2月1日起，我國首部個人信息保護國家標準《信息安全技術(shù) 公共及商用服務信息系統(tǒng)個人信息保護指南》正式實施，這標志著我國個人信息保護工作正式進入“有標可依”階段。

　　《信息安全技術(shù) 公共及商用服務信息系統(tǒng)個人信息保護指南》對個人信息保護作出了怎樣的規(guī)定？其出臺對個人信息保護會起到什么作用？帶著這些問題，記者采訪了參與起草《指南》的中國軟件評測中心副主任朱璇。

　　個人信息保護須管理和技術(shù)雙管齊下

　　問：當前個人信息泄露事件頻發(fā)，信息服務從業(yè)者在處理公民個人信息過程中，主要在哪些環(huán)節(jié)出現(xiàn)了問題？

　　答：目前，許多企業(yè)在個人信息處理過程中保護措施還存在不足，在個人信息收集、加工、轉(zhuǎn)移、刪除各個階段都可能存在一些問題。例如收集階段，目前過度收集客戶信息的問題廣泛存在，許多企業(yè)在收集個人信息時沒有對個人信息主體進行明確告知；在加工階段，由于個人信息管理者未對信息系統(tǒng)進行必要的安全防護，導致黑客輕易入侵數(shù)據(jù)庫獲得個人信息的事件時常發(fā)生；在刪除階段，由于企業(yè)內(nèi)部管理漏洞，未按要求在使用完個人信息后立即刪除，一些內(nèi)部人員受利益驅(qū)使向外泄露歷史信息的事件也屢屢曝光。

　　因此，只有參照《指南》對個人信息處理的各個階段進行梳理，規(guī)范企業(yè)行為，才能有效減少個人信息泄露事件的發(fā)生。個人信息保護要從管理和技術(shù)兩方面雙管齊下，個人信息管理者應制定完善的個人信息保護管理制度，同時在技術(shù)上采取必要的安全保障手段。

　　手機軟件收集用戶信息違背“公開告知”原則

　　問：《指南》確立了“目的明確、最少夠用、公開告知、個人同意、質(zhì)量保證、安全保障、誠信履行、責任明確”八項原則，規(guī)范信息服務從業(yè)者的行為。在公民個人信息的使用和處理過程中，涉及比較多的是哪些原則？

　　答：從目前已發(fā)生的個人信息相關(guān)安全事件來說，比較多的涉及“目的明確”、“最少夠用”、“公開告知”、“個人同意”、“安全保障”等原則。例如智能手機上的某些軟件， 在收集手機用戶個人信息的時候，并沒有明確告知主體收集相關(guān)個人信息的目的，即違反了“目的明確”和“公開告知”原則。中國軟件評測中心出具的《2012年Android手機軟件個人信息安全測評報告》顯示大量手機軟件會自動收集用戶的IMEI號、上傳用戶通訊錄等，違背了“個人同意”原則或“公開告知”原則。

　　此外，2012年爆發(fā)的大量互聯(lián)網(wǎng)網(wǎng)站用戶數(shù)據(jù)泄露事件，也說明大量的網(wǎng)站沒有采取足夠的安全措施保障用戶個人信息的安全，一些網(wǎng)站將用戶口令直接明文傳輸并存儲在服務器端，就違背了“安全保障”原則要求。

　　但我們必須明確，《指南》所提出的八項原則是個人信息處理整個周期中需要遵守的基本原則，只有八項原則共同作用才能使信息系統(tǒng)中的個人信息得到基本保護，達到《指南》的基準要求。

　　未來將選擇合適企業(yè)開展標準實施試點

　　問：《指南》屬于技術(shù)指導文件，不具有強制執(zhí)行力，有人質(zhì)疑此舉意義不大，您認為其出臺的最大意義是什么？未來，又將通過哪些后續(xù)措施，促進其“落地”？

　　答：作為第一部個人信息保護相關(guān)的國家標準，《指南》可以說是我國個人信息保護工作的一個里程碑�！吨改稀愤m用于指導除政府機關(guān)等行使公共管理職責的機構(gòu)以外的各類組織和機構(gòu)，我們可根據(jù)具體國情，開展“標準先行”，在《指南》的基礎(chǔ)上促進行業(yè)自律、企業(yè)自律，有效地推動我國個人信息保護立法進程。

　　未來，我們計劃選擇合適的企業(yè)，導入個人信息保護國家標準實施試點工作。在個人信息保護敏感度較高的行業(yè)內(nèi)選擇具體企業(yè)，根據(jù)標準內(nèi)容開展個人信息保護相關(guān)標準的試點示范和應用推廣工作，在驗證企業(yè)管理制度和技術(shù)規(guī)范有效性的同時，實施對企業(yè)相關(guān)人員個人信息保護的資格認定與培訓。同時，輔導機構(gòu)運作，指導企業(yè)按照《指南》開展自查工作并接受第三方測評機構(gòu)的檢查。通過試點工作，可以實踐標準體系提出的各項工作任務，培養(yǎng)一批具有典型示范、輻射和帶動作用的樣板企業(yè)，對試點工作經(jīng)驗進行總結(jié)并進一步對標準加以推廣。