>> 个人信息谨防泄露 高校学生个人信息泄露成因及保护对策探究 从公众个人信息泄露看信息安全防护 关闭个人信息泄露之门 个人信息泄露将被通知 网络环境下快递行业泄露消费者个人信息原因分析及防范对策 个人信息安全管理与防护对策 官员财产公开不能靠个人信息泄露 个人信息被泄露,消费添烦恼 诈骗和勒索的源头都是个人信息泄露 防止“个人信息”泄露,需打好“法治牌” 好习惯可防个人信息泄露 用什么堵住公民个人信息泄露的缺口 浅析个人信息权 网络社会下个人信息泄露所引发的对个人信息保护的思考 怀孕女教师不堪骚扰,谁泄露了我的个人信息? 购车后个人信息被泄露,账户被盗谁担责? 2.2万伊斯兰国”名单泄露 包含2.2万名成员个人信息 斩断个人信息泄露利益链,亟需法律“保驾护航” 个人信息 常见问题解答 当前所在位置:.
[3] 中国市场报告网.2010年中国互联网络发展状况深度研究及统计分析报告.编号:0626508.[2011-03-30]. .
【参考文献】
[1] 齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6)2.
[2] 郎庆斌等.个人信息保护概论[M].人民出版社,2008.11-12.
[3] 齐爱民.论个人信息的法律保护[J].苏州大学学报,2005(2)32-35.
[4] 罗力.社交网络中用户个人信息安全研究[J].图书馆学研究,2012(14)36-40.
[5] 田桂兰.网络环境下个人信息安全问题及其保护[J].信息化建设,2007(6)42-44.
[6] 颜祥林.网络环境下个人信息安全与隐私问题的探析[J].情报科学,2002(9)938-940 .
关键词:计算机;信息泄露;屏蔽;技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4699-02
How to Prevent Computer Information Leakage
WANG Gui-feng,TAN Jing-jing
(Zhengzhou Vocational College of Tourism Henan,Zhengzhou 450009,China)
Abstract: From the computer was born has been developed to today, the computer technology has experienced a number of updates, application scope of computer technology is now widely used in complex, group level number, in the past only for Scientific Research Office of the computer has entered the tens of thousands of households daily life. In order to make computer technology into daily life, computer technology is more and more humanization of simplicity, easy operation, auxiliary industries operation is already unable to escape the application of computer technology. However, when people more to record their personal information or binding information document in the computer, the computer information leakage problem is more and more people's attention. This article on how to prevent computer information leakage of this problem are briefly discussed analysis.
Key words: computer; information disclosure; shielding; Technology
现代社会生活中,无论是科学研究、商业发展、日常办公还是医疗或教育,无一例外地都与计算机技术息息相关。计算机技术的发展使计算机这一高新科技切实地走入了千家万户,渗透到了社会的每一个角落。人们的日常生活对于计算机的依赖度越来越高,尤其是网络应用软件的不断推陈出新,打破了日常时间与空间上的阻碍后,人们对于计算机的应用更加广泛。随着各种新型的软件的开发,人们在电脑上储存了大量的个人信息,每一台电脑中都存有持有者的许多个人隐私,有的甚至是机密要件等等。由于计算机中存有的信息量巨大而且重要,计算机信息泄露的问题就越来越受到人们的关注。
所谓计算机信息泄露,指的是计算机主机或相关设备在非人为有意操作之下对外发射出的电磁辐射,尽管微量,但对于某些有心人士来说依然是可以利用的窃取计算机信息的一种途径,无论从哪方面而言,对计算机持有者来说都是一种信息风险。
1 抑制计算机信息泄露的必要性
如今计算机的应用率非常高,无论是什么行业什么人群都会接触到,计算机的工作范围要比我们想象中的广泛得多,世界上许多的信息操作都由计算机来进行,计算机中承载的信息量绝对是海量的存在。许多计算机中承载的信息对于国家、行业、单位、个人而言,都具有非常重要的意义,一旦损失后果是非常严重的。因此有效防范计算机信息泄露,保障计算机内部信息的安全,无论是对经济、政治还是国计民生来说都是非常重要的。
所谓道高一尺魔高一丈,当人们不断更新计算机信息的安保系统和技术时,同样有各种不法分子在想方设法突破计算机信息的安保系统,想要窃取宝贵的信息资料。黑客攻击电脑窃取信息的原因有很多,但无论是处于何种理由,黑客的行为都是违法犯罪的,是不允许的。但黑客的攻击会使计算机系统形成漏洞,使计算机信息暴露出来,遭受巨大风险,从而使个人、单位、行业乃至国家遭受到巨大威胁。因此有效防范计算机信息泄露是非常必要的。对于计算机本身来说,加强计算机信息泄露抑制技术的研究开发,也是加强计算机系统的一种体现。
2 计算机信息泄露的原因分析
计算机信息的主要泄露途径为电磁波泄露和传导波泄露:
2.1 电磁波泄露
电磁波辐射能够产生一种带有极高代表性的空间电磁波,这种空间电磁波实际上就是高速传输数字逻辑信号。作为电磁波辐射的载体的计算机本身就具备了高速传播这一特点,这位电磁波辐射提供了非常有利的条件。
计算机通常都是在低电压、高电流的情况下进行数字信号的处理工作的,数字信号中存有许多谐波,这些谐波对于射频来说极具干扰性。另外,计算机以及相关设备中流通的电流,在计算机和设备的工作过程中,通常呈现高速变化的状态,这种高速变化的电流状态同样为电磁波辐射大开方便之门。在各种推力之下,电磁波辐射显得毫无防备,许多黑客就是通过电磁波辐射来窃取计算机信息的,也就是说,电磁波辐射会造成计算机信息的泄露。
2.2 传导波泄露
传导波主要由电磁感应现象引起,当前计算机的内部构件、外部设备等等各种器件,在工作过程中都会使计算机长期处于各种电磁场中,这种工作状况使计算机内部产生了电磁感应现象,从而产生了传导波。传导波能够通过电源装置耦合等渠道,形成天线效应,从而将计算机内部的信息泄露出去。
3 抑制计算机信息泄露的技术
本文所探讨的计算机信息泄露防范技术,主要是对计算机信息泄露途径进行屏蔽。当前盛行的屏蔽技术可分为静电屏蔽、电磁屏蔽和磁屏蔽这几类。静电屏蔽主要是防止静电的耦合干扰,主要采用接地导体来起到屏蔽效果;导体的内外部对于电磁波有着反射以及吸收的原理作用,电磁屏蔽就是应用这一原理,对高频磁场进行屏蔽。计算机信息泄露的屏蔽技术主要应用在电路、电缆或计算机的某些设备上。
3.1 屏蔽材料
计算机屏蔽技术的效果质量很大一部分取决于用来制作屏蔽器具的材料属性。屏蔽性能计算公式是Se=A+R+B,简化为Se=A+R,A是指吸收损耗,R是指反射损耗。优质的材料可以带来优质的效用,选择优质的电子屏蔽材料所起到的信息泄露屏蔽效果也更好更高效,从而为计算机信息设立有效的安全网。通常屏蔽材料的阻抗会受到电场和磁场的比例变化的影响,从公式A=0.1314√(fuσ)中可以看出,对于屏蔽效果会产生影响的因素主要有屏蔽材料的厚度、相对磁导率以及相对导电率。为了提高屏蔽材料吸收损耗的效果,建议使用铁质材料进行制作;而为了提高屏蔽材料的反射效果,建议选用价格适中、反射性能较好的坡镆合金来做反射材料。
一般来说,计算机持有者只要对自身的计算机设置干扰或跳频,就可以对外隐藏自己的计算机是否正在工作中的这一状态,从而达到防范他人对计算机信息进行窃取的这一目的。白噪声干扰器能够对计算机上的幅度和频谱的电磁信号进行覆盖掩饰,干扰他人截取电磁信号的进行,而且能够大大降低计算机收发信息时产生的机器运作噪音,提高了黑客窃取信息的作业难度。为了保证设备的正常运转,建议使用发射功率较强的干扰器来进行信息泄露屏蔽。
对于一般家庭而言,白噪音是很好的屏蔽技术选择。白噪音能够对电磁信号乱数加密这一现象进行扰乱,使计算机信息通过传导波泄露出去的信息量大大降低,从而起到了计算机信息泄露防范的作用。由于白噪音的应用成本低廉,应用技术简单,是一般家庭最好的选择。
3.2 物理屏蔽技术
要对计算机信息进行泄露屏蔽,除了采用上述所讲的屏蔽材料,还能使用物理屏蔽技术进行屏蔽。主要分为包容法和抑源法两种。
1) 包容法:包容法是指对计算机系统整体进行信息泄露屏蔽处理,而非局部屏蔽,并全面加强计算机系统的整体性能,从而达到信息不泄露的目的。这种屏蔽技术的保密性较高,防范性较强,经常使用在保存军事机密、国家机密要件等保密等级高的计算机系统上,能够有效加强计算机系统的安保效果和质量,防止我国高级机密被窃取或对外泄露形成国家威胁。
2) 抑源法:顾名思义即是从计算机的源头对计算机信息的泄露现象进行抑制。主要是指从计算机的电路或组成元件入手,对可能出现信息泄露的部件进行筛选更换,采用低辐射元件来进行计算机的组装,再通过过滤技术或光纤传输技术等接地完成整个信息泄露屏蔽工作。
3.3 计算机软件技术
上述两点,都是从计算机的硬件层面来进行计算机信息的泄露屏蔽,这一点我们从计算机软件层面,简要谈谈可以用来对计算机信息进行泄露屏蔽的软件技术。
计算机的信息泄露屏蔽技术主要是通过计算机软件技术对计算机信息进行加密保存,从而防止计算机信息的泄露和曝光。通过改造了计算机的硬件和软件,抑制计算机信息的对外泄露。常用的软件屏蔽技术有TEMPEST字体、视屏显示加密和数据压缩加密三种。
1) TEMPEST字体:这种软件屏蔽技术主要是提高文字质量,从而降低信息泄露量或降低信息泄露可能性的一种技术。这种技术在计算机应用中可行性较强,而且改装价格低廉,性价比较高,防范信息泄露的效果也较好,对于一般家庭而言是不错的选择。
2) 视屏显示加密:视屏显示加密方法主要是通过更改视频的显示方法,从而起到对视频内容信息进行加密的一种信息泄露屏蔽技术。这种屏蔽技术操作起来较为人性化,技术含量较低,一般非专业的操作人员也可以独立完成,方便快捷,而且实时性高,能够对视频文件进行即时的加密保护。然而这种加密方法只是降低了信息对外泄露的可能性,并没有解决信息泄露的问题,也就是说,一旦有人破解了加密,信息同样可能会泄露出去。因此视屏显示加密方法最好和其他屏蔽技术配套使用,才能发挥出锦上添花的作用。
3) 数据压缩加密:日常生活中大多数人都接触过压缩文件,有的压缩文件是附带密码加密的,这种加密技术和加密行为同样也是在防止计算机信息泄露。而数据压缩加密技术的应用,主要是加强这一类压缩文件信息的接收难度,防止文件在传输过程中被黑客截取到导致信息泄露;同时数据压缩加密技术还会提高信息原本附带的加密密码的破译难度,即便黑客截取或窃取到了信息,想要破译密码获得信息也并不容易。数据压缩加密同样能起到信息泄露屏蔽作用,能够为计算机系统起到一点保护作用,日常生活中也常常会应用到。
要防范计算机信息泄露,不能一味靠防护,计算机系统中也必须要装载相应的攻击性软件和预警防护软件,当出现有入侵现象或信息窃取现象时,要第一时间发出警告并对扫描到的危险信号进行排除。有攻有防,才能妥善地防护计算机系统,防止计算机信息的泄露。
4 结束语
计算机技术的高速发展使得计算机中承载的信息量每日都以海量为单位在快速增长,这些信息拥有着极为巨大的情报力量,对于不法分子来说是非常具有诱惑性的犯罪武器。要保护好计算机中承载的个人信息,防范计算机信息的泄露,从各方各面杜绝黑客窃取信息的可能性和途径,让大家可以安心地使用计算机,放心地享受绚烂多彩的网络世界。
参考文献:
[1] 李杰.抑制字计算机信息泄露的屏蔽技术[J].百科论坛,2013(18).
关键词:隐私保护;个人信息;数据泄露;数据集;PHI
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)01-0043-02
1 简介
个人隐私保护日益成为隐私保护的电子数据格式。个人隐私保护也成为一种大数据现象的优势和挑战的展示。结合智能数据挖掘算法开发的个人信息(财务,医疗保健,零售)海量数据的积累使得个人数据被分析和创新的链接,但总是积极的一方面。随着越来越多不同来源的数据积累,大数据泄漏和无意的数据泄漏越来越普遍:2013年被爆出的216的报告至今仍保持纪录。这些事件也暴露出越来越多的个人记录,目前为止有822万。在2013年曝光的所有违反记录中,发生在美国有48.5%,英国5.5%,加拿大2.7%,而其他国家仅占较小的数量。99%的所公开的数据是电子格式。更进一步说,我们只考虑电子格式的数据。
在本文中,我们将讨论内容感知预防意外的数据泄漏。在此,我们用保护个人健康信息(PHI)作为我们的例子。PHI是指个体的个人信息组合(例如,出生日期)和一个人的大体健康状况(例如诊断)的信息。PHI可以通过组织个人分布,表1提供的数据的例子。所有现有的PHI保护的方法是基于所述数据的内容的分析,因此它们提供一个完整的例子为我们的研究。此外,在本文中,为了解决DLP所面临的用于保护数据和信息,数据泄漏防护(DLP)和PHI保护问题的挑战,我们提供了更多细节方面的方法和技巧。
表1 PHI源和数据格式
2 数据安全原则和数据泄露
2.1 数据安全原则
在我们开始致力于内容感知DLP工具的讨论之前,我们要知道,个人信息保护的基本良好做法应从系统利用标准的计算机安全技术开始。这些基本的注意事项同时适用于被恶意攻击造成的数据隐私泄露,以及由于数据的无意泄漏造成的侵犯隐私(最常见的,人为的错误)。特别是下面这些原则,如果跨组织一贯增强,将是有目的的。
1)所有静态数据加密义务教育。这将防止黑客攻击收获非活动数据(如如果数据被加密,2013年和2014年的国内仓库的攻击目标将可能显著减少;如果从过去的交易数据进行加密存储,即使窃取信用卡信息的电子商务网站再发生攻击,也不会那么严重)。
2)承认授权人员跟踪的私人数据访问。这会在很大程度上,避免到组织内部故意侵犯隐私。该方法已被成功地用于全球中心的主要医疗环境中,以保护名人在意的与健康相关的数据。
3)教育。特别是,增敏人员能够访问在电子邮件中的有关的个人数据,USB记忆钥匙,采取了外组织的笔记本电脑和物联网设备的其他互联网。
2.2 数据泄露
数据泄密以很多可能的方式发生。泄漏可能是由业内人士,第三方,或外人无意或恶意引起的。可在运动、休息、或者在使用中(例如,所处理的网络的选择的节点上,而不是在时刻遍历它)引起泄露。在这项研究中,我们将讨论防止无意的泄漏。不幸的是,该泄漏已经成为众多业内人士和外部服务提供商口中随着共享数据成为常态的事件。在2013年,超过500个主要数据泄漏是无意的。在这些无意泄漏的数据中有66.4%的原因已知。在这些原因已知的数据泄漏中,信息披露在网站而导致数据泄漏的占16.7%,通过电子邮件的占14.7%。
大型医疗数据泄露和无意地泄露越来越普遍,使得人们大幅度增加对数据泄露的担忧。对于美国43个企业的调查表明,存在医疗保健数据泄露的一些明显的后果。因数据泄露而导致普通客户流失的占普遍3.6%,由于在金融服务方面数据泄露而导致客户流失的占5.5%,医疗保健方面这是一个高得多的比例-6.5%。并且一次医疗保健要282美元,超过平均零售价格的两倍之多,平均零售为131美元。该调查还显示,44%数据泄露发生的外部原因是因为涉及第三方数据的传输。PHI从医疗服务提供者泄露,一般是从员工和医学生发送的文件上泄漏。从充分的数据中删除个人信息,也可能会引起PHI违规。因此当务之急是要有一个全球知识最佳协议和保护隐私的机密性的数据系统。
3 个人健康信息:定义和概念
个人健康信息(PHI)是一种常用的名词,通常是通过一组相关的人的元类和他/她的健康状况定义的。PHI可以以结构化,半结构化和非结构化的文本格式进行存储和转移。前者包括药房和住院的记录,后者分别是病人的电子医疗记录中自由文本部分和信件的部分。医疗保健组织是PHI的主要持有者,其主要是在网络和数据库中对PHI进行保存。 因此PHI可以在网上的许多论坛和社交网络上找到。
数据共享和辅助数据的使用有利于患者、医疗专家和各个领域的研究人员进行保健管理。与此同时,隐私法规定PHI在被共享之前要获得个人的同意。但是获得同意易导致种群选择偏见。为了避免双方PHI披露和同意申请的陷阱,数据可经过一个修改的过程,在这个过程中它去除,大概改造个人的身份信息,由此很难从数据中去确定一个人,这种过程被称为匿名。
常用的数据挖掘匿名方法有以下几组:
K-匿名。这种方法规定,在一个数据集中的每个记录是相似的,至少另一个K-1的记录上可能识别变量。
1)标识通常指从半结构化和非结构化的文本中检索和提取PHI方面信息。
2)差动隐私确保添加或删除一个数据集项目基本上不影响数据分析的结果。
该方法通过所产生的资料丢失和工作效率进行评估。这些方法的适用范围差异很大。在表2中,我们举例说明数据格式和数据大小所必需的每个方法。
4 内容感知型数据泄露防护
内容感知数据泄露预防技术是数据泄露防护最具挑战性的部分。一些方法中,施加到结构化和非结构化数据,删除明确标识。然而这样的去除可能不足以去识别。大多数K-匿名算法可被用于结构化数据集,使用泛化和抑制。在精度或抽象属性上推广减少值,同时减少数据的效用。抑制取代一个有缺少值的属性记录的值(这被称为细胞抑制),或在极端情况下从数据集中除去整个记录。
一些技术建议,数据持有人可以通过第三方安全合作:医疗保健机构保持加密状的所有敏感信息,直到第三方证明该数据披露满足正式的数据保护模式。一般的DLP,可能需要不同的方法和工具对在休息和在使用中的数据实行运动安全防护装置。对于运动中的数据,如果DLP部署再到监控电子邮件的phi警报可以在发送电子邮件前产生。对于在休息的数据,如果DLP监控在因特网上的PHI泄漏(例如,在对等体的对等文件共享网络或onweb位点),那么警报涉及已经发生的泄漏,在该点处受影响的个人或数据托管人可以试图遏制破坏和阻止进一步的泄漏。
5 网络上PHI泄漏防御
由于数据的增加量和数据提供者的数量呈指数增长,网络上数据泄露防御刻不容缓。PHI泄漏的识别可以通过结合自然语言处理(NLP),机器学习(ML)和软件工程(SE)的努力来完成,因为它往往是与Web数据挖掘一起做,检测结果必须尽快交付。因为效率是很重要的,尤其是在不确定健康信息是不是无害的情况下(如艾滋病,SARS,埃博拉)。我们必须尽快检测出不可用敏感信息。为此,应该通过手工处理找到所有相关的文本,手动处理要求误报是越少越好,以免随着时间的推移人为控制变得松弛。为了检测PHI泄露,系统必须处理大量未预定的信息。为了防止不利的后果,检测应在尽可能短的时间间隔完成。这两个要求,使得Web-PHI贴防渗漏的任务变成计算和方法论复杂度。
对于看似棘手的技术问题,我们建议集中在一个“聪明”的解决方案,而不是PHI文本的特点上。每个PHI文件都可以用大量的,但受限制的特性的数目识别。我们推测这种PHI文本检测可以用来比较罕见的事件检测。检测过程可以基于寻找事件的区分特性,用于检测网络的PHI。
6 PHL泄漏在网络社区的防御
在网络上,最基本的PHI一般都是通过网上社区公开的。尽管PHI的敏感性质,但参与者并不都了解它在网上披露的风险。为了改善这种公共空间的安全,我们建议开发以证据为基础的准则,帮助在线用户避免在网上的帖子过多而导致PHI泄露。我们建议重点关注网络隐私的方面是更直接的在用户的控制上,即在用户编写文字的隐私保护上。例如,我们的指导方针将通知用户有关可能存在潜在的披露个人身份信息(如姓名,年龄),地理个人指针(例如,家庭住址,工作地点)和健康信息(例如,诊断,医疗卫生单位的潜在危险)。为了实现这一目标,可以使用社会的开采技术。它包括以下步骤:(一)确定促进过度披露PHI的在线社区的特点;(二)确定问题的程度,通过调查网友认为过分透露PHI的比例;(三)确定过多透露PHI用户的人口统计数据。
通过被告知什么是个人身份信息,用户就会知道张贴出人的姓氏和地理指向的潜在危险。在接受了指导如何避免不慎泄露私人信息和个人身份信息后,用户将不会危及他们的安全,并改善他们的砖坯安全。用户也将被敏化可以张贴他人的
信息到什么样的程度,从而,减少了无意违反保密的概率。
7 结语
本文总结了一些在大数据领域内的隐私保护现有的挑战,当从许多不同的数据源汇总及反复盘问后,可以找到个人的个人信息。为了保护个人健康信息,我们已经讨论了内容感知预防意外的数据泄漏和应用的优点。我们已经说明了成功实施泄漏预防方法依赖于几个数据挖掘问题的解决方案。本文,我们提出了可根据积极主动的内容感知预防个人健康信息在网上社区的泄漏。到目前为止,早期的尝试解决方案已经被开发出来了。如果为了避免有害的侵犯隐私权事故的发生,还有很多问题亟待解决,我相信只要我们共同努力,个人隐私保护一定不会是个难题。
参考文献:
[1] 段伟文,纪长霖.网络与大数据时代的隐私权[J].科学与社会,2014(2).
[2] 吴佳伟,刘国华,王梅.K-匿名隐私保护模型中不确定性数据的建模问题研究[J].计算机工程与科学. 2011(9).
[3] 钱萍,吴蒙.物联网隐私保护研究与方法综述[J].计算机应用研究,2013(1).
[4] 刘雅辉,张铁赢,靳小龙,等.大数据时代的个人隐私保护[J].计算机研究与发展,2015(01)
【关键词】网络;个人信息;安全保护
一、个人信息的内容
网络时代的个人信息,主要是指存储于个人计算机、手机或网络上一切与个人利益有关的数字信息,主要包括姓名、年龄、性别、生日、身份证号码等个人基本资料,手机号码、固定电话、电子邮箱、通信地址、QQ和MSN号码等个人联系方式,网银账号、游戏账号、网上股票交易账号、支付宝账号等个人财务账号,网页浏览记录、网上交易记录、论坛和聊天室发言记录等个人网络习惯,个人不愿被公开浏览、复制、传递的照片、录像、各类文档等个人文件数据。
二、个人信息泄漏的危害
个人信息泄露一般是指不愿意让外界知道的个人信息被外界知晓。个人信息一旦泄漏,轻则导致被骚扰、个人隐私被曝光,严重的会导个人经济利益损失,甚至威胁到人身安全和国家安全。
1.个人信息泄露导致个人备受骚扰。个人信息泄露后,可能会不时接到广告短信和电话。比如经常收到某些商场打折广告,购房者经常收到房屋中介、装修公司的推销短信,购车者经常会接到推销保险的电话等等。
2.个人信息泄露导致经济损失。当前,网上炒股、电子银行和网络购物已经越来越流行,个人电子账户增多。而网上交易具有多种安全风险,如果不注意容易导致个人电子账户等信息泄露,可能会引起经济损失。
3.个人信息泄露导致自身安全受到威胁。涉及到个人家庭、住址与收入等敏感信息的泄露,有可能导致损害个人安全的犯罪事件。有些小偷获得了他人的信息后,先拨打电话,确定家中是否有人,然后再进行盗窃。个人信息的泄露也沦为一些不法分子打击报复、绑架、敲诈、勒索、抢劫甚至故意伤害、故意杀人等严重犯罪作案的工具。
4.个人信息的泄露甚或威胁到国家安全。许多人认为个人信息泄露,没什么值得大惊小怪的。但是对于军人或者国家重要部门公务人员来说,一旦个人信息被别有用心的情报机构获得,有可能从这些看似保密程度不高的信息中提取出重要的情报。据有关军情报专家说“一张士兵的工作照片,有可能从中看出一些绝密设备或军事设施的内部情况”。
三、个人信息泄漏的成因
个人信息泄漏的成因主要有以下三个方面:
1.个人信息保护的法规与制度不够完善。现阶段《宪法》和其他法律尚未明确规定侵犯公民个人信息和隐私权的范围及其追究方式,导致个人信息经常被人倒卖或泄露而无法追究责任,进而出现很多为获利而盗取个人信息的机构和产业。
2.某些单位信息安全管理理念滞后。某些掌握大量公民个人信息的部门,如电信公司、网站、银行、保险公司、房屋中介、某些政府部门、教育部门、房地产公司等,信息安全意识淡薄,管理技术措施不力,信息管理制度不健全,造成个人信息有意或无意被泄露。
3.个人信息安全保护意识不强。个人缺乏信息和隐私权的保密意识,在网络环境下也容易泄漏个人信息。比如随意接受“问卷调查”,填写个人信息,遨游互联网时不经意个人信息,未采取安全措施登录挂马网站,个人计算机中病毒等等。
四、个人信息泄露的主要途径
近几年,各种信息秘密泄露事件比比皆是。人民网曾经开展了一次有关个人信息泄露的调查,结果显示,9O%的网友曾遭遇个人信息被泄露;有94%的网友认为,当前个人信息泄露问题非常严重。笔者认为,个人信息的泄露途径主要分为主动泄露和被动窃取两种。
1.主动泄露。主动泄露是指个人为实现某种目的而主动将个人信息提供给商家、公司或他人。比如消费者在就医、求职、买车、买房、买保险、办理各种会员卡或银行卡时填写的个人信息,参加“调查问卷”或抽奖活动,填写联系方式、收入情况、信用卡情况等内容,登录网站注册会员填写的个人信息等等。个人主动将有关信息泄露给商家,而商对个人信息没有尽到妥善保管的义务,在使用过程当中把个人信息泄露出去。
2.被动窃取。被动窃取是指个人信息被别有用心的人采取各种手段收集盗卖。比如通过利用互联网搜索引擎搜索个人信息,汇集成册,出售给需要购买的人,通过建立挂马网站、发送垃圾电子邮件或者电话查询等方式,以各种“诱饵”,诱使受害人透露个人信息,通过病毒、木马和黑客攻击个人电脑或者网络服务器盗取个人电子账号、密码等等。
五、个人信息安全保护措施
个人信息安全的保护应当从完善法规和管理制度、提高个人意识和采取技术措施三方面着力。
1.健全个人信息保护的法规与制度。首先,国家应为保护公民个人信息安全创建良好的法律环境。2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》,文件明确规定了公民个人信息受国家保护,任何组织和个人不得窃取个人信息。该文件一旦正式出台,必将很大程度加强个人信息安全保护。其次,国家和地方相关管理机构应为保护公民个人信息安全创建良好的社会环境。国家和地方相关管理机构应制定个人信息安全保护制度与实施方法,促进各行各业对公民个人信息的合法利用、合理利用。再次,掌握公民个人信息的行政机关、法人和组织应建立起相应的信息安全管理机制,这样才能从根本上解决公民个人信息安全问题。
2.提高个人信息安全素养。个人在其信息保护上是第一责任人,要提高个人信息安全素养,养成良好的个人信息管理习惯,控制好个人信息的使用范围。首先,对互联网利用较多的人,需要加强对个人电脑的安全防护,安装并升级杀毒软件与防火墙。为重要的个人信息加密,计算机设置Windows和屏幕保护密码,在互联网浏览网页和注册账户时,不要泄露个人敏感信息。当遇到一些必须输入个人信息才能登录的网址时,输入的个人数据必须限于最小的范围,并且,妥善保管自己的口令、帐号密码,并不时修改。其次,谨慎注意网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录,不访问安全性不明的网站,不轻易加入各类社交网络,与来历不明的人共享信息。最后,尽量不要在qq空间、个人网站、论坛等上传个人重要信息。
3.采用技术手段。对掌握大量个人信息的企业而言,堵住人为漏洞需要完善制度,而堵住技术本身的漏洞,最好使用技术。要加强新产品新技术的应用推广,不断完善信息系统安全设备诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等的性能,强化应用数据的存取和审计功能,确保系统中的用户个人信息得到更加稳妥的安全技术防护。对于在互联网上遨游的个人而言,可以使用技术加强个人信息保护。比如对个人敏感数据进行加密,即使这些数据不小心被盗,也将是看不懂而无用的。
参考文献
[1]李振汕.基于互联网的个人信息保护的探讨[J].网络安全技术与应用,2009(3).
[2]彭默馨等.浅析个人信息安全问题及对策[J].保密工作,2009(3).
关键词:供应链;信息共享;信息泄露
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,grossman和stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在r&d的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在r&d过程中研发信息的无意传播,因为从r&d中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年wal-mart宣布不再和information resources inc.和acnielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了wal-mart的竞争对手,从而使walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由supplychainaccess.com进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是soundscan,还有newbury comic的上游供应商——唱片公司。
另外,从supplychainaccess.com的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,gm公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于internet网络体系构建的。internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为人。在供应链信息共享过程中,人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦人违反保密协议就给出相应的惩罚。
除了和人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网vpn来构架信息安全框架。vpn可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献:
[1] grossman s j, stiglitz j e. on the impossibility of informationally efficient markets[j].american economic review, 1980, 70(3):393-408.
[2] baccara m. outsourcing, information leakage, and consulting firms[j].rand journal of economics, 2007, 38(1):269-289.
[3] li l. information sharing in a supply chain with horizontal competition[j].management science, 2002, 48(9):1196-1212.
[4] hays c l. what wal-mart knows about customers′ habits[n].the newyork times, 2004.
[5] dye r a, sridhar s s. investment implications of information acquisition and leakage[j].management science, 2003,49(6):767-783.
关键词:供应链;信息共享;信息泄露
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,grossman和stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在r&d的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在r&d过程中研发信息的无意传播,因为从r&d中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年wal-mart宣布不再和information resources inc.和acnielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了wal-mart的竞争对手,从而使walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是soundscan,还有newbury comic的上游供应商——唱片公司。
另外,从的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,gm公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于internet网络体系构建的。internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为人。在供应链信息共享过程中,人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦人违反保密协议就给出相应的惩罚。
除了和人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网vpn来构架信息安全框架。vpn可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献:
[1] grossman s j, stiglitz j e. on the impossibility of informationally efficient markets[j].american economic review, 1980, 70(3):393-408.
[2] baccara m. outsourcing, information leakage, and consulting firms[j].rand journal of economics, 2007, 38(1):269-289.
[3] li l. information sharing in a supply chain with horizontal competition[j].management science, 2002, 48(9):1196-1212.
[4] hays c l. what wal-mart knows about customers′ habits[n].the newyork times, 2004.
[5] dye r a, sridhar s s. investment implications of information acquisition and leakage[j].management science, 2003,49(6):767-783.
关键词:供应链;信息共享;信息泄露
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,Grossman和Stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在R&D的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在R&D过程中研发信息的无意传播,因为从R&D中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。Baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年Wal-Mart宣布不再和Information Resources Inc.和ACNielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了Wal-Mart的竞争对手,从而使Walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。Dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于Baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由supplychainaccess.com进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是SoundScan,还有Newbury Comic的上游供应商——唱片公司。
另外,从supplychainaccess.com的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,GM公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在Ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于Internet网络体系构建的。Internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用Internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从Internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为人。在供应链信息共享过程中,人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦人违反保密协议就给出相应的惩罚。
除了和人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网VPN来构架信息安全框架。VPN可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献
[1] Grossman S J, Stiglitz J E. On the Impossibility of Informationally Efficient Markets[J].American Economic Review, 1980, 70(3):393-408.
[2] Baccara M. Outsourcing, information leakage, and consulting firms[J].RAND Journal of Economics, 2007, 38(1):269-289.
[3] Li L. Information sharing in a supply chain with horizontal competition[J].Management Science, 2002, 48(9):1196-1212.
[4] Hays C L. What Wal-Mart Knows About Customers′ Habits[N].The NewYork Times, 2004.
[5] Dye R A, Sridhar S S. Investment Implications of Information Acquisition and Leakage[J].Management Science, 2003,49(6):767-783.
