目前,我国对于个人信息等隐私权的保护,尚没有出台专门的法律。虽然我国现有的法律法规对个人信息保护有所涉及,但这些规定零散地分布在各部法律之中,相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,因而可操作性差。
如2000年9月颁布的《电信条例》第五十八条规定电信用户的通信秘密和通信自由依法受到保护,但只是保证电信用户通信过程中的安全;2009年第十一届全国人大常委会第七次会议通过的《中华人民共和国刑法修正案(七)》将出售或者非法提供公民个人信息的行为界定为犯罪行为,随后“两高”增立了与之相关的两个新罪名―“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”,在个人信息保护立法中具有重要意义,但也仅限于出售和非法提供,对篡改并没有明文规定。此外,群众个人信息保护意识的淡薄也助长了信息被窃取的势头。人民网曾做过调查,九成调查对象的个人信息曾被泄露过,而通过投诉或诉讼获得了救济或者达到目的的更是凤毛麟角。因此,加快个人信息保护相关标准和符合性测评平台的建设已经成为当务之急。
2008年,中国软件评测中心在工业和信息化部(下称工信部)的指导下开始开展信息服务业个人信息保护规范研究工作。2008年10月,中国软件评测中心在接到任务之后,立即开展调研工作,拟定了《个人信息保护规范》及《信息服务业个人信息保护应用测评指标》,并于2009年5月27日在北京组织召开了“《个人信息保护规范》及《信息服务业应用测评指标》专家研讨会”,对两项内容进行了专家评审。
2009年9月11日至9月22日,中国软件评测中心按照《个人信息保护规范》的精神,依据其基本原则及主要内容,制定了《网站个人信息保护测评指标体系》,并根据该指标体系测评涉及的网站包括电子商务、招聘、婚恋、游戏四个类型18家网站,第一次将理论用于应用,并根据实际操作过程中遇到的实际问题对相关内容进行了完善;2010年5月11日,工信部召开了《个人信息保护规范》企业座谈会,会议结束后,对该次会议上企业提出的建议进行了总结,将《个人信息保护规范》更名为《个人信息保护指南》。
2011年1月20日,《个人信息保护指南》征求意见行业和专家座谈会的召开,标志着个人信息保护国家标准正式制定工作的展开;在2011年9月23日,召开的标准(征求意见稿)专家评审会上,讨论修改标准名称为《信息安全技术、公共及商用服务信息系统个人信息保护指南》,并同意按专家意见修改后作为国家标准的送审稿;2011年12月8日,《信息安全技术、公共及商用服务信息系统个人信息保护指南》通过全国信息安全标准化技术委员会专家表决。
2011年12月31日,在信息安全标准委员会的指导下由中国软件评测中心牵头制定的我国第一项“个人信息保护”专项国家标准――《信息安全技术、公共及商用服务信息系统个人信息保护指南》,在全国信息安全标准化技术委员会网站公示结束,通过主任办公会表决,送递国家标准化管理委员会,正式进入国家标准报批环节。
《信息安全技术、公共及商用服务信息系统个人信息保护指南》国家标准明确了信息系统个人信息保护的职责和个人信息主体的权利,提出了信息系统个人信息处理过程中个人信息保护的行为规范。该标准适用于除政府机关等行使公共管理职责的机构以外的各类组织和机构开展信息系统中的个人信息保护工作。
在个人信息保护的环节中主要有4个角色,包括个人信息的主体、信息的管理者、信息的获得者以及第三方的评价机构。
其中,个人信息的主体是指自然人,是根据个人的意愿来提供信息,发现个人信息泄漏时,有权向信息管理者提出投诉;个人信息的管理者要规范个人信息处理的流程,并且要落实责任、管控信息系统和个人信息处理过程中的风险,并且接受个人信息保护管理部门的检查和指导;个人信息的获得者是指信息的获得者,可以自己处理信息,也可以委托别人来加工处理;第三方评估机构,是指通过测试来作为管理者对个人信息保护的参考。
标准定义了个人信息保护的相关概念,明确在个人信息处理的收集、加工、转移、删除4个环节中信息主体、管理者、获得者和第三方测评机构的角色与职责,为行业开展个人信息保护工作提供了行为准则。
对信息系统个人信息处理过程各个阶段所涉及的行为提出了明确规范和要求,适用于除了政府机关等行使公共管理职能以外的各类组织和机构,特别是电信、医疗等涉及到我们个人敏感信息比较多的服务机构。
近日,中国软件评测中心针对7类行业的105家网站个人信息保护政策和千余款Android手机软件分别开展了个人信息保护相关测评工作,并基于评测结果发布了《2011年网站个人信息保护政策测评报告》和《2012年Android手机软件个人信息安全报告》。
《2011年网站个人信息保护政策测评报告》显示,被测网站整体处于“个人信息保护意识逐步提高”的阶段,大部分被测网站均制定并公开了个人信息保护相关政策,被测网站对个人信息的收集范围和方式普遍比较重视,能够在合理的范围内收集信息。
但是大部分网站在个人信息保护政策清晰度方面有待提高,没有就所收集的信息是否交与第三方给出明确说明,个人信息保护政策使用范围需进一步明确,用户并不知道信息是否限于本网站使用;网站对敏感个人信息的保护政策缺乏明确承诺;网站个人信息保护政策制定的合理性较为欠缺;个人信息转移过程中保护责任的归属不清晰,在政策监督机制方面没有引起足够的重视,大部分网站没有相关的监督组织,监督机制需要进一步规范。
在所有的七类被测网站中,游戏网站的行业平均得分最高,为70.74分,其次是电子商务、论坛博客、保险网站、婚恋网站和招聘网站,银行网站的行业平均得分最低。
《2012年Android手机软件个人信息安全报告》主要针对当前手机网民数量剧增、移动互联网业务日益丰富、手机软件市场成为争夺角点的背景下进行展开测评的。从测试结果看,在参测的八家电子市场中均发现有部分软件存在个人信息泄露行为,这说明在当前的Android电子市场的手机软件个人信息泄露行为较为常见。
在所有泄露的个人信息类型中,IMEI号(国际移动设备身份码)泄露情况最为严重,手机号码次之,其他依次为地理位置和SIM卡序列号,说明IMEI号和手机号码是“个人信息获取方”所关注的主要内容。而且还发现存在不同电子市场中的同一软件向同一IP地址发送个人信息的现象,这说明个人信息泄露行为在一定程度上与软件开发方相关。
从两份测评报告看,虽然我国的个人信息保护工作已经取得了长足的进步,但是个人信息保护工作起步晚,整体层次偏低;长期缺乏相关立法、标准和规范,个人信息无明确权威界定,且保护力度未区分;企业出于利益考虑重视个人信息保护,但仍不够规范;企业与公众诉求不统一,公众对个人信息掌控能力弱。因此个人信息保护工作不容乐观,任重而道远。
(作者为中国软件评测中心常务副主任、北京赛迪信息技术评测有限公司总裁)
未来还应该建设信息系统个人信息保护测评公共服务平台,帮助企业提升个人信息保护水平,另外还要建立个人信息安全事件的发布的通告和实时响应的平台。
目前,我国的个人信息保护还处于初级阶段,应该进一步加快建立并完善个人信息保护标准体系,包括技术类、管理类、应用类和基础类四类共十一项标准。