核心阅读
2月1日起,我国首部个人信息保护国家标准——《信息安全技术 公共及商用服务信息系统个人信息保护指南》正式实施,这标志着我国个人信息保护工作正式进入“有标可依”阶段。
《信息安全技术 公共及商用服务信息系统个人信息保护指南》对个人信息保护作出了怎样的规定?其出台对个人信息保护会起到什么作用?带着这些问题,记者采访了参与起草《指南》的中国软件评测中心副主任朱璇。
个人信息保护须管理和技术双管齐下
问:当前个人信息泄露事件频发,信息服务从业者在处理公民个人信息过程中,主要在哪些环节出现了问题?
答:目前,许多企业在个人信息处理过程中保护措施还存在不足,在个人信息收集、加工、转移、删除各个阶段都可能存在一些问题。例如收集阶段,目前过度收集客户信息的问题广泛存在,许多企业在收集个人信息时没有对个人信息主体进行明确告知;在加工阶段,由于个人信息管理者未对信息系统进行必要的安全防护,导致黑客轻易入侵数据库获得个人信息的事件时常发生;在删除阶段,由于企业内部管理漏洞,未按要求在使用完个人信息后立即删除,一些内部人员受利益驱使向外泄露历史信息的事件也屡屡曝光。
因此,只有参照《指南》对个人信息处理的各个阶段进行梳理,规范企业行为,才能有效减少个人信息泄露事件的发生。个人信息保护要从管理和技术两方面双管齐下,个人信息管理者应制定完善的个人信息保护管理制度,同时在技术上采取必要的安全保障手段。
手机软件收集用户信息违背“公开告知”原则
问:《指南》确立了“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行、责任明确”八项原则,规范信息服务从业者的行为。在公民个人信息的使用和处理过程中,涉及比较多的是哪些原则?
答:从目前已发生的个人信息相关安全事件来说,比较多的涉及“目的明确”、“最少够用”、“公开告知”、“个人同意”、“安全保障”等原则。例如智能手机上的某些软件, 在收集手机用户个人信息的时候,并没有明确告知主体收集相关个人信息的目的,即违反了“目的明确”和“公开告知”原则。中国软件评测中心出具的《2012年Android手机软件个人信息安全测评报告》显示大量手机软件会自动收集用户的IMEI号、上传用户通讯录等,违背了“个人同意”原则或“公开告知”原则。
此外,2012年爆发的大量互联网网站用户数据泄露事件,也说明大量的网站没有采取足够的安全措施保障用户个人信息的安全,一些网站将用户口令直接明文传输并存储在服务器端,就违背了“安全保障”原则要求。
但我们必须明确,《指南》所提出的八项原则是个人信息处理整个周期中需要遵守的基本原则,只有八项原则共同作用才能使信息系统中的个人信息得到基本保护,达到《指南》的基准要求。
未来将选择合适企业开展标准实施试点
问:《指南》属于技术指导文件,不具有强制执行力,有人质疑此举意义不大,您认为其出台的最大意义是什么?未来,又将通过哪些后续措施,促进其“落地”?
答:作为第一部个人信息保护相关的国家标准,《指南》可以说是我国个人信息保护工作的一个里程碑。《指南》适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,我们可根据具体国情,开展“标准先行”,在《指南》的基础上促进行业自律、企业自律,有效地推动我国个人信息保护立法进程。
未来,我们计划选择合适的企业,导入个人信息保护国家标准实施试点工作。在个人信息保护敏感度较高的行业内选择具体企业,根据标准内容开展个人信息保护相关标准的试点示范和应用推广工作,在验证企业管理制度和技术规范有效性的同时,实施对企业相关人员个人信息保护的资格认定与培训。同时,辅导机构运作,指导企业按照《指南》开展自查工作并接受第三方测评机构的检查。通过试点工作,可以实践标准体系提出的各项工作任务,培养一批具有典型示范、辐射和带动作用的样板企业,对试点工作经验进行总结并进一步对标准加以推广。