強化技術防範責任保護公民資訊安全

近日， 浙江溫州市公安局破獲了一起特大駭客攻擊竊取國內航空公司網站資訊案件。 在該案中， 國內50多家民用航空類公司網站遭到駭客入侵， 30多萬條航空票務類公民資訊和大量帳號、密碼資訊被竊取。 個人航班資訊為何屢遭洩露？一張機票從預定到經手航空公司， 從線上訂票網站到機票代理商， 究竟是哪個環節存在如此巨大的漏洞？

公民資訊安全形勢嚴峻與資訊技術的廣泛運用密不可分， 航空旅客資訊洩露即是互聯網資訊與大資料技術運用條件下， 資訊安全問題的縮影， 反映出資訊安全特別個人資訊資料安全的技術防護與管理，

並未隨著資訊技術應用而同步配置並與內嵌進資訊系統的運行與管理。

以航空票務資訊為例， 除了涉及大量個人資訊的大資料後臺， 因安全技術防護薄弱可能受到駭客入侵攻擊竊取資訊資料之外， 還存在大量資料獲取、記錄、查詢的管道， 包括企業自身的票務平臺、合作的票務銷售企業、分包的旅行機構和具體的票務銷售終端， 同時還有沒有任何資訊許可權約束的資訊系統操作人群， 任何銷售人員都可以通過票務資訊系統記錄、保存和查詢航班資訊。 毫無疑問， 任何旅客的票務及相關的個人資訊， 與行業有關的人員幾乎是唾手可得。

應當說， 這諸多環節可能存在的資訊洩露，

都可以通過有效的技術設計加以堵塞。 如票務銷售終端， 任何購票資訊的採集都在一個系統的後臺運行， 系統的終端不能記錄和保存任何資訊資料， 票務的查詢受到嚴格的許可權限制， 終端只能提供以名字查詢未飛航班的個人票務資訊， 並對資訊顯示進行保護處理。 同時， 系統後臺對旅客資訊按保管時限自動清理， 對具體航班票務資訊、管理資訊實行規定管道授權查詢， 減少資訊持有和大面積暴露風險。

社會對個人資訊安全立法呼籲已久， 立法強化對個人資訊安全的保護是不二的途徑， 而立法應當首先強化企業、政府機構、社會組織對涉及個人資訊系統的技術保護責任， 並從法律上確立未盡技術保護所應擔當的處罰，

以區別於以洩露侵權發生後果， 通過民事訴訟倒逼保護的機制， 甚至可以將未盡到個人資訊安全技術保護納入公益訴訟的範疇， 增強個人資訊安全保護的強制性和可操作性。 同時， 要重視並逐步制定涉及個人資訊的應用資訊系統安全保護的強制技術標準， 給資訊技術的開發、應用設置安全門檻， 給資訊安全裝上防護鎖。 （木須蟲）