去年11月公布的我國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(以下簡(jiǎn)稱《指南》)將于今年2月1日起正式實(shí)施。
1月21日,《指南》的主要起草單位工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國(guó)軟件評(píng)測(cè)中心)在北京舉辦“個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)宣講會(huì)暨個(gè)人信息保護(hù)推進(jìn)聯(lián)盟籌備會(huì)”。工業(yè)和信息化部信息安全協(xié)調(diào)司副司長(zhǎng)歐陽(yáng)武出席會(huì)議,對(duì)《指南》進(jìn)行了詳細(xì)的介紹,倡導(dǎo)行業(yè)自律及個(gè)人信息保護(hù)評(píng)測(cè),推動(dòng)標(biāo)準(zhǔn)貫徹落實(shí)。
《指南》屬于國(guó)家標(biāo)準(zhǔn)“指導(dǎo)性技術(shù)文件”類,對(duì)利用信息系統(tǒng)處理個(gè)人信息的活動(dòng)起指導(dǎo)和規(guī)范作用。據(jù)了解,《標(biāo)準(zhǔn)》對(duì)個(gè)人信息保護(hù)領(lǐng)域的術(shù)語(yǔ)和定義做了明確的規(guī)范,并通過(guò)“八大基本原則”和“四個(gè)主要環(huán)節(jié)”對(duì)個(gè)人信息保護(hù)工作提出了詳細(xì)的要求。
八大原則四個(gè)環(huán)節(jié)
歐陽(yáng)武在宣講會(huì)致辭表示,企業(yè)在面對(duì)大量個(gè)人信息時(shí)需遵循《指南》中確定的八大基本原則,對(duì)個(gè)人信息的保護(hù)需貫穿于個(gè)人信息的處理過(guò)程的收集、加工、轉(zhuǎn)移、刪除四個(gè)主要環(huán)節(jié)中。
所謂八大基本原則,即個(gè)人信息管理者在對(duì)個(gè)人信息進(jìn)行處理時(shí)需把握目的明確原則、最少夠用原則、公開(kāi)告知原則、個(gè)人同意原則、質(zhì)量保證原則、安全保障原則、誠(chéng)信履行原則和責(zé)任明確原則。
有業(yè)內(nèi)專家指出,與法律的強(qiáng)制性和最低要求不同,標(biāo)準(zhǔn)具有自覺(jué)性和更高更詳細(xì)要求的特點(diǎn)。《指南》中的基本原則是對(duì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》的細(xì)化和補(bǔ)充。
去年12月第十一屆全國(guó)人大常委會(huì)通過(guò)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。《決定》共12條內(nèi)容,將公民個(gè)人信息保護(hù)放在首要位置,提出了以法律形式保護(hù)公民個(gè)人及法人信息安全,并賦予政府主管部門必要的監(jiān)管手段。
《指南》中明確規(guī)定在個(gè)人信息的收集階段需要具有特定、明確、合法的目的。收集前要采用個(gè)人信息主體易知悉的方式,向個(gè)人信息主體明確告知。尤其是不可以直接向未滿16周歲的未成年人收集個(gè)人敏感信息,確需收集其個(gè)人敏感信息需要征得其法定監(jiān)護(hù)人的明示同意。
在個(gè)人信息的加工階段不可以違背收集階段已告知的使用目的,保證加工過(guò)程中個(gè)人信息不被任何與處理目的無(wú)關(guān)的個(gè)人、組織和機(jī)構(gòu)獲知。
在轉(zhuǎn)移階段,個(gè)人信息管理者需要保證個(gè)人信息的安全。收集階段告知的個(gè)人信息使用目的達(dá)到后,需要立即刪除個(gè)人信息;如需繼續(xù)處理,要消除其中能夠識(shí)別具體個(gè)人的內(nèi)容;如需繼續(xù)處理個(gè)人敏感信息,要獲得個(gè)人信息主體的明示同意。
通過(guò)對(duì)八大基本原則和四個(gè)主要環(huán)節(jié)的詳細(xì)規(guī)定,我國(guó)個(gè)人信息保護(hù)工作可以更方便的開(kāi)展,真正做到“有標(biāo)可依”。
在宣講會(huì)上,歐陽(yáng)武還希望擁有大量個(gè)人信息的企業(yè)依據(jù)《指南》對(duì)處理個(gè)人信息的信息系統(tǒng)及個(gè)人信息處理流程進(jìn)行自查和第三方評(píng)測(cè),共同創(chuàng)建保護(hù)個(gè)人信息的良好環(huán)境。
成立聯(lián)盟倡導(dǎo)自律
標(biāo)準(zhǔn)出臺(tái)的同時(shí),首個(gè)個(gè)人信息保護(hù)自律聯(lián)盟將成立,監(jiān)督推動(dòng)標(biāo)準(zhǔn)的落實(shí)。中國(guó)軟件評(píng)測(cè)中心副主任朱璇表示,中國(guó)軟件評(píng)測(cè)中心將聯(lián)合相關(guān)行業(yè)協(xié)會(huì),積極牽頭組織企業(yè)和測(cè)評(píng)機(jī)構(gòu)共同組建我國(guó)個(gè)人信息保護(hù)自律聯(lián)盟——“個(gè)人信息保護(hù)推薦聯(lián)盟”,并創(chuàng)辦首個(gè)安全通報(bào)服務(wù)平臺(tái)——“中國(guó)個(gè)人信息保護(hù)網(wǎng)”。
“個(gè)人信息保護(hù)推薦聯(lián)盟”的成立將彌補(bǔ)我國(guó)個(gè)人信息保護(hù)相關(guān)組織機(jī)構(gòu)的缺失,形成我國(guó)的企業(yè)自律模式。業(yè)內(nèi)相關(guān)人士表示,聯(lián)盟將對(duì)推動(dòng)我國(guó)個(gè)人信息保護(hù)工作發(fā)展產(chǎn)生重大影響。不僅保障開(kāi)展業(yè)務(wù)活動(dòng)的公司和個(gè)人信息數(shù)據(jù)得到有效保護(hù)而不阻礙數(shù)據(jù)的轉(zhuǎn)移和流通,還有助于建立統(tǒng)一的隱私政策,給予公眾個(gè)人信息以公開(kāi)、透明的社會(huì)信任,使公眾與企業(yè)達(dá)到雙贏的局面。
據(jù)了解,國(guó)外一些個(gè)人信息保護(hù)推動(dòng)較早的國(guó)家皆成立了個(gè)人信息保護(hù)相關(guān)工作組織,例如美國(guó)的TRUSTE認(rèn)證、歐洲的ePrivacyMark、日本的P-MARK認(rèn)證等,這些機(jī)構(gòu)在制定相關(guān)標(biāo)準(zhǔn)規(guī)范和約定章程的同時(shí),倡導(dǎo)、輔助并監(jiān)督企業(yè)依照約定章程開(kāi)展個(gè)人信息保護(hù)工作。
同時(shí),個(gè)人信息保護(hù)的權(quán)威發(fā)布平臺(tái)“中國(guó)個(gè)人信息保護(hù)網(wǎng)”也即將開(kāi)通,中國(guó)軟件評(píng)測(cè)中心劉陶介紹,網(wǎng)站不僅將成為發(fā)布個(gè)人信息威脅預(yù)警、公告重要個(gè)人信息安全事件、發(fā)布第三方測(cè)評(píng)報(bào)告的平臺(tái);也將成為個(gè)人信息保護(hù)政策、標(biāo)準(zhǔn)宣貫和推進(jìn)實(shí)施的平臺(tái)。
后續(xù)注重標(biāo)準(zhǔn)落地
中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院副院長(zhǎng)兼中國(guó)軟件評(píng)測(cè)中心常務(wù)副主任黃子河表示,為了更好地推動(dòng)并落實(shí)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn),作為標(biāo)準(zhǔn)的牽頭制定單位,在后續(xù)工作中,中國(guó)軟件評(píng)測(cè)中心將在工業(yè)和信息化部主管部門指導(dǎo)下,通過(guò)培訓(xùn)、試點(diǎn)等形式加大標(biāo)準(zhǔn)宣傳力度,推出一批個(gè)人信息保護(hù)示范典型,進(jìn)一步構(gòu)建完善個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系,推動(dòng)我國(guó)個(gè)人信息保護(hù)自律的各項(xiàng)工作發(fā)展。
對(duì)于首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)的“落地”工作,有專家指出,《指南》只是一個(gè)推薦性標(biāo)準(zhǔn),其實(shí)施取決于相關(guān)行業(yè)主體的自愿配合,缺乏一定的強(qiáng)制力。
專家表示,個(gè)人信息保護(hù)關(guān)鍵就在于強(qiáng)制性的法律法規(guī)和行為標(biāo)準(zhǔn),個(gè)人信息保護(hù)國(guó)標(biāo)重在落實(shí)。
