个人信息保护需要指导性标准_访中国软件评测中心副主任高炽扬_李杰
个人信息保护标准
个人信息保护标准在当今信息化社会,个人信息的保护越来越受到重视。
随着互联网的快速发展,个人信息泄露的风险也在不断增加。
因此,建立和完善个人信息保护标准显得尤为重要。
首先,个人信息保护标准应当包括个人信息的收集和使用。
在收集个人信息时,必须经过信息主体的明示同意,并且明确告知信息的收集目的、范围和方式。
在使用个人信息时,应当严格按照法律法规的规定进行,并且不得超出事先约定的范围。
同时,个人信息的使用应当遵循合法、正当、必要的原则,不得违反信息主体的意愿和利益。
其次,个人信息保护标准还应包括个人信息的存储和保护。
个人信息的存储应当采取合理、必要的措施,确保信息的安全性和完整性。
对于敏感个人信息,更应当加强安全防护,采取加密、隔离等措施,防止信息泄露和滥用。
此外,个人信息的保护还需要建立健全的信息安全管理制度,明确责任部门和责任人,加强对信息安全的监督和检查。
此外,个人信息保护标准还应包括个人信息的共享和传输。
在个人信息共享时,应当明确共享的目的、范围和方式,并且获得信息主体的明示同意。
在个人信息传输时,应当采取安全可靠的传输通道,确保信息在传输过程中不被窃取或篡改。
同时,个人信息的接收方也应当具备相应的信息安全保护能力,确保信息在接收后得到妥善保护。
最后,个人信息保护标准还应包括个人信息的销毁和处理。
在个人信息不再需要时,应当及时进行销毁或者匿名化处理,确保信息不再被他人获取和利用。
对于违法、违规获取的个人信息,应当立即停止使用,并且报告有关部门进行处理。
总之,个人信息保护标准是保障个人信息安全的重要手段,对于企业和组织来说,建立健全的个人信息保护制度,加强信息安全管理,不仅是法律法规的要求,也是企业社会责任的体现。
只有做好个人信息保护工作,才能更好地保护信息主体的合法权益,促进信息化社会的健康发展。
个人信息安全行为规范2024-2025学年高二上学期高中信息技术必修2第4章人教中图版(2019)
实践活动二: 制订班级网络交流群的群规
为了方便学习和交流,赵宇的班级也建立了网络交流群。可是 ,经常有同学在交流群里毫无目的地聊天,在浪费自己时间的同时 ,也扰乱了大家的学习和生活。和小组成员进行交流,为自己班级 的网络交流群制订群规。
03 发布和转发信息
情境5:
转发信息勿随意一天放学后,晓君和同学过马路时看到红灯亮 了,于是停下了脚步。这时,斑马线中间,一位老人拄着拐杖正缓 慢地过马路,周围还有好几个同校的学生。同学以为他们在闯红灯, 想拍下来进行曝光。晓君发现,这些同学是故意放慢脚步的,目的 是为了提醒车辆等候老人过马路。他们都被这一幕感动了,立刻拿 手机拍下了这个场面。
网上交流要做到:
1、网上交流需使用文明语言。 2、网络语言要根据场合谨慎使用,网络交 流中,要少用、不用网络语言,多使用文明规范 词语,对于书面正式文件应该使用规范语言文字。
书写邮件要做到:
1、邮件内容简洁、主题明确。
2、书写邮件,要写清楚邮件主题,便于收 件人识别。
3、定期查看邮箱,收到邮件,及时回复。
晓君回家后把照片发到了学校群里,并配有 文字描述。同学们都被这则消息感动了!
发布和转发信息要做到
1、发布和转发信息时,要遵守网络文明礼仪、道德准则以及国 家的法律法规,保证内容的真实性,不能随意发布和转发虚假信息, 坚决不造谣、不传谣,为营造一个充满正能量的网络空间贡献力量。
2、发布和转发正面、积极和有利于学习的信息, 宣传善良、美好、正义的信息。不发布和转发违背道 德、违反法律的以及广告类和哗众取宠类信息。
5.其他途径有(
)。
02 交流和表达信息
情境4:
互联网个人信息安全保护指南
GB/T 25069—2010 信息安全技术 术语 GB/T 35273—2017 信息安全技术 个人信息安全规范 GB/T 22239 信息全等级保护基本要求)
轨迹、住宿信息、健康生理信息、交易信息等。 3.2
个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义 3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5
互联网个人信息安全保护指南
目次
目 次 ...........................................................................II 引 言 ..........................................................................III 1 范围 ..............................................................................1 2 规范性引用文件.....................................................................1 3 术语和定义 ........................................................................1 4 管理机制 ..........................................................................2
26164867_《个人信息保护法》视角下精准推送的风险及应对
《个人信息保护法》视角下精准推送的事实风险精准推送在移动互联网时代如影随形在个人信息保护法时代,互联网用户每天都会收到一些推送广告或者其他推送信息,大多数用户都发现这些推送信息的内容或多或少都与自己相关,例如搜索过某样商品之后不久就收到了同款商品的广告。
精准推送因跟个人兴趣、社交关系等关联度较高,确实可以在很大程度上提高效率,节约用户对信息进行筛选的时间。
然而,很多用户觉得在这一过程中自己的信息安全没有得到保障,个人信息和隐私在无形中遭到侵犯。
2021年8月20日通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第4条对个人信息及个人信息的处理作出明确的定义,该法第24条对使用自动化决策进行处理的行为进行严格规制。
随着互联网领域的发展,人们日常生活几乎已经无法脱离互联网,大数据精准推送这一概念随着互联网技术的发展应运而生。
精准推送是指互联网中的平台运营者对其所收集的用户的信息,例如通讯录、搜索记录、浏览记录、聊天记录等信息进行处理后,再向用户推送可能感兴趣的商品、广告、视频等,或者推送可能认识的人,即针对特定的人推送特定的信息。
用户难以有效拒绝精准推送精准推送的过程大致分为三个阶段:收集用户信息,分析信息数据,根据用户画像推送信息。
这一过程主要涉及《个人信息保护法》中个人信息处理规则,从《个人信息保护法》角度来分析其中可能存在的法律问题,主要存在于是否获得有效同意以及特别规定的需要取得单独同意或书面同意。
实践中,获得用户同意的告知书内容往往繁杂,用户基本没有耐心将全部内容都读完就选择了同意,这种同意是否有效决定了处理者是否有权进行处理的行为。
自动化决策的问题主要集中在其透明度上:大多数自动化决策都是“悄悄地”进行,既没有告知,也没有给予用户拒绝或选择的权利。
精准推送的社会关注度日益提高近年来,由精准推送引起的案件纠纷时有发生,如凌某某诉北京微播视界科技有限《个人信息保护法》视角下精准推送的风险及应对数字经济时代,作为多数企业都在使用的精准推送技术,渗透至社会生活各个方面,在满足用户的多元需求的同时也推动了数字经济的发展。
网络安全法中的个人信息保护与敏感信息标准
网络安全法中的个人信息保护与敏感信息标准随着互联网的飞速发展,个人信息保护成为了一个备受关注的话题。
为了规范网络空间中的个人信息的收集、使用和保护,我国于2017年6月1日正式实施了《中华人民共和国网络安全法》。
该法律对于个人信息保护提出了一系列要求,并明确了敏感信息的标准。
本文将从个人信息保护和敏感信息标准两个方面进行探讨。
首先,网络安全法对于个人信息保护提出了明确要求。
根据该法,个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份的各种信息。
法律规定了个人信息的收集、使用和保护原则,要求个人信息的收集必须经过被收集个人的同意,并且要告知被收集个人的信息收集目的、方式和范围。
同时,个人信息的使用必须遵循合法、正当和必要的原则,不得超出与收集目的相关的范围。
个人信息的保护要求网络运营者采取技术措施和其他必要措施,保障个人信息的安全。
其次,网络安全法对于敏感信息的标准也进行了明确规定。
敏感信息是指个人信息中可能导致个人安全和财产安全丧失或者个人声誉、身份特征等重大影响的信息。
法律规定了一些具体的敏感信息类别,如个人身份证件号码、个人生物识别信息、个人财产信息等。
对于收集、使用和保护敏感信息,网络运营者需要获得被收集个人的明示同意,并且要采取额外的安全保护措施。
此外,网络运营者还需要明确敏感信息的存储期限,并且在存储期满后及时删除或匿名化处理。
个人信息保护和敏感信息标准的出台,对于保护个人隐私权和维护网络安全具有重要意义。
首先,个人信息的保护可以有效防止个人信息被滥用。
在互联网时代,个人信息的泄露和滥用已经成为了一个普遍存在的问题。
通过规范个人信息的收集和使用,网络安全法可以有效减少个人信息被滥用的风险,保护个人的隐私权。
其次,敏感信息的标准可以有效防止个人信息被滥用。
敏感信息往往具有较高的风险,一旦被不法分子获取,可能导致个人安全和财产安全的丧失。
网络安全法对敏感信息的特殊保护要求,可以有效降低敏感信息被滥用的风险,提高网络安全水平。
信息安全技术个人信息保护指南
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念,而个人敏感信息就涉及个人隐私。
《信息安全技术个人信息保护指南》本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。
本指南主要起草人:高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。
伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。
与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。
合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用, 指导和规范利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南1范围本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。
法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义下列术语和定义适用于本指南。
2.1个人信息personal in formatio n能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
2.2个人信息主体subject of personal information个人信息指向的自然人。
2.3个人信息管理者adm ini strator of personal in formatio n对个人信息具有实际管理权的自然人或法人。
个人信息保护措施实施指南
个人信息保护措施实施指南第一章总则 (3)1.1 制定目的与依据 (3)1.2 适用范围 (4)1.3 保护原则 (4)3.1 合法、正当、必要原则 (4)3.2 明确目的、限定范围原则 (4)3.3 最小化处理原则 (4)3.4 信息安全原则 (4)3.5 权利保障原则 (4)3.6 责任自负原则 (4)3.7 教育培训原则 (4)第二章个人信息保护政策 (4)2.1 政策制定 (4)2.1.1 制定原则 (4)2.1.2 制定流程 (5)2.2 政策宣传与培训 (5)2.2.1 宣传方式 (5)2.2.2 培训对象与内容 (5)2.2.3 培训方式 (5)2.3 政策修订与更新 (6)2.3.1 修订时机 (6)2.3.2 修订流程 (6)第三章个人信息收集与处理 (6)3.1 信息收集原则 (6)3.2 信息收集程序 (6)3.3 信息处理与存储 (7)第四章个人信息安全防护 (7)4.1 安全防护措施 (7)4.1.1 物理安全 (7)4.1.2 技术安全 (8)4.1.3 管理安全 (8)4.2 安全事件应对 (8)4.2.1 安全事件分类 (8)4.2.2 安全事件应对流程 (8)4.3 安全审计与评估 (8)4.3.1 安全审计 (8)4.3.2 安全评估 (9)第五章个人信息权限管理 (9)5.1 权限分配原则 (9)5.2 权限管理流程 (9)5.3 权限撤销与恢复 (10)第六章个人信息共享与传输 (10)6.1 共享与传输原则 (10)6.1.1 遵守法律法规 (10)6.1.2 最小化共享与传输 (10)6.1.3 明确共享与传输目的 (10)6.1.4 保证数据质量 (10)6.2 共享与传输程序 (11)6.2.1 共享与传输申请 (11)6.2.2 审批与审核 (11)6.2.3 签订共享与传输协议 (11)6.2.4 共享与传输实施 (11)6.3 共享与传输安全管理 (11)6.3.1 数据加密 (11)6.3.2 身份验证与授权 (11)6.3.3 数据访问控制 (11)6.3.4 数据审计与监控 (11)6.3.5 应急响应与处理 (11)第七章个人信息查询与更正 (12)7.1 查询与更正原则 (12)7.1.1 合法、正当、必要原则 (12)7.1.2 最小化处理原则 (12)7.1.3 信息安全原则 (12)7.2 查询与更正程序 (12)7.2.1 查询申请 (12)7.2.2 查询审核 (12)7.2.3 查询操作 (12)7.2.4 更正申请 (12)7.2.5 更正审核 (12)7.2.6 更正操作 (12)7.3 查询与更正记录 (13)7.3.1 记录内容 (13)7.3.2 记录保管 (13)7.3.3 记录查阅 (13)7.3.4 记录保存期限 (13)第八章个人信息删除与销毁 (13)8.1 删除与销毁原则 (13)8.1.1 遵循法律法规 (13)8.1.2 最小化处理 (13)8.1.3 明确责任 (13)8.1.4 安全可靠 (13)8.2 删除与销毁程序 (13)8.2.1 识别需要删除与销毁的个人信息 (13)8.2.2 审批流程 (14)8.2.3 执行删除与销毁操作 (14)8.2.4 验证删除与销毁结果 (14)8.2.5 备份与恢复 (14)8.3 删除与销毁记录 (14)8.3.1 建立记录制度 (14)8.3.2 记录保存 (14)8.3.3 定期审查 (14)8.3.4 异常处理 (14)第九章法律责任与纠纷处理 (14)9.1 法律责任界定 (14)9.1.1 违反个人信息保护措施的法律责任 (14)9.1.2 法律责任的具体规定 (15)9.2 纠纷处理程序 (15)9.2.1 纠纷报告 (15)9.2.2 调查与处理 (15)9.2.3 处理结果公示 (15)9.3 纠纷调解与仲裁 (15)9.3.1 调解 (15)9.3.2 仲裁 (15)9.3.3 诉讼 (16)第十章个人信息保护持续改进 (16)10.1 保护措施评估 (16)10.1.1 评估目的 (16)10.1.2 评估内容 (16)10.1.3 评估方法 (16)10.2 改进措施实施 (16)10.2.1 改进计划制定 (16)10.2.2 改进措施实施 (16)10.2.3 改进措施跟踪 (17)10.3 改进效果评价 (17)10.3.1 评价内容 (17)10.3.2 评价方法 (17)10.3.3 评价周期 (17)第一章总则1.1 制定目的与依据为了加强个人信息保护,维护个人信息安全,保障公民个人信息权益,依据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,制定本指南。
个人信息保护影响评估报告的法律法规要求及遵循指南
个人信息保护影响评估报告的法律法规要求及遵循指南概述:个人信息保护在现代社会中变得越来越重要,特别是随着数字技术的快速发展。
为了确保个人信息的安全和隐私,越来越多的组织开始进行个人信息保护影响评估(PIA)。
本文将介绍个人信息保护影响评估报告所需的法律法规要求,并提供遵循指南,以确保合规性。
1. 法律法规要求:个人信息保护影响评估报告必须符合一系列的法律法规要求,以保障个人信息的隐私和安全。
以下是几个重要的法律法规:(a)欧洲通用数据保护条例(GDPR):该法规于2018年5月25日生效,适用于涉及欧盟居民个人信息的任何组织。
GDPR要求组织进行PIA,以确保合规性并保护个人信息的隐私权。
(b)加拿大个人信息保护和电子文件法(PIPEDA):该法规适用于私营部门对个人信息的收集、使用和披露。
根据PIPEDA,组织也需要进行PIA,并确保采取合适的保护措施来保护个人信息。
(c)美国加州消费者隐私法(CCPA):该法规于2020年1月1日生效,适用于对加州居民个人信息进行商业目的的组织。
根据CCPA,组织需要对个人信息进行评估和保护,并提供详细信息和选择权给消费者。
此外,还有其他国家和地区的个人信息保护法规,如澳大利亚《隐私法》、日本《个人信息保护法》等。
具体的法律法规要求会因地区而异,组织需要根据所在地的法律法规进行自查。
2. 遵循指南:为了确保个人信息保护影响评估报告的合规性,以下是一些遵循指南:(a)明确目标和范围:评估报告应明确确定评估的目标和范围。
这涉及确定评估的目的、涉及的个人信息的种类和敏感程度以及评估所覆盖的系统、流程和措施。
(b)风险和影响评估:报告应包括风险和影响评估,以识别和评估潜在的威胁和风险,并确定这些威胁和风险对个人信息的影响程度。
(c)保护和控制措施:报告应详细描述组织采取的保护和控制措施,以确保个人信息的安全和隐私。
这可以包括技术措施(如加密)、组织措施(如培训和政策)以及物理措施(如安全设施)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
□个人信息保护需要指导性标准。为加强对个人信息的保护,近日,《信息安全技术、公共及 商用服务信息系统个人信息保护指南》已经正式通过评审,引起社会广泛关注。为深入了解《指 南》出台的有关情况,本刊记者对主要起草人之一 ——中国软件评测中心副主任、北京赛迪信息技 术评测有限公司执行总裁高炽扬进行了专访,敬请关注。
信息安全 2012年第4期 bmgz@
个人信息保护需要指导性标准
——访中国软件评测中心副主任高炽扬
□本刊记者 李 杰
最近,《信息安全技术、 公共及商用服务信息系统个人 信息保护指南》(以下简称《指 南》)已经正式通过评审,正报 批国家标准。为深入了解《指 南》制定的有关情况,本刊记 者对《指南》的主要起草人之 一 —— 中 国 软 件 评 测 中 心 副 主 任、北京赛迪信息技术评测有限 公司执行总裁高炽扬进行了专 访。
中国互联网用户开始非常重视个人信息安全,但多数人并未使用全面的安全解决方案来保护自 己。随着中国用户使用越来越多的上网设备,人们更需要强大、全面的安全解决方案来保护存储在 PC、Mac、平板电脑、智能手机等各种上网设备中的重要信息。
——赛门铁克诺顿公司4月中旬发布报告,分析中国网民对个人信息安全的认知水平,该公司中 国区消费产品事业部总经理白帆接受采访时说
·信息安全小百科
密码防盗指南
□郭少峰 吴 鹏
1.有足够的安全意识,避免在社会层面受到密码诈骗。 2.不同安全等级的网站设不同强度的密码。对于网银等和 个人利益直接相关的网站,一定要设置超强的密码。 3.测试网站密码的安全性,在注册一个网站时,如果你输 入密码“123456”也能通过,这个网站肯定不安全。同样,对密 码长度没有要求,不能使用特殊字符或者无法区分大小写网站的 安全性能也不高。 4.减少使用常用的个人信息,尽量不用自己的生日作为密 码。尽量使用和自己个人信息不相关或者距离远的信息。 5.利用经典密码学,设置自己的加密“函数”或规律。 比如,你可以选取“不管三七二十一”,抽出其中的数字 “3721”,对个别数字进行替换或移位,把“7”变成英文字母 中的“L”,把“1”变成英文字母“i”,变成“3L2i”,这样, 密码就稍微复杂一点。 6.多组合密码。搭配各类数字、字母、大小写、特殊符号 的组合,比如一个10位长的随机密码,由于常用键一共有95个, 因此一共会有(95的10次方)种组合,较难在短时间内被“暴 力”破解。你可以把“3L2i”加上符号变成“3#L*2i#”。 7.在你的密码“3#L*2i#”和另一个人的密码“123456” 之间,黑客肯定首先盗取后者的密码,一旦一个网站的密码发生 泄露,你可以比有简单密码的后者拥有更多的时间进行密码修 改。 8.最后,隔一段时间,换一下自己的密码,总能让密码更 安全的。
1
规定,信息获得者在完成加工任 务后,必须将信息内容全部、彻 底删除,只将处理的结果交给信 息管理者。
三是明确了个人信息处理 的生命周期,即把信息系统中个 人信息处理过程划分为收集、加 工、转移、删除四个主要环节, 并对各个环节提出明确要求。需 要强调的是,随着社会化分工, 数据处理需要委托有关机构进 行,也就是我们讲的外包,这是 必要的。但是作为个人信息管理 者,在委托给别人加工的时候, 有没有考虑过那家企业能不能同 样保护用户信息?有没有严格的 管理措施和技术手段?对此, 《指南》提出了明确要求。
记者:《指南》的制定引发 社会广泛关注,请您介绍一下有 关背景。
高炽扬:随着信息技术的 广泛应用和互联网的不断普及, 个人信息在社会、经济活动中的 地位日益凸显。与此同时,滥用 个人信息的现象随之出现。近年 来,个人信息泄露事件频发,并 愈演愈烈。2011年底,中国互联 网更是遭遇了史上最大规模的用 户信息泄露事件,多家大型网站 的用户数据被泄露,几千万用户 账号和密码被公开,给社会秩序 和人民切身利益造成严重危害, 引起社会各界广泛关注。也就是
在这一年,党的十七届六中全会 明确提出:“加大网上个人信息 保护力度,建立网络安全评估机 制,维护公共利益和国家信息安 全。”因此,从宏观层面上看, 加强互联网个人信息保护工作势 在必行。
从微观层面上看,除少数恶 意滥用个人信息的企业外,不少 企业想要保护用户个人信息,却 不知道该如何去做。工信部科学 技术情报研究所调查发现,大部 分企业已采取不同程度保护用户 个人信息的措施,却很难保证落 实。据估计,70%~80%涉及个 人信息泄露的企业,都是管理制 度疏漏,“内部员工作案”。就 个人而言,甚至还有不少人对个 人信息缺乏相应的保护意识,认 为个人信息泄露无关紧要。制定 《指南》的目的就是要提高个人 信息保护意识,促进个人信息的 合理利用,指导和规范信息系统 处理个人信息活动,从而推动我 国信息服务业个人信息保护体系 的建立。简单地说,就是指导个 人、企业、政府及其他第三方力
另外,目前《指南》引起社 会广泛关注,再加上我们的前期 调研,这都为个人信息保护立法 在技术上做了非常好的铺垫,起 到了很好的推进作用。《指南》 只是第一步,接下来,针对各行 业各领域的特点,还将制定一系 列的标准。在后续工作中,根据 这些标准,希望相关部门以下发 相关文件的形式,推动各地区各 部门及行业协会进行落实,使 《指南》发挥更大的作用。
需要bmgz@
护非常需要法律的保驾护航。据 统计,目前有近40部法律、30余 部法规,以及近200部规章涉及个 人信息保护,其中大多数法律法 规都是孤立、零散的。对此,我 个人非常赞同推进制定一个整体 性法律,当然,法律的制定不可 能一蹴而就。但是,法律不能代 替《指南》,正如《指南》不能 代替法律一样。因为,通俗讲, 法律是管人的,而《指南》是管 信息系统的;法律关注的是事后 的惩罚,而《指南》关注的是事 先怎么做,所以说,保护个人信 息既需要强制性法律,也需要指 导性标准,二者相互配合、相互 补充,才能发挥好各自作用,切 实保护好个人信息。
bmgz@ 2012年第4期 信息安全
业进行了大量调研,深入研究了 国外有关个人信息保护的法律法 规以及国内个人信息保护的现状 和突出问题,在此基础上,形成 《指南》征求意见稿。此后,又 广泛征求了行业协会、互联网企 业、法律专家和社会公众的意见 建议,经3次评审,数易其稿,最 终形成《指南》报批稿。现已报 送国家标准化管理委员会,进入 审批程序。
54
本期 导读
BENQIDAODU
bmgz@ 2012年第4期
□纪念保密法修订公布两周年。保密法修订公布两年来,贯彻实施工作取得显著成绩,在确保 国家秘密安全和便利信息资源合理利用方面发挥了积极作用,定密解密、计算机网络保密管理、保 密检查、泄密案件查处、保密法制理论研究等取得重要进展。本刊特约请国家保密局负责人、有关部 门和专家,就保密法的贯彻实施等情况进行全面介绍和深度评析,以此纪念保密法修订公布两周年。
上,这个事情跟吃碗面条有关系 吗?是不是就成为一个笑话呢?
记者:有评论指出《指南》 不具有强制性,作用有限,您怎 么看?
高炽扬:从我们国家的标准 来说,实际上有两个大的分类。 第一类是强制性标准,第二类是 非强制的,又分为推荐标准和指 导性技术文件。《指南》属于指 导性技术文件。
为什么《指南》是非强制 性的?我们从三个方面来分析。 第一看个人,很多人对保护个人 信息的诉求不明确,甚至不知道 要保护自己的信息,觉得这件事 无所谓,别人拿走就拿走了,对 自己可能没有危害。第二看企 业,一方面我们看到确实有一些 企业存在恶意收集和滥用信息的 现象,另一方面我们也看到,很 多企业实际上是希望保护好用户 信息的,但是由于管理的疏漏、 技术手段的缺失,造成了一些内 部员工不当地接触和使用。第三 看政府主管机关,它非常希望了 解行业的态势,也希望有很好的 技术性手段来进行这种监管,但 是缺乏一个指标性体系。通过这 些诉求来看,需要制定一个信息 保护标准,但这个标准不一定是 强制性的。从我国技术标准的特 点来看,应该说强制性标准是非 常少的,因为就技术角度而言, 不同行业、不同群体,诉求可能 不一样,所需要遵循的标准也不 同。如果强行推出一个强制性标 准,未必有好的效果,反而是非 强制的指导性文件在实施中才可 能执行得比较好。
□全国启动“系统建设年”活动。遵照中央领导同志重要指示精神,为贯彻落实《“十二五” 时期全国保密事业发展规划》和《中共中央保密委员会2012年工作要点》部署要求,全面加强全国 保密系统思想理论建设、机构队伍建设、工作制度建设和基础设施建设,提高全系统保密工作整体 水平,中央保密办、国家保密局在全国保密系统全面启动“系统建设年”活动,相关工作正在积极 推进中。本刊将跟踪活动进展情况,持续深入报道。
记者:《指南》有哪些突出 亮点?
高炽扬:有四个突出亮点。 一是将个人信息分为两类:一般 个人信息和敏感个人信息。其 中,敏感个人信息的具体内容根 据接收服务的个人信息主体意愿 和各自业务特点确定,主要包括 身份证号码、手机号码、种族、 政治观点、宗教信仰、基因、指 纹等,一旦泄露或修改会对个人 信息主体造成不良影响;除此之 外是一般个人信息,它们大多带 有广而告之的性质。若不区分这 一点,个人信息的保护成本就太 高了。如何界定哪些是敏感信 息、怎样保护敏感信息,这对日 后的立法工作十分重要。
声音
SHENGYIN
最近几年,在国家选拔人才的各种考试中,除考研外,英语专业八级,英语四、六级,司法考 试,公务员考试,注册会计师考试等都出现过泄题事件,至今仍未根治……如果不警惕这种渐呈产业 链化的教育犯罪,当泄题成为考试的常态,社会信任最底线的基础便荡然无存。
——2012年第8期《南风窗》评点各类“国考”泄题事件
四是提出八个基本原则,即 目的明确原则、最少够用原则、 公开告知原则、个人同意原则、 质量保证原则、安全保障原则、 诚信履行原则、责任明确原则。 关于最少够用原则,我经常讲的 一个例子,就是马季先生在一个 相声里谈到,一个人在饭店里吃 碗面条,需要填一个登记表,表 上有家庭住址、财务信息、婚姻 状况,连睡觉打不打呼噜都要写
二是明确四类角色及职责, 即进一步明确了个人信息主体的 权利,细化了个人信息管理者的 责任,强化了个人信息获得者的 删除义务,突出了第三方测评机 构对个人信息管理者进行评价、 监督和指导的基础性作用。比如 关于删除义务的规定,由于很多 信息管理者自身并没有处理信息 的能力,所以会委托一些公司进 行相应的整理,这在电子商务领 域十分常见。所以《指南》特别