关于个人信息保护的问题业界谈论了很多年,个人隐私受到侵犯的事例比比皆是,个人信息保护法迟迟无法出台。近日,中国软件评测中心对外公布了即将出台的首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称“指南”)。工业和信息化部信息安全协调司副司长欧阳武表示,该指南为企业处理个人信息制定了行为准则,为行业开展自律工作提供了很好的参考。中国软件评测中心常务副主任黄子河认为,该指南将有助于今后的个人信息保护有关立法工作的推进。
手机、网络个人信息泄露严重
随着智能手机的普及,手机终端软件引起的个人信息泄露事件频频发生。
手机是个人信息非常集中的场所。随着智能手机的普及,手机终端软件引起的个人信息泄露事件频频发生。从2011年11月~2012年1月,中国软件评测中心针对Android系统的手机进行了评测。他们在近日于北京举行的“2012中国个人信息保护大会”上发布了《 2012年Android手机软件个人信息安全报告》,结果显示,有500多款软件存在IMEI号泄露,200多款存在个人手机号码泄露,近80款存在个人地理位置信息泄露行为。中国软件评测中心副主任刘法旺认为,Android电子市场中的手机软件,个人信息泄露行为较为常见。
刘法旺说,从所有泄露的个人信息类型推断,IMEI号和手机号码是个人信息获取方所关注的主要内容。他还透露,不同电子市场中的同一软件向同一 IP地址发送个人信息,说明个人信息泄露行为在一定程度上与软件开发方相关。而且,在发生泄露行为的软件中,大多数软件在对外发送个人信息时,并没有给用户相应提示。
Android恶意软件产生的个人信息泄露问题最为严重。北京大学互联网安全技术北京市重点实验室高级工程师龚晓锐举例说,手机用户从网上下载一款游戏软件,在没有接入网络的情况下玩游戏时,发现游戏同时向某IP地址发送个人信息,个人信息泄露的问题非常严重。“实际上这是免费模式带来的问题,即开发者赢利模式间接化。”他说,“存在买卖个人信息的地下市场。”
那么,互联网上的个人信息保护情况如何呢?中国软件评测中心在同一时间,选择了电子商务类、招聘类、婚恋类、游戏类、银行类、保险类、论坛博客类共105家代表性网站,依据指南编写了网站个人信息保护政策测评指标体系,对它们的个人信息保护情况进行测评。
在其发布的《2012年网站个人信息保护政策评测报告》中,我们看到,如果以100分为满分,电商、游戏类网站综合指标在80分以上,其次是博客类、保险类网站,在70~80分之间,招聘类在60分左右水平,银行类则最低,在40分左右,因此,最近频频曝光银行泄露个人信息的消息也就不足为奇了。
中国软件评测中心副主任、赛迪评测执行总裁高炽扬表示,测评结果说明网站对敏感个人信息保护政策缺乏明确承诺,个人信息保护政策制定的合理性较为欠缺,个人信息保护转移过程中保护责任的归属不清晰。
标准指南分级保护隐私
因为企业没有参照的依据,所以保护个人信息首先就存在对象模糊的问题。
个人信息保护需要分级、分类进行保护,明确个人信息的定义。
企业对于个人信息保护方面也存在很多困惑。据了解,由于法律、规章、标准没有明确个人信息的定义,什么应该保护以及保护到何种程度没有明确规定,企业没有参照的依据,因此,对于企业来说,如何保护个人信息首先就存在一个对象模糊的问题。
据欧阳武介绍,目前我国现有40部法律、30部法规、200部规章,对个人信息只给出了一个基本定义。因此,“我们委托下属单位开展了个人信息保护现状的深入调研,受访的多家企业都提出对信息保护提出了分级和分类的建议。”他透露。
在工业和信息化部信息安全协调司的指导下,中国软件评测中心牵头,联合近30家单位,以及多位专家学者共同参与编写了《信息安全技术公共及商用服务信息系统个人信息保护指南》。据记者了解,该指南已经通过评审,正报批国家标准,“虽然文号还在等待,但是我想文件的发布应该指日可待。”黄子河表示。
据黄子河介绍,指南共分为4个部分,首先,明确了个人信息保护的术语和定义;其次,明确了个人信息保护定义的角色和职责,例如管理者的职责;再次,提出了信息系统个人保护过程的8个基本原则;最后,对个人信息的加工、转移、收集等过程进行规范。“除政府机关等行使公共管理职责的机构外,标准指南适用于指导各类组织和机构,如电信、金融、医疗等领域的服务机构。”
对于这个指南的科学性,360公司首席隐私官谭晓生认为,中国现在互联网的个人信息保护状况还处于初级阶段,立法还不完备,中国软件评测中心做的个人信息保护的规范标准非常有意义。
测评体系加强行业自律
重点推进立法、加强行业自律和开展第三方测评,加强个人信息保护工作。
对于个人信息保护工作,工业和信息化部有着整体构思。欧阳武透露,工业和信息化部将从3个方面入手,重点推进立法、加强行业自律和开展第三方测评。标准指南是行业自律的推手,“今后我们还将在标准的基础、管理、技术、评测等方面,制定相关规范,形成个人信息保护的系列标准体系。”他说。
第三方测评则是个人信息保护国家标准还没有正式出台前的预演。据了解,在国家标准未正式出台前,企业个人信息保护政策的相关措施缺乏统计,没有客观评价,网民对相关的措施和安全管理工作缺乏认知,“根据标准的内容制定测评指标体系,建立第三方测评评估机制,不仅能为行业自律提供所得,而且对提高全社会的个人信息保护有推动作用。”欧阳武说。
黄子河告诉记者:“目前的个人信息保护标准还需要完善体系框架,包括基础类、技术类、管理类和应用类共4类11项标准,中国软件评测中心将建设个人信息保护公共服务平台,通过测评、实施监测和统计安全数据和事件,帮助企业提升个人信息保护水平。”他还透露,中国软件评测中心将在国家标准的基础上,每年定期开展网站及信息系统个人信息保护测评工作,给各级行业主管部门提供详实可靠的数据结果,以促进个人信息保护立法进程。
