部分的中小型企业由于受到企业经济能力的客观因素制约,虽然他们意识到数据安全的重要性与面临问题的严重性,但昂贵的专业存储备份设备对他们而言似乎遥不可及。动辄数万或数十万的SAN、磁带机、RAID柜等中高端存储备份设备不是他们可以涉猎的范畴,而诸如网络硬盘、Ghost、移动硬盘等一些低端的存储备份设备又不能使他们宝贵的数据得到有效的保障。这就造就所谓中小型高不成低不就的尴尬 3、缺少相关的专业人员或资讯:企业如果存在着严重的侥幸心理,可能根本不会购买备份设备,所有数据都只是存放于日常工作的PC上,但操作系统对
个人信息保护 摘要:随着个人信息侵权事件的频繁发生,有关个人信息保护的立法问题也成为学界关注的焦点,而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析,提出对我国个人信息权保护模式应选择人格权保护模式,将其确定为一项具体人格权加以保护。关键词:个人信息个人信息权保护模式 日常生活中,我们经常遇到这样的事情:超市开业,会员卡会莫名其妙地寄到了家里;新房刚拿到钥匙,就有装修公司跟踪而至;新车刚买,就接到电话,询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用,现代人因此而成为“透明人”或“半透明人”,而个人信息保护制度的缺失使人们的工作和生活受到了严重影响,09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此,个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程,但至今尚未出台,而对个人信息相关问题的争论在理论界也从未停止,对个人信息权保护模式的选择理论界也存在颇多争议,本文将对此进行探讨,发表本人一点浅薄的看法。 一、个人信息权 (一个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和,包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据,下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语,一般是指不愿告诉别人的或不想公开的个人的事情,或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异,个人信息的范围大于个人隐私,即
规范信息系统安全管理重要性及实施措施前言 随着科学技术的发展,信息系统不断的进步,在带给我们给你更多便捷的同时,信息系统面对的安全威胁也越来越多。面对日益严峻的安全环境,国家逐步出台了对于信息系统的等级保护定级、测评的相关规定,用以保护信息系统的安全,降低其所面临的风险。比如,如何对信息系统进行规划和管理,如何保证其正常运行的相关规定和措施,出现故障后的应急方案如何制定等。根据在实际情况中所遇到问题,遵循对问题进行分析、思考、实践、改善这一系列研究过程,发现规范化管理对提高系统运行的可用性和连续性有着至关重要的意义。本文将结合笔者对信息安全等级保护的理解阐述信息系统安全管理的重要性,并结合等级保护的具体测评项目制定一些相应的自查自检措施。 一、规范化管理 1、什么是规范化管理 规范化管理是一个系统工程,要使这个系统工程正常工作,实现高效率、高质量,就需要运用科学的方法、手段和原理,按照一定的运营框架,对各项管理要素进行系统的规范化、程序化、标准化设计,
然后形成有效的管理运营机制。 2、什么是信息安全等级保护 根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及受到破坏后对受侵害客体的损害程度,对信息系统的组织管理与业务结构实行分域、分层、分类、分级实施保护,保障信息安全和系统安全正常运行,维护国家利益、社会秩序、社会公共利益以及公民法人和其他组织的合法权益。 信息安全等级保护制度的主要内容是什么? 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 3、信息系统管理规范化概念 信息系统的管理规范化 信息系统的管理规范化,需要依据管理者对于等级保护工作内容的理解,结合等级保护要求设计管理的规范框架或流程,形成统一、规范和相对稳定的管理体系,并在管理工作中按照这些组织框架和流程进行实施,以期达到管理动作的井然有序和协调高效。
浅谈我国信息安全现状和保护 论文摘要:世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性成为我国信息化建设过程中需要解决的重要问题。 论文关键词:信息安全;保护信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。 1我国信息安全的现状 近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。 ①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。 ②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。 ③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。 除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。 2我国信息安全保护的策略 针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。 ①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。 ②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。 ③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。 3结语
深圳鸿硕网络科技.企业信息安全的重要性 近些年来随着网络的普及和信息技术的广泛应用,信息安全的问题不仅存在于国家层面,早已跟每个人息息相关,如何确保信息系统的安全已成为全社会关注的问题。在企业中信息安全的重要性甚至关乎到一家甚至多家公司的存亡,企业中的信息泄露会给企业造成重大的经济损失以及不可逆的损失。 2018年美国的Facebook就被曝出超5000万用户的个人信息泄露,直接导致Facebook股价从185.03美元下跌至166.8美元,市值蒸发了367亿美元,扎克伯格也因此损失了60多亿美元的股票价值,道指盘中跌476点,抹去2018年内全部涨幅,最终收跌335点。标普500最深跌2%,与道指一起经历了2月8日跌入技术性盘整区间以来的最大跌幅。纳指收跌1.8%,为六周以来最大单日跌幅。以Facebook为首的四大科技股“FANG”跌3.3%,市值抹去超1000亿美元。这样的案例还有很多,而此事件的严重性在2018年所发生的信息泄露事件中排在第五名,由此看出企业信息安全尤为重要,所以无论是国家还是企业都在大力发展和投资信息安全产业。 企业中的信息安全面临的威胁包括病毒木马、黑客攻击、局域网内部ARP、溢出攻击、内部人员故意泄密、内部人员无意泄密、数据信息存储设备故障、自然灾害,以及自身的漏洞等等。那么该如何保障企业的信息安全呢? 在人员方面,企业需要定期对员工进行信息安全方面的教育以及相关法律法规的宣传,指导员工绿色上网,安全上网,提高企业员工的安全防范意识是企业信息安全中不可忽视的一环。 在预防外部黑客攻击以及企业的日常信息安全防护方面,企业需购置有相关的安全防护设备。安全产品分为传统安全产品以及现代安全产品 所谓传统信息安全产品,就是指那些功能单一型的信息安全产品,他大致包括:用户身份认证,如静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等、防火墙、安全路由器、安全服务器、安全管理中心入侵检测系统(IDS)、入侵防御系统(IPS)、安全数据库、数据容灾设备。 现代安全产品其实是任何一种企业信息化安全产品(类似防火墙,杀毒软件等。随着攻击者攻击手段的更新,近些年现代安全产品的研发侧重于信息安全事故应急补救,也就是专业数据恢复和安全数据擦除销毁的信息安全产品,为了与以前的防火墙、杀毒软件等信息安全产品相区别,国际企业信息安全行业称这种信息安全产品为“现代企业信息安全产品”。目前国内大多数使用的是国外的数
《个人信息保护法》(专家建议稿)立法研究报告 六.关于法律的适用范围 它主要涉及两个方面的判断或选择:第一是公共部门与私营部门的选择,第二是计算机处理信息与手动处理信息的选择。 首先看第一点,从个人信息保护的角度看,不论是公共部门还是私营部门,只要掌握大量的个人信息,均存在滥用或侵犯个人权利的可能尤其在信息通讯技术高度发达、个人信息的收集和处理成本越来越低的环境下,这种可能性会越来越大。因此个人信息保护法应该同时适用于公共部门与私营部门,立法时应均不加区别地将法律适用于公共部门与私营部门。一些国家或地区认为,提高企业的效率,实现个人信息的保护与经济发展的平衡,对企业的规制不能太多,更多地应通过市场机制或行业自律机制解决问题。对于这个问题,我们应采取统分结合的方式,既要有平等适用于公共部门与私营部门的规定,又要规定对政府机关与其它个人信息处理者不同的义务。 其次看第二点,在我国,由于文字和档案管理制度历史久远,加之许多个人信息处理仍未完全实现计算机化或自动化,因此应明确规定法律同时适用于计算机处理信息与手动处理信息。明确法律适用于手动方式处理的信息,不但可以减少法律适用的模糊区域,防止规避法律的现象大量出现,而且对于真正保护个人权利也具有重要的现实意义。同时应参考域外立法的普遍经验,将手动方式处理的信息限定在“根据一定的编排标准或检索方式”进行处理的个人信息,而不是所有的手动处理信息。这样的信息对于降低立法的社会成本,提高执法的有效性,切实保护个人的信息权利,都具有重要意义。 附:各国对第一点不同的适用范围 1.不加区别地适用于二者:奥地利、波兰、阿根廷。 2.通过一部法律分章进行规定:德国、我国台湾。
文章编号:1674-5205(2013)03- 0147-(006)收稿日期:2013-01-03 作者简介:杨立新(1952—),男,山东蓬莱人,中国人民大学民 商事法律科学研究中心研究员,法学院教授,博士生导师。 侵害公民个人电子信息的侵权行为及其责任 杨立新 (中国人民大学民商事法律科学研究中心,北京100872) 〔摘 要〕全国人大常委会《关于加强网络信息保护的决定》规定了保护网络信息安全,制裁侵害公民个人 电子信息侵权行为的原则,对于侵害公民个人电子信息“侵害他人民事权益的,依法承担侵权责任”。这种侵权行为是一般侵权行为,《决定》列举的侵害公民个人电子信息的不同表现形式,应当根据《侵权责任法》第6条第1款关于过错责任原则的规定,确定构成要件、举证责任以及相应的责任承担方式。 〔关键词〕决定;公民个人电子信息;侵权行为;侵权责任;一般侵权行为 Abstract :Decision of Strengthening Network Information Protection by the Standing Committee of National People's Congress prescribes the principles of protecting network information and punishing tortious conduct of infringing individual electronic information.When the above -mentioned situation happens ,tort liability shall be borne in accordance with the relevant laws.The said tortious conduct is a general tort.Different forms of infringing individual electronic information lis-ted in the Decision ,their constituent elements ,burden of proof and means of bearing tort liability should be determined in accordance with the fault liability principle in Para.1of Art.6of Tort Liability Law . Key Words :Decision of Strengthening Network Information Protection ;individual electronic information ;tortious con-duct ;tort liability ;general tort 中图分类号:DF0-052 文献标识码:A 2012年12月28日,第11届全国人大常委会第 30次会议通过了《关于加强网络信息保护的决定》(以下简称《决定》),于当天公布,立即生效施行。《决定》关于加强保护网络信息,特别是关于制裁侵害公民个人电子信息的侵权行为的规定,具有重要意义,需要进行解读和深入研究,以便更好地制裁侵权行为,保护好个人信息和隐私权。 一、确定加强网络信息保护制裁侵权行为的原则《决定》第1条开宗明义,规定了保护网络信息安全、制裁侵害公民个人电子信息侵权行为的一般原则, 即“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。《决定》确立这一原则是十分重要的。在实践中落实这一原则,保护公民个人电 子信息,制裁侵权行为,应当着重把握以下几个要点: 第一,《决定》的立法宗旨是保护公民个人身份 信息和个人隐私信息,同时也要强调保护公民的表达 自由,不能因为强调保护个人信息和隐私权而对公民的表达自由进行非法限制。对此, 最明确的界限是《宪法》第51条规定,即公民在行使自由和权利的时 候, 不得侵犯他人的自由和权利。凡是没有侵害他人自由和权利的行为,就是合法的行为,就在保护之列。违反这一规定的行为,才是应当制裁的违法行为。例 如,在网络上揭露“表哥”、“表叔”等腐败分子的罪行,并且最后通过司法程序将其绳之以法,不属于侵害个人信息的侵权行为,而属于表达自由、促进廉政 建设的正当行为,应当予以鼓励。为了社会公共利益的目的,在网络以及任何场合对违法犯罪行为进行揭露,或者以其他方法表达自己的意见,都不属于侵权行为,都应当受到法律的鼓励。 第二,应当加强对侵害公民个人电子信息侵权行为制裁的力度。近年来,社会生活中之所以侵害公民个人电子信息的行为十分猖獗, 其主要原因就是对这些侵权行为制裁不力。虽说在刑法、民法、行政法等方面都有针对侵害公民个人信息行为的制裁规定,但这些规定都不是特别明确和具体。同时,对于侵害个人信息刑事犯罪的起刑点过高,很难运用刑罚手段对
浅谈信息安全管理在运维服务中的重要性 发表时间:2018-09-12T14:48:00.957Z 来源:《科技新时代》2018年7期作者:桑文君[导读] 本文以运维服务为根本角度出发,探究目前运维服务之中的信息安全出现的问题以及相对应的解决方法。 云南电网有限责任公司保山供电局云南省昆明市 678000 【摘要】运维服务即为IT的管理部门运用相应的技术、工具以及方法策略等对IT的基础设备(软件、网络、硬件等)展开全面管理的路程。本文以运维服务为根本角度出发,探究目前运维服务之中的信息安全出现的问题以及相对应的解决方法,同时提出提高细信息安全管理其平台的体系化以及平台化,促进运维服务与信息化安全管理得以相辅相成,进而更高效的引导运维相关的服务工作者更有效的实施 保障工作服务。【关键词】运维服务;信息安全管理;重要性 1、目前运维服务之中信息化安全管理 1.1 网络信息安全的现状 以2017年为例,依据中国互联网其应急中心进行的实时抽样调查的数据统计分析得出,新增加的信息安全其漏洞个数较上个月相比增加了34%,境内出现被黑的网站个数达到8109个,境内出现被篡改的网站个数达到9303个,境内出现被木马以及僵尸程序所控制的主机个数达到了118万台之多。通过这些数据将直接的反映出目前中国的网络信息安全问题愈发严重。 1.2 目前运维服务之中存在的信息安全隐患 病毒即为运维服务中所存在的最重点的难题之一,会打乱系统所处的正常运行环境。在运维服务当中,我们时常面临数据被截获、中断、伪造以及篡改等情况,其破坏性强、传播速度快、种类繁多,为运维服务携带了压力以及困难。并且信息化安全隐患存在全程化的特征,在信息进行传输的过程之中,发送方以及接收方只要其中一方的系统携带病毒,都将会影响到数据的准备传输,同时极大可能会导致信息被窃取的情况。一旦系统资源其合法身份以及访问权限被窃取,便能够对网络信息随意进行篡改、删除的破坏性操作。 1.3 目前运维服务之中其信息安全的方法 目前人们在运维服务之中所运用到的信息安全方法都较为单一,比如通过防火墙或交换机过滤并隔离危险信息,密码策略可以阻止数据在传送过程中被盗取或篡改。虽然这类信息安全方法能够解决目前运维服务之中面临的安全隐患,但是假若把这类隐患与方法进行罗列,将会发现,先出现隐患,再实施相应解决方法对运维服务来讲较为被动。所以人们要提高运维服务过程中的网络信息安全管理的措施,化被动为主动,进而促进运维服务工作的实施。 2、提高网络信息安全管理的平台化、体系化 网络信息安全管控不单是对防火墙、交换机、路由器的管理,要采取平台化与体系化的理念展开全面的思考,要对网络信息安全管控其流程与内容进行统一并规范,初步搭建起实用且合规信息管控平台,进而实现信息的安全管控。 信息安全管控其平台作为管控安全的主要工具,核心理念即为管理,围绕核心展开设计,最终成为网络信息安全管控工作的规范标准,而后通过不断的对工作标准进行完善,以及对网络信息安全管控能力逐步提升,进而实现网络信息其安全建设呈螺旋提升的效果。 如何做到信息安全管控体系化,构建真正有效实用的网络信息安全管控平台?主要需考虑以下5个点:(1)增强对安全信息的统一管控,对和网络信息安全紧密相关的每一类资产展开全面管控,针对重点设施展开规范严谨的检查。(2)达到信息安全管控的可监测化,即结果可以跟踪、过程可以监测,增加操作与显示上可视化的效果,加强直观性与易用性。(3)重点运用网络信息安全关联方式及模型,构造出一个以所关联信息安全管控为模型的框架,以做到网络信息安全事件其关联与表示。进而达到安全信息的精简、误报率以及漏报率的降低,实现加强安全系统之间的关联、构建安全信息管控规范等。(4)进行网络信息安全状况的评估活动,对网络与系统其整体的安全性进行全面评价,为打造信息安全管理方式打下基础。(5)支持多种种类的网络应用方式,以达到不同行业与应用业务差异化的要求。 3、信息化安全管理在运维服务中的重要性 3.1促进信息安全管理和运维服务的相辅相成 运维服务不仅是维护一个设备或者提供一次服务,而且要站在战略的角度、把需求作为重心,将安全视为导向,通过网络信息化安全管控的体系化以及平台化构建来增强运维服务其高质量与高效性,把信息安全管控和运维服务进行深层次的融合是未来运维服务向前发展之趋势。 通过信息安全管控与运维服务相结合,促进运维服务作业高效有序的进行:(1)构建完善的运维体制:基于梳理运维服务管控现状的基本流程,对运维管控进行症结分析并提出改良对策,按照行业化的构建规范,构建完善切合实际的运维体制;(2)制定相应的运维服务标准要求,提升运维服务其质量构建的服务标准:针对已有的运行系统管控体制进行完善,制定满足业务要求并完成运维服务管控标准的试行、修订、发布以及宣贯;(3)充分运用信息安全管控平台:提升办公区域环境中的软件设施、硬件设施以及业务运用软件的运维效率,进而保证信息系统有序安全的运行;(4)加强运维服务的管理:依据所编制的服务管控标准监督每一项服务的实行,提高运维服务的管控,进而使得运维服务水平更上一层楼。 3.2运用网络信息化安全管控平台保障运维服务作业 网络信息安全管控平台即为安全管控的枢纽与核心,它向上可为安全方法、组织以及决策进行协助,向下可为贯穿到整体的运维服务:(1)为网络运维服务负责健康检测,通过健康检测来排查故障,减少故障发生率,将被动服务化为服务,保证系统长期且正常的作业。(2)定时对每一类系统所存在的安全日志进行有效全面的集中管理、收集以及审计服务。(3)经过检查、比较和分析用户的网络行为大数据,从中分析出有悖于安全行为的记录,对此行为及时进行监控与控制,给运维服务捕获第一手资料。(4)提供相关的漏洞分析服务,能够获得最新安全动态、信息以及技术。(5)构建运维服务知识库,积累相关的运维服务知识与经验,保证运维服务的高效性。 4 小结 信息安全管控与运维服务密切相关,只有增强信息安全管控,才可以实现信息的安全性,才能够保证运维服务工作者高效的进行工作,提升运维服务工作者的信息安全思维,进而引导运维服务工作者高效的展开作业,以促进信息安全管控与运维服务的相辅相成。【参考文献】
1国家宏观信息安全管理方面,主要有以下几方面问题: (1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线. (2)管理问题。(包括三个层次:组织建设、制度建设和人员意识) (3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目. 2微观信息安全管理方面存在的主要问题为: (1)缺乏信息安全意识与明确的信息安全方针。 (2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的. (3)安全管理缺乏系统管理的思想。 3信息安全的基本概念(重点CIA) 信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同. I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性. A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等 4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要 c.信息安全是保护个人隐私与财产的需要 5如何确定组织信息安全的要求:a.法律法规与合同要求b.风险评估的结果(保护程度与控制 方式)c.组织的原则、目标与要求 6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。 7 图1-1信息安全管理PDCA持续改进模式:.doc 系统的信息安全管理原则: (1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上 (3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受 (4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然 (5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理 (7)全员参与的原则: (8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。PDCA模式,如图
中华人民共和国个人信息保护法(草案)2017版 编者按:大数据和人工智能时代的到来,个人信息作为大数据挖掘和利用的“宝藏”,面临着空前的保护危机,个人不应当在享受科技发展便利的同时遭受人格权利的侵害。2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表今年两会提交《关于制定<中华人民共和国个人信息保护法>的议案》,建议尽快制定《中华人民共和国个人信息保护法》。议案同时将《中华人民共和国个人信息保护法(草案) 》作为附件提交。 中华人民共和国个人信息保护法(草案) 目录 第一章一般规定 第二章个人信息权 第三章国家机关信息处理主体对个人信息的收集、处理和利用 第四章非国家机关信息处理主体对个人信息的收集、处理和利用 第五章法律责任 第六章附则 第一章一般规定 第1条【立法目的】 为规范个人信息的收集、处理和利用,保护自然人个人信息权以及其他合法权益,促进个人信息的合理利用,规范个人信息跨境传输,特制定本法。 第2条【适用范围】 本法适用于完全或者部分通过自动方式进行的个人信息处理和可以进行检索的人工处理。 第3条【个人信息】 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 第4条【合法原则】 个人信息的收集、处理和利用应当遵循合法、正当、必要的原则,不得违反法律、法规的规定和双方的约定收集、处理和利用个人信息。 第5条【知情同意原则】 不符合本法或其他法律、法规规定,或未经信息主体知情同意,不得收集个人信息。收集不需识别信息主体的个人信息,应当消除该信息的识别力,并不得恢复。第6条【目的明确原则】 个人信息的收集应当有明确而特定的目的,不得偏离有关目的收集个人信息。不得以欺诈、胁迫等其他不正当的手段获取个人信息。 第7条【限制利用原则】 个人信息的处理和利用,必须与收集目的一致,必要情况下的目的变更应当有法律规定或取得信息主体的同意或其他正当理由。 第8条【完整正确原则】 信息处理主体应当保证个人信息在利用目的范围内准确、完整并及时更新。 第9条【安全原则】
龙源期刊网 https://www.doczj.com/doc/a618897267.html, 安全管理信息化在企业管理中的重要作用 作者:佘丹亚 来源:《科学与信息化》2017年第20期 摘要随着高新技术的日益普及和发展,越来越多的企业陆陆续续地将网络和计算机逐步运用到企业自身的经营和管理中去,因此这使得企业的信息化安全变得越来越重要。安全管理信息化是我国信息化建设的重要组成部分。我国企业安全管理信息化存在着许多制约安全管理信息化发展的因素,安全管理信息化的安全管理因素将关系到企业安全管理信息化的成败。为了保障企业的安全稳定运行,建立信息安全防护体系势在必行。 关键词信息化安全企业管理网络平台;安全管理信息化;信息安全防护体系 前言 随着我国信息技术的大力发展和普及,越来越多的企业将信息化的企业运营和管理作为企业发展的重点,以此来提升企业自身的运作效率,从而进一步增加企业自身的知名度和企业收益。安全管理信息化是企业能够流畅运作的保障,现如今如何更好地保证企业管理中的信息化安全已经成为每一个新型企业都要面临的严峻问题。本文根据企业所面临的实际情况,从几个常见的要点和方面分析了在企业管理中常见的几个信息化安全管理问题及说明安全管理信息化在企业管理中的重要方面。 1 企业管理中安全管理信息化安全的基本概述 所谓企业安全管理信息化指的是企业将计算机和互联网作为管理平台,在此基础上进行安全管理开发、生产等控制性的活动,旨在提升企业的运作效率和生产进度,从而提高企业内部的核心竞争力。虽然信息化在企业的管理上占有一定的优势,但是随着计算机病毒和互联网黑客的大肆盛行,在信息化大环境下的企业管理难免会出现一定的数据安全问题。信息化企业管理平台的安全与否直接关系到企业机密数据的安全问题。对于部分与外界互联网有链接的企业信息化管理平台,甚至可能会造成企业核心机密文件的丢失,从而给企业自身带来不可估量的损失[1]。 2 企业管理中安全管理信息化安全的重要方面 完善和健全企业安全管理的信息化平台是确保企业运行顺畅非常重要的一个关键性因素。相关企业安全管理信息化的管理层领导要切实从企业安全管理信息化的核心层面保障企业管理的信息化安全,浅析信息化安全在企业管理中的重要性。随着高新技术的日益普及和发展,越来越多的企业陆陆续续地将网络和计算机逐步运用到企业自身的经营和管理中去,因此这使得企业的安全管理信息化变得越来越重要。企业信息化安全作为企业信息化管理和建设中的十分关键的一个环节,是企业能够流畅运作的保障。现如今,如何更好地保证企业管理中的信息化