推動行業自律 貫徹國家標準

組織建立“個人信息保護推進聯盟”，推動形成行業自律模式

近年來，隨著信息化的深入發展，個人信息安全以及隨之產生的隱私保護問題引起了各方的高度關注。個人信息保護問題已經成為影響網民信心的重要因素，建立個人信息保護機制，維護網民合法權益，已經成為當務之急。

合理利用和有效保護個人信息已成為政府、企業、個人和社會各界廣泛關注的熱點問題。互聯網個人信息保護工作已勢在必行，2011年黨十七屆六中全會已明確提出“加大網上個人信息保護力度，建立網絡安全評估機制，維護公共利益和國家信息安全”《中共中央關于深化文化體制改革推動社會主義文化大發展大繁榮若干問題的決定》第四部分-第5點。2012年十八大報告明確提出要健全信息安全保障體系。2012年12月十一屆全國人大常委會第三十次會議通過了《關于加強網絡信息保護的決定》。《決定》將公民個人信息保護放在首要位置，提出要以法律形式保護公民個人及法人信息安全，并賦予政府主管部門必要的監管手段。

國外一些個人信息保護推動較早的國家，如美國、日本、韓國等皆成立了個人信息保護相關工作組織，在制定相關標準規范和約定章程的同時，倡導、輔助并監督企業依照約定章程開展個人信息保護工作，并大多采取頒發標識的方式，對企業個人信息保護水平進行評價，為公眾提供參考。當前我國已制定并發布了我們自己的個人信息保護國家標準，也通過了個人信息保護的總領性決定，急需一個組織來推動標準的落實，在幫助提高企業信譽、提升民眾信心的同時，有助于推動跨國電子商務活動的開展。

為了進一步推動我國個人信息保護事業的蓬勃發展，在工業和信息化部安全協調司的指導下，中國軟件評測中心正在積極牽頭組織相關企業和行業協會共同組建個人信息保護自律聯盟——“個人信息保護推進聯盟”。

中國軟件評測中心主任助理朱璇對聯盟的主要職能作了詳細的介紹。聯盟的主要工作包括5個部分：1.聯合專家學者、優秀企業、測評機構，制定聯盟章程和個人信息保護相關標準規范；2.宣傳并倡導相關企業加入聯盟，采納聯盟章程和相關標準規范；3.管理聯盟“個人信息保護”標識，包括標識的發放、監管、撤銷；4.與國外其他組織機構建立聯系，并形成長期溝通交流機制，促進我國個人信息保護相關水平；5.建立并維護我國個人信息保護信息通報平臺，發布個人信息保護的測評報告，對個人信息保護相關事件進行及時安全預警。

針對企業如何申請聯盟的認證標識，朱璇告訴記者，任何愿意采納聯盟章程和相關標準規范的企業，均可提交聯盟標識申請。在提交申請的同時，企業需接受聯盟所認可的第三方測評機構的相關標準符合性測試，獲取測評報告。相關申請材料和測評報告，提交聯盟專家委員會評審通過后，即可獲得聯盟標識。聯盟對標識企業具有監督作用，并會接受和積極協調處理公眾對標識企業的相關投訴事件。

聯盟的成立對推動我國個人信息保護工作發展將產生重大影響。一方面，聯盟的章程準則促使企業對個人信息數據處理行為進行梳理，達到自我保護的目的；另一方面，通過測評與認證在公眾與企業、企業與企業之間建立起可靠信任關系，為聯盟成員貿易交往中個人信息的合理利用、安全流轉提供信心。對于搜集、使用和轉移用戶個人信息的服務提供商企業，通過聯盟內部認證的相應流程，可以對企業的個人信息保護水平進行評價，確保用戶個人信息在其相應的生命周期內能得到安全保障，確保企業符合個人信息保護的系列技術標準和相關規定。聯盟標識機制建立的宗旨是希望能在聯盟內建立統一的企業級個人信息保護與管理評價體制，實現科學、客觀和正確的評判。這樣一來，它不僅保障了開展業務活動的公司個人信息數據得到有效保護而不阻礙數據的轉移及流通，還有助于建立統一的隱私政策，給予公眾個人信息以公開、透明的保社會信任，使公眾與企業達到雙贏的局面。

創辦“中國個人信息保護網”，建設安全通報服務平臺

據中國軟件評測中心劉陶介紹，“中國個人信息保護網”是在工業和信息化部信息安全協調司指導下，由工業和信息化部計算機與微電子發展研究中心（中國軟件評測中心）發起，聯合“個人信息保護推進聯盟”相關企業和研究機構共同創辦的第三方權威信息發布平臺。網站致力于建設個人信息保護領域權威安全預警平臺、測評報告發布平臺、政策標準宣貫和推進實施平臺，旨在為社會公眾和企業行業掌控個人信息安全保護態勢提供可靠依據，為政府主管部門履行監管和公共服務職能提供有力支撐，保護公民合法權益，推動各行業個人信息合理利用。

網站旨在建設成為個人信息保護領域專業性的安全通報服務平臺。劉陶說，網站不僅將成為發布個人信息威脅預警、公告重要個人信息安全事件、發布第三方測評報告的平臺；也將成為個人信息保護政策、標準宣貫和推進實施的平臺。同時，我們也將打造網站成為企業個人信息保護管理和技術交流、個人信息保護解決方案推廣宣傳的平臺。作為個人信息保護推進聯盟的門戶，網站也將成為聯盟連接政府和企業、服務聯盟和大眾的平臺。

而網站的具體服務將主要包括下面的內容：

1 及時發布個人信息安全威脅預警，重點關注社會熱點問題。

2 定期發布移動智能終端以及互聯網相關行業網站的個人信息保護測試和評估報告。

3 解讀有關個人信息保護的標準與政策法規，宣傳標準和政策法規的實施。

4 科普個人信息保護的基本知識、基礎技術和管理方法。

5 推介有關個人信息保護的新技術、解決方案和成果。

6 推進“個人信息保護推進聯盟”建設工作。

貫徹落實國家標準，實施開展后續工作

自2008年起，中國軟件評測中心已連續四年接受工業和信息化部信息安全協調司的委托開展個人信息保護相關研究工作。歷時兩年多，經過多輪的審議與修改，我國第一項個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》（GB/Z28828-2012,簡稱《指南》）已經發布，將于2013年2月1日正式實施。《指南》的實施標志著我國將告別針對個人信息處理行為“無標可依”的歷史，使公民對個人信息保護的訴求得到有效解決。相關監管部門可以依據國家標準的技術支撐，規范企業對個人信息的使用，構建政府引導下的行業自律機制，形成具有我國特色的個人信息保護模式。《指南》的出臺將對后續個人信息保護的相關工作起到指導性的作用；相關監管部門可以依據國家標準引導企業進行個人信息保護自律，并對企業個人信息處理行為進行監督規范，逐步形成以“企業自律為主導，聯盟約束為輔助，政府監督配合”的我國個人信息保護模式。

《指南》歸為國家標準“指導性技術文件”類，主要依靠企業自覺遵守，為了更好地推動并落實個人信息保護國家標準，規范企業個人信息處理行為，切實提高企業個人信息保護技術水平，并加強公眾個人信息保護意識。中國軟件評測中心在《指南》標準發布的同時，將加大《指南》宣傳力度，通過培訓、試點等形式，推出一批個人信息保護試點案例，形成典型范本，推動我國個人信息保護聯盟機構的各項工作發展，并進一步完善個人信息保護標準體系。

要實現對個人信息的保護，最好的辦法還是立法，通過法律明確組織和個人在處理個人信息過程中的法定責任，建立個人信息保護的監管體制，明確侵害他人信息隱私的行政處罰制度與民事賠償責任。只有把個人信息保護納入到法制化的軌道，才能實現對個人信息的最佳保護。

法律制裁是事后懲戒機制，對制止和杜絕個人信息濫用有很好的威懾作用。在完善法律制度的同時，必須建立事前預防機制，由行業組織依據個人信息保護的通行原則并照顧到行業特點，制定個人信息保護的標準規范，采取行業自律的方式，開展個人信息保護工作。中國軟件評測中心也將繼續以國家信息安全標準體系為基礎，建立個人信息保護標準體系。在參考國際相關研究成果的基礎上，結合我國實際需求，對信息系統個人信息保護管理辦法和技術手段進行專項研究，研究制定體系框架中急需的關鍵標準，對標準進行驗證以支持標準的進一步修訂和改進。

目前，個人信息保護國家標準即已正式出臺，國家標準將作為企業的個人信息保護政策及相關措施的統一依據；根據標準內容，可以制定測評指標體系、建立第三方測試評估機制，不僅能為行業自律提供手段，而且可以為社會監督提供參照，對提高全社會的個人信息保護水平起到基礎性和推動性作用。

來源：CCTIME飛象網

　　版權及免責聲明：凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀