時間:2023-10-13 16:13:57
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇征信信息安全管理,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【關(guān)鍵詞】個人信用體系 信息安全 監(jiān)督
一、我國征信業(yè)及個人信用體系建設(shè)發(fā)展現(xiàn)狀
我國的征信業(yè)及個人信用體系發(fā)展起步較晚,黨的十六大首次提出“整頓和規(guī)范市場經(jīng)濟秩序,健全現(xiàn)代市場經(jīng)濟的社會信用體系”的戰(zhàn)略目標和任務。但征信業(yè)及個人信用體系建設(shè)速度較快,并取得一系列成就。《征信業(yè)管理條例》、《征信機構(gòu)管理辦法》等法規(guī)規(guī)章相繼出臺。同時,央行在2006年完成個人與企業(yè)兩大征信系統(tǒng)建設(shè),并實現(xiàn)全國聯(lián)網(wǎng)運行。截止2012年,這兩套系統(tǒng)累計為超過1859.6萬戶企業(yè)、其他組織和8.2億自然人建立了信用檔案。此外,我國已有27所高校開設(shè)信用管理專業(yè),專門培養(yǎng)征信管理人才。并且人社部于2005年開設(shè)了“信用管理師”的職業(yè)資格認定,為征信行業(yè)提供人才培訓指導和職業(yè)資格認定。征信業(yè)及個人信用體系發(fā)展呈現(xiàn)欣欣向榮之勢。
二、當前個人信用體系建設(shè)面臨的問題及風險
任何一項新的事物在發(fā)展初期都會面臨許多問題,征信業(yè)和個人信用體系也不外如是。盡管取得了不錯的成績,但征信業(yè)和個人信用體系的發(fā)展仍面臨不少問題和風險,突出的表現(xiàn)在:
首先,征信業(yè)和個人信用體系建設(shè)的外部環(huán)境并不理想。盡管目前制定了一系列的關(guān)于個人信用體系建設(shè)的法規(guī)和規(guī)章,但最重要的法律層面的《個人信息保護法》仍遲遲未出。同時,一些法規(guī)、規(guī)章等條文過粗,缺乏可操作性。與此同時,政府公權(quán)力的濫用也讓人擔心信用管理的公正性,如江蘇睢寧將上訪納入信用扣分項目,明顯是以政府管理指標取代信用評級指標。此外,社會信用意識的缺乏也是征信業(yè)和個人信用體系發(fā)展受挫的重要原因。
其次,征信業(yè)和個人信用體系自身建設(shè)存在問題和風險。在問題方面,主要存在信息采集過窄(主要是信貸信息)、未能實現(xiàn)有限信息共享、信用信息服務產(chǎn)品單一等,而在風險方面,則主要存在個人信息安全風險以及信息失真或虛假信息風險等。
最后,征信管理人才建設(shè)滯后于征信業(yè)發(fā)展需求。盡管政府和相關(guān)部門已經(jīng)開始著手加快征信管理人才建設(shè),但仍滯后于征信業(yè)的發(fā)展需求,據(jù)估計我國信用管理人才缺口近百萬。一方面,開設(shè)信用管理專業(yè)的高校過少,直接影響信用管理人才的供給。另一方面,對于信用管理人員并未建立其強制性的執(zhí)業(yè)資格準入制度和后期培訓制度,也導致信用管理人員魚龍混雜,水平參差不齊。
三、加強我國個人信用體系建設(shè)的建議
(一)完善征信業(yè)和個人信用體系外部環(huán)境建設(shè)
首先,國家應加快個人信用立法建設(shè),盡快從法律層面解決個人信用體系建設(shè)上位法“缺席”的情況,完善個人信用建設(shè)的法律體系。同時,應出臺配套法律、法規(guī)的實施細則,并細化細則條文內(nèi)容,增強條文的實踐性和操作性。其次,國家應盡快建立統(tǒng)一的個人信用評價標準和相關(guān)評價流程,規(guī)范個人信用信息的搜集、整理、分析、評價、使用、存儲等相關(guān)活動。在個人信用體系建設(shè)上,政府和職能部門應處于公立的監(jiān)督者的地位,而避免公權(quán)力干預下的行為扭曲。最后,應加強征信和個人信用體系宣傳。個人信用體系的建設(shè)離不開民眾的支持和配合,應在宣傳中突出信用管理為客戶增加價值的內(nèi)容及強調(diào)信息安全保護的防范措施,打消民眾的顧慮,增強民眾的配合程度,提高全社會信用自我管理的意識。
(二)創(chuàng)新信用管理,豐富信用服務產(chǎn)品和內(nèi)容
首先,應完善信用管理的整體框架和體系,在現(xiàn)有信用管理市場的基礎(chǔ)上,建立起信用登記、信用調(diào)查、信用評級、信用咨詢、信用監(jiān)督、信用保險等多層次的信用市場體系,多方位滿足市場需求。在個人信用上,應逐漸從商業(yè)信貸信用發(fā)展到社會綜合信用。其次,豐富信息服務產(chǎn)品,加快信息資源共享。目前個人信用信息服務還主要局限在個人消費、信貸等方面,未來應在擴大信用信息采集的基礎(chǔ)上,豐富個人信息服務產(chǎn)品,如提供個人信用咨詢、信用規(guī)劃、信用風險管理服務等。最后,加快新技術(shù)應用,加強信息安全管理。在信息安全管理上,應按照相應標準科學制定出信息搜集、整理、存儲、使用等信息提供和使用者的權(quán)限范圍,嚴格高等級信息權(quán)限的授予與管理。同時,企業(yè)自身應提高職業(yè)道德意識和規(guī)范信息管理流程,職能部門也應加強監(jiān)督和管理。
(三)加快征信管理人才隊伍建設(shè)
首先,教育部應會同央行、財政部、銀監(jiān)會等職能部門,在研究和吸取國外相關(guān)大學專業(yè)設(shè)置的基礎(chǔ)上,科學制定符合我國實際的信用管理人才培養(yǎng)標準,先行鼓勵和引導有條件的高校根據(jù)市場情況開設(shè)信用管理等相關(guān)專業(yè),加強人才供給。培養(yǎng)過程中可考慮同部分銀行信用管理部門建立實訓基地。其次,建立執(zhí)業(yè)資格準入制度,發(fā)展征信管理培訓市場。人社部應會同財務部、央行等職能部門加快出臺相關(guān)執(zhí)業(yè)資格考試和相關(guān)后續(xù)管理和培訓教育制度,完善對征信管理人才市場的監(jiān)管,提高征信管理人才整體質(zhì)量。同時,應鼓勵和發(fā)展征信管理培訓市場,細分培訓市場,鼓勵和培養(yǎng)幾個有影響力的信用管理培訓品牌。培訓機構(gòu)自身也應通過加強基礎(chǔ)建設(shè)、引進優(yōu)質(zhì)師資、個性化辦學等提高培訓質(zhì)量,豐富信用管理培訓服務內(nèi)容。
四、結(jié)論
市場經(jīng)濟就是信用經(jīng)濟,個人信用體系是市場經(jīng)濟體制中的重要一環(huán)。政府、企業(yè)和社會都應提高信用意識,多方協(xié)同,共同推動個人信用體系又好又快發(fā)展。
參考文獻
【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領(lǐng)導的重視和社會關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理,2014年,我國成立了以主席為最高領(lǐng)導的信息安全管理機構(gòu)-中央網(wǎng)信辦;2016年11月,在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會》。通過一系列的行為,為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力,為廣大社會群眾提供服務的同時,能夠保證人民的利益。
信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成,主要以處理信息流為主,信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應對外部攻擊,安全風險的同時,當務之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下,分布實施,開展各項安全工作。
目前,大多數(shù)企業(yè)的信息安全工作比較單一,主要是部署安全防護設(shè)備,進行簡單的配置。信息安全工作不全面,安全管理相對薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴格
考慮到方便記憶和頻繁的登錄操作,企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認賬號現(xiàn)象,并且基本不設(shè)定管理員的權(quán)限,默認使用最大權(quán)限。一旦攻擊者通過猜測或其他手段獲得管理員賬號,攻擊者如入無人之境,可以任意妄為。最終可造成數(shù)據(jù)泄露,系統(tǒng)癱瘓等不可估量的嚴重后果。注重信息安全的企業(yè)會修改默認管理員賬號,設(shè)定較為復雜的口令,并定期進行口令更換。但是也僅僅使用一種身份鑒別技術(shù),不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計算機技術(shù)的發(fā)展,信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷,攻擊系統(tǒng)軟件、硬件和數(shù)據(jù),進行非法操作,造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件
攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對網(wǎng)絡(luò)進行攻擊,如果不采取相應的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識薄弱
很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識,存在離開辦公電腦時不鎖屏現(xiàn)象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內(nèi)的材料;優(yōu)盤未經(jīng)殺毒直接連接公司電腦;隨意點擊不明郵件的鏈接;更有員工將系統(tǒng)賬號、密碼粘貼在辦公桌上;在系統(tǒng)建設(shè)階段,大到管理者,小到開發(fā)人員、測試人員,均注重技術(shù)實現(xiàn)和業(yè)務要求,而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識較為薄弱,很容易造成公司信息泄露,進而導致公司的損失。
1.4 內(nèi)部管理制度不完善
俗話說,“不以規(guī)矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規(guī)程,可能導致信息安全管理制度體系存在疏漏,部分管理內(nèi)容無法有效實施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障,進而影響到信息系統(tǒng)的安全建設(shè)和安全運維。比如在軟件開發(fā)過程中,開發(fā)人員會因為各種原因而忽略安全開發(fā)(存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題;有些開發(fā)人員不愿意使用邊界檢查,怕影響系統(tǒng)的效率和性能;當然也存在許多遺留代碼存在問題的現(xiàn)象,從而導致二次開發(fā)同樣產(chǎn)生問題),可能導致系統(tǒng)存在后門,被黑客攻擊。
2 防范措施
企業(yè)需依據(jù)《信息安全等級保護管理辦法(公通字[2007]43號)》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標準和法律法規(guī)進行信息系統(tǒng)安全建設(shè)工作。測評機構(gòu)在網(wǎng)安的要求下,對企業(yè)信息系統(tǒng)的安全進行測評,并出具相應測評結(jié)果。根據(jù)測評結(jié)果和整改建議,采用相應的技術(shù)手段(安全認證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等)和管理措施(安全團隊、教育與培訓、管理體系等)對信息系統(tǒng)進行整改。如圖1所示。
2.1 技術(shù)手段
2.1.1 安全認證
身份鑒別是指在計算機系統(tǒng)中確認執(zhí)行者身份的過程,以確定該用戶是否具有訪問某種資源的權(quán)限,防止非法用戶訪問系統(tǒng)資源,保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶,均需進行身份鑒別和標識,且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制,常用的鑒別技術(shù)(認證技術(shù))如表1所示。
不同的認證技術(shù),在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高,但會遇到各種問題,導致便捷性較差(比如存在軟硬件適配性問題,移動終端無USB口等)。一般認為在相同的便捷性前提下,選擇安全等級較高的認證技術(shù)。針對重要系統(tǒng)應采用雙因子認證技術(shù)。
2.1.2 入侵檢測
入侵檢測能夠依據(jù)安全策略,對網(wǎng)絡(luò)和系統(tǒng)進行監(jiān)視,發(fā)現(xiàn)各種攻擊行為,能夠?qū)崟r保護內(nèi)部攻擊、外部攻擊和誤操作的情況,保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測系統(tǒng)(IDS)是一個旁路監(jiān)聽設(shè)備,需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個邏輯隔離的子網(wǎng),則需要在整個信息系統(tǒng)中實施分布部署,從而掌控整個信息系統(tǒng)安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對目標系統(tǒng)的安全脆弱性進行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同,分為基于網(wǎng)絡(luò)的和基于主機的系統(tǒng)安全掃描,可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。
漏洞掃描主要用于評估主機操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應用平臺軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監(jiān)控管理
網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓撲,在網(wǎng)絡(luò)關(guān)鍵點接入監(jiān)控工具監(jiān)測當前網(wǎng)絡(luò)數(shù)據(jù)流量,分析可疑信息流,通過截包解碼分析的方式驗證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩@鏢olarwinds網(wǎng)絡(luò)監(jiān)控平臺,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執(zhí)行全面的帶寬性能監(jiān)控和故障管理;可以分析網(wǎng)絡(luò)流量;可以對服務器上運行的服務和進程進行自動監(jiān)控,并在故障發(fā)生時及時告警;可對VOIP的相關(guān)參數(shù)進行監(jiān)控;可以通過直觀的網(wǎng)絡(luò)控制臺管理整個IP架構(gòu);可快速檢測、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能;強大的應用程序監(jiān)視、告警、報告功能等。
2.1.5 數(shù)據(jù)備份與加密
企業(yè)高度重視業(yè)務信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲時應加密存儲,防止黑客攻擊系統(tǒng),輕易獲得敏感數(shù)據(jù),造成公司的重大經(jīng)濟損失。常用的加密算法包括對稱加密(DES、AES)和不對稱加密算法(RSA)。密碼技術(shù)不僅可以防止信息泄露,同時可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。
除了對數(shù)據(jù)進行加密存儲外,由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機房著火等意外,需對系統(tǒng)數(shù)據(jù)進行備份。按照備份環(huán)境,備份分為本地備份和異地備份;按照備份數(shù)據(jù)量的多少,備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務要求和實際情況,選取合適的備份方式進行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計。
2.2 管理措施
2.2.1 安全團隊
企業(yè)應設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團隊負責信息安全工作,該團隊包括信息安全委員會,信息安全部門及其成員。安全部門負責人除了具備極強的業(yè)務處理能力,還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業(yè)人員數(shù)量在逐漸增加,話語權(quán)在增多,肩上的擔子也越來越大。安全團隊需要定好自己的位,多檢查少運維,多幫企業(yè)解決問題。即安全團隊修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓
保護企業(yè)信息安全,未雨綢繆比亡羊補牢要強。培養(yǎng)企業(yè)信息安全意識文化,樹立員工信息安全責任心,是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競爭實際上是人才的競爭,除了定期進行技能培訓外,還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃,包括但不限于在線、郵件、海報(標語)、視頻、專場、外培等形式。通過對員工的安全意識教育,能從內(nèi)部預防企業(yè)安全事件的發(fā)生,提高企業(yè)的安全保障能力。
2.2.3 管理體系
隨著計算機攻擊技術(shù)的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內(nèi)部。單靠個人的力量已無法保障信息系統(tǒng)的安全。因此,企業(yè)需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達到分工明確,職責清晰,安全開發(fā),可靠運維。安全管理制度作為安全管理體系的綱領(lǐng)性文件,在信息系統(tǒng)的整個生命周期中起著至關(guān)重要的作用。不同機構(gòu)在建立與完善信息安全管理體系時,可根據(jù)自身情況,采取不同的方法,一般經(jīng)過PDCA四個基本階段(Plan:策劃與準備;Do文件的編制;Check運行;Action審核、評審和持續(xù)改進)。可依據(jù)ISO27000,信息安全等級保護等,從制度、安全機構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運維5個方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成,如圖2所示。
3 結(jié)語
國家不斷加強對各個互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督,通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯(lián)網(wǎng)網(wǎng)站專項安全測評等方式,規(guī)范企業(yè)的信息安全建設(shè)工作。同樣,信息安全工作長期面臨挑戰(zhàn),不能一蹴而就,需要相關(guān)安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。
參考文獻
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統(tǒng)安全等級保護測評實踐[M].哈爾濱工程大學出版社,2016(01).
[3]蔣欣.計算機網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真,2006(08),28-4.
作者簡介
康玉婷(1988-),女,上海市人。碩士學位。現(xiàn)為信息安全等級測評師、初級工程師。主要研究方向為信息安全。
作者單位
廊坊市自2009年設(shè)立第1家村鎮(zhèn)銀行以來,目前已發(fā)展到5家,且均已開設(shè)了分支機構(gòu)。另外還有5家新設(shè)村鎮(zhèn)銀行已進入籌備階段。從科技方面看,不但沒有專職科技部門,而且所謂的專職科技人員僅10人,占比不到4%。目前村鎮(zhèn)銀行的業(yè)務系統(tǒng)基本都是依托發(fā)起行和行來運行,各項規(guī)章制度都是照抄照搬發(fā)起行,缺乏具有自己行針對性的內(nèi)控制度,有些村鎮(zhèn)銀行新設(shè)立的分支機構(gòu)由于在農(nóng)村條件有限,不具備雙運營商線路備份的條件。
二、網(wǎng)絡(luò)及信息安全管理存在的問題
(一)制度建設(shè)薄弱,安全意識有待提高。村鎮(zhèn)銀行由于成立時間短,急于開展存貸款業(yè)務,因而還沒有建立起一套系統(tǒng)的、行之有效的網(wǎng)絡(luò)及信息安全管理制度。如部分村鎮(zhèn)銀行沒有結(jié)合自身實際制訂制度,僅將發(fā)起行的信息安全規(guī)章制度改頭換面,難以對信息安全管理進行有效約束,個別村鎮(zhèn)銀行連最基本的機房出入登記、應急演練記錄都沒有。即使制度制訂較為完善的村鎮(zhèn)銀行也未能嚴格按照《商業(yè)銀行信息科技風險管理指引》、《村鎮(zhèn)銀行信息科技建設(shè)與管理指引》的要求進行規(guī)范,反映出村鎮(zhèn)銀行普遍存在注重追求業(yè)務拓展而忽視制度建設(shè)與執(zhí)行,信息安全意識不強的問題。
(二)未設(shè)立專職科技部門,兼職科技人員自身水平不高。村鎮(zhèn)銀行都沒有設(shè)置專職的科技部門,從最初機房建設(shè)到后來發(fā)展分支機構(gòu),科技工作均是由發(fā)起行派科技人員實施和管理。從人員素質(zhì)看,10名科技專管員中,計算機專業(yè)人員僅占5%,大部分專管員難以勝任科技工作。此外,各家村鎮(zhèn)銀行所謂的專職科技專管員實際上都是身兼數(shù)職,而且流動性大,更換頻繁,不利于信息安全工作的開展。
(三)網(wǎng)絡(luò)線路繁多,資源浪費嚴重。目前每個村鎮(zhèn)銀行需要硬性接入的網(wǎng)絡(luò)線路為7到10條不等,比如人民銀行省會中心支行城市金融網(wǎng)、地市中心支行城市金融網(wǎng)、發(fā)起行網(wǎng)絡(luò)、行網(wǎng)絡(luò)等,此外還要與銀監(jiān)局、下屬支行互通,按照網(wǎng)絡(luò)雙線路備份的要求,一個村鎮(zhèn)銀行總行機房的網(wǎng)絡(luò)線路達到近20條,不但給本來就不大的機房增添了不少負擔,而且繁多的網(wǎng)絡(luò)線路不便于日常管理,存在安全隱患。同時,一個村鎮(zhèn)銀行每年在網(wǎng)絡(luò)線路上的花費均在30萬元以上,高額的支出也給本來規(guī)模就不大的村鎮(zhèn)銀行增加了財務負擔。
(四)過度依賴業(yè)務外包,不利于內(nèi)部風險控制。廊坊轄內(nèi)村鎮(zhèn)銀行業(yè)務系統(tǒng)升級改造由發(fā)起行來實施,發(fā)起行能否長期提供免費系統(tǒng)升級支持且升級是否及時,值得引起重視。日常設(shè)備維護、巡檢基本由第三方IT外包服務公司來做。由于廊坊本地沒有外包服務公司,出現(xiàn)問題不但不能第一時間進行維護,更為重要的是信息系統(tǒng)和數(shù)據(jù)的安全性無法保障,存在泄漏重要信息的可能。
(五)機房環(huán)境普遍不達標,存在安全隱患。按照《村鎮(zhèn)銀行信息科技建設(shè)與管理指引》,村鎮(zhèn)銀行要達到B級機房標準,而廊坊市的村鎮(zhèn)銀行機房環(huán)境設(shè)施過于簡單,與指引相差甚遠。主要表現(xiàn):一是面積過小不能實現(xiàn)機房分區(qū)操作;二是裝修沒有達到國際有關(guān)要求;三是空調(diào)設(shè)備和供電未達到冗余要求。這不但對今后機房設(shè)備的拓展存在影響,而且存在一定的安全隱患。
三、相關(guān)建議
(一)加強科技制度建設(shè)和落實。人民銀行應嚴格按照《商業(yè)銀行信息科技風險管理指引》、《村鎮(zhèn)銀行信息科技建設(shè)與管理指引》,要求村鎮(zhèn)銀行針對自身實際,制定切實可行的科技管理制度。科技部門要加強對村鎮(zhèn)銀行的執(zhí)法檢查,評估科技管理制度的實用性和有效性,強化村鎮(zhèn)銀行科技制度建設(shè)和制度落實,切實提高信息安全意識。
(二)加強科技人員管理。每個村鎮(zhèn)銀行及其分支機構(gòu)都必須設(shè)立至少一名科技專管員專司網(wǎng)絡(luò)及信息安全管理工作,科技專管員要具有計算機專業(yè)學歷,嚴禁非專業(yè)人員為應付監(jiān)管部門檢查而從事科技管理工作,現(xiàn)沒有專業(yè)人員的要通過公開招聘盡快解決。要減少科技專管員兼職,有條件的機構(gòu)應設(shè)立科技部門。
(三)建議全省村鎮(zhèn)銀行參照農(nóng)村信用社的方式統(tǒng)一管理。由于村鎮(zhèn)銀行科技力量薄弱,沒有能力自行開展信息化建設(shè),而搭建獨立的核心業(yè)務系統(tǒng),需要投入較多的人力和財力,短期來說困難重重。農(nóng)村信用社也為獨立法人,與村鎮(zhèn)銀行類似,由省聯(lián)社統(tǒng)一開發(fā)業(yè)務系統(tǒng)后各獨立法人機構(gòu)接入。建議村鎮(zhèn)銀行也采取此方式,在省一級成立公司,全省村鎮(zhèn)銀行業(yè)務系統(tǒng)以及人民銀行相關(guān)系統(tǒng)的接入,系統(tǒng)升級和改造也由公司完成。采用此方式可以規(guī)范村鎮(zhèn)銀行的接入標準,減少對發(fā)起行或行的技術(shù)依賴,最重要的是通過整合可以節(jié)省人民銀行網(wǎng)絡(luò)資源,減少村鎮(zhèn)銀行的網(wǎng)絡(luò)線路,節(jié)約經(jīng)費。
(四)以人民銀行地市中支為節(jié)點一點接入。目前,村鎮(zhèn)銀行接入需直接由所在地連到省里,建議以人民銀行地市中支為節(jié)點,村鎮(zhèn)銀行通過地市中心支行接入。隨著擔保公司、小額貸款公司通過接入征信系統(tǒng)逐漸提上日程,越來越多的金融機構(gòu)需要接入,省網(wǎng)絡(luò)資源會越來越緊張,以地市中支為節(jié)點接入可以有效分擔省里壓力。與此同時,以從廊坊到石家莊單條線路月租費5000元計算,僅網(wǎng)絡(luò)租用費每年就可以為村鎮(zhèn)銀行節(jié)約10多萬元。
(五)規(guī)范外包服務公司資質(zhì)。由于村鎮(zhèn)銀行涉及資金往來,對外部人員的管理需要更加嚴格,而IT行業(yè)是人員流動很快的行業(yè),建議確定外包服務公司資質(zhì)標準,對現(xiàn)實用外包服務公司進行評定,指定統(tǒng)一符合條件的外包服務公司進行服務,此舉可以有效避免泄密及失竊風險。
關(guān)鍵詞:電子商務信用保障 原因分析 解決途徑
一、我國中小企業(yè)電子商務信用保障體系發(fā)展瓶頸的原因分析
1.誠信基礎(chǔ)薄弱。我國誠信基礎(chǔ)薄弱,導致電子商務交易社會信任度低。由于我國長期的“重商主義”影響,導致一些傳統(tǒng)的社會誠信道德與倫理的缺失。現(xiàn)實社會中,假冒偽劣商品肆虐、虛假廣告泛濫、合同履約率低、經(jīng)理人缺少誠信、信用卡詐騙、對欠債追討不力等誠信問題每天見于報端,幾乎成了普遍現(xiàn)象;而電子商務作為不見面的交易模式,使得眾多中小企業(yè)電子商務難以得到消費者的認同。同時,正因為這種不見面的交易模式,使得某些中小企業(yè)只注重短期效益,抱著“撈一把就走”的心態(tài)經(jīng)營網(wǎng)站,結(jié)果在商品質(zhì)量、物流配送和售后服務等方面很難讓消費者滿意,甚至欺騙消費者,這嚴重損害了電子商務的健康發(fā)展。
2.信用法律機制不健全。近年來,我國的信用法律體系建設(shè)已經(jīng)初見成效,但這些信用信息基本處于相對封閉狀態(tài),人們很難利用,甚至有時不得不對信用信息本身持懷疑態(tài)度,這就為少數(shù)人、少數(shù)用戶、少數(shù)企業(yè)說謊、失信、欺騙、詐騙提供了可趁之機。在市場經(jīng)濟條件下,誠信與法制是相互補充、相互支持的。健全的法制體系是誠信規(guī)范的前提和基礎(chǔ),能夠為誠信體系的建立和有效運行提供有力的保障,總體看,我國雖然在法制保障誠信規(guī)范方面做了一些工作,但相對于迅猛發(fā)展的電子商務仍顯滯后。雖然國家已經(jīng)頒布了《中華人民共和國電子簽名法》以及商務部《關(guān)于促進電子商務規(guī)范發(fā)展的意見》等,然而,電子商務的發(fā)展需要更多更完善的法律規(guī)范以及強有力的執(zhí)法力度,目前實施的法律規(guī)范顯然不足以完全解決阻礙電子商務發(fā)展的信用問題。
3.部分中小企業(yè)自身素質(zhì)不高,電子商務信用意識淡薄。對于任何企業(yè)乃至一個國家,信用都是一種稀缺資源,是支撐電子商務發(fā)展的重要保障。我國的市場經(jīng)濟是由計劃經(jīng)濟脫胎而來,社會信用經(jīng)濟發(fā)育較晚,市場信用交易不發(fā)達,社會普遍缺乏在新經(jīng)濟條件下的信用意識和信用道德規(guī)范。很多企業(yè)與個人對于信用的重要性缺乏應有的認識,“無商不奸”的觀念在他們的思想中根深蒂固,認為企業(yè)不講信用照樣可以生存和發(fā)展,社會上信用缺失現(xiàn)象非常普遍,這種觀念意識無疑制約了我國電子商務信用狀況的改善,必將對電子商務秩序造成巨大的破壞,新經(jīng)濟難以健康運轉(zhuǎn)。
4.中小企業(yè)電子商務信用缺乏統(tǒng)一管理。對參與電子商務的中小企業(yè)沒有建立詳細的信用檔案,應以集中、統(tǒng)一、規(guī)范的形式或標識反映中小企業(yè)網(wǎng)站的資信與交易記錄等信息,如企業(yè)的基本資料、經(jīng)濟信用資料、客戶評價等。同時,由于現(xiàn)有第三方信用評價機構(gòu)對參與電子商務交易的中小企業(yè),因利益關(guān)系而導致資格評審不把關(guān),身份認證不到位,信用檔案不完善,以至于造成虛假網(wǎng)站、虛假商品信息等的不斷出現(xiàn),讓消費者面對掛著所謂的”可信”標志的網(wǎng)站而云里霧里。
二、我國中小企業(yè)電子商務信用保障體系發(fā)展瓶頸的解決途徑
完善網(wǎng)絡(luò)購物環(huán)境,推動電子商務發(fā)展,當務之急是解決電子商務信用保障體系發(fā)展的瓶頸問題,促進我國中小企業(yè)電子商務的健康發(fā)展。首先,政府的引導與規(guī)范以及分類監(jiān)管是必不可少的。第二是媒體和廣大的消費者以及各類的服務支撐機構(gòu)、金融機構(gòu)的監(jiān)督。第三則是第三方信用服務機構(gòu),能夠有效的遏制詐騙現(xiàn)象的發(fā)生,從消費者角度來說,也更相信與交易方?jīng)]有任何利益往來的第三方的審查評價。第四是中小企業(yè)的自律和推崇誠信,誠信不僅僅是一種聲譽更是一種財富,尤其是對于中小企業(yè),電子商務的誠信建設(shè)更加重中之重。具體有以下幾個途徑:
1.進一步完善電子商務信用保障體系
要盡快在電子商務信用方面進行立法,明確電子商務交易雙方、電子商務服務提供商的權(quán)利和義務,以及工商部門、工信部門、商務部門、公安部門、銀行等相關(guān)機構(gòu)的職責,加強對中小企業(yè)的信用管理。扶持獨立的第三方信用服務機構(gòu),鼓勵社會化服務機構(gòu)開展個人征信、企業(yè)征信、企業(yè)評級、企業(yè)信用風險管理、企業(yè)及個人征信咨詢服務、征信系統(tǒng)設(shè)計及開發(fā)等業(yè)務。建立一個具有高度社會公信力的企業(yè)信用查詢和監(jiān)督平臺,為電子商務交易活動提供有價值的參考和指引。建立電子商務失信懲戒機制,對有不良信用記錄的中小企業(yè)予以懲處,視情節(jié)輕重處以罰金、停業(yè)整頓等;對于影響惡劣的企業(yè)法人,規(guī)定在若干年內(nèi)不得注冊企業(yè)經(jīng)商。加強行業(yè)自律,促進誠信經(jīng)營。
2.加強電子商務的信息安全建設(shè)
信息安全是電子商務順利發(fā)展的基礎(chǔ)和動力。要從法律法規(guī)、組織管理、信息技術(shù)3個層面建立電子商務信息安全保障體系。完善電子商務信息安全方面的法律法規(guī),嚴厲打擊針對電子商務活動的網(wǎng)絡(luò)犯罪。目前,國內(nèi)網(wǎng)絡(luò)犯罪采用的主要手段是信息截取、信息篡改、信息假冒和交易抵賴。為此,電子商務的信息安全體系要滿足使用者和數(shù)據(jù)識別要求,對存儲加密數(shù)據(jù)進行保密,對聯(lián)網(wǎng)交易支付可靠性提供保證,提供方便的安全管理以及數(shù)據(jù)完整性校驗等。中小企業(yè)和電子商務服務提供商要積極應用防火墻、加密、認證以及反病毒技術(shù),消除電子交易過程中的網(wǎng)絡(luò)安全隱患。對電子商務服務平臺要進行信息安全風險評估和等級保護,加強數(shù)據(jù)和信息系統(tǒng)的災難備份,以確保用戶各類信息的安全。
3.完善中小企業(yè)電子商務信用評價體系
按照統(tǒng)一規(guī)劃、統(tǒng)一發(fā)展的原則,盡快建設(shè)全國聯(lián)網(wǎng)的中小企業(yè)信用評價體系,實現(xiàn)銀行、工商、稅務、公安等部門的信息的共享。信用評價體系的運作,在建立和初始階段,應由政府部門牽頭組織以確保其權(quán)威性,使得消費者對信息的真實性無需置疑。就我國當前的電子商務環(huán)境,我認為易趣的個人積分是一種較為有效的方法,易趣門戶網(wǎng)站對每個賣家都有其信用積分,以此來確定該賣家是否能夠誠信守約。在設(shè)計中小企業(yè)信用評價體系時,我們可借鑒易趣的評價指標,綜合考慮中小企業(yè)資產(chǎn)負債率、資金周轉(zhuǎn)率和凈資產(chǎn)收益率等財務分析指標和企業(yè)的社會經(jīng)濟狀況、行業(yè)發(fā)展狀況、資金人力資源等外部環(huán)境指標對企業(yè)的信用評分,供消費者自行查詢并選擇。
4.建立嚴格的網(wǎng)絡(luò)銷售商和網(wǎng)絡(luò)運營商的資格認證和準入制度
由網(wǎng)絡(luò)營運商向銷售商收取一定的賠付準備金,建立專門基金,由相關(guān)部門進行監(jiān)督和管理,當銷售商出現(xiàn)詐騙問題或所售產(chǎn)品質(zhì)量存在問題時,一旦法院的裁判文書生效,就可以用賠償基金先行對消費者進行賠付。制定誠信體系建設(shè)的標準和規(guī)范,需要打破目前各行業(yè)征信系統(tǒng)分割的現(xiàn)狀,將各行業(yè)征信系統(tǒng)進行統(tǒng)一整合,并向社會公眾開放,這樣才能有效遏制網(wǎng)絡(luò)欺詐行為。
關(guān)鍵詞:個人征信制度;采集;使用
中圖分類號:F832 文獻標識碼:B 文章編號:1007-4392(2009)04-0061-03
一、各國對個人信用信息采集、使用等相關(guān)征信立法比較
世界各國征信立法的共同之處是立法目的都在尋找個人隱私保護與信息披露之間的平衡,因此對個人信用信息的采集、使用的規(guī)范成為各國征信立法的重要內(nèi)容。但由于經(jīng)濟特點、發(fā)展水平以及歷史文化和生活習慣等差異,各國征信立法也各有特點。
(一)從征信立法規(guī)范的對象看,多數(shù)國家的征信立法主要是針對個人信息的保護
一是以英國為代表的國家,以個人數(shù)據(jù)保護為主要立法內(nèi)容。如英國的《數(shù)據(jù)保護法》、瑞典的《個人數(shù)據(jù)保護法》等,這些法律不僅規(guī)范個人信息征集活動,而且還規(guī)范了包括醫(yī)療、市場營銷等一系列可能涉及個人信息登記的活動。二是以美國為代表的國家,主要以征信活動或征信機構(gòu)為立法對象。例如美國的《公平信用報告法》,主要規(guī)定了消費者個人有了解資信報告的權(quán)利并限制了資信調(diào)查機構(gòu)對于資信調(diào)查報告的傳播范圍。其中一些條款也涉及企業(yè),但主要內(nèi)容是關(guān)于個人權(quán)利的保護。
(二)從征信數(shù)據(jù)管理看,各國對信用數(shù)據(jù)涉及的隱私保護側(cè)重點和保護程度不同
美國《公平信用報告法》規(guī)定征信部門出于有關(guān)信貸活動等法定目的不需要征信對象同意即可采集有關(guān)數(shù)據(jù),并明確了部分機構(gòu)或個人不需征信對象同意即可使用信用報告。英國《數(shù)據(jù)保護法》規(guī)定采集信用信息需通知征信對象,數(shù)據(jù)的披露和使用在一般情況下必須經(jīng)征信對象同意。法國規(guī)定采集、披露和使用信用數(shù)據(jù)均須獲得征信對象的書面同意。
(三)從信息采集范圍看,各國對個人信用信息的采集范圍進行了嚴格限定
美國《公平信用報告法》規(guī)定征信機構(gòu)可采集的信息包括消費者身份識別信息,貸款賬戶余額、授信額度、償還歷史以及與信用有關(guān)的公共信息,但不包括個人之間、公司內(nèi)部交易活動、信用卡信用額度,也不包括超過一定年限的破產(chǎn)、欠稅等負面信息。英國《數(shù)據(jù)保護法》要求征信機構(gòu)采集數(shù)據(jù)不得超過已確定的采集和使用范圍,法國、比利時等國公共征信系統(tǒng)只采集負面信息。各國還規(guī)定對征信對象的敏感信息應當特別保護,如美國《公平信用報告法》規(guī)定不得因性別、種族、和婚姻狀況等對征信對象產(chǎn)生歧視,英國《數(shù)據(jù)保護法》以及歐盟法令規(guī)定對種族、政治觀點和黨派、等信息不得采集。
(四)從征信活動主體權(quán)利義務看,各國對征信活動主體的權(quán)利義務都作出了明確規(guī)定
凡征信法律制度比較健全的國家,都規(guī)定了征信機構(gòu)對被征信人信用信息進行調(diào)查、采集的權(quán)限和程序。多數(shù)國家規(guī)定征信機構(gòu)有義務免費向征信對象提供本人相關(guān)信息和信息來源甚至最近查詢記錄;征信對象有權(quán)要求核查、更正本人信用記錄。英國《數(shù)據(jù)保護法》還規(guī)定征信對象在可能損害自己或他人的情況下有權(quán)要求停止對個人數(shù)據(jù)的采集和錄入。美國《公平信用報告法》規(guī)定相關(guān)機構(gòu)使用信用報告后對信用報告主體采取拒貸等不利行為的,必須書面通知其本人并告知其提供信用報告的征信機構(gòu)等相關(guān)信息。
二、我國個人信用信息采集和使用的現(xiàn)狀
目前我國尚無針對征信管理的專門法律,人民銀行行使征信管理職權(quán)依據(jù)主要包括《銀行信貸登記咨詢管理辦法(試行)》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》、《信用評級管理指導意見》等,由于征信立法的相對滯后給個人信用信息的采集、使用帶來諸多問題。
(一)個人信用信息采集范圍不明確
《銀行信貸登記咨詢管理辦法(試行)》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》規(guī)定的信息采集范圍主要是“金融機構(gòu)信貸業(yè)務及借款人信息”、“法人企業(yè)主要財務指標”以及“個人基本信息、個人信貸交易信息以及反映個人信用狀況的其他信息”,涉及的范圍較大,沒有細化的規(guī)定。在近年人民銀行及其分支機構(gòu)的積極努力下,征信系統(tǒng)將企業(yè)環(huán)保信息、拖欠工資及繳納社保信息、個人公積金等信息納入了信息采集范圍,但其合法性誘發(fā)了一些爭議。
(二)非銀行類信息采集難
目前個人信用數(shù)據(jù)庫數(shù)據(jù)主要來源于銀行業(yè)金融機構(gòu),其他涉及其他公共信息等數(shù)據(jù)分散于其他政府部門或企業(yè),由于未實現(xiàn)信息共享,未與銀行發(fā)生信貸關(guān)系的個人其數(shù)據(jù)采集難度特別大。
(三)個人信用信息使用缺乏法律依據(jù)
目前我國個人信用信息使用還缺少法律依據(jù),個人信用數(shù)據(jù)庫數(shù)據(jù)查詢使用所依據(jù)的《銀行信貸登記咨詢管理辦法(試行)》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》均屬部門規(guī)章。上述兩個規(guī)章規(guī)定數(shù)據(jù)使用限于金融機構(gòu),除規(guī)定征信服務中心可以有償向個人提供本人信用報告外,對于征信對象、信用評級機構(gòu)以及其他機構(gòu)依法查詢信用數(shù)據(jù)、未作明確規(guī)定。
三、規(guī)范個人信用信息采集、使用的相關(guān)政策建議
(一)明確規(guī)定個人信用信息采集的主體、范圍和程序
1.個人信用信息采集的主體,即征信機構(gòu)。首先要規(guī)定征信機構(gòu)具有從事征信活動的硬件條件,如必要的注冊資本、完善的技術(shù)設(shè)施、數(shù)據(jù)庫系統(tǒng)、自動或人工核查系統(tǒng)、必要的安全和保密措施等;其次對征信機構(gòu)的組成人員的素質(zhì)和管理手段也要予以詳細規(guī)定,實行任職人員資格準入制度。最后還應詳盡規(guī)定個人征信機構(gòu)的業(yè)務范圍、審批程序、權(quán)利義務等。
2.個人信用信息采集的范圍。應當在合理保護個人隱私的前提下,明確征信機構(gòu)可以采集的信息、不能采集的信息以及需征信對象同意才能采集的信息,如對于種族、個人政治、婚姻狀況以及企業(yè)客戶資料、商業(yè)合同條款等涉及個人隱私和商業(yè)秘密的信息,一般不得采集;對于個人財產(chǎn)狀況、收入情況、貸款余額及授信額度、與電信等壟斷行業(yè)交易情況,以及企業(yè)財務報表、關(guān)聯(lián)企業(yè)情況等信息,征信機構(gòu)應當取得征信對象的同意才能采集并限制披露范圍;對企業(yè)和個人信貸方面負面信息以及在納稅、環(huán)保、訴訟方面的負面信息,征信機構(gòu)不需征信對象同意即可采集。
3.個人信用信息采集的程序。在個人信用信息的采集過程中,一方面要確保信用報告的公正性、全面性和完整性,盡量全面地征集有關(guān)信息主體的個人信息。另一方面,要注意保護個人的隱私權(quán)。力爭實現(xiàn)個人信用信息的采集與隱私權(quán)的保護協(xié)調(diào)發(fā)展。
(二)明確規(guī)定個人信用信息使用的目的、范圍和程序
由于個人信用資料許多內(nèi)容是個人的隱私,個人信用資料和信用報告的使用應當有明確的使用人、使用目的和范圍的限制,而不是向全社會公開或隨意提供給其他不相關(guān)的機構(gòu)或個人,應當對使用者、使用方法、使用目的和信息報告公開內(nèi)容進行限制。
(三)明確規(guī)定征信機構(gòu)對個人信用信息的義務
征信機構(gòu)對個人信用信息的義務主要包括以下三個方面:一是安全保密義務。信息提供機構(gòu)、征信機構(gòu)和信息使用機構(gòu)及其中因職權(quán)關(guān)系知悉消費者個人信息的工作人員,負有采取適當措施保障個人信息的安全性和秘密性的義務。征信機構(gòu)向信息使用者提供個人信息時應告知其承擔的保密義務。二是保證個人信用信息準確、及時、完整的義務。消費者通過正當途徑可查詢與自己相關(guān)的信息,如發(fā)現(xiàn)其中有不準確、不全面的情況,可以要求更改有關(guān)信息。三是保證信息主體有知情權(quán)和異議權(quán)的義務。
(四)建立個人信用信息采集使用相應的其他配套機制
1.建立科學的個人信用征信服務定價機制。征信機構(gòu)在遵循獨立、客觀、公正和審慎原則的前提下,依法開展征信活動,盈利是其經(jīng)營目的。因此,個人信用征信服務應當是一種有償服務。國家征信監(jiān)督管理部門應當按照市場原則,建立一套科學的個人信用征信服務定價機制。在制定定價機制時,應當充分考慮個人信用信息采集的成本、征信管理機構(gòu)的管理運營成本、服務的對象、個人信用報告的用途等。征信服務定價還應考慮各地經(jīng)濟發(fā)展水平差異,在全國性指導價格下確定區(qū)域性定價標準。
2.建立完善安全嚴密的信息存儲、管理、流轉(zhuǎn)機制。一是要有完善的信息安全管理、保護措施和程序,確保個人信息的安全;二是要制訂信息的更新程序,對有關(guān)信息進行定期或不定期的及時更新,確保信息的及時性和準確性;三是要限制個人信用信息流轉(zhuǎn)的渠道,禁止信息從互聯(lián)網(wǎng)等渠道進行流轉(zhuǎn)、傳播;四是要有個人信息泄露的預警和防范措施,以及信息泄露后及時補救和減少損失的措施。
關(guān)鍵詞:計算機網(wǎng)絡(luò);信息安全;技術(shù)措施
中圖分類號:TP393.08文獻標識碼:A文章編號:1006-8937(2012)08-0076-02
網(wǎng)絡(luò)的普及化,使得現(xiàn)代社會成為信息大爆炸的時代。在這樣的背景之下,如何保證網(wǎng)絡(luò)信息的安全,就成了所有網(wǎng)絡(luò)用戶所關(guān)心的話題。而關(guān)于網(wǎng)絡(luò)信息安全的技術(shù)發(fā)展,也一直成為社會關(guān)注的焦點。事實上,以技術(shù)對抗技術(shù)是當前計算機網(wǎng)絡(luò)與信息安全最主要的防范手段,技術(shù)防范措施主要有訪問控制技術(shù)、數(shù)據(jù)加密、防火墻技術(shù)、入侵檢測技術(shù)等。
1影響網(wǎng)絡(luò)安全的因素
造成計算機網(wǎng)絡(luò)信息不安全的因素很多,特別是在Internet和Intranet環(huán)境下,包括眾多的異種協(xié)議、不同的操作系統(tǒng)、不同廠家的硬件平臺。因而安全問題較復雜,常見的網(wǎng)絡(luò)安全威脅主要包括以下幾個方面。
1.1計算機病毒
從本質(zhì)上看計算機病毒是一種具有自我復制能力的程序。其自身具有破壞性、傳播性、潛伏性和擴散面廣等特點。計算機病毒會把自己的代碼寫人宿主程序的代碼中,達到感染宿主程序的目的,導致程序在運行中受感染,同時,病毒還會進行自我復制,把其副本感染到計算機的其他程序。隨著Internet的發(fā)展,Java和ActiveX 的網(wǎng)頁技術(shù)逐漸被廣泛使用,將文件附于電子郵件的能力也不斷提高,計算機病毒的種類急劇增加,擴散速度大大加快,而且破壞性越來越大,受感染的范圍也越來越廣。
1.2計算機黑客
黑客,是英文“Hacker”的譯音,原指“技術(shù)十分高超的、有強制力的計算機程序員”,后專指利用不正當?shù)氖侄胃`取計算機網(wǎng)絡(luò)系統(tǒng)的口令和密碼,從而非法進入計算機網(wǎng)絡(luò)的人。黑客攻擊主要手段有:竊取口令、植入非法命令過程或程序“蠕蟲”、竊取額外特權(quán)、植入“特洛伊木馬”、強行闖入、清理磁盤等。
1.3技術(shù)問題導致的不安全
廣泛采用TC~IP協(xié)議的Internet,由于TCWIP協(xié)議在制定時,沒有考慮安全因素,因此協(xié)議中存在諸多安全問題,正是由于TCWIP協(xié)議本身存在的欠缺,結(jié)果導致了Internet的不安全。TC~IP協(xié)議具有的互聯(lián)能力強、網(wǎng)絡(luò)技術(shù)獨立、支持多種應用協(xié)議的特點,也不足以彌補網(wǎng)絡(luò)的不安全。
1.4制度不完善導致的不安全
信息安全政策是一個國家或國際組織在一定時期內(nèi)為處理信息自由傳播與有限利用的矛盾而制定的一系列行政規(guī)范的總和,它以國家意志為后盾,以行政干預為手段,以政府行為為標志,對一定范圍內(nèi)的信息安全管理具有宏觀導向作用,是網(wǎng)絡(luò)信息安全的行政保障。
2安全防范技術(shù)
2.1訪問控制技術(shù)
訪問控制用來識別并驗證用戶,同時將用戶限制于已授權(quán)的活動和資源。網(wǎng)絡(luò)的訪問控制可以從以下幾個方面來考慮規(guī)劃:口令識別、網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限和網(wǎng)絡(luò)安全監(jiān)視等。口令識別是網(wǎng)絡(luò)攻擊的常用于段。口令受到攻擊的途徑有在輸入口令時被偷聽、被口令破解程序破解、被網(wǎng)絡(luò)分析儀器或其他工具竊聽、誤入Login的特洛伊木馬陷進和使口令被竊取等。因此口令安全應遵循以下原則:采用不易猜測、無規(guī)律的口令,字符數(shù)不能少于6個;不同的系統(tǒng)采用不同的口令;定期更換口令,最長不超過半年;采用加密的方式保存和傳輸口令;對每次的登錄失敗作記錄并認真查找原因;系統(tǒng)管理員經(jīng)常檢查系統(tǒng)的登錄文件及登錄日志。
2.2數(shù)據(jù)加密
數(shù)據(jù)加密是計算機網(wǎng)絡(luò)安全很重要的一個部分。由于Internet本身的不安全性,為了確保安全,不僅要對口令進行加密,也要對網(wǎng)上傳輸?shù)奈募M行加密。人們采用了數(shù)字簽名這樣的加密技術(shù),同時也提供了基于加密的身份認證技術(shù)。事實上電子商務成為可能,數(shù)據(jù)加密功不可沒。我們可以把數(shù)據(jù)加密技術(shù)分為3類,即對稱型加密、不對稱型加密和不可逆加密。對稱型加密使用單個密鑰對數(shù)據(jù)進行加密或解密,其主要優(yōu)點是加密效率高、計算量小。
但由于密鑰管理困難、使用成本較高、安全性能難以保證。在計算機網(wǎng)絡(luò)系統(tǒng)中廣泛使用的DES算法,是這類算法的主要代表。所謂的不對稱型加密算法,也可以叫做公開密鑰算法,其主要優(yōu)點在于有公用密鑰和私有密鑰這兩個密碼,完成加密和解密的全過程,需要兩者搭配使用。其在分布式系統(tǒng)中的數(shù)據(jù)加密中使用很有效,而在Internet中運用廣泛。其中公用密鑰在網(wǎng)上公布,為數(shù)據(jù)發(fā)送方對數(shù)據(jù)加密時使用,但是解密的相應私有密鑰,必須要由數(shù)據(jù)的接收方進行嚴格保管。不對稱型加密的也可以叫做“數(shù)字簽名”(digital signature),也就是說數(shù)據(jù)源使用其私有密鑰對與數(shù)據(jù)內(nèi)容有關(guān)的變量進行加密,而數(shù)據(jù)接收方則用相應的公用密鑰解讀“數(shù)字簽名”。
2.3防火墻技術(shù)
防火墻是位于內(nèi)部網(wǎng)或Web站點與因特網(wǎng)之間的一個路由器或一臺計算機,又稱為堡壘主機。其目的如同一個安全門,為門內(nèi)的部門提供安全,控制那些可被允許出入該受保護環(huán)境的人或物。就像工作在門外的安全衛(wèi)士,控制并檢查站點的訪問者。歸納起來,防火墻的功能有:訪問控制,授權(quán)認證,內(nèi)容安全(包括病毒掃描、URI。掃描、HTTP過濾),加密,路由器安全管理,地址翻譯,均衡負載,日志記賬、審計報警。防火墻技術(shù)一般分為以下幾類:
①基于IP包過濾的堡壘主機防火墻是在網(wǎng)絡(luò)層實現(xiàn)的防火墻技術(shù)。IP過濾路由器根據(jù)包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等包頭信息判斷是否允許包通過。這種技術(shù)的優(yōu)點是低負載、高通過率、對用戶透明,但包過濾技術(shù)的弱點是不能在用戶端進行過濾,如不能識別不同的用戶和防止IP地址被盜用。
②服務器(Proxy Server)防火墻能夠提供在應用級的網(wǎng)絡(luò)安全訪問控制。防火墻代替受保護網(wǎng)絡(luò)的主機向外部網(wǎng)絡(luò)發(fā)送服務請求,并將外部服務請求響應的結(jié)果返回給受保護網(wǎng)絡(luò)的主機。這種技術(shù)的優(yōu)點是不允許外部主機直接訪問內(nèi)部主機,支持多種用戶認證方案,可以分析數(shù)據(jù)包內(nèi)部的應用命令和提供詳細的審計記錄,缺點是速度比包過濾慢,對用戶不透明,與特定應用協(xié)議相關(guān)聯(lián),并不能支持所有的網(wǎng)絡(luò)協(xié)議。
2.4入侵檢測技術(shù)
作為近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),入侵檢測技術(shù)的主要作用是提供實時的入侵檢測,以及相應的防護手段,比如說記錄相關(guān)的證據(jù),以便用于跟蹤和恢復、斷開網(wǎng)絡(luò)的連接等。它能夠發(fā)現(xiàn)危險攻擊的特征,進而探測出攻擊行為并發(fā)出警報,并采取保護措施。入侵檢測技術(shù)一方面可以應付來自內(nèi)部網(wǎng)絡(luò)的攻擊,同時,也能夠應對外部黑客的入侵。入侵檢測系統(tǒng)可分為兩種,即基于主機和基于網(wǎng)絡(luò)。基于主機的入侵檢測系統(tǒng),主要是用于保護關(guān)鍵應用的服務器、實時監(jiān)視可疑的連接等,同時還需要提供對典型應用的監(jiān)視,例如Web服務器應用。
隨著Internet的發(fā)展和網(wǎng)絡(luò)應用的普及,網(wǎng)絡(luò)安全以不僅僅是一個技術(shù)問題,而且是一個威脅到社會發(fā)展的問題。因此除了應大力發(fā)展網(wǎng)絡(luò)與信息安全防范技術(shù),還必須加快網(wǎng)絡(luò)與信息安全法律的制定,通過管理、法律的手段保證網(wǎng)絡(luò)與信息系統(tǒng)安全。只有這樣,網(wǎng)絡(luò)和信息系統(tǒng)才會真正安全。
2.5簽名、認證與完整性保護
數(shù)字簽名(Digital Signature)是手寫簽名的電子模擬,是通過電子信息計算處理產(chǎn)生的一段特殊字符串消息,該消息具有與手寫簽名一樣的特點,是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的,可用于身份認證和數(shù)據(jù)完整性控制。認證(Authentication)就是一個實體向另一個實體證明其所具有的某種特性的過程。在認證過程中,要用到兩種基本安全技術(shù),即標識技術(shù)和鑒別技術(shù)。常用的鑒別信息主要有:所知道的秘密,如口令、密鑰等;所擁有的實物,如鑰匙、徽標、IC卡等;生物特征信息,如指紋、聲音、視網(wǎng)膜等;習慣動作,如筆跡等;上下文信息,就是認證實體所處的環(huán)境信息、地理位置、時間等,如IP地址等。
歸納起來,認證的主要用途有三方面:消息接收者驗證消息的合法性、真實性、完整性;消息發(fā)送者不能否認所發(fā)消息;任何人不能偽造合法消息。所謂完整性保護,是指保證數(shù)據(jù)在存儲或傳輸過程中不被非法修改、破壞或丟失,主要手段是報文摘要技術(shù),即輸入不定長數(shù)據(jù),經(jīng)過雜湊函數(shù),通過各種變換,輸出定長的摘要。
3結(jié)語
網(wǎng)絡(luò)信息給人們的生活帶來了極大的便利,但于此同時,也可能會出現(xiàn)大量的安全問題,為了保證用戶的信息安全,信息安全部門需要從信息網(wǎng)絡(luò)出現(xiàn)的問題著手,制定合理有效的安全防范措施,保證網(wǎng)絡(luò)信息的安全。
參考文獻:
[1] 謝振剛.如何建立安全的計算機網(wǎng)絡(luò)系統(tǒng)[J].黑龍江科技 信息,2011,(8).
在金融業(yè)信息化程度不斷提升的現(xiàn)代社會,個人金融信息安全與財產(chǎn)安全的關(guān)聯(lián)度日益提升。作為個人金融信息最主要的收集和使用者以及公民財產(chǎn)重要的貯藏和代管者,金融機構(gòu)有責任和義務成為保護個人金融信息安全的“排頭兵”。若是缺乏有效的法律規(guī)制難免會出現(xiàn)個人金融信息被誤用、濫用的情形,損害信息主體的利益。近年來頻頻發(fā)生個人金融信息泄漏事件,讓公眾震驚和憂慮,個人金融信息保護工作亟待加強。
一、個人金融信息保護概述
(一)個人金融信息的內(nèi)涵和外延
個人金融信息是指與公民個人開展金融活動相關(guān),在借貸交易、監(jiān)管、征信等活動中產(chǎn)生、采集的公民個人身份信息、金融交易信息以及衍生信息。一般應包括:1、個人身份信息,如個人姓名、身份證件種類和號碼等;2、個人財產(chǎn)信息,如個人收入狀況、不動產(chǎn)狀況等;3、個人賬戶信息,如賬號、開戶時間、開戶行等;4、個人信用信息,如信用卡還款情況、貸款償還情況等;5、個人金融交易信息,如銀行業(yè)金融機構(gòu)在支付結(jié)算、理財、保險箱等中間業(yè)務過程中獲取、保存、留存的個人信息;6、衍生信息,如個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息;7、個人其他信息。
(二)隱私權(quán)和個人金融信息
1890 年,美國學者沃倫和布蘭代斯發(fā)表了《論隱私權(quán)》一文,標志著隱私權(quán)概念的產(chǎn)生,自此隱私權(quán)逐漸走入各國立法的視野。美國最高法院將隱私權(quán)劃分為三類:私事決定隱私權(quán)、身體隱私權(quán)和信息隱私權(quán)。信息隱私權(quán)是個人對自身可識別信息的收集、披露和使用的控制權(quán)。
個人金融信息作為個人信息的重要組成部分,與個人隱私有非常密切的聯(lián)系。一方面,個人金融信息往往具有私密性,另一方面,侵害個人金融信息的行為一般表現(xiàn)為非法披露個人金融信息資料。然而,保護隱私權(quán)的主旨在于保護權(quán)利人免受外界的非法干擾,維護個人私密的空間,具有一定的被動性。個人金融信息的保護除了不應被他人非法披露之外,還包括信息主體對個人金融信息的控制權(quán)。同時,個人金融信息也不僅僅是私密的信息,部分個人金融信息資料因為涉及公共利益必須在一定范圍內(nèi)公開。 對于侵害個人金融信息的救濟,除了精神損害賠償之外,還應當包含財產(chǎn)損失賠償。可見,雖然隱私權(quán)和個人金融信息具有交叉關(guān)系,但是二者無論是從權(quán)利內(nèi)容上還是權(quán)利救濟途徑上看都有一定區(qū)別。
(三)個人金融信息保護的必要性
1.保護個人金融信息是對個人隱私權(quán)的尊重
隱私權(quán)是人的自然權(quán)利,它使人成為獨立的個體,獲得獨立的人格,自由支配自己的生活,其重要性不言而喻。對建立在隱私權(quán)基礎(chǔ)上的個人金融信息權(quán)的保護也是對其根基隱私權(quán)的保障。個人金融信息中的許多信息是不愿被公開的私人隱秘領(lǐng)域或者是期望排除他人干涉的領(lǐng)域。對于這些信息的侵犯不僅會使個人的財產(chǎn)蒙受損失,而且會使個人的精神受到打擊。
2. 保護個人金融信息是信息分享的前提
金融機構(gòu)通過獲取大量個人金融信息,并且對其進行開發(fā)利用,能夠產(chǎn)生可觀的經(jīng)濟價值。但對個人金融信息的分享是以個人金融信息獲得充分保護為前提的。如果一個國家的個人金融信息保護處于無序、混亂的狀態(tài),個人將會對金融機構(gòu)和當局失去信任,從而不愿意提供這些信息,個人金融信息分享也就成為空談。
3.保護個人金融信息是國家金融和信息安全的題中之意
個人金融信息保護關(guān)系到國家金融和信息體系的穩(wěn)定和安全,個人金融信息的泄露將造成金融系統(tǒng)的混亂,破壞金融系統(tǒng)的穩(wěn)定性和安全性。我國網(wǎng)絡(luò)購物用戶規(guī)模占網(wǎng)民的41.6%,遠低于發(fā)達國家水平,一大原因就是我國網(wǎng)民對通過網(wǎng)絡(luò)提供個人金融數(shù)據(jù)的擔憂,主要體現(xiàn)在擔心被詐騙、信息被泄露或盜取以及個人信息被非法利用。目前,我國金融機構(gòu)已出現(xiàn)個人金融信息泄露的跡象,而美國信用卡泄露事件更足以讓我國提高對個人金融信息保護的重視程度,在該事件中有 8660 名中國客戶受到牽連。
二、主要國家和地區(qū)個人金融信息保護制度概述及比較
(一)國際上個人金融信息保護的法律制度比較
1.美國
美國在對個人信息保護總體上采取自律模式,主要通過行業(yè)性自律規(guī)范對個人信息進行保護,而在醫(yī)療、金融等領(lǐng)域則通過制定特別法對個人信息予以保護。美國的個人金融信息保護具有以下特點:
(1)實行區(qū)別行業(yè)保護。對于銀行業(yè)金融信息保護依據(jù)的主要是聯(lián)邦法律,對于保險業(yè)的金融信息保護則依據(jù)各州自己制定的法律。在證券業(yè)方面,以聯(lián)邦監(jiān)管機構(gòu)制定的規(guī)則為主,以行業(yè)自律為輔。主要法律依據(jù)有:1966 年《信息公開法》、1971年《公平信用報告法》、1974 年《隱私權(quán)法》、1978 年《金融隱私權(quán)法》、1999年的《金融服務現(xiàn)代化法》、2003 年《公平正確信用交易法》和2010 年《多德―弗蘭克法案》等。
(2)確立了權(quán)利協(xié)調(diào)和公益優(yōu)先原則。如果金融機構(gòu)嚴格執(zhí)行保密義務,不允許向外披露,很可能會放縱違法犯罪行為的發(fā)生,因此有必要對個人金融信息權(quán)利加以適當?shù)南拗啤S纱耍绹_立了協(xié)調(diào)和公益優(yōu)先的原則。當一項消費者信息涉及公共利益時,法律規(guī)定國家有權(quán)力要求金融機構(gòu)向其披露消費者信息。但同時,這種權(quán)力的行使必須限制在一定范圍內(nèi),由此確立了政府、客戶、金融機構(gòu)、法院四方主體共同構(gòu)成的金融信息平衡關(guān)系。
(3)特別重視行業(yè)自律的管理模式。作為以市場為導向的國家,美國特別重視運用行業(yè)自律的模式管理金融領(lǐng)域。除個別領(lǐng)域外,金融行業(yè)協(xié)會制定的自律規(guī)范成為金融機構(gòu)保護個人金融信息的重要基礎(chǔ)性依據(jù)。
2.歐盟
歐盟則并不區(qū)分領(lǐng)域,采取統(tǒng)一保護的模式,對各類數(shù)據(jù)實行同一水平的保護。1995 年歐盟通過了《關(guān)于個人資料處理及自由流通個人保護指令》,該指令一出臺即成為了歐盟最重要的個人信息保護法律,其為所有行業(yè)的個人信息保護提供了統(tǒng)一的標準,該指令主要規(guī)定以下內(nèi)容:
(1)保護的數(shù)據(jù)類型。指令對保護的數(shù)據(jù)類型規(guī)定非常廣泛,任何與一個被證實的或可以證實的自然人有關(guān)的信息均納入保護的類型中。
(2)信息主體的主要權(quán)利。包括:數(shù)據(jù)主體對個人信息的存取權(quán)、獲得信息權(quán)和拒絕權(quán)。數(shù)據(jù)控制者必須向數(shù)據(jù)主體提供身份、數(shù)據(jù)處理目的等信息。數(shù)據(jù)主體有權(quán)隨時拒絕關(guān)于本人的數(shù)據(jù)處理,有權(quán)拒絕為直接營銷目的而進行的處理,或者在個人數(shù)據(jù)被使用前有權(quán)知悉。
(3)信息處理的合法性基礎(chǔ)。指令規(guī)定在以下情形下可處理個人信息:一是數(shù)據(jù)主體明確同意。二是為履行約束數(shù)據(jù)控制者的義務有必要處理時。三是當涉及稅收、反洗錢等公共利益時。
3.日本
日本主要是通過法律與自律規(guī)范的緊密結(jié)合來對個人金融信息進行保護。
(1)建立了相對完善的保護法律體系。自1987 年起,日本相關(guān)機構(gòu)先后制定了《辦理關(guān)于金融機構(gòu)保護個人資訊指南》、《關(guān)于民間部門保護個人信息指導方針》、《個人信息保護法》、《金融領(lǐng)域個人信息保護方針》與《金融領(lǐng)域個人信息保護方針的安全管理措施實務指南》等法律文件,是日本個人金融信息保護的重要依據(jù)。
(2)依靠法律規(guī)范和自律規(guī)則做好保護工作。主要是通過成文法律與行業(yè)性自律規(guī)則建立對個人金融信息保護的制度體系。日本全國銀行協(xié)會參照監(jiān)管部門的個人資料保護指南,制定了行業(yè)內(nèi)的自律性規(guī)則,用以指導金融機構(gòu)做好個人信息保護工作。
(二)國際個人金融信息保護法律制度的評述
綜觀各國對個人信息的保護制度,具有以下特點:
1.個人金融信息保護皆有法可依,制度相對完善。美歐日等發(fā)達國家或地區(qū)大都制定了包括個人金融信息在內(nèi)的保護法律規(guī)范,法律體系相對完善,在保護個人信息安全的理念上具有一致性。
2.基于法律文化差異等原因,個人金融信息保護的模式選擇不盡相同。美國是判例法國家,金融監(jiān)管體制不同于其他國家和地區(qū),采取銀行、證券和保險行業(yè)分別保護的模式。歐盟作為國家的聯(lián)盟性機構(gòu),考慮各國的不同情況,只能制定涵蓋范圍廣泛的保護規(guī)定,因此,采取了全面性保護模式。
3.均規(guī)定了信息的來源渠道和收集手段合法。金融機構(gòu)首次獲得信息必須基于建立業(yè)務關(guān)系的初次契約中,契約的生效也就包含了消費者同意或授權(quán)的意思表示。在信息的收集上,必須堅持“最少必需”的原則。在信息流出金融機構(gòu)時,區(qū)別不同的信息類型,決定是否需要獲得消費者的明確意思授權(quán)。
4.均規(guī)定了金融信息保護的例外內(nèi)容。為合理平衡個人金融信息保護和信息披露之間的關(guān)系,保證金融業(yè)務的正常開展,在規(guī)定金融機構(gòu)保密義務和客戶權(quán)利的同時,一些例外規(guī)定應運而生。這些例外情況逐漸發(fā)展并滲透在以后的有關(guān)金融信息保護的法律中,對于解決金融信息權(quán)益保護與其他相關(guān)規(guī)定的沖突起到了一定的平衡作用。
三、我國個人金融信息保護立法及監(jiān)管情況
(一)現(xiàn)行法律中關(guān)于個人金融信息保護的規(guī)定
目前,我國個人金融信息保護的制度尚不完善,對個人金融信息的保護主要體現(xiàn)在以下法律法規(guī)和規(guī)范性文件中。
1.法律層面。我國《民法通則》、《刑法》和《商業(yè)銀行法》有部分條款直接或間接涉及個人信息的保護。《民法通則》第99-101條分別對公民的姓名權(quán)、肖像權(quán)和名譽權(quán)作出保護規(guī)定。《刑法修正案(七)》規(guī)定了出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名。《商業(yè)銀行法》第二十九條規(guī)定了商業(yè)銀行應當遵循為存款人保密的原則、有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃個人儲蓄存款(但法律另有規(guī)定的除外)。
2.行政法規(guī)層面。1992年的《儲蓄管理條例》(國務院令第107號)第五條規(guī)定“儲蓄機構(gòu)辦理儲蓄業(yè)務,必須遵循……為儲戶保密的原則”。2000 年的《個人存款賬戶實名制規(guī)定》(國務院令第285號)第八條也規(guī)定了金融機構(gòu)為儲戶保密的義務。2013年3月15日起施行的《征信業(yè)管理條例》(國務院令第631號)是我國個人金融信息保護工作上的一個里程碑,條例共47個條款,有將近一半直接涉及個人金融信息保護。其中關(guān)于個人金融信息保護的主要制度設(shè)計包括:盡可能地擴大履行個人金融信息保護職責的機構(gòu)范圍、提高征信機構(gòu)的準入門檻、規(guī)范信息的采集和使用、保障信息主體的知情權(quán)、設(shè)立個人信息糾錯機制、嚴格法律責任等。
3.部門規(guī)章層面。人民銀行、銀監(jiān)會等在其部門規(guī)章中針對電子銀行、反洗錢及信用卡業(yè)務等方面對銀行客戶個人信息的保護作出了相關(guān)規(guī)定。如中國人民銀行2005 年制定了《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》(中國人民銀行令〔2005〕第3號),對個人信用信息采集、整理、保存、查詢、異議處理、用戶管理、安全管理等方面進行了規(guī)范。其中第十三條要求商業(yè)銀行獲取個人信用信息必須取得當事人的同意,使其享有知情權(quán)。此外,罰則部分對征信機關(guān)、商業(yè)銀行違反保護規(guī)定,泄露個人信用信息行為制定了相應的處罰措施。該暫行辦法是我國頒布的第一個專門針對個人信用信息保護的規(guī)章。《電子銀行業(yè)務管理辦法》(銀監(jiān)會令2006年第5號)第五十二條規(guī)定:“金融機構(gòu)應采取適當措施,保證電子銀行業(yè)務符合相關(guān)法律法規(guī)對客戶信息和隱私保護的規(guī)定”。人民銀行、銀監(jiān)會、證監(jiān)會和保監(jiān)會聯(lián)合頒布的《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》(中國人民銀行令〔2007〕第2號)第二十八條規(guī)定:“金融機構(gòu)應采取必要管理措施和技術(shù)措施,防止客戶身份資料和交易記錄的缺失、損毀,防止泄漏客戶身份信息和交易信息”。《商業(yè)銀行信用卡業(yè)務監(jiān)督管理辦法》(銀監(jiān)會令2011年第2號)第三條規(guī)定:“商業(yè)銀行經(jīng)營信用卡業(yè)務,應當依法保護客戶合法權(quán)益和相關(guān)信息安全。未經(jīng)客戶授權(quán),不得將相關(guān)信息用于本行信用卡業(yè)務以外的其他用途”。
4.規(guī)范性文件層面。人民銀行《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(銀發(fā)〔2011〕17號)第2條規(guī)定:“銀行業(yè)金融機構(gòu)在收集、保存、使用、對外提供個人金融信息時,應當嚴格遵守法律規(guī)定,采取有效措施加強對個人金融信息保護,確保信息安全,防止信息泄露和濫用”。
(二)個人金融信息保護現(xiàn)狀分析
目前,我國對個人金融信息的保護已在相關(guān)立法上有所體現(xiàn),但也應該看到,與其它國家或地區(qū)相比,我國在個人金融信息保護方面仍然存在較大的缺陷,主要表現(xiàn)在以下幾個方面:
1.法律制度不完善
一是法律體系不完備。目前對個人信息保護的民事法律依據(jù)主要是《民法通則》有關(guān)個人姓名權(quán)、肖像權(quán)和名譽權(quán)的規(guī)定,刑事法律依據(jù)主要是刑法修正案(七)有關(guān)出售或非法提供、獲取公民個人信息犯罪的規(guī)定,無法規(guī)制那些侵犯個人信息但尚未構(gòu)成犯罪的行為,信息主體的權(quán)利得不到全面確認和保護。各類經(jīng)濟主體收集、保存、交換個人信息等所應遵循的基本原則、程序和制度也得不到統(tǒng)一的規(guī)范。二是相關(guān)規(guī)定較為抽象、零散。現(xiàn)行金融法律,如《商業(yè)銀行法》、《證券法》、《保險法》等僅對金融機構(gòu)保密義務進行原則性規(guī)定,導致金融機構(gòu)難以執(zhí)行。《個人存款賬戶實名制規(guī)定》、《銀行卡業(yè)務管理辦法》等金融法規(guī)規(guī)章僅對某類個人金融信息,或者某個金融業(yè)務領(lǐng)域或環(huán)節(jié)作了保密規(guī)定,無法覆蓋全部個人金融信息。三是相關(guān)規(guī)定效力層級低。中國人民銀行出臺了《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》、《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》,《辦法》和《通知》對個人金融信息收集、保存、使用等做了相應規(guī)定,但前者屬效力層級較低的部門規(guī)章,后者為規(guī)范性文件,不屬于廣義法律的范疇。四是信息主體享有的權(quán)利不明,救濟手段有限。信息主體對其個人金融信息應享有知情權(quán)、異議權(quán)、索賠權(quán)等權(quán)利,而這在我國現(xiàn)行法律體系中未得到明確。從司法實踐看,個人金融信息遭受非法侵犯后,受害人多數(shù)獲得的僅僅是停止侵害、消除影響等名譽補償方式,經(jīng)濟和精神賠償請求基本得不到司法部門支持。尤其是因個人金融信息泄露導致詐騙、資金被盜等,除犯罪分子承擔刑事責任以外,受害人難以獲得經(jīng)濟賠償。
2.立法理念有偏差
從我國個人金融信息保護的相關(guān)規(guī)定來看,個人金融信息保護的法則與保護例外的規(guī)則對比較為失衡。對個人金融信息保護的規(guī)定主要是原則性的內(nèi)容,比較抽象,操作性不強。而與此相反,對個人金融信息保護例外性的規(guī)定無論是從實體權(quán)利與義務的安排上,還是從對個人金融信息披露的程序上都比較具體,更具有操作性。這表明我國在個人金融信息保護立法上存在“重信息披露、輕信息保護”的價值取向,立法理念有一定的偏差。
3.監(jiān)管效果不明顯
《中國人民銀行法》、《商業(yè)銀行法》、《銀行業(yè)監(jiān)督管理法》等法律法規(guī)沒有明確規(guī)定個人金融信息保護工作的監(jiān)督管理部門。由于缺乏基礎(chǔ)性制度支持,金融監(jiān)管部門執(zhí)法時,對違法行為的認定和處理存在較大困難,能夠用來處理違法金融機構(gòu)的手段少之又少,只能運用通報、約見談話等懲戒性不強的手段,不能對違法機構(gòu)產(chǎn)生威懾力。
4.保護意識待強化
一方面,金融機構(gòu)對個人信息安全保護認識不足。缺乏個人信息安全管理制度,對客戶個人信息保密責任不明晰,沒有對信息實行有效的安全等級分類管理;對制度的執(zhí)行監(jiān)督檢查、評估不夠,而問責更少,對掌握重要信息的離崗人員的保密責任沒有嚴格的約束措施。另一方面,公眾對個人信息保護雖有一定的認識,但對個人信息的重要性及個人信息保護制度的相關(guān)細節(jié)卻普遍缺乏深入的了解,對個人信息保護的意識并不高,風險防范意識較為薄弱。
四、加強我國個人金融信息保護的建議
(一)立法理念
1.保護模式的選擇
美國采取分散立法模式,歐盟采取綜合性的立法模式。兩種立法模式均有其深刻的歷史和社會背景。分散立法模式使得美國對個人信息的保護顯得錯綜復雜。不同類的信息由不同的法律管轄,不同機構(gòu)涉及個人信息的行為也由不同法律管轄,這種“支離破碎”的模式要較歐盟的“綜合”模式在法律保護的充分性上相對弱一些。歐盟模式是對所有行業(yè)實行統(tǒng)一標準,并在歐盟內(nèi)部確立了個人信息保護的最低標準,該模式有利于個人信息得到全面的保護。但同時,歐盟的全面立法也可能阻礙個人信息的正常流通。
鑒于兩種制度都各有其利弊,我國比較好的選擇是采用統(tǒng)一立法與行業(yè)自律結(jié)合的保護模式,制定個人信息保護法作為對我國個人信息保護的基本法,并結(jié)合金融行業(yè)的行業(yè)自律,為個人金融信息的保護構(gòu)建出一個基本的框架。同時,修正我國現(xiàn)行法律已有的相關(guān)條款,對銀行保密做出明確的規(guī)定,并根據(jù)經(jīng)濟、社會發(fā)展之需要而在金融領(lǐng)域制定專門的法律法規(guī)來完善對個人金融信息的保護。
2.隱私權(quán)保護和信息公開的協(xié)調(diào)
為平衡對個人金融信息的保護與信息公開之間的關(guān)系,協(xié)調(diào)其相互沖突的價值,需要遵循以下原則:
(1)公共利益優(yōu)先原則
這項原則要求凡是與社會政治和公共利益有關(guān)的信息,政府享有知情權(quán),有權(quán)將此信息公開。個人金融信息利益與公共利益發(fā)生沖突時,個人金融信息利益應讓位于公共利益,以確保公共利益的優(yōu)先實現(xiàn)。
(2)權(quán)利協(xié)調(diào)原則
這項原則要求對具體情況進行具體分析,達到權(quán)利的協(xié)調(diào)與平衡。在社會生活中,金融信息權(quán)和政府知情權(quán)都十分重要,對任何一種權(quán)利都不能完全拋棄。因此,權(quán)利協(xié)調(diào)原則就是要求一種權(quán)利做出讓步以便使另一種權(quán)利得到基本滿足。
(3)最大限度保護人格尊嚴原則
在一些特殊情況下,金融隱私權(quán)必須讓位于政府知情權(quán),但是政府在利用個人信息時必須最大限度的保護公民的人格尊嚴。必須對行政機關(guān)收集和利用個人信息做出限定,賦予信息主體知情權(quán)和救濟權(quán),確立政府、個人、金融機構(gòu)、法院四方主體共同構(gòu)成的金融信息獲知與保密的平衡關(guān)系。
(4)信息流通原則
高度發(fā)達的信用體系在防范金融風險,提高市場資源配置效率等方面發(fā)揮著積極作用。信用從封閉走向公開,這是現(xiàn)代商業(yè)社會發(fā)展的需要。信息時代對個人金融信息保護的原則是力求獲得兩者的平衡,即既要保護個人金融信息,又不能使對個人金融信息保護成為信息自由流通的障礙。個人信息立法應該兼顧個人權(quán)利的保護與信息自由流通兩個目標。
(二)構(gòu)建我國個人金融信息保護制度的具體建議
1.明確個人金融信息的法律地位
構(gòu)建個人金融信息保護制度,首先必須明確個人金融信息的法律地位。加快個人信息保護立法步伐,條件成熟時,制定專門的《個人信息保護法》;盡快修改《中國人民銀行法》、《商業(yè)銀行法》、《證券法》、《保險法》等法律,明確金融機構(gòu)保護個人金融信息的義務和法律責任;進一步強化金融部門規(guī)章立法建設(shè)。形成以專門法律為核心、其他法律法規(guī)相配合、部門規(guī)章和制度為補充的個人金融信息保護法律體系。
2.明確個人金融信息的主體
個人金融信息主體應當是個人金融信息的所有者,個人金融信息主體對其自身的金融信息享有所有權(quán),能夠占有、使用、收益和處置自己的金融信息。可明確規(guī)定信息主體至少應包括以下權(quán)利:一是知情權(quán),信息主體有權(quán)知曉金融機構(gòu)收集、使用、披露、轉(zhuǎn)移個人金融信息等的目的、范圍;二是選擇權(quán),信息主體可自主選擇是否接受金融機構(gòu)對其個人金融信息的收集、披露等;三是訪問權(quán),有權(quán)查詢其在金融機構(gòu)的個人金融信息及其管理情況;四是異議權(quán),信息主體有權(quán)要求金融機構(gòu)對其個人金融信息進行適當更改、刪除;五是索賠權(quán),信息主體有權(quán)要求其信息免受非法和不當使用的侵害,并在遭受侵害時要求賠償。
3.明確個人金融信息的內(nèi)容
如果將金融信息視為個人產(chǎn)權(quán)的話,權(quán)利的行使必然涉及產(chǎn)權(quán)界定,而明確金融信息保護的范圍實質(zhì)上就是界定產(chǎn)權(quán)的邊界。因此,要科學劃定個人金融信息的包含內(nèi)容,建議以列舉加兜底的方式,明確個人金融信息保護的范圍,如個人身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息、衍生信息,以及金融機構(gòu)在與個人建立業(yè)務關(guān)系過程中獲取、保存的其他個人信息。
4.明確個人金融信息保護的例外情形
在強調(diào)對個人金融信息保護的同時,出于對國家利益、社會公共利益等因素的考慮,也應明確對個人金融信息保護的例外情形――信息披露。例外情形可以包括以下幾方面的內(nèi)容:源于法律的規(guī)定而進行的信息公開、出于公共利益的考慮而對個人金融信息的披露、基于征信的需要而進行的信息交流、金融機構(gòu)基于自身的利益而進行的合理披露以及經(jīng)客戶同意而進行的信息公開等。
5.明確個人金融信息保護的監(jiān)管機關(guān)
可設(shè)立獨立的機構(gòu)或指定機構(gòu)負責個人金融信息保護的監(jiān)管,明確監(jiān)管職責。監(jiān)管機構(gòu)負責建立個人金融信息保護的統(tǒng)一規(guī)范和標準,督促金融機構(gòu)加強信息安全管理,強化個人信息數(shù)據(jù)庫的管理,防止信息被濫用等。為確保監(jiān)管機構(gòu)更好第履行個人金融信息保護職責,法律應賦予監(jiān)管機構(gòu)必要的監(jiān)管手段,對違規(guī)泄漏個人金融信息,造成個人損失或引發(fā)不良社會影響的,可實施行政處罰或采取其他監(jiān)管措施。
6.明確個人金融信息保護的救濟機制
我國現(xiàn)行法律制度對個人金融信息侵權(quán)的民事責任缺乏規(guī)定或是規(guī)定得過于抽象,信息主體在權(quán)利受到侵害后不能尋求充分的救濟。我國在制定及修正相關(guān)法律法規(guī)時應對法律責任進行重構(gòu),能夠?qū)γ袷仑熑谓o予更多的關(guān)注,以建立更為科學的個人金融信息保護法律責任體系。我國《民法通則》第一百三十四條規(guī)定了承擔民事責任的方式,包括:(1)停止侵害;(2)排除妨礙;(3)消除危險;(4)返還原物;(5)恢復原狀;(6)消除影響、恢復名譽;(7)賠禮道歉;(8)賠償損失。在侵害個人金融信息所應承擔的民事責任方面,賠償責任是關(guān)注的焦點。個人金融信息侵權(quán)行為侵害的是信息主體于個人金融信息上的一般人格權(quán),對人格權(quán)的侵害將可能造成本人的財產(chǎn)利益損害和人身利益損害。因此,侵害個人金融信息的賠償責任也應包括財產(chǎn)損害賠償和精神損害賠償。
參考文獻:
[1]張磊.個人金融信息保護管理現(xiàn)狀與改進[J]. 中國金融電腦,2012,(2).井慧寶,常秀嬌.個人信息概念的厘定[J].法律適用,2011,(3).
[2]艾瑞咨詢.2011 年中國網(wǎng)絡(luò)購物年度數(shù)據(jù). http:///others//20120113/161491.shtml,2012-01-10.
[3]人民網(wǎng).信用卡泄密波及中國持卡人 四商業(yè)銀行緊急應對. http://.cn/GB/3493444. html,2005-06-24.
[4]王寶剛,張立先,馬運全,荊偉,陳 晨.個人金融信息保護法律問題研究[J].金融理論與實踐,2013,(2).
[5]周學東.關(guān)于完善個人金融信息保護法律體系的思考[N].金融時報.2013-03-18.
[6]陳永.歐盟和美國關(guān)于信息隱私保護的比較研究―兼論“9.11”后隱私立法政策的變化[A].北大國際法與比較法評論[C].2003.
[7]熊遠艷.論個人金融信息的法律保護[D].重慶大學,2008.
[8]齊愛民.制定個人信息保護法的人權(quán)意義與經(jīng)濟功能[J].嘉興學院學報,2007.
【關(guān)鍵詞】金融;消費者權(quán)益保護;思考
金融是現(xiàn)代社會生活的重要組成部分,金融消費者的各項活動與國民經(jīng)濟的快速和可持續(xù)發(fā)展密切相關(guān),與整個經(jīng)濟社會的健康和穩(wěn)定運行緊密關(guān)聯(lián)。隨著我國金融市場改革的逐步深入和現(xiàn)代信息科技的日新月異,金融產(chǎn)品與服務不斷創(chuàng)新,金融消費者活動日益豐富,金融活動覆蓋范圍、參與人員及參與方式均已發(fā)生重大變化。為有效保障金融活動參與者的合法權(quán)益,促進金融市場與服務的規(guī)范化發(fā)展,金融消費者權(quán)益保護工作的重要性日益凸顯。
一、人民銀行實施金融消費者權(quán)益保護的現(xiàn)狀和措施
(一)以制度建設(shè)為根本,規(guī)范對金融活動數(shù)據(jù)的管理和使用
為有效規(guī)范對金融活動數(shù)據(jù)的管理,切實保護個人和企業(yè)金融消費者的合法權(quán)益,人民銀行在征信管理、支付結(jié)算管理、外匯管理、反洗錢管理等業(yè)務處理方面,均對金融消費者的基本信息及金融活動相關(guān)數(shù)據(jù)的管理和使用進行了規(guī)范。以個人征信信息的管理為例,2005年人民銀行出臺了《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》,明確規(guī)定了個人信用信息的報送、整理、查詢使用和安全管理要求,并就個人對信用信息產(chǎn)生置疑時的異議處理及商業(yè)銀行、征信服務中心、人民銀行相關(guān)人員篡改、毀損、泄漏個人信用信息等行為的處罰進行了闡述,對保護金融消費者的個人基本信息和信貸記錄信息的隱私安全發(fā)揮了重要作用。
(二)以信息系統(tǒng)為依托,實現(xiàn)金融活動數(shù)據(jù)的科學、高效管理
隨著人民銀行信息化建設(shè)步伐的加快,各類金融信息管理和服務系統(tǒng)的建成投產(chǎn)為人民銀行實現(xiàn)對金融信息、數(shù)據(jù)的科學、高效管理提供了強有力的保障。近年來,個人信用信息基礎(chǔ)數(shù)據(jù)庫、企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫、人民幣銀行結(jié)算賬戶管理系統(tǒng)、聯(lián)網(wǎng)核查公民身份信息系統(tǒng)、人民幣跨境收付信息管理系統(tǒng)等一系列業(yè)務信息系統(tǒng)的投產(chǎn)運行除了為廣大的金融消費者提供了便捷的金融服務外,也為實現(xiàn)金融消費者金融活動數(shù)據(jù)的有效管理奠定了堅實基礎(chǔ),保證了金融活動數(shù)據(jù)的安全、完整。
(三)以防護設(shè)施為支撐,保障金融信息系統(tǒng)與服務的正常運轉(zhuǎn)
為保障各類金融信息系統(tǒng)的安全和穩(wěn)定運行,人民銀行不斷加強信息安全防護設(shè)施建設(shè),通過數(shù)據(jù)中心機房安防建設(shè)、網(wǎng)絡(luò)與運維監(jiān)控系統(tǒng)建設(shè)、異地數(shù)據(jù)備份中心建設(shè)等多種舉措持續(xù)增強信息與數(shù)據(jù)的安全防護能力。隨著我國金融市場改革的不斷深入,金融業(yè)信息交互日益頻繁,人民銀行信息系統(tǒng)的接入范圍不斷跨大,面臨的安全風險也隨之增大。為做好人民銀行信息系統(tǒng)接入方一端的信息安全防范工作,人民銀行嚴格要求各接入機構(gòu)必須具備相應的入網(wǎng)技術(shù)條件和管理要求,經(jīng)核準后方可接入。
(四)以行政管理為手段,對金融消費者權(quán)益實施綜合保護
人民銀行作為我國的中央銀行,對金融機構(gòu)具有支付結(jié)算監(jiān)督檢查、銀行卡管理、征信管理、外匯管理、組織協(xié)調(diào)反洗錢工作等多項行政職能。近年來,人民銀行積極組織和開展“兩綜合,兩管理”工作,不斷加強對金融機構(gòu)相關(guān)業(yè)務的監(jiān)督檢查力度,督促金融機構(gòu)嚴格執(zhí)行各項規(guī)章制度并逐步完善內(nèi)部業(yè)務操作規(guī)程,同時積極組織各類金融消費者權(quán)益保護宣傳活動,對保護金融消費者的各項合法權(quán)益發(fā)揮了積極作用。2012年,人民銀行總行層面開始設(shè)立金融消費者權(quán)益保護工作的專門部門,在央行職責范圍內(nèi)穩(wěn)步推進金融消費者權(quán)益保護工作。
二、金融消費者權(quán)益保護工作面臨的困難與存在之不足
(一)金融消費者權(quán)益保護工作制度、工作機構(gòu)不健全
目前,我國尚未建立專門針對金融消費者權(quán)益保護的相關(guān)法律法規(guī),金融消費者權(quán)益保護的監(jiān)管職能尚未明確,專業(yè)工作制度和機構(gòu)不健全,導致有關(guān)部門和金融消費者在處理金融糾紛時缺乏明確依據(jù)和指導,不利于保護金融消費者的合法權(quán)益和建設(shè)和諧穩(wěn)定的現(xiàn)代經(jīng)濟金融秩序。
(二)金融消費者投訴渠道不暢、維權(quán)難
我國目前主要由消費者協(xié)會和金融監(jiān)管機構(gòu)對金融消費者的權(quán)益實施保護。然而,由于各金融監(jiān)管機構(gòu)內(nèi)部解決金融消費者投訴和糾紛的相關(guān)機制尚未健全,缺乏受理投訴和維權(quán)申請的專門渠道,導致金融消費者投訴難、維權(quán)難。通常,金融消費者只能通過民事訴訟等其它途徑解決問題,維權(quán)周期長、成本高。
(三)金融消費者權(quán)益保護工作要求高,缺乏專業(yè)工作隊伍
金融消費者權(quán)益保護工作對從業(yè)人員要求高,不僅要精通金融知識,還需要掌握法律、信息科技等專業(yè)知識,只有具備以上素質(zhì)的綜合性人才才能為金融消費者提供權(quán)威、全面的維權(quán)咨詢與服務。目前,從事金融消費者權(quán)益保護工作的專業(yè)人才急缺。
三、加強金融消費者權(quán)益保護工作力度的建議
(一)建立和完善金融消費者權(quán)益保護制度及工作組織
人民銀行作為我國金融行業(yè)的管理部門,應積極會同相關(guān)部門協(xié)調(diào)和推動我國金融消費者權(quán)益保護法律法規(guī)的建立健全工作,明確金融消費者權(quán)益保護工作的管理機構(gòu)和管理職能,并針對各項金融產(chǎn)品和服務不斷完善相應的消費者權(quán)益保護制度,為保障金融消費者的合法權(quán)益奠定制度基礎(chǔ)。同時,應積極推進金融消費者權(quán)益保護工作專業(yè)機構(gòu)的設(shè)立,為金融消費者維權(quán)提供專業(yè)服務。
(二)提供便捷的金融消費者維權(quán)、投訴和受理渠道
各金融監(jiān)管機構(gòu)和金融消費者權(quán)益保護工作專業(yè)機構(gòu)應制定并公布金融糾紛受理和處理流程,暢通金融維權(quán)、投訴渠道,通過熱線電話、手機短信、網(wǎng)絡(luò)平臺等多種方式和途徑為金融消費者提供便捷的專業(yè)維權(quán)咨詢和服務,營造良好的金融消費者維權(quán)秩序。
(三)重視科技風險防控,保障金融消費者信息與財產(chǎn)安全
現(xiàn)代信息科技在促進金融服務創(chuàng)新和優(yōu)化金融管理方面所發(fā)揮的作用愈來愈顯著,重視科技風險防控,對保障現(xiàn)代金融消費者信息與財產(chǎn)安全意義重大。對于新興金融產(chǎn)品與服務,特別是與現(xiàn)代信息網(wǎng)絡(luò)技術(shù)緊密相關(guān)的產(chǎn)品與服務,要配套落實完備的科技風險防范措施,如先進的加密機制、多重認證方式等,確保金融消費者的信息與財產(chǎn)安全。此外,相關(guān)金融產(chǎn)品在投入市場前,應充分做好產(chǎn)品的風險防控論證工作,并配備相應的應急處置措施。
(四)培養(yǎng)金融消費者權(quán)益保護工作專業(yè)人才隊伍
金融消費者權(quán)益保護工作專業(yè)人才隊伍是確保金融消費者權(quán)益保護工作得以正常開展的重要保證,是保障金融消費者合法權(quán)益的中堅力量。金融消費者權(quán)益保護工作專業(yè)隊伍的建設(shè)和培養(yǎng),對推動金融消費者權(quán)益保護事業(yè)的長期、穩(wěn)定和健康發(fā)展至關(guān)重要,對促進和規(guī)范我國金融事業(yè)的改革和發(fā)展意義深遠。
作者簡介:
隨著央行計算機網(wǎng)絡(luò)建設(shè)的不斷深化,數(shù)據(jù)管理不斷集中,特別是大額支付系統(tǒng)的上線、貨幣金銀管理系統(tǒng)數(shù)據(jù)全國集中、賬戶管理系統(tǒng)數(shù)據(jù)集中處理、辦公自動化系統(tǒng)的不斷延伸以及個人征信系統(tǒng)的推廣升級,計算機網(wǎng)絡(luò)運行在基層央行的應用越來越廣泛和重要。計算機廣泛應用的同時,也因其自身的脆弱性而面臨網(wǎng)絡(luò)病毒更嚴重的威脅與攻擊。最近筆者對人行___中支轄區(qū)內(nèi)計算機防病毒工作進行了調(diào)查,發(fā)現(xiàn)了一些不足和隱患,亟需完善和改進。
一、基本情況
___中支所轄16個支行,包括銀監(jiān)分局在內(nèi),接入內(nèi)聯(lián)網(wǎng)的計算機共有712臺。全轄科技工作人員共有21人,其中中支科技科5人,縣支行共16人。各行都成立了以行領(lǐng)導任組長、各科(股)長為成員的計算機安全管理領(lǐng)導小組,分部門設(shè)立了計算機安全管理員,制定了計算機病毒防治管理制度,明確了病毒防治職責,并把計算機病毒防治工作納入工作目標責任制考核之中。計算機安全管理領(lǐng)導小組定期對全行計算機安全管理進行檢查、通報,科技人員定期對全行職工進行安全教育,做到了有組織、有領(lǐng)導、有制度、有措施。
二、存在問題
(一)全員病毒防范意識有待進一步提高。據(jù)隨機抽查,基層行員工對計算機病毒防范意識不強,防病毒知識知之甚少,片面認為自己只是使用者,如果不故意傳播,不會出現(xiàn)安全問題。
(二)操作人員安全防范意識薄弱,缺乏病毒防治相關(guān)知識。由于計算機安全知識培訓只做了表面文章,沒有真正起到應有的效果,即使搞了培訓,也是注重操作系統(tǒng)學習,而忽視安全管理的教育。操作人員外出學習、培訓,只重點學習系統(tǒng)的操作,對計算機病毒安全防范知識知之甚少,大部分使用人員不清楚計算機安全防范工作中應重點做好哪些工作,如調(diào)查中發(fā)現(xiàn),某行為業(yè)務部門配備了一臺計算機,用于網(wǎng)上學習,操作人員盲目刪除了防病毒軟件,出現(xiàn)了感染病毒不能殺除的結(jié)果,人為的“撤防”,造成計算機被病毒攻擊事件,原因就是不懂得計算機防病毒安全知識,盲目使用造成的。還有的操作人員甚至連計算機下方的防病毒系統(tǒng)符號都不認識,更不用說進行查、殺毒和手動打操作系統(tǒng)補丁了。有些業(yè)務部門新配備的計算機不通知科技管理人員,也沒有安裝防病毒軟件,直接接入內(nèi)聯(lián)網(wǎng)。還有的私自卸載了總行統(tǒng)一配置的防病毒軟件,安裝了自認為“方便”的其它防病毒軟件,形成了新的風險點。
(三)科技人員專業(yè)素質(zhì)不能適應計算機病毒防治工作需要。據(jù)調(diào)查,支行的計算機防病毒管理員大都沒有經(jīng)過專業(yè)的系統(tǒng)培訓,沒有取得專業(yè)證書。大多數(shù)管理員對防病毒軟件工作原理不清楚,不了解防病毒軟件配置,有些管理人員認為病毒防治工作只要打開防病毒服務器就萬事大吉,病毒定義碼是否自動升級、更新,各種操作系統(tǒng)補丁應打到哪一級并不清楚。同時,由于沒有經(jīng)過系統(tǒng)、全面培訓,大部分管理員對防病毒服務器日常的監(jiān)測和預警病毒疫情無法實現(xiàn),無法分析出何為高風險事件、產(chǎn)生攻擊事件是由何種病毒傳播產(chǎn)生,更無法提出防病毒系統(tǒng)不能自動清除計算機病毒的解決辦法,無法協(xié)調(diào)和解決本單位計算機病毒疫情高發(fā)期間的病毒防治與應急工作也就不足奇怪。
(四)部門計算機安全管理人員職責不清,科技人員顧此失彼。盡管各行都建立了計算機安全管理組織體系,但由于未明確部門計算機安全管理員和操作人員的職責,本該部門計算機安全員和操作人員做的工作,全部推給了科技人員,使得科技人員工作顧此失彼。同時,大部分支行沒有專職科技人員,身兼多職,工作忙于應付,病毒防治很難落到實處。
(五)硬件設(shè)施投入不足,不能滿足開展防病毒工作的需要。調(diào)查中發(fā)現(xiàn),個別支行防病毒服務器內(nèi)存僅有128M,難以適應服務器日常工作需要。
(六)技術(shù)防范手段滯后,難以起到主動防范的效果。目前人民銀行內(nèi)聯(lián)網(wǎng)系統(tǒng)上安裝的諾頓企業(yè)版防病毒系統(tǒng)(SYMANTEC)和入侵檢測系統(tǒng)(IDS),雖然較好地解決了內(nèi)聯(lián)網(wǎng)防止計算機非法攻擊和病毒入侵的問題,但這些均屬于被動防范措施,并不能在技術(shù)上起到主動阻止病毒在內(nèi)聯(lián)網(wǎng)上傳播的作用。特別是對當前新型病毒,尤其是“沖擊波”、“震蕩波”等網(wǎng)絡(luò)病毒防范效果并不是很理想。其工作原理是按照“自上而下,逐級完成”的升級方式,從總行防病毒網(wǎng)站下載,先完成中支一級防病毒服務器版本升級,然后完成支行防病毒服務器版本升級,再逐一安裝到用戶的客戶端,造成了補丁分發(fā)安裝的嚴重滯后。由于防病毒軟件總是落后于病毒發(fā)作,加之防病毒代碼升級包由開發(fā)商到總行,再經(jīng)過層層下發(fā),造成了基層行防病毒代碼總是要滯后開發(fā)商一周時間,為計算機的安全運行帶來一定影響。這種方法有兩個不足:一是安全更新時間較長,平均1臺計算機按需要半個工作日進行分發(fā)、更新計算。二是手動分發(fā)、更新補丁不全,仍存在一定系統(tǒng)風險。
三、對策建議
(一)健全組織,切實發(fā)揮計算機安全管理領(lǐng)導組的作用。
在當前人民銀行與銀監(jiān)分局共用一個網(wǎng)絡(luò)的情況下,對計算機病毒防治管理要采取“預防為主、防治結(jié)合”的方針,建立的防病毒工作領(lǐng)導組,應在所有使用內(nèi)聯(lián)網(wǎng)的科室(包括銀監(jiān)分局)設(shè)立部門安全員,對人民銀行內(nèi)部科室要求的工作內(nèi)容,也同樣要擴大到銀監(jiān)分局內(nèi),解決計算機病毒防治的“盲區(qū)”,把計算機防病毒工作落到實處,真正實現(xiàn)人人講安全、全員保安全。
(二)完善制度、明確職責。按照“誰使用、誰負責,誰主管、誰負責”的原則,實行計算機病毒防治管理責任制。充分發(fā)揮基層計算機防病毒管理員、安全員和計算機使用人的作用,明確各自責任。防病毒管理員的任務就是負責定期監(jiān)測聯(lián)網(wǎng)計算機病毒定義碼的升級情況、掃描引擎和軟件程序的分發(fā)和更新等日常技術(shù)保障和維護工作,對計算機病毒防治工作監(jiān)督檢查,向上級科技部門報告本單位計算機病毒防治情況,向業(yè)務部門提供技術(shù)支持,負責本單位連接內(nèi)聯(lián)網(wǎng)計算機的登記、監(jiān)督,日常監(jiān)測和預警本單位計算機病毒疫情,對防病毒系統(tǒng)不能自動清
除的計算機病毒,提出解決辦法,并做好相應記錄,指導和協(xié)助部門計算機安全員完成相應的補丁程序安裝工作,并監(jiān)督檢查落實情況;部門計算機安全員負責監(jiān)督檢查本部門防病毒客戶端軟件運行情況,協(xié)助計算機用戶完成補丁安裝工作;計算機用戶的職責就是及時檢查所使用計算機客戶端防病毒軟件運行情況,及時主動使用所安裝的客戶端防病毒軟件,定期全面檢測和清除所使用的計算機客戶端的計算機病毒,及時主動安裝最新補丁程序,定期做好所使用計算機客戶端重要數(shù)據(jù)備份工作。
(三)抓好三個方面教育,全力提高人員素質(zhì)。1、進行法制教育,提高全員“防毒”意識。要將計算機信息安全教育和防病毒知識教育作為法制教育的核心,利用職工大會、宣傳櫥窗、法制圖書、安全保密形勢教育等形式對干部職工進行計算機防病毒知識教育,使大家充分認識到,做好計算機防病毒工作不僅僅是某一個人或者某一個行的事情,而是關(guān)系到整個人民銀行系統(tǒng)網(wǎng)絡(luò)安全的大事情,是關(guān)系到金融安全穩(wěn)定運行的大事,從而提高員工的法律法規(guī)意識,使每個職工都能主動結(jié)合實際情況自覺做好計算機防病毒工作,做到從思想杜絕病毒侵入。2、抓好計算機防病毒基礎(chǔ)知識教育。要采取各種不同的教育方式,對職工進行針對性的培訓。充分利用專題講座、開辦職工夜校和網(wǎng)絡(luò)教學等形式,對職工進行計算機信息安全技術(shù)教育,使職工能熟練安裝和使用一般的安全工具(如自動更新殺毒軟件、安裝系統(tǒng)補丁),了解所操作計算機的配置、薄弱點和風險點,熟悉所操作計算機的風險防范措施及應急計劃。知道預防計算機病毒的基本方法,如不使用與業(yè)務無關(guān)的外來軟盤、光盤或其它外來存儲介質(zhì),不安裝與業(yè)務系統(tǒng)無關(guān)的程序等,在對計算機文件進行拷貝、運行等操作時,必須進行計算機病毒掃描,使日常的行為和操作上形成一道“防火墻”。3、提高計算機防病毒管理人員的專業(yè)素質(zhì)。要著力挖掘現(xiàn)有人才的潛力,強化人才培訓機制,通過安排專業(yè)人員參加專業(yè)技術(shù)培訓,加強信息和技術(shù)交流,從理論和實踐上更新科技人員的知識結(jié)構(gòu),提高技術(shù)水平、動手能力和總結(jié)、分析、解決問題能力。尤其是要學會利用現(xiàn)有防病毒服務器進行日常病毒防范的分析和研究。如通過對病毒日志的分析,發(fā)現(xiàn)轄內(nèi)病毒發(fā)作的特點,進而提出解決的辦法;通過對病毒類型的分析,區(qū)分出哪些屬于文件型病毒,哪些屬于軟盤引導扇區(qū)病毒,哪些屬于內(nèi)存駐留病毒;按照諾頓服務器對病毒操作及結(jié)果分析,得出保留在隔離區(qū)中不操作的有多少次,隔離的多少次,清除的多少次,刪除的多少次等。
一、“訂閱”服務網(wǎng)站的發(fā)展現(xiàn)狀
(一)國外發(fā)展
最早的訂閱服務電子商務網(wǎng)站是一家名為Blacksocks的歐洲網(wǎng)絡(luò)商店,它也是最早為國內(nèi)知曉的訂閱網(wǎng)站;正如它的名字,該網(wǎng)站專為客戶提供普通的男士黑襪子,根據(jù)客戶自身需要,在繳納一年訂金后,定期向客戶寄送襪子。Blacksocks的成功引領(lǐng)了訂閱服務電子商務網(wǎng)站蓬勃發(fā)展。2009年至今,已有為用戶提供日用品、零食、服飾、飲品等各方面的訂閱服務網(wǎng)站。國外的訂閱服務已融入大眾生活。
(二)國內(nèi)發(fā)展在借鑒了國外訂閱服務電子商務網(wǎng)站的成功經(jīng)驗后,名為Myluxbox(我的盒顏悅色)的訂閱網(wǎng)站于2011年7月成立,其主要針對女性化妝品市場,在繳納每月50元的會費后,網(wǎng)站每月會寄送化妝品到家。該網(wǎng)站同普遍的訂閱服務網(wǎng)站類似,有著積分、構(gòu)建會員信息中心等特點,除此之外,它有著其獨特的地方,即推出“禮盒驚喜”。和國外的訂閱網(wǎng)站相比,國內(nèi)市場幾乎還是空白,僅有一家網(wǎng)站;在訂閱內(nèi)容方面,狹窄不全面;在會員數(shù)量方面,這一模式并不為國內(nèi)廣大消費者所知曉,會員人數(shù)較少。
二、“訂閱”服務網(wǎng)站的優(yōu)勢
(一)保障產(chǎn)品質(zhì)量,重塑消費者信任傳統(tǒng)營銷模式的泛濫和市場上產(chǎn)品的良莠不齊,導致了消費者對銷售人員以及對產(chǎn)品的不信任,出現(xiàn)轉(zhuǎn)換行為、抱怨行為、負面口碑傳播行為等。而訂閱服務網(wǎng)站通過獲得會員并為其建立個人信息,取得與用戶間的直接聯(lián)系,隨時掌握用戶的變化,成功得將消費者日益增長的人文精神納入了發(fā)展戰(zhàn)略與產(chǎn)品營銷,打破了同消費者的不信任關(guān)系。另一方面,訂閱網(wǎng)站構(gòu)建了消費者與消費者,消費者與企業(yè)在互聯(lián)網(wǎng)上的互動交流平臺,如可以在twitter、facebook上分享產(chǎn)品信息、使用效果等。網(wǎng)站自身則需保證產(chǎn)品質(zhì)量以獲得口碑,消費者的信任通過網(wǎng)絡(luò)迅速傳播,據(jù)調(diào)查顯示70%的消費者相信網(wǎng)絡(luò)上顧客的觀點[1]。訂閱服務網(wǎng)站成功獲得了消費者對產(chǎn)品的信任。
(二)滿足消費者需要,為其提供便利經(jīng)濟的高速發(fā)展,社會各方面壓力的增大導致消費者閑暇時間減少,這是衍生出各類網(wǎng)上購物的原因之一。訂閱服務網(wǎng)站提供的產(chǎn)品是使用率高,周期性強,并且成本不高的產(chǎn)品,它的產(chǎn)生使消費者無需定期到各大商場進行挑選,為其節(jié)省了時間。并且在為會員建立個人信息數(shù)據(jù)庫后,由網(wǎng)站專業(yè)人員針對個人信息挑選產(chǎn)品,可以讓消費者使用到適合自己的產(chǎn)品,這樣的使用體驗也降低了消費者在選擇品牌繁多的產(chǎn)品時所承擔的風險,為其提供了便利。
(三)積極調(diào)整并優(yōu)化供應鏈,降低人力成本、投入成本網(wǎng)絡(luò)技術(shù)和計算機技術(shù)的廣泛應用縮小了經(jīng)營空間,使現(xiàn)實具體的市場虛擬化,網(wǎng)絡(luò)操作減少了工作人員的數(shù)量,降低了經(jīng)營成本、人力成本。并且通過網(wǎng)絡(luò)獲取會員信息、構(gòu)建與供應商的聯(lián)系、獲取產(chǎn)品信息使得企業(yè)與消費者和供應商等多方聯(lián)系更加緊密,信息更新更為迅速[2]。在物流方面,會員通過“訂閱”直接取得產(chǎn)品,也可以省去經(jīng)銷商、零售商等傳統(tǒng)銷售的中間環(huán)節(jié),對調(diào)整供應鏈有著積極作用,為網(wǎng)站節(jié)省了投入費用。
(四)投放精準,提高轉(zhuǎn)化率,有利于產(chǎn)品的傳播當下傳統(tǒng)營銷模式泛濫,未了解消費者需要而廣泛投遞試用品,這樣的營銷沒有針對性,樣品的投放不準確,無法找到消費者的喜好,對產(chǎn)品轉(zhuǎn)化率不僅沒有積極影響甚至會對產(chǎn)品宣傳產(chǎn)生負面效果。訂閱服務網(wǎng)站在了解消費者的個人喜好等信息后,不僅能克服市場營銷投放程度低的缺陷,并且在消費者使用滿意后,能夠從零售商處購買產(chǎn)品,提高了使用產(chǎn)品的轉(zhuǎn)化率,對產(chǎn)品的宣傳傳播有著積極的作用。
(五)提高供應商之間、企業(yè)與供應商之間的良性競爭力對于供應商自身,都十分重視產(chǎn)品樣本是否有被消費者使用,因為消費者的使用無疑為他們提供了一次是否會長期選擇該產(chǎn)品的機會,如伊利莎白雅頓等品牌都競相通過Birchbox的會員渠道努力將化妝品小樣送到會員手中。這使得供應商為取得該項權(quán)利展開競爭,提高自身產(chǎn)品質(zhì)量而取得消費者親睞。對于訂閱服務網(wǎng)站本身而言,在整體市場營銷的背景下[3],即以消費者價值為中心,把傳統(tǒng)營銷中與供應商間的對立關(guān)系轉(zhuǎn)化為了長期合作關(guān)系,避免了惡性競爭。(六)較完善的維權(quán)機制,保障消費者權(quán)益訂閱服務網(wǎng)站除了有專業(yè)人員對產(chǎn)品精挑細選的保障外,若消費者對于產(chǎn)品不滿意可以申請退貨,并且消費者可以在訂購一段時間后選擇是否續(xù)訂服務,這樣完善的維權(quán)機制避免了消費者處于網(wǎng)絡(luò)購物消費模式的弱勢地位,使消費者擁有最大范圍的自主選擇產(chǎn)品和獲得產(chǎn)品使用體驗的權(quán)利,和同一時期產(chǎn)生的“團購”模式比較,該模式保障了消費者的權(quán)益。
三、“訂閱”服務網(wǎng)站所需發(fā)展條件及國內(nèi)現(xiàn)狀
(一)健全的信用體系國外訂閱服務網(wǎng)站迅速發(fā)展的重要因素之一就是國外健全的信用體系,西方在其發(fā)達經(jīng)濟的支持下發(fā)展個人信用消費較早,已然成為了“征信國家”。其完善的信用體系使得支付程序簡單,降低了買賣雙方交易風險,提高了消費者信心。中國2003年成立征信管理的內(nèi)設(shè)機構(gòu),2009年公布了《征信管理條例》,我國的信用體系建設(shè)起步晚,存在的問題較多,如個人信用意識淡薄,受傳統(tǒng)觀念影響,尚未建立起覆蓋全國的個人信用信息共享系統(tǒng)等[4]。無論從消費者自身還是國家制度的建立來說,信用體系都是不完善的。信用體系的監(jiān)管,不僅能減少銀行的風險,還能保護消費者合法權(quán)益。中國目前網(wǎng)購模式發(fā)展迅速,大多數(shù)網(wǎng)站僅支持網(wǎng)上銀行支付,其操作程序繁瑣,安全隱患較大,并且信息的不對稱降低了買賣雙方的信心,提高了交易成本。雖然有些支付平臺支持信用卡支付,如獨立第三方支付平臺支付寶和中信銀行推出網(wǎng)購信用卡,其推動了信用卡消費模式的發(fā)展,但受傳統(tǒng)觀念影響,認知度偏低,使用率不高。
(二)完善的物流體系發(fā)達國家的物流業(yè)已進入成熟階段,物流服務的拓展,物流服務過程的延生,物流服務覆蓋面積大,電子物流發(fā)展迅速,這些優(yōu)勢使訂閱服務網(wǎng)站在寄送產(chǎn)品時快速、準確、方便。高效又低成本的物流使得企業(yè)和消費者得到雙贏的局面。從訂閱服務網(wǎng)站來看,需要嚴格的控制物流成本來提高利潤。我國大多采用第三方物流,服務質(zhì)量難以得到保證,部分自建物流體系的公司則需投入大量資金使得成本過高。從物流體系整體上看,與國外相比,我國物流還處于起步階段,物流企業(yè)數(shù)量少、規(guī)模小,服務意識不高;物流覆蓋面積小,在偏遠地區(qū)物流無法配送到;物流技術(shù)信息化水平低,服務網(wǎng)絡(luò)不健全,軟硬件設(shè)施落后,機械化操作水平低[5];物流管理缺乏專業(yè)人才,管理不統(tǒng)一,阻礙了全國性綜合物流體系的建立;并且,我國物流業(yè)缺乏專門的法律規(guī)定,使市場上物流企業(yè)魚龍混雜,降低了安全性。總的來說,我國的物流體系尚不健全,從目前網(wǎng)購中存在的消費者投訴日益增多的現(xiàn)狀中可以得知。
(三)豐富的人力資本經(jīng)營該模式的網(wǎng)站需要技術(shù)型的專業(yè)人員進行管理,專業(yè)人員不僅要熟悉物流環(huán)節(jié),有專業(yè)的網(wǎng)絡(luò)知識,還要有處理海量信息并從中挑選出關(guān)鍵信息提出滿足客戶需求的建議等的能力。也就是說,這類型人才不僅要有專業(yè)的技能,還要有高水平的管理能力。我國電子商務起步晚,國內(nèi)電子商務人才的欠缺,阻礙了電子商務的蓬勃發(fā)展。在人才教育上,近幾年來,雖然全國各高校均有開設(shè)相關(guān)教育課程進行人才培養(yǎng),但具有較高學歷的畢業(yè)生有著豐富的理論知識卻缺乏實踐經(jīng)驗,一些職業(yè)學校的學生有著一定程度的經(jīng)驗卻缺乏部分專業(yè)知識,使得教育培養(yǎng)效果不明顯。而且培養(yǎng)的內(nèi)容不僅應針對專業(yè)技能,還應培養(yǎng)相關(guān)的管理能力,使其成為復合型人才以滿足市場需要。人力資本是競爭力的管理,我國電子商務人才的短缺將會制約訂閱服務電子商務網(wǎng)站的發(fā)展。[6]
(四)安全的網(wǎng)絡(luò)環(huán)境訂閱服務網(wǎng)站要有長久的發(fā)展和吸引更多的消費者,網(wǎng)站應構(gòu)建安全的網(wǎng)絡(luò)環(huán)境,以保障消費者詳細、全面的個人信息安全以及支付環(huán)境的安全。中國對于網(wǎng)絡(luò)安全的意識淡薄,當前網(wǎng)絡(luò)環(huán)境的開放性、復雜性、多變性和系統(tǒng)的脆弱性并未引起廣泛重視。一方面,我國監(jiān)管部門的監(jiān)管力度不夠,沒有形成損害網(wǎng)絡(luò)安全的處罰條例,一方面,網(wǎng)站缺乏專業(yè)的技術(shù)人員對網(wǎng)站進行安全管理,還有就是用戶自身的安全意識不強。除此之外,先進的網(wǎng)絡(luò)安全技術(shù)也是保證網(wǎng)絡(luò)環(huán)境安全的必要條件之一,這依賴于國家相關(guān)部門的重視和開發(fā)資金的投入。中國網(wǎng)購的迅速發(fā)展可以看出我國的網(wǎng)絡(luò)環(huán)境安全有著基本的保障,但要保證訂閱服務網(wǎng)站長久、安全、有秩序的發(fā)展,還需要加強對網(wǎng)絡(luò)環(huán)境的監(jiān)管。
(五)龐大的網(wǎng)絡(luò)覆蓋面和網(wǎng)購群體較大的網(wǎng)絡(luò)覆蓋率保障了訂閱服務網(wǎng)站有廣泛的潛在消費者,這是訂閱服務網(wǎng)站發(fā)展的基礎(chǔ)。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心2011年11月份測算,中國網(wǎng)民數(shù)已達5.05億戶,其中互聯(lián)網(wǎng)的寬帶用戶達到1.5億,比上一年凈增18.6%,手機網(wǎng)民數(shù)量達到3.4億,全體網(wǎng)民中手機普及率達65.5%。波士頓咨詢公司(BCG)在今年的《中國數(shù)字化新世代3.0:未來的網(wǎng)絡(luò)領(lǐng)軍者》報告中指出,中國互聯(lián)網(wǎng)用戶的每日上網(wǎng)時間比美國互聯(lián)網(wǎng)用戶多出一小時左右,同時中國的網(wǎng)絡(luò)購物者數(shù)量達到1.93億,高于美國的1.7億。到2015年,中國將新增近2億網(wǎng)民,互聯(lián)網(wǎng)用戶總數(shù)將達到7億。而到那時,在網(wǎng)上購物的互聯(lián)網(wǎng)用戶比例有望達到47%,超過3億人。報告還表示,2015年前后,中國或?qū)⒊蔀槭澜缱畲缶W(wǎng)絡(luò)零售市場,近10%的零售將在網(wǎng)上進行[7]。從這些數(shù)據(jù)可以看出,中國網(wǎng)絡(luò)高覆蓋率和網(wǎng)上消費人數(shù)的增長將會使訂閱模式擁有龐大的市場。
四、國內(nèi)發(fā)展訂閱服務網(wǎng)站相關(guān)建議
廣東省信息化促進條例全文第一章 總 則
第一條 為了加快信息化發(fā)展,規(guī)范信息化服務與管理,根據(jù)有關(guān)法律和行政法規(guī),結(jié)合本省實際,制定本條例。
第二條 本條例適用于本省行政區(qū)域內(nèi)的信息化規(guī)劃與建設(shè)、信息資源開發(fā)利用、信息技術(shù)推廣應用、信息產(chǎn)業(yè)發(fā)展、信息安全保障和監(jiān)管以及相關(guān)服務與管理活動。
第三條 促進信息化發(fā)展應當遵循統(tǒng)籌規(guī)劃、資源共享、實用高效、鼓勵創(chuàng)新、保守秘密、保障安全的原則,充分發(fā)揮市場主體的作用。
第四條 縣級以上人民政府應當加強對信息化促進工作的領(lǐng)導,將信息化發(fā)展納入本行政區(qū)域國民經(jīng)濟和社會發(fā)展規(guī)劃,根據(jù)本行政區(qū)域國民經(jīng)濟和社會發(fā)展需要,安排信息化發(fā)展資金,支持信息化發(fā)展,引導和支持社會資金投資信息化建設(shè)。
縣級以上人民政府應當加強信息化培訓,提高城鄉(xiāng)居民的信息化應用能力。
鄉(xiāng)、鎮(zhèn)人民政府和街道辦事處應當推進本轄區(qū)的信息化應用。
第五條 縣級以上人民政府信息化主管部門負責本行政區(qū)域信息化發(fā)展的統(tǒng)籌規(guī)劃、協(xié)調(diào)指導和監(jiān)督管理工作。
發(fā)展改革、財政、住房城鄉(xiāng)建設(shè)、質(zhì)量技術(shù)監(jiān)督、公安、廣電等有關(guān)部門和通信管理部門按照各自職責,做好信息化發(fā)展的相關(guān)工作。
第六條 省質(zhì)量技術(shù)監(jiān)督主管部門應當會同省信息化主管部門和其他有關(guān)部門,制定和完善本省信息化相關(guān)標準并監(jiān)督實施。
信息化工程建設(shè)、信息資源開發(fā)利用、信息技術(shù)推廣應用、信息資源共享交換、信息安全保障等應當執(zhí)行國家、行業(yè)或地方信息化標準。
第七條 省人民政府應當統(tǒng)籌整合全省信息化資源,完善經(jīng)濟欠發(fā)達地區(qū)的信息化基礎(chǔ)設(shè)施和服務體系,促進信息化均衡發(fā)展,推進全省信息網(wǎng)絡(luò)融合和信息資源共享,促進生產(chǎn)服務、生活服務、公共服務的信息化成果平等共享。
第八條 省人民政府應當加強與其他省、市、自治區(qū)的信息化合作。
省人民政府應當推進與港、澳地區(qū)的信息化基礎(chǔ)設(shè)施互聯(lián)互通、信息服務業(yè)發(fā)展和電子商務應用以及標準化和應急保障的交流與合作。
第二章 信息化規(guī)劃與建設(shè)
第九條 縣級以上人民政府信息化主管部門應當會同有關(guān)部門,編制本行政區(qū)域信息化發(fā)展總體規(guī)劃,報本級人民政府批準后公布實施。
縣級以上人民政府有關(guān)部門編制本部門、本系統(tǒng)信息化發(fā)展專項規(guī)劃,應當符合本行政區(qū)域信息化發(fā)展總體規(guī)劃,并報本級人民政府信息化主管部門備案。
編制信息化發(fā)展總體規(guī)劃和專項規(guī)劃,應當組織專家論證,并向社會公開征求意見。
總體規(guī)劃和專項規(guī)劃的制定部門應當就規(guī)劃的內(nèi)容向公眾提供咨詢服務。規(guī)劃的執(zhí)行情況應當定期向社會公布,接受社會監(jiān)督。
第十條 信息化發(fā)展總體規(guī)劃和專項規(guī)劃不得隨意修改;確需修改的,應當按照本條例第九條規(guī)定的程序辦理。
第十一條 縣級以上人民政府及其有關(guān)部門應當將通信管道、通信線路和通信基站等信息通信基礎(chǔ)設(shè)施建設(shè)納入城鄉(xiāng)建設(shè)控制性詳細規(guī)劃,并與環(huán)境保護、市政基礎(chǔ)設(shè)施等相關(guān)規(guī)劃相銜接,統(tǒng)籌考慮空間布局和建設(shè)時序。
信息通信基礎(chǔ)設(shè)施應當執(zhí)行國家標準或者行業(yè)標準,并按共建共享原則建設(shè)。
第十二條 對信息化發(fā)展總體規(guī)劃或者專項規(guī)劃確定建設(shè)公眾通信基站的建筑物、構(gòu)筑物和公用設(shè)施,建設(shè)單位、設(shè)計單位和審圖機構(gòu)等相關(guān)單位應當按照公眾通信基站建設(shè)設(shè)計標準和規(guī)范,預留基站和室內(nèi)無線分布系統(tǒng)所需的機房、電源、管道和天面的空間,并與主體工程同時設(shè)計、同時施工、同時驗收。
縣級以上規(guī)劃主管部門在審批建設(shè)工程規(guī)劃許可和建設(shè)工程規(guī)劃驗收許可時,應當對基站及相關(guān)設(shè)施預留情況進行審核。
第十三條 國家機關(guān)、公共場館、旅游景點等所屬建筑物和構(gòu)筑物,以及路燈、道路指示牌等公共設(shè)施,在符合安全、環(huán)保要求且不影響建筑設(shè)施正常使用的情況下,應當開放用于支持通信管道、通信線路和通信基站等信息通信基礎(chǔ)設(shè)施建設(shè)。
第十四條 電信網(wǎng)、互聯(lián)網(wǎng)、廣播電視網(wǎng)等公共信息基礎(chǔ)設(shè)施建設(shè),應當向欠發(fā)達地區(qū)和農(nóng)村延伸,依法實行城鄉(xiāng)統(tǒng)籌、互聯(lián)互通和資源共享。
第十五條 新建建筑物內(nèi)的電信網(wǎng)、互聯(lián)網(wǎng)、廣播電視網(wǎng)等信息管線和配線設(shè)施以及建設(shè)項目用地范圍內(nèi)的信息管道,應當納入新建建筑物建設(shè)項目的設(shè)計文件,與建設(shè)項目同時施工與驗收,所需經(jīng)費應當納入建設(shè)項目概算。
已建建筑物駐地網(wǎng)的新建、改建、擴建,應當尊重業(yè)主選擇,對所有電信、互聯(lián)網(wǎng)、廣播電視業(yè)務經(jīng)營者和其他駐地網(wǎng)建設(shè)方開放,實行平等接入、公平競爭。
電信、互聯(lián)網(wǎng)、廣播電視等業(yè)務經(jīng)營者不得與項目建設(shè)單位、物業(yè)服務企業(yè)、業(yè)主委員會等簽署排他性、壟斷性協(xié)議,或者以其他方式實施排他性、壟斷性行為。
第十六條 縣級以上人民政府及其有關(guān)部門應當支持電信、互聯(lián)網(wǎng)、廣播電視等業(yè)務經(jīng)營者參照光纖到戶國家標準,以共建共享方式對既有住宅區(qū)、住宅建筑及商住樓進行通信基礎(chǔ)設(shè)施及相關(guān)配套改造。建設(shè)單位、業(yè)主單位、物業(yè)服務企業(yè)等應當向電信、互聯(lián)網(wǎng)、廣播電視等業(yè)務經(jīng)營者平等開放建筑規(guī)劃用地紅線內(nèi)已有的通信設(shè)備間、電信間、管道和線纜等,為光纖到戶改造提供便利條件,不得違規(guī)收取任何費用。
第十七條 省人民政府應當推進全省云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新信息技術(shù)公共服務平臺建設(shè)。
第十八條 省人民政府應當統(tǒng)籌部署全省電子政務基礎(chǔ)設(shè)施建設(shè),加快建成全省統(tǒng)一的電子政務網(wǎng)絡(luò)、信息資源共享交換體系、信息資源公開服務體系、基礎(chǔ)信息資源庫、政務信息資源數(shù)據(jù)中心等公共基礎(chǔ)設(shè)施。市、縣級人民政府應當按照省統(tǒng)一部署,統(tǒng)籌本級電子政務基礎(chǔ)設(shè)施建設(shè)。
第十九條 政府投資建設(shè)的信息化項目在審批立項時,應當就項目建設(shè)方案或者建設(shè)規(guī)劃向信息化主管部門征求意見,信息化主管部門應當對項目的可行性、實效性、安全性,資源整合共享等方面出具評估意見。
第二十條 信息化項目建設(shè)應當符合國家、行業(yè)、地方有關(guān)標準和規(guī)范,由依法取得相應資質(zhì)的單位承擔,遵守招標投標、工程監(jiān)理、竣工驗收等相關(guān)規(guī)定。
第二十一條 信息基礎(chǔ)設(shè)施依法受到保護,任何單位和個人不得阻礙依法進行的信息基礎(chǔ)設(shè)施建設(shè),不得危害信息基礎(chǔ)設(shè)施安全。
第三章 信息資源開發(fā)利用
第二十二條 縣級以上人民政府應當建立和完善本行政區(qū)域內(nèi)的人口、法人單位、自然資源和空間地理、宏觀經(jīng)濟、信用征信等基礎(chǔ)信息資源庫,促進政務信息資源共享和信息資源社會化開發(fā)利用。
第二十三條 省人民政府應當建立和完善政務信息資源共享交換體系和標準規(guī)范體系,推進政務協(xié)同信息化,實現(xiàn)政務信息資源共享和政務協(xié)同。
省人民政府信息化主管部門應當會同有關(guān)單位,根據(jù)安全可控原則編制統(tǒng)一的政務信息資源共享目錄和標準,確定政務信息資源共享的內(nèi)容、方式、技術(shù)規(guī)范和責任。
第二十四條 縣級以上人民政府信息化主管部門應當會同本級有關(guān)單位編制本級政務信息資源共享目錄,無償、及時通過信息資源共享交換體系共享相關(guān)信息。
第二十五條 省人民政府信息化主管部門應當會同有關(guān)單位編制政務信息資源公開目錄,確定政務信息資源公開的主體、內(nèi)容、方式和責任。
縣級以上人民政府有關(guān)部門和公共服務機構(gòu)應當編制本單位政務信息資源公開目錄,并按政務信息資源公開有關(guān)規(guī)定向社會公開。
第二十六條 省人民政府應當建立全省統(tǒng)一的政務電子證照文件數(shù)據(jù)庫,推動電子證照文件共享應用,逐步實現(xiàn)全流程網(wǎng)上辦事。
第二十七條 教育、醫(yī)療衛(wèi)生、供電、供水、供氣、公共交通、環(huán)保等公共服務機構(gòu),應當將服務內(nèi)容、服務承諾、收費標準、辦事過程等信息通過網(wǎng)站及其他方式向社會公開,準確、便捷地提供與民眾生活相關(guān)的公共信息服務。
信息化主管部門應當對公共服務機構(gòu)的信息公開和服務情況進行指導和監(jiān)督。
第二十八條 國家機關(guān)應當依法建立和完善信息采集機制,采集信息應當保證信息真實、完整,并在職責范圍內(nèi)做好信息資源的維護、更新和管理。
國家機關(guān)以外的單位和個人向公民、法人和其他組織采集信息,應當征得被采集人的同意,說明用途,并在該用途范圍內(nèi)使用所采集的信息。
第二十九條 各級人民政府應當引導和規(guī)范政務信息資源的增值開發(fā)利用;鼓勵單位和個人進行政務信息資源的公益性開發(fā)利用。
鼓勵單位和個人依法從事信息資源有償開發(fā)利用。
第三十條 信息資源開發(fā)利用應當依法進行,不得侵犯知識產(chǎn)權(quán)、國家秘密、商業(yè)秘密和個人隱私。
第三十一條 掌握公眾信息的單位和個人,不得泄露、篡改、毀損、出售或者非法向他人提供在業(yè)務活動中收集的公民、法人或者其他組織的信息。
公民、法人和其他組織有權(quán)要求采集、使用其信息的單位和個人更正、刪除與其相關(guān)的不實信息。
第三十二條 縣級以上人民政府信息化主管部門、公安、工商行政管理以及征信業(yè)監(jiān)督管理等部門應當依法加強對信息資源市場的監(jiān)督管理,保護信息資源擁有者、經(jīng)營者和使用者的合法權(quán)益。
第四章 信息技術(shù)推廣應用
第三十三條 縣級以上人民政府信息化主管部門應當建立和完善信息技術(shù)推廣應用體系,編制信息技術(shù)推廣應用指南,明確推廣應用目標和重點領(lǐng)域,組織實施重點推廣應用項目,促進信息技術(shù)在工業(yè)化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化和社會各領(lǐng)域的普及應用。
第三十四條 縣級以上人民政府應當加大對信息化與工業(yè)化融合的扶持力度,重點推進生產(chǎn)過程、生產(chǎn)裝備、生產(chǎn)產(chǎn)品和生產(chǎn)服務智能化。
第三十五條 縣級以上人民政府信息化主管部門應當會同通信管理、廣電、規(guī)劃、住房城鄉(xiāng)建設(shè)等部門,促進電信網(wǎng)、互聯(lián)網(wǎng)、廣播電視網(wǎng)等信息網(wǎng)絡(luò)業(yè)務經(jīng)營者發(fā)展融合型業(yè)務。
縣級以上人民政府應當鼓勵、支持電信網(wǎng)、互聯(lián)網(wǎng)、廣播電視網(wǎng)融合技術(shù)在應急管理、執(zhí)法管理、教育科研、醫(yī)療衛(wèi)生、交通運輸、人力資源和社會保障等政府公共管理和在線便民服務的應用。
第三十六條 省人民政府信息化主管部門和省通信管理部門應當促進新一代互聯(lián)網(wǎng)網(wǎng)絡(luò)體系架構(gòu)建設(shè),推進商業(yè)化、規(guī)模化應用,推動機關(guān)和學校、科研院所、重點商業(yè)等企事業(yè)單位網(wǎng)站等系統(tǒng)新一代互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)升級改造。
縣級以上人民政府及其有關(guān)部門負責推進本行政區(qū)域新一代互聯(lián)網(wǎng)技術(shù)普及與應用,協(xié)調(diào)解決新一代互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)在重點行業(yè)、領(lǐng)域的應用以及試點示范項目的建設(shè)推廣。
第三十七條 省人民政府應當推進全省云計算平臺建設(shè),促進云計算應用服務,開展云計算重點示范應用項目試點,引導云計算產(chǎn)業(yè)集聚發(fā)展,創(chuàng)新云計算服務模式。
地級以上市人民政府應當根據(jù)本行政區(qū)域行業(yè)應用需求,支持建設(shè)云計算公共服務平臺,開展特色云計算服務。
鼓勵電信運營和信息技術(shù)服務企業(yè)開展云計算核心技術(shù)研發(fā)和服務平臺建設(shè)。
第三十八條 縣級以上人民政府應當支持物聯(lián)網(wǎng)技術(shù)研究和發(fā)展,對涉及物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的重點領(lǐng)域、重大項目和關(guān)鍵技術(shù)優(yōu)先予以扶持。
縣級以上人民政府信息化主管部門等有關(guān)部門應當推進本行政區(qū)域物聯(lián)網(wǎng)技術(shù)普及應用,協(xié)調(diào)物聯(lián)網(wǎng)在重點領(lǐng)域應用以及示范項目的建設(shè)推廣,協(xié)調(diào)解決物聯(lián)網(wǎng)發(fā)展基礎(chǔ)設(shè)施建設(shè)、關(guān)鍵共性技術(shù)標準、產(chǎn)業(yè)支持和安全保障等問題。
第三十九條 縣級以上人民政府應當協(xié)調(diào)解決大數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)標準制定、數(shù)據(jù)共享與服務等問題,推進大數(shù)據(jù)的開放和開發(fā)利用。
鼓勵單位和個人進行有利于社會和公眾的大數(shù)據(jù)創(chuàng)新服務。
第四十條 縣級以上人民政府及其有關(guān)部門應當積極推進云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新產(chǎn)品在政府部門安全可控應用,提高在線履行服務與管理職能的水平。
第四十一條 省人民政府應當統(tǒng)籌建立網(wǎng)上政務服務平臺。
縣級以上人民政府應當建立網(wǎng)上政務服務平臺,逐步設(shè)立單位專屬網(wǎng)頁,有條件的可以設(shè)立個人網(wǎng)頁,提供政府便民服務。
行政機關(guān)及法律、法規(guī)授權(quán)的具有管理公共事務職能的組織應當推進網(wǎng)上辦事,非涉密的行政許可和公共服務事項應當按照規(guī)定實現(xiàn)網(wǎng)上辦理。
第四十二條 單位和個人使用網(wǎng)上政務服務平臺申請辦理業(yè)務,應當提供真實、完整、有效的資料。
第四十三條 縣級以上人民政府應當推動電子支付、安全認證、信用服務、現(xiàn)代物流等電子商務服務體系建設(shè),促進電子商務發(fā)展和應用。
第四十四條 縣級以上人民政府應當引導社會力量建立中小微企業(yè)公共信息技術(shù)服務平臺,為中小微企業(yè)提供管理、設(shè)計研發(fā)、技術(shù)創(chuàng)新等服務。
第四十五條 縣級以上人民政府應當推動信息服務的普及應用,加大信息無障礙設(shè)施建設(shè)和技術(shù)、產(chǎn)品開發(fā)的扶持力度,促進殘疾人、老年人等社會成員平等參與信息社會生活。
第四十六條 縣級以上人民政府應當積極推動在政府機關(guān)、醫(yī)院、學校、公園、圖書館、博物館、廣場、政務中心等公共場所免費提供無線接入網(wǎng)絡(luò)服務。
鼓勵機場、車站、碼頭、商場、酒店、餐廳等公共服務場所經(jīng)營者為消費者提供無線接入網(wǎng)絡(luò)服務。
第四十七條 縣級以上人民政府應當推進無線、遠程、居民自助互助等便民服務信息基礎(chǔ)設(shè)施建設(shè),構(gòu)建統(tǒng)一的社區(qū)服務和管理綜合信息平臺。
第四十八條 縣級以上人民政府及其有關(guān)部門應當加強農(nóng)業(yè)農(nóng)村信息基礎(chǔ)設(shè)施建設(shè),建立和完善農(nóng)業(yè)農(nóng)村信息服務體系,開發(fā)、利用和整合農(nóng)業(yè)農(nóng)村信息資源,開展面向農(nóng)村的信息化知識和技能培訓,推動信息技術(shù)在農(nóng)村生產(chǎn)服務、生活服務、公共服務等方面的應用。
第四十九條 政府有關(guān)部門和公共服務機構(gòu)可以通過購買服務的方式,促進信息技術(shù)在生產(chǎn)服務、生活服務、公共服務等方面的應用。
第五章 信息產(chǎn)業(yè)發(fā)展
第五十條 縣級以上人民政府應當結(jié)合本地實際,確定信息產(chǎn)業(yè)發(fā)展重點領(lǐng)域,支持信息產(chǎn)業(yè)基地和園區(qū)建設(shè),引導和促進信息產(chǎn)業(yè)集聚發(fā)展。
縣級以上人民政府應當加大對信息產(chǎn)業(yè)關(guān)鍵技術(shù)和具有自主知識產(chǎn)權(quán)信息技術(shù)的研發(fā)扶持力度,鼓勵企事業(yè)單位加大信息技術(shù)研發(fā)投入,增強自主創(chuàng)新能力和核心競爭力。
第五十一條 縣級以上人民政府應當建立和完善信息產(chǎn)業(yè)投融資機制,鼓勵和引導公民、法人和其他組織投資信息產(chǎn)業(yè)。
第五十二條 縣級以上人民政府應當培育和發(fā)展信息技術(shù)知識產(chǎn)權(quán)交易市場,促進信息技術(shù)轉(zhuǎn)讓和成果轉(zhuǎn)化。
第五十三條 設(shè)計、制造電子信息產(chǎn)品,應當采用資源利用率高、易回收處理、環(huán)保的材料、技術(shù)和工藝。
第五十四條 縣級以上人民政府應當加強信息化人才培養(yǎng),做好信息化人才引進工作。
鼓勵高等院校、科研機構(gòu)等企事業(yè)單位以及行業(yè)協(xié)會等社會組織采取多種形式,培養(yǎng)技術(shù)研發(fā)、市場推廣、服務咨詢等實用型和創(chuàng)新型的信息化人才。
第五十五條 縣級以上人民政府應當扶持信息化社會組織的發(fā)展,發(fā)揮信息化社會組織的服務作用。
信息化社會組織應當加強自律,制定和完善規(guī)范,依法開展市場調(diào)查、信息交流、企業(yè)合作、人才培訓、咨詢評估等服務。
信息化社會組織可以承接縣級以上人民政府信息化主管部門依法轉(zhuǎn)移或者委托的信息化服務與管理事項,并接受指導監(jiān)督。
第五十六條 電信、互聯(lián)網(wǎng)、廣播電視等信息業(yè)務經(jīng)營者應當遵守誠實信用原則,為用戶提供優(yōu)質(zhì)的產(chǎn)品和服務,依法、合理制定產(chǎn)品和服務的收費標準,不得損害用戶和其他經(jīng)營者的合法權(quán)益。
電信、互聯(lián)網(wǎng)、廣播電視等信息業(yè)務經(jīng)營者提供的服務應當符合業(yè)務主管部門制定的服務規(guī)范,遵守服務協(xié)議,履行服務承諾。
縣級以上工商行政管理部門應當依法查處信息服務市場的不正當競爭行為,維護信息服務市場秩序。
第六章 信息安全保障和監(jiān)管
第五十七條 縣級以上人民政府應當建立信息安全工作領(lǐng)導協(xié)調(diào)機制,統(tǒng)籌協(xié)調(diào)和指導本行政區(qū)域內(nèi)的信息安全保障和監(jiān)管工作。
縣級以上人民政府信息安全協(xié)調(diào)保障主管部門應當會同公安、國家安全、保密、密碼管理、廣電、通信管理等部門,建立和完善信息安全保障協(xié)調(diào)機制,完善信息安全保障體系,協(xié)調(diào)和指導重要信息網(wǎng)絡(luò)和信息系統(tǒng)容災備份建設(shè),加強信息安全管理和能力建設(shè)。
第五十八條 各級人民政府應當加強信息安全監(jiān)管,及時建立大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等新技術(shù)新產(chǎn)品在政府及其他重點領(lǐng)域應用的標準、規(guī)范,建立和完善風險評估和監(jiān)測、檢查、管理體系,及時預警信息安全隱患,保障網(wǎng)絡(luò)、信息系統(tǒng)、信息資源資產(chǎn)的安全。
第五十九條 信息網(wǎng)絡(luò)和信息系統(tǒng)的所有者或者運營者應當依據(jù)國家有關(guān)規(guī)定以及相關(guān)技術(shù)標準,建立信息安全保障工作責任制,制定本單位信息安全保護和容災備份措施,對信息網(wǎng)絡(luò)和信息系統(tǒng)實行信息安全等級保護,定期進行信息安全風險評估。
第六十條 信息網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)和運營,應當遵守國家和省有關(guān)信息安全、保密的規(guī)定。
信息安全系統(tǒng)應當采用依法認證的信息安全產(chǎn)品,并與信息網(wǎng)絡(luò)和信息系統(tǒng)同時設(shè)計、同時施工、同時投入使用。
第六十一條 縣級以上人民政府信息化主管部門應當會同有關(guān)部門,在電子政務、電子商務、公共服務等領(lǐng)域推廣使用電子簽名,鼓勵電子簽名認證數(shù)字證書在互聯(lián)網(wǎng)上的應用;推動與港澳臺電子簽名認證證書的互認互通。
信息化主管部門、密碼管理部門應當按照國家有關(guān)規(guī)定,對電子認證服務機構(gòu)和電子認證服務實施監(jiān)督管理。
第六十二條 縣級以上人民政府信息化主管部門應當會同有關(guān)部門,建立和完善信息安全應急處理協(xié)調(diào)機制和信息安全通報制度。
信息網(wǎng)絡(luò)和信息系統(tǒng)的運行、使用單位,應當制定本單位信息安全應急預案,定期開展應急演練,增強信息網(wǎng)絡(luò)和信息系統(tǒng)的抗毀能力、災后恢復能力。
發(fā)生重大信息網(wǎng)絡(luò)與信息系統(tǒng)安全事故后,相關(guān)單位應當迅速采取應急措施降低損害程度,防止事故擴大,保存相關(guān)記錄,并按照規(guī)定向有關(guān)部門報告。
第六十三條 任何組織、單位和個人不得利用信息基礎(chǔ)設(shè)施和信息網(wǎng)絡(luò)實施危害國家安全、公共安全的行為,以及實施誹謗、詐騙、敲詐勒索、非法經(jīng)營等違法行為。
第六十四條 信息網(wǎng)絡(luò)和信息系統(tǒng)的運行、使用單位應當建立和完善信息發(fā)送、傳播管理制度,發(fā)現(xiàn)違法、有害信息,應當立即停止傳輸,采取技術(shù)措施予以消除并報告有關(guān)部門。
信息化主管部門、公安、國家安全、工商行政管理、通信管理等部門,應當建立和完善對違法、有害信息的監(jiān)管機制,接受社會公眾對違法、有害信息的投訴舉報并及時查處。
第七章 法律責任
第六十五條 對破壞信息網(wǎng)絡(luò)和信息系統(tǒng)安全,通過信息網(wǎng)絡(luò)泄露、竊取國家秘密、商業(yè)秘密和個人隱私以及侵犯知識產(chǎn)權(quán)的,由有關(guān)部門依法處理。
第六十六條 違反本條例第十三條規(guī)定,國家機關(guān)、公共場館、旅游景點等所屬建筑物和構(gòu)筑物,以及路燈、道路指示牌等公共設(shè)施拒不開放用于支持通信管道、通信線路和通信基站等信息通信基礎(chǔ)設(shè)施建設(shè)的,由本級人民政府或者相關(guān)主管部門責令改正;拒不改正的,對直接負責的主管人員和其他直接責任人員依法給予處分。
第六十七條 違反本條例第十五條規(guī)定,電信、互聯(lián)網(wǎng)、廣播電視等業(yè)務經(jīng)營者與項目建設(shè)單位、物業(yè)服務企業(yè)、業(yè)主委員會等簽署排他性、壟斷性協(xié)議,或者以其他方式實施排他性、壟斷性行為的,由工商行政管理部門責令停止違法行為,沒收違法所得,并處一萬元以上五萬元以下罰款。
第六十八條 違反本條例第十六條規(guī)定,建設(shè)單位、業(yè)主單位、物業(yè)服務企業(yè)等拒不配合光纖改造的,由住房城鄉(xiāng)建設(shè)部門責令改正,返還違規(guī)收取的費用,并處一萬元以上五萬元以下罰款。
第六十九條 違反本條例第二十一條規(guī)定,阻礙信息基礎(chǔ)設(shè)施建設(shè),危害信息基礎(chǔ)設(shè)施安全的,由有關(guān)部門依法處理。
第七十條 違反本條例第二十七條規(guī)定,教育、醫(yī)療衛(wèi)生、供電、供水、供氣、公共交通、環(huán)保等公共服務機構(gòu),拒絕將服務內(nèi)容、服務承諾、收費標準、辦事過程等信息通過網(wǎng)站及其他方式及時向社會公開的,由縣級以上信息化主管部門責令改正;拒不改正的,處五千元以上三萬元以下罰款。
第七十一條 違反本條例第三十一條規(guī)定,掌握公眾信息的單位和個人,泄露、篡改、毀損、出售或者非法向他人提供在業(yè)務活動中收集的公民、法人或者其他組織的信息的,由縣級以上信息化主管部門責令改正,并處一萬元以上五萬元以下罰款,沒收違法所得;構(gòu)成犯罪的,依法追究刑事責任。
第七十二條 違反本條例第六十三條規(guī)定,利用信息基礎(chǔ)設(shè)施和信息網(wǎng)絡(luò)實施危害國家安全、公共安全,以及誹謗、詐騙、敲詐勒索、非法經(jīng)營等違法行為的,由有關(guān)部門依法處理;構(gòu)成犯罪的,依法追究刑事責任。
第七十三條 違反本條例第六十四條第一款規(guī)定,信息網(wǎng)絡(luò)和信息系統(tǒng)的運行、使用單位沒有建立和完善信息發(fā)送、傳播管理制度,發(fā)現(xiàn)違法、有害信息未立即停止傳輸,采取技術(shù)措施予以消除的,由通信管理部門或者公安部門責令改正;拒不改正的,依法予以處罰;構(gòu)成犯罪的,依法追究刑事責任。
第七十四條 縣級以上人民政府及其有關(guān)部門不依照本條例規(guī)定履行職責的,由上一級人民政府或者主管部門責令改正;拒不改正的,給予通報批評。
縣級以上人民政府及其有關(guān)部門工作人員在信息化工作中不依照本條例規(guī)定履行職責、玩忽職守,或者濫用職權(quán)、徇私舞弊的,依法給予處分;構(gòu)成犯罪的,依法追究刑事責任。
第七十五條 附掛或者設(shè)置信息基礎(chǔ)設(shè)施造成他人人身或者財產(chǎn)損害的,由附掛或者設(shè)置設(shè)備的信息基礎(chǔ)設(shè)施經(jīng)營者依法承擔賠償責任。
第八章 附 則
第七十六條 本條例自20xx年9月1日起施行。
信息化促進的作用信息產(chǎn)業(yè)的支柱作用
信息產(chǎn)業(yè)是國民經(jīng)濟的支柱產(chǎn)業(yè)。其支柱作用體現(xiàn)在兩個方面:⑴信息產(chǎn)業(yè)是國民經(jīng)濟新的增長點。信息產(chǎn)業(yè)以3倍于國民經(jīng)濟的速度發(fā)展,增加值在國內(nèi)生產(chǎn)總值(GDP)中的比重不斷攀升,對國民經(jīng)濟的直接貢獻率不斷提高,間接貢獻率穩(wěn)步提高。⑵信息產(chǎn)業(yè)將發(fā)展成為最大的產(chǎn)業(yè)。到20xx年年底,中國電子信息產(chǎn)品出口占全國外貿(mào)出口比重將超過30%,其在國家外貿(mào)出口中的支柱地位將得到進一步鞏固和提高。信息產(chǎn)業(yè)在國民經(jīng)濟各產(chǎn)業(yè)中位居前列,將發(fā)展成為最大的產(chǎn)業(yè)。
信息產(chǎn)業(yè)的基礎(chǔ)作用
信息產(chǎn)業(yè)是關(guān)系國家經(jīng)濟命脈和國家安全的基礎(chǔ)性和戰(zhàn)略性產(chǎn)業(yè)。這一作用體現(xiàn)在兩個方面:⑴通信網(wǎng)絡(luò)是國民經(jīng)濟的基礎(chǔ)設(shè)施,網(wǎng)絡(luò)與信息安全是國家安全的重要內(nèi)容;強大的電子信息產(chǎn)品制造業(yè)和軟件業(yè)是確保網(wǎng)絡(luò)與信息安全的根本保障。⑵信息技術(shù)和裝備是國防現(xiàn)代化建設(shè)的重要保障;信息產(chǎn)業(yè)已經(jīng)成為各國爭奪科技、經(jīng)濟、軍事主導權(quán)和制高點的戰(zhàn)略性產(chǎn)業(yè)。
信息產(chǎn)業(yè)的先導作用
信息產(chǎn)業(yè)是國家經(jīng)濟的先導產(chǎn)業(yè)。這一作用體現(xiàn)在4個方面:⑴信息產(chǎn)業(yè)的發(fā)展已經(jīng)成為世界各國經(jīng)濟發(fā)展的主要動力和社會再生產(chǎn)的基礎(chǔ)。⑵信息產(chǎn)業(yè)作為高新技術(shù)產(chǎn)業(yè)群的主要組成部分,是帶動其他高新技術(shù)產(chǎn)業(yè)騰飛的龍頭產(chǎn)業(yè)。⑶信息產(chǎn)業(yè)的不斷拓展,信息技術(shù)向國民經(jīng)濟各領(lǐng)域的不斷滲透,將創(chuàng)造出新的產(chǎn)業(yè)門類。⑷信息技術(shù)的廣泛應用,將縮短技術(shù)創(chuàng)新的周期,極大提高國家的知識創(chuàng)新能力。
互聯(lián)網(wǎng)以高速的發(fā)展勢頭逐漸取代了傳統(tǒng)的金融業(yè)務,在互聯(lián)網(wǎng)上進行金融操作的人群占有相當大的比重。互聯(lián)網(wǎng)的各類支付平臺為人們的生活提供了巨大的便利,人們可以在互聯(lián)網(wǎng)上購買產(chǎn)品、辦理貸款、繳納水電費等等,但是,由于網(wǎng)絡(luò)的虛擬性,給互聯(lián)網(wǎng)給金融監(jiān)管體系帶來了巨大的挑戰(zhàn)。我國目前的監(jiān)管體制是與傳統(tǒng)金融業(yè)務相匹配的,不適用于互聯(lián)網(wǎng)金融的監(jiān)管。首先,由于互聯(lián)網(wǎng)產(chǎn)品與業(yè)務的行業(yè)跨度較大,在同一個網(wǎng)絡(luò)交易平臺上可以銷售多種產(chǎn)品,雖然國家將互聯(lián)網(wǎng)金融的各項業(yè)務交由各政府部門監(jiān)管,可是業(yè)務之間經(jīng)常存在交叉,使得各部門的監(jiān)管難度加大。其次,互聯(lián)網(wǎng)沒有實體機構(gòu),所有的產(chǎn)品和業(yè)務都是數(shù)據(jù)代碼,而且互聯(lián)網(wǎng)技術(shù)的發(fā)展速度遠遠超過監(jiān)管制度的制訂速度,由于監(jiān)管制度在互聯(lián)網(wǎng)金融上存在很多模糊地帶,使得網(wǎng)絡(luò)交易存在較大的風險。最后,監(jiān)管的主要目的是保護消費者權(quán)益,可是互聯(lián)網(wǎng)是虛擬的交易平臺,缺乏法律法規(guī)的約束,網(wǎng)上交易合同極易被篡改和偽造,導致一旦發(fā)生利益沖突,消費者的權(quán)益無法得到保證。
二、互聯(lián)網(wǎng)金融監(jiān)管的基本原則
1、服務實體經(jīng)濟,把握創(chuàng)新的度與限
所有金融業(yè)務的產(chǎn)生都是為了促進國家的經(jīng)濟發(fā)展,而互聯(lián)網(wǎng)金融能夠更好的為人們服務,保證人們的生活質(zhì)量,因此互聯(lián)網(wǎng)金融的發(fā)展趨勢是不可阻擋的。互聯(lián)網(wǎng)金融是新興的金融模式,應給予適當?shù)目臻g,使其在探索中逐漸完善,提高為人們服務的水平。但是不能放任互聯(lián)網(wǎng)金融不管,使其失去掌控,所以應采取動態(tài)監(jiān)管策略,根據(jù)對各交易平臺與金融產(chǎn)品的影響力及風險帶來的危害程度進行評估,以此作為依據(jù),決定監(jiān)管目標和監(jiān)管力度。
2、既要防止監(jiān)管套利,又要防控系統(tǒng)性風險
互聯(lián)網(wǎng)金融與傳統(tǒng)金融的本質(zhì)相同,都是對資金進行管理和使用,只是互聯(lián)網(wǎng)金融在技術(shù)和模式上進行了改革,將金融業(yè)務放到虛擬的網(wǎng)絡(luò)中操作。所以互聯(lián)網(wǎng)金融仍然屬于金融體系,應該受到金融監(jiān)管,而且監(jiān)管標準應與傳統(tǒng)金融一致。同時,從事互聯(lián)網(wǎng)金融的企業(yè)應該配合監(jiān)管,不能用改變經(jīng)營模式的方式逃避監(jiān)管。此外,國有銀行應實施宏觀調(diào)控,以保證金融市場的穩(wěn)定性。
3、既要切實維護消費者合法權(quán)益,又要加強消費者教育
金融機構(gòu)應制定保護消費者權(quán)益的規(guī)章制度,提高消費者在互聯(lián)網(wǎng)金融中的安全感和滿意度,并且嚴厲打擊用高額回報欺騙消費者,非法吸收資金的互聯(lián)網(wǎng)金融企業(yè),并取消其經(jīng)營資格。金融機構(gòu)還應對消費者的個人資料進行保密,以減少內(nèi)部風險,保證行業(yè)的穩(wěn)定發(fā)展。由于互聯(lián)網(wǎng)金融消費者的文化水平和個人素質(zhì)有很大的差別,所以應展開不同層次的教育,以提高消費者的風險意識。
4、既要營造公平競爭的市場環(huán)境,又要實現(xiàn)全范圍的數(shù)據(jù)
監(jiān)測與分析互聯(lián)網(wǎng)金融企業(yè)應該始終遵守國家的法律法規(guī),堅持公平競爭的原則,抵制惡意競爭、互相詆毀的不良作風,而且不鉆法律漏洞,做違法犯罪的行為,以營造互聯(lián)網(wǎng)金融行業(yè)的和諧氛圍。金融機構(gòu)也要嚴格要求自身,按照國家規(guī)定進行計息與收費。同時,制定完善的風險管理體系,對風險進行動態(tài)的監(jiān)測與分析,并對金融監(jiān)管的條例加以補充和說明,以防給互聯(lián)網(wǎng)企業(yè)留下可乘之機。
5、既要強化行業(yè)自律,又要處理好與政府監(jiān)管的關(guān)系
自我約束的力量遠遠大于外界的監(jiān)管,對互聯(lián)網(wǎng)金融企業(yè)來說,互聯(lián)網(wǎng)給他們帶來了無限商機,應該把握好這個機會,不能因為眼前的利益而失去長遠發(fā)展帶來的收益。所以互聯(lián)網(wǎng)金融行業(yè)的領(lǐng)頭企業(yè)應主動承擔責任,制定行業(yè)內(nèi)部的規(guī)范標準,并與政府監(jiān)管機構(gòu)建立有效溝通,以促進行業(yè)與政府的和諧關(guān)系,與政府監(jiān)管機構(gòu)一起健全互聯(lián)網(wǎng)金融行業(yè)的內(nèi)部制度。
三、互聯(lián)網(wǎng)金融監(jiān)管的路徑分析
1、構(gòu)建有序有效的監(jiān)管體系
由于互聯(lián)網(wǎng)金融業(yè)務涉及的行業(yè)廣,難以監(jiān)管,所以應根據(jù)金融業(yè)務特點對其進行分類,并根據(jù)分類結(jié)果安排各政府部門的監(jiān)管職責。監(jiān)管部門應完善互聯(lián)網(wǎng)金融監(jiān)管方面的規(guī)章制度,加強內(nèi)部控制原則,并明確各自的職責,對各項金融業(yè)務實施分工監(jiān)管。當金融業(yè)務存在交叉時,各監(jiān)管部門也要通力合作,實現(xiàn)獨立監(jiān)管與合作監(jiān)管的完美結(jié)合,以提高監(jiān)管效率。同時,各部門之間要協(xié)調(diào)好工作內(nèi)容,防止監(jiān)管的遺漏和重復。
2、建立健全法律法規(guī)體系,實現(xiàn)依法監(jiān)管
法律法規(guī)具有強制性屬性,是約束互聯(lián)網(wǎng)金融企業(yè)行為的強有力的武器。可是目前我國的法律法規(guī)在互聯(lián)網(wǎng)金融方面只是一個基礎(chǔ)框架,內(nèi)部細節(jié)還不完善。所以應健全法律法規(guī)體系,對各互聯(lián)網(wǎng)金融機構(gòu)進行嚴格的監(jiān)管,以打擊違法犯罪行為,保證互聯(lián)網(wǎng)金融行業(yè)的規(guī)范性。監(jiān)管部門應從互聯(lián)網(wǎng)金融企業(yè)的日常工作入手,實施全面管理。同時,法律法規(guī)對金融監(jiān)管和政府部門也能起到很好的協(xié)調(diào)作用。
3、強化行業(yè)自律,規(guī)范行業(yè)行為
我國的互聯(lián)網(wǎng)金融行業(yè)門檻較低,而且沒有對新加入的互聯(lián)網(wǎng)金融企業(yè)進行過多的要求,導致企業(yè)之間為了各自的經(jīng)濟利益而惡意競爭,攪亂了市場,破壞了互聯(lián)網(wǎng)行業(yè)的形象,使得行業(yè)的發(fā)展受到阻礙。所以應限制互聯(lián)網(wǎng)行業(yè)的進入條件,提高企業(yè)人員的素質(zhì),對行業(yè)內(nèi)部資金進行監(jiān)控和管理,強化行業(yè)自律,使互聯(lián)網(wǎng)行業(yè)能夠保持規(guī)范、平穩(wěn)的發(fā)展。
4、加強金融監(jiān)測和宏觀調(diào)控,完善反洗錢制度體系
互聯(lián)網(wǎng)金融是金融模式的一次創(chuàng)新革命,所以監(jiān)管部門不僅要發(fā)揮出監(jiān)督職能,還要對各個部門進行協(xié)調(diào),實施多層監(jiān)管。監(jiān)管部門對互聯(lián)網(wǎng)金融公益性企業(yè)應給予大力支持,并降低貸款利率。同時,對互聯(lián)網(wǎng)金融企業(yè)實施配套管理,制定信息監(jiān)測報表,將企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)公開化,監(jiān)督貨幣的流向。此外,應完善反洗錢制度體系,對網(wǎng)絡(luò)支付平臺及金融機構(gòu)都進行監(jiān)管,嚴厲打擊洗錢行為,保障人民的經(jīng)濟利益。
5、建立并完善征信體系,提高稀缺金融資源的配置效率
我國應該加快社會征信體系建設(shè),大力發(fā)展信用中介機構(gòu),建立健全互聯(lián)網(wǎng)金融機構(gòu)、企業(yè)和個人信用體系,打造互聯(lián)網(wǎng)金融發(fā)展的商業(yè)信用數(shù)據(jù)平臺,推動信用評估體系建設(shè),最終達到抵御互聯(lián)網(wǎng)金融所帶來的風險,提高稀缺金融資源配置效率的目的。我國征信業(yè)管理部門應加大宣傳力度,積極建立個人征信運行系統(tǒng),連接和傳輸各大數(shù)據(jù)庫,對征信公司生產(chǎn)所需數(shù)據(jù)資源進行采集、檢索和處理,為社會各大主體提供優(yōu)良的征信服務。
6、加強市場參與主體的權(quán)益保護,提升社會監(jiān)督力
我國應積極優(yōu)化互聯(lián)網(wǎng)金融的生態(tài)環(huán)境,制定專門的互聯(lián)網(wǎng)金融消費權(quán)益保護辦法,強化信息安全管理,明確規(guī)定交易過程中的信息應該披露內(nèi)容、消費者個人信息保護內(nèi)容等,架構(gòu)消費者保護體系,確保消費者信息和資金安全,并適時出臺相應的投資者權(quán)益保護法律制度,建立互聯(lián)網(wǎng)金融投資者投訴受理渠道,解決相應金融糾紛,對于損害投資者利益的行為及時監(jiān)管處罰,大力保護投資者的權(quán)益,促進互聯(lián)網(wǎng)金融規(guī)范有序發(fā)展。
四、小結(jié)
