|
||||
工业和信息化部信息安全协调司副司长欧阳武5日接受新华社记者专访时透露,《信息安全技术公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批,预计今年上半年正式出台。
指南对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则,包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。指南规定,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。
欧阳武表示,这个标准是非强制性的,是政府组织及推动个人信息保护工作的一部分。这个标准正式出台后,还将有一系列的配套标准,包括技术保障、管理规范、认证和审计细则等。“现在每个企业都说自己对个人信息的保护工作做得很好,但如果去查,肯定都有问题,都保护得不好。这些系列标准出台后,就可以形成一个闭环,明确责任,推动企业遵照执行。”
-新闻背景
个人信息保护遭遇法律尴尬
欧阳武介绍说,我国从2003年就开始进行《个人信息保护法》的研究、制定工作,但这个课题在业界一直难以达成共识。为此,2005年《个人信息保护法》专家意见稿已经提交,但这项立法建议一直未能进入正式的立法程序。
2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。这被认为是保护个人信息的标志性事件。
同年,《侵权责任法》的通过,使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。
专家指出,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。据欧阳武介绍,“民法‘民不举官不究’的原则已不能完全适应信息时代的需求,而必须运用刑事法的原则,立足于事前防范,明确个人信息管理者的一整套法定责任。”