|
近日,工信部直屬的中國軟件測評中心透露,他們聯(lián)合30多家單位起草的《信息安全技術(shù)�����、公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》已正式通過評審����,正報批國家標(biāo)準(zhǔn)。
工信部安全協(xié)調(diào)司副司長歐陽武介紹說���,這個指南能為行業(yè)開展自律工作提供了很好的參考��,為企業(yè)處理個人信息制定了行為準(zhǔn)則���。據(jù)介紹,我國信息技術(shù)保護(hù)不容樂觀��,甚至已形成利用個人信息從事非法獲利的黑色鏈條�����。特別是去年年底揭露出的中國互聯(lián)網(wǎng)最大規(guī)模的泄密事件���,將個人信息保護(hù)推向了風(fēng)口浪尖���。
許多發(fā)達(dá)國家很早已開始個人信息的保護(hù)研究和立法工作��。我國近年來也啟動了個人信息保護(hù)的相關(guān)工作�。
去年�����,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出制定個人信息保護(hù)指南�����。這個委員會主要從事信息安全標(biāo)準(zhǔn)化工作�����,現(xiàn)任主任由工信部副部長楊學(xué)山兼任�����。
個人信息保護(hù)指南的全稱是《信息安全技術(shù)�����、公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》�,標(biāo)準(zhǔn)由工信部直屬的中國軟件測評中心牽頭,聯(lián)合近30家單位起草��。
該中心常務(wù)副主任黃子河透露說�,指南目前還在等待批準(zhǔn)文號,但其最終的發(fā)布應(yīng)是“指日可待”���。但這個指南并非國家強(qiáng)制性標(biāo)準(zhǔn)��。
■ 焦點
個人信息用后立即刪除
在個人信息安全缺少專門法律規(guī)范時��,一部行業(yè)標(biāo)準(zhǔn)成為業(yè)內(nèi)的希望���。
“去年正式通過了評審,報批國家標(biāo)準(zhǔn)”����,中國電子信息產(chǎn)業(yè)發(fā)展研究院院長、中國軟件評測中心主任羅文希望今年能通過這項標(biāo)準(zhǔn)��,以拓展個人信息保護(hù)的體系��。
《個人信息保護(hù)指南》對個人信息的處理包括收集�、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié)�,其中還提出了個人信息保護(hù)的原則��。
工信部安全協(xié)調(diào)司副司長歐陽武介紹�,“這個原則包括目的明確��、最少使用���、公開告知���、個人同意、質(zhì)量保證��、安全保障�、誠信履行和責(zé)任明確等八項�����!
“最少使用”的原則就是獲取一個人的信息量時�����,只要能滿足使用的目的就行�。
黃子河舉例說�����,一些網(wǎng)站本是辦一個很小的事,卻讓用戶填包括家庭住址�、手機(jī)號在內(nèi)等很多信息,這就不符合“最少使用”原則���。
“安全保障”則是要個人信息管理者一旦收集了個人信息�����,就必須建立一套個人信息保護(hù)制度���,明確責(zé)任人和內(nèi)部管理流程,以及應(yīng)對個人信息泄露的風(fēng)險����。
中國軟件測評中心的副主任高熾揚估計,個人信息泄露中70%-80%屬內(nèi)部作案����,這是“安全保障”原則沒能落實好所致。
他介紹說��,一些商業(yè)公司掌握大量個人信息�����,由于管理制度疏漏,一些內(nèi)部員工未經(jīng)授權(quán)就能獲取客戶信息��。
依照《個人信息保護(hù)指南》�����,在收集個人信息階段告知的“使用目的”達(dá)到后應(yīng)立即刪除個人信息����。
高熾揚說,有次���,他在某航空公司網(wǎng)站購買機(jī)票�,使用電話支付的時候���,工作人員搜集了他的支付信息:姓名�、身份證號��、信用卡號和信用卡的最后三位支付號碼�。購票成功。
但是��,過段時間他再去購票時�,對方問他,“您還是使用卡號末四位是****的信用卡支付嗎��?如果是����,只要告訴我就可以了���!
“(這家公司)存儲了我的信息����!3月26日��,高熾揚一邊講述一邊搖頭���。
高熾揚說,他所經(jīng)歷的航空公司電話訂票的經(jīng)歷���,就是航空公司在達(dá)到此次訂票目的后�����,未能及時刪除客戶信息�。
信息保護(hù)指南非強(qiáng)制標(biāo)準(zhǔn)
“為了經(jīng)濟(jì)效益,無利不起早�������!备邿霌P估計�,目前沒有哪個行業(yè)不存在信息泄露。
比如孕婦生完孩子剛回家��,賣奶粉的電話就過來了����,病人檢查完身體,檢查單還沒看懂���,相應(yīng)的醫(yī)藥公司就已經(jīng)打電話賣藥來了�����。
中國軟件評測中心研究員劉陶把個人信息比喻成“很多錢裝在紙糊的銀行里�����,很容易被黑客破解�����!睋(jù)他們調(diào)查,公眾最關(guān)心的金融���、電信等領(lǐng)域的個人信息安全��。
而讓人擔(dān)憂的是����,這個指南標(biāo)準(zhǔn)不是強(qiáng)制性標(biāo)準(zhǔn)��,甚至也不是推薦性標(biāo)準(zhǔn)���,標(biāo)準(zhǔn)通過會對行業(yè)起到多大的規(guī)范效力�����,仍待觀察���。
中國軟件評測中心主任助理朱璇說���,此次個人信息安全國家標(biāo)準(zhǔn)“屬于技術(shù)指導(dǎo)文件”。
國家標(biāo)準(zhǔn)分為三種��,一個是強(qiáng)制性標(biāo)準(zhǔn)��,一個是推薦性標(biāo)準(zhǔn)���,一個是指導(dǎo)性技術(shù)文件�����,標(biāo)準(zhǔn)可以作為參考���。而國家強(qiáng)制性標(biāo)準(zhǔn)多在食品安全領(lǐng)域。
不過����,黃子河認(rèn)為,標(biāo)準(zhǔn)適用于除了政府機(jī)關(guān)等行使公共管理職能以外的各類組織和機(jī)構(gòu)��,特別是電信�、醫(yī)療等涉及個人敏感信息比較多的服務(wù)機(jī)構(gòu)�����。
■ 現(xiàn)狀
40部法律難約束個人信息泄露
工信部電子科技情報研究所副所長劉九如統(tǒng)計���,目前有近40部法律、30余部法規(guī)�,以及近200部規(guī)章涉及個人信息保護(hù),其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定�����,醫(yī)療信息規(guī)定�,個人信用管理辦法等����。
“針對個人信息的法律法規(guī)并不少,然而內(nèi)容較為分散���、法律法規(guī)層級偏低�����!眲⒕湃缯f。
刑法修正案(七)被認(rèn)為是個人信息立法的標(biāo)志性事件之一。
2009年��,刑法修正案(七)確定了“出售�、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名����,首次將公民個人信息納入刑法保護(hù)范疇,規(guī)定要追究泄露���、竊取和售賣公民個人信息行為的刑事責(zé)任��。
但是�����,這一犯罪主體是“國家機(jī)關(guān)或者金融���、電信、交通�、教育、醫(yī)療等單位的工作人員”��。除此之外����,還存在著互聯(lián)網(wǎng)公司�、房地產(chǎn)公司�、物業(yè)公司、汽車廠商����、賓館酒店、會計師事務(wù)所等掌握個人信息的機(jī)構(gòu)和單位���。
諸多法律界人士認(rèn)為��,刑法未明確該罪的具體界定標(biāo)準(zhǔn),這一條款還有進(jìn)一步改進(jìn)和完善的空間�。
另外,專家認(rèn)為法律中對信息泄露者懲罰機(jī)制不夠�。
前段時間,警方破獲CSDN(即中國軟件開發(fā)聯(lián)盟)的600多萬條用戶名和密碼泄露案件�,“目前為止對網(wǎng)站的處罰只是提出行政警告,太輕了�����,這種處罰幾乎沒有威懾力����!北本┛萍即髮W(xué)經(jīng)管學(xué)院教授梅紹祖說。
梅紹祖認(rèn)為�����,如果在國外�����,這樣的大規(guī)模用戶信息泄露��,至少應(yīng)該有經(jīng)濟(jì)處罰�。
2009年,《侵權(quán)責(zé)任法》的通過��,使“人肉搜索”侵犯受害人權(quán)利的責(zé)任認(rèn)定有了法律的統(tǒng)一規(guī)制����,如果網(wǎng)站無視受害人提出的屏蔽、刪除要求��,就要承擔(dān)連帶責(zé)任��。
但是�,社科院法學(xué)所研究員周漢華說���,《刑法》和《侵權(quán)責(zé)任法》都屬于事后救濟(jì),在網(wǎng)絡(luò)時代要對網(wǎng)絡(luò)安全以及個人信息進(jìn)行全流程的監(jiān)管才更為有效�。
個人信息安全法未入立法程序
《個人信息安全法》并非從未嘗試破冰。
工業(yè)和信息化部副部長楊學(xué)山回憶�����,2003年的4月��,國務(wù)院信息化辦公室專門對個人信息立法研究課題進(jìn)行部署�,2005年《個人信息保護(hù)法》專家意見稿已經(jīng)提交。不過這項立法建議一直未能進(jìn)入正式的立法程序��。
參與此次專家意見稿的梅紹祖說��,當(dāng)時文本已從國務(wù)院信息化辦公室上報到國務(wù)院法制辦�����,此次未能進(jìn)入正式立法程序的原因很復(fù)雜�����,主要是“從緊迫性上講還沒太關(guān)注這個問題”�����。
梅紹祖承認(rèn)��,凡事總有輕重緩急���,有關(guān)部門會綜合考慮�����,但考慮到目前我國發(fā)生的個人信息泄露和被盜���、個人隱私侵犯以及個人信息交易的事件愈演愈烈的現(xiàn)實,再發(fā)展下去可能會影響到整個社會經(jīng)濟(jì)活動���,“我覺得緊迫性早就有了�,可能各個層面感覺不一樣���,有人覺得沒那么緊迫”�。
工信部副部長楊學(xué)山力主加快立法��。
他說��,個人信息保護(hù)實行面廣,一定要從法的角度規(guī)范�,才能使這項工作在法律上有依據(jù)。
“這幾年我們和大家一起在個人信息立法盡快進(jìn)入正式程序正在努力�������!睏顚W(xué)山說�����,在大家的努力下��,“尤其是在今天個人信息保護(hù)已經(jīng)成為社會迫切的問題����,立法的進(jìn)程就會加快”。 |
