据媒体报道,《河北省信息化条例(草案)》已正式提交河北省人大常委会审议。针对非法获取、出售或以其他方式提供他人个人信息的公共机构,草案规定最高将处以五十万元罚款。构成犯罪的,将依法追究刑事责任。
该草案的出台之所以备受关注,源自近段时间,国内集中爆发多起个人信息泄露事件。不久前,银行内部员工泄露并出售客户信息牟利事件曝光。2011年年底,我国互联网史上最大规模的用户信息泄露事件爆发,多家社交网站几千万用户账号及密码遭到泄露……
近日,在某知名房屋中介公司登记售房信息后,业主李星的电话便一刻不得安宁。“房产交易需要提供大量个人信息,包括我的单位、住址、贷款数额等等。如果我的售房信息能够被迅速共享,那么谁能保证其他信息不会?”她说,“更蹊跷的是,房子刚一卖出,骚扰电话立刻停了。信息传播之迅速让人觉得后怕。”
“这种感觉就像是‘不知何处有一双监视的眼睛’。”她说。
有过类似经历的用户不在少数,而涉及“泄密”的行业更是涵盖了银行、房屋中介、保险、医疗、社交网站、电信等近十种。
“对于技术原因造成信息泄露,管理者可通过技术升级补救、避免,比如增加密码强度、严格禁止无关人员访问数据库等等。对于主观故意性质的行为,则必须用制度约束。”中国软件评测中心主任助理朱璇说。
据了解,近日在这一领域的制度建设过程中,除了河北省拟立法,我国首个个人信息保护专项国家标准亦呼之欲出。《信息安全技术:公共及商用服务信息系统个人信息保护指南》(下称“《指南》”)预计将于今年出台。
“《指南》出台最重要的意义是明确了个人信息保护相关的基本概念、原则和要求。”朱璇说。对于目前仍备受争议的“个人信息”的定义,《指南》报批稿中规定,“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。”
“通过这些信息能否识别并定位到具体个人?如果可以,就属于个人信息的范畴。”朱璇说。
除此之外,根据信息泄露带来的危害程度不同,《指南》进一步划分为个人信息和个人敏感信息。
“如果对内容敏感程度不加区分,会造成管理代价过高。在被获取信息时,《指南》区分了‘明示同意’和‘一般同意’。前者是针对敏感信息而言;后者针对普通个人信息,只需要个人用户默许即可收集。这亦降低了个人用户提供信息的时间、精力成本。”工业和信息化部计算机与微电子发展研究中心副主任高炽扬说。
概念明确后,《指南》还理清了参与主体、收集周期等内容。“总体而言,我将《指南》概括为明确并落实了‘三类人’在信息收集的‘四个阶段’如何遵循‘八个原则’。”高炽扬说。
朱璇认为,出台《指南》的意义是给收集和使用机构提出规范要求,指导其从收集、加工、转移到删除各个阶段如何保护个人信息。但是,《指南》中对于“泄露主体”及“信息泄露的危害程度”尚未明确定义。
“标准可以用来规范行为,但无法代替法律的约束力。”她说,“法律的缺失不该成为相关机构免责的借口。‘谁收集谁保护’,收集和使用个人信息的机构必须负起责任。我们不应要求个人用户具备完整的法律和技术知识。在这个问题上,个人用户本来就处于弱势。”
对于日前河北省出台的相关草案,朱璇表示,个人信息保护工作的推广需要政策法规的推动。“这是对违法者的警示,让他们有所收敛。”她说,“随着信息化的飞速发展,信息泄露已经伤害了很多消费者、用户的利益。我们必须通过持续的制度修补,将个人信息的利用维护在合理的范围内,而不应任其成为黑色产业链上的商品。”
相关文章: