审计处

内审天地 栏目

典型案例

当前的位置 >  审计首页  >  内审天地  >  典型案例  >  正文

从高校学生“被发工资”事件谈信息安全保护

时间:2021-09-27 09:16:10  点击:   发布者:

近日,西北工业大学明德学院多名学生反映在“个人所得税APP”上有工资记录,怀疑个人信息泄露,遭一些企业冒用。据相关报道称,公安、税务机关已介入调查。大学生们纷纷留言,有“还没上班,就上了三家公司班”、“无意间入职,我们不只是同学还是同事”诸如此类的调侃,也有的担心“信息泄露这一次用在税收,另一次会不会用到贷款”。

对于此现象,笔者认为,相关部门在彻查企业是否涉嫌偷税漏税问题时,还应当关注另一个问题,那就是个人信息是如何被泄露的。和偷漏税相比,其背后的公民个人信息泄露的危害性更大,应引起更大关注。中国消费者协会曾对100款手机APP进行测评后发现,“47款APP隐私条款内容不达标,其中34款APP没有隐私条款”,APP使用权限被滥用、隐私条款内容不达标有可能造成用户隐私泄露。此前,中消协发布的《APP个人信息泄露情况调查报告》显示,受访者中曾因个人信息泄露而被骚扰或侵害的人数占比高达85.2%。随着大数据时代到来,互联网成为最活跃的创新领域,公民在享用新技术便利的同时,也因使用各种网络服务造成个人信息散落在互联网,个人信息泄露的问题日渐凸显。如“被发工资”的800余名大学生。公民的个人隐私信息,可能成为他人的赚钱利器,电信诈骗案件的频繁发生,一定程度上也是个人信息泄露造成的。近年来,侵害公民个人信息实施不当获利及犯罪活动的问题越来越多,为公民带来很大的困扰和麻烦,严重破坏了正常的经济秩序,给经济和社会发展带来较大危害。为维护公民的合法权益,保障公民的个人信息隐私,切实预防惩治不法分子利用公民信息实施违法犯罪行为,提出如下建议:

一是加强司法惩治,完善法律对公民个人信息的保护。通过立法保护个人信息及隐私权,是国内外通行的做法。我国从制度到法律层面,对网络安全及信息保护做出了相关规定。2012年12月《全国人大常委会关于加强网络信息保护的决定》获得通过;2017年6月1日正式实施的《中华人民共和国网络安全法》,对于公民个人信息保护意义重大。该法除总则、附则外,涉及用户个人信息保护条款信息保护的条款有10余处,对严防个人信息泄露、滥用以及层出不穷的新型网络诈骗犯罪作出规定。2018年5月1日实施的《信息安全技术个人信息安全规范》,对个人信息的收集、保存、使用、共享、转让、公开披露进行了补充规定。以上制度及法规的实施,以及相关部门对侵犯公民个人信息问题的整治力度持续加大,公民个人信息泄露问题已有明显好转。但当前法律对个人信息的收集原则、范围、方式界定不明确。例如《网络安全法》、《全国人大常委会关于加强网络信息保护的决定》等明确要求收集的信息必须与服务有关,需要经被收集者同意,但对是否“有关”没有明确的操作细则,缺乏实操性。侵犯公民个人信息诱惑大,不易被司法机关查获,风险及犯罪成本低,让一些违法主体无视法界以身试法。应完善相关法律条款,并制定一部科学、完整、专门的个人信息保护法律。加大公、检、法、司等部门的协作力度,合力打击侵犯公民个人信息犯罪,发挥打击、保护、警示、惩治的效果。同时拓宽司法救济途径,完善行政救济措施及司法救济措施,在个人信息主体在权利受到侵害时可以得到广泛救济,用法治为个人信息配备“安全防护锁”。

二是加强政府监管,切断违法信息交易渠道。公安、网信、金融等部门要加强网络监管力度,加大对公民个人信息保护的技术力度,通过对公民个人信息加密、设置防火墙等方式,让公民的个人信息的存储环境更安全。对个人上网痕迹、位置轨迹、人脸、指纹、声纹等生物特征信息实施数据保护,对包含获取公民个人信息的QQ、微信及隐私条款内容不达标的APP等小程序实时审查及屏蔽,切断非法获取使用信息的渠道。网管部门要严厉打击非法利用或售卖个人信息的行为,为互联网行业营造良好环境,让公众安心共享信息。

三是加强行业自律,堵住信息泄露源头。对公安、财政、教育、金融、社保等个人信息聚集部门及互联网企业,要强化行业自律规范,加强法制警示教育和职业道德教育,对保管使用数据从业人员签署保密协议或承诺书,提高信息保管的安全责任系数。保证在任何情况下对公民个人信息的收集、使用,要进行充分告知并取得明示同意和授权,并明确规定其获取信息的范围。严格追究互联网企业和网络应用服务商的违约责任,对违规主体实行互联网“逐出制”,提高网络平台和互联网企业的敬畏意识,让行业自律成为立法外保护网络信息安全的补充,促进信息使用者善待和保护用户个人信息,避免不良主体滥用技术手段侵犯公民信息权。

四是加强自我警惕,提高公民个人信息保护意识。组织相关力量开展形式多样的网络安全检查和宣传活动,宣传贯彻相关网络安全法,普及网络安全相关知识,提升公民个人信息保护意识和技能。如警惕APP“越界”收集甚至非法窃取用户信息,对来源不明的投票等APP程序进行甄别,不盲目关注、注册。屏蔽公共场所WiFi自动连接功能,不随意扫描二维码、随意蹭网,使用WiFi登录网银或者支付宝时,通过专门的APP客户端访问等。

(资料来源:审计号微信公众号)