关于加强个人信息安全保护工作的建议
作者 :吕薇 编辑 :叶小博 来源 :海南人大网 发布时间 :2016年03月16日
随着信息技术和网络系统的进步,我国居民信息消费迅速增加。个人信息的收集、处理、使用、利用愈加方便、容易,侵犯个人信息的行为也更频繁,并呈现多样性趋势。特别是新一代信息技术、大数据技术、各类移动设备、芯片应用、新服务模式的应用,增加了个人隐私的威胁等级和个人信息安全的风险等级。因此,个人信息安全和隐私保护越来越受到人民群众的关注,成为社会治理的重要问题。
一、我国个人信息保护工作的现状
个人信息安全,特别是个人隐私保护受到政府和社会各界的关注,但我国的个人信息保护工作还处于制定标准和探索推进阶段。
一是制度建设以制定保护条例和标准为主,缺少个人信息保护的法律。到目前为止,我国尚没有统一的个人信息保护方面的法律,与个人信息安全相关的法条散布于约近40部法律、30余部法规,及近200部规章中,各法规之间衔接不够。
一些地方和一些行业根据经济社会发展需要,已经和正在制定有关个人信息保护条例和标准。如,早在2006年大连软件行业协会发布并实施《大连软件及信息服务业个人信息保护规范》,成都软件行业协会颁布实施《成都软件及信息服务业个人信息保护规范》。辽宁省于2007年和2008年分别发布并实施地方标准《软件及信息服务业个人信息保护规范》和《个人信息保护规范》,2012年~2014年又分别发布并实施信息安全系列地方标准《信息安全 个人信息保护规范》、《信息安全 个人信息安全管理体系实施指南》、《信息安全 个人信息安全风险管理实施指南》。2012年,工信部发布实施了信息技术服务业标准《信息技术服务外包 第2部分:数据(信息)保护规范》,覆盖个人信息和商业数据,采用统一的管理方式,建立统一的安全防护机制,在IT服务外包领域发挥了很好的指导作用。2012年国家质量监督检验检疫总局,国家标准化管理委员会批准实施《信息安全技术 公共及商用服务信息系统个人信息保护指南》,旨在引导全国个人信息保护行业自律行为。同时,还有一些地方政府以政府文件形式发布个人信息管理的相关规定,如福建省厦门市等。
二是缺乏有效手段推进标准和法规的落实。尽管一些地区和行业制订了个人信息保护标准和规定,但由于缺乏有效的手段和保障措施,标准和法规都难以落实。只有少数地区,通过建立评估机制推广和实施个人信息保护标准。如2006年5月大连市软件协会建立了个人信息保护评价体系(PIPA),并开始评价认证工作(其评价认证管理办法见附件)。截至2015年,有100余家信息服务外包企业、信息服务企业、教育培训机构等通过PIPA评价,这些企业辐射北京、上海、广州、山东、辽宁、陕西、黑龙江等地。
二、国际上个人信息保护的做法和经验
据不完全统计,国际上已有70多个国家和地区制定了个人信息保护相关法规和标准。如,1980年OECD(世界经合组织)颁布的《隐私保护和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,已成为各国一致遵循的原则,许多国家在此基础上制定、补充、完善本国的个人信息保护法规。目前国际上有三种主要个人信息保护模式。
(一)欧盟模式
欧盟采用统一立法和各成员国国内立法两个层次的立法模式。通过欧盟立法要求和规制各成员国建立统一的个人隐私保护法律、法规体系,保证个人信息数据在成员国之间自由流通,并要求向第三国跨境传输个人数据,必须通过欧盟的保护标准。为了适应欧盟的要求,许多非欧盟国家也纷纷制定个人信息保护相关法律、法规。
2009年,英国根据欧盟的法律,制定、发布了欧洲第一个个人信息保护标准《数据保护 个人信息管理体系规范》,开启了法律和标准互为支持和保障的先河。
(二)美国模式
美国采取政府引导下的行业自律模式,由行业协会制定行业标准来规范行业内个人信息处理规则,同时通过分散立法,辅助行业自律模式的实施。但因为没有统一标准,行业自律缺乏有力的法律支撑。
同时,美国与欧盟签署了个人数据保护协议(安全港协议),美国企业自愿参加。该协议承诺遵守美国和欧盟制定的个人隐私保护原则,欧盟则认为参与协议的企业达到欧盟充分性保护标准,可以接受来自欧盟的个人数据。最近,欧盟和美国已经就两地公司之间传输个人数据涉及的隐私保护问题达成新的框架协议,新协议要求美国公司履行更加严格的义务来保护欧洲的个人数据。
(三)日本模式
日本参考欧盟的立法模式,更多采纳了美国的保护规制,通过政府立法和行业自律实现个人信息保护。日本确定了适用于公共部门和非公共部门个人信息保护的基本原则,制定特殊领域的个别法,鼓励非公共部门实施行业自律的个人信息保护机制。并于2003年通过了《个人信息保护法》。构建起相对完善的个人信息保护体系。
同时,日本信息处理开发协会(JIPDEC)依据通产省的指导方针,于1999年制定了日本工业标准《个人信息保护管理体系-要求事项》,开始实施个人信息保护审核、认证工作(P-MARK认证)。所有涉及个人信息处理的企业可提出申请,由JIPDEC组织认证。P—MARK认证是非公共部门的行业自律机制,评估和认定日本民间企业的个人信息保护状况,并颁发个人信息保护标识,表明该企业遵守个人信息保护的相关法规和个人信息使用、处理的承诺,以提高企业的可信度。
总之,国际上开展个人信息保护的主要做法,一是制定个人信息保护的相关法律、法规和标准。二是建立相应的评价机制,开展个人信息保护审核与认证,通过资质认证,推广和促进标准的实施。三是加强标准和资质互认,促进信息流通。如,美国与欧洲进行标准互认;又如,大连是我国软件外包基地之一,为了促进对日本的软件外包业务,自2008年起大连PIPA与日本P-MARK实现全面互认。
三、加强个人信息保护的建议
我国的个人信息保护应该选择更适宜国情的模式。从地方试点逐步推广到全国,从行业试点逐步推向全社会,以行业自律推动立法,逐步普及,推动国家标准和法律体系的建设,逐步构建全国个人信息安全保障体系。建议:
1、由信息安全管理部门牵头,编制全国推进个人信息安全工作规划,建立相应的工作机制,制定基本原则和相关政策,推进标准、规范、法规的研制。加强政府职能部门之间的沟通和协调,整合个人信息安全工作所需资源,统筹管理、组织、指导国内个人信息安全工作。
2、组织国内相关专家研讨个人信息安全问题。设立项目基金(自然科学、人文社科等)支持个人信息安全相关 理论 、技术、实践的研究,对新一代信息技术应用中的个人信息安全风险提出建议和对策。
3、认真总结国内外成熟的经验,组织国际、国内研讨会,就管理、标准、法规、实践等现场交流学习,向全国推广经验总结,支持、指导、鼓励各地、各行业在本地、本行业内建立相应的工作机构,推进个人信息安全工作。
4、在鼓励各地、各行业推进个人信息安全标准化建设的同时,逐步推进全国个人信息安全标准化建设。
5、支持、鼓励有条件、有基础的地区,开展个人信息安全评价,并逐步推进统一的认证体系建设。充分发挥地方政府的作用,推动各地建立个人信息保护工作机制。支持和充分发挥行业协会的作用,支持、指导、鼓励各个行业针对本行业的特点,规范市场行为,实行行业自律,积极推进个人信息安全工作。
6、加强个人信息保护的人才培养,特别是加强评估人才的培养和资格认证工作。附件
大连市开展个人信息保护和认证的做法
大连市我国重要的软件服务外包基地。为消除承接国际外包项目的壁垒,2004年大连市就启动个人信息保护相关问题研究。大连市国内最早制定个人信息保护标准和与日本信息处理开发协会开展P-MARK认证制度的城市,并于2009年荣获工信部授予的“软件和信息服务业个人信息保护试点城市”称号。
大连市开展的主要工作包括:研究、编制个人信息保护相关标准;从软件与信息服务业个人信息保护标准化起步,逐步向其它行业辐射、推广,并研究、建立个人信息保护评价体系,开展个人信息保护认证,同时,通过各种形式宣传个人信息保护标准和相应的评价体系;促进与国际间个人信息保护认证的相互认可,打破国际壁垒,提高我国软件及信息服务业在国际上的信任度;持续开展个人信息安全管理标准系列的研究;造就一批个人信息安全管理的人才,积累个人信息保护的经验等。
大连市个人信息保护的主要特点是,建立了具有我国行业特色的个人信息保护认证体系PIPA(个人信息安全管理体系评价),判断和评估企业个人信息管理与相关标准、法规的一致性、符合性和目的有效性,并于2007年开始施行,截至2015年,计有100余家信息服务外包企业、信息服务企业、教育培训机构等通过PIPA评价,这些企业辐射北京、上海、广州、山东、辽宁、陕西、黑龙江等,并逐渐为国内其它城市关注和借鉴。
PIPA建立了规范、专业的工作机制,包括相对完善的组织结构、评价人员管理、评价过程管理、评价体系管理、相关培训教育机制、质量管理等,保证了PIPA的独立性和权威性。
一是建立比较完善的组织机构。设立个人信息保护工作委员会,负责个人信息安全法规、标准的研究、制定、解释、修改和实施;监督评价机构的工作;审议评价结果;建立争端解决机制等。工作委员会下设法规组、仲裁组、宣传组、国际交流组、教育培训组和评价管理组等工作机构;派出评价机构,由专家、学者、专业人士和管理人员组成,负责评价资格审查、现场审核、编制评价报告及评价员聘任、管理、培训、考核和投诉受理等。
二是评价人员管理。评价人员是个人信息保护评价机构中负责个人信息保护评价的专家、学者及其它相关专业人士。对评价人员资格采取注册和年度考核制度。评价人员管理包括对从事个人信息保护评价工作的评价员的行为、经历、业绩、培训及聘用等方面进行评定和管理。
三是评价过程管理。包括管理职责、质量目标、实施管理、评价结果管理等。
四是评价体系管理。包括组织机构的职能、职责、规章等;评价管理的职责、规则等,及仲裁服务、培训教育机制、质量管理等。
2008年,PIPA与日本P-MARK认为双方在评价体系设计、评价方法、评价水平等方面达到一致,同意全面相互承认,并可共同使用同一认证标志,消除了与日本服务外包中的个人信息安全准入门槛。