“最少夠用”“個人同意”是原則

　　核心閱讀

　　2月1日起，我國首部個人信息保護國家標准——《信息安全技術 公共及商用服務信息系統個人信息保護指南》正式實施，這標志著我國個人信息保護工作正式進入“有標可依”階段。

　　《信息安全技術 公共及商用服務信息系統個人信息保護指南》對個人信息保護作出了怎樣的規定？其出台對個人信息保護會起到什麼作用？帶著這些問題，記者採訪了參與起草《指南》的中國軟件評測中心副主任朱璇。

　　個人信息保護須管理和技術雙管齊下

　　問：當前個人信息泄露事件頻發，信息服務從業者在處理公民個人信息過程中，主要在哪些環節出現了問題？

　　答：目前，許多企業在個人信息處理過程中保護措施還存在不足，在個人信息收集、加工、轉移、刪除各個階段都可能存在一些問題。例如收集階段，目前過度收集客戶信息的問題廣泛存在，許多企業在收集個人信息時沒有對個人信息主體進行明確告知﹔在加工階段，由於個人信息管理者未對信息系統進行必要的安全防護，導致黑客輕易入侵數據庫獲得個人信息的事件時常發生﹔在刪除階段，由於企業內部管理漏洞，未按要求在使用完個人信息后立即刪除，一些內部人員受利益驅使向外泄露歷史信息的事件也屢屢曝光。

　　因此，隻有參照《指南》對個人信息處理的各個階段進行梳理，規范企業行為，才能有效減少個人信息泄露事件的發生。個人信息保護要從管理和技術兩方面雙管齊下，個人信息管理者應制定完善的個人信息保護管理制度，同時在技術上採取必要的安全保障手段。

　　手機軟件收集用戶信息違背“公開告知”原則

　　問：《指南》確立了“目的明確、最少夠用、公開告知、個人同意、質量保証、安全保障、誠信履行、責任明確”八項原則，規范信息服務從業者的行為。在公民個人信息的使用和處理過程中，涉及比較多的是哪些原則？

　　答：從目前已發生的個人信息相關安全事件來說，比較多的涉及“目的明確”、“最少夠用”、“公開告知”、“個人同意”、“安全保障”等原則。例如智能手機上的某些軟件， 在收集手機用戶個人信息的時候，並沒有明確告知主體收集相關個人信息的目的，即違反了“目的明確”和“公開告知”原則。中國軟件評測中心出具的《2012年Android手機軟件個人信息安全測評報告》顯示大量手機軟件會自動收集用戶的IMEI號、上傳用戶通訊錄等，違背了“個人同意”原則或“公開告知”原則。

　　此外，2012年爆發的大量互聯網網站用戶數據泄露事件，也說明大量的網站沒有採取足夠的安全措施保障用戶個人信息的安全，一些網站將用戶口令直接明文傳輸並存儲在服務器端，就違背了“安全保障”原則要求。

　　但我們必須明確，《指南》所提出的八項原則是個人信息處理整個周期中需要遵守的基本原則，隻有八項原則共同作用才能使信息系統中的個人信息得到基本保護，達到《指南》的基准要求。

　　未來將選擇合適企業開展標准實施試點

　　問：《指南》屬於技術指導文件，不具有強制執行力，有人質疑此舉意義不大，您認為其出台的最大意義是什麼？未來，又將通過哪些后續措施，促進其“落地”？

　　答：作為第一部個人信息保護相關的國家標准，《指南》可以說是我國個人信息保護工作的一個裡程碑。《指南》適用於指導除政府機關等行使公共管理職責的機構以外的各類組織和機構，我們可根據具體國情，開展“標准先行”，在《指南》的基礎上促進行業自律、企業自律，有效地推動我國個人信息保護立法進程。

　　未來，我們計劃選擇合適的企業，導入個人信息保護國家標准實施試點工作。在個人信息保護敏感度較高的行業內選擇具體企業，根據標准內容開展個人信息保護相關標准的試點示范和應用推廣工作，在驗証企業管理制度和技術規范有效性的同時，實施對企業相關人員個人信息保護的資格認定與培訓。同時，輔導機構運作，指導企業按照《指南》開展自查工作並接受第三方測評機構的檢查。通過試點工作，可以實踐標准體系提出的各項工作任務，培養一批具有典型示范、輻射和帶動作用的樣板企業，對試點工作經驗進行總結並進一步對標准加以推廣。