新聞網首頁 > 新聞中心 > 小頭條 > 正文

個人信息保護正報批國家標準 防泄密事件(圖)

來源:京華時報-- 2012-04-05 14:23:18 字號:TT

  昨日,一位乘客用手機掃描自己的火車票信息。通過掃描軟件可獲得火車票二維碼含有的身份證信息。

  近日,工信部直屬的中國軟件測評中心透露,他們聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審,正報批國家標準。

  工信部安全協調司副司長歐陽武介紹說,這個指南能為行業(yè)開展自律工作提供了很好的參考,為企業(yè)處理個人信息制定了行為準則。據介紹,我國信息技術保護不容樂觀,甚至已形成利用個人信息從事非法獲利的黑色鏈條。特別是去年年底揭露出的中國互聯網最大規(guī)模的泄密事件,將個人信息保護推向了風口浪尖。

  許多發(fā)達國家很早已開始個人信息的保護研究和立法工作。我國近年來也啟動了個人信息保護的相關工作。

  去年,全國信息安全標準化技術委員會提出制定個人信息保護指南。這個委員會主要從事信息安全標準化工作,現任主任由工信部副部長楊學山兼任。

  個人信息保護指南的全稱是《信息安全技術、公共及商用服務信息系統個人信息保護指南》,標準由工信部直屬的中國軟件測評中心牽頭,聯合近30家單位起草。

  該中心常務副主任黃子河透露說,指南目前還在等待批準文號,但其最終的發(fā)布應是“指日可待”。但這個指南并非國家強制性標準。

  ■ 焦點

  個人信息用后立即刪除

  在個人信息安全缺少專門法律規(guī)范時,一部行業(yè)標準成為業(yè)內的希望。

  “去年正式通過了評審,報批國家標準”,中國電子信息產業(yè)發(fā)展研究院院長、中國軟件評測中心主任羅文希望今年能通過這項標準,以拓展個人信息保護的體系。

  《個人信息保護指南》對個人信息的處理包括收集、加工、轉移和刪除四個主要環(huán)節(jié),其中還提出了個人信息保護的原則。

  工信部安全協調司副司長歐陽武介紹,“這個原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項?!?/p>

  “最少使用”的原則就是獲取一個人的信息量時,只要能滿足使用的目的就行。

  黃子河舉例說,一些網站本是辦一個很小的事,卻讓用戶填包括家庭住址、手機號在內等很多信息,這就不符合“最少使用”原則。

  “安全保障”則是要個人信息管理者一旦收集了個人信息,就必須建立一套個人信息保護制度,明確責任人和內部管理流程,以及應對個人信息泄露的風險。

  中國軟件測評中心的副主任高熾揚估計,個人信息泄露中70%-80%屬內部作案,這是“安全保障”原則沒能落實好所致。

  他介紹說,一些商業(yè)公司掌握大量個人信息,由于管理制度疏漏,一些內部員工未經授權就能獲取客戶信息。

  依照《個人信息保護指南》,在收集個人信息階段告知的“使用目的”達到后應立即刪除個人信息。

  高熾揚說,有次,他在某航空公司網站購買機票,使用電話支付的時候,工作人員搜集了他的支付信息:姓名、身份證號、信用卡號和信用卡的最后三位支付號碼。購票成功。

  但是,過段時間他再去購票時,對方問他,“您還是使用卡號末四位是****的信用卡支付嗎?如果是,只要告訴我就可以了。”

  “(這家公司)存儲了我的信息。”3月26日,高熾揚一邊講述一邊搖頭。

  高熾揚說,他所經歷的航空公司電話訂票的經歷,就是航空公司在達到此次訂票目的后,未能及時刪除客戶信息。

  信息保護指南非強制標準

  “為了經濟效益,無利不起早?!备邿霌P估計,目前沒有哪個行業(yè)不存在信息泄露。

  比如孕婦生完孩子剛回家,賣奶粉的電話就過來了,病人檢查完身體,檢查單還沒看懂,相應的醫(yī)藥公司就已經打電話賣藥來了。

  中國軟件評測中心研究員劉陶把個人信息比喻成“很多錢裝在紙糊的銀行里,很容易被黑客破解?!睋麄冋{查,公眾最關心的金融、電信等領域的個人信息安全。

  而讓人擔憂的是,這個指南標準不是強制性標準,甚至也不是推薦性標準,標準通過會對行業(yè)起到多大的規(guī)范效力,仍待觀察。

  中國軟件評測中心主任助理朱璇說,此次個人信息安全國家標準“屬于技術指導文件”。

  國家標準分為三種,一個是強制性標準,一個是推薦性標準,一個是指導性技術文件,標準可以作為參考。而國家強制性標準多在食品安全領域。

  不過,黃子河認為,標準適用于除了政府機關等行使公共管理職能以外的各類組織和機構,特別是電信、醫(yī)療等涉及個人敏感信息比較多的服務機構。

  ■ 現狀

  40部法律難約束個人信息泄露

  工信部電子科技情報研究所副所長劉九如統計,目前有近40部法律、30余部法規(guī),以及近200部規(guī)章涉及個人信息保護,其中包括規(guī)范互聯網信息規(guī)定,醫(yī)療信息規(guī)定,個人信用管理辦法等。

  “針對個人信息的法律法規(guī)并不少,然而內容較為分散、法律法規(guī)層級偏低?!眲⒕湃缯f。

  刑法修正案(七)被認為是個人信息立法的標志性事件之一。

  2009年,刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名,首次將公民個人信息納入刑法保護范疇,規(guī)定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。

  但是,這一犯罪主體是“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”。除此之外,還存在著互聯網公司、房地產公司、物業(yè)公司、汽車廠商、賓館酒店、會計師事務所等掌握個人信息的機構和單位。

  諸多法律界人士認為,刑法未明確該罪的具體界定標準,這一條款還有進一步改進和完善的空間。

  另外,專家認為法律中對信息泄露者懲罰機制不夠。

  前段時間,警方破獲CSDN(即中國軟件開發(fā)聯盟)的600多萬條用戶名和密碼泄露案件,“目前為止對網站的處罰只是提出行政警告,太輕了,這種處罰幾乎沒有威懾力?!北本┛萍即髮W經管學院教授梅紹祖說。

  梅紹祖認為,如果在國外,這樣的大規(guī)模用戶信息泄露,至少應該有經濟處罰。

  2009年,《侵權責任法》的通過,使“人肉搜索”侵犯受害人權利的責任認定有了法律的統一規(guī)制,如果網站無視受害人提出的屏蔽、刪除要求,就要承擔連帶責任。

  但是,社科院法學所研究員周漢華說,《刑法》和《侵權責任法》都屬于事后救濟,在網絡時代要對網絡安全以及個人信息進行全流程的監(jiān)管才更為有效。

  個人信息安全法未入立法程序

  《個人信息安全法》并非從未嘗試破冰。

  工業(yè)和信息化部副部長楊學山回憶,2003年的4月,國務院信息化辦公室專門對個人信息立法研究課題進行部署,2005年《個人信息保護法》專家意見稿已經提交。不過這項立法建議一直未能進入正式的立法程序。

  參與此次專家意見稿的梅紹祖說,當時文本已從國務院信息化辦公室上報到國務院法制辦,此次未能進入正式立法程序的原因很復雜,主要是“從緊迫性上講還沒太關注這個問題”。

  梅紹祖承認,凡事總有輕重緩急,有關部門會綜合考慮,但考慮到目前我國發(fā)生的個人信息泄露和被盜、個人隱私侵犯以及個人信息交易的事件愈演愈烈的現實,再發(fā)展下去可能會影響到整個社會經濟活動,“我覺得緊迫性早就有了,可能各個層面感覺不一樣,有人覺得沒那么緊迫”。

  工信部副部長楊學山力主加快立法。

  他說,個人信息保護實行面廣,一定要從法的角度規(guī)范,才能使這項工作在法律上有依據。

  “這幾年我們和大家一起在個人信息立法盡快進入正式程序正在努力?!睏顚W山說,在大家的努力下,“尤其是在今天個人信息保護已經成為社會迫切的問題,立法的進程就會加快”。

分享到:
-

-

相關閱讀青島新聞

我要評論 提取評論...

網友評論僅供其表達個人看法,并不表明青島新聞網同意其觀點或證實其描述。