首部個(gè)人信息保護(hù)“國標(biāo)”本月開始實(shí)施
人民日?qǐng)?bào)
2013-02-05 15:20:11
2月1日起����,我國首部個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》正式實(shí)施,這標(biāo)志著我國個(gè)人信息保護(hù)工作正式進(jìn)入“有標(biāo)可依”階段�。
2月1日起�����,我國首部個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》正式實(shí)施�,這標(biāo)志著我國個(gè)人信息保護(hù)工作正式進(jìn)入“有標(biāo)可依”階段。
《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》對(duì)個(gè)人信息保護(hù)作出了怎樣的規(guī)定��?其出臺(tái)對(duì)個(gè)人信息保護(hù)會(huì)起到什么作用�����?帶著這些問題��,記者采訪了參與起草《指南》的中國軟件評(píng)測(cè)中心副主任朱璇����。
個(gè)人信息保護(hù)須管理和技術(shù)雙管齊下
問:當(dāng)前個(gè)人信息泄露事件頻發(fā),信息服務(wù)從業(yè)者在處理公民個(gè)人信息過程中��,主要在哪些環(huán)節(jié)出現(xiàn)了問題�?
答:目前,許多企業(yè)在個(gè)人信息處理過程中保護(hù)措施還存在不足�����,在個(gè)人信息收集�����、加工��、轉(zhuǎn)移����、刪除各個(gè)階段都可能存在一些問題。例如收集階段���,目前過度收集客戶信息的問題廣泛存在���,許多企業(yè)在收集個(gè)人信息時(shí)沒有對(duì)個(gè)人信息主體進(jìn)行明確告知�����;在加工階段�����,由于個(gè)人信息管理者未對(duì)信息系統(tǒng)進(jìn)行必要的安全防護(hù)�����,導(dǎo)致黑客輕易入侵?jǐn)?shù)據(jù)庫獲得個(gè)人信息的事件時(shí)常發(fā)生��;在刪除階段�����,由于企業(yè)內(nèi)部管理漏洞����,未按要求在使用完個(gè)人信息后立即刪除��,一些內(nèi)部人員受利益驅(qū)使向外泄露歷史信息的事件也屢屢曝光��。
因此��,只有參照《指南》對(duì)個(gè)人信息處理的各個(gè)階段進(jìn)行梳理�,規(guī)范企業(yè)行為,才能有效減少個(gè)人信息泄露事件的發(fā)生���。個(gè)人信息保護(hù)要從管理和技術(shù)兩方面雙管齊下����,個(gè)人信息管理者應(yīng)制定完善的個(gè)人信息保護(hù)管理制度����,同時(shí)在技術(shù)上采取必要的安全保障手段。
手機(jī)軟件收集用戶信息違背“公開告知”原則
問:《指南》確立了“目的明確����、最少夠用、公開告知���、個(gè)人同意����、質(zhì)量保證�、安全保障�、誠信履行����、責(zé)任明確”八項(xiàng)原則,規(guī)范信息服務(wù)從業(yè)者的行為����。在公民個(gè)人信息的使用和處理過程中,涉及比較多的是哪些原則����?
答:從目前已發(fā)生的個(gè)人信息相關(guān)安全事件來說,比較多的涉及“目的明確”�����、“最少夠用”����、“公開告知”、“個(gè)人同意”����、“安全保障”等原則。例如智能手機(jī)上的某些軟件��,在收集手機(jī)用戶個(gè)人信息的時(shí)候,并沒有明確告知主體收集相關(guān)個(gè)人信息的目的�,即違反了“目的明確”和“公開告知”原則。中國軟件評(píng)測(cè)中心出具的《2012年Android手機(jī)軟件個(gè)人信息安全測(cè)評(píng)報(bào)告》顯示大量手機(jī)軟件會(huì)自動(dòng)收集用戶的IMEI號(hào)���、上傳用戶通訊錄等,違背了“個(gè)人同意”原則或“公開告知”原則�����。
此外���,2012年爆發(fā)的大量互聯(lián)網(wǎng)網(wǎng)站用戶數(shù)據(jù)泄露事件�����,也說明大量的網(wǎng)站沒有采取足夠的安全措施保障用戶個(gè)人信息的安全���,一些網(wǎng)站將用戶口令直接明文傳輸并存儲(chǔ)在服務(wù)器端,就違背了“安全保障”原則要求�。
但我們必須明確,《指南》所提出的八項(xiàng)原則是個(gè)人信息處理整個(gè)周期中需要遵守的基本原則�,只有八項(xiàng)原則共同作用才能使信息系統(tǒng)中的個(gè)人信息得到基本保護(hù),達(dá)到《指南》的基準(zhǔn)要求�。
未來將選擇合適企業(yè)開展標(biāo)準(zhǔn)實(shí)施試點(diǎn)
問:《指南》屬于技術(shù)指導(dǎo)文件�����,不具有強(qiáng)制執(zhí)行力�,有人質(zhì)疑此舉意義不大�����,您認(rèn)為其出臺(tái)的最大意義是什么�?未來,又將通過哪些后續(xù)措施����,促進(jìn)其“落地”?
答:作為第一部個(gè)人信息保護(hù)相關(guān)的國家標(biāo)準(zhǔn)�,《指南》可以說是我國個(gè)人信息保護(hù)工作的一個(gè)里程碑?�!吨改稀愤m用于指導(dǎo)除政府機(jī)關(guān)等行使公共管理職責(zé)的機(jī)構(gòu)以外的各類組織和機(jī)構(gòu)�,我們可根據(jù)具體國情,開展“標(biāo)準(zhǔn)先行”��,在《指南》的基礎(chǔ)上促進(jìn)行業(yè)自律���、企業(yè)自律���,有效地推動(dòng)我國個(gè)人信息保護(hù)立法進(jìn)程��。
未來�����,我們計(jì)劃選擇合適的企業(yè)���,導(dǎo)入個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)實(shí)施試點(diǎn)工作�����。在個(gè)人信息保護(hù)敏感度較高的行業(yè)內(nèi)選擇具體企業(yè)���,根據(jù)標(biāo)準(zhǔn)內(nèi)容開展個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)的試點(diǎn)示范和應(yīng)用推廣工作�����,在驗(yàn)證企業(yè)管理制度和技術(shù)規(guī)范有效性的同時(shí)��,實(shí)施對(duì)企業(yè)相關(guān)人員個(gè)人信息保護(hù)的資格認(rèn)定與培訓(xùn)����。同時(shí),輔導(dǎo)機(jī)構(gòu)運(yùn)作����,指導(dǎo)企業(yè)按照《指南》開展自查工作并接受第三方測(cè)評(píng)機(jī)構(gòu)的檢查。通過試點(diǎn)工作�����,可以實(shí)踐標(biāo)準(zhǔn)體系提出的各項(xiàng)工作任務(wù)�����,培養(yǎng)一批具有典型示范�、輻射和帶動(dòng)作用的樣板企業(yè),對(duì)試點(diǎn)工作經(jīng)驗(yàn)進(jìn)行總結(jié)并進(jìn)一步對(duì)標(biāo)準(zhǔn)加以推廣�。
