去年11月公布的我國首個(gè)個(gè)人信息保護國家標準《信息安全技術(shù) 公共及商用服務(wù)信息系統個(gè)人信息保護指南》(以下簡(jiǎn)稱(chēng)《指南》)將于今年2月1日起正式實(shí)施。
1月21日,《指南》的主要起草單位工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件評測中心)在北京舉辦“個(gè)人信息保護國家標準宣講會(huì )暨個(gè)人信息保護推進(jìn)聯(lián)盟籌備會(huì )”。工業(yè)和信息化部信息安全協(xié)調司副司長(cháng)歐陽(yáng)武出席會(huì )議,對《指南》進(jìn)行了詳細的介紹,倡導行業(yè)自律及個(gè)人信息保護評測,推動(dòng)標準貫徹落實(shí)。
《指南》屬于國家標準“指導性技術(shù)文件”類(lèi),對利用信息系統處理個(gè)人信息的活動(dòng)起指導和規范作用。據了解,《標準》對個(gè)人信息保護領(lǐng)域的術(shù)語(yǔ)和定義做了明確的規范,并通過(guò)“八大基本原則”和“四個(gè)主要環(huán)節”對個(gè)人信息保護工作提出了詳細的要求。
八大原則四個(gè)環(huán)節
歐陽(yáng)武在宣講會(huì )致辭表示,企業(yè)在面對大量個(gè)人信息時(shí)需遵循《指南》中確定的八大基本原則,對個(gè)人信息的保護需貫穿于個(gè)人信息的處理過(guò)程的收集、加工、轉移、刪除四個(gè)主要環(huán)節中。
所謂八大基本原則,即個(gè)人信息管理者在對個(gè)人信息進(jìn)行處理時(shí)需把握目的明確原則、最少夠用原則、公開(kāi)告知原則、個(gè)人同意原則、質(zhì)量保證原則、安全保障原則、誠信履行原則和責任明確原則。
有業(yè)內專(zhuān)家指出,與法律的強制性和最低要求不同,標準具有自覺(jué)性和更高更詳細要求的特點(diǎn)。《指南》中的基本原則是對《關(guān)于加強網(wǎng)絡(luò )信息保護的決定》的細化和補充。
去年12月第十一屆全國人大常委會(huì )通過(guò)了《關(guān)于加強網(wǎng)絡(luò )信息保護的決定》。《決定》共12條內容,將公民個(gè)人信息保護放在首要位置,提出了以法律形式保護公民個(gè)人及法人信息安全,并賦予政府主管部門(mén)必要的監管手段。
《指南》中明確規定在個(gè)人信息的收集階段需要具有特定、明確、合法的目的。收集前要采用個(gè)人信息主體易知悉的方式,向個(gè)人信息主體明確告知。尤其是不可以直接向未滿(mǎn)16周歲的未成年人收集個(gè)人敏感信息,確需收集其個(gè)人敏感信息需要征得其法定監護人的明示同意。
在個(gè)人信息的加工階段不可以違背收集階段已告知的使用目的,保證加工過(guò)程中個(gè)人信息不被任何與處理目的無(wú)關(guān)的個(gè)人、組織和機構獲知。
在轉移階段,個(gè)人信息管理者需要保證個(gè)人信息的安全。收集階段告知的個(gè)人信息使用目的達到后,需要立即刪除個(gè)人信息;如需繼續處理,要消除其中能夠識別具體個(gè)人的內容;如需繼續處理個(gè)人敏感信息,要獲得個(gè)人信息主體的明示同意。
通過(guò)對八大基本原則和四個(gè)主要環(huán)節的詳細規定,我國個(gè)人信息保護工作可以更方便的開(kāi)展,真正做到“有標可依”。
在宣講會(huì )上,歐陽(yáng)武還希望擁有大量個(gè)人信息的企業(yè)依據《指南》對處理個(gè)人信息的信息系統及個(gè)人信息處理流程進(jìn)行自查和第三方評測,共同創(chuàng )建保護個(gè)人信息的良好環(huán)境。
成立聯(lián)盟倡導自律
標準出臺的同時(shí),首個(gè)個(gè)人信息保護自律聯(lián)盟將成立,監督推動(dòng)標準的落實(shí)。中國軟件評測中心副主任朱璇表示,中國軟件評測中心將聯(lián)合相關(guān)行業(yè)協(xié)會(huì ),積極牽頭組織企業(yè)和測評機構共同組建我國個(gè)人信息保護自律聯(lián)盟——“個(gè)人信息保護推薦聯(lián)盟”,并創(chuàng )辦首個(gè)安全通報服務(wù)平臺——“中國個(gè)人信息保護網(wǎng)”。
“個(gè)人信息保護推薦聯(lián)盟”的成立將彌補我國個(gè)人信息保護相關(guān)組織機構的缺失,形成我國的企業(yè)自律模式。業(yè)內相關(guān)人士表示,聯(lián)盟將對推動(dòng)我國個(gè)人信息保護工作發(fā)展產(chǎn)生重大影響。不僅保障開(kāi)展業(yè)務(wù)活動(dòng)的公司和個(gè)人信息數據得到有效保護而不阻礙數據的轉移和流通,還有助于建立統一的隱私政策,給予公眾個(gè)人信息以公開(kāi)、透明的社會(huì )信任,使公眾與企業(yè)達到雙贏(yíng)的局面。
據了解,國外一些個(gè)人信息保護推動(dòng)較早的國家皆成立了個(gè)人信息保護相關(guān)工作組織,例如美國的TRUSTE認證、歐洲的ePrivacyMark、日本的P-MARK認證等,這些機構在制定相關(guān)標準規范和約定章程的同時(shí),倡導、輔助并監督企業(yè)依照約定章程開(kāi)展個(gè)人信息保護工作。
同時(shí),個(gè)人信息保護的權威發(fā)布平臺“中國個(gè)人信息保護網(wǎng)”也即將開(kāi)通,中國軟件評測中心劉陶介紹,網(wǎng)站不僅將成為發(fā)布個(gè)人信息威脅預警、公告重要個(gè)人信息安全事件、發(fā)布第三方測評報告的平臺;也將成為個(gè)人信息保護政策、標準宣貫和推進(jìn)實(shí)施的平臺。
后續注重標準落地
中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長(cháng)兼中國軟件評測中心常務(wù)副主任黃子河表示,為了更好地推動(dòng)并落實(shí)個(gè)人信息保護國家標準,作為標準的牽頭制定單位,在后續工作中,中國軟件評測中心將在工業(yè)和信息化部主管部門(mén)指導下,通過(guò)培訓、試點(diǎn)等形式加大標準宣傳力度,推出一批個(gè)人信息保護示范典型,進(jìn)一步構建完善個(gè)人信息保護標準體系,推動(dòng)我國個(gè)人信息保護自律的各項工作發(fā)展。
對于首個(gè)個(gè)人信息保護國家標準的“落地”工作,有專(zhuān)家指出,《指南》只是一個(gè)推薦性標準,其實(shí)施取決于相關(guān)行業(yè)主體的自愿配合,缺乏一定的強制力。
專(zhuān)家表示,個(gè)人信息保護關(guān)鍵就在于強制性的法律法規和行為標準,個(gè)人信息保護國標重在落實(shí)。
