• 【發(fā)布單位】作者：董瑞豐
• 【發(fā)布文號】--
• 【發(fā)布日期】2012-03-26 16:27:32
• 【生效日期】--
• 【失效日期】--
• 【文件來源】來源：新華網(wǎng)
• 【所屬類別】立法追蹤

-個人信息保護(hù)國家標(biāo)準(zhǔn)即將出臺-

多管齊下加強(qiáng)個人信息保護(hù)



 在個人信息保護(hù)法進(jìn)入立法程序前，開展個人信息保護(hù)行業(yè)自律成為當(dāng)然選擇



 60%的被調(diào)查對象遇到過個人信息被盜用等問題，66%以上認(rèn)為應(yīng)加大力度打擊非法獲取個人信息的行為，近75%希望進(jìn)一步立法來加強(qiáng)個人信息保護(hù)。



 一項受工業(yè)和信息化部安全協(xié)調(diào)司委托的調(diào)查，對2500多份問卷進(jìn)行分析后，得出上述結(jié)論?！恫t望》新聞周刊記者采訪了解到，與調(diào)查結(jié)果顯示的立法訴求相比，目前針對個人信息保護(hù)的法律依據(jù)，失之于分散和疏漏；出臺一部專門的個人信息保護(hù)法，則尚無具體時間表。



 “2003年4月，國務(wù)院信息辦專門對個人信息的法律研究課題進(jìn)行部署，大概在2004、2005年，專家的建議稿就出來了?！?月15日在北京召開的2012中國個人信息保護(hù)大會上，工信部領(lǐng)導(dǎo)表示。



 知情人士稱，連續(xù)多年，全國人大代表和政協(xié)委員就個人信息保護(hù)立法問題，提出一批議案提案。



 政府部門寄望先制定相關(guān)標(biāo)準(zhǔn)，以填補(bǔ)空缺，促進(jìn)自律。上述大會公布了即將出臺的個人信息保護(hù)國家標(biāo)準(zhǔn)。“對個人信息處理的過程作出一些明確規(guī)范，對個人信息的擁有者如何保護(hù)個人信息，也提供了借鑒。”會議主辦方介紹。



 雙重困惑



 對個人信息保護(hù)現(xiàn)狀常見的一個困惑是：知道信息被泄露，卻不知道在何處泄露。



 工信部科學(xué)技術(shù)情報研究所2011年下半年開展的調(diào)查顯示，30%的被調(diào)查對象認(rèn)為可能是通過網(wǎng)站泄露，30%認(rèn)為可能是通訊公司，另有30%不清楚到底是在哪個地方泄露。而在個人信息被濫用后，因取證困難，不足10%的調(diào)查對象采取了相應(yīng)維權(quán)措施。



 互聯(lián)網(wǎng)安全廠商360公司總裁齊向東表示，手機(jī)短信包含很私密的信息，因此通訊運(yùn)營商要制定嚴(yán)格的查詢手續(xù)。但一些網(wǎng)站服務(wù)商，同樣保存著用戶的姓名、地址、電話甚至銀行密碼等各種信息，卻沒有在傳、存、使用和銷毀等環(huán)節(jié)建立起保護(hù)隱私的完整機(jī)制。



 “比如有的網(wǎng)站收集個人信息很隨意，只需一份信息，卻收集上傳了十份，個別網(wǎng)站甚至把過期的、多余的信息隨意丟棄。”齊向東說，“同時，網(wǎng)站還要面臨黑客攻擊，有的黑客就是為了惡意竊取個人信息。”



 網(wǎng)站之外，也有銀行、保險、通訊等行業(yè)員工出于牟利目的，出賣客戶信息。本刊記者日前即接到讀者來函，稱其所持的某國有大型銀行信用卡被異地盜刷，公安機(jī)關(guān)初步調(diào)查認(rèn)為，這種卡未離身卻被盜刷的情況，很可能是銀行內(nèi)部掌握客戶征信信息的人員監(jiān)守自盜。



 利益驅(qū)動下，非法使用個人信息已經(jīng)出現(xiàn)黑色產(chǎn)業(yè)鏈。中央電視臺“3·15”晚會曝光的上海羅維鄧白氏公司，其非法獲取、買賣公民個人信息不僅數(shù)量龐大，而且相當(dāng)詳細(xì)精準(zhǔn)。部分廠商購買這些信息，通過群發(fā)短信等渠道進(jìn)行廣告投放。



 一方面?zhèn)€人信息泄露事件多發(fā)，另一方面，哪些信息需要保護(hù)，需要如何保護(hù)，怎樣查處追責(zé)，還沒有明確標(biāo)準(zhǔn)。前述科學(xué)技術(shù)情報研究所調(diào)查發(fā)現(xiàn)，大部分企業(yè)已采取不同程度保護(hù)個人信息的措施，但很難保證在各個業(yè)務(wù)環(huán)節(jié)落實。該所副所長劉九如說，企業(yè)在調(diào)查中也反映了若干困惑，首先是“沒有明確的法律義務(wù)和參照依據(jù)”。



 劉九如表示，現(xiàn)有涉及個人信息保護(hù)的法規(guī)制度中，金融、電信等領(lǐng)域相關(guān)規(guī)定最為具體，而職業(yè)中介活動引入的個人信息，其保護(hù)規(guī)定比較缺失。



 “個人信息保護(hù)不是某一方可以獨立完成的事，”齊向東說，“一家網(wǎng)站可以標(biāo)榜，用戶信息放在自己這里很安全，但說起來容易，做起來難?！?


 “即使歐美國家，法規(guī)制度相對更健全，仍然經(jīng)常發(fā)生大量個人信息泄露的事件?！敝袊缈圃悍▽W(xué)院研究員周漢華說，“國內(nèi)目前曝光的這些案例，可能還僅僅是冰山一角?！?


 立法難題



 周漢華認(rèn)為，目前國內(nèi)關(guān)于個人信息保護(hù)的法規(guī)分散，既缺乏對個人信息的界定，也缺乏可操作之標(biāo)準(zhǔn)，執(zhí)法主體缺位，執(zhí)法力度不足。



 “分散立法不是不行，但要求有很強(qiáng)的法制統(tǒng)一能力，以及很高的執(zhí)法能力?！敝軡h華介紹，同是個人信息保護(hù)立法，美國采用分散立法的形式，歐盟則要統(tǒng)一立法。



 研究者統(tǒng)計，目前約有40部法律、30部法規(guī)和近200項來自工信部、銀監(jiān)會、保監(jiān)會等部門的規(guī)章涉及個人信息保護(hù)。全國人大頒布的法律，較有代表性的是民法通則；國務(wù)院出臺的法規(guī)，則有個人存款賬戶實名制規(guī)定，互聯(lián)網(wǎng)信息管理辦法等；此外還有一些地方法規(guī)，如江蘇省2011年出臺的信息化條例，以及深圳市正在制定的個人信息保護(hù)條例。



 相關(guān)部門規(guī)章更多。銀監(jiān)會信息科技風(fēng)險管理處處長駱絮飛表示，銀監(jiān)會正著力加強(qiáng)銀行業(yè)監(jiān)管，制定有關(guān)銀行的網(wǎng)上安全規(guī)范，以客戶數(shù)據(jù)為重點對銀行信息安全進(jìn)行檢查，同時指導(dǎo)銀行加強(qiáng)對外包服務(wù)機(jī)構(gòu)的數(shù)據(jù)安全管理。



 但據(jù)本刊記者采訪了解，各類法規(guī)章程的操作細(xì)則仍不夠周全。如前述的信用卡盜刷事件、垃圾短信“精準(zhǔn)投放”現(xiàn)象，查處追責(zé)均存在較多困難。



 對于個人信息保護(hù)的難題，業(yè)內(nèi)討論認(rèn)為主要有三方面：保護(hù)程度界定，難以區(qū)別正當(dāng)或非法使用個人信息；信息泄露取證，難以確定個人信息是在哪個環(huán)節(jié)發(fā)生泄露；執(zhí)法力度統(tǒng)一，難以確保多個監(jiān)管主體執(zhí)法的寬嚴(yán)尺度一致。



 “出臺一部專門法律，上述問題可迎刃而解?！敝軡h華是個人信息保護(hù)法專家建議稿的起草者之一。他同時表示，國際上公認(rèn)個人信息保護(hù)是一項基本權(quán)利，是憲法權(quán)利，而不僅僅是民事權(quán)利，民法中的隱私權(quán)，這意味著個人信息保護(hù)不僅僅是私領(lǐng)域的事項，不僅僅是民不舉、官不究的事項，而是需要公共權(quán)力介入，強(qiáng)制要求相關(guān)主體承擔(dān)法定義務(wù)的事項。



 周漢華介紹說，目前已有38個地方制定了個人信息保護(hù)的相關(guān)法規(guī)。



 但是，地方立法的先行先試也難免有一些負(fù)面作用。比如各地標(biāo)準(zhǔn)不統(tǒng)一，法律適用存在較大困難。



 周漢華建議，要推“大法”，先做好頂層設(shè)計，各地可再據(jù)此制定具體實施細(xì)則。



 在他看來，立法是一個要解決的難題，同樣關(guān)鍵的，還要保證法律出臺之后得到有效實施。有三點不可或缺：



 其一，注重平衡原則。個人信息具有不同程度的價值，既要保障信息充分流通，推動信息社會進(jìn)步，也要避免濫用個人信息。其二，他律與自律結(jié)合。不可能全部交給政府部門監(jiān)管，要設(shè)置有效機(jī)制，讓企業(yè)自我管理。其三，要有一定程度的執(zhí)法威懾。



 寄望自律



 原國務(wù)院信息辦是個人信息保護(hù)法的積極推動者。2008年大部門制改革后，工信部信息安全協(xié)調(diào)司繼續(xù)承擔(dān)著推進(jìn)個人信息保護(hù)的職責(zé)。



 該司副司長歐陽武表示，對個人信息保護(hù)最好的辦法還是立法，要通過法律明確組織和個人在處理信息過程中的責(zé)任，建立個人信息的監(jiān)管體制，明確濫用他人個人信息的行政處罰制度和責(zé)任。



 在法制成型之前，則倡導(dǎo)行業(yè)自律?！坝尚袠I(yè)組織依據(jù)個人信息保護(hù)的規(guī)則，照顧行業(yè)特點，制定行業(yè)信息保護(hù)的規(guī)范，采取行業(yè)自律的方式，不僅在當(dāng)下，而且在未來法律制度完善之后，都是一種非常好的選擇。”歐陽武說。



 據(jù)悉，2011年工信部曾委托中國軟件評測中心，選取電子商務(wù)，論壇博客，銀行、保險、游戲等共7類105家網(wǎng)站的隱私政策進(jìn)行測評。經(jīng)測評發(fā)現(xiàn)，隱私政策執(zhí)行情況不明，包括政策適用范圍、信息收集的方式、處理過程等關(guān)鍵問題闡述不清。



 工信部同期啟動了個人信息保護(hù)標(biāo)準(zhǔn)的編制工作，據(jù)悉，《公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》年內(nèi)即將出臺?！盀樾袠I(yè)開展自律工作提供很好的參考”，歐陽武說。



 中國軟件評測中心常務(wù)副主任黃子河表示，即將出臺的國家標(biāo)準(zhǔn)對相關(guān)定義、角色、職責(zé)、操作規(guī)范等都予以明確，提出了保護(hù)過程中的若干基本原則。



 比如“最少夠用原則”。通俗而言，在網(wǎng)上辦一件很小的事，結(jié)果填了一大堆信息，包括家庭住址、手機(jī)號碼等等，就不符合“最少夠用原則”。



 又有“安全保障原則”。個人信息的管理者一旦收集了信息，就要建立起一整套信息保護(hù)制度，明確責(zé)任人、嚴(yán)格內(nèi)部管理流程、應(yīng)對風(fēng)險等等。



 “標(biāo)準(zhǔn)適用于除了政府機(jī)關(guān)等行使公共管理職能以外的各類組織和機(jī)構(gòu)”，黃子河說。



 但該標(biāo)準(zhǔn)仍僅是從宏觀上對個人信息保護(hù)提供框架性指導(dǎo)，具體的技術(shù)性保護(hù)指南有待進(jìn)一步研究制定。歐陽武表示，今后還將從管理、技術(shù)、評測等方面制定相關(guān)規(guī)范，形成一系列標(biāo)準(zhǔn)體系。尤其要建立第三方測評機(jī)制，不僅能夠促進(jìn)行業(yè)自律，而且要推動全社會的個人信息保護(hù)意識。



 黃子河提出，還可以考慮建設(shè)個人信息保護(hù)的技術(shù)手段，建設(shè)個人信息的非法采集及濫用事件的投訴通道和監(jiān)測手段，為保護(hù)個人信息提供技術(shù)解決方案。



 多管齊下成為了破解個人信息保護(hù)難題的共識?！巴苿恿⒎?，行業(yè)自律，公眾維權(quán)與監(jiān)督，努力在個人信息保護(hù)方面盡快取得實際進(jìn)步。”工信部副部長楊學(xué)山這樣說。（來源： 瞭望 ）