近日,据一些媒体报道,国内安全漏洞监测平台乌云发布报告称,如家等酒店使用了某网络公司开发的酒店wifi管理、认证管理系统,并且酒店客户的信息被存储在该网络公司的服务器上,但是,由于该系统存在漏洞,酒店客户个人信息面临被泄露的风险。这意味着,酒店客户的姓名、身份证号码、入住和离开酒店的时间等信息,都有可能被黑客轻松截获。由此,个人信息保护问题再次引发了社会公众的关注。

三大原因拖慢信息安全立法进程

首先,我国立法机关的立法任务非常繁重,立法有轻重缓急之分,特别是在去年全国人大常委会刚刚通过了《关于加强网络信息保护的决定》,就目前的情况来看,可能尚有更为重要的法律需要制定。

其次,一项立法草案需要达到一定的成熟程度才能顺利通过。从这个角度来讲,个人信息保护还有一些问题需要进行研究、协调和解决。例如,数据挖掘技术是近些年才出现的一项信息技术,它的出现对于个人信息的采集和使用规则亦提出了挑战。

第三,个人信息保护法是一部个人信息保护的基础性法律,它不仅规范金融机构、电信机构等对个人信息的获取和使用,政府机构对个人信息的获取和使用亦应受其约束。因此,在立法时需要征集多部门的意见并进行协调,这些亦会导致立法进程缓慢。

法虽未立 但整治必须先行

《法制日报》记者在采访中发现,在个人信息保护领域,我国许多省市都已经制定了有关个人信息保护的地方性法规。此外,全国人大常委会、国务院及其部委也制定了若干专门领域的个人信息保护规定。例如,在网络信息保护方面,有《全国人民代表大会常务委员会关于加强网络信息保护的决定》、工信部制定的《电信和互联网用户个人信息保护规定》;在金融信息保护方面,国务院制定了征信业管理条例等。另外,我国刑法亦规定有“非法获取个人信息罪”和“非法买卖、提供公民个人信息罪”。

结合此次酒店客户个人信息存在泄露风险一事,周学峰指出,网络公司应该预见到,如果其所提供的信息系统有缺陷,将会导致所存储的个人信息受到严重泄露,因此,网络公司负有保障其提供的信息系统具备安全性的义务。当然,这种安全性应当是一种合理的安全性,而不是绝对的安全性。在判断网络公司是否尽到了安全保障义务时,可以参照工业和信息化部于2013年7月制定的《电信和互联网用户个人信息保护规定》。除此以外,《信息安全技术、公共及商用服务信息系统个人信息保护指南》作为我国首个个人信息保护的国家标准,虽然不具有法律上的强制约束效力,但具有指南性,亦可作为衡量互联网企业是否有过失的参考性标准。

此外,据了解,从世界范围来看,目前关于个人信息保护立法存在两种立法模式,一种是集中立法模式,如欧盟的《个人信息保护指令》;另一种则是分散的立法模式,例如,美国并不存在像欧盟《个人信息保护指令》那样的一部法典,而是分散在若干部法规之中。周学峰认为,如果我们要采取集中立法的模式,欧盟的《个人信息保护指令》可以作为借鉴的对象。

独辟蹊径 加密软件自主防护个人信息安全

虽然法律是信息安全防护的最终目标，但是对于复杂多样的信息安全问题，光靠法律是不够的，更由于现在处于法律建立的准备期，更多的主动防护能带来更好的安全防护效果。而主动防御中加密防护则是最出色和效果最好的。

加密技术直接作用数据本身，使得数据即使因为意外丢失了，被窃取了，监听、监控了，加密防护依然存在，真实内容也不会泄露。而如果使用国际先进的多模加密技术，就更能灵活的选择多种加密模式，从而使用户应对各种安全风险。而这项技术使用的典型代表正是山丽的防水墙系列。

个人信息、企业信息、国家机密将成为信息时代洪流中敏感的元素，这些敏感元素最大的威胁就是遭遇来自个人、企业甚至是国家政府的窃取、窃听甚至是控制。完善法律是遏制邪恶的重要力量，但要确实的抵抗邪恶，主动防护必不可少，而采用具有针对性的加密软件则是最好的选择!

(责任编辑：安博涛)