信息泄露论文大全11篇
时间:2022-02-06 04:06:04
篇(1)
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,grossman和stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在r&d的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在r&d过程中研发信息的无意传播,因为从r&d中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年wal-mart宣布不再和information resources inc.和acnielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了wal-mart的竞争对手,从而使walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由supplychainaccess.com进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是soundscan,还有newbury comic的上游供应商——唱片公司。
另外,从supplychainaccess.com的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,gm公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于internet网络体系构建的。internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为代理人。在供应链信息共享过程中,代理人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和代理人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,代理人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于代理人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦代理人违反保密协议就给出相应的惩罚。
除了和代理人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使代理人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对代理人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网vpn来构架信息安全框架。vpn可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献:
[1] grossman s j, stiglitz j e. on the impossibility of informationally efficient markets[j].american economic review, 1980, 70(3):393-408.
[2] baccara m. outsourcing, information leakage, and consulting firms[j].rand journal of economics, 2007, 38(1):269-289.
[3] li l. information sharing in a supply chain with horizontal competition[j].management science, 2002, 48(9):1196-1212.
[4] hays c l. what wal-mart knows about customers′ habits[n].the newyork times, 2004.
篇(2)
一、个人信息的内容
网络时代的个人信息,主要是指存储于个人计算机、手机或网络上一切与个人利益有关的数字信息,主要包括姓名、年龄、性别、生日、身份证号码等个人基本资料,手机号码、固定电话、电子邮箱、通信地址、QQ和MSN号码等个人联系方式,网银账号、游戏账号、网上股票交易账号、支付宝账号等个人财务账号,网页浏览记录、网上交易记录、论坛和聊天室发言记录等个人网络习惯,个人不愿被公开浏览、复制、传递的照片、录像、各类文档等个人文件数据。
二、个人信息泄漏的危害
个人信息泄露一般是指不愿意让外界知道的个人信息被外界知晓。个人信息一旦泄漏,轻则导致被骚扰、个人隐私被曝光,严重的会导个人经济利益损失,甚至威胁到人身安全和国家安全。
1.个人信息泄露导致个人备受骚扰。个人信息泄露后,可能会不时接到广告短信和电话。比如经常收到某些商场打折广告,购房者经常收到房屋中介、装修公司的推销短信,购车者经常会接到推销保险的电话等等。
2.个人信息泄露导致经济损失。当前,网上炒股、电子银行和网络购物已经越来越流行,个人电子账户增多。而网上交易具有多种安全风险,如果不注意容易导致个人电子账户等信息泄露,可能会引起经济损失。
3.个人信息泄露导致自身安全受到威胁。涉及到个人家庭、住址与收入等敏感信息的泄露,有可能导致损害个人安全的犯罪事件。有些小偷获得了他人的信息后,先拨打电话,确定家中是否有人,然后再进行盗窃。个人信息的泄露也沦为一些不法分子打击报复、绑架、敲诈、勒索、抢劫甚至故意伤害、故意杀人等严重犯罪作案的工具。
4.个人信息的泄露甚或威胁到国家安全。许多人认为个人信息泄露,没什么值得大惊小怪的。但是对于军人或者国家重要部门公务人员来说,一旦个人信息被别有用心的情报机构获得,有可能从这些看似保密程度不高的信息中提取出重要的情报。据有关军情报专家说“一张士兵的工作照片,有可能从中看出一些绝密设备或军事设施的内部情况”。
三、个人信息泄漏的成因
个人信息泄漏的成因主要有以下三个方面:
1.个人信息保护的法规与制度不够完善。现阶段《宪法》和其他法律尚未明确规定侵犯公民个人信息和隐私权的范围及其追究方式,导致个人信息经常被人倒卖或泄露而无法追究责任,进而出现很多为获利而盗取个人信息的机构和产业。
2.某些单位信息安全管理理念滞后。某些掌握大量公民个人信息的部门,如电信公司、网站、银行、保险公司、房屋中介、某些政府部门、教育部门、房地产公司等,信息安全意识淡薄,管理技术措施不力,信息管理制度不健全,造成个人信息有意或无意被泄露。
3.个人信息安全保护意识不强。个人缺乏信息和隐私权的保密意识,在网络环境下也容易泄漏个人信息。比如随意接受“问卷调查”,填写个人信息,遨游互联网时不经意个人信息,未采取安全措施登录挂马网站,个人计算机中病毒等等。
四、个人信息泄露的主要途径
近几年,各种信息秘密泄露事件比比皆是。人民网曾经开展了一次有关个人信息泄露的调查,结果显示,9O%的网友曾遭遇个人信息被泄露;有94%的网友认为,当前个人信息泄露问题非常严重。笔者认为,个人信息的泄露途径主要分为主动泄露和被动窃取两种。
1.主动泄露。主动泄露是指个人为实现某种目的而主动将个人信息提供给商家、公司或他人。比如消费者在就医、求职、买车、买房、买保险、办理各种会员卡或银行卡时填写的个人信息,参加“调查问卷”或抽奖活动,填写联系方式、收入情况、信用卡情况等内容,登录网站注册会员填写的个人信息等等。个人主动将有关信息泄露给商家,而商对个人信息没有尽到妥善保管的义务,在使用过程当中把个人信息泄露出去。
2.被动窃取。被动窃取是指个人信息被别有用心的人采取各种手段收集盗卖。比如通过利用互联网搜索引擎搜索个人信息,汇集成册,出售给需要购买的人,通过建立挂马网站、发送垃圾电子邮件或者电话查询等方式,以各种“诱饵”,诱使受害人透露个人信息,通过病毒、木马和黑客攻击个人电脑或者网络服务器盗取个人电子账号、密码等等。
五、个人信息安全保护措施
个人信息安全的保护应当从完善法规和管理制度、提高个人意识和采取技术措施三方面着力。
1.健全个人信息保护的法规与制度。首先,国家应为保护公民个人信息安全创建良好的法律环境。2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》,文件明确规定了公民个人信息受国家保护,任何组织和个人不得窃取个人信息。该文件一旦正式出台,必将很大程度加强个人信息安全保护。其次,国家和地方相关管理机构应为保护公民个人信息安全创建良好的社会环境。国家和地方相关管理机构应制定个人信息安全保护制度与实施方法,促进各行各业对公民个人信息的合法利用、合理利用。再次,掌握公民个人信息的行政机关、法人和组织应建立起相应的信息安全管理机制,这样才能从根本上解决公民个人信息安全问题。
2.提高个人信息安全素养。个人在其信息保护上是第一责任人,要提高个人信息安全素养,养成良好的个人信息管理习惯,控制好个人信息的使用范围。首先,对互联网利用较多的人,需要加强对个人电脑的安全防护,安装并升级杀毒软件与防火墙。为重要的个人信息加密,计算机设置Windows和屏幕保护密码,在互联网浏览网页和注册账户时,不要泄露个人敏感信息。当遇到一些必须输入个人信息才能登录的网址时,输入的个人数据必须限于最小的范围,并且,妥善保管自己的口令、帐号密码,并不时修改。其次,谨慎注意网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录,不访问安全性不明的网站,不轻易加入各类社交网络,与来历不明的人共享信息。最后,尽量不要在qq空间、个人网站、论坛等上传个人重要信息。
3.采用技术手段。对掌握大量个人信息的企业而言,堵住人为漏洞需要完善制度,而堵住技术本身的漏洞,最好使用技术。要加强新产品新技术的应用推广,不断完善信息系统安全设备诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等的性能,强化应用数据的存取和审计功能,确保系统中的用户个人信息得到更加稳妥的安全技术防护。对于在互联网上遨游的个人而言,可以使用技术加强个人信息保护。比如对个人敏感数据进行加密,即使这些数据不小心被盗,也将是看不懂而无用的。
参考文献
[1]李振汕.基于互联网的个人信息保护的探讨[J].网络安全技术与应用,2009(3).
篇(3)
中图分类号:D924.33 文献标识码:A 文章编号:1009-5837(2011)02-0016-05
一、证券内幕交易罪的罪过形式分析
对于内幕交易、泄露内幕信息罪的罪过形式问题,中国法学界的观点大致可分为如下几类。
(一)故意、过失说
“故意、过失说”又可分为两种观点。(1)认为本罪的主观方面既可以是故意,也可以是过失。其理由在于:从立法目的上考虑,如果将本罪的主观方面限于故意将不利于对证券期货市场正常秩序的维护,因为“内幕人员有时可能会因为疏忽大意、保密观念不强,造成内幕信息的泄露,为了严厉打击内幕交易活动,使负有保密义务的义务人严格履行义务,对此类人应认定无论故意或过失均构成内幕交易罪。”(2)区别对待说,该观点认为内幕交易罪只能由直接故意构成,并且还应具有为自己或他人牟取非法利益的目的,而泄露内幕信息罪可以由故意也可以由过失构成。坚持此说的观点从刑事立法技术与泄露行为的危害的角度出发阐述原因。1)中国相关法律在规定泄露秘密时,如果仅使用“泄露”一词则包含故意泄露与过失泄露两种情形,如1988年的《保守国家秘密法》中的泄露国家重要机密罪,而如果需要区分故意与过失泄露时则会附加相应的“故意”、“过失”限定语,如《刑法》第398条第1款的“故意泄露国家秘密罪”与第2款的“过失泄露国家秘密罪”。以之为对照,《暂行办法》第4条第2项(泄露内幕信息)并未使用“故意”一词,因此,泄露内幕信息罪的主观方面可以是故意,也可以是过失。2)
(二)故意说
该说因是否以目的为必备要件的不同而分为“故意、目的说”与“故意、无目的说”。(1)“故意、目的说”认为本罪在主观方面表现为故意,并且以“为自己或他人牟取利益或减少损失”的目的为必备要件。有研究者甚至强调如果是出于其他理由则不构成本罪。(2)“故意、无目的说”则认为:本罪的主观方面只能是故意,不包括过失,而且一般具有获利或减少损失的目的,但本罪不是目的犯,因为并非所有的内幕交易、泄露内幕信息的行为都是以获取利益或减少损失为目的,如以提供内幕信息为筹码收取贿赂,或以报复目的而泄露内幕信息等;另有研究者进一步指出本罪只能由故意构成,故意既包括直接故意,也包括间接故意,但犯罪目的并不是必要条件。该说与前一种见解的不同在于明确肯定了本罪可由间接故意构成,即,内幕交易罪由直接故意构成,而泄露内幕信息罪则包含直接故意与间接故意两种形态。
(三)直接故意说
该说认为本罪仅能由直接故意构成,因为:1)证券犯罪是一种新型的刑事犯罪,只有达到严重的程度才可能构成犯罪,从立法原意上来看,中国刑法中意图惩治的该罪只应该是故意而不包括过失;2)过失构成犯罪须以法律明文规定为条件,而《刑法》第180条并未规定本罪可以由过失构成;3)由于内幕交易、泄露内幕信息行为都是以非法获取利益或减少损失为目的的,所以本罪只能由直接故意构成。
笔者支持故意说,认为内幕交易行为只能由直接故意构成,而泄露内幕信息行为可以由直接故意也可以由间接故意构成,过失不能构成本罪,目的不是本罪的必备要件。理由如下。(1)根据中国《刑法》第180条的表述,内幕交易行为是指明知是内幕信息而仍利用其进行交易的行为,主观方面应仅限于直接故意,而泄露内幕信息行为则应包含直接故意与间接故意两种形态,因为如果将泄露行为仅限于直接故意则无法保证内幕人员等能够保守秘密,如某董事将内幕信息文件放在自己的办公桌上自行离去,任由他人观看,或者在公众场合高谈阔论内幕信息等,这些放任信息泄露的行为都会造成相当的危害,如不加制约,则违法行为人都可以“不具有直接故意”为由免受处罚。(2)《暂行办法》作为政府规章,其效力不等同于作为法律的《保密法》,因此不能将两者中的“国家秘密”同等看待,况且《暂行办法》中关于内幕信息的规定并不科学,后来出台的《证券法》已不再将政府在经济管理及宏观决策方面的未公开的重大信息规定为内幕信息。因此,依据《保密法》关于过失也可以构成泄露国家重要机密罪的规定,并不能推导出过失泄露内幕信息也能构成泄露内幕信息罪的结论。在国家机关工作人员过失泄露政府在经济管理及宏观决策方面的未公开的重大信息,严重扰乱证券市场秩序时,可以适用《保密法》的规定进行处罚。(3)中国《刑法》第17条第2款规定:“过失犯罪,法律有规定的才负刑事责任。”而《刑法》第180条并未规定“过失”泄露内幕信息的刑事责任。因此,过失不构成本罪。对于因过失造成内幕信息泄露的行为,可依据《证券法》给予相应的行政处罚,但无须作为犯罪处理。(4)刑法分则在规定目的犯时,其罪状描述中一般都使用“以……为目的”或者“为了……”等内容,而第180条中未作此规定,可见立法者并不打算将目的作为本罪的必备要件。美国诸法中也不以“营利动机”作为内幕交易罪的必备要件,SEC(美国证券和交易委员会)进行查处与提讼时只需证明交易人可能获知了内幕信息并实施了相关交易即可推定其“欺诈”行为的成立。
对于本罪的罪过形式与主观要素内容,笔者认为应分别归纳如下。
(1)内幕交易行为以直接故意为限,表现为行为人明知该信息为内幕信息,并且利用其进行交易的行为会侵犯一般投资者的合法权益,扰乱证券市场秩序和侵犯国家对证券交易的监管制度,而希望该危害结果发生的心理状态。
认识要素:1)行为人明知其知悉的信息为内幕信息;2)行为人明知利用该信息进行交易的行为属于违法行为;3)行为人明知该利用行为会发生侵害投资者权益、扰乱证券市场秩序等结果。
意志要素:行为人希望发生上述结果。此外,行为人一般具有牟取非法利益或减少损失的目的,但
本罪不以该目的为限。
(2)泄露内幕信息行为既可由直接故意,也可由间接故意构成。表现为行为人明知该信息为内幕信息,并且泄露该信息会发生侵害投资者权益、扰乱证券市场秩序等结果,而希望或放任该危害结果发生的心理状态。
认识要素:1)行为人明知该信息为内幕信息;2)行为人明知泄露该信息的行为属于违法行为;3)行为人明知泄露该信息会发生侵害投资者权益、扰乱证券市场秩序等结果。
意志要素:行为人对上述结果持希望或放任的心理态度。
以上要素中,较为复杂的是对行为人的“明知”和交易人“意图利用内幕信息”的故意的判断。下文中将结合外国法的相关判断方法,对上述问题点进行分析。
二、证券内幕交易罪主观方面的问题解析
(一)对“明知”的判断
如上所述,本罪的故意要素中的“明知”,是指行为人对信息内容、性质、交易行为的违法性与危害性的明知。对于该问题,是无法利用直接证据加以证明的,学理上对“明知”要素的判断方法可归纳为两种观点。(1)严格责任原则式方法,该观点认为只要能证明知悉内幕信息的人在该信息正式公开前,进行了与该信息有关的证券交易,即成立内幕交易行为。或者,只要证明行为人利用职务接触到了内幕信息并实施了交易行为,就可以认定行为人对内幕信息有认识,即明知是内幕信息。(2)过错推定原则式方法,该观点认为知悉内幕信息的人员只要自己进行交易或将信息泄露给第三人,均应被推定具有主观恶意。若行为人无法提出确凿反证,则恶意成立;若行为人提出诸如贷款到期、财务状况恶化、企业濒临破产等特殊原因而不得不买卖证券的确切证据,并经法院确认属实,可以考虑不将其作为内幕交易处理。这种过错推定式附加举证责任倒置的制度源于美国的判例。
1.美国法中的“明知”
(1)“明知”地位的确立。美国联邦证券诸法中并未明文规定“明知”(知道或应当知道)问题,对于“知道或应当知道”的地位、内容以及证明方法等都是通过判例法逐渐发展起来的。在1976年的Ernst & Ernst v,Hochfelder案件中,最高法院首次指出“知道或应当知道”是依据1934年《证券交易法》第10条b项及规则10(b)5请求私人损害赔偿诉讼的必要因素,而在1980年的Aaron v,SEC案件中,最高法院又援引了Ernst & Ernst v,Hoch-felder案件的判决意见,并进一步指出“知道或应当知道”也是SEC根据第10条b项及规则10(b)5提起禁止诉讼的必要因素,至此,最高法院确立了“知道或应当知道”是构成违反第10条b项及规则10(b)5的必要因素的原则。
(2)“明知”的内容及判断方法。在SEC v,Macdonald案件中,第一巡回法院认为内幕交易中的“知道或应当知道”应包含三方面的内容:1)实际知道未公开的重要信息;2)知道该信息尚未公开;3)知道该信息是重要的。但由于该意见并未得到最高法院的认可,因此,难说是已成为定论的观点。况且,在内幕交易行为、泄露信息行为、盗用信息行为中,“知道或应当知道”的内容是略有差别的,在内幕交易行为中,可以上述三方面的内容,并通过内幕人员的身份、内幕人员的交易行为等因素推定其“知道或应当知道”。但在泄露内幕信息或盗用内幕信息案件中,对于泄露信息者、接受信息者、盗用信息者的责任问题,美国法院曾产生过激烈的争论。一般认为,对于泄露信息者的“知道或应当知道”,可以通过推定的方式得出,如在Dirks事件的一、二审中,法院都认为“当某人故意地将他所知道的实质的、未公开信息泄露给他能合理地预计到将会利用该信息牟利的人时”,“知道或应当知道”即告成立,但该案的最高法院判决却并未对“知道或应当知道”进行分析,因此,直至今日,对于该问题的判断方式也并不明确,各级法院一般会在认定“泄露信息者为了个人利益而故意地泄露实质的、未公开的信息”的基础上,认定泄露信息者的“知道或应当知道”的成立。而对于接受信息者,如果根据古典特殊关系理论或信息泄露理论判断的话,必须证明信息接受者“知道或应当知道”泄露者的泄露行为违反了诚信或信赖义务,但在第二手以后的泄露中,上述证明是很难实现的,因此,这两种理论在规制泄露信息行为时存在明显的短板。与之相对,盗用理论则不要求控诉方 证明上述“知道或应当知道”的成立,因而,在规制信息泄露问题方面,“盗用理论”具有明显的优势,同样的优势也存在于盗用信息案件中。
在实际判断中,由于“知道或应当知道”很难获得直接的证明,因此,美国法院一般是通过如下间接证据推定其存在的:1)试图撤销交易或采取措施尽可能避免其交易被发现;2)将其交易分散到众多账户中;3)在雇主将有关材料放到雇员的办公桌上不久,该雇员就买入了收购要约目标公司的股票;4)在公司业务有重大进展的声明之前,买入了大量的股票;5)在给知道重要的、非公开信息的人士打过电话后,就立即买入了大量的股票;6)大量融资来买卖股票;7)有时,大量买人期权、卖出期权或卖空,也有内幕交易之嫌。
2.欧盟指令中WJ“明知”
欧盟1988
(二)“意图利用内幕信息”的故意
由于美国的SEC规则10(b)5对证券欺诈的主观形态规定为“欺罔”,因此,如欲认定交易人的行为违法,必须证明其存在意图利用内幕信息的“欺罔”的故意,最高法院同样并未对如何认定上述故意做出明确规定,因而下级法院的判断方法也较为混乱。有研究者认为,关于“欺罔”意图的存在是无法直接
证明的,但可以通过其他的间接证据推导出,并进而认定欺诈的成立。
“欺罔”作为被告的主观要件,是指希望通过利用积极的虚假表示或者消极的事实隐瞒以达到使交易对方因不了解或者误解交易信息而陷入错误判断的主观意愿,是行为人的目的要件,但不以行为人意图的实际达成为必要;通常表现为作为或者不作为的不实表示,但亦不以行为人是否实际实施行为为必要。作为纯粹主观性的要素,该意图的存在很难获得直接的证明,因此,法院在判决中一般采用推定的方式,依据行为人的不实表示行为推定其存在。即,如果行为人应承担披露义务,但其实施了不实表示,则推定欺罔的意图存在。
披露义务是由被告的特殊身份所决定的,判断标准在于被告是否属于证券法中规定的“内部人”,该法根据相关性理论,将内部人分为“传统内部人”与“准内部人”。前者包括1)公司的董事、监事、高级管理人员;2)控制人,即控股股东;3)公司雇员;4)内部人的配偶、直系血亲、家族信托人;5)内部情报受领人。后者是指凭借与证券的业务或交易关系而获取内部情报的人员。也就是说,只要符合上述身份的人员,在获知内幕信息时就应承担“披露或戒决义务”。
关于重要性事实,1976年的美国联邦最高院TSC Industries判决指出:所谓重要的事实是指在理性的股东应如何投票决定时,被认为是重要的具备实质可能性的事实。判决同时还对实质可能性进行了解释:如果在省略的事实得以公开时,理性的投资者会将其作为能够在很大程度上改变了本来可供利用的情报总体的事实而接受的话,那该事实就具备实质可能性。由此可见,实质可能性的实际适用是较为客观、严格的,必须同时具备两个客观要件:很大程度与情报总体,但同时也带有一般主观判断的色彩:理性的投资者。这样一来,事实重要性的判断就不是一个空洞的理论,具备相当的实质操作性,并且也只有结合具体的案件才能实施判断。因此,虽然TSC Industries事件判决是针对有关劝诱委任状的14(e)9规则的重要性问题的解释,但随后的关于10(b)5的判决也开始援用该理论。
总之,美国判例在认定行为人意图利用内幕信息的“欺罔”存在时,首先证明“行为人具有披露义务”与“不实表示重要”两要素的成立,而后便可推定行为人具有“欺罔的意图”。这种间接推定模式避免了直接举证的困难性,有利于对内幕交易者进行追诉,从而保护了一般投资者的合法权益并保证了证券市场的有序运作。
三、推定模式对中国证券犯罪的意义――代结语
美国联邦证券诸法出台的背景是1929年的大萧条,而萧条的导火索便是纽约证券交易所的股价狂跌,股价狂跌的根源之一便是内幕交易、操纵股价等证券欺诈犯罪的猖獗。因此,证券诸法出台的直接目的便是加强对证券违法、犯罪行为的监管,这也是SEC的主要任务,SEC成立的第一年,首任主席约瑟夫・肯尼迪便关闭了12家小型的股票交易所并调查了2300多个证券欺诈案件。“因此,立法宗旨是从现代经济人无限追求利润最大化的立场出发,认为行为人只要实施了疑似内幕交易的行为便推定其存在主观恶性,除非其能证明自己清白,否则便构成内幕交易罪。这种“有罪推定”式的思考模式似乎有违现代刑法的“疑罪从无”的基本理念,却在惩处证券犯罪、稳定证券市场方面发挥了相当大的作用。尤其是在以客观行为论证交易人的主观恶性方面。而这一点正是目前中国证券内幕交易迭发但却查处不力的原因所在。
中国证监会将2010年定为“打击内幕交易年”,而在接近年末时,证监会、公安部、监察部、国资委、预防腐败局五部委又经国务院同意,联手提高了打击力度,推出了《关于依法打击和防控资本市场内幕交易的意见》,拟制定“内幕交易举报奖励制度”等多项制度以取得更好的惩治效果,由此可见监管机构对于规制内幕交易行为的决心之大。笔者认为,上述制度的创设自然对于规制内幕交易行为具有重要的意义,但目前对内幕交易事件调查多,处置少的主要原因之一在于很难找到有效的证据证明内幕交易人员具有相应的故意,多数情况下只能依靠行为人的供述,而供述在证据链中的证明力之低是无需赘言的,尤其是在需要确定罪责的案件中。因此,目前查处内幕交易罪的困难在于:证监会无法仅依据客观的疑似犯罪行为认定内幕交易罪的成立,从而导致大量的脱法现象的出现。为改变内幕交易行为查处方面一直存在的行为发现难、查处难与举证难的三大难题,美国法的推定模式的引入是关键所在。否则,中国证券内幕交易将永远活跃于证券市场中,证券市场也将难以避免暴涨与狂跌交替出现的局面。
参考文献:
[1]严军兴,肖胜喜.新刑法释义[M].北京:中共中央党校出版社,1997.
[2]梁华仁,王洪林.析证券内幕交易罪[J].法学杂志,2001(5):9-13.
[3]周道鸾.刑法的个性与适用[M].北京:人民法院出版社,1997.
[4]张军.破坏金融管理秩序罪[M].北京:中国人民大学出版社,1999.
[5]满炫,周刚.内幕交易犯罪法律问题研究及其立法完善的思考[J].贵州警官职业学院学报,2003(6):23-26.
[6]薛瑞麟.金融犯罪再研究[M].北京:中国政法大学出版社,2007.
[7]玉梅.证券内幕交易罪几个问题刍议[J].广西政法管理干部学院学报,2000(3):22-24.
[8]冯锦彩.内幕交易罪的犯罪构成浅析[J].山西科技,2008(3):81-82.
[9]邓又天.中华人民共和国刑法释义与司法适用[M].北京:中国人民公安大学出版社,1997.
[10]魏东.关于内幕交易、泄露内幕信息罪司法认定的若干问题再研究[C]//赵秉志.新千年刑法热点问题研究与适用.北京:中国检察出版社,2001.
[11]刘宪权.证券期货犯罪理论与实务[M].北京:商务印书馆,2005.
[12]陈兴良.刑事法评论:第三卷[C].北京:中国政法大学出版社,1998.
[13]蔡奕.证券内幕交易的法律问题研究[J].当代法学,2000(3):81.
[14]扬亮.内幕交易论[M].北京:北京大学出版社,2001.
篇(4)
随处可见的统计信息,尤其是网络时代,统计信息泄露的速度和铺盖面更广,统计信息从收集的原始资料开始,在传输的各个环节都被泄露的危险,信息泄露体例也变的多种多样,那么如何对统计信息资料进行有效的管理,防止统计资料的泄露呢?
一、统计信息资料泄露概念
统计泄露是指统计部门在为社会提供的统计信息资料中,不泄露任一单个个体 (如个人、企事业单位等 )的资料。这里有两层意思 ,一层是统计泄露的问题,另一层是控制方法的问题 ,两者是密不可分的。
众所周知,统计部门对外公布的资料,基本上来说有两种,即汇总 (综合 )资料和微观资料 (调查单位原始资料 )。事实上 ,原始数据是汇总数据的原材料,在计算机大规模使用以前 ,实际上我们只把它用来汇总制表 ,然后向社会提供汇总数据。现在,由于计算机现代化技术的应用 ,使原始数据的提供变成了现实,我们也在不知不觉中以某种形式向社会提供了这方面的服务。由于原始数据泄露的危险性大大高于汇总数据,所以 ,人们对统计泄露控制的需求日益增加。
统计机构的目标是为社会提供丰富的统计资料,在提高数据质量和详细程度的同时,也增加了单个个体资料泄露的危险性。这种泄露当然不是统计产品本身的意图,而是由于社会获取资料的权力与单个个体资料需要保密的权力之间的差距造成的。因此,简单的说,统计泄露控制的最大目标就是在有效的保护单个个体资料(使人们认不出资料属于哪个个体)的前提下,为社会提供尽可能多的信息(但不应损害数据的完整性、准确性和可用性)
二、目前统计信息资料泄露的现状
进入信息时代,信息成为一项重要资产。以网络为载体,以信息资产为核心的新经济革新了传统的资产运营模式。信息资产蕴涵的价值随着技术的进步不断得到提升。企业需要把信息看作一种战略资源,将其作为资产要素进行有效监管,其中包括了对信息本身、信息技术及设备、从事信息活动的组织和人员的有效管理。
目前,个人信息泄露问题非常严重,个人信息泄露危害无处不在。刚拿到新房钥匙就有人上门推销装修、保单刚要到期就有人向你推销保险、刚打完股票咨询电话众多股票公司的服务电话就蜂拥而至、刚从电视购物买了东西就有很多公司打来新产品的推销电话。包括姓名、职业、电话、家庭住址等在内的个人信息资料不经意就会被公然暴露在世人面前。一家门户网站曾做过一次有关个人信息泄露的调查,结果显示,90%的网友遭遇过个人信息泄露。现在更是出现了明码标价售卖个人信息的情况,在某些网站只需输入搜索的人名,就可以立即查到此人的信息,甚至包括家庭电话、手机号码、工作单位、婚姻状况、犯罪记录、银行借贷记录、个人财产记录等个人重要信息。如“100元出售当地30万车主电话、地址等详细信息”、“孕产妇信息一元一条”之类的信息,也频繁在网上出现。更为严重的是,这些泄露出去的信息往往被犯罪分子利用。目前,利用个人信息进行敲诈、诈骗的案件已成高发态势,防不胜防。信息化在提高企业管理效率的同时,也使企业同时承受着巨大的信息安全的风险。全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。而病毒的泛滥,更让国内众多企业蒙受了巨额的经济损失。因此,加强信息安全建设,已成为目前国内外企业迫在眉睫的大事。
三、统计信息资料泄露的危害
首先给犯罪分子以可乘之机,我国社会的不断发展,个人信息使用频率不断增加,伴随着这种趋势,个人信息受到侵犯的情况也已呈蔓延之势,给人们的工作和生活带来了极大的影响。目前,利用个人信息进行敲诈、诈骗的案件已成高发态势,防不胜防。2012年10月31日江苏一起诈骗案,5个月竟然拨打7000个电话,骗了22名受害人。
其次造成公民对调查机构的信任危机,作为一名统计人员,我有切身体会,2010年的人口普查,按照上级统计要求必须进入每家每户,取得填写个人资料,然而当我们带着工作证挨家挨户去敲住户的门时,遇到的各种状况,让我终身难忘记,有的不开门,有的即使开门了也不给进屋,甚至进屋后还冷着脸,好像我们就是小偷,就是来窃取他们的个人资料似的,还有的说着难听的话,这就是对我们公共调查机构产生了一种信任危机,担心我们把取得的资料给他们泄露出去,给他们带来骚扰、损失或伤害。
四、统计信息资料泄露的控制方法
1、对外时采取的保护措施
首先对原始资料的保护,在对原始资料对外进行公布的时候,要对原始资料进行必要的修改,确保对外公布的安全性,对原始数据的保护有以下几种方法a、隐名法。即在原始数据之前,从文件中删除直接表识变量,如姓名、地址、电话等。b、抽样法。由于是从普查对象中随机抽选的一个样本,所以就无法确定某记录是否属于某个特定的个体。c、全局重编码。把原始数据资料中的变量按新的变量重新分组,由于它包含的资料没有原始数据那么详细,因而也起到了避免泄露数据的作用。d、局部隐藏。这种方法指导数据资料中的相关记录进行处理,而不对全部记录进行替换,这种方法实用任何变量。e、取消极端数据。为了避免数据资料,在公布是把这些极端数据从原始资料中删除。
其次就是对汇总的数据资料的保护a、“单元隐藏”法。这是一种最常用的方法,就是简单地把不公布的单元的值从表中隐藏掉,这种方法应注意的一个问题是,尽可能避免数据用户通过表中的相关数据计算或估算出个体资料。b、重新设计汇总表。除了隐藏单元的数据外,人们还可以考虑重新设计汇总表,如行合并、列合并等。c、改变分组的范围。这种泄露控制的目标,是通过改变分组的范围来避免统计资料的泄露。d、近似数。这种方法主要是通过对结果进行干扰,以达到对出现频数较小的数据单元进行保护的目的,这种方法的基本指导思想是:先确定取舍的基数,然后再找该数的最大整数倍数,最后再按照一定的“近似规则”对余数进行取舍。
2、在数据存储方面,采用可靠的存储介质
现代科技发展,信息技术产业盛行,很多病毒的发明严重威胁着计算机的安全,导致信息泄露,计算机网络安全信息管理很有必要。由于不同的存储方式的安全性不同,可以选择保密性好的数据库文件,而且在相应数据库管理系统中能够实现强大的数据操作系统;其次选用安全性能好的存储介质,切实做到网络信息安全防护,才能有利的实现健康的计算机网络安全环境,有效的防止统计信息泄露。
3、建立统计信息保护的网络系统工程,减少中间环节
加强统计网络信息传递的安全因素。首先,对信息共享的过程进行监控。在施行信息交流和共享过程的同时,应加强信息交流和共享数据的动态控制;其次,加强防火墙建设,免遭网络信息集成中的信息系统遭受外部黑客人侵的危险。统计信息的泄露很大一部分是网络安全问题带来的,以目前网络信息维护防范的现状,加强信息安全管理就要从计算机安全技术上着手,对计算机系统的安全信息漏洞加以检测、修补、分析,同时根据监测分析的结果制定有针对性的完善防护措施方案;构建安全系统体系即建立起有针对性的系统安全防火墙、网络杀毒防护软件、入侵检测扫描系统等防护安全体系。严格按照安全管理制度的要求加以规范,同时要加强安全防护意识。目前许多资料的上报都是采用网上直报系统,网上直报系统提供了一个灵活、规范的数据采集和处理平台,大大减少中间环节,降低泄露的几率,
4、加大统计信息泄露刑事处罚力度,加强学习教育,专人保管
统计信息的泄露除了计算机的安全隐患外,人为因素不可忽视,统计人员的责任心不强,导致信息泄露的例子不在少数,对于这些人为因素造成的统计信息泄露,统计部门应该经常组织学习,提高对职业道德重要性的认识,加强统计人员的保密意识,增强统计人员的责任心,同时加大对统计信息泄露的刑事处罚力度。一是对信息资料的泄露者,除按法律规定处罚外,还要利用公众舆论对不注重职业道德的统计人员进行谴责,利用大会小会,讲人不讲事,使其他统计人员从中汲取教训。二是坚持诚信用人的原则。对那些俯首贴耳,弄虚作假,不关心群众的统计人员,坚决不聘用在统计岗位,即使专业能力再强,缺少职业道德也是如此。三是尽快建立完善的市场退出机制。对那些不遵守行业守则,不守信用,泄露个人资料严重者,将驱逐出统计行业。
5、建立统计信息保密制度
(1)对属于根据秘密的统计资料,应该标明密级。(2)在属于国家秘密的统计资料刊物和文件的制作、收发、传递、摘抄、保存和销毁,应严格审批手续,并形成一套制度。(3)不准在私人交往和通信中泄露属于国家秘密的统计资料。(4)属于私人、家庭的单项调查资料,非经本人同意,不得泄露,这里的单项资料是指统计部门收集的反映个人及家庭情况的原始登记材料,这样不仅有利于保护被调查者的合法权益,而且有利于消除被调查者的后顾之忧,增进被调查者对调查者的信任感,使他们能够如实的提供统计资料。
6、建立健全的防止统计信息泄露监督体系
统计监督体系的构建包括内部监督、社会监督的监督体系,内部监督包括要加强对调查项目的管理,取得的统计信息资料进行监督,确保从源头上控制统计信息泄露,降低传输过程中的泄露;社会监督包括通过热线电话、电子邮件和官方网站3种途径受理市民反映统计信息泄露问题,或者聘请社会业务监督员,定期召开座谈会的形式,加大社会监督力度。
监督作为一种权利,常常与利益相伴,即监督与奖惩是紧密联系在一起的,没有有效的奖惩结构,监督作用和效力就随之削弱。当前违法成本较低,很大程度上影响了统计监督效力的发挥本末错位——重视监督检查,忽视制度建设。
改革开放以来,我国统计行业也得到了蓬勃的发展,统计工作取得了巨大的进步,统计是一个信息系统,它的目标是向统计信息使用者提供决策有用的信息,从而充分发挥统计信息资料的作用,切实控制统计信息资料的泄露。
参考文献:
[1]任志勇,张洪毅,孟祥鑫.网络信息安全技术的发展[J].信息与电脑(理论版), 2009;8
[2]高波. 基于网络信息安全技术的探讨[J].科技资讯,2009;14
[3]梁方明,李海洋.网络信息安全分析与研究方向[J]. 中小企业管理与科技(上旬刊),2009;5
[4]羊兴.网络信息安全技术及其应用[J].科技创新导报,2009;24
[5]赵秦.计算机网络信息安全技术研究[J].中国新技术新产品, 2009;14
篇(5)
对信息泄露防御(Data Leakage Prevention,DLP)的通常解释是: 通过一定的技术或管理手段,防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。通俗地说,就是防止对数据非授权的访问和获取。
当前,信息泄露防御主要分为两大类: 一类是主动防护,采用数据加密、信息拦截过滤技术对数据本身进行防护; 另一类是被动防护,采用访问控制和输出控制技术对访问数据的用户操作行为进行防护。
主动防护根据所采用的技术又可以分为两种: 信息拦截和数据加密。信息拦截过滤部署在网络出口和主机上,对进出网络主机的数据进行过滤,发现数据被违规转移时,进行拦截和警报。然而,信息拦截在防止数据泄露的过程中无法进行细粒度的权限验证,这一问题越来越突出―只要数据接收者符合输出规定就允许数据流出,却不能确定具体的接收者是否拥有数据接收的授权,因此必须结合其他的信息防泄露技术加以补充和完善。
数据加密技术采用密码技术首先对数据进行加密,然后通过密钥管理和密钥的分发实现对数据解密的授权,只有被授权的人才能解密和使用数据。但是,数据加密是依托密码技术对数据进行保护的,对数据在明文使用时产生的数据泄露无法进行保护; 同时,随着计算能力的不断提高,密码破解的代价越来越低,而且,针对密钥的攻击也是破解密码的有效途径,因此不可能完全依靠加密来防止信息泄露。
被动防护是指采用访问控制和输出控制技术,对访问数据的用户操作行为进行限制和防护,大部分被动防护系统都是从身份认证、权限管理、输出控制这几个方面着手的。基于目前的应用结构,被动防护面临很大挑战―大部分的输出控制和访问控制都是基于操作系统之上进行的防护,从理论上讲都可以被拆卸、篡改或绕过。
“终端无痕”
防止信息泄露
通过对现有信息防泄露技术的分析,我们发现两个问题: 首先,目前信息防泄露技术没有将用户和数据结合起来进行统一考虑,考虑问题的角度也不够全面; 其次,目前的信息防泄露技术是基于传统网络信息系统应用架构之上的,信息数据分布在网络系统之中的各个角落,安全防护的难度很大。
尤其是在传统网络信息系统架构之中,数据广泛分布和流动在整个网络空间的终端、服务器、网络设备之间,数据流动空间大、范围广、环境复杂,因此,防泄露技术难度很高,风险也很大。必须对传统网络应用模式进行改造,将应用和数据集中存放和部署在服务器区域,用户使用的应用软件也集中在服务器上运行。
如此一来,数据流动的范围就缩小到后台的少量服务器上,将数据的应用环境固定化、简单化,这有益于对数据进行安全保护,以全面防止信息泄露。由于数据处理过程是在服务器上进行的,数据从来没有进入过终端,自然就没有信息痕迹,这就实现了“终端无痕”,用“终端无痕”防止信息泄露的解决方案如左图。
五大优点值得应用
采用数据集中存储、集中运算处理、用户与数据和应用之间安全隔离、用户细粒度授权访问控制、用户远程虚拟操作等一系列技术的“终端无痕”解决方案具备以下几大特点。
安全边界小 通过数据集中存储、应用集中部署和运行,缩小了数据流动的范围,将安全边界缩小到了服务器区域,并在服务器与终端之间部署网络隔离,对用户进行身份认证、授权访问控制、传输加密保护等以保护边界安全,防止信息泄露。
绕不过的强制性安全防护措施 采用边界防护设备结合虚拟应用模式对用户进行强身份认证,保证用户身份的真实性; 同时,应用授权机制限制了用户对数据的操作。
篇(6)
数据服务公司Dun&Bradstreet(D&B)于3月份泄露了一个数据量高达52GB的数据库,据推测有大约3370万个电子邮件地址和联系信息被泄露。该数据库包含姓名、职位、工作职能、工作电子邮件地址和电话号码,以及一般的公司信息。据称,这些泄露的数据已经在黑色市场中被出售给大量的公司,带来深远的影响。
二、美国求职网站AJL泄露480万笔求职者信息
2017年3月,美国求职网站America’s JobLink(AJL)爆发了一起重大数据泄露事件,影响到美国十个州的众多求职者。在本起事件中,一名黑客利用AJL应用程序的一个漏洞窃取了480万笔求职者的数据,暴露的数据包括求职者姓名、生日和身份识别号码。
三、2亿美国人的投票数据被暴露
2017年6月,美国共和党全国委员会承包商——营销公司Deep Root Analytics托管在AWS S3上的数据库泄露,暴露了超过1.98亿美国公民1.1 TB的资料,约占投票人口的61%,泄露的数据包含美国选民的个人信息,如姓名、出生日期、家庭住址、电话号码和选民登记细节。
四、1400万Verizon客户个人信息泄露
2017年7月,美国电信公司Verizon因为错误设定云服务器的安全设置,造成超过1400万Verizon客户个人信息外泄到网络上,这些数据包含用户的姓名、电话号码以及可能被用于访问其Verizon账户的PIN码。
五、黑客窃取Equifax客户数百万笔信用卡和驾照号码
2017年9月,Equifax称客户的敏感信息被窃,包含了数百万笔的信用卡和驾照号码。这些事件最早是在7月发现的,美国网络应用一个漏洞导致黑客被允许访问某些特定文件,从而导致1.43亿信用和信息服务客户受到影响。
六、雅虎30亿帐号或已全部泄露
2017年10月,雅虎发布公告称,在2013年的数据泄露事件中,有大概30亿笔帐号(包含当时雅虎所有的用户)泄露,而不是之前所估计的10亿笔,数据泄露的影响范围远超过此前的估计。
七、Uber隐瞒5700万账户泄露事件
2017年11月,Uber主动公开了去年发生了一起严重的数据泄露事件,据悉,黑客通过外部代码托管网站GitHub获得了Uber在AWS上的账号和密码,从而盗取了5700万乘客的姓名、电子邮件和电话号码,以及约60万名美国司机的姓名和驾照号码。为了隐瞒此事件,Uber曾向黑客支付10万美元封口费。
八、趣店数百万学生数据或遭泄露
2017年11月,媒体发布消息称,趣店百万学生的数据疑似外泄,泄露的数据出包括借款金额、滞纳金等金融数据外,甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。据称,此次数据泄露事件有可能是内鬼所为,内部人员主动泄露这些数据以进行报复。
九、14亿账号密码数据库在reddit论坛被公开
2017年12月,安全人员检测到国外reddit论坛上公开了一份长期在暗网中心交易的数据文件,这些数据包含了14亿用户的用户名和密码,可能是迄今为止数据泄露规模最大的一次。这些泄露的用户名和密码可能导致用户的账号被窃取,账号内的个人信息与资产也受到威胁。
十、支付公司TIO Networks 160万笔客户账号受影响
在收购支付公司TIO Networks几个月后,PayPal发现TIO网络出现未经授权存取数据的行为,可能让客户面临信息被窃的风险,因此宣布暂停营运。这一数据泄露事件影响了约160万笔客户帐号。
数据泄露呈现新态势,云端数据面临严重威胁
通过对2017年数据泄露事件的分析,亚信安全发现,导致数据泄露的传统因素依然大面积存在,这包括:没有对数据存储的安全性进行充分关注,错误的安全设定,缺乏实际保护数据的安全解决方案,以及使用存在未修补漏洞的软件。其中任何一个环节出现问题,都有可能导致企业珍贵的数据资产泄露。
亚信安全技术总经理蔡昇钦表示:“大量的数据泄露事件并不是单纯的由安全漏洞等技术问题所引发,或是纯粹的人为错误。在很多情况下,数据外泄的原因同时涵盖了技术疏漏与人为错误。因此,在防范数据外泄,需要在企业内部开展严格的安全培训,并尽量封锁所有可能产生的安全漏洞。”
另外,2017年数据泄露事件呈现出来的一个突出特征是云端数据威胁的扩张。随着云计算商业模式的成熟,越来越多的企业将业务迁移到云环境,云数据库也日益普及,这些都对数据库安全环境产生了重大影响。一旦云平台出现安全漏洞,或是在迁移过程中没有充分考虑到安全因素,都有可能导致企业数据成为黑客攻击的目标。
在2017年,商业流程入侵(Business Process Compromise)对于企业数据的威胁也有增大的趋势。黑客会直接到地下黑色市场上购买或收集对外公开的数据库,然后再自行筛选出有价值的数据(如帐号密码或身份识别信息)。有了登录的账号密码,黑客就能在网络内横向移动,进而窃取更多数据,或者将数据加密以进行勒索,甚至是进入企业基础架构系统中植入恶意程序。
打造数据安全保护最佳实践,未来任重道远
针对愈发迫切的数据泄露威胁,亚信安全建议企业在数据保护的各个环节都建立有效的防御能力。企业应该进行统一的数据安全管理,使数据安全策略应用和流程策略可以跨越多个数据存储库,提供对敏感数据的可见性,对于可疑事件进行警报和报告,并执行更加严密的数据加密与数据脱敏策略。
亚信安全通用安全产品总经理童宁表示:“针对云端的数据安全威胁,企业最好打造能够支持安全策略自适应、工作环境自动感知、实现虚拟化优化和软件定义云架构对接的跨越云数据中心的统一管理平台,在数据中心和云端实现一致的安全性,简化云安全的部署和配置,对云环境实现弹性、动态的自动化防护。”
为帮助企业保护宝贵的数据资产,亚信安全提供了以下最佳安全实践建议,这包括:
定期修补和更新系统;
篇(7)
一时间,各种消息真假难辨,人人自危。
2011年12月28日,国家工业和信息化部(下称工信部)发表声明称,已经启动应急预案。其下属国家互联网应急中心(CNCERT)30日数据显示,截至2011年12月29日,已通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
2012年开年后,中国正式进入“5亿网民”时代,网络又传出新浪7000多万用户信息可被攻破,网络信息安全显现出前所未有的脆弱。
2012年1月10日晚间,国家互联网信息办(下称国信办)就连环泄密事件所做的情况调查通报,却显得风平浪静。通报披露,近期查处的五起信息泄露事件中,最终确认被黑客入侵并遭泄露者仅CSDN和天涯社区两家网站,被入侵均为2009年前的陈年往事;其余数据泄露或为公司内部职员监守自盗,或是“一些人编造或炒作网站用户信息被大规模泄露的消息”。
国信办称,“其中既有出于个人进行炫耀或骗取钱财的目的,也有一些网络安全公司销售人员想以此提高知名度、推销自己的产品,还有个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。”
1月11日,“泄密门”中第一个登场的CSDN在北京召开媒体会称,将与阿里云计算有限公司合作,联手为开发者打造一个安全可信的服务平台。闪光灯频照,频受泄密诘问的CSDN以“受害者”形象出现。其余相关信息被泄露的网站亦作出类似反应。
同日,一位接近工信部通信保障局的人士向《财经》记者表示,该部门对泄密事件的调查工作已经“告一段落”。
泄密风暴来得迅猛,淡化也快,在这背后,国内网络信息安全现状仍然脆弱,这意味着反思不够却刻不容缓:黑客产业链如何存在、当如何应对,用户信息泄露如何追责,互联网法制建设仍待健全。
哪些信息丢了:“泄密”实与虚
依据国信办2012年1月10日的通告,此次泄密事件中,最终被判定确实发生了网站、论坛用户数据泄露事件的,仅有CSDN、天涯社区以及广东“YY”语音聊天网站三起。其中除后者属公司员工利用职务之便监守自盗外,前二者皆因2009年以前被黑客入侵致信息泄露。
事件最早披露是在2011年12月4日,黑客“臭小子”(网名)在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。
2010年5月上线的乌云网,定位为“自由平等的”漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。截至2011年11月,已有接近4000个安全问题得到反馈和处理。
随后半个多月内,事情并未引发公众关注。直到2011年12月21日,金山毒霸产品经理韩正奇在微博爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露。一份名为 “CSDN-中文IT社区-600万.rar”的文件在网上疯传。
四天后,12月25日,一份大小为386M的泄露文件“天涯数据.kz”让“泄密门”升级,该文件保存了天涯社区的用户名、密码、邮箱三个数据。经网友验证,大部分数据可登录成功。
事后,CSDN与天涯的回应时机、措辞如出一辙,均称被盗并遭泄露的明文密码数据系2009年前的备份数据,升级后已采取加密保护措施,但并未对泄露规模予以确认。两者亦已在第一时间向当地公安局报案。不过,有用户质疑,2009年后注册的账号也被泄露。
“此次信息泄露并无任何商业目的。”天涯市场部公关经理初蒙向《财经》记者表示不解。据了解,数据为何泄露,为何在年底集中爆发,是公安机关侦查的重点。CSDN董事长蒋涛则告诉《财经》记者,北京市公安局已抓获涉嫌入侵CSDN的黑客。据了解,这两名黑客或为互联网公司的技术人员。
依据国信办通报,其他多起网络传播的社交网站及电子商务网站泄密事件,公众不必多虑:新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵,网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。
但与上述说法矛盾的是,在2011年12月28日时,当当网官方已就“当当网1200万用户信息遭泄露”发出公告称,该数据系2011年6月之前的老数据,是由于之前遭到网络黑客攻击被盗取;2012年1月4日,游侠安全网创始人张百川在其网站上了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录魔术师刘谦的微博进行验证。该帖子称,这涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。
国信办通报还称,犯罪嫌疑人要某(网名“我心飞翔”)入侵京东商城网站后,在乌云网发帖称掌握京东商城漏洞,后以公布该安全漏洞要挟京东商城支付270万元。但要某并未窃取、泄露该网站相关数据,因涉嫌敲诈勒索,现被刑事拘留。
而对于“泄密门”高潮,交通银行、民生银行被传泄露数以千万计的用户信息,及卡号、密码、姓名的截图传播,国信办表示,这纯属24岁青年王鹏辉(网名“挨踢客”)凭空捏造,是为提高所在网站知名度的自我炒作,公安机关已对其予以训诫。
通报当晚,王鹏辉向《财经》记者表达了委屈,他坚持自己并非捏造者,只是从一个IT交流QQ群里看到信息,出于善意提醒到个人网站,并非信息源头。
此外,包括支付宝账户信息在内的更多在网络流传的数据包问题,国信办并未提及。
被“忽略”的还包括广东省公安厅出入境政务服务网网上申请数据泄露问题:2011年6月24日至12月29日期间,在广东申请出入境的用户信息包括真实姓名、出生年月、电话、护照号码、港澳通行证号码等在内的个人信息遭到泄露。该事件已为广东省公安厅证实。网友估计泄露总信息量超过444万条。
令人担忧的是,即便如通报所言,仅有CSDN与天涯社区发生大规模数据泄露,这些账号信息也会对用户关联账户产生巨大危害,并为恶意黑客用做建设密码破解数据库。
有网民由此认为:“CSDN明文储存密码,不是技术问题,而是道德问题。”
“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码。”专业IT博客“月光博客”撰文表示,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的论坛还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。”
对此质疑,CSDN与天涯社区的官方回应表示,早就放弃明文密码这种不负责任的存储方式,所泄露部分只是网站早期账号密码数据库,因历史原因并未及时清理。
蒋涛承认,过去安全意识薄弱:“从来没想过在安全上要做一些什么样的工作。”他回忆,早在2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让他大吃一惊,“你的数据是怎么保存的,谁能获得它?”
“因为自认为CSDN是以论坛用户为主的社区,数据并不属于敏感数据,技术网站可能也没有太多商业利益给黑客挖掘。”蒋涛解释。
用户信息泄露后,CSDN请杭州安恒信息技术有限公司对其进行安全审计,结果表明主要有四方面问题:第三方系统漏洞;已停用的老系统;应用程序漏洞;系统后台认证。蒋涛对此表示,“我们有100台服务器,但是只有三名运维人员。”
窃密者为什么:“黑产业”演进
在网络安全圈内,CSDN和天涯网站被“拖库”的消息早有流传。“一年前就听说过了。”张百川告诉《财经》记者。
“拖库”在业内被戏称为“脱裤”,即黑客入侵有价值的网络社区,把会员资料数据库全部盗走,之后再利用这些数据库信息,或开展定点攻击,或利用用户在不同网站通用一套账号和密码的特点来“撞库”,扩大战果。
“拖库”成功后,可以直接将数据整库出售,如卖给被“脱裤”网站的竞争对手,也可以按照数据所蕴含的价值进行“洗库”,即将各种含有虚拟货币、游戏装备和QQ号等账户洗出来,直接或间接变现,几番“洗库”之后,数据库还能卖给产业链的下游――利用账号信息来发送广告、垃圾短信和垃圾邮件的推销公司。
其时,网络信息地下黑色产业链的两大牟利手段“挂马”和“钓鱼”正发生着截然相反的变化。
所谓“挂马”,是指不法分子在网页中嵌入恶意代码,当用户访问这些网页时,会自动下载、激活木马程序,变成受控的“肉鸡”,通过弹出广告、推广流氓软件等方式为远程控制者赚钱;而“钓鱼”则是不法分子模仿银行、购物网站、炒股网站、彩票网站等建立网站,将钓鱼网站和线下诈骗广泛结合,使得诈骗者的犯罪成本急剧下降,跨地区、甚至跨国性犯罪呈上升趋势。
根据瑞星互联网安全报告,2011年上半年截获的“挂马”网站总数目为236万个,比上年同期下降了91.2%,这也是连续第二年以90%以上的幅度下降。原因在于,“挂马”受到各大网络安全公司严重打击,免费杀毒软件在个人终端的普及程度也大幅上升,这种网络攻击手段越来越无利可图。
与之相反,网络“钓鱼”的危害程度达到新高,2011年上半年瑞星截获钓鱼网站218万个,逾1亿零53万人次网民遭钓鱼网站侵袭。按照此类诈骗的平均金额计算,造成直接经济损失至少在百亿元以上。
与此同时,“拖库”作为一种网络犯罪形式日渐流行。在国际上,“拖库”已造成多起重大网络安全事件。例如2011年4月开始,索尼旗下的多个网站陆续被黑客攻陷,约1亿用户个人信息被黑客盗走,该事件导致索尼的直接经济损失超过千万美元,对其声誉和业务的影响更是巨大。
一位不愿具名的某“网络安全俱乐部”组织者透露,在国外一些需要熟人推荐才能加入的地下站点,论坛里会列出求购的网站及相应悬赏报价。“在黑客眼中,库不在大,而在于精。”该组织者对《财经》记者称,曾有个非常小众的国外站点――一个高尔夫球俱乐部社区,“整个库的数据量也就几百M,却卖到了100多万元人民币”。
实际上,“很多人不敢去深度开发,将数据库转手卖掉是最好的获利方式。”游侠安全网创始人张百川说。
根据自2011年9月1日起生效的最高法院、最高检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息十组以上;获取其他如账号、口令等身份认证信息500组以上;非法控制计算机信息系统20台以上;违法所得5000元以上或者造成经济损失1万元以上,即可判处三年以下有期徒刑等刑罚。如达到上述标准的5倍以上,可处三年以上七年以下有期徒刑。
在纽约证券交易所一家美国上市公司就职的一位企业架构师分析,黑客凭借自身网络技术,找一份体面的工作并不难,大部分人不会去实施犯罪行为,而是游走在边缘地带。从理论上说,黑客的入侵行为都会在网站日志里留下痕迹,一旦犯事,这些蛛丝马迹就会成为破案线索。
然而,数据库所蕴藏的价值极具诱惑,部分黑客依然会实施深度发掘,只不过会主动控制风险。该企业架构师透露,最常见的手法是严格执行对被盗账户的小额操作――即使单个账户中的虚拟货币很多,也只转出一部分,让账户主人很难察觉;即使被发现,由于每个孤立的窃取行为被控制在立案标准以外,账户主人也难以申诉。而且,要立案必然涉及跨地域问题,大大增加了追查成本。
这样,尽管对每个账户攫取的价值不高,但汇集起来就是一个很大的规模。
你安全吗:信息安全家底
安天实验室首席架构师肖新光(网名江海客)告诉《财经》记者,攻击者在此前较长的时间里,获取了大量资源,应是这次泄密事件的前提。而后期的心理跟随效应、一些厂商各有初衷的推动、一些假库和假消息各怀目的的传播,起到了推波助澜的效果,这些影响也会慢慢消散。
然而,“攻击者群体手中还有更多的库是完全有可能的”。肖新光说。
北京神州绿盟信息安全科技股份有限公司(下称绿盟科技)一位网络安全专家甚至称,“几乎所有国内互联网大站都出现过大批量的信息泄露问题”,只是碍于声誉不愿公开。
多位网络安全专家向《财经》记者表示,目前国内网站安全整体现状不容乐观。
这背后的原因,首先是安全意识淡薄。1月6日,在中国计算机学会青年计算机科技论坛上,国家计算机网络应急技术处理协调中心副总工程师杜跃进指出,国内很多网站都是“编程好了就完了,口令写在程序里面,直接在电信运营企业那里跑”,很少有人重视代码安全。
此外,国内网站在信息安全方面的资金投入严重不足,中国的安全市场占全球的比例仅为个位数,安全投入在信息系统建设投入中的比例,与先进国家有太大差距。根据国际数据公司(IDC)数据,2010年全球信息安全市场的总额达到1188亿美元,同期中国信息安全市场的规模仅为12.48亿美元。IDC对12个国家2850家公司开展的一项调查结果显示,目前国外信息安全投入占整体IT信息投入的比例为14.5%,但在中国这一数字仅为6.5%。
本已捉襟见肘的信息安全投入,还面临着贫富不均的尴尬。在肖新光看来,“如果没有对安全价值的共识,安全厂商一般很难和网站形成很紧密的合作。”互联网巨头建立了较大的安全运维团队,甚至会和安全厂商争抢人才;但在多数中小型网站,安全投入普遍很低,甚至没有独立的安全人员。此外,网站应用比较复杂,编程人员安全编码能力较差,也是很普遍的现象。
360网站安全检测平台的数据显示,目前国内约83%的网站存在各种安全漏洞,其中34%为高危漏洞。这些漏洞导致最严重的后果就是用户数据库泄露。
不过,如果采取了适当的加密方式,即使被“拖库”也不等于密码泄露,当“拖库”与不正确的加密方式同时发生时,才会导致密码泄露。
此次泄密风波中,最让公众震惊的是交通银行等金融机构数据泄露的网络传言。北京宇信易诚科技有限公司网银产品部副总经理梁强认为:“对网银用户,传言造成的主要是心理上的影响。”
与其他互联网服务将用户体验放在第一位不同,网银和第三方支付平台如支付宝等,在网站架构时就把安全性放在首位,宁可牺牲一些用户体验。
网银系统的安全保障大致来自三个方面。在客户端,通过增加专用密码输入键盘、U盾等措施,降低安全风险。
而在通信网络上,目前所有网银都是使用HTTPS通道。与网络常用的HTTP通道的直观区别在于,网络地址栏的开头显示为“”,而非“”。它相当于在HTTP通道构建了一个秘密安全通道,保证了用户与银行终端间信息传输的安全,提高侵入难度。
为什么大多数网络社区不用这种更安全的传输方式呢?一个最关键的问题是成本的增加,如购买设备、后期维护及证书等,证书还要数年更换一次。同时,这也不利于有关机构对网络信息的监管。
功夫下得最多的还是在银行的服务器端,包括网络架构安全、系统设计安全、Web应用安全、数据安全等方面,都有远胜普通网站的严格规范。仅以防火墙为例,一般网银系统至少设置三道防火墙,且在采购时,一定会选择不是同一家同一型号的产品。
据梁强所知,在业内,网银安全事件曾有发生,但整体比例很小。“多数原因是内部的管理疏忽和内部程序逻辑等,外部攻击的案例极少;直接攻破服务器的案例,则几乎没有。”
2010年1月28日,中国人民银行《网上银行系统信息安全通用规范(试行)》,对网银业务的发展提出了更多具体的保障要求,如明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作;强调客户端的安全性;对硬件数字证书的应用提出规范要求;交易机制的规范化基于客户计算机终端不安全的假定;关注Web应用安全等。
梁强认为,对普通用户来说,过分担心网银和支付宝的安全问题意义不大,更应该注意的是,将在网银使用的用户名和密码与在普通论坛、网站使用的加以严格区分。
实际上,多位受访专家均表示,此次泄露出的数据,受伤最重的是网民的隐私。一个直接的后果就是,你可能会接到更多的垃圾邮件、垃圾广告和推销电话。
泄密的成本:无奈的用户
黑客入侵的刑事案件进展备受关注。据国信办披露,截至目前,公安机关此次已查处入侵、窃取、倒卖数据案件九起,编造并炒作信息泄露案件三起,刑事拘留四人,予以治安处罚八人。
在现有法律框架内,《刑法修正案(七)》规定,“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,并增加了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息等三项罪名。
“信息泄露要制源头,要打‘老虎’,而不是打‘苍蝇’。”中国社会科学院法学研究所研究员周汉华表示。
为何“苍蝇”难打?广东佛山网监支队一位警察向《财经》记者解释,黑客操作会被记录在被入侵方服务器日志上,网警通过电信部门查看路由日志查找入侵者IP地址。但很多时候,黑客往往几经兜转,连到国外服务器上去了,给其查找工作带来困难。
CSDN等网络服务提供者,既是黑客入侵受害者,对用户而言,也是密码泄露责任者之一,用户能否追责?在国外,2011年4月索尼PlayStation游戏网络遭黑客入侵事件中,索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息被窃取,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区。之后一个月内,美国各级联邦法院就收到至少40起集团诉讼,指控索尼未能充分保护玩家个人数据和信用卡信息。
这类案件通常遵循统一的模式:用户隐私信息被泄露引发大规模诉讼,企业为了维护信誉支付巨额赔偿金。最终索尼正式道歉并对用户做出补偿。2004年,日本雅虎约有460万用户的个人信息外露,日本雅虎向每位用户“赔偿”6美元购物券。
中国网络法律网首席法律顾问赵占领认为,国内用户也可以依据侵权责任法和民法,泄密网站;但最大的操作难点在于,用户如何证明自己曾注册该网站,且拥有被泄露的账户信息;经济损失界定亦是难点。
接近工信部通信保障局的人士向《财经》记者表示,目前并没有计划也缺乏明文依据对此次泄密的网站做出惩罚。
上述接近工信部通信保障局的人士称,下一阶段的工作重点是,依据工信部2009年12月的《通信网络安全防护管理办法》(下称11号令)通知各企业加强网络信息安全保障。
11号令是目前监管部门针对网络安全问题的主要处理依据,根据各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高划分为五级,实行分级管理。
杜跃进向《财经》记者解释,自11号令实施以来,依照定级结果,工信部对通信行业网络单元展开了大量的安全评测和检查工作。2011年8月又启动了包括网站、论坛等在内的增值电信业务的安全防护试点工作。
“本次用户数据泄露事件后,工信部加快了这方面的工作,目前已经完成了对一些试点网站业务的定级工作,下一步就需要进一步完善标准和实施安全评估、符合性评测以及安全检查等工作了。”蒋涛向记者表示,CSDN正在申请第二级等级保护。
网络“裸奔”隐忧:法制待健全
“网站的安全是不可信任的,无论是国内的还是国外的,你只能尽量控制信息的源头,一旦流出去了就基本脱离了你的控制。”绿盟科技上述网络安全专家说。
用户名、密码及其他用户信息,是网站最大的价值所在。前述企业架构师说,做网站安全体系架构时,有一个重要原则,“永远不要保存无法保证安全的数据”。
在这方面,韩国推行了四年有余的网络实名制面临尴尬。
2007年7月,韩国正式开始实施网络实名制,成为世界上当时唯一实行这一监管政策的国家。该政策最初要求,每天访问人数超过30万的35家主要网站实行真实姓名和身份证号注册,网民只有通过网站的身份验证后才能进行留言。从2009年4月起,这项制度进一步扩大,每天访问人数超过10万的153家主要网站亦被划入。
但是,随着时间的推移,网民个人信息遭泄露的情况时有发生。2011年7月,韩国SK通讯公司承认,旗下门户网站Nate和社交网站Cyworld被黑客攻击,不计算两家网站的用户重合部分,被盗取信息的用户数达3500万,而韩国总人口数为4900万。由于实行实名制,被盗取的用户信息非常详尽,包括电话号码、身份证号、生日、电子邮箱地址,甚至血型。
在向韩国总统李明博提交的2012年业务计划中,韩国互联网监管机构广播通信委员会提出了有关重新检讨网络实名制的方案。韩国部分媒体认为,虽然该方案是“重新检讨”,但事实上更侧重于取消这一制度。
“泄密门”发生后一周内,2011年12月29日,工信部调研一年之久的《互联网信息服务市场秩序管理若干规定》,以部门规章的形式强调“互联网信息服务提供者应当妥善保管用户个人信息”。
《财经》记者获得的一份由工信部信息安全协调司指导、全国信息安全标准化技术委员会秘书处组织起草的《信息安全技术信息系统个人信息保护指南》(送审稿)中,对上述“妥善保管义务”作出解读,即“保护个人信息不为处理目的之外的任何个人或机构所知,采取门禁、数据加密、数据完整性检验等方式防止对个人信息处理场所和个人信息存储介质的未授权访问、损害和干扰”。
该指南何时最终出台尚未可知,而且,“这只是一个推荐实施的国家标准,违反了也没有后果”。周汉华并不乐观。
工信部电信研究院法律专家蔡雄山指出,在国内立法上,对个人数据控制者未尽妥善保管义务的法律后果规定得并不完善,惩罚力度也不够。
关于个人信息保护条款散见于《刑法修正案(七)》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等法律法规中;在监管机关层面,国内也缺乏明确的专职的个人信息保护机构,而以欧盟为例,27个成员国每个国家都有一个专门的信息保护机构。
据了解,《个人信息保护法》的立法工作在2003年曾一度启动,如今仍处于搁置中。
篇(8)
本文所称的证券类犯罪,主要是指《刑法》第3章第4节涉及的内幕交易罪、泄露内幕信息罪、利用未公开信息交易罪、操纵证券市场罪等罪名,限于篇幅,本文暂时主要讨论内幕交易罪认定中的几个问题。
现有证券类犯罪的法律规定及司法解释,除了《刑法》及刑法修正案的相关规定外,还包括《证券法》、《证券投资基金法》、最高人民法院、最高人民检察院《关于办理内幕交易、泄露内幕信息刑事案件具体应用法律若干问题的解释》、最高人民法院、最高人民检察院、公安部、中国证监会《关于办理证券期货违法犯罪案件工作若干问题的意见》、最高人民法院、最高人民检察院《关于贯彻执行有关问题的通知》、最高人民检察院、公安部《关于公安机关管辖的刑事案件立案追诉标准的规定(二)》等。
其中,对司法实践具有重大指导意义的是2012年6月1日起施行的“两高”《关于办理内幕交易、泄露内幕信息刑事案件具体应用法律若干问题的解释》(以下简称《内幕交易解释》),该《内幕交易解释》对内幕信息人员的认定,内幕信息的形成时间,情节严重构成犯罪的数额标准等[1],都有了突破性的明确规定,在指导司法办案的同时,也对维护证券市场秩序,保护投资者的合法权益,具有重大的影响。
二、办理证券内幕交易、泄露内幕信息犯罪案件中发现的若干问题
(一)“知情人员”范围的认定
内幕交易、泄露内幕信息罪中“知情人员”的范围,一直是司法实践中容易引发争议的一个问题。
2013年修订的《中华人民共和国证券法》第74条对内幕信息的知情人员做了列举式规定。从国内、外的司法实践看,如果仅仅将上述的“知情人员”作为内幕交易和泄露内幕信息犯罪主体,显然过窄,所以《刑法》第180条还规定“非法获取证券交易内幕信息的人员”也是内幕交易和泄露内幕信息犯罪主体,这一规定既符合世界通例,也能够更有效地打击证券犯罪。
(二)“内幕信息”范围的认定
内幕交易、泄露内幕信息罪中“内幕信息”的范围,一直也是司法实践中容易引发争议的一个问题。
我国《刑法》第180条内幕交易犯罪中对内幕信息范围的表述是“涉及证券的发行、交易或者其他对证券交易价格有重大影响的信息”。可见,《证券法》对内幕信息的定义具有原则性和开放性等特点,同时也采取了列明方式对内幕信息的具体内容予以规定。即内幕信息是指“对该公司证券的市场价格有重大影响的尚未公开的信息”。由此所知,内幕信息具有“秘密性”和“重要性”两个重要特征,“秘密性”即该信息尚未公开,“重要性”即该信息可能影响该证券的市场价格,这里的“可能”影响证券交易价格,并不要求必然影响到证券交易价格。
当然,还有观点认为内幕信息具有三个特征,[2]或者认为具有四个特征,[3]无论持有哪种观点,其论述的核心是一致的,而对于在实践中如何具体界定内幕信息,仍存在争议。
三、办理证券类犯罪案件中具体应用问题的研究
(一)“知情人员”范围的认定
笔者认为,该罪“知情人员”的范围应当从以下几个方面来考虑。
1.典型的内幕信息知情人员。按照《刑法》第180条的规定,内幕交易、泄露内幕信息犯罪的主体范围是“证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员”。“知情人员”的范围,我们上文已经对《证券法》第74条的列举性规定予以介绍。除上述列举人员外,证监会根据《证券法》第74条授权而规定的其他人,这种授权性规定为司法实践留下了更大的认定空间,同时也带来了更多的争议。证监会在《证券市场内幕交易行为认定指引(试行)》第5条中,对上述授权予以进一步列明,主要包括发行人、上市公司及其管理者;上市公司并购重组参与方及其有关人员;因履行职责而获取内幕信息的人;上述自然人的配偶。
上述人员可以称之为典型的内幕信息知情人,这些人员基本上可以概括为两类,一类是因其职务地位或者工作关系而能够得到公司内幕信息,这些人都是 “纯粹的”公司内部的人员;第二类是因为服务、业务或者监管而获取公司内幕信息的人员,这些人员在美国的法律中也称“准内部人员”[4]。
2.非典型的内幕信息知情人员。除了上述典型的内幕信息知情人员外,不是基于职务或者业务关系,而是通过非法或者其他途径知悉内幕信息的人员,我们不妨统称为非典型的内幕信息知情人员。
对于非法获取内幕信息的人员,《刑法》第180条明确将其列入内幕交易、泄露内幕信息犯罪主体范围,但对“非法”的理解,理论上和实践中都存在一定争议。按照包含的主体范围由小到大主要有三种理解:
第一种观点认为,“非法”是指“手段非法”,非法获取内幕信息的人员是指采取骗取、套取、偷听、监听、行贿、私下交易等违反法律、行政法规的非法手段获取内幕信息的人员。对于没有采取非法手段,也不是内幕信息知情人员,通过其他途径获取内幕信息并进行交易或泄露的,当然不能按照内幕交易、泄露内幕信息犯罪论处[5]。持该观点的是从《刑法》第180条中“非法”二字文意解释角度得出的结论,这种观点在2012年“两高”《内幕交易解释》颁布之前占主流地位。
第二种观点认为,“非法”是指“状态非法”,从“非法获取”的内涵分析,实际上应指“不该获得而获得”的情况,即不管非内幕信息知情人员是采取什么样的方式,只要最终的结果是获得了其不该知悉的内幕信息,就属于非法获取。[6]这种理解方式的优点在于不会给那些介乎合法知悉内幕信息与采用“非法手段”获取内幕信息中间一类人因主体范围问题出罪的空间。
第三种观点认为,除了法律规定的内幕信息的知情人员以外的任何人,只要知悉该内幕信息就是“非法”[7]。该观点采用了客观的不法理论,“体现了法律对于泄露内幕信息、内幕交易罪主体规定应有的周延性”[8]。这种理解方式是从法律的目的解释出发,较第二种理解更进一步,更多考虑到有利于司法实践中对该类犯罪主体的认定。
笔者对非典型的内幕信息知情人员范围界定,比较接近于上述第二种观点,即“非法”是指“状态非法”而不是获取的手段非法。第一种对“非法”的观点在2012年《内幕交易解释》出台前,在学术界一直是一种主流观点,产生这种观点的根源笔者认为是对罪刑法定原则理解的局限。这种局限性的理解弊端是显而易见的,按此理解,那些没有采取“非法”手段获取内幕信息的非典型的内幕信息知情人员,如“道听途说者”或者某个“看到废纸篓中内幕信息的保洁员”,利用该信息进行证券交易或者泄露该信息的行为,即使情节严重仍然无法入罪,这不利于打击内幕交易、泄露内幕信息犯罪,也无法体现法律的公平原则。第三种观点是对非法获取内幕信息的界定,扩大到任何知悉内幕信息的人员,显然范围过广,不符合法律解释的逻辑。
第二种“状态非法”的观点较原来的“主流观点”更进一步,没有局限于《刑法》第180条中“非法”二字的一般文意,而是采用了扩大解释的方式,将内幕交易、泄露内幕信息犯罪的主体范围恰当而务实的界定。“当刑法条文所使用的文字失于狭隘,不足以表明刑法的真实意义,于是扩张其含义,使其符合刑法的真实意义”[9],这就是扩大解释。需要明确的是,扩大解释与罪刑法定原则并不矛盾。“罪刑法定原则的思想基础不只是保障人权主义,还有民主主义,解释刑法时必须二者兼顾,当不进行扩大解释就不足以保护法益,而且扩大解释无损国民的预测可能性时,理所当然应当进行扩大解释”[10]。这些“不该获得而获得”内幕信息的人员纳入主体范围后,还要结合其他犯罪构成要素来综合认定行为人是否构成内幕交易、泄露内幕信息犯罪,所以不存在打击范围过大的顾虑。
上述第二种理解和第三种理解在范围上比较接近,但在实质上还是有区别的。首先,这两种理解的基础不同,第二种来源于现行法律的适当的扩大解释,第三种来源于目的解释,前者的稳定性更强;其次,第三种理解在范围上有可能扩大化,一些证券市场专业分析人士,根据市场公开信息分析、统计得出接近“内幕信息”实质内容的“研报”、“策略”,按照第三种理解,该类人员有可能也会纳入犯罪主体,这明显超越了行为人的预期,也违反了刑法的谦抑性原则;最后,司法实践中对犯罪主体认定的便利性不应成为第三种理解的丝毫理由。
2012年《内幕交易解释》中,关于“非法获取内幕信息”的人员范围实际上也是做了适当的扩大,扩大至内幕信息知情人员的近亲属、关系密切的人员,以及在内幕信息敏感期内与内幕信息知情人员联络、接触的人员,上述人员“相关交易”行为明显异常,且无正当理由或者正当信息来源的也认定为内幕交易、泄露内幕信息犯罪。这实际上是采取了一种“特定身份”+“推定”的方式增加了非法获取内幕信息的人员认定的范围。《内幕交易解释》实质上还是从可操作层面采取了一种暂时能够解决突出矛盾的办法,并未从理论层面实质性解决内幕信息知情人员范围的认定问题。
(二)“内幕信息”范围的认定
笔者认为,内幕信息的范围认定,需要把握好对内幕信息特征的判断。具体体现在以下几个方面:
1.内幕信息“秘密性”的判断。“秘密性”是内幕信息第一属性,是内幕信息具有“含金量”的基础,不为公众投资者所知,因此才具有可利用的价值。司法实践中,围绕内幕信息“秘密性”主要的问题是认定秘密的时间段,或称“内幕信息敏感期”。对此,《内幕交易解释》第5条表述为“内幕信息自形成至公开的期间”。
(1)内幕信息“秘密性”的起点问题。黄光裕等人内幕交易案件及“上海祖龙”内幕交易案件反映出,因部分上市公司实际控制人具有决定公司重大事项的权力,虽然形式上仍然经过董事会讨论、中介机构磋商等环节,但实际上其个人内心确定某重大事项的时间就是内幕信息开始形成之日,而不必等到公司开会宣布、讨论等形式上的时间点。否则,大量的“提前”内幕交易、泄露内幕信息行为都要逃脱法律的应有制裁,削弱刑法对证券市场的保护力度,这完全不符合立法本意。
(2)内幕信息“秘密性”的终点问题。内幕信息“秘密性”的终点是“内幕信息公开或者该信息对证券的交易价格不再有显著影响”。我国《证券法》第70条规定“应当在国务院证券监督管理机构指定的媒体,同时将其置备于公司住所、证券交易所,供社会公众查阅”。这是我国对证券市场信息披露制度的一般性规定,同时也是披露方式的形式要求。
内幕信息依照《证券法》的规定动作公开是一种应然的状态,但是否存在一种“事实公开”的状态?如上述“杭萧钢构”内幕交易案中,事实上杭萧钢构公告前,因为公司开了一个表彰大会,会上公司的中、高层,甚至是基层都知道了公司在境外的项目。该案辩护人认为,2月12日下午3点之后,那份经过事先张扬的“境外项目”信息事实上已经被公开,不再属于内幕信息。所以,被告人透露的是已经公开的信息,不能构成泄露内幕信息罪。对此,笔者认为,杭萧钢构董事长于2月12日在员工大会上的讲话,仍然是在公司内部范围内,出于对员工鼓励的目的谈到海外项目的良好发展形势,从形式上不属于《证券法》和证监会有关规定中的信息披露行为;从实质上,公司内部300人知悉仍然属于特定范围内的主体,即便公司中低层人员及其家属已经部分了解该内幕信息,但这个范围仍然不属于社会一般公众投资者了解,并且事实上该信息依法公布后仍然对证券的交易价格产生了显著影响。所以该境外项目信息当时仍然属于内幕信息。“杭萧钢构”个案不存在“事实公开”的问题,但不代表所有案例都不可能“事实公开”,笔者认为,虽然没有经过法定的信息披露行为,但只要辩护方能证明信息已经被社会一般投资者知悉,该信息就失去了内幕信息的最重要属性――秘密性,就不能成为“内幕信息”。比如在现在的互联网时代,有些上市公司高管或者受争议的公众人物也是微博名人,粉丝几百上千万,其对上市公司内幕信息在微博中有意无意地泄露并经过广泛转载(先不论其是否构成泄露内幕信息犯罪或其他违规违法),微博中登载的信息已经让大量的、不特定的社会公众知悉,已经形成事实的公开,因该信息已不具有“秘密性”,故不能再认定为内幕信息。
2.内幕信息“重要性”的判断。内幕信息的“重要性”,有人称之为“价格敏感性”,即该信息可能对该证券的市场交易价格产生重大影响。该信息只要求“可能”影响证券市场交易价格,但并不要求“必然”或“已经”影响到证券交易价格,也不要求该信息涉及具体事项一定会实现。
如果说内幕信息“秘密性”是从定性角度分析的,那么内幕信息“重要性”就是从定量角度对其分析的。量到什么程度?就是重要到可能对价格产生重大影响。评判的标准是什么?理论上有一种“一般理智投资者标准”,这种标准其实来自于美国的内幕交易、泄露内幕信息犯罪判例,主要指:如果一个理智的投资者,在他作出投资时,可能认为这个被忽略的事实是重要的,那么他就是重要的。换句话说,这个被忽略的事实公开后,极有可能被理智的投资者看成是改变了自己所掌握的信息的性质,那么,这些事实就是重要的。[11]这种判断标准是一种相对客观的标准,不以行为人主观来判断。这样的好处是解决了一个普遍而现实的问题,通常被抓到的内幕交易者都会辩称自己是出于高超的技术判断、投资或者为了长期持有该股,甚至是为了“珍藏”等出奇的目的买卖该股票,而并不是因为得知该信息而决定买卖,辩解该信息对其不重要,不构成内幕信息。以客观的标准判断,不需要一一反驳行为人对信息重要性的辩解。“一般理智投资者标准”的判断仅限于影响买卖行为阶段,而不要求该信息是否实际与一般理智投资者预期同向影响了证券的市场交易价格,有可能最终该内幕信息公开后未引起证券的市场交易价格波动,甚至反向波动。从证监会公布的2008年至2011年10月对21起内幕交易、泄露内幕信息行为行政处罚案例来看,其中有5起内幕交易行为最终亏损收场,但这并不影响内幕交易、泄露内幕信息行为的认定。
内幕信息的重要性还有题内应有之义,即内幕信息是真实的,与公司具有特定的关联性。但是对于内幕信息必须是和相关上市公司有关的信息问题,之前学术界和实务界都持肯定意见,这也是和现行法律对内幕信息的概念表述有关,但自从2013年“光大证券”乌龙指事件之后,很多人意识到,随着证券市场的发展,特别是金融衍生品种的丰富,将内幕信息的认定限于上市公司相关信息的观点亟需有所突破。
所谓真实问题,一般是指内幕信息需要是客观真实存在的,任何传言、猜测都不是内幕信息。所谓关联问题,一般是指该信息必须与特定上市公司之间存在一定的联系。那些有关国家宏观经济政策、利率、税收、汇率等变化的信息,可能对整个证券市场产生重大影响,这种信息不应纳入内幕信息的范畴,如果有泄露行为,可按照故意或者过失泄露国家秘密等罪处理。
内幕信息的认定是惩处证券内幕交易、泄露内幕信息犯罪重要的环节之一,也是行为人辩解较多的环节,因此厘清概念、统一认识尤显重要。从内幕信息的“秘密性”和“重要性”两个特征出发,能够相对科学地把握内幕信息的认定,有利于证券内幕交易、泄露内幕信息犯罪的惩治。
注释:
[1]参见桂万先、黄旭巍:《对内幕交易犯罪司法解释的再解释》,2013年度金融检察学年会宣讲论文,第88页。
[2]参见祝二军著:《证券犯罪的认定与处理》,人民法院出版社2000年版,第399页。
[3]参见高铭暄主编:《新型经济犯罪研究》,中国方正出版社2000年版,第680页。
[4]参见张小宁著:《证券内幕交易罪研究》,中国人民公安大学出版社2011年版,第82页。
[5]参见李宇先、贺小电著:《证券犯罪的定罪与量刑》,人民法院出版社2009年版,第159页。
[6]参见刘宪权著:《证券期货犯罪理论与实务》,商务印书馆2006年版,第350页。
[7]参见陈海鹰、朱卫明、叶建平著:《泄露内幕信息罪、内幕交易罪的若干问题探析》,载《法治研究》2008年第3期。
[8]同[7]。
篇(9)
如果某机构泄露了敏感的信息,其品牌和声誉定会受到影响,这才是他们尽力保护个人信息的最大动力。没有哪家公司愿意看到自己的名字因为泄露信息而上了报纸、电视或广播的头条新闻。
另外,很多规定利用罚款或监禁的惩罚措施来强迫组织机构保护PII。有些规定是针对某个行业的,比如针对银行和信用合作社的金融服务现代化法案(HGLBA)、针对医疗和保健机构的健康保险流通与责任法案(HIPAA)。还有些法律规定的涉及面更广,比如支付卡行业的数据安全标准,对任何处理信用卡号码的组织都有约束力;加利福尼亚违反安全信息法(SB-1386),要求加州的公司披露所有信息泄露事件。
篇(10)
一、引言
俗话说“商场如战场”。在商业活动中,商家必须知己知彼,才能百战不殆。为此,各商家使出自己的招数,获取甚者窃取其他商家的机密。此种非法手段固然为人鄙视,但另一泄密现象却值得格外警惕,那就是来自商家自身的商业机密有意或无意地泄露,重要商业信息被对手获得,使自己失去商业优势、生存与发展的机会,其影响更为可怕。西方媒体调查发现,超过85%的安全威胁来自企业内部。
商家内部机密泄露的一个重要来源为翻译人员。在商业界起着沟通桥梁的翻译人员对保守商业机密负有重要责任。
二、商业翻译的特征
商业翻译是把翻译当作一种经营活动而进行的翻译。它有别于一般意义上的语言转换活动。商业翻译有以下特征:首先,商业翻译具有典型的商业性。翻译活动是按商业方式运作的,是把翻译当作一种商品或服务而提供的活动,翻译服务提供商向用户提供专业服务并获取作为交换条件的报酬。商业翻译随翻译活动的结束而终止。翻译人员与商家只是临时的受雇佣与雇主的关系。第二,商业翻译的服务对象泛化。表现为服务对象不是单一的个人或机构,而是涉及社会各行各业,没有固定的服务对象。因此,对众多用户的信息了解较多。第三,商业翻译涉及的领域非常广泛,从商务文件、产品或服务说明、科技资料、文化交流到文学作品,无所不包。此外,商业翻译在翻译标准、翻译质量控制等方面都有其独特性。
三、商业翻译泄密的方式
商业翻译在国际贸易事务中扮演着愈来愈重要的角色。但与此同时,商业翻译中出现的问题也令人担忧。商业翻译泄密就是其中之一。
据我国现行的《民事诉讼法》,《中华人民共和国反不正当竞争法》,新《刑法》,以及国家工商局《关于禁止侵犯商业秘密行为的若干规定》,商业秘密指“技术秘密、商业情报及信息等,如生产工艺、配方、贸易联系、购销渠道等当事人不愿公开的工商秘密”,“不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。”
商业机密的泄露可分为两种情况:一种是无意的,另一种为故意的。
无意泄露商业机密是指翻译人员在翻译过程中对商业信息的机密度和价值程度缺乏认识或认识不够,将机密信息泄露出去;或者商家本身对机密的管理不当,对翻译人员商业机密缺乏交代,而翻译人员以例行公事的态度翻译泄密。例如,具有悠久历史、曾是清朝皇帝享用的贡品的龙须草席从1953年开始出口,远销海内外,曾在莱比锡世界工艺品博览会上被誉为“中国独有的工艺品”,为国家赢得了大量外汇。80年代初,日本某企业派人参观了生产全过程,厂家对每一道工序都作了详细了解。此后不久,日本就停止从我国进口龙须草席,同时在国际市场上与我国竞争,逐步取得垄断地位,最终导致我国出口生产厂家全部倒闭。此类泄密不易觉察、难以预防,发生的机率也较大,而且商家对手也不负窃取信息的法律责任。
故意泄密商业机密则是翻译人员出于某种动机人为地将机密信息泄露给其他商家。翻译人员可能被利诱、胁迫、贿赂、收买等外部力量驱使,或出于私利或报复心理将受雇商家的机密泄露或出售。英军士兵丹尼尔・詹姆斯在为北约驻阿富汗国际安全援助部队指挥官戴维・里查兹当翻译期间向伊朗传递情报,其结果是被监禁10年。这是一种明知故犯的违法行为。
无论是无意还是故意泄密,都对有关一方带来某种程度上的不良影响。那么,该如何防范商业翻译泄密呢?
四、如何防范商业翻译泄密
国际间商业信息的传递离不开翻译。因此,防范商业机密泄露的关键在翻译人员。翻译人员的素质对保守秘密起着至关重要的作用。
首先,翻译人员在翻译之前要认真研究不同国家和地区对机密的认定。一国的非机密性商业信息对他国可能为机密信息。如某种新产品的研制和产地对本国人而言是众所周知的,而对他国同行商家可能是机密。因此,翻译时要采取某种策略,或者去掉或者隐蔽信息,而不宜采取“实事求是”的态度,将机密和盘托出。
其次,翻译人员要具备过硬的心理素质和良好的职业道德,不为利益诱惑而泄露机密。国际翻译工作者规定“翻译工作者应该尊重使用译文的个人和机关的合法利益,应将所有在从事委托给他的翻译工作时间可能得到的资料视为职业秘密。”美国翻译协会对翻译人员的规定是“本人会像保护自己的利益一样保护客户的利益,决不泄露机密资料”。良好的心理素质和职业道德是防范泄密的前提。
最后,翻译人员应有高度的责任感,要时刻保持警惕,翻译时要周密思考内容是否涉及商业机密,谨防言语和文字泄密,特别是当外商看似不经意的问话却意欲套取机密时。有时翻译人员可能因为一时冲动而放松警觉泄露机密。译员不能因为与受雇佣的商家只是暂时的雇佣关系而放松保密意识。译员应本着对客户负责的态度和具有主人翁的精神,将客户的利用放在首位。
五、结语
泄密事件在世界范围诸多行业都有发生。行业机密的泄露给自身乃至国家都带来极大的危害。世界各国商家都极为重视保守商业机密。与商业机密直接打交道的翻译人员良好的专业素质和职业道德及高度的责任感对防范商业机密的泄露至关重要。
参考文献:
[1]商业机密泄露事件频频发生 现代企业如何应对? [EB/OL].
,2009年2月
[2]褚东伟:商业翻译导论[M].石家庄:河北教育出版社,2003,p1
篇(11)
2009年7月9日,世界第三大矿业公司力拓上海办事处的4名员工因涉嫌窃取中国国家机密被拘捕。此次力拓公司爆出的“间谍门”事件,在中国引起了巨大的反响,同时也暴露出我国企业长期以来在商业保密机制上的软肋。
随着中国加入WTO和全球经济一体化,中国企业已经成为越来越多的跨国公司有力的竞争对手和商业伙伴。我国作为新兴市场国家,企业在商业秘密保护方面的理念和措施都距离发达国家有很大的差距,由于这方面的薄弱给企业甚至国家造成的损失不可估量。本文通过探讨商业秘密泄露的主要途径,重点论述防范商业秘密泄露的措施。
一、商业秘密的定义
我国现阶段市场经济的发展程度尚不发达,法制尚未健全,目前尚未有一套完善的关于保护商业秘密的法律。但关于商业秘密的定义散见于各项法律法规之中。根据我国的《反不正当竞争法》、国家工商总局《关于禁止侵犯商业秘密行为的若干规定》以及《刑法》的定义,商业秘密(Trade-secret)是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。
二、商业秘密泄露的主要形式
1、商业间谍
力拓“间谍门”事件中值得注意的是,4名涉案人员是由上海市国家安全局拘捕的。并且,外交部新闻发言人秦刚对此做出的正式回应指出,中国有关部门掌握了大量确凿证据,证明胡士泰等人为境外刺探窃取中国国家机密、并对中国钢铁企业的内部人员行贿。这说明这是一起已经触犯法律的窃取商业秘密的刑事案件。类似于此案中的非法窃取商业机密的“商业间谍”,是企业商业秘密泄露的形式之一。
2、竞争情报
除了非法的商业间谍外,商业秘密泄露的另一主要形式是竞争情报。现代竞争情报产生于发达工业国家间的商业竞争,随着信息技术和互联网的发展而更加完善。根据美国竞争情报专业人员协会(SCIP)的定义,竞争情报是一种监测竞争环境的过程,在此过程中人们用合乎职业伦理的方式收集、分析、传播有关经营环境、竞争者和组织本身的情报。竞争情报在发达国家已经形成一套比较完善的体系,随着我国市场经济的发展,我国目前也出现了很多提供竞争情报服务的公司。
竞争情报和商业间谍的本质区别在于,商业间谍是使用非法手段获得信息,而竞争情报是使用合法的、合乎职业道德的手段搜集信息,通过分析将其转变为有价值的情报的过程。在发达国家,竞争情报行业还有一套严格的道德准则。
但是,即便竞争情报的是合法的,如果企业自身管理不当或疏忽大意,也有可能给竞争对手以可乘之机,使商业秘密泄露,造成无法挽回的损失。
三、防范商业秘密泄露的措施
商业秘密是一种特殊的情报,一旦被透露将永远失去。即便有法律可以制裁泄密者,但也已是“亡羊补牢”,对企业所造成的经济损失可能是永远无法补偿的。所以事前防范比事后制裁更加重要,企业保护商业秘密要做到未雨绸缪。
1、 企业内部制度的建立和完善
“人”是泄密行为的主体,与商业间谍活动相比,企业内部人员泄密的危害性更大。现实中由于企业员工跳槽、兼职或个人私利而导致企业商业秘密泄露甚至对簿公堂的事件屡见不鲜。加强企业内部管理,增强员工保密意识是防范商业秘密泄露的第一道屏障。
(1)签订保密协议
每位员工进入企业时,要签订“商业保密协议”。目前我国除一些高科技企业外,其他行业企业对签订“商业保密协议”重视程度不够,或在劳动合同中简单一笔提过。“商业保密协议”应该写明本企业的商业秘密范畴,并说明相应的责任及处理措施,与劳动合同一起生效。对涉及重要保密内容的员工,还应在合同中规定解密期,即离职后若干年内不可在同类其它企业中工作。除此之外,企业还应定期对员工进行保密制度培训,增强员工保密意识。
(2)强化员工的归属感
企业应对员工进行情感投资强化员工的归属感,增强企业的凝聚力,当员工的归属感增强,即使在跳槽或被人利诱的情况下,也能够大大减少商业秘密泄露的情形发生。其次,企业可以向高管人员赠送公司股份(虚拟股份),不可提现金,只能每年参与分红,离开公司时,股份自动失效。这样可以在很大程度上防止高级管理人员的频繁流动。第三,提高高管人员薪酬。随着经济的发展,大量同行业外资企业进驻中国。我国企业高管人员薪酬如果与同类企业高管人员相差过于悬殊,容易造成人才的心理失衡,成为商业秘密泄露的诱因。第四,建立和谐劳资关系。公司的制度(包括人事、福利等)不良,往往是职工不满或离职的主要原因,更是企业秘密外泄的主要原因之一。确立合理的福利制度及升迁渠道,能够降低职工的离职率和泄露秘密的可能性。
(3)缩小商业秘密知情人范围
商业秘密知情人越少,泄漏的可能性就越小,即便在泄漏时也能迅速锁定目标。所以企业的主要商业秘密应仅限于少数高管人员知道;其次,有些企业信息在企业内部或许不算是重要商业秘密,但对其竞争对手来说就可能是重要情报,所以企业内部最好做到信息分散,一个人或一个部门不能知道全部流程或信息的全部内容。
(4)加强门禁管理和内部监控
门禁管理和内部监控对于科技和金融企业来说尤为重要,我国的金融企业在这方面建立了较完善的系统,重要部位均安装了较先进的设备如摄像探头、报警器等。企业应在重要会议室、存放重要资料或文件的场所安装相应设施;进入保密区域要凭证件或密码;涉及重要的商业秘密尽量少用甚至不用移动电话或网络联系。
(5)加强档案和信息管理
企业内部应制定文件与档案的保密密级,确定保密期限,加盖保密章,实行专人、专库、专柜保管,并规定借阅范围和手续。涉密文件不需要时要统一集中销毁,有时商业秘密就是竞争对手从企业不经意丢弃的垃圾中翻出来的。在电子化办公形态下,企业应在内部电脑系统设立侦测监视系统,进入特别系统应有识别代号及密码,重要密码应定期更换。对任何非经授权即想进入电脑调查者,不但拒绝并应留下记录,可测出是由哪部电脑或终端机进入以追查可疑者。
2、企业对外经济活动中防范商业秘密泄露的措施
现代企业无时无刻不处于与其他企业的经济交往之中,由于企业自身防范意识不强造成商业秘密的流失,常常令企业有苦难言。
(1)谨防第三方泄密
第三方是指与竞争对手有往来的人员及企业,包括竞争对手的顾客、供应商、分销商、银行、咨询机构等。这些机构是重要的情报员,企业应谨慎与第三方打交道,尽量不选择与竞争对手有交叉往来的合作者。在必须选择的情况下,一定要与之签订严格的保密协议。
(2)严格审查对外发布信息的内容
企业由于宣传的需要会对外发布广告,或参加展览会等,对外宣传的内容体现了企业的市场目标和产品信息,因此一定要注意是否会泄漏有价值的情报。此外,企业在举行新闻发布会、技术交流会或接受媒体采访等过程中凡涉及商业秘密的内容,都要进行严格的审查。需要经常对外宣传的企业应建立新闻发言人制度。
(3)对参观访问者进行严格把关
我国企业在发展初期为谋求合作和投资,往往对参观考察者十分热情,对生产流程、工艺等信息介绍得过于细致。曾发生过来访者在参观企业时获得商业秘密的事件,给我国企业造成了不小的损失。因此,企业在接受参观访问时对来访者应有适当的限制,要求他们不得摄像、录音,也不得在无人陪同情况下游览,尽量避免参观带有企业秘密的场所和设施。
(4)对公开发表论文进行审查
很多专业人士为了证明在本领域的学术地位和专业威望,会在第一时间把自己最先进的研究成果通过发表论文的方式进行公开。但同时也意味着企业将无法再对该商业秘密有所有权。我国的“两步发酵法生产维生素C技术”曾经是一项极具有经济价值和实用价值的科研成果,但国内某学术期刊很快将这项技术的全部研制过程、细节、配方、剂量等以学术论文的方式发表出来,轻易就被同类企业掌握了,造成了不小的经济损失。新成果新技术研发后,除及时申请专利外,还应注意在公开材料中适当地有所保留。
(5)利用反竞争情报手段迷惑对手
竞争对手会利用一切可能得到的信息对企业的商业秘密进行分析,企业也可以通过发布虚假信息的方式迷惑和干扰竞争对手。这是一种反竞争情报手段,故意制造和泄露虚假情报给对手,有可能造成对方决策的失误,成为打击竞争对手的手段。
综上所述,我国企业正面临着竞争手段高强的国外企业的严峻挑战,增强企业防范商业秘密泄露的能力刻不容缓。同时我国企业应增强自身的竞争情报能力,才有可能在与国外企业的竞争中生存发展。
参考文献
1、斯蒂芬P罗宾斯《管理学》(第四版),中国人民大学出版社, 2003年3月
2、周三多《管理学—原理与方法》, 复旦大学出版社,1995年6月
3、杨洪兰《现代实用管理学》,复旦大学出版社,1996年8月
4、加里得斯勒《人力资源管理》(第六版),中国人民大学出版社,2003年1月
5、商业秘密法制丛书编辑委员会《商业秘密法制现状分析及案例》,中国法制出版社,1995年
