标准预测试卷四(个人信息安全保护)
满分:100分 时限:180分钟
一、注意事项
1. 本题本由给定资料与作答要求两部分组成,考试时限为180分钟。其中阅读给定资料参考时限为50分钟,作答参考时限为130分钟。
2. 请在题本、答题卡指定位置上用黑色字迹的钢笔或签字笔填写自己的姓名和准考证号,并用2B铅笔在准考证号对应的数字上填涂。
3. 请用黑色字迹的钢笔或签字笔在答题卡上指定的区域内作答,超出答题区域的作答无效!
4. 待监考人员宣布开始后,你才可以开始答题。
5. 所有题目一律使用现代汉语作答,未按要求作答的,不得分。
6. 监考人员宣布考试结束时,考生应立即停止作答,将题本、答题卡和草稿纸反过来留在桌上,待监考人员确认数量无误、允许离开后,方可离开。
严禁折叠答题卡!
二、给定资料
1. 随着我国信息化提速,互联网也正加快融入人们的生活。数据显示,截至2015年底,中国网民规模达到6.88亿,在网活跃智能设备数量接近9亿。伴随移动互联网应用向经济社会生活方方面面的渗透,海量的个人身份信息、生活信息、金融信息乃至生物信息,都会散布于无处不在的网络之中。个人信息呈现“裸奔”状态,随之而来的个人信息安全愈加备受关注。
2016年8月,被南京邮电大学录取的18岁山东女孩徐玉玉,接到一通诈骗电话,将家人辛苦一年积攒的9900元学费转入对方账号,得知被骗后昏厥,经抢救无效离世。紧随其后,在8月底,清华大学一名教师遭遇电信诈骗被“卷走”1760万元。接二连三的诈骗案件,使公民个人信息泄露和“精准定位”诈骗的严重性和危害性更加凸显。数据显示,约78.2%的网民个人身份信息被泄露,包括电话号码、购物习惯、身份号码等。从2011年至2015年,全国电信诈骗案件数量从10万件飙升至约60万件。仅2016年1~7月,因电信诈骗造成的经济损失就高达114.2亿元。中国通信网总编辑刘启诚说:“为何骗子如此猖獗?他们是从哪里得到受害人的精准信息的?我们的个人信息安全谁来保护?个人信息安全保护无人负责是‘电信诈骗’案频发的根源。”
虽然国内实施的《刑法》、《消费者权益保护法》、全国人大常委会《关于加强网络信息保护的决定》、工信部《电信和互联网用户个人信息保护规定》等法律法规,均有涉及互联网个人信息和隐私保护的内容,但是国内互联网个人信息安全保护的挑战依然严峻。一是执法主体不明确,好几个部门都有监管职权,但最终责任落在谁的头上却不明确。二是市场上存在劣币淘汰良币的现象,过量采集或者违法交易用户数据的公司没有得到制裁,使得许多中小互联网企业在开展业务过程中效仿类似手段,用户权益面临较大风险。三是企业法律意识不强,有的公司参与交易用户数据,直到被立案了才知道该行为涉嫌犯罪。专门从事相关领域法律问题研究的专家表示,和其他违法侵权案件不同,个人信息泄露造成的损失往往难以界定和举证,即便用户对各种信息泄露问题不堪其扰,但通过民事诉讼维权的难度却很大。参照发达国家做法,由政府监管部门出面,加大行政执法力度,才能取得比较好的效果。
2016年9月,最高人民法院、最高人民检察院、公安部等六部门联合发布《防范和打击电信网络诈骗犯罪的通告》,对用户个人信息设置了壁垒,在一定程度上弥补了我国在防惩电信诈骗方面的机制空白,尤其对电信运营商和商业银行提出了实名制和建立个人信息安全壁垒的要求。同时该通告也明确规定:严禁任何单位和个人非法获取、非法出售、非法向他人提供公民个人信息。对泄露、买卖个人信息的违法犯罪行为,坚决依法打击。对互联网上发布的贩卖信息、软件、木马病毒等要及时监控、封堵、删除,对相关网站和网络账号要依法关停,构成犯罪的依法追究刑事责任。电信专家项立刚说:“目前从源头完全堵住信息泄露是不可能的,希望电信运营商和银行通过实名制解决所有的问题也是不可能的,但是加强打击力度形成震慑、提高犯罪成本是必需的。”国家检察官学院教授沈海平强调,“没有同时对个人信息进行严密保护的情况下,要充分考虑实名制信息可能泄露带来的负面危害,个人的信息权利必须尽快由法律加以确认并且进行保护”。著名电信分析师付亮说:“六部门选择此时发布公告是因为打击电信网络诈骗到了新阶段,发现了新问题,因此需要产业链各环节都加强管理,提高诈骗门槛,有效遏制诈骗行为。”
2. 个人信息是怎么被泄露出去的呢?“通信、购物、住房、社交、出行等等,几乎现实生活中的方方面面都会产生信息映射到网络空间,另外行政办事需要填很多个人信息的表格,这些都可能是泄露个人信息的渠道。”中国电子信息产业发展研究院政策法规研究所副所长栾群介绍说,互联网大数据时代,人们在网络上留下越来越多的痕迹,很多用户习惯将私密信息上传,一旦采集信息的网络公司对此没有进行妥善保管和处理,信息泄露就不可避免。
北京一家互联网安全服务机构的相关负责人对于个人信息安全曾做过专门的研究。他讲述了这些泄露的数据是如何一步步进入黑色产业链并转化成收益的。“有人买就有人卖,这种链条庞杂难辨。”这一负责人说,既然下游有人愿意花钱,那自然就会有人通过各种手段去获取这些个人信息,目前个人信息从泄露、贩卖到营销、诈骗,已经形成了一条完整的黑色产业链条。既有源头的供给人员,也有促成交易的中间商,还有下游个人信息的购买方,信息被二次甚至多次贩卖后,也给不法分子提供可乘之机。
据了解,国内一些掌握大量用户个人信息的商业机构由于管理不善,内部员工盗卖用户个人信息的事件时有发生。就在不久前,一家国内知名的快递公司内部员工因为私下售卖快递信息,被警方抓获。对于公民的日常行为数据,比如投资、旅行等数据,都有可能在商家内部被泄露出去。
近年来,关于网站被拖库、撞库的新闻时常见诸各类媒体。统计显示,仅“补天”平台(漏洞响应平台)在2015年收录的可造成个人信息泄露的漏洞就多达1410个,涉及网站1282个,可导致泄露的个人信息量高达55.3亿条,这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄露了8条以上的个人信息。
木马病毒窃取消费者个人信息主要针对的是上网账号。根据统计显示,超过一半的流行木马病毒与网络盗号有关。而且盗号木马主要针对的是消费者的游戏账号、社交账号、网银账号和其他支付类账号。
目前,二手智能手机的回收、处理与再销售并没有规范和健全的行业标准。用户在出售自己的二手手机时,即便将通信录、短信、通话记录等信息全部删除,但如果没有对手机中存储的信息进行彻底的销毁,则有可能被不法分子恶意恢复数据并用于不法目的。
此外,一些新型的黑客攻击技术也正被越来越多地用于窃取消费者个人信息。比如,伪基站可以伪装成任意号码向用户发送诈骗短信,并诱骗手机用户登录钓鱼网站;钓鱼Wi-Fi则可以直接监听接入该Wi-Fi网络用户的所有上网行为。此外,远程篡改家用路由器,远程入侵智能手机,远程入侵网络电视盒等新型攻击方式也对消费者个人信息的安全造成了严重的威胁。
3. 某市市政府组织召开了一次专题研讨会,邀请相关专家及各部门工作人员,以“如何保护个人信息安全”为话题展开了讨论。以下是部分与会人员的发言摘要:
A:个体信息泄露,那是侵犯个人隐私,但若大量公民个人信息数据泄露,那就影响公共安全。在思想上,我们首先应该把保护公民个人信息安全上升到保护公共安全的高度。
B:公民个人信息被泄露和售卖的态势这么猖獗,这其中的罪魁祸首就是潜伏在各行各业中的信息内鬼。如何终止信息内鬼的行为?首先要做的就是增强他们的遵纪守法观念,增强他们的自律意识。很多时候他们对自己的行为是否构成犯罪没有直观概念,认为即便是被举报查处了也不会有太严重的后果。2015年修订的《刑法》将“侵犯公民个人信息罪”列为新设罪刑,但是仅有国家制度层面的警示还不够,各个单位也应将信息安全培训教育和岗位职责教育纳入常态化轨道,让单位的所有员工明白维护客户资料安全就是维护自己的职业尊严。
C:我们前段时间抓获的网络侵犯公民个人信息涉案犯罪嫌疑人中,有一部分人直接就是相关部门和企事业单位的工作人员,他们利用自己的职务之便,以每条数十元不等的价格向中间商提供大量的个人信息。他们自己供述说,虽然单位内部有相关方面的规定,严禁泄露客户个人信息,但实际上没人管,完全靠自觉。这说明相关部门、企事业单位自身在公民个人信息安全监管方面存在漏洞。
D:无论是从观念上还是机制上,包括许多政府部门和互联网企业在内,全社会对公民个人信息安全的保护并不到位,尤其是对重要网站、数据库和关键基础设施信息系统缺乏有力的网络安全审查和保护机制。许多社会主体,甚至包括某些政府部门没有形成足够强的网络信息安全观念,重信息收集而轻信息保护。没有信息买卖,就很难有电信诈骗危害;没有信息泄露,就很难有信息买卖。严惩个人信息买卖、严惩电信诈骗犯罪都很重要,但是更重要的还是网络安全,以及严密网络安全保护下的个人信息安全。
E:其实,那些收集用户信息的机构,有必要建立起完善的风险防御机制,如果自身不具备保护用户信息安全的能力,就应当将泄露的风险提前告知用户。应该加重信息收集机构身上的保护义务。
F:在信息安全保护方面,不管是要求政府部门监管,还是要求司法机关动起来,一个重要的前提就是人人保护信息,这样才可能使信息保护问题得到根本解决,否则只靠公权力机关方面去做是没有用的。此外,行政执法机关保护和司法保护,也是保护信息安全的一个重要方面。
G:以互联网竞争为例,我国的反不正当竞争法、反垄断法的制定已经有很长一段时间,这些法律在一定程度上对传统的竞争关系和垄断关系有规范作用,但是缺少互联网专门性的规制。从我个人看来,对于互联网竞争秩序的规制,要靠专门的互联网立法,更要靠一般性的传统立法。如果没有传统的立法作为基础,仅靠互联网立法,难以规范一些危害互联网安全和秩序的行为。世界上没有哪一个国家是在传统法律以外,纯粹针对互联网再建立一套互联网法律秩序,这是不可想象的,也是做不到的。在互联网发展过程中,我们要针对互联网技术应用的特点制定一些专门性的规则,但更要考虑到一些传统法律关系的适用,只有将传统法律与互联网专门规则结合起来,才能真正提供一种秩序规范。
H:平时吃完饭把银行卡给服务员刷卡的时候,在网上留下各种信息的瞬间,我们的个人身份和经济信息很可能已经被侧录,接下来就有可能会成为诈骗犯罪分子的目标,而被泄露的信息有可能被用作作案工具。因此提高个人信息安全意识至关重要,防范电信诈骗要从源头做起,从我们自身的点滴生活习惯做起。
I:公众的个人防范意识不强,我们应该多进行宣传,提醒公众要认真甄别来电和接收到的短信息,不要轻易打开来历不明的短信,不要随意下载链接软件,不要轻易提供或录入银行卡账号、密码等涉及财产安全的重要信息。有一条破解所有诈骗手段的必杀技,那就是“反向核实”:无论接到显示为银行、公安、快递还是手机运营商等机构的客服类电话或短信,要求转账汇款、提供信息或点击链接时,应立即拨打官方客服电话或向权威部门求证核实;接到银行信息可以到银行网点咨询;对于家人朋友之间的求助信息,最好通过多种途径验证其身份。
4. 世界各国都十分重视个人信息保护,采取了很多措施以避免个人隐私泄露和信息被滥用。
美国多采取行业自律模式。2005年,美国通过一批保护个人信息的法律,如《隐私权法》《信息保护和安全法》《防止身份盗用法》《网上隐私保护法》以及《消费者隐私保护法》等。2011年4月,美国一些重量级的参议员又提出关于在线综合信息保护立法的议案。据了解,美国保护隐私权的法案早在1974年就已通过生效,之后又有《财务隐私权法》《联邦电子通信隐私权法》《家庭教育权利及隐私权法》等不断补充进来,各州还制定了一些保护本州公民隐私的细化法律。在美国一些州,居民每天早晨扔在门口的垃圾袋,只能由垃圾处理公司的专用卡车运走,任何人如果未经许可擅自搬运或打开垃圾袋,都有可能面临侵犯公民隐私权的起诉,因为垃圾袋中难免会有信用卡收据、电话和购物账单等隐私信息。
欧盟在1995年通过《欧盟个人数据保护指令》,协调各国国内法以确保个人信息在欧盟范围内自由流动。同时建立有数据保护监督专员制度,严格管理机构和组织搜集、录制和储存、重新提取、发送或使其他人员获得、删除或销毁数据的行为。
在德国,有这样一则事例。王某到法兰克福出公差,委托朋友提前订酒店。找到酒店后,经理将客人姓名、房间及价格等信息整理好,最后按惯例要求出示信用卡作为预定担保。碰巧朋友没有带信用卡。“那你有名片吗,或者提供你的家庭地址?”朋友递过名片。酒店经理一边记录一边说:“有你的家庭地址,万一你恶意违约,我就可以上门找到你。”房间订好后不久,王某的行程发生变化,酒店房间只好取消。酒店经理说:“这很正常,没有关系。你提供给酒店的客人姓名及你的名片,如果不想再过来取我们就帮你销毁。”德国个人信息的作用之大及德国人对个人信息的重视和保护,由此可见一斑。在德国生活的人们几乎从未收过除手机运营商之外的其他广告短信,电子邮箱也是,唯一能看见的“垃圾广告”只有信箱中“哪儿举行展览”“比萨饼搞优惠之类的小单子”等。德国对个人信息的尊重和保护并非全凭自觉。早在1970年,德国黑森州就颁布了旨在保护公民个人信息的《数据保护法》,这是世界上最早的隐私保护法。8年后,德国联邦政府开始正式立法保护公民个人信息。此后,德国联邦政府设立的《联邦数据保护法》和各个州的数据保护法相互配合,全面保护德国公民个人信息和隐私。
为使每个市民都能放心地享受IT社会的便利,日本政府向国会提交了关于保护信息的五部法律。其中,最重要的是《个人信息保护法》,这是日本保护个人信息安全的根本法律,于2005年4月1日开始全面实施。此后,5000个拥有个人信息的企业都被视为信息处理机构,需要向主管大臣报告有关情况,如果没有根据新法律采取有效的改善措施,将遭受到刑事处罚。在早稻田大学担任兼职讲师的一位日本人说,由于《个人信息保护法》等条例的推广实施,不随便使用个人信息、泄露他人个人信息,已经成为一般性常识。如,教员想和学生联系,需要了解学生的电话号码,就要向管理大学生个人信息的部门提交申请书,如果申请不被批准,就无法知道学生的电话号码。在日本重视个人信息保护的情况下,个人信息的保护也成为巨大商机,一些社会团体和公司致力于从事与个人信息保护有关的业务。比如“Security NEXT”网站上每天随时发布个人信息泄露的事件、政府和企业采取的对策、出售各种保护个人信息的书籍、软件等。除了公司,一些民间组织经过认证,也在每天刊登信息泄露的情况,并且传授防止个人信息泄露的方法。日本政府同样注重提高公民的个人信息保护意识。经过几年的宣传和普及教育,个人信息安全意识已渗透到日本人的生活中。
刘丽在新加坡一家酒店工作,要经常开会、会客,不时收到的推销电话和垃圾短信让她不堪其扰,“这些电话还专会挑时间。不忙的时候一个没有,一忙起来不停出现。垃圾短信多了,有时也懒得看,但不看又怕工作短信漏了。”针对个人信息被滥用的情况,新加坡国会于2012年10月15日通过了《个人信息保护法案》,要求商业机构和个人在收集当事人个人信息之前必须征得同意并说明用途;法案还允许个人通过将自己的号码注册到“谢绝来电推销”的号码名册,从而选择不接收推销的电话和短信,向这些号码拨打推销电话和发送信息的违法者可能会被处以多达100万新元的罚款。
在加拿大,许多人都会被不时响起的推销电话打扰,其中不乏死缠烂打的,十分烦人。针对这样的情况,加拿大推出了“电话黑名单”制度。任何加拿大电话、移动电话和传真用户都可免费拨打一个固定号码,将骚扰电话的号码申请列入“个人来电黑名单”,一旦申请获批,31天内该号码理论上将不可能再拨通申请人的电话、手机或传真。骚扰信息的源头,是个人信息的泄露,实际上,加拿大制定了很多保护个人信息安全的法律,如1983年生效的《隐私权法》,还有《个人信息保护和电子文件法》。除了联邦层面,许多省份也制定了自己的地方性隐私保护法规,比联邦法规更严格、细致。
5. 大数据时代,个人信息保护面临前所未有的新挑战。第一,随着移动互联网的普及和智能穿戴等物联网设备的应用,个人信息的收集日益密集和隐蔽;第二,多重来源的个人信息进行比对累积,能够形成完整的个人画像和实时追踪,使人们无处遁形;第三,大数据技术能通过特定算法从既有信息中挖掘出新结论,不仅增加敏感信息暴露的风险,还可能用于影响个人权益的决策,如评估个人信用状况等;第四,在数据开发价值的驱使下,个人信息的流转、交易形成链条,信息处理主体多元,传播方式纷繁复杂,对于个人权利行使及政府监管均构成严峻挑战。因此,保障大数据时代个人信息安全对个人、对社会、对国家都有着举足轻重的意义。
卡巴斯基实验室董事长兼首席执行官尤金·卡巴斯基:每年有31万款最新恶意软件出现,网络犯罪每年对全球经济造成的损失在4000亿到5000亿美元之间,很多国家的GDP都没这么多。现在是信息安全的黑暗时代,但是人们正在研究的一些技术和应用创新会把我们从黑暗中拯救出来。
思科首席信息安全官史蒂夫·马提诺:我们需要一个完整的安全防御系统,网络安全的各个环节必须能协同作战。很多网络专家使用最先进的技术,解决单个网络威胁,但非常忽视“合作”的重要。比如病毒钓鱼软件,都是连环式侵入的,先发邮件、点链接、登录网站,病毒由此进入企业网络。因此,网络安全防护应该是组合式的,专家们协同合作,将邮件、网络等环节的信息互通,一旦发生危机,就能在最短时间找到漏洞在哪儿,快速阻止。未来,希望商业、技术、机构之间的合作越来越多,为了一个健康的网络生态,我们需要更多的联合。
阿里巴巴CEO张勇:信息技术发展日新月异,当今天还在讨论隐私保护、移动安全时,人工智能、智能制造、语音图像识别等新技术新应用已经成为下一个风口,物联网时代正在到来。网络安全正在发生全方位的变化,怎样超前地预测下一个风口,为下一个风口做安全准备,是今天必须思考的课题。网络安全的保护不是静态的,必须用发展的眼光为下一个风口做安全准备。安全的持久生命力来自进攻、来自溯源,今天我们共同面对的网络黑灰产,绝对不是个体行为,也绝对不是偶发行为,光靠防是防不住的。只有真正利用大数据,利用技术,对网络黑灰产上游进行层层追踪、层层溯源,才能使产业和消费者真正安全。
360公司董事长周鸿祎:360有一个“补天”平台,对全国的网站进行漏洞扫描发现,全国有几十万个网站有漏洞,不法分子有可能会利用漏洞入侵网站,非法获取个人信息。有的漏洞修复很简单,打个补丁就好了。我们把发现的漏洞通报给网站,但大部分都如同泥牛入海。他们甚至觉得我们是狗拿耗子多管闲事。一个网站的漏洞挂在那里好几年了,一个小黑客就能轻松攻破,但现在没有这样的法律和法规约束网站的行为。一个餐厅卫生方面不达标,消防方面不达标,政府管理部门随时都责令停业。商业网站也是一样,有漏洞不及时修补,那么就像餐厅卫生不达标一样,需要整改。我们应对网络安全进行立法,从源头上保护个人信息。
三、作答要求
(一)给定资料1中提到“个人信息安全保护无人负责是‘电信诈骗’案频发的根源”,请根据给定资料1,解释这句话的内涵。(10分)
要求:全面、准确。字数不超过200字。
(二)给定资料2介绍了个人信息泄露方面的相关知识,请依据给定资料2,概括回答个人信息泄露的主要途径。(15分)
要求:全面、准确、有条理。字数不超过150字。
(三)给定资料4提到了一些国家在保护公民个人信息安全方面所做的工作。请依据给定资料4,谈谈我国在保护个人信息安全方面能从中得到哪些启示。(15分)
要求:全面、准确、简明。不超过200字。
(四)假如你是某社区的工作人员,面对频发的个人信息泄露案件,为了提高社区居民保护个人信息安全的防范意识,计划在全社区开展一次“重视个人信息安全,提高个人防范意识”的讲座。你作为社区工作人员,请撰写一篇讲话稿。(20分)
要求:(1)内容全面,紧扣材料;
(2)观点明确,简明扼要;
(3)语言流畅,条理清晰;
(4)不考虑格式要求,不超过500字。
(五)给定资料5提到了大数据时代个人信息保护面临前所未有的新挑战。请以“大数据时代的个人信息安全”为题写一篇文章。(40分)
要求:(1)参考给定资料,但不拘泥于给定资料;
(2)思路清晰,语言流畅;
(3)总字数1000~1200字。
扫描右侧二维码,免费获取更多练习。
在线题库