|
||||
據媒體報道,《河北省信息化條例(草案)》已正式提交河北省人大常委會審議。針對非法獲取、出售或以其他方式提供他人個人信息的公共機構,草案規定最高將處以五十萬元罰款。構成犯罪的,將依法追究刑事責任。
該草案的出臺之所以備受關注,源自近段時間,國內集中爆發多起個人信息泄露事件。不久前,銀行內部員工泄露並出售客戶信息牟利事件曝光。2011年年底,我國互聯網史上最大規模的用戶信息泄露事件爆發,多家社交網站幾千萬用戶賬號及密碼遭到泄露……
近日,在某知名房屋中介公司登記售房信息後,業主李星的電話便一刻不得安寧。“房產交易需要提供大量個人信息,包括我的單位、住址、貸款數額等等。如果我的售房信息能夠被迅速共享,那麼誰能保證其他信息不會?”她說,“更蹊蹺的是,房子剛一賣出,騷擾電話立刻停了。信息傳播之迅速讓人覺得後怕。”
“這種感覺就像是‘不知何處有一雙監視的眼睛’。”她說。
有過類似經歷的用戶不在少數,而涉及“泄密”的行業更是涵蓋了銀行、房屋中介、保險、醫療、社交網站、電信等近十種。
“對於技術原因造成信息泄露,管理者可通過技術升級補救、避免,比如增加密碼強度、嚴格禁止無關人員訪問數據庫等等。對於主觀故意性質的行爲,則必須用制度約束。”中國軟件評測中心主任助理朱璇說。
據瞭解,近日在這一領域的制度建設過程中,除了河北省擬立法,我國首個個人信息保護專項國家標準亦呼之欲出。《信息安全技術:公共及商用服務信息系統個人信息保護指南》(下稱“《指南》”)預計將於今年出臺。
“《指南》出臺最重要的意義是明確了個人信息保護相關的基本概念、原則和要求。”朱璇說。對於目前仍備受爭議的“個人信息”的定義,《指南》報批稿中規定,“可爲信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。個人信息可以分爲個人敏感信息和個人一般信息。”
“通過這些信息能否識別並定位到具體個人?如果可以,就屬於個人信息的範疇。”朱璇說。
除此之外,根據信息泄露帶來的危害程度不同,《指南》進一步劃分爲個人信息和個人敏感信息。
“如果對內容敏感程度不加區分,會造成管理代價過高。在被獲取信息時,《指南》區分了‘明示同意’和‘一般同意’。前者是針對敏感信息而言;後者針對普通個人信息,只需要個人用戶默許即可收集。這亦降低了個人用戶提供信息的時間、精力成本。”工業和信息化部計算機與微電子發展研究中心副主任高熾揚說。
概念明確後,《指南》還理清了參與主體、收集週期等內容。“總體而言,我將《指南》概括爲明確並落實了‘三類人’在信息收集的‘四個階段’如何遵循‘八個原則’。”高熾揚說。
朱璇認爲,出臺《指南》的意義是給收集和使用機構提出規範要求,指導其從收集、加工、轉移到刪除各個階段如何保護個人信息。但是,《指南》中對於“泄露主體”及“信息泄露的危害程度”尚未明確定義。
“標準可以用來規範行爲,但無法代替法律的約束力。”她說,“法律的缺失不該成爲相關機構免責的藉口。‘誰收集誰保護’,收集和使用個人信息的機構必須負起責任。我們不應要求個人用戶具備完整的法律和技術知識。在這個問題上,個人用戶本來就處於弱勢。”
對於日前河北省出臺的相關草案,朱璇表示,個人信息保護工作的推廣需要政策法規的推動。“這是對違法者的警示,讓他們有所收斂。”她說,“隨着信息化的飛速發展,信息泄露已經傷害了很多消費者、用戶的利益。我們必須通過持續的制度修補,將個人信息的利用維護在合理的範圍內,而不應任其成爲黑色產業鏈上的商品。”(記者駱沙)
|
||