個人信息保護國標實施 處理個人信息需本人同意

　　去年11月公布的我國首個個人信息保護國家標準《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)將于今年2月1日起正式實施。

　　1月21日，《指南》的主要起草單位工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件評測中心)在北京舉辦“個人信息保護國家標準宣講會暨個人信息保護推進聯(lián)盟籌備會”。工業(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武出席會議，對《指南》進行了詳細的介紹，倡導(dǎo)行業(yè)自律及個人信息保護評測，推動標準貫徹落實。

　　《指南》屬于國家標準“指導(dǎo)性技術(shù)文件”類，對利用信息系統(tǒng)處理個人信息的活動起指導(dǎo)和規(guī)范作用。據(jù)了解，《標準》對個人信息保護領(lǐng)域的術(shù)語和定義做了明確的規(guī)范，并通過“八大基本原則”和“四個主要環(huán)節(jié)”對個人信息保護工作提出了詳細的要求。

　　八大原則四個環(huán)節(jié)

　　歐陽武在宣講會致辭表示，企業(yè)在面對大量個人信息時需遵循《指南》中確定的八大基本原則，對個人信息的保護需貫穿于個人信息的處理過程的收集、加工、轉(zhuǎn)移、刪除四個主要環(huán)節(jié)中。

　　所謂八大基本原則，即個人信息管理者在對個人信息進行處理時需把握目的明確原則、最少夠用原則、公開告知原則、個人同意原則、質(zhì)量保證原則、安全保障原則、誠信履行原則和責任明確原則。

　　有業(yè)內(nèi)專家指出，與法律的強制性和最低要求不同，標準具有自覺性和更高更詳細要求的特點。《指南》中的基本原則是對《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》的細化和補充。

　　去年12月第十一屆全國人大常委會通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》�！稕Q定》共12條內(nèi)容，將公民個人信息保護放在首要位置，提出了以法律形式保護公民個人及法人信息安全，并賦予政府主管部門必要的監(jiān)管手段。

　　《指南》中明確規(guī)定在個人信息的收集階段需要具有特定、明確、合法的目的。收集前要采用個人信息主體易知悉的方式，向個人信息主體明確告知。尤其是不可以直接向未滿16周歲的未成年人收集個人敏感信息，確需收集其個人敏感信息需要征得其法定監(jiān)護人的明示同意。

　　在個人信息的加工階段不可以違背收集階段已告知的使用目的，保證加工過程中個人信息不被任何與處理目的無關(guān)的個人、組織和機構(gòu)獲知。

　　在轉(zhuǎn)移階段，個人信息管理者需要保證個人信息的安全。收集階段告知的個人信息使用目的達到后，需要立即刪除個人信息;如需繼續(xù)處理，要消除其中能夠識別具體個人的內(nèi)容;如需繼續(xù)處理個人敏感信息，要獲得個人信息主體的明示同意。

　　通過對八大基本原則和四個主要環(huán)節(jié)的詳細規(guī)定，我國個人信息保護工作可以更方便的開展，真正做到“有標可依”。

　　在宣講會上，歐陽武還希望擁有大量個人信息的企業(yè)依據(jù)《指南》對處理個人信息的信息系統(tǒng)及個人信息處理流程進行自查和第三方評測，共同創(chuàng)建保護個人信息的良好環(huán)境。

　　成立聯(lián)盟倡導(dǎo)自律

　　標準出臺的同時，首個個人信息保護自律聯(lián)盟將成立，監(jiān)督推動標準的落實。中國軟件評測中心副主任朱璇表示，中國軟件評測中心將聯(lián)合相關(guān)行業(yè)協(xié)會，積極牽頭組織企業(yè)和測評機構(gòu)共同組建我國個人信息保護自律聯(lián)盟——“個人信息保護推薦聯(lián)盟”，并創(chuàng)辦首個安全通報服務(wù)平臺——“中國個人信息保護網(wǎng)”。

　　“個人信息保護推薦聯(lián)盟”的成立將彌補我國個人信息保護相關(guān)組織機構(gòu)的缺失，形成我國的企業(yè)自律模式。業(yè)內(nèi)相關(guān)人士表示，聯(lián)盟將對推動我國個人信息保護工作發(fā)展產(chǎn)生重大影響。不僅保障開展業(yè)務(wù)活動的公司和個人信息數(shù)據(jù)得到有效保護而不阻礙數(shù)據(jù)的轉(zhuǎn)移和流通，還有助于建立統(tǒng)一的隱私政策，給予公眾個人信息以公開、透明的社會信任，使公眾與企業(yè)達到雙贏的局面。

　　據(jù)了解，國外一些個人信息保護推動較早的國家皆成立了個人信息保護相關(guān)工作組織，例如美國的TRUSTE認證、歐洲的ePrivacyMark、日本的P-MARK認證等，這些機構(gòu)在制定相關(guān)標準規(guī)范和約定章程的同時，倡導(dǎo)、輔助并監(jiān)督企業(yè)依照約定章程開展個人信息保護工作。

　　同時，個人信息保護的權(quán)威發(fā)布平臺“中國個人信息保護網(wǎng)”也即將開通，中國軟件評測中心劉陶介紹，網(wǎng)站不僅將成為發(fā)布個人信息威脅預(yù)警、公告重要個人信息安全事件、發(fā)布第三方測評報告的平臺;也將成為個人信息保護政策、標準宣貫和推進實施的平臺。

　　后續(xù)注重標準落地

　　中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長兼中國軟件評測中心常務(wù)副主任黃子河表示，為了更好地推動并落實個人信息保護國家標準，作為標準的牽頭制定單位，在后續(xù)工作中，中國軟件評測中心將在工業(yè)和信息化部主管部門指導(dǎo)下，通過培訓(xùn)、試點等形式加大標準宣傳力度，推出一批個人信息保護示范典型，進一步構(gòu)建完善個人信息保護標準體系，推動我國個人信息保護自律的各項工作發(fā)展。

　　對于首個個人信息保護國家標準的“落地”工作，有專家指出，《指南》只是一個推薦性標準，其實施取決于相關(guān)行業(yè)主體的自愿配合，缺乏一定的強制力。

　　專家表示，個人信息保護關(guān)鍵就在于強制性的法律法規(guī)和行為標準，個人信息保護國標重在落實。