论文部分内容阅读
工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
【问题】目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。尽管针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。据介绍,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民個人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。同时,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间,对信息泄露者惩罚机制也不够。2009年,《侵权责任法》通过,使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。但是,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。
【对策】许多发达国家很早已开始个人信息的保护研究和立法工作。我国近年来也启动了个人信息保护的相关工作。2003年4月,国务院信息化办公室专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交,不过这项立法建议一直未能进入正式的立法程序。去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。指南目前在等待批准文号,其最终的发布“指日可待”。
《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
依照《个人信息保护指南》,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。
指南将为行业开展自律工作提供参考,为企业处理个人信息制定行为准则。
【问题】目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。尽管针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。据介绍,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民個人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。同时,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间,对信息泄露者惩罚机制也不够。2009年,《侵权责任法》通过,使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。但是,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。
【对策】许多发达国家很早已开始个人信息的保护研究和立法工作。我国近年来也启动了个人信息保护的相关工作。2003年4月,国务院信息化办公室专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交,不过这项立法建议一直未能进入正式的立法程序。去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。指南目前在等待批准文号,其最终的发布“指日可待”。
《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
依照《个人信息保护指南》,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。
指南将为行业开展自律工作提供参考,为企业处理个人信息制定行为准则。