|
||||
近日,工信部中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
工信部安全协调司副司长欧阳武介绍说,这个指南能为行业开展自律工作提供很好的参考,为企业处理个人信息制定了行为准则。据介绍,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。
去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。这个委员会主要从事信息安全标准化工作,现任主任由工信部副部长杨学山兼任。
-焦点
个人信息用后立即删除
“去年正式通过了评审,报批国家标准”,中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准,以拓展个人信息保护的体系。
工信部安全协调司副司长欧阳武介绍,“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
中国软件测评中心的副主任高炽扬估计,个人信息泄露中70%至80%属内部作案,这是“安全保障”原则没能落实好所致。
高炽扬说,有一次,他在某航空公司网站购买机票,使用电话支付的时候,工作人员搜集了他的支付信息:姓名、身份证号、信用卡号和信用卡的最后三位支付号码。购票成功。
但是,过段时间他再去购票时,对方问他,“您还是使用卡号末四位是****的信用卡支付吗?如果是,只要告诉我就可以了。”
高炽扬说,他所经历的航空公司电话订票的经历,就是航空公司在达到此次订票目的后,未能及时删除客户信息。
-现状
40部法律难约束个人信息泄露
工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。
专家认为法律中对信息泄露者惩罚机制不够。前段时间,警方破获CSDN(即中国软件开发联盟)的600多万条用户名和密码泄露案件,“目前为止对网站的处罚只是提出行政警告,太轻了,这种处罚几乎没有威慑力。”北京科技大学经管学院教授梅绍祖说。
梅绍祖认为,如果在国外,这样的大规模用户信息泄露,至少应该有经济处罚。
2009年,《侵权责任法》的通过,使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。
社科院法学所研究员周汉华说,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。
个人信息安全法未入立法程序
工信部副部长杨学山回忆,2003年的4月,国务院信息化办公室专门对个人信息立法研究课题进行部署。不过这项立法建议一直未能进入正式的立法程序。
参与此次专家意见稿的梅绍祖承认,凡事总有轻重缓急,有关部门会综合考虑,但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实,再发展下去可能会影响到整个社会经济活动,“我觉得紧迫性早就有了,可能各个层面感觉不一样,有人觉得没那么紧迫。”
杨学山力主加快立法。他说,个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。
来源:《新京报》