织密个人信息安全防护网

　　许多人有一个习惯，收到快递包裹后，先用笔把快递单上的姓名、电话、住址等信息涂黑遮盖，以免个人信息泄露。
　　随着大数据时代的到来，尤其是手机App、第三方网络平台等信息载体的普及，个人信息安全正遭遇严峻挑战。面对更隐蔽、更复杂的信息泄露风险，一支涂抹笔已经防不住愈加狡猾的“信息窃贼”。将于明年1月1日起施行的《民法典》，也给个人信息保护提供了法律利器。完善的法制、有力的监管、先进的技术，多策并举、多方协力，才能织密个人信息安全防护网。

“信息窃贼”防不胜防
　　北京的张女士打算出售一处房产，为此在二手房买卖App注册了会员，以便寻找合适的交易机会。“没想到，搬家公司、家具商等一堆陌生人的电话很快打了过来，开口就直呼姓名，有人还对我的住址一清二楚。”张女士说。
　　近年来，公众中类似的遭遇屡有发生。有的人孩子刚出生，推销婴儿用品的人便找上门；有的人新车还没提，就接到推销车险的电话……这种不期而遇的“精准营销”，已对普通公众产生滋扰，背后则是一条个人信息贩卖产业链。
　　7月16日举办的央视“3·15”晚会曝光了手机超限违规收集个人信息的情况，其中涉及多款App，而这仅仅是个人信息面临的多种泄露风险之一。
　　业内人士告诉记者，近年来的个人信息泄露大多集中在3个来源。一是存储有海量数据的机构，其内部人员违规获取数据后流出；二是“黑客”供给数据库，用技术手段窃取信息；三是用户在注册使用手机App、第三方网络平台时，将个人信息提交平台，平台因防护和管理措施不到位，导致泄露。
　　这3种信息泄露渠道中，普通人接触最多的，无疑是手机App、第三方网络平台的注册使用。
　　2019年，网信部门公布《百款常用App申请收集使用个人信息权限情况》报告，指出大量App均向用户索要个人信息相关权限，否则将“无法安装或运行”，其中涉及用户通话记录、位置、短信等多项个人信息权限。
　　业内人士认为，尽管目前掌握大量数据的机构大都加强了技术防护措施，制定了严格管理制度，但现实中不可能做到没有漏洞。“利益诱惑下，只要出现一个‘内鬼’，大规模泄露便防不胜防。”该业内人士说。
　　记者了解到，以往个人信息贩子一般使用QQ、微信、贴吧等网络平台，利用微信支付、支付宝等工具进行交易。然而，随着平台企业的管控日益严格，个人信息非法交易越来越难以通过传统平台进行，但依旧暗中存在。

交易手段日渐隐蔽
　　根据北京一家第三方数据分析公司人员提供的线索，记者发现在常用在线交流平台上，存在着部分以“数据交流”“数据分析”等关键词名称的组群，参与人数多在两三百人左右。据透露，这些组群为个人信息交易“黑市”。
　　然而，进入“黑市”并不容易。相比过去的“自由进出”，如今“入市”需要熟人点对点接触，确认需求真实。
　　通过数据分析公司协助者的“引荐”，记者得以进入一个数据交流群，发现在介绍中标注着“在本群交易需要谨慎，被骗不管”的字样。
　　记者尝试以业务员身份，求购北京市中海紫金苑小区的房源业主资料，从一名信息贩子处获得了“供验”的10余条业主信息。在这份数据中，业主的姓名、住房面积、房号等信息一览无余。
　　卖家表示：“信息是几个月前的，但是考虑到最近房产交易量小，准确率应该在90%以上。”
　　记者尝试拨打了其中部分电话号码，经电话机主确认，确实在中海紫金苑小区居住，其他相关信息也与实际情况相符。
　　在组群中，除了房源业主信息，还存在银行客户、新生入学等多种类别信息，均可“先验证后付款”。根据个人信息内容不同，每条价格从0.5元到2元不等。
　　值得警惕的是，记者在调查中了解到，当前个人信息贩卖不仅暗藏于国内网络平台，还逐渐向外网平台转移，通过telegram、potato等国外互动软件，甚至某些具有组群、交流功能的网络游戏作为平台，以虚拟货币等方式进行交易，手段更加隐蔽，溯源更加困难。
　　记者在数据分析公司人员的协助下，注册了telegram平台账号，发现其同样存在众多个人信息交易群组，其中贩卖的信息涉及银行卡开户、酒店住宿登记、车票机票购买记录、快递收取地址等，几乎涵盖生活各个领域。
　　与国内平台不同，外网平台通过“充值”，把现金转化为“积分”，以此为“虚拟货币”进行个人信息交易。买家获取“积分”后，可在平台搜索需要的个人信息类别，自行购买，部分交易无需与卖家直接接触，更便于隐匿交易痕迹。

防范漏洞法制先行
　　在法治社会，群众的安全建立在健全的法律之上。强化个人信息安全保护，同样需要法制先行。
　　记者了解到，近年来我国个人信息保护相关法律法规不断健全。2012年全国人大常委会通过的关于加强网络信息保护决定，2013年修改的《消费者权益保护法》，2015年通过的《刑法（修正案九）》，2016年通过的《网络安全法》，2017通过的《民法总则》，都对个人信息保护作出相应规定。市场监管部门推出《侵害消费者权益行为处罚办法》等规章，细化了商业行为中消费者个人信息保护的规定。
　　今年5月28日，十三届全国人大三次会议审议通过了《中华人民共和国民法典》（以下简称《民法典》）。作为新中国成立以来第一部以“法典”命名的法律，从生命健康、财产安全到交易便利、个人隐私，公民的日常民事活动都可以在民法典中找到依据，充分体现了“民有所呼、法有所应”的精神。
　　记者看到，《民法典》第六章专设隐私权和个人信息保护，为我国公民个人信息安全保障搭建了民法保护的制度框架，充实完善了个人信息保护的法律体系，为进一步追究侵犯隐私权和个人信息权利的违法犯罪行为法律责任提供了明确的法律依据。
　　全国人大代表、江苏省律师协会副会长、国浩律师（南京）事务所管理合伙人车捷参与了《民法典》分编草案的审议。他认为，《民法典》体现了对民生的关怀，群众普遍关心的个人信息和隐私权保护，在《民法典》中都有回应。
　　结合疫情防控的新形势，特别是“健康码”等信息手段的广泛运用，车捷提出了如何保护疫情期间采集的公民个人信息、防止信息扩散的建议。
　　“要在充分利用信息化手段进行社会管理的同时，明确责任主体，确保数据安全，有效进行管理，保证公民信息不被非法使用和泄露。”车捷说。
　　记者获悉，《民法典》颁布的同时,个人信息保护立法也在加快脚步。两会期间，全国人大常委会工作报告在下一步主要工作安排中提出，围绕国家安全和社会治理，制定生物安全法、个人信息保护法和数据安全法。

强化监管斩断“黑手”
　　个人信息安全问题因“网”而生，组成社会的众多个体都是“网”中的节点。在法制保障的基础上，需要部门协同、强化监管、凝聚合力，才能扎紧防范个人信息泄露的篱笆。
　　从2019年开始，中央网信办、工信部、公安部、市场监管总局四部门联合开展了App个人信息保护治理，发布《关于开展App违法违规收集使用个人信息专项治理的公告》，并成立了App违法违规收集使用个人信息专项治理工作组。
　　2019年4月，市场监管总局办公厅印发通知，在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动，重点打击侵害消费者个人信息违法行为。
　　市场监管部门针对3类违法行为进行了查处：一是未经消费者同意，收集、使用消费者个人信息；二是泄露、出售或者非法向他人提供所收集的消费者个人信息；三是未经消费者同意或者请求，或者消费者明确表示拒绝的，向其发送商业性信息。
　　记者了解到，市场监管部门在行动中深挖案件线索，通过畅通投诉渠道、关注舆情动态、充分运用大数据等方式，收集相关案件线索。各地各部门加强执法联动，及时通报信息、互相支持配合，进一步强化了行政与司法衔接。同时，宣传行动成果、典型案件以及消费者个人信息保护相关的法律法规和消费知识，增强经营者守法经营意识，教育和引导消费者主动保护个人信息。
　　截至行动结束，各地市场监管部门共立案查办各类侵害消费者个人信息案件1474件，查获涉案信息369.2万条，罚没款1946.4万元，移送公安机关案件154件。
　　与此同时，多部门开始对违法违规收集使用个人信息的App曝光点名，收紧个人信息保护网。《App违法违规收集使用个人信息行为认定方法(征求意见稿)》《移动互联网应用基本业务功能必要信息规范》等文件相继出炉，对提升App个人信息保护水平提到了积极推动作用。

科技“强网”守护安全
　　在大数据技术飞速发展的时代，技术进步、人工智能、标准规范、认证认可等手段，在个人信息保护中的重要性日渐凸显。
　　在今年华为春季新品发布会上，华为P40系列手机正式亮相。在产品展示中，相比于亮丽的外观、强大的性能，一个特殊的LOGO——市场监管总局所属中国网络安全审查技术与认证中心(以下简称网安中心）的盾形标志，引起了业界和市场的关注。
　　“这个标志，代表着我们自主研发的华为移动智能终端操作系统EMUI10.1，正式通过了网安中心的IT产品信息安全认证。”华为消费者业务CEO余承东说，“这也是在国内手机操作系统产品首次获得‘EAL4+’级别认证，这是目前我国手机操作系统的最高等级安全认证。”
　　记者了解到，IT产品信息安全认证将产品信息安全保障能力从低到高分为7个评估保障等级，即“EAL1”至“EAL7”，以此判定相应安全级别。
　　截至2020年4月，网安中心已累计颁发IT产品信息安全认证证书620张，有效证书291张，涉及产品近百种。
　　今年4月，由华为终端有限公司开发、搭载于P40系列手机的移动智能终端操作系统EMUI10.1，成功突破技术壁垒，正式获得了“EAL4+”级别认证。该系统依托我国自主研发的麒麟芯片为安全可信基础，完全自主构建了可信执行环境，包括可信计算、可信密钥、可信存储、可信输入等多个方面，自底向上建立起全面的安全防护体系。
　　“这表明华为在基础软件自主研发和安全保障方面达到了国际行业高水平。”余承东表示，“同时这次突破也离不开我国网络安全审查技术与认证领域工作人员的努力。”
　　记者了解到，网安中心于2019年收到华为认证申请后，迅速调集业内顶尖技术专家，组建起一支针对移动智能终端操作系统的安全评估专家团队，着手研发认证规范。经过一系列研讨论证，安全评估专家团队提出了“EAL4+”保护轮廓，并对认证规范中产品安全设计、隐私保护及缺陷纠正等内容做了扩展与增强，力求严谨细致。
　　2019年12月6日，《移动智能终端操作系统安全技术要求（评估保障级4增强级）》在北京通过专家评审。国内首个针对移动智能终端操作系统提出的“EAL4+”安全技术规范正式发布，为我国IT产品安全高级别评估认证提供了依据。
　　在认证实施阶段，网安中心调集骨干认证技术人员组成项目组。今年疫情期间，项目组采用远程交流和现场交流相结合的方式，在经历了5版认证方案、10余场专家研讨论证会、百余天的线上线下评估和审核后，最终按期完成了EMUI10.1系统的型式试验、代码分析、文档审核、渗透性测试等认证环节，该系统通过认证评定。
　　认证结果表明，华为EMUI10.1系统从设计开发到交付的整个生命周期具有较高的安全保障能力，产品自身具有较强安全性，能够抵御较高强度的恶意攻击。3月18日，网安中心正式为华为颁发了IT产品信息安全认证（EAL4增强级）证书。
　　华为有关研发专家对记者说，通过安全认证，国内企业不仅可以提升产品自身安全性，为用户提供更加安全可靠的产品，还对促进信息技术产业的健康发展起到重要作用，为我国自主品牌企业公平参与国内外市场竞争打下了良好的基础。

□本报记者 李 晶