Proofpoint 刚刚对全球 1400 名首席信息安全官（CISO）开展了调查，结果发现大多数受访者都对当下的网络安全和前景表示担忧。据悉，本次调查涵盖了美国、加拿大、英国、法国、德国、意大利、西班牙、瑞典、荷兰、阿联酋、沙特阿拉伯、澳大利亚、日本和新加坡等地各百名首席信息安全官员。

自 cnbeta

预计到2021年，各企业将在安全和风险管理的所有部门的支出都有所增加。延续去年的趋势，2021年云安全和综合风险管理将实现最高增长，分别增长251%和27.8%。

向云的转变推动了云安全方面三位数的支出

CISO和安全领导人意识到他们的企业在从遗留系统迁移到云时可能暴露的风险和漏洞。为了管理这些风险，各企业正在增加在云安全工具方面的支出，推动2021年云安全市场增长251.1%。云访问安全代理（CASB）和云工作负载保护平台（CWPP）将是印度CISO在2021年增加云安全领域支出的一些主要技术。

此外，印度CISO和安全领导人将专注于建立和部署威胁检测和响应计划、能力，如端点检测和响应（EDR），转向云交付的安全能力，以便无论是在办公室、家庭还是非现场工作，都能获得一致的安全覆盖。

199IT.com原创编译自：Gartner 非授权请勿转载

多年来，人员不足一直是一个普遍的问题。ISC2估计，全球所需的专业技术人才短缺超过400万人。这给CISO（首席信息安全官）带来了挑战。

德勤研究报告基于美国51个州和领地的反馈意见。即使CISO职位“已经发展为成熟和受人尊敬的角色”，他们仍然“在努力确保足够的预算、人才和协调各机构之间一致的安全实施。”这些是各州政府面临的长期挑战。COVID-19大流行加剧了各州对其数字和网络安全运营进行现代化改造的需求。

大流行效应

从办公室到家庭环境的突然转变不仅影响了政府机构，还影响了私营企业。 ISC2的调查发现，有90％的受访者已实施在家工作的政策。远程环境扩大了网络攻击的范围。在急于建立这些环境的过程中，将近一半的受访者（47％）被从网络安全中重新分配到其他IT任务上。

各州的首席信息安全官通过建立电话会议和远程协作的防护措施并提供网络钓鱼指导来应对疫情期间的安全问题。但是，“涉及信息系统的财务欺诈事件”仍在增加，并且预计在来年会有更多。

首席信息安全官必须面对的另一个问题是与地方政府的协调不力。只有28%的州报告说，在过去的一年，作为安全计划的一部分，他们与地方政府进行了广泛的合作；65％的州报告说有限的合作。

尽管各州向地方政府提供事件响应、安全管理运营、网络和基础设施、战略、治理和风险管理等服务，但只有27%的州在提供网络安全培训。此外，有40%的州使用联邦模型进行网络安全保护，但研究表明，涵盖多个机构的集中式模型将更为有益。

199IT.com原创编译自：ISC2 非授权请勿转载

Gartner的研究主管Sam Olyaei表示：“两位数的增长反映了MENA地区的企业在采用信息安全和风险管理解决方案方面跟上全球同行的步伐。更重要的是，不断演变的威胁格局和数字转型的到来正迫使当地安全和风险领袖重新评估他们的支出优先事项。”

安全服务和网络安全仍然是MENA企业两大安全和风险管理支出优先事项。这两个部分将占2020年安全和风险管理总支出的66%（参见表1）。

托管安全服务包括涉及安全流程（如监视、检测和响应）的服务。Olyaei先生补充说：“我们继续看到该地区普遍存在人才短缺，特别是与战术职能有关的人才短缺，这已迫使领导者利用托管安全服务提供商（MSSP）和其他顾问来管理其运营能力”。

尽管支出水平较低，但云安全和数据安全仍将是企业安全和风险管理支出增长最快的领域。向云优先战略的转变仍然是MENA的优先事项，特别是在主要云服务提供商在该地区建立业务的情况下。

Gartner预测，到2020年，该地区数据安全投资总额将达到7200万美元，同比增长26%。

199IT.com原创编译自：Gartner 非授权请勿转载

安全支出的三大驱动因素是：（1）安全风险；（2）业务需求；（3）行业变化。隐私问题也成为关键因素。Gartner认为，到2019年隐私问题将至少推动10%的安全服务需求，并将影响各种细分市场，例如身份和访问管理（IAM）、身份管理（IGA）以及数据丢失预防（DLP）。

更加注重构建检测和响应能力，GDPR等隐私法规以及解决数字业务风险的需求是2019年全球安全支出的主要驱动力。

Gartner已确定影响2018 – 2019年信息安全支出的主要趋势，包括：

2019年至少有30%的企业将投资与GDPR相关的咨询和实施的服务。

企业正在遵守自2018年5月25日起生效的GDPR。实施、评估和审核与GDPR相关的业务流程预计将成为欧盟企业以及以欧洲为客户的企业的安全服务支出的核心重点。

到2020年，数字化转型计划中的风险管理和隐私问题将为超过40%的企业带来额外的安全服务支出。

咨询和实施服务提供商在过去几年中重新调整了他们的服务产品，以支持客户进行数字化转型。安全性是采用公共云、SaaS和物联网（IoT）设备运营和知识产权保护的转型过程的关键因素。

到2020年，服务（订阅和管理）将至少占安全软件支出的50%。

安全即服务正在超越内部部署，而混合部署更吸引买家，托管服务平均占24%。

根据Gartner的最新预测，2017年，印度信息安全产品和服务支出将达到15亿美元，比2016年增长了12%，预计，2018年的支出将增长到17亿美元。

安全服务仍然是增长最快的部门，特别是IT外包、咨询和部署服务。但是，由于虚拟设备、公共云和SaaS的普及，硬件支持服务的增长将会放缓。

印度安全服务的强劲增长主要是由于印度几个大型企业的参与。许多印度企业正在经历安全计划创新和成熟的阶段，这意味这他们需要广泛的安全服务来帮助建立和发展其安全流程和技术。其中，安全监控和检测是投资的热点。

199IT.com原创编译自：Gartner 非授权请勿转载

        根据Gartner的最新预测，2017年，全球信息安全产品和服务支出将达到864亿美元，比2016年增长了7%，预计2018年将增长到930亿美元。

        在基础设施保护领域，由于数据泄露频繁发生，以及对应用程序安全测试的需求不断增长，Gartner预测，新兴应用程序安全测试工具将成为信息安全产品和服务支出增长的一个重要的动力。

        安全服务仍然是增长最快的部门，特别是IT外包、咨询和安装服务。由于虚拟设备、公共云和软件即服务（SaaS）版本的安全解决方案的普及，硬件支持服务增长将放缓，对硬件支持的需求也将有所下滑。

        Gartner最新信息安全市场预测是以以下假设为前提的：

        欧盟一般数据保护条例（GDPR）引起了人们的重视，到2018年，将推动65%的数据安全购买决策。

        到2020年，所有管理安全服务（MSS）的合同中，40%将与其他安全服务和更广泛的IT外包项目捆绑在一起，和目前的20%翻一番。

        到2021年，中国80%以上的大型企业将利用本土供应商部署网络安全设备。

        中国最近批准的网络安全法将有助于中国本土供应商进一步取代美国制造的网络安全产品。

        2016年，亚太地区终端用户在信息安全方面的支出增长了24%，但由于平均销售价格（ASP）的下降，Gartner预计，2018年开始增长率将下降至一位数。

        199IT.com原创编译自：Gartner 非授权请勿转载

《报告》披露：超过七成以上的人都认为个人信息泄露问题严重；多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电；53%的人因网页搜索、浏览后泄露个人信息，被某类广告持续骚扰；在租房、购房、购车、考试和升学等个人信息泄露后，受到营销骚扰或诈骗的高达36%。

　两成人曾受电信诈骗恐吓

由中国青年政治学院互联网法治研究中心和封面智库联合发布的这份《报告》显示，有26%的人每天收到2个以上的垃圾短信，20%的人近一个月来每天收到两个以上骚扰电话。

《报告》还显示，在遭遇个人信息侵害时，经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%，因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上，遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上，被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%，明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%。

此外，即便最少的数据比例，即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电话或短信诈骗信息”也达9%。

60%受访者不知如何维权

在日常生活中，证件复印件、快递单和手机是泄露个人信息的重要载体。《报告》显示：有高达55%的人将证件复印给相关机构时，从不注明用途；47%的人经常将写有个人信息的快递单直接扔掉而不加处理；超过27%的人在停用、注销手机号的时候，甚至不去银行、支付宝、网站等变更绑定的手机号。

在被问到发现个人信息泄露会采取什么行动的问题时，71%的参与调研者选择了掐断电话或不予理睬，选择拉黑及拒接的比例为63%；仅有20%左右的参与调研者选择了举报、投诉、报警等积极应对措施。

在解释未能维权的原因时，半数以上的参与调研者因不知如何维权(占60%)和没有发现经济损失(占56%)而选择了沉默。

值得关注的是，参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权，另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项，也有14%的选择比例。

　量刑过轻震慑力有限

针对此次调查发现的问题，《报告》认为，尽管目前我国针对个人信息保护存在诸多法律规定，但基本都分散在效力层次不一的各种法律法规乃至规范性文件。因此建议，应尽快通过一部统一的个人信息保护法规，对相应法律进行系统化梳理和整合。

《报告》指出，尽管当前针对个人信息的非法获取与利用的司法判决为数不少，但与个人信息泄露的普遍状况相比，并不成比例。特别是个人信息泄露与电信诈骗等犯罪活动结合之后，造成了重大的损失和巨大的社会影响，亟需加大惩处力度，增加犯罪成本，以切实起到威慑作用。

“我们做了一个案例数据库检索，只找到相关的40多个案例的判决书。而在这其中，只有5个案例是判决侵犯个人信息的罪犯是超过一年，超过两年的更是仅有两个案例。这样的比例也说明，我们刑法的量刑规定不是很高，在实践中震慑力还比较有限。这同样也印证了维权困难导致受侵害人维权意愿低下的观点。”《报告》执笔人、中国青年政治学院互联网法治研究中心执行主任刘晓春说。

中国青年政治学院副校长、互联网法治研究中心主任，最高人民法院刑一庭副庭长林维认为，应建构统一的立法框架、加大司法打击力度、确立顺畅维权渠道。“把关注的焦点从事后的惩处转移到事前的防范上来，从非法数据产业链的源头堵住数据泄露的可能性，才有希望从根本上治愈这一顽疾，迎来个人信息保护的蓝天。”

芝麻信用成实践样本

《报告》同时指出，实现健康市场秩序的具体模式，其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。

在此方面，刘晓春介绍，经过《报告》课题组专家调查研究，建议可根据芝麻信用等征信机构形成的实践样本，提高征信机构和数据信息行业的准入门槛，建立个人信息分类保护、全面落实用户授权机制、严格规范内部管控流程、完善泄露危机应急预案，让这个成为整个数据信息行业的通用标准。

例如，以手机app等软件为例，芝麻信用等企业建立内部信息采集规范，只采集与评估用户信用状况有关的信息，而不采集用户的聊天、通话等个人隐私信息，不得追踪用户在社交媒体上的言论信息。

同时，芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度，设立了外部舆情监测机制，一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时，会及时评估事件对用户信息安全造成的风险或潜在威胁，甚至决定中止或终止与合作商户的合作。

蚂蚁金服副总裁、芝麻信用总经理胡滔在会上透露，芝麻信用已通过英国标准协会权威评估认证，成为国内首家获得ISO27001:2013国际信息安全管理体系认证证书的征信机构。

“在信息安全管理方面，芝麻信用严格按照国际信息安全最佳实践要求实施，即使投入成本，改变流程，也要尽最大努力保护用户的个人信息和隐私安全，这也是我们对用户的承诺。我们也希望，芝麻信用阳光公约的相关原则和做法，能成为更多同业的共识。”她说。(来源：法制日报 记者 余瀛波)

附：《中国个人信息安全和隐私保护报告》全文

中国个人信息安全和隐私保护报告

中国青年政治学院互联网法治研究中心

&封面智库联合发布

2016年11月

报告摘要

　　我国信息化建设的推进和互联网应用的普及，推动了社会大发展和新变革的同时，也为个人信息安全带来了新挑战。

侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失，严重影响社会安定，成为社会公害。

在执法部门投入大量社会资源进行的持续高压打击之下，一系列大规模侵犯个人信息犯罪案件告破，不法分子嚣张气焰得到遏制，但仍呈现出屡打不绝的态势。

要改变公民个人信息频遭泄露侵害的社会现实，需要全方位建立个人信息安全的社会保障体系：

对于公众，需要进一步清晰个人信息泄露造成的危害、掌握有效防范技能并树立维权意识；

法制建设方面，要改变现有个人信息保护法律法规过于分散的现实，建议尽快制定统一、系统的《个人信息保护法》，为公民维权、打击犯罪提供便捷途径；

从司法实践来看，应进一步强化打击的威慑力，重点打击以侵害个人信息生利的黑色产业链；

从信息相关产业和市场的角度，个人信息保护和合法使用，需要通过市场机制、社会共治的模式，充分发挥产业界技术优势和创新能力，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段在内的多种手段惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制。

专家评述

个人信息治理应当注重事前防范

胜于事后打击

林维/中国青年政治学院副校长

互联网法治研究中心主任、最高人民法院刑一庭副庭长

　　“徐玉玉案”引发了全社会对个人信息泄露现状的高度关注和热议，但是个人信息泄露和保护问题由来已久，互联网的发展也使得个人信息的地下交易产业链更加隐蔽、难以追踪。

目前，针对个人信息泄露及其引发的电信诈骗等犯罪活动，已经引起了公安部等部门的高度重视，也投入了大量的金额和资源进行打击，近期开展的打击整治网络侵犯公民个人信息犯罪专项行动也获得了明显的成效。

但是，事后的打击和惩处依然未能根除个人信息泄露和侵害现象，民众对于自身个人信息泄露的感受依然普遍强烈，并对维权途径所知甚少、维权效果信心不足。

本次《中国个人信息安全和隐私保护报告》的撰写，是基于100余万份问卷调查反馈的信息，用大数据的方式展现了当下民众面对个人信息泄露现状的焦虑和无助。

统计数据表明，个人信息安全已成为社会普遍焦虑，个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比，公民个人信息遭侵害程度触目惊心。

而与这些相对应的，是民众防范意识不强，保护意识薄弱，维权动力不足。

对此，立法、行政和司法机关的确应该当仁不让承担起治理乱象的重任。在梳理了立法、行政和司法实践现状之后，报告建议建构统一立法框架、加大司法打击力度、确立顺畅维权渠道。

法律制度上固然应当建立起一道坚实的保护壁垒，但是，鉴于个人信息泄露的复杂性和隐匿性，把希望主要寄托在通过法律进行事后打击和治理，恐怕并非治标之良策。

个人信息侵害行为发现和查处难度明显大于传统犯罪，导致事后惩处无法产生足够的威慑力。因此，应当把关注的焦点从事后的惩处转移到事前的防范上来，从非法数据产业链的源头堵住数据泄露的可能性，才有希望从根本上治愈这一顽疾，迎来个人信息保护的蓝天。

报告的后半部分主要关注产业界数据处理的规范构建，正是这种事前防范思路的反映。在个人信息获取、存储、利用的合规化处理方面，产业界相对于政府部门，拥有更加专业化的技术能力，也具有更强的规则体系建设的驱动力。报告创新性地提出建设“基础法律规范、行业通用标准、企业最佳实践”的治理构架，并结合征信机构等行业企业的实践，在符合法律法规最基本要求的基础上，梳理并勾勒出丰富、细致、生动的产业实践，呼吁设立行业标准，确立企业最佳实践的模板，推动企业以自律的方式承担起保护个人信息的社会责任，在获取、存储、利用个人信息的各个环节，都设立并贯彻严格的自律规范，通过技术手段的提高和安全规则的完善，截断非法泄露、滥用个人信息的源头，从而建立起个人信息合规利用的良性生态，进而推动数据产业的健康、有序发展。

专家评述

以举证责任倒置破解个人信息保护难题

傅蔚冈/上海金融与法律研究院执行院长

　　个人信息安全已经成为当下中国社会最为关注的公共议题之一，尤其是自今年震惊全国的“徐玉玉案”发生后。更让人惊讶的是公安部门在此事件之后发布的相关数据。

2016年7月20日，公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。内容显示，自2012年起，公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。

最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，截至7月，全国公安机关即累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个。

230余亿条的信息固然让人惊讶，但是也与公众的印象相差不远。被垃圾短信骚扰或者陌生电话推广，几乎已经成了我们生活的日常。

如何破解个人身份信息泄露的难题？《中国个人信息安全和隐私保护报告》系统梳理了当下中国个人信息安全问题，并且提出了非常有针对性的建议，并且从个人、市场与社会；立法、执法和司法等多层次探讨了今后该努力的方向。

毫无疑问，这些建议非常有针对性。如果能得到落实，那么个人信息安全将会大幅度得以改善。不过即便如此，短期内个人身份信息泄露的状况要大幅度改善，可能还是会有很大的难度。

难度来自于举证责任。众所周知，绝大多数的个人身份信息泄露并不属于刑事责任，因此公安部门无法派遣大量的人力和资源来查办此类案件——事实上也并不经济。

在民事纠纷中，要求让泄露个人信息的机构或这个人承担民事责任也是难于上青天，因为它们会陷于法律上的举证责任难题，因此到目前为止有关的诉讼大都以原告的败诉收场。正是由于刑事上无法立案，民事上输于举证责任，因此才酿就了“徐玉玉”的悲剧——可以想象，这必定不是最后因为个人身份信息泄露的受害者。

如何解决这个困境？一个可行的举措是改变民事诉讼中的举证责任，将目前的“谁主张谁举证”改为“举证责任倒置”，即不是由原告提供证据来证明被告以不恰当的方式获得了个人身份信息；而是原告只要提供了被告联系其这一事实即可以被告非法获得身份信息为由提起民事诉讼，被告需要承担提供其合法获得原告身份信息的证明。这样一来，就会对哪些非法获得身份信息的机构和个人形成强烈的威慑效果。

正如《中国个人信息安全和隐私保护报告》所言：“由于个人信息获取、存储和利用的环节众多，线下和线上传播具有隐蔽性和复杂性，追本溯源成本很高，发现、查处难度大，处罚、赔偿力度小，同时获利空间巨大，执法现状为灰色产业链提供了巨大的投机空间。”

扭转这个乱象的关键之举就是举证责任倒置。

因为现在个人身份信息的存储无处不在，个人没有能力来约束那些获得其身份信息的机构和个人，就必须通过举证责任倒置的方式，让那些有能力获得他人身份信息的主体妥善保管他人信息，也可以最大限度让所有的机构和个人只使用来自合法渠道获得的个人信息。不仅非法获取个人身份信息要承担责任，使用非法获取的个人身份信息也要承担民事责任，这样一来，就可以在源头上切断非法个人信息。

前 言

　　近年来，侵犯公民个人信息及其所滋生的侵害事件不断发生，扰乱了社会秩序，给群众人身财产安全造成巨大威胁，严重影响社会安定。震惊全国的“徐玉玉案”等一系列案件发生后，个人信息安全已成为全社会的重大关切。

为充分了解及评估全社会对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月联合发起《你的隐私泄露了吗？——个人信息保护情况调研》问卷调查，共回收问卷1,048,575份。

问卷回执样本分析显示，个人信息安全所遭受的威胁已经引起了公众普遍重视，但由于个人信息保护能力与常识、经验的缺乏，不法之徒对公民的个人信息侵害行为仍有机可乘，且因群众维权意识和动力不足，维权能力有限，个人信息保护仍处于危机时刻。

本报告将对个人信息保护现状进行综合介绍，对造成个人信息安全危机的原因和国家政策、法律法规层面的现行应对进行梳理，并通过对104万8575份调查问卷回执样本的详细分析，显示群众对个人信息安全的关切点和社会个体在应对信息泄露时的意识和行为模式，并指出其将造成的结果和需要关注的重点方向。

本报告还将从立法和司法实践角度阐述个人信息安全的法律监管和维权现状。由于个人信息是大数据产业的重要核心，通过市场机制、社会共治实现个人信息安全、提升群众安全感也切实可行，本报告将以征信行业和代表性企业为例，详细说明行业和企业在个人信息保护中的先进模式和具体实践。

一、侵犯公民个人信息犯罪

及隐私侵害行为已成社会公害

　　我国信息化建设和大数据等信息产业的不断推进和发展，带动了各项社会服务日趋高效、便捷，群众生活水平持续提升，幸福感和获得感不断增强。但与此同时，信息的广泛应用以及人们对个人信息安全防范意识的薄弱，也给犯罪分子实施犯罪提供了便利条件。

目前，我国刑法将出售、非法提供、非法获取公民个人信息的行为认定为侵犯个人信息犯罪行为。按照公安部发布的信息，侵害公民个人信息犯罪引发的下游犯罪案件包括且不限于绑架拘禁、敲诈勒索、暴力追债、电信诈骗、网络诈骗、网络盗窃、非法调查等，甚至有不法分子利用非法掌握的个人信息以胁迫手段介入婚姻纠纷、财产继承、债务纠纷等民事诉讼。由于公民个人信息泄露导致的骚扰电话和垃圾短信更是为群众所深恶痛绝。

近年来，侵犯公民个人信息犯罪持续高发，其中以“徐玉玉被诈骗案”为代表的由于侵犯公民个人信息滋生的电信网络诈骗犯罪已给群众财产造成重大损失，严重影响社会安定。在今年8月19日召开的打击跨国电信网络诈骗案件通报会上，公安部刑侦局有关负责人介绍，2015年我国电信诈骗发案59.9万起，造成经济损失约200亿元；仅2016年上半年，电信诈骗发案就达28.7万起，造成损失80余亿元[1]。

执法机关面对侵犯公民个人信息犯罪行为从未手软。实际上，自2012年起，公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，截至7月，全国公安机即关累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个[2]。

但当前，侵犯公民个人信息犯罪呈现了屡打不绝且日趋专业化、团伙化、产业化的态势。在近日由公安部统一组织25省区市公安机关破获的一起特大侵犯公民个人信息案中，公安机关在一案中即抓获犯罪嫌疑人201名，铲除信息泄露源头42个，摧毁9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。

侵害个人信息犯罪行为的猖獗，引起了中央和国家的高度重视。近日，公安部、中央综治办、国家发展改革委、工信部等八部门联合发布《关于规范居民身份证使用管理的公告》，要求国家机关或有关单位应当建立健全公民个人信息安全管理制度，对在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息严格保密。对单位内部建立的公民个人信息存储系统，要严格设定查询权限，严格控制知悉范围；要强化技术防护措施，严防信息泄露或被窃取[3]。

2016年10月10日至11日召开的全国社会治安综合治理创新工作会议上，更是明确要求结合制定《个人信息保护条例》，加大信息源头保护力度，完善公安、教育、医疗、金融等重点行业信息安全保护体系[4]。

为进一步加强个人信息安全法律体系的建设，于11月1日提请全国人大常委会进行二次审议的民法总则草案中，增加规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。”草案力图在对个人信息应用的源头和上游给予公民法律保护。2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。

舆论认为，要遏制侵犯个人信息犯罪行为，务必须要国家法律体系的日趋缜密和执法力量的持续高压，同时，针对公民个体的普法教育和使公民切实提升个人信息安全防范意识也不可或缺。

二、百万数据调查：

公民个人信息安全意识强，

但维权动力与能力有限

　　为充分了解及评估公民对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月24日联合发起《你的隐私泄露了吗？——个人信息保护情况调研》问卷调查。覆盖全国各省、区、市，共回收问卷104万8575份。

通过对调研问卷回执的样本数据分析，本报告认为，当前人们对个人信息保护的社会现状安全感不高，超七成参与调研者认为个人信息泄露安全问题严重；民众遭受个人信息侵害程度高；个人信息安全防范意识不强为侵害行为提供可乘之机，半数参与调研者对于因证件复印和快递单造成的个人信息泄露无察觉，超六成参与调研者在更换手机和手机号时存在信息泄露隐患；个人信息侵害维权观念不强、常识不够、动力不足，仅有20%的参与调研者在发现个人信息遭受侵犯时，采取投诉、举报和报警等积极应对措施，六成参与调研者不知如何维权，近半数参与调研者认为维权困难。

（一）个人信息安全已成为社会普遍焦虑

在全部问卷回执中，针对“你觉得个人信息泄露问题严重吗”问题，有28%的参与调研者认为“没有感觉”，43%的参与调研者认为“严重”，认为“非常严重”的参与调研者占比达29%（见图1）。

图1：参与调查人群对个人信息泄露问题的整体感受

图2：不同年龄段人群对于个人信息泄露问题的整体感受

　　在参与调研者的性别和年龄比例中，对于上述问题的看法没有明显偏差（见图1、2），这也可以说明，对于个人信息安全的焦虑并非特定群体的主观性偏差，具有社会普遍性。

（二）个人信息泄露引发的骚扰密度

与社会经济和信息化发展程度成正比

垃圾短信和骚扰电话是个人信息泄露所引发的电信骚扰及诈骗行为。参与调研者中，26%每天收到2个以上的垃圾短信，20%近一个月来每天收到2个以上骚扰电话（见图3）。

图3：参与调查人群对电信骚扰的反馈情况

图4：电信骚扰地区排行

　　在全国分布角度，来自西藏、宁夏、新疆、青海、甘肃等省区的参与调研者收到垃圾短信最少，来自上海、北京、重庆、江苏、天津等省市的参与调研者收到垃圾短信最多；在骚扰电话方面，最少的省区是黑龙江、新疆、西藏、吉林、宁夏，最多的省市是上海、北京、江苏、安徽、浙江（见图4）。总体上看，越是经济发达、社会网络化、信息化程度高的地区，电信骚扰密度越高。

（三）公民个人信息遭侵害程度触目惊心

本次调研所显示出的公民个人信息遭侵害程度令人触目惊心。

问卷分析显示，在遭遇个人信息侵害时，多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电，因网页搜索和浏览时泄露个人信息的参与调研者占53%，经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%，因房屋租买、购车、考试和升学等信息泄露，和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上，遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上，被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%，明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%，最少的数据比例即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电话或短信诈骗信息”也达9%（见图5）。

图5：个人信息、隐私受侵害行为类型调查

　　（四）民众防范意识不强

为侵害行为提供可乘之机

在日常生活中，证件复印件、快递单和手机是泄露个人信息的重要载体。问卷调研显示，由于对个人信息泄露渠道的不了解，虽然大多数人意识到个人信息泄露的严重程度，但相当高比例的人群并不知道如何防范个人信息侵害，在使用个人信息的载体时疏忽大意或不知如何采取防范行动。

图6：个人信息泄露隐患之线下渠道调查

　　调研中，55%的参与调研者从不将证件复印件标明用途；47%的参与调研者经常将写有个人信息的快递单直接扔掉而不加处理（图6）。

图7：个人信息泄露隐患之移动端渠道调查

　　在通过手机使用Wi-Fi时，34%的参与调研者只希望确保手机在线，而不会对免费Wi-Fi鉴别使用；在收到陌生号码发来的短信时，26%的参与调研者会点击短信中的可能产生侵害行为的网络链接（图7）。

图8：个人信息泄露隐患行为调查之手机硬件方向

图9：个人信息泄露隐患行为调查之手机号码方向

　　在更换手机时，更能确保个人信息安全的方法是将手机恢复出厂设置或格式化后，再用无关内容将手机存储空间占满后再予处理，但仅有34%的参与调研者选择了这一选项，有17%的参与调研者选择将手机直接送人；在手机换号时，超过27%的参与调研者选择直接使用新号码，而不对旧号码采取任何措施（见图9）。

（五）个人信息侵害维权观念不强，动力不足

调研显示，在明确自身遭遇个人信息泄露并面临侵害时，相当一部分人群抱有侥幸心态，大部分人选择了较为被动的处理方式，仅有少部分人采取了积极对抗行动。在解释未能维权的原因时，半数以上的参与调研者因不知如何维权和没有发现经济损失而选择了沉默。

图10：个人信息及隐私被侵犯时的对应手段

　　在被问到发现个人信息泄露会采取什么行动的问题时，71%的参与调研者选择了掐断电话或不予理睬，选择拉黑及拒接的比例为63%；仅有20%左右的参与调研者选择了举报、投诉、报警等积极应对措施（图10）。

图11：个人信息及隐私被侵犯后未能维权原因

　　被问及被侵犯时没有维权的原因时，60%的参与调研者表示不知道怎么维权，56%的参与调研者是因资金等个人利益未受损而放弃维权，值得重视的是，参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权，另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项，也有14%的选择比例（图11）。

值得关注的是，当被问及是否“愿意提供个人信息以获得更便利的服务享受”时，更多的人选择了“愿意”（图12）。这也充分说明，信息共享带来的便利是客观存在的，多数人并不赞同为保护隐私而过分限制信息流动。

图12：更多人选择为获得便利服务而提供个人信息

　　问卷调研的结果已可以清楚显示出当前公民个体对于个人信息保护的观念、行动及能力的基本面貌：尽管人们对于个人信息安全普遍焦虑，遭受信息泄露侵害程度较高，但由于对于个人信息保护的常识不足，为不法分子留存了极大的侵害漏洞，而公民对于个人信息维权观念的缺乏和动力的不足，又客观上降低了不法分子违法犯罪行为的成本，加剧了侵犯公民个人信息犯罪的可能性。

值得关注的是，国家在政策与法规层面不断强化、在司法层面不断加大对侵犯公民个人信息犯罪的打击力度，但相当一部分社会个体在面对侵害时却保持了漠视甚至麻木的消极对应方式，而并未操起法律的武器与涉及自身的违法犯罪行为进行抗争。这一方面说明，针对个人信息安全的普法力度仍需加大，尤其是要使公民清晰掌握维权技能；另一方面也能够反映出个人信息安全维权的技术难度与不成正比的维权收益，使公民个体在维权中步履艰难。

三、法律监管与维权现状：

亟需统一立法，加大司法惩处

　　（一）立法述评

1.个人信息保护尚无统一立法，现有规定内容分散

我国目前针对个人信息保护尚未形成统一的综合法律规范，而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中，形成了一个内容分散、体系庞杂的个人信息保护模式。

2. 网络安全法关于个人信息的规定

2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。其中第七十六条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”这是首次在法律层面上确立了一般意义上“个人信息”的概念，为个人信息保护的体系化制度建设提供了起点。

《网络安全法》针对网络运营商收集、使用个人信息，规定了应当遵循合法、正当、必要的原则，公开收集、使用规则；明示收集、使用信息的目的、方式和范围，并规定公民对自己的个人信息在被使用过程中，享有知情权、删除权、更正权。

另一方面，从促进产业发展的角度，该法明确了禁止向他人提供个人信息的例外情形，即如果是经过处理无法识别特定个人，并且不能复原的信息可以合理使用，这也是对国家鼓励和推动大数据产业发展政策的回应，这一规定将进一步推动数据产业的发展。

此外，《网络安全法》规定，在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储的原则，并首次在法律层面明确了违反个人信息保护规则的行政责任。这些规定都体现了社会的最新诉求和行业的前沿实践，对构建更加完整的我国个人信息保护制度具有非常重要的意义。

3. 针对个人电子信息保护的综合规定

全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》，针对“个人电子信息”的保护作出了较为系统的规定，明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”，并对收集、使用、保存个人电子信息作出了系统性规范，还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。这个法律性质的文件为个人电子信息的保护确立了相对全面的保护，也为其他领域的法律法规提供了可供参照的样板，被认为是目前最为重要的个人信息保护规范之一。

工业与信息化部的部门规章《电信和互联网用户个人信息保护规定》，专门针对电信业务经营者、互联网信息服务提供者规定了较为全面而系统的个人信息收集和使用规范、安全保障措施以及相应的法律责任，也是一部重要的个人信息保护的专门规范。

4.经营者的个人信息保护责任

《消费者权益保护法》第29条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务，即“应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务，需要承担民事责任和行政责任。这些规定与《关于加强网络信息保护的决定》中确立的原则和规则保持一致，对于消费者个人信息的保护及于线上和线下，适用范围亦十分广泛。

除了《消费者权益保护法》对消费者个人信息提供一般的保护之外，特定行业的法律法规规章也对其经营者提出了保护个人信息的要求，比如，《旅游法》规定，旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密；《征信业管理条例》系统而全面地规定了征信机构采集、整理、保存、加工个人信息的相应规范；《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务；《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求；在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域，都有相应的法规和规章来规定个人信息保护的内容。

5.行政机关及其工作人员的个人信息保护责任

除了作为经营者的商家有可能获得消费者的个人信息之外，个人在与政府机构打交道过程中也会涉及到大量个人信息。因此，有多个法律法规针对行政机关及其工作人员规定了其保护个人信息的责任。

《居民身份证法》规定，公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密；国家机关的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，需要承担民事、行政乃至刑事责任。《护照法》对护照签发机关及其工作人员、《出入境管理法》对履行出境入境管理职责的工作人员、《社会保险法》对社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员、《统计法》对统计机构和统计人员，都规定了类似的责任。

6.民事、行政、刑事责任

根据目前的立法体系，公民对其个人信息的保护，虽然尚未在民法基础法律文件中明确其私权的地位，但是已经在事实上作为“个人信息权”得到保护了，任何人侵害个人信息的行为，都会产生民事责任，即被侵害方可以要求停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。（《消费者权益保护法》第50条）

此外，任何人侵害个人信息的行为，还会面临行政责任。比如，对网络服务提供者违反规定的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布。（《关于加强网络信息保护的决定》第11条）

侵害个人信息严重的，有可能触犯刑法，构成“侵犯个人信息罪”。根据刑法第253条规定，违反国家有关规定，窃取或者以其他方法非法获取、向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。而违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚。

7.立法现状总结与建议

尽管我国目前并没有统一的个人信息保护法，但是并不能认为个人信息保护方面的法律法规有所欠缺，恰恰相反，通过一般性规范和具体规定相结合，社会生活中包括线上和线下的绝大部分领域，都已经有了个人信息保护的法律规范，侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散，对于普通民众和商家来说，都难以形成直观的认知，尽快通过一部统一的个人信息保护法，对其进行系统化梳理和整合，无论是从立法资源的节省、立法技术的提高、规则体系的优化，还是向民众普及个人信息法律保护的常识和意识来看，都存在必要性和合理性。

具体来说，通过制定个人信息保护法，在法律层面明确线上线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准，并严格规范各类数据采集及使用主体在信息处理方面的细则，完善个人信息安全方面的保障要求与信息披露义务，以及针对个人信息权层面的相关权益保障要求，充分保障用户在信息层面的知情权、选择权、救济权、受尊重权及信息安全权在内的各项基础性权利。

（二）司法惩处力度仍须加大

针对个人信息的非法获取与利用的司法判决为数不少，但与个人信息泄露的普遍状况相比，并不成比例。由于个人信息获取、存储和利用的环节众多，线下和线上传播具有隐蔽性和复杂性，追本溯源成本很高，发现、查处难度大，处罚、赔偿力度小，同时获利空间巨大，执法现状为灰色产业链提供了巨大的投机空间。特别是个人信息泄露与电信诈骗等犯罪活动结合之后，造成了重大的损失和巨大的社会影响，亟需加大惩处力度，增加犯罪成本，以切实起到威慑作用。

1.电信诈骗：个人信息泄露的恶果

2016年8月山东考生徐玉玉被电信诈骗导致不幸离世的新闻事件，使得社会对于电信诈骗以及相关的个人信息泄露问题的关注达到顶峰。徐玉玉轻信电话内容并进行汇款的主要原因之一，就在于其申请助学金贷款的信息被流入骗子之手，使其有机会进行“精准营销”。

实际上，个人信息贩卖已成地下产业链，从源头的个人信息非法采集、黑客侵入，到非法出售、购买、转售，再到非法利用，个人信息获取、存储、利用的各个环节，都可能出现非法侵害的情况，直接或间接地成为电信诈骗等恶性犯罪的温床，都应当成为法律关注和惩处的对象。

2.侵犯个人信息罪案例：缺乏有效打击

在司法实践中，除了通过诈骗罪对电信诈骗人绳之以法之外，针对单纯的非法获取或出售个人信息行为追究刑事责任的案例也不在少数。常见的非法获取途径绝大部分是通过互联网获取、购买，内容包括电话号码、通话记录、交易订单、定位信息、身份证户籍资料、家庭地址等。但是，针对非法出售个人信息的判决却并不多见，由于刑法第253条之一规定非法出售或提供个人信息的主体限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，实践中此类人员被定罪并不多见。有法院将出售小区业主个人信息房地产公司的工作人员也列为犯罪主体[5]。单纯的侵犯个人信息罪的定罪量刑也较为轻微，大多为一年以下有期徒刑或拘役并处罚金，通常适用缓期执行。

值得关注的是，针对个人信息贩卖整个产业链展开的执法行动，通常能够实现切实效果。例如今年五月公安部督办的“5·26侵犯公民个人信息案”，打击了完整的黑色产业链，由“号主”团伙、“中间商”团伙、“出单渠道”团伙、“非法软件制作团伙”四层架构组成，其中“号主”团伙源头来自银行内部人员。

与引起巨大社会危害性的个人信息违法泄露和利用现状相比，立法上看刑法针对侵犯个人信息罪的处罚较低，执法上看，从源头堵截个人信息泄露的行动已有展开，但尚存不足，对于已形成产业链的个人信息地下产业，缺乏全面有效的打击和惩处措施。

3.个人维权困难

我国个人信息保护立法体系中规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比，民事案件的原告通常以侵害“隐私权”作为诉由，但能成功胜诉并获得赔偿者寥寥无几。例如，在消费者起诉移动通讯公司、机票预订平台等泄露个人信息的民事案件中，法院认为，被告并非掌握原告个人信息的唯一主体，无法确认被告实施了泄露原告隐私信息的侵权行为，亦即原告无法举证证明被告的泄露个人信息行为[6]。除此之外，即使在原告胜诉的案例中，由于无法证明经济损失或仅能证明极少的经济损失，原告可获得的赔偿金额很低。

个人维权还有一种途径是通过向行政机关举报，由工商行政管理部门等行政机关来进行查处。但是同样限于证据提供困难和个案的局限性，行政处罚对于贩卖个人信息形成的黑色产业链也是收效甚微。凡此种种，一方面无法对侵害人产生足够的遏制效果，另一方面，对于被侵害的个人信息持有者来说，也很难有动力去投入大量的精力和成本进行维权。

4.司法实践现状总结与建议

鉴于个人信息非法泄露与利用的普遍状况和严重危害性，目前司法实践中，无论是刑事处罚，还是民事追责，都存在着不成比例、无法匹配的现状。这与个人信息泄露本身的特殊性息息相关。从刑事打击上看，一方面立法应当加重量刑，增加威慑力；另一方面，执法行为应当向打击整个产业链倾斜，从针对某些具体个人的个别获取行为，转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击，才能起到治标治本的效果。

从民事案件来看，根据现有的举证责任难度，对于技术复杂、环节众多的个人信息侵害行为，个人维权往往只能望洋兴叹。而个体案件中如果没有造成严重的损害，个人也往往没有动力去展开成本颇高的个人维权行动。因此，对于个人而言，通过事后个案维权保护个人信息的机制，成本过高而收效极低，更为重要的是尽可能采取预防措施，实现防患于未然。产业和社会也有责任向个人提供预防性、保护性技术措施，在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。

四、用户信息安全相关行业标准

和企业自律模式——以征信行业为例

　　在大数据产业迅猛发展的浪潮中，个人信息作为数据信息的核心内容，面临着采集、存储、加工、使用各环节的规范化问题。这一命题是整个产业的问题，也同样是全社会面临的问题。司法、行政部门的执法、监管，应当作为个人信息保护的最后一道屏障而存在，如若期望公权力全面彻底治理这一社会化的大问题，并不合理，亦不现实。个人信息保护和利用的问题，需要通过市场机制、社会共治的模式，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段在内的多种手段惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制。

市场上涉及个人信息处理的行业众多，其中征信行业是以机构和个人信息作为其主营业务内容的机构。经过对于市场实践运作的调研和考察，可以观察到目前征信行业在个人信息保护方面的法规相对完善，明确规定了个人信息采集、处理、输出等方面的要求，并构建了比较全面的用户权益保障措施。而规范化经营的征信机构在个人信息保护方面的实践也走在各行业的前沿，具有很强的典型性和代表性。鉴于征信行业在个人信息处理和保护方面的典型意义和借鉴价值，本报告选取征信机构为模板来考察个人信息保护机制，对征信行业的多家机构进行了调研和访谈。其中，征信指的是“对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。”征信机构是“依法设立的，主要经营征信业务的机构”。

实现健康市场秩序的具体模式，其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。接下来选取征信行业的实践为例，进行具体展开。

（一）建立个人信息分类保护

个人信息涉及到与识别个人身份相关各个方面的信息，采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”，即范围应当仅及于业务所需之必要信息。以征信行业为例，《征信业管理条例》对于征信机构采集的个人信息，设有禁止性和限制性两类：第一类禁止采集的包括：个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息；第二类必须明确告知信息主体不良后果并取得其书面同意的信息包括：个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。

作为基础法律规范的规定，征信机构都有必要严格执行，建立技术上和管理上可行的机制，不采集禁止性信息，对于限制性信息应当自觉履行相应告知和同意获取程序。在此基础上可以发展出相应的行业标准，约束征信机构的行为。实践中，芝麻信用、华道征信等机构都遵照法律规定，对禁止性信息和限制性信息分别建立内部制度规范，使法律规则得以落地。

此外，在这两类敏感信息之外，征信机构针对用户其他个人信息，亦可基于其实践状况发展出其他自律规范，形成企业最佳实践。例如以手机app等软件为例，芝麻信用等企业建立内部信息采集规范，只采集与评估用户信用状况有关的信息，而不采集用户的聊天、通话等个人隐私信息，不得追踪用户在社交媒体上的言论信息。

（二）全面落实用户授权机制

包括《征信业管理条例》在内的众多法律法规都要求采集和利用个人信息需要经过信息主体的授权。但实践中由于存在个人信息利用的众多环节，初始采集时的授权往往不能匹配后续各种利用环节，因此法规中的原则性规定，需要有细化的行业标准和企业自律规范来加以落实。

在征信数据利用过程中，可能涉及到信息采集者、提供者（其中包括采集者）、整理加工者、存储者以及查询者、使用者。授权通常发生在信息初始采集时，但当后续使用需求与初始授权不匹配时，需要使用者启用相应的核实授权机制重新授权。例如，芝麻信用通过技术手段的持续开发，让用户直接与征信机构发生授权交互确认，保障授权的有效性。

征信机构在与上下游行业展开合作时，也可以通过建立相应的机制来确保授权的全面有效性。例如，芝麻信用对于上游的信息提供者进行资质审核，包括对其数据安全保护能力等方面进行评估，只选择接入符合特定条件的信息提供机构；华道征信在各项业务中对信息提供者进行合法性审查，与个人信息提供者签署的合作协议中明确约定其信息采集、使用规则和义务，如信息使用者必须对个人征信授权书中的重点内容进行了加黑、加粗处理，以起到显著性提示的作用。

对于下游的信息使用者，征信机构也可以对商户在用户信息安全保障机制及能力等各方面情况进行尽职调查，以评估是否与其合作，从而尽可能确保用户信息输出到合作商户后的用户信息安全。

企业在实践中还探索建立了各具特色的对于合作商户的监控和筛选机制。如芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度，设立了外部舆情监测机制，一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时，会及时评估事件对用户信息安全造成的风险或潜在威胁，甚至决定中止或终止与合作商户的合作。华道征信的同业征信服务系统建立了后台监测系统，实时监测信息使用客户的查询行为，对于疑似存在异常查询行为的客户及时进行重点监控，要求该客户提交若干笔查询所对应的信息主体授权书，必要时会安排现场调查。

（三）严格规范内部管控流程

征信机构在存储和加工个人信息过程中，承担着建立严格内部制度保障信息安全的法定义务。《征信业管理条例》规定，征信机构应当建立健全和严格执行保障信息安全的规章制度，并采取有效技术措施保障信息安全；应当对其工作人员查询个人信息的权限和程序作出明确规定，对工作人员查询个人信息的情况进行登记，如实记载查询工作人员的姓名，查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息，不得泄露工作中获取的信息。

法律的规定同样需要建立行业标准和企业内部管控制度，来落到实处。在实践中，芝麻信用、华道征信等机构建立了关于信息采集、加工、存储及使用等全数据生命周期的内部流程管控制度。

芝麻信用内部流程管控制度及配套的权限管理系统包括根据信息的敏感程度不同进行相应的分级管理等。保证数据从采集开始直至输出，任何数据的访问使用都有必须经过特定的审批流程并保留相关记录信息，避免非必要的用户信息接触行为。此外，机构持续根据业务实际情况，不断对上述制度及技术实现进行优化完善，以保证制度及流程的可执行性，避免实际操作与信息安全保障要求相脱节的情况发生。

华道征信成立了内部信息安全委员会，制定了相关制度及规范，细化了安全检查与审计管理制度、信息系统人员安全管理规定、信息安全培训和考核管理规定、信息系统安全事件报告和处置管理制度、应急预案管理流程等一系列安全管理制度等一系列信息安全管理制度，明确了有关部门信息安全管理工作职能，并对系统管理员、网络管理员、安全管理员、数据管理员等关键岗位制定了明确的职责分工、业务权限、操作规程，对工作人员查询个人信息的情况进行登记，确保各项制度流程有效实施。

实践中，将个人信息进行匿名化处理，是保护个人信息特定主体的重要手段。在征信机构的实践中，出现了避免输出原始可识别身份信息的策略，例如，即使在用户授权的前提下向合作商户输出信息，芝麻信用通常情况下不会直接输出用户的原始或明细信息，或者传统信用报告，而是经过加工后的信用标签或变量信息。这样的信息输出策略，尽可能避免了输出用户明细或原始信息可能给用户造成的风险，以及合作商户端万一发生信息泄露情况下，尽量降低可能对用户信息安全造成的影响，是值得称道和推广的业内重要实践。

（四）完善泄露危机应急预案

尽管法律法规并没有对危机应对作出具体规定，但是出于企业社会责任的需要，征信机构在数据泄露应急处理方面亦有可为之处。实践中，芝麻信用等机构建立了信息泄露应急处置预案，并不定期进行应急演练，从而保证在极端情况下发生信息泄露时，可能顺序定位到信息泄露的原因及问题所在，并在最短时间内进行处置与控制信息安全风险，以争取将信息泄露风险控制在最低程度。通过信息泄露的应急演练，征信机构可以不断就自己在信息安全保障方面存在潜在风险点进行不断识别、优化完善，从而提高自身信息泄露风险防御能力及水平。华道征信通过网站综合监控管理平台实时监控外部攻击和风险，定期开展漏洞扫描、挂马扫描、篡改扫描等安全监测工作。每年都邀请第三方安全机构进行专业风险评估，对于发现的漏洞和风险问题在第一时间进行修补和解决，有效降低受到外部攻击所导致的各种风险。

从征信机构的行业实践来看，在“基础法律规范、行业通用标准、企业最佳实践”的架构下，尽管基础法律规范仅仅作出原则性和目标性的规定，但是在环节繁多、技术复杂的征信行业中，要想真正将法律规范落到实处，还需要建立全面、细致、依赖先进技术手段的行业标准和企业自律规范。通过行业主体的自律行为，建构良好的个人信息处理规范，并建立快速、准确的信息披露和评价机制，使得违规者无处遁形，避免劣币驱逐良币现象，建设个人信息保护领域优胜劣汰的良性竞争环境。

五、结论

　　互联网的发展带来社会变革的同时，也为个人信息保护带来了巨大的挑战。本报告整理并总结了一百余万份调查问卷反馈数据，并针对现有的立法体系、司法现状进行了梳理和总结，探讨了个人信息保护存在的主要难点和障碍。最后，本报告把关注的焦点投向以征信行业为代表的产业实践，通过评估和总结具有代表性的企业自律规范，提出通过“基础法律规范、行业通用标准、企业最佳实践”的治理架构，来实现线上和线下的全方位、各环节共治，针对个人信息保护问题实现既治标又治本的理想目标。

（一）个人信息泄露严重、侵害程度触目惊心

根据一百余万份调查问卷的反馈数据，目前个人信息侵害体现出明显的范围广、危害大的特征，大部分受访人群都认为存在个人信息泄露的情况，而由个人信息泄露导致的恶性犯罪行为亦在舆论中不绝于耳，使得个人信息侵害成为一个普遍性的严重社会问题，近年来的泄漏事件，危害范围之广，程度之深，令人触目惊心，而且存在愈演愈烈的发展趋势。

（二）自我保护意识缺乏、维权能力动力不足

与个人信息泄露和侵害范围和危害程度恰成反比的，是普通民众的自我保护认知、维权意识和维权能力都严重偏低，对于自身个人信息的泄露途径、方式等缺乏基本知识，在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵害时，对维权行为意识淡薄，动力不足，能力低下。其中维权渠道缺乏、成本过高、难度过大、收益过小构成主要原因。因此，一方面应当针对普通民众进行大规模的个人信息保护观念、知识宣传，帮助其提高自我保护意识和能力，从源头上对个人信息泄露进行防范；另一方面，对个人信息侵害问题的治理，很难主要依靠受侵害者通过个人维权的途径得到妥善解决，而应当进行更加行之有效的制度和规则建设。

（三）采取统一立法模式、系统确立原则规则

通过对于我国目前立法现状和司法实践的考察，目前的法律框架和司法打击力度都存在改善的空间。从立法模式来看，针对个人信息保护存在诸多法律规定，但基本都分散在效力层次不一的各种法律法规乃至规范性文件。本报告认为，应尽快通过一部统一的个人信息保护法规，对相应法律进行系统化梳理和整合，这无论是从立法资源的节省、立法技术的提高、规则体系的优化，还是向民众普及个人信息法律保护的常识和意识来看，都存在必要性和合理性。

（四）加大司法惩处力度、重点打击黑色产业

针对个人信息侵害的司法打击尽管已经投入大量资源，但是现有的司法投入仍然不能对个人信息侵害造成足够的威慑，尤其是专门规定个人信息侵害行为的刑法条文量刑偏轻，而单纯针对局部环节的个人信息侵害行为进行处罚，仅能治标而无法触及根本。从源头堵截个人信息泄露的行动已有展开，但尚存不足，对于打着“大数据”之名而行非法数据利用之实的个人信息黑色产业链，缺乏全面有效的打击和惩处措施。从民事诉讼来看，由于个人信息侵害在技术上存在高度复杂性，而且环节众多，被侵害人在实践中极少有可能举证证明侵害行为究竟在哪个环节发生，以及准确的侵害主体，因此通过侵权诉讼来主张权利难度极大。这也同样印证了第一个结论中维权困难导致受侵害人维权意愿低下的观点。

本报告建议，在刑事打击领域，一方面立法应当加重量刑，增加威慑力；另一方面，执法行为应当向打击整个产业链倾斜，从针对某些具体个人的个别获取行为，转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击，才能起到治标治本的效果。

（五）实现线上线下共治、促进合规产业发展

个人信息侵害与保护，作为一个影响宽泛的社会问题，法律上的治理和打击应当作为最后一道屏障，如果希望司法和行政机关来解决全部问题，并不现实。对于个人信息侵害的治理，更加根本的方法应当是采取防御性为主的模式，通过线上和线下各环节的规范来堵住个人信息泄露的源头，防患于未然。尽管互联网成为个人信息非法传播的主要途径之一，但是个人信息泄露的某些重要环节并不一定全部在互联网上完成。从问卷反馈和实践调研数据看，相当比例的个人信息采集源头是存在于现实生活中，比如刑法条文中规制的金融、电信、交通、教育、医疗等单位，以及线下物流快递等等渠道。因此，个人信息侵害问题的治理，并非单纯互联网问题，而是需要线上与线下各个环节共同治理。对于采集、存储、处理、使用个人信息的企业而言，应当首当其冲承担保护个人信息的社会责任，在规范自身个人信息使用行为的同时，也要尽可能向个人提供预防性、保护性技术措施，在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。

对于打着“大数据”旗号而行个人信息侵害之实的黑色产业链，应当不遗余力予以打击，但是与此同时，对于获得了合法经营资格、严格守法自律的数据处理企业，应当进行充分的肯定和鼓励，并使普通民众和消费者对此获得充分了解。不能因为存在违法的数据黑色产业链就对数据行业“谈虎色变”，应当建立完善的市场信息和信誉机制，为合法合规、严于自律的企业和机构确立正面声誉，解决信息不对称问题，将其与黑色产业链明确区隔开来，从而避免劣币驱逐良币的恶性竞争，促进数据产业的健康、良性、有序发展。

（六）确立行业通用标准、倡导最佳企业实践

个人信息侵害治理面临着技术上、操作上、制度上的众多难题，需要通过社会共同治理方能治标治本。在理想的社会共治体系中，起到核心作用的还应当是从事个人信息处理的行业实践。考虑到个人信息发生泄漏后的涉及面较广，产生的危害具有持续性等特点，除建立相应的内外部管理规范外，相应企业还应当不断强化技术安全防护能力，以最新的技术手段筑造保护个人信息的铜墙铁壁。与此同时，也建议具体的行业监管部门结合企业实践，尽快出台相应行业部门规章，细化规范信息采集、处理、及披露的具体标准，推动行业标准的形成，并鼓励形成并推广企业最佳实践模板。只有涉及到个人信息采集、存储、加工、使用等行为的企业真正洁身自好，严格自律，建设完整而细致的内部和外部管理规范，才能真正破除个人信息侵害乱象，净化个人信息保护空间。

本报告以征信行业为例，深入考察了征信行业保护个人信息的企业实践与典范，倡导建立“基础法律规范、行业通用标准、企业最佳实践”的治理架构，根据芝麻信用等征信机构形成的实践样本，建立个人信息分类保护、全面落实用户授权机制、严格规范内部管控流程、完善泄露危机应急预案，建议根据行业实践推动确立行业通用标准，并推广企业最佳实践。

本报告期望，通过市场机制、社会共治的模式，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段、法律手段在内的多种方式惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制，最终实现从根本上、源头上遏制个人信息侵害的治理目标。Ω

本报告由中国青年政治学院互联网法治研究中心执行主任刘晓春、封面智库首席研究员李萌执笔，在撰写过程中得到了中国青年政治学院副校长、互联网法治研究中心主任林维，上海金融与法律研究院执行院长傅蔚冈等专家协助，在此一并致谢。

《中国个人信息安全和隐私保护报告》

制作方简介

　　中国青年政治学院互联网法治研究中心(CIL)隶属于中国青年政治学院法学院，致力于互联网法律和政策相关的前沿问题和基础理论研究，研究团队涵盖互联网知识产权、平台责任、刑法、竞争法、行政法、电子证据等专业领域，通过课题研究、产业调研、系列沙龙、开放论坛等方式与互联网理论与实务界展开合作，为立法司法、政府决策、产业发展提供研究支撑，立足于为互联网领域搭建沟通交流的平台，促进产业界、理论界以及从事政策制定、执行、司法裁判的相关机构形成持续对话、良性互动和共同研究的长期机制。

　　封面智库是封面传媒成立的思想库。封面智库立足北京，是以“一带一路”和长江经济带战略发展为主题的综合研究平台，是新媒体时态下的创新经济研究、服务平台，集聚全球权威学者、政府官员的智库网络。封面智库依托封面新闻的舆论影响力和大数据资产积累，致力于通过封面系列论坛打造高端品牌和政商影响力，发布 “一带一路投资指数报告”、企业“走出去”舆情报告、“互联网+”及“工业4.0”行业报告等综合性年度报告，旗下拥有封面系列研究报告、封面系列论坛、“封面思享+”沙龙、“智库专访”、“封面大讲堂”等品牌产品。

注释：

[1]公安部官网，《人民日报：电信诈骗既要能打，也要能防》，2016年9月21日 http://www.mps.gov.cn/n2255079/n4876594/n5104076/n5104079/c5497482/content.html

[2]公安部官网，《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》，2016年7月20日http://www.mps.gov.cn/n2253534/n2253535/n2253537/c5429869/content.html

[3]《人民公安报》，2016年10月14日 http://www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519635/content.html

[4]《法制日报》2016年10月14日http://www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519874/content.html

[5]陈某某出卖其从业过程中掌握的公民信息构成出售公民个人信息罪案，案号：（2013）吴江刑初字第0670号。

[6]朱迎光等诉中国联合网络通信有限公司连云港分公司隐私权纠纷案，案号：(2014)连民终字第0006号；庞某诉趣拿公司、东方航空侵犯隐私权案，案号：（2015）海民初字第10634号。

来源：数据观

该报告显示，83%的玩家认为游戏开发商应该负责保证个人信息的安全性，但只有不到40%的人表示他们对于目前的密保措施感到有信心。这其实并不奇怪，因为到业内发生过多次的保密措施被攻陷，比如2011年的Sony PlayStation Network被黑事件，导致了7700万玩家个人信息被盗。

西雅图公司PlayFab对于每周游戏时间超过4小时的500个人进行了调研，其中86%的玩家表达了对于互联网个人信息安全的担忧，不过，在进行游戏消费的时候，个人信息安全并不是玩家们最关心的。该公司提醒，虽然数据入侵的问题仍然不断发生，但很多公司和消费者们并没有采取合适的措施保证个人在线信息的安全。

据Ponemon Institute和IBM在2014年做的调查显示，美国平均数据泄漏的成本为590万美元，也就是说每次数据泄漏的成本为200美元，所以对于开发商和发行商们来说，经历一次数据泄漏可能带来巨大的负面影响，据此前Ponemon的调研预计，2011年索尼的数据泄漏导致了每人318美元的损失，也就是240亿美元左右。

在这份调查中，46%的玩家表示他们只提供了最小量的个人信息，还有20%的玩家表示，他们进行游戏消费的时候有时会提供错误的信息。在选择游戏的时候接近60%的玩家表示投入成本和游戏体验才是最重要的因素，接近半数的人表示游戏的安全性是不那么重要的因素。

不过，当被问到他们的游戏账户安全以及游戏体验的时候，超过80%的人表示个人信息以及账户财产都是最重要的，系统速度和性能则只有40%的人认为重要，只有20%的人表示游戏内数据和成就是重要的。

在这次调查中，只有30%的人表示他们觉得数据泄漏会影响游戏行业，85%的人表示没有经历过个人数据泄漏，71%的玩家表示他们从来没有因为安全担忧而放弃一款游戏，这意味着未来的个人信息安全也是具有很大风险的。

在受调查者当中，44%玩PC游戏，并且每周投入游戏的时间超过10个小时，37%的玩家在移动设备玩游戏，并且每周投入时间超过10小时，此次被调查者的年龄在18-60岁之间，其中46%为男性，54%为女性。

知道的越多，恐惧就越多

近日，Fortinet发布了2015年最新的全球信息安全调查报告。数据收集由全球知名市调机构Lightspeed/GMI负责，通过在线的方式在全球范围内的12个国家及地区，对1490位在公司规模超过250人任职的IT决策者角色，主要是CIO、CTO、IT总监以及IT部门主管级人物以问卷的形式收集的调研结果。

        报告显示将近一半（49%）的受访者将无线网络列为最易受攻击的环节，92%的CIO担忧无线网络将受到攻击，而最大的担忧来自中国，100%的CIO表示对无线安全十分担心。另外，当被问到在无安全保障的无线网络下运营的风险时，调研结果还显示出一些亮点问题：48%的受访者均表示企业或客户敏感数据的泄漏是最大的风险；71%的中国受访者均表示很担心无线网络的安全，而在日本这个数字，只有13%，这一系列数据也从另一个角度印证了，中国智能移动设备发展迅速，并且在企业业务中扮演了越来越重要的角色。

49%的受访者将无线网络列为最易受攻击的环节

　　虽说企业移动化可以获得立竿见影的回报，但是部署出放心安全的环境并不像“拧开水龙头”那样简单。有市场报告预测，2016年中国将成为BYOD应用市场的领导者，将有1.66亿台设备在无线办公环境应用。国内市场火热的“井喷”状况，也带来了巨大的潜在安全隐患，这与Fortinet调研报告中，“100%的CIO担忧”十分吻合。

在毫无准备的情况下，默许或者提倡员工自带设备进行办公时，用户会访问个人社交网络、下载喜好的App程序、浏览网页，而同一个设备还会访问企业内部的关键数据。但由于企业的机密数据对黑客来说则更加吸引力和卖点，因此他们会利用APT攻击技术侵入不设防的移动终端、获取接入企业云计算环境的账号和密码。利用这些账号发现漏洞，最终盗取核心数据，这确实会让人感到毛骨悚然。报告中的数据真实的反馈了这一情况，不过值得注意的还是中国，78%的用户在关注“敏感数据和/或用户数据的丢失”的风险，这远远高于47%的全球平均值。

敏感数据的泄漏，是全球企业最大的风险

　　Fortinet中国区总经理李宏凯表示：“实际上，随着人们对无线安全问题了解的越来越深，担心的程度反而愈高。从报告中，我们看到了比较积极的一面，越来越多的IT管理者们开始意识到无线安全在整个业务系统中的角色。企业中的IT部门需要在强壮的网络安全与灵活的连接之间寻求平衡，无线网络必须作为整体安全战略考虑的一部分。”

无线安全的无奈与期盼

如今各类恶意攻击都十分注重隐蔽性，从互联网发起针对企业的恶意攻击还有可能被各类安全产品所察觉。但企业无线环境中的智能设备里往往也存有个人隐私数据，私人的邮箱密码也有可能是用户登录BYOD环境的密码，非专业的个人用户面对专业黑客所发起的攻击，将更难及时察觉，一条微信好友问候信息的背后往往就隐藏着不可得知的恶意攻击威胁。

在业界目前来看，为了解决无线安全的问题，各大网络和安全厂商都推出了相应的解决方案，有基于上网行为管理的，有基于防火墙网关提出有线无线一体化思维的、有基于终端病毒防护安全的、有针对移动应用数据防泄露的等等。而在企业移动化已成定局的大背景下，用户会选择什么手段解决安全问题呢？

Fortinet报告通过对1490位IT决策者（CIO、CTO、IT总监以及IT部门主管级人物）以在线问卷的形式收集，其中一项是对受访者未来无线网络安全战略方向的调查。多数受访者表示，仍会着眼于最为常规的防火墙与访问认证安全功能，同时有23%的受访对象对安全防御较高的补充技术需求，依照优先级顺序，分别为IPS、反病毒、应用控制与URL过滤，以求能够全面的构建安全防御体系。

“我们可以看到用户对无线安全的无奈和期盼。由于业内缺少专门为无线安全层打造的解决方案，很多用户只能利用最基本的安全功能+各种补充技术，最后的结果就是产品层层堆叠。”BYOD的安全管理将会遇到更加复杂的情况，员工使用无线网络将会受到各种限制，影响移动业务的体验感，但稍有疏漏又会给黑客提供机会。

李宏凯表示，Fortinet将通过打造“无线安全层”，而不是单纯将无线机制作为网络体系的一种扩展，从而实现独一无二的安全无线解决方案。希望由此能够解决产品孤立和重复堆叠等问题，并帮助企业踢开未来最大的潜在安全“绊脚石”。

提高透明度有助于增强消费者的信任感

eMarketer的一项新报道《隐私和安全的后漏洞时代：让消费者感到更安全》中提到，不论是向消费者发送密码被盗的邮件，在网上购物时如影随形的广告还是商店里智能手机的追踪系统，有时候人们感觉智能数字隐私安全系统已经是过去式了。

人们对数字隐私以及个人数据一直有着不同程度的关注，但最近消费者们的态度却是相对稳定的。先是新闻报道了美国政府采取的电子监控措施，随后又爆出在假日购物高峰期时段Target超市数据泄露的消息，2013年成为了一个民众不断怀疑和质问的时代。2014年这个雪球依旧越滚越大，4月份出现了安全漏洞的事故，5月份eBay又受到了计算机攻击。

同时，尽管识别和数据采集系统在在线领域的使用已经超过了十年，更多复杂的店内追踪定位系统使得移动电话购买者们望而却步。

即使安全漏洞不会完全根除，个人信息也不是完全私密的，零售商们依旧有一些方法能够解决消费者们关注的问题以及保持他们的信任感，保持透明度就是其中之一。

对于零售商使用消费者的个人数据这个问题，消费者们肯定不会完全不在意，但是如果他们知道自己的信息被用在那些方面的话，一些消费者会少一些怀疑。根据Coleman Parkes Research和埃森哲2014年4月进行的一项研究，美国只有35%的互联网使用者认为商家在使用他们的个人信息时能够做到足够公开透明。解决这个问题最好的办法是让消费者了解信息使用的细节以及不断更新信息（获得了51%的认可）以及赋予消费者选择的权利（获得44%的认可）。

波士顿咨询2013年10月举行的一项投票显示，如果能够确保消费者的信息没有被用在“不好的”地方，愿意让商家使用个人信息的消费者数量会出现明显地增加。只有3%的消费者表示如果商家使用他们的数据时超过了最初设定的范围，他们也无所谓，但是超过一半（53%）的消费者表示如果不会产生什么坏处他们会欣然接受商家使用他们的信息。另外，75%的美国消费者希望有一些“简单的方法”来控制他们的个人数据被使用。

文章编译自：eMarketer  译者：nonaliu

Gartner公布2014年十大信息安全技术，同时指出了这些技术对信息安全部门的意义。

Gartner副总裁兼院士级分析师Neil MacDonald表示：“企业正投入越来越多的资源以应对信息安全与风险。尽管如此，攻击的频率与精密度却越来越高。高阶锁定目标的攻击与软件中的安全漏洞，让移动化、云端、社交与大数据所产生的‘力量连结(Nexus of Forces)’在创造全新商机的同时也带来了更多令人头疼的破坏性问题。伴随着力量连结商机而来的是风险。负责信息安全与风险的领导者们必须全面掌握最新的科技趋势，才能规划、达成以及维护有效的信息安全与风险管理项目，同时实现商机并管理好风险。”

十大信息技术分别为：

云端访问安全代理服务(CloudAccessSecurity Brokers)

云端访问安全代理服务是部署在企业内部或云端的安全策略执行点，位于云端服务消费者与云端服务供应商之间，负责在云端资源被访问时套用企业安全策略。在许多案例中，初期所采用的云端服务都处于IT掌控之外，而云端访问安全代理服务则能让企业在用户访问云端资源时加以掌握及管控。

适应性访问管控(Adaptive Access Control)

适应性访问管控一种情境感知的访问管控，目的是为了在访问时达到信任与风险之间的平衡，结合了提升信任度与动态降低风险等技巧。情境感知(Context awareness)是指访问的决策反映了当下的状况，而动态降低风险则是指原本可能被封锁的访问可以安全的开放。采用适应性访问管理架构可让企业提供不限设备、不限地点的访问，并允许社交账号访问一系列风险程度不一的企业资产。

全面沙盒分析(内容引爆)与入侵指标(IOC)确认

无可避免地，某些攻击将越过传统的封锁与安全防护机制，在这种情况下，最重要的就是要尽可能在最短时间内迅速察觉入侵，将黑客可能造成的损害或泄露的敏感信息降至最低。许多信息安全平台现在都具备在虚拟机(VM)当中运行(亦即“引爆”)执行档案和内容的功能，并且能够观察VM当中的一些入侵指标。这一功能已迅速融入一些较强大的平台当中，不再属于独立的产品或市场。一旦侦测到可疑的攻击，必须再通过其他不同层面的入侵指标进一步确认，例如：比较网络威胁侦测系统在沙盒环境中所看到的，以及实际端点装置所观察到的状况(包括：活动进程、操作行为以及注册表项等)。

端点侦测及回应解决方案

端点侦测及回应(EDR)市场是一个新兴市场，目的是为了满足端点(台式机、服务器、平板与笔记本)对高阶威胁的持续防护需求，最主要是大幅提升安全监控、威胁侦测及应急响应能力。这些工具记录了数量可观的端点与网络事件，并将这些信息储存在一个集中地数据库内。接着利用分析工具来不断搜寻数据库，寻找可提升安全状态并防范一般攻击的工作，即早发现持续攻击(包括内部威胁)，并快速响应这些攻击。这些工具还有助于迅速调查攻击范围，并提供补救能力。

新一代安全平台核心：大数据信息安全分析

未来，所有有效的信息安全防护平台都将包含特定领域嵌入式分析核心能力。一个企业持续监控所有运算单元及运算层，将产生比传统SIEM系统所能有效分析的更多、更快、更多元的数据。Gartner预测，至2020年，40%的企业都将建立一套“安全数据仓库”来存放这类监控数据以支持回溯分析。籍由长期的数据储存于分析，并且引入情境背景、结合外部威胁与社群情报，就能建立起 “正常”的行为模式，进而利用数据分析来发觉真正偏离正常的情况。

机器可判读威胁智能化，包含信誉评定服务

与外界情境与情报来源整合是新一代信息安全平台最关键的特点。市场上机器可判读威胁智能化的第三方资源越来越多，其中包括许多信誉评定类的选择。信誉评定服务提供了一种动态、即时的“可信度”评定，可作为信息安全决策的参考因素。例如，用户与设备以及URL和IP地址的信誉评定得分就可以用来判断是否允许终端用户进行访问。

以遏制和隔离为基础的信息安全策略

在特征码(Signatures)越来越无法阻挡攻击的情况下，另一种策略就是将所有未知的都当成不可信的，然后在隔离的环境下加以处理并运行，如此就不会对其所运行的系统造成永久损害，也不会将该系统作为矢量去攻击其他企业系统。虚拟化、隔离、提取以及远程显示技术，都能用来建立这样的遏制环境，理想的结果应与使用一个“空气隔离”的独立系统来处理不信任的内容和应用程序一样。虚拟化与遏制策略将成为企业系统深度防御防护策略普遍的一环，至2016年达到20%的普及率，一改2014年几乎未普遍采用的情况。

软件定义的信息安全

所谓的“软件定义”是指当我们将数据中心内原本紧密耦合的基础架构元素(如服务器、存储、网络和信息安全等等)解离并提取之后所创造的能力。如同网络、计算与存储的情况，对信息安全所产生的影响也将发生变化。软件定义的信息安全并不代表不再需要一些专门的信息安全硬件，这些仍是必不可少的。只不过，就像软件定义的网络一样，只是价值和智能化将转移到软件当中而已。

互动式应用程序安全测试

互动式应用程序安全测试(IAST)将静态应用程序安全测试(SAST)与动态应用程序安全测试(DAST)技术进行结合。其目的是要通过SAST与DAST技术之间的互动以提升应用程序安全测试的准确度。IAST集合了SAST与DAST最好的优点于一单一解决方案。有了这套方法，就能确认或排除已侦测到的漏洞是否可能遭到攻击，并判断漏洞来源在应用程序代码中的位置。

针对物联网的安全网关、代理与防火墙

企业都有一些设备制造商所提供的运营技术(OT)，尤其是一些资产密集型产业，如制造业与公共事业，这些运营技术逐渐从专属通信与网络转移至标准化网际网络通信协议(IP)技术。越来越多的企业资产都是利用以商用软件产品为基础的OT系统进行自动化。这样的结果是，这些嵌入式软件资产必须受到妥善的管理、保护及配发才能用于企业级用途。OT被视为产业界的“小物联网”，其中涵盖数十亿个彼此相连的感应器、设备与系统，许多无人为介入就能彼此通信，因此必须受到保护与防护。

Facebook取得如此之高的不信任度，显然跟用户在社交网络上留下的数据更加敏感有关，人们往往会在社交网络上面，跟好友互动，抒发个人感想，其真实的社交身份属性也使得这些数据更为敏感。除了政府更喜欢索要这些数据外，这些宝贵的用户个人隐私数据也被认为是真正了解用户的关键，是广告主流口水的对象，也是Facebook广告赖于成功的基础。

CIO最重要的角色就是协助企业实现战略转型和通过技术应用来实现商务目标。

优秀CIO必备的三个最重要的品质：勇气，影响力，机敏。

CIO最重要的三个任务：降低成本，促进企业增长速度，吸引并保留客户。

3个最新的技术：云计算，虚拟化技术，移动技术。

5个CIO关注的领域：融合式基础架构，信息优化，信息安全，云，应用程序现代化。

编译者：逍遥横峰