近年来,随着信息化的深入发展,个人信息安全以及随之产生的隐私保护问题引起了各方的高度关注。个人信息保护问题已经成为影响网民信心的重要因素,建立个人信息保护机制,维护网民合法权益,已经成为当务之急。
为了进一步推动我国个人信息保护事业的蓬勃发展,在工业和信息化部安全协调司的指导下,中国软件评测中心致力于个人信息保护国家标准的贯彻和落实,并牵头组织相关企业和行业协会共同组建自律联盟——“中国个人信息保护推进联盟”,同时创办“中国个人信息保护网”,为广大网民和企业事业单位提供安全通报服务。
组建“个人信息保护推进联盟”,推动行业自律
合理利用和有效保护个人信息已成为政府、企业、个人和社会各界广泛关注的热点问题。互联网个人信息保护工作已势在必行,2011年党十七届六中全会已明确提出“加大网上个人信息保护力度,建立网络安全评估机制,维护公共利益和国家信息安全”(《中共中央关于深化文化体制改革推动社会主义文化大发展大繁荣若干问题的决定》第四部分-第5点)。2012年十八大报告明确提出要健全信息安全保障体系。2012年12月十一届全国人大常委会第三十次会议通过了《关于加强网络信息保护的决定》。《决定》将公民个人信息保护放在首要位置,提出要以法律形式保护公民个人及法人信息安全,并赋予政府主管部门必要的监管手段。
国外一些个人信息保护推动较早的国家,如美国、日本、韩国等皆成立了个人信息保护相关工作组织,在制定相关标准规范和约定章程的同时,倡导、辅助并监督企业依照约定章程开展个人信息保护工作,并大多采取颁发标识的方式,对企业个人信息保护水平进行评价,为公众提供参考。当前我国已制定并发布了我们自己的个人信息保护国家标准,也通过了个人信息保护的总领性决定,急需一个组织来推动标准的落实,在帮助提高企业信誉、提升民众信心的同时,有助于推动跨国电子商务活动的开展。
为了进一步推动我国个人信息保护事业的蓬勃发展,在工业和信息化部安全协调司的指导下,中国软件评测中心正在积极牵头组织相关企业和行业协会共同组建个人信息保护自律联盟——“个人信息保护推进联盟”。
中国软件评测中心副主任朱璇对联盟的主要职能作了详细的介绍。联盟的主要工作包括5个部分:1.联合专家学者、优秀企业、测评机构,制定联盟章程和个人信息保护相关标准规范;2.宣传并倡导相关企业加入联盟,采纳联盟章程和相关标准规范;3.管理联盟“个人信息保护”标识,包括标识的发放、监管、撤销;4.与国外其他组织机构建立联系,并形成长期沟通交流机制,促进我国个人信息保护相关水平;5.建立并维护我国个人信息保护信息通报平台,发布个人信息保护的测评报告,对个人信息保护相关事件进行及时安全预警。
针对企业如何申请联盟的认证标识,朱璇告诉记者,任何愿意采纳联盟章程和相关标准规范的企业,均可提交联盟标识申请。在提交申请的同时,企业需接受联盟所认可的第三方测评机构的相关标准符合性测试,获取测评报告。相关申请材料和测评报告,提交联盟专家委员会评审通过后,即可获得联盟标识。联盟对标识企业具有监督作用,并会接受和积极协调处理公众对标识企业的相关投诉事件。
联盟的成立对推动我国个人信息保护工作发展将产生重大影响。一方面,联盟的章程准则促使企业对个人信息数据处理行为进行梳理,达到自我保护的目的;另一方面,通过测评与认证在公众与企业、企业与企业之间建立起可靠信任关系,为联盟成员贸易交往中个人信息的合理利用、安全流转提供信心。对于搜集、使用和转移用户个人信息的服务提供商企业,通过联盟内部认证的相应流程,可以对企业的个人信息保护水平进行评价,确保用户个人信息在其相应的生命周期内能得到安全保障,确保企业符合个人信息保护的系列技术标准和相关规定。联盟标识机制建立的宗旨是希望能在联盟内建立统一的企业级个人信息保护与管理评价体制,实现科学、客观和正确的评判。这样一来,它不仅保障了开展业务活动的公司个人信息数据得到有效保护而不阻碍数据的转移及流通,还有助于建立统一的隐私政策,给予公众个人信息以公开、透明的保社会信任,使公众与企业达到双赢的局面。
创办“中国个人信息保护网”,建设安全通报服务平台
据中国软件评测中心刘陶博士介绍,“中国个人信息保护网”是在工业和信息化部信息安全协调司指导下,由工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)发起,联合“个人信息保护推进联盟”相关企业和研究机构共同创办的第三方权威信息发布平台。网站致力于建设个人信息保护领域权威安全预警平台、测评报告发布平台、政策标准宣贯和推进实施平台,旨在为社会公众和企业行业掌控个人信息安全保护态势提供可靠依据,为政府主管部门履行监管和公共服务职能提供有力支撑,保护公民合法权益,推动各行业个人信息合理利用。
网站旨在建设成为个人信息保护领域专业性的安全通报服务平台。刘陶说,网站不仅将成为发布个人信息威胁预警、公告重要个人信息安全事件、发布第三方测评报告的平台;也将成为个人信息保护政策、标准宣贯和推进实施的平台。同时,我们也将打造网站成为企业个人信息保护管理和技术交流、个人信息保护解决方案推广宣传的平台。作为个人信息保护推进联盟的门户,网站也将成为联盟连接政府和企业、服务联盟和大众的平台。
而网站的具体服务将主要包括下面的内容:
(1) 及时发布个人信息安全威胁预警,重点关注社会热点问题。
(2) 定期发布移动智能终端以及互联网相关行业网站的个人信息保护测试和评估报告。
(3) 解读有关个人信息保护的标准与政策法规,宣传标准和政策法规的实施。
(4) 科普个人信息保护的基本知识、基础技术和管理方法。
(5) 推介有关个人信息保护的新技术、解决方案和成果。
(6) 推进“个人信息保护推进联盟”建设工作。
贯彻落实国家标准,开展标准落地工作
自2008年起,中国软件评测中心已连续四年接受工业和信息化部信息安全协调司的委托开展个人信息保护相关研究工作。历时两年多,经过多轮的审议与修改,我国第一项个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012,简称《指南》)已经发布,将于2013年2月1日正式实施。《指南》的实施标志着我国将告别针对个人信息处理行为“无标可依”的历史,使公民对个人信息保护的诉求得到有效解决。相关监管部门可以依据国家标准的技术支撑,规范企业对个人信息的使用,构建政府引导下的行业自律机制,形成具有我国特色的个人信息保护模式。《指南》的出台将对后续个人信息保护的相关工作起到指导性的作用;相关监管部门可以依据国家标准引导企业进行个人信息保护自律,并对企业个人信息处理行为进行监督规范,逐步形成以“企业自律为主导,联盟约束为辅助,政府监督配合”的我国个人信息保护模式。
《指南》归为国家标准“指导性技术文件”类,主要依靠企业自觉遵守,为了更好地推动并落实个人信息保护国家标准,规范企业个人信息处理行为,切实提高企业个人信息保护技术水平,并加强公众个人信息保护意识。中国软件评测中心在《指南》标准发布的同时,将加大《指南》宣传力度,通过培训、试点等形式,推出一批个人信息保护试点案例,形成典型范本,推动我国个人信息保护联盟机构的各项工作发展,并进一步完善个人信息保护标准体系。
要实现对个人信息的保护,最好的办法还是立法,通过法律明确组织和个人在处理个人信息过程中的法定责任,建立个人信息保护的监管体制,明确侵害他人信息隐私的行政处罚制度与民事赔偿责任。只有把个人信息保护纳入到法制化的轨道,才能实现对个人信息的最佳保护。
法律制裁是事后惩戒机制,对制止和杜绝个人信息滥用有很好的威慑作用。在完善法律制度的同时,必须建立事前预防机制,由行业组织依据个人信息保护的通行原则并照顾到行业特点,制定个人信息保护的标准规范,采取行业自律的方式,开展个人信息保护工作。中国软件评测中心也将继续以国家信息安全标准体系为基础,建立个人信息保护标准体系。在参考国际相关研究成果的基础上,结合我国实际需求,对信息系统个人信息保护管理办法和技术手段进行专项研究,研究制定体系框架中急需的关键标准,对标准进行验证以支持标准的进一步修订和改进。