昨日,一位乘客用手機(jī)掃描自己的火車票信息。通過(guò)掃描軟件可獲得火車票二維碼含有的身份證信息。 本報(bào)記者 浦峰 攝
近日,工信部直屬的中國(guó)軟件測(cè)評(píng)中心透露,他們聯(lián)合30多家單位起草的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已正式通過(guò)評(píng)審,正報(bào)批國(guó)家標(biāo)準(zhǔn)。
工信部安全協(xié)調(diào)司副司長(zhǎng)歐陽(yáng)武介紹說(shuō),這個(gè)指南能為行業(yè)開(kāi)展自律工作提供了很好的參考,為企業(yè)處理個(gè)人信息制定了行為準(zhǔn)則。據(jù)介紹,我國(guó)信息技術(shù)保護(hù)不容樂(lè)觀,甚至已形成利用個(gè)人信息從事非法獲利的黑色鏈條。特別是去年年底揭露出的中國(guó)互聯(lián)網(wǎng)最大規(guī)模的泄密事件,將個(gè)人信息保護(hù)推向了風(fēng)口浪尖。
許多發(fā)達(dá)國(guó)家很早已開(kāi)始個(gè)人信息的保護(hù)研究和立法工作。我國(guó)近年來(lái)也啟動(dòng)了個(gè)人信息保護(hù)的相關(guān)工作。
去年,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出制定個(gè)人信息保護(hù)指南。這個(gè)委員會(huì)主要從事信息安全標(biāo)準(zhǔn)化工作,現(xiàn)任主任由工信部副部長(zhǎng)楊學(xué)山兼任。
個(gè)人信息保護(hù)指南的全稱是《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》,標(biāo)準(zhǔn)由工信部直屬的中國(guó)軟件測(cè)評(píng)中心牽頭,聯(lián)合近30家單位起草。
該中心常務(wù)副主任黃子河透露說(shuō),指南目前還在等待批準(zhǔn)文號(hào),但其最終的發(fā)布應(yīng)是“指日可待”。但這個(gè)指南并非國(guó)家強(qiáng)制性標(biāo)準(zhǔn)。
■ 焦點(diǎn)
個(gè)人信息用后立即刪除
在個(gè)人信息安全缺少專門法律規(guī)范時(shí),一部行業(yè)標(biāo)準(zhǔn)成為業(yè)內(nèi)的希望。
“去年正式通過(guò)了評(píng)審,報(bào)批國(guó)家標(biāo)準(zhǔn)”,中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院院長(zhǎng)、中國(guó)軟件評(píng)測(cè)中心主任羅文希望今年能通過(guò)這項(xiàng)標(biāo)準(zhǔn),以拓展個(gè)人信息保護(hù)的體系。
《個(gè)人信息保護(hù)指南》對(duì)個(gè)人信息的處理包括收集、加工、轉(zhuǎn)移和刪除四個(gè)主要環(huán)節(jié),其中還提出了個(gè)人信息保護(hù)的原則。
工信部安全協(xié)調(diào)司副司長(zhǎng)歐陽(yáng)武介紹,“這個(gè)原則包括目的明確、最少使用、公開(kāi)告知、個(gè)人同意、質(zhì)量保證、安全保障、誠(chéng)信履行和責(zé)任明確等八項(xiàng)。”
“最少使用”的原則就是獲取一個(gè)人的信息量時(shí),只要能滿足使用的目的就行。
黃子河舉例說(shuō),一些網(wǎng)站本是辦一個(gè)很小的事,卻讓用戶填包括家庭住址、手機(jī)號(hào)在內(nèi)等很多信息,這就不符合“最少使用”原則。
“安全保障”則是要個(gè)人信息管理者一旦收集了個(gè)人信息,就必須建立一套個(gè)人信息保護(hù)制度,明確責(zé)任人和內(nèi)部管理流程,以及應(yīng)對(duì)個(gè)人信息泄露的風(fēng)險(xiǎn)。
中國(guó)軟件測(cè)評(píng)中心的副主任高熾揚(yáng)估計(jì),個(gè)人信息泄露中70%-80%屬內(nèi)部作案,這是“安全保障”原則沒(méi)能落實(shí)好所致。
他介紹說(shuō),一些商業(yè)公司掌握大量個(gè)人信息,由于管理制度疏漏,一些內(nèi)部員工未經(jīng)授權(quán)就能獲取客戶信息。
依照《個(gè)人信息保護(hù)指南》,在收集個(gè)人信息階段告知的“使用目的”達(dá)到后應(yīng)立即刪除個(gè)人信息。
高熾揚(yáng)說(shuō),有次,他在某航空公司網(wǎng)站購(gòu)買機(jī)票,使用電話支付的時(shí)候,工作人員搜集了他的支付信息:姓名、身份證號(hào)、信用卡號(hào)和信用卡的最后三位支付號(hào)碼。購(gòu)票成功。
但是,過(guò)段時(shí)間他再去購(gòu)票時(shí),對(duì)方問(wèn)他,“您還是使用卡號(hào)末四位是****的信用卡支付嗎?如果是,只要告訴我就可以了。”
“(這家公司)存儲(chǔ)了我的信息。”3月26日,高熾揚(yáng)一邊講述一邊搖頭。
高熾揚(yáng)說(shuō),他所經(jīng)歷的航空公司電話訂票的經(jīng)歷,就是航空公司在達(dá)到此次訂票目的后,未能及時(shí)刪除客戶信息。
信息保護(hù)指南非強(qiáng)制標(biāo)準(zhǔn)
“為了經(jīng)濟(jì)效益,無(wú)利不起早。”高熾揚(yáng)估計(jì),目前沒(méi)有哪個(gè)行業(yè)不存在信息泄露。
(責(zé)任編輯:鑫報(bào))