2月1日起，我國首部個人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》正式實施，這標(biāo)志著我國個人信息保護(hù)工作正式進(jìn)入“有標(biāo)可依”階段。

　　《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》對個人信息保護(hù)作出了怎樣的規(guī)定？其出臺對個人信息保護(hù)會起到什么作用？帶著這些問題，記者采訪了參與起草《指南》的中國軟件評測中心副主任朱璇。

　　個人信息保護(hù)須管理和技術(shù)雙管齊下

　　問：當(dāng)前個人信息泄露事件頻發(fā)，信息服務(wù)從業(yè)者在處理公民個人信息過程中，主要在哪些環(huán)節(jié)出現(xiàn)了問題？

　　答：目前，許多企業(yè)在個人信息處理過程中保護(hù)措施還存在不足，在個人信息收集、加工、轉(zhuǎn)移、刪除各個階段都可能存在一些問題。例如收集階段，目前過度收集客戶信息的問題廣泛存在，許多企業(yè)在收集個人信息時沒有對個人信息主體進(jìn)行明確告知；在加工階段，由于個人信息管理者未對信息系統(tǒng)進(jìn)行必要的安全防護(hù)，導(dǎo)致黑客輕易入侵?jǐn)?shù)據(jù)庫獲得個人信息的事件時常發(fā)生；在刪除階段，由于企業(yè)內(nèi)部管理漏洞，未按要求在使用完個人信息后立即刪除，一些內(nèi)部人員受利益驅(qū)使向外泄露歷史信息的事件也屢屢曝光。

　　因此，只有參照《指南》對個人信息處理的各個階段進(jìn)行梳理，規(guī)范企業(yè)行為，才能有效減少個人信息泄露事件的發(fā)生。個人信息保護(hù)要從管理和技術(shù)兩方面雙管齊下，個人信息管理者應(yīng)制定完善的個人信息保護(hù)管理制度，同時在技術(shù)上采取必要的安全保障手段。

　　手機(jī)軟件收集用戶信息違背“公開告知”原則

　　問：《指南》確立了“目的明確、最少夠用、公開告知、個人同意、質(zhì)量保證、安全保障、誠信履行、責(zé)任明確”八項原則，規(guī)范信息服務(wù)從業(yè)者的行為。在公民個人信息的使用和處理過程中，涉及比較多的是哪些原則？

　　答：從目前已發(fā)生的個人信息相關(guān)安全事件來說，比較多的涉及“目的明確”、“最少夠用”、“公開告知”、“個人同意”、“安全保障”等原則。例如智能手機(jī)上的某些軟件， 在收集手機(jī)用戶個人信息的時候，并沒有明確告知主體收集相關(guān)個人信息的目的，即違反了“目的明確”和“公開告知”原則。中國軟件評測中心出具的《2012年Android手機(jī)軟件個人信息安全測評報告》顯示大量手機(jī)軟件會自動收集用戶的IMEI號、上傳用戶通訊錄等，違背了“個人同意”原則或“公開告知”原則。

　　此外，2012年爆發(fā)的大量互聯(lián)網(wǎng)網(wǎng)站用戶數(shù)據(jù)泄露事件，也說明大量的網(wǎng)站沒有采取足夠的安全措施保障用戶個人信息的安全，一些網(wǎng)站將用戶口令直接明文傳輸并存儲在服務(wù)器端，就違背了“安全保障”原則要求。

　　但我們必須明確，《指南》所提出的八項原則是個人信息處理整個周期中需要遵守的基本原則，只有八項原則共同作用才能使信息系統(tǒng)中的個人信息得到基本保護(hù)，達(dá)到《指南》的基準(zhǔn)要求。

　　未來將選擇合適企業(yè)開展標(biāo)準(zhǔn)實施試點

　　問：《指南》屬于技術(shù)指導(dǎo)文件，不具有強(qiáng)制執(zhí)行力，有人質(zhì)疑此舉意義不大，您認(rèn)為其出臺的最大意義是什么？未來，又將通過哪些后續(xù)措施，促進(jìn)其“落地”？

　　答：作為第一部個人信息保護(hù)相關(guān)的國家標(biāo)準(zhǔn)，《指南》可以說是我國個人信息保護(hù)工作的一個里程碑�！吨改稀愤m用于指導(dǎo)除政府機(jī)關(guān)等行使公共管理職責(zé)的機(jī)構(gòu)以外的各類組織和機(jī)構(gòu)，我們可根據(jù)具體國情，開展“標(biāo)準(zhǔn)先行”，在《指南》的基礎(chǔ)上促進(jìn)行業(yè)自律、企業(yè)自律，有效地推動我國個人信息保護(hù)立法進(jìn)程。

　　未來，我們計劃選擇合適的企業(yè)，導(dǎo)入個人信息保護(hù)國家標(biāo)準(zhǔn)實施試點工作。在個人信息保護(hù)敏感度較高的行業(yè)內(nèi)選擇具體企業(yè)，根據(jù)標(biāo)準(zhǔn)內(nèi)容開展個人信息保護(hù)相關(guān)標(biāo)準(zhǔn)的試點示范和應(yīng)用推廣工作，在驗證企業(yè)管理制度和技術(shù)規(guī)范有效性的同時，實施對企業(yè)相關(guān)人員個人信息保護(hù)的資格認(rèn)定與培訓(xùn)。同時，輔導(dǎo)機(jī)構(gòu)運作，指導(dǎo)企業(yè)按照《指南》開展自查工作并接受第三方測評機(jī)構(gòu)的檢查。通過試點工作，可以實踐標(biāo)準(zhǔn)體系提出的各項工作任務(wù)，培養(yǎng)一批具有典型示范、輻射和帶動作用的樣板企業(yè)，對試點工作經(jīng)驗進(jìn)行總結(jié)并進(jìn)一步對標(biāo)準(zhǔn)加以推廣。