2011?03
(上)及力。但是,如果新刑法比当时的法律处刑较轻的,则适用新刑法,即新刑法具有溯及力。对于此案,在刑法修正案七出台之前,我国刑法是没有相关的对侵犯公民个人信息犯罪的规定的,而是在修正案七中才对这样的行为入罪的,从报道中又看不出本案有何“特殊”——除了受害人是官员。难道本案真的是因“官员”才成其为“第一案”?须知,对于出刑入罪来说,公正永远比“第一案”更重要。因此,对周建平案适用修正案七的第七条有违刑法的“罪刑法定”原则下的溯及力原则。
其次,《刑法修正案(七)》第七条规定的犯罪主体首先是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,其次才是一般主体和单位主体,违反国家规定,在履行职责或者提供服务过程中利用职务之便获得的公民个人信息,出售或非法提供公民个人信息罪的情形。该条立法的意义在于严厉打击“公权”侵害公民的信息安全,而周建平只是区区一个普通老百姓,一个“二道贩子”,让他“捷足先登”,摘取“侵犯个人信息罪第一案”这一“殊荣”,确实有点“冤”;普通的信息贩子成了“侵犯公民信息安全罪”的第一个“刀下鬼”,而不是那些对个人信息安全威胁最大的公权或准公权机构,似有违立法本意。
《刑法修正案(七)》规定:“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,按照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
然而,立法之初,就有专业人士指出了其中不足,甚至可能会产生“死循环”的尴尬。原因之一是,该法条规定公权机关只有
“违反国家规定”提供公民信息,才构成犯罪,然而,我国的《个人
信息保护法》尚在制定当中,行业相关条例中也没有不得出卖个人信息的规定,于是这个规定被架空了。更令人伤心的是,这一法条还会被利益集团在实践中架空。比如,去年高考之后,很多考生还是能接到各种“假录取通知书”,不问可知是谁泄露的考生信息,但迄今笔者也未见过司法机关立案追究相关教育部门人员的责任。周建平所用的“非法手段”,在网上已是“公开的秘密”,并且广为一些“私家侦探”所采用。这一行为的入罪究责是必然,但周的入罪却是充满了偶然。如报道所介绍的那样,周建平将14位领导的电话号码及通话清单卖给了一伙骗子,这些骗子又利用上述“个人信息”实施了诈骗行为,因为在公安司法机关看来,这就是典型的“情节严重”了。假设周建平售卖的个人信息来自一些普通人而非官员,并且也导致了诈骗等后果,还会否有如此顺利的侦破及追根溯源的究责?
三、完善立法,治标治本
没有救济的权利不是真正的权利。个人信息作为一种重要的社会资源,是国家制定政策的依据,是经济发展的需要,因此,国家应当负有对个人信息的保护责任,而完善立法则是国家履行保护职责的最主要体现。如果不能建立个人信息保护的相关制度,对个人信息处理行为进行有效的管制,就无法从根源上杜绝侵犯个人信息的问题。由于我国还没有制定专门的个人信息保护方面的法律,所以笔者建议应尽快出台一部我国的《个人信息保护法》。针对我国存在的一些的问题与不足,我们参考了国外的一些相关立法与实践,可以从以下几个方面加以完善:首先,应当进一步扩展主体的范围,如果认真分析出售、非法提供公民个人信息罪的主体,我们会发现,现行条款中规定的犯罪主体被限制在公权力范围内,或者是提供垄断性、强制性的公共服务领域。而在现实生活中,上述主体以外的单位及其工作人员也有大量的机会接触到公民个人信息,比如房地产公司、物业公司、中介机构、教育辅导机构、实行会员制度的公司等。这些主体将公民个人信息出售或非法提供给他人并造成严重后果的行为屡见不鲜,这些主体对于个人信息的侵犯行为,一定程度上也侵害了公民的切身利益。如果这些单位及其工作人员没有被纳入刑法规范的主体范围之内,势必会造成刑法适用的不平等,个人信息刑法保护的涉及面不够广泛。笔者认为,应当将可以合法收集公民个人信息的单位及其工作人员都纳入出售、非法提供公民个人信息罪的主体范围。其次,前端实体法有待进一步补充,目前,我国现行的《护照法》、《居民身份证法》、《传染病防治法》等法律法规中存在着保护公民个人信息的相关条款。但从整个立法体制上来看,目前我国涉及个人信息保护的法律法规在数量上却极其有限,并且分布不均匀,无法做到保护的广泛性。零零散散的条款缺乏系统性,定义较为抽象,缺乏一定的可操作性,而且存在行为主体和保护客体范围比较狭窄的缺陷。总之,中国目前依然缺乏系统保护公民个人信息的专门实体法,来综合运用民事和行政的手段系统而全面的保护公民个人信息。缺乏这一重要前端实体法作为基础,新增条款就如同“空中楼阁”,无法全面、有效地保护公民的个人信息。因此,在司法实践过程中,对于侵犯公民个人信息的行为,往往会因为相关立法规定的缺失,使得侵权者因为这一局限逃避法律的制裁,从而出现刑罚与刑法的谦抑性原则相抵触的尴尬局面。本罪还存在取证难的问题,在刑事诉讼过程中有效的调查取证是打击犯罪的重要因素,但由于信息时代突飞猛进的科技发展、网络系统的发达,非法买卖、窃取公民个人信息的行为就会具有隐蔽性的特点,又因为利益链条复杂和经济利益驱动等原因,增加了调查取证的困难。再者,刑事犯罪的调查取证本来就非易事,解决取证难的问题,根本上是要提高侦查的水平,完善侦查的技术,同时加强对公民个人信息的保护意识。尽管个人信息保护目前还存在诸多漏洞,但是,将公民个人信息纳入刑法保护的范围,顺应了世界的趋势和时代的潮流,是保护公民合法权益的一次重大进步。参考文献:[1]笑蜀.公民隐私权非官员专用.南方周末网站.2010-02-03.[2]孔博.文献题名:全国首例侵犯个人信息安全案透视.新华网.2010-01-06.[3][美]威廉?福克纳著.李文俊译.论隐私权.上海译文出版社.2008-07-10.[4]朗胜.专家解读刑法修正案七.腾讯科技.2009-03-03[5]张明楷.刑法.中国政法大学出版社.2005年版.◆法学研究
浅谈电子信息安全问题及对策 作者:胡巍威 来源:《办公室业务》 2015年第8期 文/ 辽宁省电子信息产品监督检测院(辽宁省信息安全与软件测评认证中心)胡巍威 【摘要】本文介绍了电子信息技术发展特点,围绕管理、技术层面分析了电子信息安全存在的问题,提出加强电子信息安全管理、使用好安全防护工具、发挥人的作用的对策建议。 【关键词】电子;信息;安全;对策 电子信息安全完整、系统、协同、高效的方案及其保密性、完整性和可用性在国家安全、商业竞争、个人隐私保护等方面正起着日益重要的作用,越来越受到各国政府、企业和个人的重视。近些年来,依靠计算机病毒、计算机入侵、DOS 攻击等手段窃取电子信息的事件层出不穷,手段越来越高明,给越来越多的组织及网络和计算机系统安全带来威胁。因此,针对电子信息技术的发展与应用特点及存在问题,制定针对性强的电子信息安全措施,防范网络和计算机诈骗、蓄意破坏、间谍等事件的发生,显得十分重要。 一、电子信息技术发展特点 近几十年来,电子信息技术在世界范围内得到翻天地覆的发展,已经成为一个国家综合国力与国际竞争力的重要标志,正越来越多地深入到人们生活的各个角落,改变着人们的生活方式,在社会中扮演着越来越重要的角色,成为世界经济的支柱产业之一。但是,电子信息技术在给人们带来越来越多的便利与享受的同时,也带来了因安全问题所产生的诸多问题。随着网络和计算机技术的发展,电子信息安全涉及内容日益广泛,大到国家军事机密,小到商业信息和个人隐私。不法分子利用网络和计算机获得用户资料信息的事件时有发生,通过篡改中间环节信息谋取利益的现象随时存在。这些活动往往有周密的计划而不易被察觉,加之有的单位和一些人防护意识差,使电子信息系统本身就缺乏安全应对措施,增大了电子信息安全控制的难度。另一方面,电子信息安全造成的危害较大,一个重要机密的泄露,所导致的损失是无法挽回的,有时后果是不可想象的。杀毒软件公司诺顿公司报告:仅2012 年,由信息安全问题引起的网络犯罪导致全球个人用户所蒙受的直接损失高达l100 亿美元;在中国,每年有超过2.57 亿人次成为网络犯罪的受害者,所造成的直接经济损失高达2890 亿元。 二、电子信息安全存在的问题 (一)管理层面的问题。随着经济社会的高速发展和世界经济融合步伐的加快,信息“公开、透明”已经成为时代的重要特征。在此情况下,有的单位和个人在电子信息安全上存在误区:一是认为电子信息“无密可保”。这是极端错误的,古今中外,“公开”与“保密”历来是矛盾的两个方面,绝对地、纯粹地公开是没有的。二是存在电子信息安全管理不严的倾向。有的单位和个人认为电子信息安全工作可有可无,或者说起来重要,做起来不要;一些单位和个人习惯于用传统的、过时的观念和手段来认识、对待、处理新形势下、新领域中的电子信息安全问题;电子信息安全案件轻查处、不报告等问题时常发生。三是存在电子信息安全防范难的倾向。一些人认为:电子信息网络化、全球化、社会化,人际交往全时空、全天候,通信布局天上有卫星,地上有“黑客”的趋势,大大增加了电子信息安全防范的难度。 (二)技术层面的问题。从技术层面上看,电子信息安全存在以下问题:一是电子信息安全管理局限性问题。在我国,既存在电子信息的发展没有统一规划的问题,也存在电子信息安全因交叉管理不系统和开放性不够的问题,还存在安全管理的设施不完备及网络管理维护人员技术不到位等问题,这对电子信息系统维护、安全管理带来了局限性。二是存在安全漏洞的隐
1.应该如何保护我们个人信息安全? 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时,最安全的办法就是将该计算机与其他上网的计算机切断连接。这样,可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说,网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时,使用加密技术。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,发送方使用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,使用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他也只能得到无法理解的密文,从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料,不要随便在网络上泄露包括电子邮箱等个人资料。现在,一些网站要求网民通过登记来获得某些“会员”服务,还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意,要养成保密的习惯,仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话,可以化被动为主动,用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时,可以简单地改动姓名、邮政编号、社会保险号的几个字母,这就会使输入的信息跟虚假的身份相联系,从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼,不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料,在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中。在保护网络隐私权方面,防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件,反制Cookie和彻底删除档案文件。如前所述,建立Cookie 信息的网站,可以凭借浏览器来读取网民的个人信息,跟踪并收集网民的上网习惯,对个人隐私权造成威胁和侵害。网民可以采取一些软件技术,来反制Cookie软件。另外,由于一些网站会传送一些不必要的信息给网络使用者的计算机中,因此,网民也可以通过每次上网后清除暂存在内存里的资料,从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护,除了对未成年人进行隐私知识和媒介素养教育外,应在家长或监护人的帮助下,借助相关的软件技术进行。
服务与质量保障措施
一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙(硬件防火墙正在采购中),做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司
信息安全技术互联网交互式服务安全保护管理制度
锐理信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处理制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯
2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据
泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
个人信息保护 摘要:随着个人信息侵权事件的频繁发生,有关个人信息保护的立法问题也成为学界关注的焦点,而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析,提出对我国个人信息权保护模式应选择人格权保护模式,将其确定为一项具体人格权加以保护。关键词:个人信息个人信息权保护模式 日常生活中,我们经常遇到这样的事情:超市开业,会员卡会莫名其妙地寄到了家里;新房刚拿到钥匙,就有装修公司跟踪而至;新车刚买,就接到电话,询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用,现代人因此而成为“透明人”或“半透明人”,而个人信息保护制度的缺失使人们的工作和生活受到了严重影响,09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此,个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程,但至今尚未出台,而对个人信息相关问题的争论在理论界也从未停止,对个人信息权保护模式的选择理论界也存在颇多争议,本文将对此进行探讨,发表本人一点浅薄的看法。 一、个人信息权 (一个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和,包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据,下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语,一般是指不愿告诉别人的或不想公开的个人的事情,或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异,个人信息的范围大于个人隐私,即
郑州工业应用技术学院课程设计(论文) 题目:个人信息安全保护技术概论 指导教师:郭军利 学生姓名:吴万强 学号: 1401120125 专业: 14级通信工程 院(系):信息工程学院 2016年12月26日
目录 1 个人信息安全保护技术概论 (3) 1.1 背景简介 (3) 1.2 研究意义 (3) 1.3 国内外研究状况 (4) 2 个人信息安全保护技术发展趋势 (4) 2.1 主要技术和发展趋势 (4) 2.2 常见的安全威胁 (7) 3 个人信息安全防护策略 (7) 3.1 威胁计算机信息安全主要因素 (8) 3.1.1 黑客的威胁和攻击 (8) 3.1.2 计算机病毒 (8) 3.1.3 网络软件的漏洞 (8) 3.2 计算机信息安全的防护措施 (8) 3.2.1 设置身份鉴别系统 (8) 3.2.2 设制口令识别 (8) 3.2.3 安装防火墙技术软件 (9) 3.2.4 安装网络版防病杀毒软件 (9) 3.2.5 采取数据加密技术 (9) 3.2.6 加强管理解决信息安全的问题 (9) 4 总结 (9)
1个人信息安全保护技术概论 1.1背景简介 在21世纪的今天,随着计算机技术的不断发展,计算机的使用已经深入到人们生活工作中的每个角落,对其网络的应用以来也来越高,然而,随着计算机应用的普及,信息安全的问题也渐渐的浮出水面,大量的信息都出存在网络上,可能随时早到非法侵入,对信息安全造成威胁,因此,计算机网络信息安全及维护是非常重要的,必须引起高度的重视,本文阐述了关于计算机网络信息安全与防护的策略进行探讨分析,仅供参考。 由于互联网技术在全球的发展速度很迅猛,在给人们工作带来方便和带来物质享受的同时,在在承担着来自网络的安全威胁,例如像数据被剽窃、黑客的侵袭、系统内部的信息被盗等,虽然在计算机的系统里安装了很多的安全软件,但还是难免发生诸如的类似的情况,目前,怎样能够保证计算机网络信息的安全性和可靠性,是全球都在关注的话题. 1.2研究意义 从发展的眼光来看,Windows平台的发展方向已经从桌面应用转向网络应用,计算机用户也已经越来越离不开网络。这一方面大大提高了人们的工作效率,另一方面也对计算机上的信息安全提出了更高的要求。一个没有任何安全维护的网站的安全漏洞至少有1 500个,而这些漏洞恰恰使黑客攻击的主要目标。病毒、黑客、木马程序都对我们的系统安全造成严重的威胁。1999年4月26日的CIH 病毒大爆发给我国带来了数以亿计的损失,根据Financial Times的统计,全球平均每20s就有一个网络遭到非法入侵,Yahoo,Sina,263等很多国内外著名 站点都曾遭到黑客的攻击。 信息安全是一个相对的概念,有些用户认为只要使用了防病毒软件和防火墙产品,信息安全问题就可以迎刃而解,这是完全错误的。随着计算机操作系统漏洞的不断发现、新病毒和新的攻击手段的不断产生,我们只能使系统越来越安全,而做不到绝对的安全。 为了保护计算机系统里的各种信息,我们必须时刻保持高度的警惕。一方面要使用合格的防病毒软件和防火墙产品,并对其进行正确的设置;另一方面要了解病毒、木马程序、防病毒软件和防火墙等产品的基本知识,注意计算机系统漏洞、软件安全方面的最新信息,做到对自己的系统安全情况始终有一个清醒的认识。只有这样才能使你的系统受到最大程度的保护,从而保障个人信息的安全。
浅谈我国信息安全现状和保护 论文摘要:世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性成为我国信息化建设过程中需要解决的重要问题。 论文关键词:信息安全;保护信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。 1我国信息安全的现状 近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。 ①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。 ②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。 ③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。 除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。 2我国信息安全保护的策略 针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。 ①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。 ②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。 ③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。 3结语
互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等 级保护基本要求) 3术语和定义 3.1 个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法,第七十六条(五)] 注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017,定义3.5] 3.6 个人信息使用
文章编号:1674-5205(2013)03- 0147-(006)收稿日期:2013-01-03 作者简介:杨立新(1952—),男,山东蓬莱人,中国人民大学民 商事法律科学研究中心研究员,法学院教授,博士生导师。 侵害公民个人电子信息的侵权行为及其责任 杨立新 (中国人民大学民商事法律科学研究中心,北京100872) 〔摘 要〕全国人大常委会《关于加强网络信息保护的决定》规定了保护网络信息安全,制裁侵害公民个人 电子信息侵权行为的原则,对于侵害公民个人电子信息“侵害他人民事权益的,依法承担侵权责任”。这种侵权行为是一般侵权行为,《决定》列举的侵害公民个人电子信息的不同表现形式,应当根据《侵权责任法》第6条第1款关于过错责任原则的规定,确定构成要件、举证责任以及相应的责任承担方式。 〔关键词〕决定;公民个人电子信息;侵权行为;侵权责任;一般侵权行为 Abstract :Decision of Strengthening Network Information Protection by the Standing Committee of National People's Congress prescribes the principles of protecting network information and punishing tortious conduct of infringing individual electronic information.When the above -mentioned situation happens ,tort liability shall be borne in accordance with the relevant laws.The said tortious conduct is a general tort.Different forms of infringing individual electronic information lis-ted in the Decision ,their constituent elements ,burden of proof and means of bearing tort liability should be determined in accordance with the fault liability principle in Para.1of Art.6of Tort Liability Law . Key Words :Decision of Strengthening Network Information Protection ;individual electronic information ;tortious con-duct ;tort liability ;general tort 中图分类号:DF0-052 文献标识码:A 2012年12月28日,第11届全国人大常委会第 30次会议通过了《关于加强网络信息保护的决定》(以下简称《决定》),于当天公布,立即生效施行。《决定》关于加强保护网络信息,特别是关于制裁侵害公民个人电子信息的侵权行为的规定,具有重要意义,需要进行解读和深入研究,以便更好地制裁侵权行为,保护好个人信息和隐私权。 一、确定加强网络信息保护制裁侵权行为的原则《决定》第1条开宗明义,规定了保护网络信息安全、制裁侵害公民个人电子信息侵权行为的一般原则, 即“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。《决定》确立这一原则是十分重要的。在实践中落实这一原则,保护公民个人电 子信息,制裁侵权行为,应当着重把握以下几个要点: 第一,《决定》的立法宗旨是保护公民个人身份 信息和个人隐私信息,同时也要强调保护公民的表达 自由,不能因为强调保护个人信息和隐私权而对公民的表达自由进行非法限制。对此, 最明确的界限是《宪法》第51条规定,即公民在行使自由和权利的时 候, 不得侵犯他人的自由和权利。凡是没有侵害他人自由和权利的行为,就是合法的行为,就在保护之列。违反这一规定的行为,才是应当制裁的违法行为。例 如,在网络上揭露“表哥”、“表叔”等腐败分子的罪行,并且最后通过司法程序将其绳之以法,不属于侵害个人信息的侵权行为,而属于表达自由、促进廉政 建设的正当行为,应当予以鼓励。为了社会公共利益的目的,在网络以及任何场合对违法犯罪行为进行揭露,或者以其他方法表达自己的意见,都不属于侵权行为,都应当受到法律的鼓励。 第二,应当加强对侵害公民个人电子信息侵权行为制裁的力度。近年来,社会生活中之所以侵害公民个人电子信息的行为十分猖獗, 其主要原因就是对这些侵权行为制裁不力。虽说在刑法、民法、行政法等方面都有针对侵害公民个人信息行为的制裁规定,但这些规定都不是特别明确和具体。同时,对于侵害个人信息刑事犯罪的起刑点过高,很难运用刑罚手段对
电子信息安全风险研究 摘要:信息科技的发展和信息时代的到来给人们生活带来了极大的便利,让人们的生活变得多姿多彩。此外,信息时代的到来也在逐步改变企业的商业架构,崛起了许多符合潮流发展的新兴企业。但在信息科技不断发展的过程中,电子信息安全问题也日益突出,人们对电子信息防范的安全问题也越发重视。本文从电子信息的安全问题出发,探讨存在的安全风险,并提出了几点防范措施,以供借鉴。 关键词:电子信息;安全风险;管理 随着我国计算机技术的不断发展,办公软件产业也不断进步。办公软件在人们生产和生活中的应用越来越广泛。如今,依托办公软件的电子信息已经深入到社会的方方面面,并凭借快速、方便等特点,在人类社会广泛流传。但是在实际中,电子信息也带来了信息泄露的危险,给人们的生活和工作造成一定损失,因此,通过论述电子信息的安全存储方法和利用方法,能够帮助人们更安全的应用电子信息。 1电子信息工程概述 电子信息工程以完善电子设备功能、展开信息搜索研究为主。计算机网络技术是电子信息工程实施的基础,信息的挖掘、处理和分析都离不开具有较强计算能力的计算机。现阶段,人们日常学习、工作和生活中受电子信息工程的影响越来越大,典型的电子信息工程包括电视机、电脑和移动电话等。电子信息工程拥有信息覆盖面广、信息传递速度快等特点。 2电子信息工程的特征 电子信息工程的实质直接关系到电子信息工程涉及面广泛的问题,对相关信息资源进行分析和处理的同时涉猎到信息系统以及相关的电子设备等即时电子信息工程的实质。其中,让电子信息工程得到进一步广泛应用的主要因素起源于快速发展以及全面覆盖的信息网络技术,甚至可以这么说在很大程度上信息网络技术在改变人们生活方式和推进社会发展进程中起到了决定性的作用。技术融合发展在信息网络技术的不断发展中得到了进一步的认可,就比如说可以将电子信息工程和网络技术进行相互融合,这将会是未来社会发展的重大趋势之一。 3电子信息安全风险问题分析 3.1电子信息产品数据安全隐患问题 ①电脑硬盘的数据安全隐患。在数据存储中,电脑硬盘这种存储方式是非常普遍的,由于种种限制,数据容易出现安全隐患。在所有电子信息产品中,硬盘的使用率非常高,如不注意进行安全防范,就很可能中毒,导致存储文件受到破坏。②移动存储的数据安全隐患。移动存储器包括的类型非常多,不仅包括移动硬盘和U盘,还包括内存卡和磁带等。通过对这些移动存储器进行分析,发现它们的体积往往较小,但是其容量较大,所以它们在电子信息产品中的应用也极其广。移动存储器中的数据安全问题是一个需要予以重视的问题。③电子设备内部存储器的数据安全隐患。在电子设备的内部也有存储器,人们往往不会重视这类数据安全隐患,所以也容易出现安全问题。④网络中的数据安全隐患。当计算机越来越普及时,电脑的使用频次逐渐增加,如果不加强对个人信息的安全保护,违法事件的出现就不足为奇了。网络资源在共享的同时,无疑也会增加信息泄露的风险。⑤数据库的安全隐患。数据库的安全不是绝对的,在数据库中存在一系列的安全问题。
谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期:2019年 4 月 中国信息安全测评中心 中电数据服务有限公司
注册个人信息保护专业人员(CISP-PIP) 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息,请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能,为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司,以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初,经中国信息安全测评中心授权,中电数据成立个人信息保护专业人员考试中心,开展注册个人信息保护专业人员(CISP-PIP)知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识,具备个人信息保护理论基础和实践能力,可在数据保护、信息审计、组织合规与风险管理等领域发挥专长,有效提升相关企业数据安全意识和保护能力,强化我国公民个人信息和国家重要数据安全保护水平。
目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6
GB/T 35273-2020《信息安全技术个人信息安全规范》变化分析 2020年3月6日,国家正式发布GB/T35273-2020《信息安全技术个人信息安全规范》,此标准是在2017年发布的《个人信息安全规范》的基础上经多次修订、并将于2020年10月1日正式实施。 《个人信息安全规范》共分为十个章节,其中包括范围,规范性引用文件,术语和定义,个人信息安全基本原则,个人信息的收集,个人信息的保存,个人信息的使用,个人信息的委托处理、共享、转让、公开披露,个人信息安全事件处置以及组织的管理要求。 核心变化概述 GB/T 35273-2020《信息安全技术个人信息安全规范》,与GB/T 35273-2017相
比,主要变化在于: 一、增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目的所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等。 二、修改了“征得授权同意的例外”、“明确责任部门与人员”、“实现个人信息主体自主意愿的方法”等。
逐条变化 安言咨询在2020版规范发布之初,即组织内部专业人员对2017年规范及2020版规范进行差异对比,形成《个人信息安全规范差异对比》,如下图,如有需要,请关注公众号并在后台留下您的邮箱,我们会在3月20日前逐一发送。 《个人信息安全规范差异对比》样例 《个人信息安全规范差异对比》样例 总结 《个人信息安全规范》其内容的丰富和可操作性在起草之初就引起实务界的瞩目,成为企业在个人信息保护实践中的重要指引以及相关监管机构执法的参照。 2020版相比2017年版更加贴近行业实践,增强了企业合规工作的可操作性。内
保护个人信息安全
保护个人信息安全,共进和谐社会发展 ——关于黄石市民个人信息安全保护现状的调查报告 □潘兆刚(教育信息与技术学院1002班)【摘要】在现实世界中,个人信息随处可见,与我们的生活息息相关。随着经济的高速发展和网络技术的不断进步,个人信息的不当使用、滥用造成的隐患日益严重。提高个人信息的保护意识显得尤为重要。个人信息的保护从最初的隐私、尊严和自由的人格权要求到现在流行的财富积累保障的要求,很好地体现人权和社会经济发展的过程,从而影响到人们对这些发展的保障要求。个人信息,从字面上解释为有关个人一些状况的信息。更严格的定义是有着特定内涵的法律概念,他是指可以直接或间接的识别本人的信息。从个人信息的从个人信息的性质上看有个人私权利的属性。如今,个人信息的滥用和非法使用使得不少人对信息安全产生恐慌。其实说到底,个人信息的泄露与被滥用也是由一些客观原因引起的,首先是自身上的原因,可能自己对于自己的个人信息不太重视,觉得无所谓,就忽视了它的保护性。这是因为自己的个人信息保护意识不够而产生一些严重的后果。第二就是一些部门对一些用户的个人信息的保护不到位,从而从公司或者一些部门内部产生个人信息泄露,引起一些不必要的损失。在个人信息安全意识上,自己应该了解一些基本情况,比如说哪些不能随便的透露,哪些要安全保护的……个人信息有很大部分都是涉及到自己的隐私,所以在一些重要的个人信息被泄露后,也应该学会采取法律手段来保护自己的信息安全。对个人信息的保护在我国也不是一片空白。
对个人信息的保护从民法上通过对个人人格权的保护表现出来。我国民法中对人格权的保护见于民法通则的各个章节。这些条款表明了对个人信息保护已经有了立法上的体现。虽然人格,隐私、名誉、自由、信用等人格权的概念和范围各有不同。但是,对个人信息的非法使用侵害了以上或是更大范围的私权利。对这些权利的保护就是对个人信息的间接保护机制。在信息时代到来之前,个人信息的传播途径和方法比较原始和单一,个人信息的内容和保存的方法也比较单一。一般,个人信息只有个人的姓名、年龄、身高、体重、住址、单位、电话、学历、信仰。保存的方法有保存于单位的和学校的档案或是家庭户口所在的街道及村组织中。信息发达以后,不仅通信、通讯这类信息交流的方式上飞速发展,个人信息的内容从20世纪60、70年代的一般信息扩展到个人金融信息、交友信息、商业信息等更广阔的领域。对这些信息的非法使用已不仅仅是侵害个人人格权的问题,而是涉及到商业秘密的保护,个人信用的损害。目前,个人信息泄露的主要源头是在网络上,随着网络技术的不断提高,不少人也利用网络盗取他人的个人信息,进行一些非法活动,我国政府有关主管部门为了积极推动个人信息保护工作,制定了法规和规章,对互联网信息服务中的用户信息安全、电子邮件用户注册信息和邮件地址保密,提出了要求和规定。但从总体上看,我国目前还没有一个全面、系统的个人信息保护法律,许多的法律还有不足之处,有些人想方设法的找出法律漏洞进行偷盗个人信息而产生重大影响。保护个人信息的安全,是每个公民都必须做到的。
《个人信息保护法》- 深度分析我国个人信息保护之现状 作者:单飞 个人信息的法律保护问题是近半个世纪以来随着信息社会的发展而日益凸显的问题。由于社会观念、信息产业、科学技术以及立法规划等方面的原因,我国很长一段时间以来没有认识到保护个人信息的重要性,因此直到目前为止,我国还没有制定专门的个人信息保护方面的法律。当然,这并不意味着我国目前对个人信息不进行保护。现阶段,我国对个人信息的保护,主要体现在两大方面:一是在与个人信息保护有关的法律法规中设置个人信息保护条款对个人信息加以法律保护。个人信息的法律保护又可以表现为法律的直接保护和间接保护,所谓法律的直接保护即法律法规明确提出对“个人信息”进行保护;间接保护即法律法规通过提出对“人格尊严”、“个人隐私”、“个人秘密”等与个人信息相关的范畴进行保护进而引申出对个人信息的保护。二是通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。个人信息在自律保护也表现为两方面,即企业通过单方承诺这种市场运作方式对个人信息加以保护,以及特定行业组织通过行业自律规范对个人信息确立行业保护标准进而进行保护。 一、我国法律对个人信息的直接保护 通过全国人大网站中全国法律法规数据库搜索引擎的搜索,我们发现,目前我国直接对“个人信息”加以保护的法律、法规、规章及司法解释的数量相当有限,其中全国性的法律中仅有《中华人民共和国护照法》、《中华人民共和国身份证法》直接规定了“个人信息”的保护问题。《中华人民共和国护照法》(2006年4月29日通过,2007年1月1日实施)第十二条第三款规定:“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。”第二十条规定:“护照签发机关工作人员在办理护照过程中有下列行为之一的,依法给予行政处分;构成犯罪的,依法追究刑事责任:……(五)泄露因制作、签发护照而知悉的公民个人信息,侵害公民合法权益的……”《中华人民共和国身份证法》(2 003年6月28日通过,2004年1月1日实施)第六条第三款规定:“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”第十九条规定:“人民警察有下列行为之一的,根据情节轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任:……(五)泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,侵害公民合法权益的。” 在全国范围内具有规范效力的行政法规、部门规章和司法解释直接提及“个人信息”保护问题的主要也仅有如下几项:(1)《2006---2020年国家信息化发展战略》。该《发展战略》第六条第五项提出了“推进信息化法制建设”的要求,并提出:“加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的