|
||||
近日,工信部中國軟件測評中心透露,他們聯合30多家單位起草的《信息安全技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審,正報批國家標準。
工信部安全協調司副司長歐陽武介紹說,這個指南能爲行業開展自律工作提供很好的參考,爲企業處理個人信息制定了行爲準則。據介紹,我國信息技術保護不容樂觀,甚至已形成利用個人信息從事非法獲利的黑色鏈條。特別是去年年底揭露出的中國互聯網最大規模的泄密事件,將個人信息保護推向了風口浪尖。
去年,全國信息安全標準化技術委員會提出制定個人信息保護指南。這個委員會主要從事信息安全標準化工作,現任主任由工信部副部長楊學山兼任。
-焦點
個人信息用後立即刪除
“去年正式通過了評審,報批國家標準”,中國電子信息產業發展研究院院長、中國軟件評測中心主任羅文希望今年能通過這項標準,以拓展個人信息保護的體系。
工信部安全協調司副司長歐陽武介紹,“這個原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項。”
“最少使用”的原則就是獲取一個人的信息量時,只要能滿足使用的目的就行。
“安全保障”則是要個人信息管理者一旦收集了個人信息,就必須建立一套個人信息保護制度,明確責任人和內部管理流程,以及應對個人信息泄露的風險。
中國軟件測評中心的副主任高熾揚估計,個人信息泄露中70%至80%屬內部作案,這是“安全保障”原則沒能落實好所致。
高熾揚說,有一次,他在某航空公司網站購買機票,使用電話支付的時候,工作人員蒐集了他的支付信息:姓名、身份證號、信用卡號和信用卡的最後三位支付號碼。購票成功。
但是,過段時間他再去購票時,對方問他,“您還是使用卡號末四位是****的信用卡支付嗎?如果是,只要告訴我就可以了。”
高熾揚說,他所經歷的航空公司電話訂票的經歷,就是航空公司在達到此次訂票目的後,未能及時刪除客戶信息。
-現狀
40部法律難約束個人信息泄露
工信部電子科技情報研究所副所長劉九如統計,目前有近40部法律、30餘部法規,以及近200部規章涉及個人信息保護,其中包括規範互聯網信息規定,醫療信息規定,個人信用管理辦法等。
專家認爲法律中對信息泄露者懲罰機制不夠。前段時間,警方破獲CSDN(即中國軟件開發聯盟)的600多萬條用戶名和密碼泄露案件,“目前爲止對網站的處罰只是提出行政警告,太輕了,這種處罰幾乎沒有威懾力。”北京科技大學經管學院教授梅紹祖說。
梅紹祖認爲,如果在國外,這樣的大規模用戶信息泄露,至少應該有經濟處罰。
2009年,《侵權責任法》的通過,使“人肉搜索”侵犯受害人權利的責任認定有了法律的統一規制,如果網站無視受害人提出的屏蔽、刪除要求,就要承擔連帶責任。
社科院法學所研究員周漢華說,《刑法》和《侵權責任法》都屬於事後救濟,在網絡時代要對網絡安全以及個人信息進行全流程的監管才更爲有效。
個人信息安全法未入立法程序
工信部副部長楊學山回憶,2003年的4月,國務院信息化辦公室專門對個人信息立法研究課題進行部署。不過這項立法建議一直未能進入正式的立法程序。
參與此次專家意見稿的梅紹祖承認,凡事總有輕重緩急,有關部門會綜合考慮,但考慮到目前我國發生的個人信息泄露和被盜、個人隱私侵犯以及個人信息交易的事件愈演愈烈的現實,再發展下去可能會影響到整個社會經濟活動,“我覺得緊迫性早就有了,可能各個層面感覺不一樣,有人覺得沒那麼緊迫。”
楊學山力主加快立法。他說,個人信息保護實行面廣,一定要從法的角度規範,才能使這項工作在法律上有依據。
來源:《新京報》
| ||