个人信息保护将出国标:信息用后立即删除

摘要: 昨日,一位乘客用手机扫描自己的火车票信息。通过扫描软件可获得火车票二维码含有的身份证信息。 本报记者 浦峰 摄 近日,工信部直属的中国软件测评中心透露,他们联合30多家单

昨日,一位乘客用手机扫描自己的火车票信息。通过扫描软件可获得火车票二维码含有的身份证信息。 本报记者 浦峰 摄

近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。

工信部安全协调司副司长欧阳武介绍说,这个指南能为行业开展自律工作提供了很好的参考,为企业处理个人信息制定了行为准则。据介绍,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。

许多发达国家很早已开始个人信息的保护研究和立法工作。我国近年来也启动了个人信息保护的相关工作。

去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。这个委员会主要从事信息安全标准化工作,现任主任由工信部副部长杨学山兼任。

个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。

该中心常务副主任黄子河透露说,指南目前还在等待批准文号,但其最终的发布应是“指日可待”。但这个指南并非国家强制性标准。

■ 焦点

个人信息用后立即删除

在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。

“去年正式通过了评审,报批国家标准”,中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准,以拓展个人信息保护的体系。

《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。

工信部安全协调司副司长欧阳武介绍,“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”

“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。

黄子河举例说,一些网站本是办一个很小的事,却让用户填包括家庭住址、手机号在内等很多信息,这就不符合“最少使用”原则。

“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。

中国软件测评中心的副主任高炽扬估计,个人信息泄露中70%-80%属内部作案,这是“安全保障”原则没能落实好所致。

他介绍说,一些商业公司掌握大量个人信息,由于管理制度疏漏,一些内部员工未经授权就能获取客户信息。

依照《个人信息保护指南》,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。

高炽扬说,有次,他在某航空公司网站购买机票,使用电话支付的时候,工作人员搜集了他的支付信息:姓名、身份证号、信用卡号和信用卡的最后三位支付号码。购票成功。

但是,过段时间他再去购票时,对方问他,“您还是使用卡号末四位是****的信用卡支付吗?如果是,只要告诉我就可以了。”

“(这家公司)存储了我的信息。”3月26日,高炽扬一边讲述一边摇头。

高炽扬说,他所经历的航空公司电话订票的经历,就是航空公司在达到此次订票目的后,未能及时删除客户信息。

信息保护指南非强制标准

“为了经济效益,无利不起早。”高炽扬估计,目前没有哪个行业不存在信息泄露。

比如孕妇生完孩子刚回家,卖奶粉的电话就过来了,病人检查完身体,检查单还没看懂,相应的医药公司就已经打电话卖药来了。

中国软件评测中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里,很容易被黑客破解。”据他们调查,公众最关心的金融、电信等领域的个人信息安全。

而让人担忧的是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。

中国软件评测中心主任助理朱璇说,此次个人信息安全国家标准“属于技术指导文件”。

国家标准分为三种,一个是强制性标准,一个是推荐性标准,一个是指导性技术文件,标准可以作为参考。而国家强制性标准多在食品安全领域。

不过,黄子河认为,标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构,特别是电信、医疗等涉及个人敏感信息比较多的服务机构。

■ 现状

40部法律难约束个人信息泄露

工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。

“针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。”刘九如说。

刑法修正案(七)被认为是个人信息立法的标志性事件之一。

2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。

但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。

诸多法律界人士认为,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间。

另外,专家认为法律中对信息泄露者惩罚机制不够。

前段时间,警方破获CSDN(即中国软件开发联盟)的600多万条用户名和密码泄露案件,“目前为止对网站的处罚只是提出行政警告,太轻了,这种处罚几乎没有威慑力。”北京科技大学经管学院教授梅绍祖说。

梅绍祖认为,如果在国外,这样的大规模用户信息泄露,至少应该有经济处罚。

2009年,《侵权责任法》的通过,使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。

但是,社科院法学所研究员周汉华说,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。

个人信息安全法未入立法程序

《个人信息安全法》并非从未尝试破冰。

工业和信息化部副部长杨学山回忆,2003年的4月,国务院信息化办公室专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。

参与此次专家意见稿的梅绍祖说,当时文本已从国务院信息化办公室上报到国务院法制办,此次未能进入正式立法程序的原因很复杂,主要是“从紧迫性上讲还没太关注这个问题”。

梅绍祖承认,凡事总有轻重缓急,有关部门会综合考虑,但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实,再发展下去可能会影响到整个社会经济活动,“我觉得紧迫性早就有了,可能各个层面感觉不一样,有人觉得没那么紧迫”。

工信部副部长杨学山力主加快立法。

他说,个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。

“这几年我们和大家一起在个人信息立法尽快进入正式程序正在努力。”杨学山说,在大家的努力下,“尤其是在今天个人信息保护已经成为社会迫切的问题,立法的进程就会加快”。

时间: 2024-09-28 12:40:59

个人信息保护将出国标:信息用后立即删除的相关文章

个人信息保护上半年出国标

工业和信息化部信息安全协调司副司长欧阳武昨天接受记者专访时透露,<信息安全技术 公共及商用服务http://www.aliyun.com/zixun/aggregation/32730.html">信息系统个人信息保护指南>目前正在国家标准委进行最后的技术审批,预计今年上半年正式出台. 欧阳武表示,这个标准是非强制性的,是政府组织及推动个人信息保护工作的一部分.这个标准正式出台后,还将有一系列的配套标准,包括技术保障.管理规范.认证和审计细则等."现在每个企业都说自己

个人信息保护将有国标

中介交易 SEO诊断 淘宝客 云主机 技术大厅 刚买完火车票,黄牛党就打电话过来问还要不要票;孕妇刚查出怀孕,卖婴儿用品的电话就打来推销;去房产中介留个电话想租房,天天就有卖房的短信和电话来骚扰--个人信息泄露的案例可谓屡见不鲜.针对这些问题,<信息安全技术 公共及商用服务信息系统个人信息保护指南>(下称<个人信息保护指南>)目前正在国家标准委进行最后的技术审批,预计今年上半年正式出台. 有专家认为,目前制定的国家标准还只是一个适用于各个行业的共同标准,还需要按照不同行业的自身特点

个人信息保护首入民法信息属个人所有财产受个人支配

3月15日,第十二届全国人民代表大会第五次会议在人民大会堂举行闭幕会.会上,<中华人民共和国民法总则(草案)>(以下简称"民法总则草案")获高票通过.个人信息保护相关内容被写入民法总则草案,草案规定,自然人的个人信息受法律保护.任何组织和个人应当确保依法取得的个人信息安全,不得非法收集.使用.加工.传输个人信息,不得非法买卖.提供或者公开个人信息.专家认为,将个人信息保护写入民法总则草案,是对重大民事利益的阐释,为未来制定单行法或通过其他方式进一步细化保护措施提供了依据.

大数据时代个人信息保护的新思路

随着全球范围内大数据产业的全面推进,公民隐私及个人信息保护问题也日益凸显,传统个人信息保护框架在大数据时代遭遇严峻冲击,如何寻求个人信息的合理及有效保护成为各国普遍面临的难题.个人信息不仅承载着个人权益,也在很大程度上牵涉到商业机密.企业信誉.国家安全与信息主权,因此,应妥善协调产业发展与个人信息保护,积极探索顺应时代特征的新思路,构建安全.信任的大数据产业环境. 一.大数据时代个人信息保护的新挑战 大数据时代,个人信息保护面临前所未有的新挑战.首先,随着移动互联网的普及和智能穿戴等物联网设备的

个人信息保护呼吁“基本法”

"大数据的广泛运用,是我们当前时代的鲜明背景.恰逢我国学界有关民法典立法的讨论热烈开展,如何在未来民法典立法中更系统.更超前地加入互联网因素,值得深思."11月6日下午,在北京航空航天大学法学院第六届两岸民商法前沿论坛"互联网与民法典"专场会议上,北京航空航天大学法学院院长龙卫球教授如是说. 今年10月底,在民法总则草案二审稿中,数据信息从知识产权类别中删除,引起了广泛关注.个人信息应当享有怎样的权利,由谁保护.如何保护,谁在什么情况下可以正当利用,这些问题成为产业

加强消费者个人信息保护意义重大

个人信息被誉为21世纪最富有价值的资源.具体而言,个人信息对自然人具有社会交往价值,对公权力主体具有管理价值,对企业等私主体具有商业价值.然而,在信息商业化过程中,信息失控已成为不争的事实.伴随着电子商务的普及,消费者成为个人信息泄露的主要受害群体.伴随信息泄露而至的垃圾短信.骚扰电话.精准诈骗日益威胁着人们的隐私.财产甚至生命安全:同时,消费者个人信息泄露还容易破坏市场秩序.制约经济发展,滋长各类犯罪.危害社会稳定,甚至引发公共安全及国家安全危机.因此,保护个人信息安全对于更好协调个人信息保护

人民网评:个人信息保护更盼立法提速

李明儒 个人信息正出现多头管理的局面,最新的一个管理法则是"行业标准".这部由工信部牵头30多家单位起草的"个人信息保护指南",面向"信息安全技术.公共及商用服务http://www.aliyun.com/zixun/aggregation/32730.html">信息系统",据称是"为行业开展自律工作提供了很好的参考,为企业处理个人信息制定了行为准则". 笔者并不怀疑这个行业标准的水准,也不想对这一行业标准的

落实网络安全法 多互联网公司推送个人信息保护条款

9月16日消息,9月14日起,网民在登陆微信.淘宝.微博.高德地图等客户端时,陆续收到平台推送的个人信息保护政策,点击"同意"后才能继续使用.在2017年国家网络安全宣传周开幕前夕,互联网公司积极落实<网络安全法>规定,更新个人信息保护政策,不断加强对用户个人信息的保护. 微信向用户推送更新后的<微信隐私保护指引> 淘宝向用户推送<法律声明及隐私权政策> 微博通过iOS(左)和安卓(右)客户端推送修订后的<微博个人信息保护政策> 2017

评论:个人信息保护指南折射出立法尴尬

单士兵 长期以来,由于信息保护不力,个人http://www.aliyun.com/zixun/aggregation/12473.html">隐私泄露成为无数人难以承受之痛.现在,工信部直属的中国软件测评中心联合30多家单位起草的<信息安全技术.公共及商用服务信息系统个人信息保护指南>已正式通过评审,正报批国家标准.据称,这个指南可以为行业开展自律工作提供很好的参考,为企业处理个人信息制定出行为准则. (4月5日<新京报>) 这一纸被称为"国标"