• 【發(fā)布單位】作者：董瑞豐
• 【發(fā)布文號】--
• 【發(fā)布日期】2012-03-26 16:27:32
• 【生效日期】--
• 【失效日期】--
• 【文件來源】來源：新華網(wǎng)
• 【所屬類別】立法追蹤

-個人信息保護國家標準即將出臺-

多管齊下加強個人信息保護



 在個人信息保護法進入立法程序前，開展個人信息保護行業(yè)自律成為當然選擇



 60%的被調(diào)查對象遇到過個人信息被盜用等問題,，66%以上認為應(yīng)加大力度打擊非法獲取個人信息的行為,，近75%希望進一步立法來加強個人信息保護。



 一項受工業(yè)和信息化部安全協(xié)調(diào)司委托的調(diào)查,，對2500多份問卷進行分析后,，得出上述結(jié)論?！恫t望》新聞周刊記者采訪了解到,，與調(diào)查結(jié)果顯示的立法訴求相比，目前針對個人信息保護的法律依據(jù),，失之于分散和疏漏,；出臺一部專門的個人信息保護法，則尚無具體時間表,。



 “2003年4月,，國務(wù)院信息辦專門對個人信息的法律研究課題進行部署，大概在2004,、2005年,，專家的建議稿就出來了?！?月15日在北京召開的2012中國個人信息保護大會上,，工信部領(lǐng)導表示,。



 知情人士稱，連續(xù)多年,，全國人大代表和政協(xié)委員就個人信息保護立法問題,，提出一批議案提案。



 政府部門寄望先制定相關(guān)標準,，以填補空缺，促進自律,。上述大會公布了即將出臺的個人信息保護國家標準,。“對個人信息處理的過程作出一些明確規(guī)范,，對個人信息的擁有者如何保護個人信息,，也提供了借鑒?！睍h主辦方介紹,。



 雙重困惑



 對個人信息保護現(xiàn)狀常見的一個困惑是：知道信息被泄露，卻不知道在何處泄露,。



 工信部科學技術(shù)情報研究所2011年下半年開展的調(diào)查顯示,，30%的被調(diào)查對象認為可能是通過網(wǎng)站泄露，30%認為可能是通訊公司,，另有30%不清楚到底是在哪個地方泄露,。而在個人信息被濫用后，因取證困難,，不足10%的調(diào)查對象采取了相應(yīng)維權(quán)措施,。



 互聯(lián)網(wǎng)安全廠商360公司總裁齊向東表示，手機短信包含很私密的信息,，因此通訊運營商要制定嚴格的查詢手續(xù),。但一些網(wǎng)站服務(wù)商，同樣保存著用戶的姓名,、地址,、電話甚至銀行密碼等各種信息，卻沒有在傳,、存,、使用和銷毀等環(huán)節(jié)建立起保護隱私的完整機制。



 “比如有的網(wǎng)站收集個人信息很隨意,，只需一份信息,，卻收集上傳了十份，個別網(wǎng)站甚至把過期的,、多余的信息隨意丟棄,?！饼R向東說，“同時,，網(wǎng)站還要面臨黑客攻擊,，有的黑客就是為了惡意竊取個人信息?！?


 網(wǎng)站之外,，也有銀行、保險,、通訊等行業(yè)員工出于牟利目的,，出賣客戶信息。本刊記者日前即接到讀者來函,，稱其所持的某國有大型銀行信用卡被異地盜刷,，公安機關(guān)初步調(diào)查認為，這種卡未離身卻被盜刷的情況,，很可能是銀行內(nèi)部掌握客戶征信信息的人員監(jiān)守自盜,。



 利益驅(qū)動下，非法使用個人信息已經(jīng)出現(xiàn)黑色產(chǎn)業(yè)鏈,。中央電視臺“3·15”晚會曝光的上海羅維鄧白氏公司,，其非法獲取、買賣公民個人信息不僅數(shù)量龐大,，而且相當詳細精準,。部分廠商購買這些信息，通過群發(fā)短信等渠道進行廣告投放,。



 一方面?zhèn)€人信息泄露事件多發(fā),，另一方面，哪些信息需要保護,，需要如何保護,，怎樣查處追責，還沒有明確標準,。前述科學技術(shù)情報研究所調(diào)查發(fā)現(xiàn),，大部分企業(yè)已采取不同程度保護個人信息的措施，但很難保證在各個業(yè)務(wù)環(huán)節(jié)落實,。該所副所長劉九如說,，企業(yè)在調(diào)查中也反映了若干困惑，首先是“沒有明確的法律義務(wù)和參照依據(jù)”,。



 劉九如表示,，現(xiàn)有涉及個人信息保護的法規(guī)制度中，金融,、電信等領(lǐng)域相關(guān)規(guī)定最為具體,，而職業(yè)中介活動引入的個人信息,，其保護規(guī)定比較缺失。



 “個人信息保護不是某一方可以獨立完成的事,，”齊向東說,，“一家網(wǎng)站可以標榜，用戶信息放在自己這里很安全,，但說起來容易,，做起來難?！?


 “即使歐美國家,，法規(guī)制度相對更健全，仍然經(jīng)常發(fā)生大量個人信息泄露的事件,。”中國社科院法學院研究員周漢華說,，“國內(nèi)目前曝光的這些案例,，可能還僅僅是冰山一角?！?


 立法難題



 周漢華認為,，目前國內(nèi)關(guān)于個人信息保護的法規(guī)分散，既缺乏對個人信息的界定,，也缺乏可操作之標準,，執(zhí)法主體缺位，執(zhí)法力度不足,。



 “分散立法不是不行,，但要求有很強的法制統(tǒng)一能力，以及很高的執(zhí)法能力,?！敝軡h華介紹，同是個人信息保護立法,，美國采用分散立法的形式,，歐盟則要統(tǒng)一立法。



 研究者統(tǒng)計,，目前約有40部法律,、30部法規(guī)和近200項來自工信部、銀監(jiān)會,、保監(jiān)會等部門的規(guī)章涉及個人信息保護,。全國人大頒布的法律，較有代表性的是民法通則,；國務(wù)院出臺的法規(guī),，則有個人存款賬戶實名制規(guī)定,，互聯(lián)網(wǎng)信息管理辦法等；此外還有一些地方法規(guī),，如江蘇省2011年出臺的信息化條例,，以及深圳市正在制定的個人信息保護條例。



 相關(guān)部門規(guī)章更多,。銀監(jiān)會信息科技風險管理處處長駱絮飛表示,，銀監(jiān)會正著力加強銀行業(yè)監(jiān)管，制定有關(guān)銀行的網(wǎng)上安全規(guī)范,，以客戶數(shù)據(jù)為重點對銀行信息安全進行檢查,，同時指導銀行加強對外包服務(wù)機構(gòu)的數(shù)據(jù)安全管理。



 但據(jù)本刊記者采訪了解,，各類法規(guī)章程的操作細則仍不夠周全,。如前述的信用卡盜刷事件、垃圾短信“精準投放”現(xiàn)象,，查處追責均存在較多困難,。



 對于個人信息保護的難題，業(yè)內(nèi)討論認為主要有三方面：保護程度界定,，難以區(qū)別正當或非法使用個人信息,；信息泄露取證，難以確定個人信息是在哪個環(huán)節(jié)發(fā)生泄露,；執(zhí)法力度統(tǒng)一,，難以確保多個監(jiān)管主體執(zhí)法的寬嚴尺度一致。



 “出臺一部專門法律,，上述問題可迎刃而解,。”周漢華是個人信息保護法專家建議稿的起草者之一,。他同時表示,，國際上公認個人信息保護是一項基本權(quán)利，是憲法權(quán)利,，而不僅僅是民事權(quán)利,，民法中的隱私權(quán)，這意味著個人信息保護不僅僅是私領(lǐng)域的事項,，不僅僅是民不舉,、官不究的事項，而是需要公共權(quán)力介入,，強制要求相關(guān)主體承擔法定義務(wù)的事項,。



 周漢華介紹說，目前已有38個地方制定了個人信息保護的相關(guān)法規(guī),。



 但是,，地方立法的先行先試也難免有一些負面作用,。比如各地標準不統(tǒng)一，法律適用存在較大困難,。



 周漢華建議,，要推“大法”，先做好頂層設(shè)計,，各地可再據(jù)此制定具體實施細則,。



 在他看來，立法是一個要解決的難題,，同樣關(guān)鍵的,，還要保證法律出臺之后得到有效實施。有三點不可或缺：



 其一,，注重平衡原則,。個人信息具有不同程度的價值，既要保障信息充分流通,，推動信息社會進步,，也要避免濫用個人信息。其二,，他律與自律結(jié)合。不可能全部交給政府部門監(jiān)管,，要設(shè)置有效機制,，讓企業(yè)自我管理。其三,，要有一定程度的執(zhí)法威懾,。



 寄望自律



 原國務(wù)院信息辦是個人信息保護法的積極推動者。2008年大部門制改革后,，工信部信息安全協(xié)調(diào)司繼續(xù)承擔著推進個人信息保護的職責,。



 該司副司長歐陽武表示，對個人信息保護最好的辦法還是立法,，要通過法律明確組織和個人在處理信息過程中的責任,，建立個人信息的監(jiān)管體制，明確濫用他人個人信息的行政處罰制度和責任,。



 在法制成型之前,，則倡導行業(yè)自律?！坝尚袠I(yè)組織依據(jù)個人信息保護的規(guī)則,，照顧行業(yè)特點，制定行業(yè)信息保護的規(guī)范,，采取行業(yè)自律的方式,，不僅在當下,，而且在未來法律制度完善之后，都是一種非常好的選擇,?！睔W陽武說。



 據(jù)悉,，2011年工信部曾委托中國軟件評測中心,，選取電子商務(wù)，論壇博客,，銀行,、保險、游戲等共7類105家網(wǎng)站的隱私政策進行測評,。經(jīng)測評發(fā)現(xiàn),，隱私政策執(zhí)行情況不明，包括政策適用范圍,、信息收集的方式,、處理過程等關(guān)鍵問題闡述不清。



 工信部同期啟動了個人信息保護標準的編制工作,，據(jù)悉,，《公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》年內(nèi)即將出臺?！盀樾袠I(yè)開展自律工作提供很好的參考”,，歐陽武說。



 中國軟件評測中心常務(wù)副主任黃子河表示,，即將出臺的國家標準對相關(guān)定義,、角色、職責,、操作規(guī)范等都予以明確,，提出了保護過程中的若干基本原則。



 比如“最少夠用原則”,。通俗而言,，在網(wǎng)上辦一件很小的事，結(jié)果填了一大堆信息,，包括家庭住址,、手機號碼等等，就不符合“最少夠用原則”,。



 又有“安全保障原則”,。個人信息的管理者一旦收集了信息，就要建立起一整套信息保護制度，明確責任人,、嚴格內(nèi)部管理流程,、應(yīng)對風險等等。



 “標準適用于除了政府機關(guān)等行使公共管理職能以外的各類組織和機構(gòu)”,，黃子河說,。



 但該標準仍僅是從宏觀上對個人信息保護提供框架性指導，具體的技術(shù)性保護指南有待進一步研究制定,。歐陽武表示,，今后還將從管理、技術(shù),、評測等方面制定相關(guān)規(guī)范,，形成一系列標準體系。尤其要建立第三方測評機制,，不僅能夠促進行業(yè)自律,，而且要推動全社會的個人信息保護意識。



 黃子河提出,，還可以考慮建設(shè)個人信息保護的技術(shù)手段,，建設(shè)個人信息的非法采集及濫用事件的投訴通道和監(jiān)測手段，為保護個人信息提供技術(shù)解決方案,。



 多管齊下成為了破解個人信息保護難題的共識,。“推動立法,，行業(yè)自律,，公眾維權(quán)與監(jiān)督，努力在個人信息保護方面盡快取得實際進步,。”工信部副部長楊學山這樣說,。（來源： 瞭望 ）