发布时间:2023-03-07 15:04:11
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的个人信息安全论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
论文关键词:大学生;个人信息;课程内容
信息社会大学生个人信息安全问题凸显,大学生个人信息泄露造成的安全隐患和安全事故也频繁发生,而大学生个人信息安全教育却没有引起足够的重视。大学生安全教育中并没有针对大学生个人信息安全的教育内容,造成事实上的大学生个人信息安全教育缺位,因而不能很有效的防范由此引起的安全事故。从课程角度来说,大学生个人信息安全教育还没有解决“教什么”的问题,即大学生个人信息安全课程应该包括哪些内容。本文拟从课程开发的角度出发,首先提出大学生个人信息管理和使用中存在的主要问题,并针对这些问题提出大学生个人信息安全的课程内容。
一大学生个人信息使用环境及存在的问题
随着信息化社会的发展,电脑、网络日趋普及和移动互联网的成熟应用,大学生的学习和生活与网络息息相关,通过网络进行的信息活动丰富多彩。大学生通过网载影视作品与音乐、网络聊天交流、通过网络看新闻、玩游戏等网络信息活动,电脑、网络已经是高中学生日常生活的重要部分。因而,大学生一方面通过网络获取信息,另一方面他们在网络上交流、寻找、使用信息,同时还生成、创造信息。例如:在网上通过即时聊天工具或EMAIL等与人沟通,使用网上银行进行财务处理或通过网上支付的方式进行网络购物等,都涉及到个人信息的创建和使用,一旦这些个人信息泄露,将给大学生生活带来很多麻烦甚至危及到财产或人身安全。网络带给大学生方便快捷生活和学习的同时,也给大学生个人信息安全带来问题。
(一)信息技术基础知识缺乏
信息的传播和使用往往要经历编码、储存、传播或运用、解码等过程,不同级别的信息在每一个过程都有相应的操作方式和关注的问题,这样可以保证信息的安全和有效。大学生缺乏相应的信息技术基础知识,在信息使用和管理过程中不能有效安全地处理个人信息。例如:大学生在日常生活中通常拥有2~3个密码,更有同学的密码多达7—8个。这么多的密码在编码时必须要考虑很多方面的问题,通常要有足够的强度,不容易被破解,同时又要容易识记,这就需要进行合理的编码。大学生在设置密码的时候,通常只考虑一个方面,要么是便于记忆而强度不够,甚至很多大学生所有的密码都是出生年月;这样密码的强度和保密性非常低,起不到应有的保护作用,当事人如果稍有疏忽便会造成重大的损失。还有的同学只考虑密码组合有足够的强度,但是却难以记忆,因而大部分学生都出现过遗忘密码而找不到所需求的信息的情况,这样反倒给他们的学习和生活带来不便。
(二)缺少个人信息安全知识
大学生自身对个人信息保护相关知识的认识不全面,对如何有效地保护自己的信息、个人信息泄露的途径以及个人信息泄露的危害等个人信息相关知识不够了解。一方面大学生没有接受过关于如何避免个人信息泄漏方面的知识教育,同时他们的网络信息活动一般缺乏相应的监督,因而即使大学生个人信息出现安全问题,往往不能及时发现;另一方面当大学生个人信息出现安全问题,他们不知道如何有效地处理和应对。因而一旦大学生个人信息泄密造成安全事故,大学生往往不知道如何处理,不能识破陷阱或骗局,无法进行自我保护以避免不必要的损失。
当前社会、家庭对个人信息保护意识不强,个人信息遭到泄漏,导致不良后果的事时有发生,为了保证社会的安定,提高公民的自我保护能力,加强大学生的个人信息保护意识势在必行。一些家长缺乏信息技术方面的知识,往往对信息不加确认,学生个人信息泄露后,一些不法分子利用家长的爱子心切,导致家长上当受骗。
(三)个人信息法律、法规方面缺失
大学生对个人信息保护的相关法律法规缺乏了解,主要是两个原因:一是信息技术发展迅猛,而相关的法律制订却落后于相应的技术发展。虽然个人信息方面的法律、法规在不断完善中,但个人信息安全产生问题比较复杂,法律法规的制订需要时间。二是大学生、社会机构等对相关法律不够重视,缺少相关的法律知识。社会商业机构甚至是学校对大学生个人信息过度收集或是超权限的收集,这些机构或某些商业单位对大学生个人信息进行超出权限范围的使用,甚至是非法使用,或出于盈利目的而将个人信息非法转让,这些都危及到了大学生个人信息的安全,有可能造成重大的财产损失甚至危及个人安全。
(四)信息伦理道德冲突
我们处在一个信息爆炸时代,科技发展日新月异,信息和人、社会的关系也在不断地发展,在相关的法律、法规对信息和人、社会的关系进行规范的同时,也需要信息伦理从道德的角度来调整和处理信息和人、社会之间的关系,这是对法律法规的有效补充。在大学的教育实践中,往往重视大学生思想政治教育而忽略了德育,大学生对于人、社会、信息的关系缺少认识和了解,大学生无法正确理解和对待信息和人、社会之间的关系,当个人信息与个人利益、公众和社会利益存在矛盾冲突时往往不能有效处理。
二大学生个人信息保护课程的开发
针对上述大学生个人信息安全现状,笔者认为要充分利用学校资源开发大学生个人信息安全课程,通过理论和实践的结合,解决个人信息安全教育“教什么”的问题,通过大学生个人信息安全教育应该让学生了解基本的信息知识、掌握个人信息保护的相关能,并通过实践发展形成良好的道德认知和情感。笔者认为大学生个人信息安全课程应包括两方面的内容:一是关于信息技术、个人信息安全以及个人信息相关的法律知识、伦理道德等相关知识组成的理论板块;二是信息技术技能操作、案例分析等实践环节。
(一)个人信息安全理论知识内容
大学生个人信息安全理论知识的内容,一是个人信息和信息技术相关的基础知识和安全保护知识,二是个人信息安全相关的法律知识。主要由以下内容组成:(1)个人信息保护的相关知识:主要是指一切与个人信息有关的理论、知识与方法,包括个人信息保护的基本概念、个人信息保护的相关法律法规、个人信息保护对生活和学习的影响、以及个人信息保护在社会中的价值等。(2)个人信息保护的技能:是有关个人信息工具、个人信息载体方面的知识和技能掌握,如与个人信息保护相关的计算机基本操作技能等。(3)个人信息保护的综合应用能力:是指在复杂的环境中综合、灵活应用个人信息识的能力,即个人信息技能在具体问题情境中的综合表现。除包含个人信息技能、个人信息知识外,还包括对个人信息控制方面的抽象思维,能正确处理一些个人信息保护相关问题的能力。
综上所述,大学生个人信息安全应掌握关于个人信息保护的知识,学生应了解与个人信息有关的理论、知识与方法,掌握有关个人信息工具、个人信息载体方面的知识和技能,在复杂的环境中综合、灵活应用个人信息保护知识,正确处理个人信息保护问题。
(二)个人信息安全教育实践内容
个人信息安全教育实践环节的目标是通过实践提高大学生使用个人信息的个人保护能力和技术,同时通过案例的学习和讨论加强学生信息伦理的修养,更深刻地理解信息与人和社会的关系。
个人信息能力的培养应该作为大学生个人信息安全教育的重要内容之一,要提高学生的信息能力必须通过实践环节来进行。而学生信息能力的培养应该通过相应的信息技术课程的实践课程和日常的生活中信息使用过程来进行。
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
关键词 个人信息 个人信息保护
中图分类号:S759 文献标识码:A
2012年中央电视台3.15晚会披露了两则关于非法买卖个人信息的消息,一是银行员工泄露出售客户个人信息,二是罗维邓白氏低价贩卖1.5亿个人信息,引发了社会各界对个人信息保护的热议。我国个人信息泄露和滥用情况令人堪忧,而对于个人信息的保护却存在失控状态, 2005年我国《个人信息保护法》初稿已制定完成,但至今未进入正式立法程序。2012年初工信部直属的中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》报批国家标准,但即使得到批准,它仍然只是“技术指导文件”,并非国家强制性标准。《刑法修正案(七)》虽增加了非法获取公民个人信息罪,但也只限于“情节严重”,对日益泛滥的并未达到刑法保护高度的个人信息泄露问题并不适用。目前我国亟待建立一套切实有效个人信息保护体系。
一、个人信息的概念
个人信息是指自然人的姓名、性别、出生日期、民族、身份证号码、教育及工作经历、医疗记录、照片等任何单独或与其他信息对照可以识别特定个人的客观信息。
二、关于我国个人信息保护立法的若干建议
(一)关于立法理念。
我国的个人信息保护法在立法理念上要兼顾个人信息的静态保护与合理流通。在静态保护上应将个人信息权利确认为具体人格权并设计适当的权利实现途径,在动态流通上要处理好个人信息处理中的权利义务分配问题以及个人信息交易过程中的交换程序问题。
(二)关于信息主体的权利。
信息主体应当享有信息控制权、信息获取权、信息更正权、信息删除权、信息封锁权、信息收益权及获得救济权。
(三)关于立法原则。
个人信息保护法立法原则应当包括:(1)直接收集原则。信息控制者应当在信息主体知情或同意的情况下直接向本人收集信息。(2)信息质量原则。个人信息应当能够满足信息使用的目的,同时做到精确、完整并及时更新。(3)目的特定原则。信息收集应有特定、明确的目的且应在收集之前列明。(4)安全保障原则。在对个人信息收集、处理时必须采取充分的安全保护措施。(5)公开原则。对个人信息的收集、处理、利用及提供等程序性信息应当进行公开。(6)个人参与原则。信息主体有权向信息控制者确认是否持有关自己的信息。(7)利益平衡原则。法律在保护个人信息的同时,不得妨碍他人的权利,不得损害国家与社会公共利益。
(四)关于法律责任。
1、行政责任。
一方面,对于涉嫌侵犯个人信息的个人和非公共机构,应当引入政府监管,在法律明确行政责任的基础上,采取吊销执照、行政罚款等措施进行监管。另一方面,政府机关自身要依法行政,在处理个人信息时要形成一个完整的信息处理体系,明确管理负责人及管理目标,侵犯行政相对人个人信息权时应当承担相应责任。
2、刑事责任。
目前我国刑法已经为追究侵犯公民个人信息犯罪提供了最严格的法律惩罚依据,但有两点需进一步明确:一是关于“出售、非法提供公民个人信息罪”的犯罪主体列举为“国家机关或者金融、电信、交通、教育、医疗等单位”,其他单位则取决于对“等”字的解释,而就现实公民个人信息受到侵害的情况看,应将合法收集公民个人信息的单位均作为本罪的犯罪主体。二是关于“情节严重”问题,何为“情节严重”有权机关应及时作出相关的司法解释,以利于司法实践中的准确认定。
3、民事责任。
首先在诉讼中应采取举证责任倒置的方式,由被诉信息控制者举证自己行为的合法性。其次采取侵权责任和违约责任的可选择适用,若作为受害人的信息主体与作为加害人的信息控制者之间存在合同关系,信息主体可选择适用违约责任或侵权责任。第三,在赔偿数额问题上,加害人不仅要对受害人的物质损害承担赔偿责任,还应对受害人的精神损害承担赔偿责任。对于精神损害赔偿应确定一个法定赔偿数额,以减少很难确定的人为因素的影响并提高司法效率。另外对于普通人来说,个人信息被侵犯的情况或许每天都在发生,若每个人都独自维权,则维权成本势必过高,因此可以考虑完善集团诉讼,如成立一个个人信息维权机构接受个人的投诉,将每个个体按照一定的标准分类再形成集团诉讼,在诉讼程序结束后再根据个人情况分配应得补偿,由此可以更有效的利用司法资源,提高诉讼效率,使每个人的权利得到维护。
(作者:吕霄翔,临汾铁路运输法院科员,学历:法学硕士,专业:经济法;汤晶,四川省电力公司阿坝公司法律顾问,法学硕士,专业:经济法)
参考文献:
[1]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告.法律出版社,2006.
【关键词】网络购物 消费者 隐私权 个人信息
【中图分类号】D926 【文献标识码】A
我国网络购物的现状及其特点
随着信息技术突飞猛进的发展,互联网的应用渗透到生活中的方方面面,人们的许多传统行为模式受到来自互联网的冲击。作为时代的新兴产物,网络购物越来越受到消费者的推崇,据中国互联网络信息中心的《2013年中国网络购物市场研究报告》显示:2013年网络购物市场继续快速向前发展,交易金额达到1.85万亿元,较2012年增长40.9%。由此可见,网络购物已逐步得到了广大消费者的认可。
与传统购物方式相比,网络购物具有以下几方面的特点:
价格更优惠,购物更自由。与实体经营相比,网购中经营者和消费者之间省去了许多中间环节,减少了差价,使得很多消费者往往能买到比商场便宜的商品,尤其是随着网购的发展,很多的商品生产厂商直接在网上开店,给消费者带来了更多价格上的实惠。同时,网络购物不受时间、地域的限制,消费者购物更自由,摆脱了商场营业时间的限制,在任何时间都可以随意挑选自己的商品,也节约了许多购物成本,这种全天候的购物方式给消费者带来了极大的便利。
商品品种繁多,选择性更强。网络购物摆脱了地域上的限制,只要有互联网的地方,所有的商品都可以在网络上进行售卖,小到针线,大到农产品、家用电器等,可以说全国各地甚至世界各地的特产都能在网上购买,对于消费者而言,大大增强了所购商品的种类。以往为挑选物美价廉的商品,消费者会“货比三家”,但现在在网络购物中,由于网络的发达,同一种商品有来自全国各地的经营者在销售,我们可以“货比十家”、“货比几十家”,这也给消费者提供了更多选择的机会。
服务更便捷,更有特色。网络购物中,消费者看不到实实在在的商品,会对所购商品的质量、性能等产生顾虑,担心所购商品“名不副实”,为了打消这种顾虑,有的经营者会让消费者先验货,满意后再付款;有的会承诺七天无理由退换,甚至更长的时间;在付款方式上,承诺可以货到付款,分期付款;有的卖家会提高送货速度,承诺6小时内快速送达等。为提高竞争力,网络购物中越来越多的便捷服务被推出,在一定程度上促进了网络购物的进一步发展。
网购中消费者隐私权保护的必要性
网络购物是在一种虚拟的环境下进行的,为了享受网购带来的方便与快捷服务,作为对价,消费者必然要提供自己大量的个人隐私信息,在注册会员、进行快捷支付、接收快递送货上门等过程中会泄露自己最为隐蔽的姓名、家庭住址或单位、手机联系方式、银行账号与密码等,如果没有好好保护并适当运用,就很容易侵犯到消费者的隐私利益,甚至会带来一些安全隐患。对于经营者而言,消费者的个人信息具有了一定的商品化的特点,除了具有身份特征,更重要的是具有财产特征,能为经营者带来直接或间接的财富,通过对消费者个人信息的收集或利用,能更好地了解消费者的实际需求,使其制定更具体、更有针对性的营销策略,为消费者提供更好的商品和更具特色的服务,从而获得更大的市场发展空间。
由于消费者个人信息背后隐藏着巨大经济利益,有些商家会为了攫取商业利润,不当收集、使用消费者个人信息,甚至随意泄露、变卖所掌握的消费者个人信息,使得消费者隐私权保护面临巨大威胁。近年来随着网络维权意识的提高,消费者也逐步意识到网络购物中隐私权保护的重要性,会比较慎重对待与谨慎处理一些个人信息。同时,整个社会与政府部门也关注到了网购中消费者隐私权保护的重要性。世界各国都在加快制定旨在保护网络购物中消费者信息隐私安全方面的政策,2012年2月23日,奥巴马政府公布了最新的《全球数字经济下隐私保护和创新推动的框架》,展示了美国政府对电子商务消费者隐私加大立法保护的决心。①我国在2014年政府工作报告中也明确提出了要“鼓励电子商务创新发展,维护网络安全”。但总体而言,我国目前消费者隐私权保护仍处于比较落后的阶段,加强网络购物中消费者隐私权保护,对于提升消费者对网络购物的信心,促进我国整个网络购物交易的健康发展有着重要意义。
网购中消费者隐私权保护存在的问题
消费者信息安全意识薄弱。我国的网络购物发展速度是惊人的,每年“双十一”不断刷新的交易额显示了消费者对于网络购物的热捧,与热情高涨的网购行为相比,消费者对于个人信息安全及隐私权保护的意识却很淡薄。网购的性质使得消费者必须提供自己极其隐蔽的个人基本信息,随着竞争不断加剧,经营者会推出许多更方便、更优质的服务和更具吸引力的优惠,如购物打折或提供赠品等,在刺激消费的同时客观上又会使消费者提供更多的个人信息。在网络购物的起步阶段,消费者由于被利益吸引,并没有太多关注个人信息安全和隐私权保护的问题,已出现了一些由于网购导致个人信息泄露而造成的不利影响,如由于网上银行账号密码被盗遭受经济损失等,甚至还出现了由于家庭住址的泄露而使个人及家人的人身安全受到威胁的案件。由此可见,目前我国消费者虽已开始有所关注网购中个人隐私问题,但绝大多数消费者的个人信息安全意识仍比较薄弱,亟需加强。
隐私保护的行业自律机制存在不足。由于发展较晚,我国网络经营者在保护消费者信息安全上普遍做的不是很好,而且目前我国电子商务企业也没有针对消费者隐私权保护的完善的自律机制。一般来说,电子商务企业对消费者的隐私保护的关键还在于企业自身对此的态度,网络购物中消费者最重要的信息会为网络经营者带来巨大的利益,通过对与其交易的消费群体个人信息进行收集、整理和分析,可以更好地提供有针对性的服务,从而扩大市场份额,获取巨大利润,正因为这样,网络经营者往往会主动收集消费者全面的个人信息,甚至有的会采用一些私密的网络技术手段。但在收集、使用消费者个人信息的同时,网络经营者对于所掌握的个人信息保护却不太重视,导致不良泄露,甚至有的不良商家一旦使用完后会公然明码标价出售手里的客户信息,以谋取利益,而且由于互联网的特殊性,这种信息极易被广泛地扩散出去,从而侵犯消费者的信息安全和个人隐私。加强网络购物中的隐私权保护,必须完善我国目前电子商务行业在消费者隐私权保护方面的自律机制,使其意识到消费者隐私权保护与其经济利益不但不会冲突,反而应该是共赢的,经营者在消费者信息安全和隐私保护方面的投入不但不会影响其利益,反而会增强消费者对其信任度,提高商业信誉。
对消费者隐私权保护的立法不完善。目前,在我国《民法通则》中还没有明确的关于隐私权的规定,在2013年10月最新修订的《消费者权益保护法》中首次明确了经营者的个人信息保密义务。近年来,我国相继出台了一些涉及网络交易消费者信息安全和隐私保护的部门规章和地方性法规,如2010年5月31日,国家工商总局颁布的《网络商品交易及有关服务行为管理暂行办法》,是我国第一部规范网络商品交易及有关服务的行政规章,其中第十六条中规定了网络商品经营者和网络服务经营者对收集的消费者信息,负有安全保管、合理使用、限期持有和妥善销毁义务。第二十五条规定提供网络交易平台服务的经营者应当采取必要措施保护涉及经营者商业秘密或消费者个人信息的数据资料信息的安全。非经交易当事人同意,不得向任何第三方披露、转让、出租或出售交易当事人名单、交易记录等涉及经营者商业秘密或消费者个人信息的数据。
可以看出,我国关于网络购物中消费者隐私保护的立法仍有不足,主要表现为一方面体系不完整,缺乏统一规划。作为上位法的《民法通则》没有相关规定,即使各地方已经意识到保护消费者隐私权的重要性并积极立法制定各自的地方性法规,但实践中可能由于认识的偏差和各自地方利益考虑难免会出现许多不一致的地方,因此,对于网购消费者隐私保护的立法,应提高其立法层次,完善其立法体系;另一方面现有立法过于简单,缺乏可操作性。在已有的涉及网购个人信息安全和消费者隐私权保护的法律、法规中,内容都不是很详细,缺乏网购中消费者隐私权的全面界定,以及经营者的相关义务,也没有明确侵犯隐私权的法律责任和相应的法律救济方式等,因此在完善相关立法时也应注重具体内容的细化,提高可操作性,便于消费者维权。
完善消费者隐私权保护的措施
增强消费者信息隐私权保护意识。我国已有越来越多的人加入了网购大军的行列,在目前我国网络立法及电子商务行业自律制度还不完善的今天,要想保护好消费者个人信息安全及隐私权必须首先从消费者自身开始,加强消费者对隐私权保护的意识。首先,在网络购物中,不要轻易地透露自己的个人真实信息,了解自己对个人信息所拥有的权利,确有必要透露个人相关真实信息给经营者时,要知道信息的收集者是谁,收集信息的用途或目的是什么,这些信息是如何被使用和保存;其次,消费者应了解目前国内关于消费者信息隐私权保护的相关法律,了解有哪些权利已明确纳入到国家法律保护的范畴以及保护的程度;最后,当个人信息确定被经营者非法收集利用,甚至非法转卖时,应积极维权,尽可能通过有关途径甚至司法途径维护自己的合法权益。
完善隐私权保护行业自律机制。由于起步较晚,我国目前没有专门针对网络消费者隐私权保护的行业自律机制,借鉴美国等国外行业自律模式,完善我国隐私权保护行业自律机制,可从以下几方面入手:
第一,成立针对网络消费者隐私权保护的自律组织。该组织一方面应对消费者的网络交易提供关于信息隐私权保护方面的指导,让其明确其所享有的各项权利,如有权知道自己的个人信息是谁用什么方式收集,在什么情况可以使用以及当有人非法收集、使用和泄露自己的隐私信息时应如何处理等;同时,该组织也应通过其宣传提高消费者在维护个人信息上的维权意识,并针对成员企业在消费者隐私权保护方面提供指导,为其在收集、使用、披露消费者个人信息过程中如何尽可能保护消费者隐私权提出详细可行的指导性政策,与其签订非强制性的企业网络隐私保护协议,要求企业根据自身情况制定自己的隐私政策并及时予以公布,并督促其积极实现自己的隐私政策或隐私声明。
第二,网络经营者应积极制定隐私政策并严格履行。近年来,我国逐步有企业制订了隐私政策,让消费者了解相关隐私政策的同时,拥有一定的选择权。为加强网购经营者与消费者之间的信任,网络经营者一方面应积极制订隐私政策,从个人信息收集、处理、披露等方面让消费者了解其相关信息,且隐私政策应尽可能全面、详细,让消费者容易理解而不是模糊甚至晦涩难懂。同时隐私政策相当于网络经营者对消费者的一个承诺,一旦消费者与其进行交易,就相当于二者之间达成的一个协议,网络经营者应积极履行,严格按照隐私政策的内容保障消费者的隐私权,诚实守信,与消费者建立良好的网络交易关系。
第三,完善行业信用评价等级机制。为进一步加强行业自律,中国互联网协会专门成立了中国互联网协会信用评价中心,负责建立评价体系,从2008年以来,至今已有百度、腾讯等300家国内企业获得了A级(良好)以上信用等级,但总体而言我国行业信用评价等级机制仍需完善。一方面要扩大其参与范围,由于是非强制性的,企业只有自愿申报才能对其信用进行等级评价,因此,绝大多数中等型电子商务企业和个体网络经营者并没有纳入进行,对于整体行业信用评价不利。应通过积极宣传和引导扩大参评的范围,让其意识到良好的信用等级将会为其带来各种利益,如作为对企业融资,获得政府资助,享受税收优惠等的参考依据,更重要的是好的信用等级将赢得消费者信任,获取长远利益;另一方面,即使已经加入进来的电子商务企业,对其进行评价时,由于对网络消费者信息隐私权关注度以前不高,在我国现有的行业信用评价等级制度中,对于消费者隐私权保护力度的因素考虑较少,网购中信息隐私权保护力度所占比重也不重。即使获得了AAA的企业未必在隐私权保护方面做得很好,因此,今后在对网络经营者进行信用评价时,应着重考虑其对隐私权保护的力度,具体包括是否有完备的详细的隐私权政策,是否积极严格地履行其隐私政策或声明,消费者对其评价和满意度等方面进行参考,对于做得比较好的企业,除了颁发信用等级证书外,还可给予隐私认证标志,让网购消费者一目了然,积极识别信任度高的经营者进行交易。
完善我国网购中消费者隐私权保护的相关立法。虽然我国网购业务发展迅速,但与之配套的立法并没有相应的跟进,需进一步完善其立法体系,最重要的是明确隐私权的法律地位。为提高立法等级,在制订民法典时,应增加关于隐私权的内容,对隐私权进行界定,对涉及交易中消费者隐私权的问题做出保障性规定,为其保护奠定一定的立法基础。同时还应对《消费者权益保护法》、《产品质量法》等相关衔接法律进一步完善,更为直接地规定消费者隐私权保护涉及的一些具体法律问题,这样,既有如民法这样的一般法对一些重要的原则性内容作统一的规定,又相应有如《消费者权益保护法》等其他配套法律作为特别法作为有效补充,同时各部门规章、地方性法规可出台一些更详细、针对性更强的实施细则,从而使整个消费者隐私权保护立法体系更为严密。
目前,我国大多数立法规定都是一些原则性规定,比较粗略,而且绝大多数并没有涉及到网络交易中侵犯了消费者隐私权将承担的责任方式,导致司法实践发生纠纷后消费者很难真正地去维权。目前通过诉讼解决与网络经营者之间信息安全及隐私权纠纷的案例极少,因此在积极完善立法体系的同时,还应考虑具体的法律法规的可操作性,尽可能从实体上全面明确网络经营者的义务,明确侵犯消费者隐私权后其具体的责任方式,从而更好地保护消费者隐私,促进网络经济的繁荣和健康发展。
(作者分别为武汉工商学院文法学院讲师,武汉大学国际教育学院副教授;本文系现代物流与商务湖北省协同创新中心2013年度“现代农产品电子商务中个人信息安全及隐私权保护问题研究”成果,项目编号:2011A201316)
【注释】
关键词:分布式网络;网络安全;网络管理
1 引言
随着网络的广泛普及和应用,政府、军队大量的机密文件和重要数据,企业的商业秘密乃至个人信息都存储在计算机中,一些不法之徒千方百计地“闯入”网络,窃取和破坏机密材料及个人信息。据专家分析,我国80%的网站是不安全的,40%以上的网站可以轻易的被入侵。网络给人们生活带来不愉快和尴尬的事例举不胜举:存储在计算机中的信息不知不觉被删除;在数据库中的记录不知道何时被修改;正在使用的计算机却不知道何故突然“死机”等等诸如此类的安全威胁事件数不胜数。因此,网络信息的安全性具有举足轻重的作用。
本论文主要针对分布式网络的信息安全展开分析讨论,通过对分布式网络安全管理系统的设计研究,以期找到可供借鉴的提高分布式网络信息安全水平的防范手段或方法,并和广大同行分享。
2 网络安全管理技术概述
在当今这个信息化社会中,一方面,硬件平台,操作系统平台,应用软件等IT系统已变得越来越复杂和难以统一管理;另一方面,现代社会生活对网络的高度依赖,使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络安全技术中人们公认的关键技术。
网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重,网络安全管理还逐渐成为网络管理技术中的一个重要分支,正受到业界及用户的日益深切的广泛关注。
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”,各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。
从网络安全管理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),工作复杂度非常之大。另一方面,应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,管理与安全相关的事件变得越来越复杂。网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。因此,用户的网络管理需要建立一种新型的整体网络安全管理解决方案—分布式网络安全管理平台来总体配置、调控整个网络多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可控制性、可管理性,降低用户的整体安全管理开销。
3 分布式网络安全管理系统的设计
3.1 分布式网络安全管理系统架构分析
随着Internet技术的发展,现在的企业网络规模在不断扩大,设备物理分布变得十分复杂,许多企业都设有专门的网络管理部门,来应对企业网络中可能出现的问题,以保证企业业务的正常运行。这些网络管理部门的工作人员可能会根据需要分布在不同的业务部门中,甚至不同的城市中,这就导致原有的集中式网络设备平台管理已经不能满足企业的需求。复合式网络安全管理平台必须能够实现远程、多用户、分级式管理,同时要保证整个平台系统的安全性。
针对以上需求,本网络安全管理平台设计为一种网络远程管理系统,采取服务器和客户端的模式。
(1) 分布式网络安全管理平台服务器端
分布式网络安全管理平台的服务器端是整个管理系统的核心,它位于要管理的企业网络内部的一台服务器上,掌控着所有的网络资源,对被管网络资源的操作都是由平台服务器端直接完成。
分布式网络安全管理平台的各种管理功能模块是相对独立存在的,而服务器端相当于一个大容器,当需要某种管理功能时,就可以通过一定的方法,将管理模块动态加载到服务器端上。管理模块完成管理的具体功能,管理模块既可以单独完成某种管理功能,也可以通过服务器端提供的服务,协作完成特定的管理功能。服务器端还提供了一个公共的通信接口,通过这个通信接口,服务器端上的管理功能模块就可以实现与客户端的交互。
(2) 分布式网络安全管理平台客户端
客户端相当于一个个企业网络的管理员,这些管理员己经被分配给不同的用户名和密码,从而对应于不同的平台操作权限。管理员可以通过局域网或者Internet登陆到管理平台的服务器。_服务器端实现网络安全管理平台的各种管理功能。每当有用户登陆到服务器时,首先服务器端有一个用户鉴别和权限判断,通过后,根据权限不同的平台管理信息被传送回客户端,客户端将这些管理信息显示出来。如果管理员在客户端进行了某些操作,客户端会将这些操作信息发送到服务器,服务器对用户和操作进行权限鉴定,通过后,服务器就调用相应的管理功能模块来实现操作,并将结果返回给客户端,客户端进行相应的显示。
3.2 分布式网络的安全策略管理设计
策略管理的目标是可以通过集中的方式高效处理大量防火墙的策略配 置问题。随着网络规模与业务模式的不断增长变化,对IT基础设施的全局统一管理越来越成为企业IT部门的重要职责;策略的集中管理更有效的描述了全网设备的基本情况,便于设备间的协作、控制,能够提高问题诊断能力,提高运营的可靠性;另一方面,也极大的减轻了管理员的工作强度,使其工作效率大幅度提高。
策略管理并不是系统中孤立的模块,它与节点管理、权限管理有着紧密的联系。由于节点管理将全网划分为若干管理域,每个管理域中还有相应的下级组织部门,因此策略管理首先与节点信息相联系,这也就隐含了策略的层级配置管理。
另外,策略是由某个具有一定权限的管理员对某个管理域或设备制订的,因此策略是否能定制成功需要调用权限管理中的功能加以判定,因此隐含了策略的可行性管理。全网策略被统一存储,结合节点管理,策略存储有它自身的结构特点,这些属于策略的存储管理。
策略按照一定的时间、顺序被部署到具体的设备上,无论策略是对管理域定制的,还是对设备制订的,所有相关的策略最终都要被下发的设备中去,下发的方式能够根据实际网络拓扑的变化而做适应性调整,这些属于策略的管理。
3.3 分布式网络信息安全构建技术
(1) 构筑入侵检测系统(IDS)
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
(2) 构筑入侵防御(IPS)
入侵防御是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统在网络边界检查到攻击包的同时将其直接抛弃,则攻击包将无法到达目标,从而可以从根本上避免黑客的攻击。
(3) 采用邮件防病毒服务器
邮件防病毒服务器安装位置一般是邮件服务器与防火墙之间。邮件防病毒软件的作用:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件。
4 结语
在网络技术十分发达的今天,任何一台计算机都不可能孤立于网络之外,因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天,分布式网络由于信息传输应用范围的不断扩大,其信息安全性日益凸显,本论文正是在这样的背景下,重点对分布式网络的信息安全管理系统展开了分析讨论,相信通过不断发展的网络硬件安全技术和软件加密技术,再加上政府对信息安全的重视,分布式计算机网络的信息安全是完全可以实现的。
在我国,个人信息保护一直是一个不为人所关注的问题,相关立法和理论研究都远远落后于世界发达国家。随着计算机的普及,我国信息化的步伐逐步加快,公民个人信息保护问题日益凸显。中国社会科学院法学研究所调查发现,社会上出现了大量兜售房主信息、股民信息、车主信息、患者信息的现象,并形成了一个新的产业。公民个人信息频繁遭受侵犯,给公民的人身、财产安全留下隐患。国家以先刑后民的方式介入公民个人信息保护,反映了国家打击此类犯罪、保护人民的坚定决心。
为了刑法修正案(七)第七条能够准确、顺利实施,保证立法目的的实现,有必要对第七条规定的内容进行深入的研究和分析。刑法的准确、顺利实施离不开相关民事制度的支持,而我国到目前为止还没有专门的个人信息保护法。因此,逐步完善我国公民个人信息的刑事保护制度,以期实现对公民个人信息的全面保护。
一、公民个人信息的相关概念
(一)“公民个人信息”的界定
由于刑法修正案(七)未对“公民个人信息”定义,导致司法实践中对是否侵犯“公民个人信息”难以认定。笔者认为,所谓“公民个人信息”,是指包括姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、信用卡号码、指纹、网上登录账号和密码,以及个人私生活等单独或结合后能够识别公民个人身份的信息。
(二)公民个人信息与隐私的关系
按照民法学者梁彗星的观点,隐私是指自然人不愿意公开的个人事务、个人信息或个人领域。其基本特征表现为在客观方面隐私的内容从根本上属于特定个人单方面即可作为的事务、单方面即可操纵的信息或单方面即可控制的领域;在主观方面特定的个人对其内容具有秘而不宣,不希望社会或他人知晓的愿望。在公民个人信息中,有一部分公民个人信息属于个人隐私,但也有一部分信息不属于个人隐私范畴。因此,公民个人信息与隐私存在相互交叉的部分。相对于个人隐私而言,公民个人信息具有相对的公开性,其范围要远远大于隐私,对公民个人生活的影响在大多数情况下要低于个人隐私,有些公民个人信息或许谈不上隐私,然而一旦泄露同样会给公民的正常生活带来不便,甚至给整个社会正常秩序造成不法伤害。有学者认为,公民个人信息并非隐秘信息,公民并不介意这些个人信息被外界所知悉,即使泄露也不会给公民造成精神上的实质性伤害,并以此作为否定侵犯公民个人信息入罪的一个理由。笔者认为,在一般情况下,公民的这些个人信息都限定在一定范围内的人知晓,一旦这些个人信息被公布于众或被不相关的人员获取,同样会给公民的正常生活带来不便,甚至会影响整个社会正常秩序。因此,以公民个人信息并非隐秘信息不能作为否定侵犯公民个人信息入罪的理由。
二、我国公民个人信息的刑法保护现状与存在的问题(一)我国公民个人信息的刑法保护现状1.台湾地区我国台湾地区在1995年8月通过了《电脑处理个人资料保护法》及实施细则,1996年又公布了《电脑处理个人资料保护法之个人资料类别》,对个人资料的保护提出了详细的保护措施。我国台湾“资料法”第五章“刑罚”第33条规定了“公务员”职务中“以营利为目的”侵害个人资料行为,并造成他人损害时,该侵害个人资料行为构成犯罪行为,处以2年以下有期徒刑、拘役或科或并科新台币4万元以下罚金;第34条规定了“非公务机关”以为自己或第三人牟取不法利益为目的或以损害他人利益为目的,实施违反本法规定的,并造成他人损害时,该侵害个人资料行为构成犯罪行为,处以3年以下有期徒刑、拘役或科或并科新台币5万元以下罚金。
2.香港地区
香港地区法律受英美法的影响,具有鲜明的英美法立法特点,其关于个人资料保护方面的立法主要是《个人资料(隐私)条例》,条例中明确规定了除非获得资料本人的同意,否则个人资料只可用于收集资料时所表明的用途或与直接有关的用途;须采取切实可行的措施保障个人资料免受未获准许的查阅、处理、删除或其他方法使用。当事人对违反该条例的行为有权向专员投诉,受到损害的有权向该资料使用者请求补偿,以及任何资料使用者无合理辩解而违反本条例下的任何规定,一经定罪,可处罚款及监禁。
3.大陆
相比台湾和香港地区的法律,我国大陆的一些国家权力机关和电信、金融、医疗、交通、教育等单位的工作人员在履行公务或者行使权力过程中将基于行使合法权力而获得的公民个人信息以谋取利益等为目的用以出售或非法提供给其他非国家机关、企事业单位的情况时有发生,这种出售或非法提供个人信息给不具有获取信息权力主体的行为将对公民本人的人身和财产安全,以及为他人侵犯自己的个人隐私提供了便利条件,具有符合刑法所规定的犯罪行为具有较为严重的社会危害性。但是尽管目前个人信息的保护处于这样困窘境地,我国现行的1997年刑法在通过《修正案(七)》之前中并没有惩罚此种泄露或者非法提供公民个人信息行为的相应条款和罪名,从而导致了司法机关在司法实践中对于一些泄露了公民个人信息,严重影响个人正常生活秩序,甚至危害公民生命,以及侵犯了国家对公民个人信息管理规范的行为只能停留在民事法律或者行政法律层面上加以惩处,效果不佳也达不到惩罚侵害人的作用。
《刑法修正案(七)》第7条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
(二)我国公民个人信息刑法保护现状中存在的问题在我国,个人信息一般是指“自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息”,在国外亦有“个人隐私”、“个人数据”的称谓。事实上,这三者的外延并不吻合,隐私主要指私人秘密的、不受非法干扰、非法搜集、刺探和公开的相关信息和行为,二者的范围有重合之处,但后者还应当包括琐碎的、可以公开的有关信息;而个人数据则一般指通过人工或机器进行储存、处理、传递的以数据库形式存在的具体信息,个人信息还应当覆盖不以物化形式存在的信息。作为广泛调整社会关系存在的刑法,应当保护具有严重社会性的、侵犯个人隐私、个人数据在内的广义的个人信息的行为。个人信息具有强烈的人身属性,与职业等生活状态息息相关,对其保护颇为必要。
由于历史上我国是一个传统的宗法社会的国家,为维护森严的封建等级秩序,历来轻视个人的信息权利;加之现行法律缺乏对侵犯个人信息行为的有效救济,使得我国的信息化进程中,公民在享受信息便捷的同时,也品尝着接踵而至的烦恼。科技的双刃剑特性在个人信息的滥用中体现得尤为明显。某招聘企业将求职者的简历遗失,被犯罪分子捡拾并冒充招聘企业将求职女孩骗出奸杀;复印店将印制名片人的信息出售引发跟踪绑架、抢劫案;某公司以市场调查为名搜集被访者的个人信息,随后再向这些群众非法销售未上市公司的股权,导致不少群众投资非法证券;某快递公司老总为筹措运营资金,盗用应聘者身份资料在数家银行冒领信用卡978张,大肆透支450余万元……个人信息的泄露尚且引发如此频繁的刑事案件,遑论不胜枚举的日常骚扰:百万股民的最新资料网上叫卖;购买新房后的装修电话络绎不绝;参加司法考试报名后辅导班的推销短信五花八门……令人惊呼:个人信息的泄露已成为社会公害!从法律的角度看,侵害个人信息的行为表现如下:
1.违背了信息保护的公开收集、信息安全、职业义务、限制利用等基本精神。我国尚无专门性的信息保护法律,《个人信息保护法》仍在国务院讨论阶段,所以无实体法意义上的信息保护原则。但是结合法理,我国宪法、《民通意见》等涉及个人信息的相关规定仍然折射出公开收集、信息安全、职业义务、限制利用等基本精神。公开是指对个人信息的搜集、储存、利用及提供的程序原则上要保持公开,个人信息所有人也有权知道信息的收集与利用情况,事实上,大量的信息收集都是在通过秘密或不告知相对人的情形下收集的,为信息的非法利用“大开绿灯”;信息被收集后,无论是公权力机关、事业单位还是公司企业,都对信息负有保守秘密的职业义务,不得以告知、转卖等方式披露或提供给他人,并采取必要措施,防止信息的泄露、丢失、毁损或其他安全事故,然而,在现实生活中,个人信息被泄露、被转卖的情况却屡见不鲜;信息主体还应当在收集目的的范围内使用,而超出收集目的的使用情形却在屡屡发生。
2.收集渠道多样,收集形式“合法”.根据一项权威的调查显示,电信机构、招聘网站和猎头公司、各类中介机构拥有并泄露了大量的个人信息;一些商家或个人通过问卷调查、网络注册、会员登记等方式收集用户信息;消费者在就医、求职、买车、买房、买保险或办理各种会员卡、优惠卡或银行卡时的信息被收集;甚至网络登录申请邮箱、注册进入聊天室或游戏厅、名片代印机构等都会接触到大量的个人信息,这些机构收集信息时都以合法的理由进行,但通过非法的渠道销售或泄露,从而将个人信息暴露在世人面前。
3.侵害后果严重,造成恶劣影响。个人信息被侵害后,往往因为被滥用从而给信息主体带来不同程度的负面影响,轻者丢失工作、家庭破裂,重者人身安全直接受到威胁。“2009年央视3·15晚会揭秘了个人信息被出售或被人盗取后牟取暴利的链条”,这一现象几年来不但没有得到有效遏止,反而愈演愈烈,使诚信缺失在社会进一步蔓延,人人自危,彼此之间无法产生信任,极大地提高了社会交际成本,阻碍了社会的进步,这绝非危言耸听。无处不在的个人信息泄露引起人们的恐慌,引发社会安全心理的溃堤。
三、我国个人信息刑法完善对策
因立法语言的简洁性,修正条款的直接应用存在一定困难,需要制定相关的司法解释予以配套实施。笔者认为,司法解释应当从以下方面进行完善。
(一)价值冲突下进行良好的沟通与协调
在信息社会里,个人信息既是促进经济发展的资源,也是推动社会整合、制度变迁的动力,因而对个人信息的利用成为常态,过度的保护和内敛必将阻碍信息的有效流动和功用的发挥,不足的保护又将导致个人信息的被滥用,引发诚信危机和公民权利体系的紊乱。论文格式在合法保护与合理利用之间应当形成一种平衡的张力,在价值冲突下进行良好的沟通与协调。这也正是秩序、正义与自由、效益等价值之间冲突的表现。
“刑法保护社会关系中最具有公共性和重要性的利益,使得刑法的适用具有最后性”,既作为整个法律规范体系有效性的最后保障而存在,也作为其他法律部门力度不足性的补充而发挥作用,因此,刑法的谦抑性成为制定司法解释与司法适用的基本指导精神。在此精神指导下,根据罪刑相适应、罪刑法定等基本原则,把侵害个人信息的行为纳入犯罪圈装上“安全阀”,通过对行为对象进行合理限制、行为方式进行清晰界定、行为情节明确阐释等解释方法,准确有效地打击犯罪行为,保护个人信息正常、有序地流动。
(二)刑法适用的情形下给出本罪的对象范围
“行为对象是指犯罪行为所侵犯或直接指向的人、物或信息”,具体到本罪,即指个人信息。作为犯罪行为存在的载体,个人信息外延的大小直接决定了入罪情形的多少,直接影响着社会对个人信息利用的积极性。然而该范围的界定并非信手拈来的易事。个人信息是信息时代的产物,瞬息万变、更新频繁是信息事物的共性特征,对个人信息的外延很难给出明确的、具有普适性的限定;而且,个人信息的法律问题涉及到民法、行政法、刑法等跨学科的知识,不同学科在各自领域划定的范围未必为其他领域所能接受。考虑到刑法与其他部门法保护手段严厉性的差异,司法解释应当在刑法适用的情形下给出本罪的对象范围。
笔者认为,适宜采用定义与列举并用的方式对个人信息进行界定,即抽象一般规范、列举具体内容,这主要是基于刑法规范的明确性与科学技术发展性的现实考虑。“刑法的弹性形式要求在解释上有弹性方法”,罪刑法定的原则又要求法律条文具有明确性,因此,通过定义的方式为本罪的保护客体设定实质内容,而个人信息的领域不断更新,过于确定的定义难以保证立法的稳定性。因此,通过列举式、开放式的个人信息范围有利于与日后的科技发展相衔接,能够保证刑法随着不断演进的社会现实而进行自我更新,而且有助于在出现疑难案件时,法官可以根据一般定义,结合列举信息的具体特征进行认定,保证司法解释的弹性空间。
另外,这里的个人信息的主体应当是自然人,不宜包括法人。理由有:一是“一般认为个人信息的保护源于自然人的人格权,一些具体的信息权具有自然人专有属性而法人并不具有”,将法人纳入其中不妥;二是法人成立的目的一般是对外提供营业和服务,其信息较自然人相比具有更大的公开性和公益性,纳入本罪则显得保护过度,不利于法人活动的开展;三是刑法典中已有相关的罪名,对于严重侵犯法人信息的犯罪,完全可以通过“侵犯商业秘密罪”、“损害商业信誉、商品声誉罪”等罪名进行认定和处罚。
(三)清晰界定行为方式
对于社会生活中出现的某类新型犯罪行为,应当通过类型化的方式对其进行归类总结,提炼出最一般的行为模式,给予刑法评价。日常生活中,常见的个人信息泄露只是侵害行为的表现之一,立法语言所使用的“出售”、“提供”、“窃取”概括了最常见的形式,为了适应社会生活的变动不居,让司法工作者有发挥主观能动性的余地,立法还使用了“其他方法”的兜底词汇,这正是司法解释需要重点予以解决的问题。行为方式作为犯罪构成最核心的要件,直接决定着罪与非罪的甄别。借鉴国际立法经验,考虑我国信息被滥用的实际情形,应当将非法泄露个人信息、非法获取个人信息、向有关机关提供不实信息、申报信息不作为、非法删除、破坏、损害或更改个人信息、非法向第三国转移信息等形式纳入其中,严密信息保护的刑事法网。
还需要注意的两个问题是,由于个人信息在社会经济和日常生活中具有较高频率的适用性,司法解释还可以对何种情况下提供信息是合法的进行规制,即规定特殊的排除犯罪事由。另外,本罪容易出现与受贿、侵犯个人权利等犯罪牵连或竞合的情形,许多时候难以处理,司法解释也可以作出提示性条款。
(四)适度扩张行为主体
根据刑法修正案的规定,本罪第一款规定了在“履行职责”或“提供服务”过程中犯罪的主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,属于身份犯,第二款规定了以窃取或其他方法获取信息构成犯罪的主体是一般人员,无特殊身份限制,并在第三款中确定了前两款的单位犯罪主体。可以说,第一款主要针对个人信息的泄漏源而言,第二款主要针对个人信息的利用源而言,构成了对向关系,较完整地保护了信息所有人的利益。
但是,本罪的主体覆盖面是否完善,笔者认为值得商榷。除了本条所规定的工作人员之外,其他单位的工作人员同样能够接触到大量公民个人信息。前面的调查已显示招聘网站、猎头公司、房产中介、印刷业公司成为重要的信息泄露源,而国际立法通常只规定本罪主体由工作或职务性质所决定,却极少对行为人所处的岗位或领域作出限制。从应然的角度分析,其利用履行职责与提供服务上的便利非法出售或者提供公民个人信息,同样应当受到刑法的规制。“对于同属于侵犯个人信息且情节严重的行为,如果刑法作出不同的规范认定,将会导致规范的不平等与打击面的失衡。”因此,司法解释应当拓展本罪的犯罪主体范围,将中介机构等公司企业、居民委员会等群众自治组织、报纸期刊等新闻媒体以及其他能够直接接触公民个人信息的单位的工作人员,均纳入侵犯公民个人信息犯罪的主体范围,从而实现刑法对公民个人信息的全面有效保护。而且本罪第三款规定了单位犯罪的主体,在日常生活中,大量的侵害行为正是公司、企业等以单位名义实施的,因此,司法解释对本罪主体作扩张解释当属法理之义。
(五)明确划分行为后果
对于本罪危害性程度的成立要件,修正案采取了刑事立法的惯常做法———“情节严重”的表述方式,这一表述历来为学者所诟病,认为语言过于模糊、内涵不清、适用性不强。实务中往往通过制定司法解释予以具体适用。
最早创立PIM术语的Lansdale将PIM视为“人们日常处理、分类和检索信息的方法和程序”【4】,另一个研究者Barreau则将PIM界定为:“由个人开发或为个人创建的、为个人在工作环境中所用的信息系统,该系统包括个人获取信息的方法和规则、组织和存储信息的机制、管理该系统的规则和程序、检索机制以及生产各种输出的程序”【5】。对上述定义进行分析,可以得出以下四点认识。⑴对PIM的定义有许多源于传统的信息管理观点——存储信息就是为了日后检索,“存”与“检”是PIM中2个最基本的问题。其特异之处在于:管理的主体是个人、与记忆密切相关、能运用的资源有限、信息仅为个人所用、常涉及个人隐私。⑵PIM有广义和狭义之分。广义的PIM既包括对“外部”信息的管理,也包括对进入到人们记忆中成为“内部”信息的管理。正因如此,对PIM问题的关注也反映在对记忆、记忆术、认知心理学、人工智能、知识工程、人机交互等的研究上。⑶目前,人们已经从不同角度给出了多种PIM定义,其共同点是一般都把对信息外在形式的管理作为核心要素。信息的非物质性决定了对它的表达、保存和管理必须要利用合适的载体。长期以来,纸张(羊皮纸、牛皮纸)是通过外在形式存储信息的主要载体。随着用信息越来越多地转入纸质载体之中,由此而形成的纸质文献的数量也在不断增长,这给管理带来了挑战。在应对这些挑战的过程中,许多管理信息的理论、技术、方法、工具逐渐被建立或发明出来。但是,随着信息时代的到来,数字信息已经成为PIM必须面对的主要、甚至主要问题。⑷虽然PIM是个人对个人信息的管理,但这并不意味着这些个人信息完全为个人所掌控。事实上,许多与公共事务有关的信息也可能为政府或其他机构所控制,比如政府拥有我们的身份等信息、医院拥有我们的病患和治疗信息、银行拥有我们的储蓄和信用信息等。
2PIM与人体信息处理器
人体本身就是一件十分精致、高级的信息处理器,PIM的产生与发展就是为了弥补人体信息处理器的先天不足。人是大自然的产物,是物质和精神的统一体,天生就存在着对物质和信息的需求,因为精神或意识其实就是信息及信息的运动。人类本性中的一个基本特征就是喜欢收集、存储,这在物理世界和信息世界中均是如此。人要通过信息来认识世界、改造世界、征服世界。人类的成长和人类文明的进步就是人类通过信息不断认识、改造自然和自身并不断完善自身的过程,在这一过程中人类不断地增强着自身的体质、扩展着自身的智慧。前者属于物质活动:获取和利用物质资源,后者属于信息活动:开发和利用信息资源。这两类活动从来都是相辅相成的,差别是在人类成长的不断阶段,其侧重点不同而已。在农业社会和工业社会里,人类的主要活动是物质活动。而当人类迈入信息社会后,其物质性需求已经得到普遍满足,随着科学技术和文化教育事业的快速发展,经济社会联系和分工合作的日益深化,特别是信息技术的普及运用,人类的信息需求被大规模地激发,几乎所有的具备正常信息能力的人都成了信息的生产者、存储者、传播者、使用者。今天,任何人若不能有效地获取、生产、传播、存储、利用信息,他就不能很好地学习、生活和工作。对每个人来说,良好的PIM意味着更能有效地利用自己的宝贵资源(时间、金钱、精力和注意力),最终获得良好的生活质量;对组织来说,良好的PIM意味着能够获得较高的员工生产力和团队合作力;对教育部门来说,研究PIM可以完善面向信息素养的教育计划;对社会来说,PIM可以为记忆普遍不佳的老年劳动者和老年人提供更好的支持。人体经过漫长的进化逐渐变成了一件精致、复杂、高级的信息处理器,只是在信息科学技术不发达的时候这一点未被人们认识到而已。而个人需要管理信息其实是人作为信息处理器的本质决定的,但是信息有许多独特的特点,决定着信息的管理比有形物体的管理更为复杂,它需要许多更为高级、复杂的条件。相对于日新月异的信息现实和人类不断扩展的信息需求来说,其自身信息器官功能的进化一直比较缓慢。随着人类整体的信息生产能力和产量的不断增长,人体信息处理器的能力已经越来越难以满足个人处理信息的需要。进入信息时代,由于信息爆炸、信息冗余、信息过载、信息选择、信息负担等问题的不断出现,这一问题变得更加突出。庆幸的是,由于现代信息技术的发展和普及运用,帮助延长人类信息器官功能的设备、装置和帮助个人处理信息的工具正在不断推出,这些大大推动着PIM应用实践的发展。其实,从历史上看,PIM的发展演变一直与同时代的信息科学技术的发展和运用密切相关,否则人类就只能停留在运用记忆作为唯一工具管理个人信息的原始阶段。今天越来越多的人已经认识到不能落后于PIM技术的进步,开始学习并运用PIM工具来管理自己的个人信息。按照达尔文的进化理论,这是个人适应信息社会发展的必然选择。
3PIM研究的兴起
人的所有活动,包括学习、生活、工作、休闲等都离不开个人信息,这就是PIM的普遍性;个人信息的管理、开发和利用渗透到人在整个生命周期之中,这就是PIM的全局性和长期性;个人信息的管理、开发和利用又和每个人的兴趣、爱好、心理、志向、职业、智力、知识等密切相关,因而PIM具有复杂性;由于信息技术和信息工具的快速发展及其对人类信息行为的影响,PIM又具有明显的动态性。PIM的这些特点表明,不建立一个专门的学科领域将难以解决人类面临的越来越严峻的个人信息管理问题。目前,PIM已经成为国际学术界关注的一个焦点和热点问题。对PIM的研究是伴随着现代信息技术、特别是计算机技术的进步而兴起并逐步深入的。一般认为PIM研究始于1945年,这一年VannevarBush发表对整个信息管理领域都具有开拓性和奠基性的论文——“诚若所思”,他敏锐地发现由于信息的快速生产和学科的日益分化而导致的信息部门化问题,提出运用技术手段解决这一问题的初步设想——设计一种能提高人的信息能力、帮助人工作和思考的信息管理机器——memex,它能存储、查找个人全部信息,补充人的记忆【6】。遗憾的是,由于认识和需求、理论和技术等多方面的限制,在此后的30多年里PIM研究几乎没有取得实质性进展。20世纪80年代出现了个人计算机,利用计算机管理诸如预约、日程、任务、电话号码、通讯地址之类个人信息和交互环境下的个人文件等问题逐渐引起了研究者的重视,并诞生了为其提供初步技术支持的所谓PIM工具。1988年MarkLansdale率先从心理学和行为科学的角度探讨了PIM问题,首次使用per⁃sonalinformationmanagement(PIM)一词【4】,其成果“PIM心理”发表在《应用人体工程学》杂志上。Lansdale认为人类即将进入无纸的信息社会,信息的大量生产、传播和利用将使信息的有效存储和检索越来越成为人类必须面对和处理严重的问题。对那些长期在办公室工作的人员来说,他们迫切需要有效存储与检索信息的方式。Lansdale指出为解决这些问题需要引入信息管理技术、推进信息管理自动化,但是这种技术主导的解决措施其重点是机械地模仿现有的办公室行为或仅按现有的技术来研制解决方案,而忽视了一个根本性问题:心理因素,基于技术的解决方案基本不考虑用户的心理需求,更谈不上运用技术优化业务流程和完善组织结构。为此,他提出要研究信息管理者的心理和行为,并探讨了建立用户导向的信息管理系统开发框架。在Lansdale这些PIM研究先驱者的带动下,PIM逐渐变成了一个新的跨学科研究领域,来自社会学、心理学、人工智能、计算机通信、信息科学、信息管理、图书情报等学科的研究者都开始从不同的角度研究PIM。20世纪90年代,因特网的发展使人类进入到网络时代,快速组织和查找网上信息又变成一个新问题,一些学者开始围绕着这一问题来研究PIM,并发表了不少相应的研究成果,如Etzel和Thomas的《PIM:获得专业效果的工具和技术》【7】、Rosenberg的《PIM:为什么软件产业不能为我们提供更多保持我们生活有序的工具》【8】,Whittaker和Sidner的《电子邮件超载:电子邮件的PIM探讨》【9】,等等。进入21世纪,PIM研究开始向全方位、纵深、实用化方向发展,PIM理论探索日趋活跃,在2003年美国国家科学基金会资助的“信息和数据管理研讨会”上Jones和Maier提交了《关于PIM会话的报告》【10】。PIM应用研究推陈出新,一些企业、高校和研究机构设计了许多PIM软件(如MyYahoo、MyLi⁃brary、CyberDesk、OneNote、EndNote、Keynote等)、推出了许多PIM项目(如MyLifeBits、Lifestreams、StuffINFORMATIONSCIENCEVol.32,No.1January,2014•TheoryResearch•I''''veSeen、KFTF、Haystack等)、研制了众多的PIM设备(PDA、智能手机等)。这些成果的取得,使得个人管理信息实践不断深入,进而推动着PIM研究的进一步发展。PIM的理想目标就是确保人们能在合适的时间和地点,以合适的形式获得合适数量和质量的合适信息,以满足他们当前工作的实际需要【11】。但是严峻的现实是,人们花费了许多时间来克服一个日渐普遍的新问题,诸如电子计算机、智能手机、PDA等新的信息工具的使用虽然在某些方面对我们管理个人信息有所帮助,但是它们往往会导致并加剧信息的碎片化。由于信息分散在不同设备上,且为不同的软件所管理,或具有不同的格式,所以有时候提取这些信息的代价甚至会超过利用它们带来的收益。有时候,对邮件信息、网页索引、电子文件、纸质文件、手写笔记等,我们不得不维护若干个相互独立、基本相似但却根本不同的排序方案,而且如果我们有多个邮件账户、使用独立的(家用和办公)计算机、PDA或智能手机及其它复杂的PIM工具,使用的排序方案还要进一步增多。这些都是所谓信息碎片化的具体体现。人们都希望信息工具和技术的发展能使我们花费较少的时间和精力完成复杂、繁重、易错的信息管理工作,从而有更多的时间去创造性、巧妙地利用现有的信息来完成自己承担的工作。但是,要想使PIM达到这种理想状态,还面临着许多重大挑战。例如,人们完成工作所需的信息经常分散在不同地点和不同装置中,信息还常被分割成不同的碎片分散在相距很远的不同组织之中。从另一方面看,虽然PIM的重要意义显而易见,但是PIM研究领域也处于碎片化状态:有些学者关注的是电子邮件,有些研究的是网络的利用,有些探讨的是纸质文件和电子文件的组织,还有些聚焦的是移动设备的运用。随着这些学者探索的不断深入,他们都迫切希望能够聚集起来共同开辟这一全新的研究领域。自从Lansdale开创了PIM研究之后,经过近20多年的发展,作为一个科学研究领域的PIM已经初步形成。目前,PIM研究可以划分为理论与实践两大问题。PIM基础理论研究的主要内容有:信息项、信息分散化、信息碎片化、信息一体化,个人信息、个人信息集合,个人信息环境、个人信息空间,个人信息整合、个人信息流管理,个体信息差异、个体信息行为、个人信息心理,个人记忆、个人数字记忆,个人隐私、个人信息安全、个人信用管理,群体信息行为、群体信息管理,PIM的架构、演变、领域、活动、过程、方法和技术,PIM的测度与评价,等等;PIM实践与应用研究的主要内容包括:PIM软件、PIM系统、PIM工具、个人信息管理器(PersonalInformationManager,缩写也是PIM),个人图书、资料、文件、邮件、博客、通信、短信、关系等的管理,PIM项目、PIM解决方案、PIM实验,移动与网络环境下的PIM,任务管理、活动管理、日程管理、时间管理,等等。
4PIM国际研讨会
学者们对PIM问题的探讨引起了美国国家科学基金会的关注,为了进一步推动PIM研究的发展,它为2005年1月27-29日在美国西雅图召开的首届PIM研讨会提供了资助【12】。会议的主题是探讨如何运用计算机技术来辅助PIM。会议的组织者都是PIM研究的拓荒者,包括WilliamJones,HarryBruce,NicholasBelkin,VictoriaBellotti,SusanDu⁃mais,JonathanGrudin,JacekGwizdka,AlonHalevy,DavidKarger,DavidLevy,ManuelPerez-Quinones,JefRaskin等。会议重点讨论了当前PIM面临的问题和存在的机遇、PIM方法,具体内容包括:探讨作为一个研究领域的PIM的本质及要素;确定优秀和良好级的PIM的基本特征及测度方法;为确保PIM研究取得成效需要面对的关键问题和挑战;找到PIM的有效方法;建立PIM研究领域的研究共同体。这次研讨会把成功地把PIM研究的主要学者聚集起来,最后还编写了一份内容翔实、得到广泛传播的研究报告,该报告后来成为《PIM》专著及后续PIM研讨会的基础。报告界定了PIM概念及领域进行,绘出了PIM研究的路线图,分析了作为一个实践和研究领域的PIM现状,指出完善PIM实践,推进PIM研究面临的主要挑战,以及迎接这些挑战的方法和建立这些方法的具体建议。2005年度的PIM研讨会是PIM研究者们独立召开的,它在培育广义的PIM研究共同体和指出未来几年PIM研究的主要方向方面发挥着创始作用。由于这次会议取得了圆满成功,之后美国国家科学基金会又资助并和美国计算机协会(ACM,AssociationforComputingMachinery)、美国情报科学与技术学会(ASIS&T,AmericanSocietyforInformationScienceandTechnol⁃ogy)联合召开了3次PIM研讨会,每次会议都吸引了一批在特定领域从事PIM研究的学者参加。第二届PIM研讨会于2006年8月10-11日在西雅图召开,是与美国计算机协会情报检索专业组(SIGIR,SpecialInterestGrouponInformationRe⁃trieval)联合举办的【13】。会议的主题是“既然众说纷纭,那就寻根刨底”,主要探讨的是:当前已经成为一个研究领域的PIM的位置和要素,PIM研究和实践进展的测度方法及优秀和良好级的PIM标准,重新检视2005年会议中提出的关键问题和挑战并予以补充、过去一年半来取得的研究进展,找出可以应对这些挑战的PIM方法,找到PIM研究者和IR(信息检索)研究者进行大范围、双向交流的具体机会。信息检索技术可以帮助人们查找或再现信息,信息过滤技术可以帮助人们确定信息保存的具置。但是,对PIM的研究可能要求或激发人们修改信息检索的标准范式。第三届PIM研讨会于2008年4月5-6日在意大利的佛罗伦萨召开【1】,是与美国计算机协会人机交互特殊兴趣小组(SIGCHI,SpecialInterestGroupforComputerHumanInteraction)联合举办的,吸引了从事与PIM相关的人机交互研究的学者参加。会议的目标是找出可行的PIM方法,探讨用于PIM的移动和基于Web的计算分枝,确定测度PIM及其实践进展的方法,找到PIM研究者和HCI研究者进行交流的具体机会。会议的主题的是“即将消失的桌面”,确定这一主题的基本理由是传统的桌面计算机,甚至类似的桌面计算工具可能很快成为数字信息过去的遗物,许多人现在主要依赖移动计算机,只是偶尔才使用大键盘和显示器,还有些人使用多种联网设备来存取、组织和管理自己的个人信息。由于移动和网络计算技术的发展正在脱离传统的数字桌面,这给PIM带来了新的挑战和机遇,会议还特别关注由于移动和网络信息管理技术的持续发展带来的机遇与挑战。会议的分组讨论共有3个问题:一是理解PIM,包括不使用桌面来管理自己的个人信息,个人信息的组织和保存、查找和再现,PIM应用的方法、PIM研究的方法论;二是支持PIM的工具和技术,包括移动和网络PIM技术,支持数据表达和个人信息统一,查找和再现个人信息的工具,保存和组织个人信息的工具,评估PIM工具的方法和方法论,可以传授和学习的PIM战略;三是宏观视野中的PIM,包括群体信息管理,隐私与个人信息保护,公共部门和企业的个人信息安全、法律和政策,用于不同人群(如病人、老年人)、不同情况的PIM。第四届PIM国际研讨会于2009年11月7-8日在加拿大温哥华举行,美国情报科学与技术学会是联合举办方,会议的主题是“个人信息交集:PIM空间重叠时的情况”【14】。由于前三届PIM会议产生了广泛影响,PIM作为一个研究领域吸引着越来越多的研究者的重视和参与。他们通过进一步的研究发现,不同信息空间相互作用的交叉领域是PIM领域中一个亟待解决的心问题,这也成为因此本次研讨会的主题,会议研讨的主要内容包括:服务于个人多角色的信息空间,服务于家庭、工作、娱乐等多用户的信息空间,任务与活动管理,个人隐私与个人信息安全,基于PIM的组织战略和政策,群体信息管理,源于共享工作空间的社会问题和心理问题,PIM领域的确切边界。作为“CSCW(计算机支持协同工作)2012”会议组成部分的第五届PIM国际研讨会于2012年2月11-12日在美国西雅图成功举办【15】,由于社会网络化的趋势和影响日趋明显,因此“社会网络化世界中的PIM”就成为本次会议的主题。本次会议力图建立一个探讨各种PIM相关的问题的论坛,使其成为从事PIM相关问题研究的人员的大型社区。会议重点关注的重点问题有:作为自我延伸的PIM、用于合作环境的PIM、个人信息共享等。具体的内容涵盖三大方面:一是社会网络化世界中的PIM,包括工作空间共享的社会问题和心理问题,服务于多用户的信息空间,群体信息管理,个人隐私与个人信息保护,个人信息的安全、法律和政策,PIM领域的边界;二是理解PIM活动,包括个人信息的管理、组织和保存,个人信息的查找和再现,可传授和学习的PIM战略,PIM领域工作和研究的方法;三是支持PIM的工具和技术,如网络PIM工具、移动PIM工具和桌面PIM工具,数据描述和个人信息的有机统一,帮助支持组织、保存、查找和再现个人信息的工具,用于评价PIM工具的具体方法。
5结语
关键词:信息安全;课件;理论教学;教学方法
中图分类号:G642 文献标识码:B
文章编号:1672-5913 (2007) 23-0026-03
信息安全是计算机学科下的二级学科,是一门新兴的学科。它涉及通信学、计算机科学、信息学和数学等多个学科,主要研究范围涉及计算机及网络安全的各个方面。“信息安全概论”课程是信息安全专业的专业基础课程,也是提高学生计算机水平的重要组成部分。其教学内容主要包括:信息安全概述、密码学基础、密钥分配与管理技术、访问控制、防火墙技术、入侵检测技术、信息安全应用软件、企业与个人信息安全、Web的安全性、网络安全,它是一门综合性很强的课程。它的作用主要是让学生掌握信息安全的基本原理、基本概念;了解信息安全系统的设计方法;且要求学生能够进行一些信息安全实践,提高动手能力。学时分配为:理论教学32学时,实践教学24学时。由于这门课程理论性强、信息量大且抽象,而授课对象是低年级学生,专业知识尚不丰富,因此,如何在教学过程中提高学生的学习兴趣?如何开展实践教学?如何更好地将理论教学的知识点有机地融入到具体的实验中去?使学生不仅能够通过实验理解和掌握理论教学的内容,还能通过实验了解和掌握一定的工程技术知识,培养和锻炼学生的分析能力、综合解决问题的能力和实际动手能力,就成为我们在教学研究中需要解决的主要问题。
1目前教学中存在的问题
(1) 教学媒体使用不当。传统的教学方法主要是把学生集中起来,现在虽然有多媒体教室,对教学起到了一定的积极作用,但课件多是对书本内容的罗列,对启发式、讨论式的教学方法采用比较少。而课程内容较多且抽象,被动接受知识的方式无法有效提高学生的学习兴趣,学生普遍反映应难以跟上教学进度。
(2) 教学内容与数学课程脱节。信息安全概论这门课程涉及到大量的算法和协议,如密码学涉及到大数大因数分解问题、离散对数问题、椭圆曲线离散对数问题,等,这体现了信息安全专业与数学基础学科结合的紧密性。而在课程开设中,往往认为该课程是入门课程,而忽视了对数学课程的讲解,导致学生学习相关内容时感觉较难掌握。
(3) 重理论,轻实践。“信息安全概论”是信息安全学科的一门基础课,主要为信息安全及计算机相关专业的低年级本科生开设,因此,该课程旨在对学生讲解信息安全的基本理论,让学生对信息安全学科有个较为全面的认识,以利于后续课程的开展。信息安全主要讲解内容包括信息安全基本理论、安全协议及安全技术等几个部分。在开设课程过程中,由于片面注重理论的重要性,往往造成以课堂讲授为主,形成一种“灌输式”的教学。然而,由于该课程是为低年级学生开设,很多同学在听课过程中,感觉内容比较抽象,无法正确理解课程内容。如:RSA大数分解等内容,如果学生只是被动记忆公式和算法,而不借助实践性环节,如创新性实验、课程学习讨论、课程设计环节,等,将导致学生学习兴趣不高,教学质量没有保证,不利于学生创新能力的培养。
2课堂教学的改进
针对上述问题,教学组对以下几个方面作出了改进。
2.1课件的改进
板书与课件相结合的方式可提高教学效果,但其中最关键的是课件的制作。课件的内容不能仅是课程内容的罗列,而是要对课程内容跨章节地组织起来,形成一个整体,当然也包括与其他课程之间的关联。如在讲解密码学、访问控制、防火墙技术等章节后,学生具备了信息安全的基础知识,但是知识点比较分散,对信息安全的综合应用能力较弱。教学组在课程讲授过程中安排综合应用实例讲解。如以电子商务安全综合应用实例,该综合实例讲解安排在讲授完各个章节内容以后,共2学时。内容是设计典型企业网络拓扑;运用对称密码学,如DES算法为基本加密手段对电子交易进行加密,利用非对称密码学,如RSA算法;采用数字信封方式,对DES会话密钥进行加密分发;采用防火墙对企业网络进行防护;交易过程采用SET协议保障安全。这样,学生就能将各个章节的内容联系起来,巩固所学知识,提高综合运用的能力。
将信息安全中理论性强、极其抽象的内容制作成 Flash 动画。例如在讲述DDoS攻击时,学生对攻击者侵入傀儡机,并利用傀儡机攻击的过程很难理解。可用 Flash 动画来演示,以便在课上形象讲解黑客是如何对傀儡机进行控制,并对受害网络进行入侵的。特别将洪泛攻击的特点用动画方式,一步步展现给学生,使学生轻松接受知识。这种课件也便于学生在课下自主复习。
2.2重视数学基础
信息安全涉及大量的基础协议,如密码学中的RSA算法就涉及近世代数的基础知识。因此,需要为学生开设相关的数学基础课程,同时,在讲授该算法之前,先对数学知识进行复习,复习时以要点讲解为主,如:欧拉函数的定义,逆元的求解方法,等。对于逆元的求解,可以以具体的RSA实例进行讲解。另外,让学生进行实际的上机练习,利用数学基础进行编程实验,加深对密码学基础知识的理解,如为学生布置这样一道上机题:若有明文public key encryptions,请设计RSA加密算法对该明文进行加密,编程实现密钥的生成。学生就能通过上机实践,熟悉RSA算法的原理,并理解每个步骤的计算过程。
3改进实验方法
课堂讲授之外,还要对实验课进行合理安排。实验主要包括信息安全协议实验和信息安全综合实验两个部分。如表1所示。
表1 课程配套实验内容
其中,信息安全协议实验目标是使学生系统掌握安全协议及算法,了解安全协议的应用范围。掌握根据系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面),综合运用安全协议的能力。信息安全综合实验目的是将系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等方面),在OSI或者TCP/IP模型的各个层次予以考虑,并且结合安全管理策略在网络安全方案中予以保障,从而构成实际应用中的一个完整的信息系统安全方案。
实验课程中,教师先利用原型系统对实验效果进行演示,特别对网络攻防相关内容,进行实际操作演示,提高学生学习兴趣。
实验内容有针对性,以便于学生结合课堂上的实例讲解,理解信息安全的抽象内容。要求学生对实验结果进行分析、讨论,鼓励学生组成讨论小组,并写课程小论文,以加强学生之间的交流。如对于数字签名的实验,可让学生分成两组,在一台实验机器上完成信息的生成、签名、发送,在另一台机器上,对网络上接收到的信息进行解析、完整性校验。
为了更好地培养和锻炼学生的独立工作能力和创造性思维能力,对于信息安全综合实验,我们为学生设计了一个模拟的安全需求,具体如下:设计一在线考试系统,并从以下几方面保证系统的安全性:
服务器的安全防护,提供访问控制、安全审计、信息加密等功能,从保密性、可用性、可控性等几方面保证服务器的安全运行。
提供客户机、服务器的认证功能,保证考试过程的有效性。
提供客户机、服务器通信加密功能,保证通信内容的机密性。
恶意代码、蠕虫、病毒防御功能。
数字证书体制设计。
这一用户需求巧妙地将实践教学的知识点隐藏了起来,给学生提供了一个综合分析问题的空间。学生只有通过认真的需求分析,反刍所学的理论知识,才能正确地确定采用何种安全技术,从而培养和锻炼了学生的分析能力。
4结束语
本文提出的关于信息安全概论的教学方法将原本抽象、难以理解的数学基础知识、安全协议,形象、实例地配合实验进行讲解从而变得易于理解。学生通过实验进一步加深理解,较之传统的教学模式明显提高了学生对课程内容的理解及掌握。此方法在我们的本科教学过程中取得了明显的效果。
参考文献
[1] 王昭顺.信息安全本科专业人才培养的研究[J].计算机教育,2006,(10):30-32.
[2] 刘传才,陈国龙,密码学课程的探索与实践[J].高等理科教育,2002,(05).
