网络快报

如何织就一张个人信息保护网

                                                                                   2013-02-0811:03                                    中国信息产业网官方微博

刘长安 顾舟峰

    我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》2月1日起实施。《指南》的实施标志着我国将告别针对个人信息处理行为“无标可依”的历史,使公民对个人信息保护的诉求得到有效解决。放眼全球,随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。频频发生的公民个人信息泄露事件给人们的生活造成诸多困扰,各国政府都在积极探索保护公民个人信息安全的有效机制,主要国家和地区及机构在法律法规、管理政策、技术措施、建设手段、资金和人员投入方面开展了大量的工作,取得一些宝贵经验,值得我国借鉴学习。

    加强立法和标准制订,设立相关监管机构

    目前,世界上已经有70多个国家和组织制定了个人信息保护相关法律法规。美国通过了一批保护个人信息的法律,如《隐私权法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》、《反网络欺诈法》和《社会安全号码保护法》;欧盟先后制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于个人数据自动化处理之个人保护公约》和《关于保护自动化处理过程中个人数据的条例》;英国制定了《数据保护法》;德国制定了《联邦数据保护法》;加拿大制定了《隐私保护法》和《个人信息保护及电子文档法案》;日本制定了《个人信息保护法》。此外,国际行业组织和不少企业也纷纷针对个人信息保护出台了相应的方案。

    国际标准化组织(ISO)

    2012年10月,国际标准化组织(ISO)发布了一份网络安全的新标准,即ISO/IEC 27032“网络安全指南”,旨在确保网络交易和个人信息在网上传输的安全性,内容涵盖电子商务、网上银行、虚拟病历、远程办公应用等。新标准内容包括信息安全、网络安全、互联网安全、关键信息基础设施保护(CIIP)4个部分。具体来说,新标准为网络和网页通信相关的信息共享、协调和事故处理提供了一个框架,便于各方在个人隐私保护方面开展安全合作。

    欧盟

    2009年6月,欧盟隐私监管机构制定了《社交网络用户隐私保护指导规则》,确保社交网站遵循欧盟的隐私保护法,以消除用户对个人隐私信息安全性的担忧。指导规则阐述了欧盟隐私保护法如何适用于社交网站,如社交网站应该提高默认安全设置的等级,并允许用户限制向第三方团体暴露数据;在用户删除了自己的账号后,网络运营者不能保留其个人信息,而且运营者应该删除长期处于未激活状态的账号等。

    2010年11月,针对欧洲用户在欧盟范围内访问包括谷歌和脸谱网等网站时分享个人信息数据的做法,欧盟推出《欧盟范围内个人信息数据全面保护实施办法》。该《实施办法》赋予用户告知网站必须永久删除其注册的个人信息的权利,并且规定公司在以任何形式使用用户信息或对用户的个人信息进行编辑前必须获得用户的明确授权。

    2012年1月,欧盟公布对1995年出台的《欧盟数据保护法》的修改建议。根据修订提议,那些违反该法律的企业将面临最多相当于其全球营业额5%的罚款。

    2012年4月,欧盟委员会启动欧盟新刑事司法计划,即“斯德哥尔摩计划”。该计划将在2010年~2014年期间进行落实,届时将制定强有力的数据信息保护条例,也将加大对“身份盗窃”罪的惩罚力度。同时,欧盟委员会将对“身份盗窃”进行研究,并首次针对该罪名进行定义和定罪。根据“斯德哥尔摩计划”的要求,2012年之前应制定相关新法律。该计划也要求对数据存储及安全问题制定更加严厉的措施。

    新加坡

    2012年10月,新加坡国会三读通过《个人资料保护法案》。新加坡政府将设立一个个人资料保护委员会,负责执行有关法案。在有关法令下,政府有权对每项触犯个人资料的行为,罚款最高100万新元(约合人民币514万元)。这项法令在2013年1月生效,涵盖所有私人领域,公共部门则不受新条例的约束。政府将给予商家18个月的时间,来适应新法令。

    2012年10月15日,新加坡国会针对垃圾短信通过个人信息保护法案,禁止向个人发送市场推广类短信等垃圾信息,违法发送垃圾信息的机构或个人可能会被重罚100万新元。新法案在2013年年初生效,2014年年中起正式执行。

    美国

    美国对于个人信息保护的立法大致可以从联邦和州两个层次来看。从联邦的层次来看,由参众两院组成的国会作为最高立法机关对个人信息保护的立法法案进行听证、辩论、表决、制定,另外还有一些直接对国会负责的相对独立的委员会(如联邦通信委员会)专门负责某个领域的管理事务。从州的层次上看,美国的各州是相对独立的,其权力主要来自于法律的授权,各州都拥有自己的立法、司法和行政机构。美国关于个人信息保护法案的涉及面相对来说较为全面,既有针对政府、企业数据管理等宏观的整体规范,也有针对消费者隐私等微观的具体规定。

    2008年生效的马里兰州《个人信息保护法》规定,那些持有消费者或客户信息的商业机构或非营利机构必须维持“适当水平的安全措施”,以防信息泄露。

    2009年11月,美国参议院司法委员会通过了《2009个人隐私与安全法案》以及《数据泄露事件通报法案》。前者建立了风险评估、漏洞检测以及对访问敏感信息的控制和审计标准,同时也有条款规定了在出差及非工作时间的数据保护措施,以及在数据泄露时需及时通报执法部门、信用报告机构及受影响的个人。后者则要求美国联邦政府机构以及业务跨州的企业在发生数据泄露事件时必须通知所有信息可能或者已经被访问、获取的当事人。 

    2012年2月,美国白宫公布《消费者隐私权法案》,号召企业在使用私人信息时,将更多的控制权交给用户。该权利法案就保护用户隐私提出了7条原则性规定,但暂无强制性措施。

    2012年9月,美国加利福尼亚州通过了全美最严格的《个人隐私保护法》,旨在防止公司老板或者是同事随意浏览个人在社交网上发布的个人信息。美国有十多个州在筹备类似的法律。

    印度

    2008年,印度对2000年颁布的《信息技术法》进行修订,规定对在网上散布虚假、欺诈信息的个人处以罚金或最高判处3年有期徒刑。2011年,印度继续修订《信息技术法》,从立法层面进一步规范网站。新法案规定:印度通信与信息技术部有权查封网站和删除内容,网站运营商须告知用户不得在网站发表有关煽动民族仇恨、威胁印度团结与公共秩序的内容;网站在接到当局通知后应在36小时内删除不良内容,否则网站所有者将面临3年监禁。

    俄罗斯

    俄罗斯2007年生效的《个人数据法》分别于2009年11月、12月,2010年6月进行三次修订;2002年颁布的《电子数字签名法》于2007年进行了修订。当《联邦信息安全保障法》草案通过后,所有与之相关的联邦法律文件都做了不同程度的相应更改或补充,其中包括1995年的《信息、信息化与信息保护法》、1996年的《国际信息交换法》、1991年的《大众信息手段法》等。

    南非

    南非政府在2012年年底颁布《个人信息保护法》,未来任何商业机构获得了顾客的个人资料以后,绝对不可以随便转售或泄露给其他人。个人信息保护法案的保护范围将非常广泛,商家或企业在处理员工或顾客资料的时候,都必须非常谨慎,绝对不能侵犯任何人的权益,凡是持有他人信息的商家与企业,都将对顾客有很大的责任。将自己个人信息提供给商家或企业的民众,将有绝对权利过问对方拥有哪些自己的信息,以及信息的流向与保管方式,民众随时能够查询自己的资料,确保个人信息的正确性。

    企业自身加强管理,保护用户隐私

    企业也有保护个人信息的责任。美国规定,运营商可以通过遵循一系列由市场代表、产业界或者相关人士制定的,依附联邦贸易委员会批准生效的自律性指导原则来规避不当使用或者泄露儿童在线隐私信息所需要承担的责任,联邦贸易委员会鼓励运营商行业自律。

    2011年,美国苹果公司已经在新版Safari浏览器中增加了反跟踪隐私保护工具,使用户在线行为免受营销机构的跟踪。2012年,火狐浏览器推出了插件Collusion来帮助用户了解自己究竟在被谁追踪。Mozilla公司首席执行官加里·科瓦奇表示,在浏览了一天网页后,就有150个追踪器在跟踪他的活动。奥巴马去年也声明支持一项名为“禁止追踪”的浏览器技术。该技术可以限制追踪,并有可能屏蔽基于用户以往的网页浏览记录而针对其发布的网页广告。尽管此类广告可带来数十亿美元的收入,2012年10月,微软也忍痛表示,即将推出的IE 10将成为第一款默认“禁止追踪”功能的浏览器,对于微软而言,信任才是更重要的竞争优势。

    日本企业在管理客户信息方面非常严格。从公司发出的邮件,公司管理人员和监管部门都严格审阅,公司的手提电脑一般不允许带出公司。一旦存有客户信息的电脑丢失,媒体就会争相报道,给公司带来极其恶劣的影响。

    加强行业监管,加大执法力度

    政府管理部门担负着保护消费者信息和企业信息安全的职责。在行政程序方面,各国设立专门的处理申诉、投诉等机构。欧盟对网络个人隐私的保护,订立了非常严格的保护标准,并设立了特别委员会以执行此项工作。德国创设了联邦数据保护专员制度,美国、日本、澳大利亚有综合性的机构内设部门或专门设立隐私专员(如韩国的个人信息调解委员会和澳大利亚的隐私专员)予以管理,显示出个人信息保护的普遍性和社会性。韩国由行业监管机构——韩国通信委员会及互联网与安全局——具体执行消费者信息保护。

    2011年4月15日,美国推行《网络空间可信身份国家战略》。美国希望建立一个“允许用户在线交易时创建可信身份”的系统,保护个人信息安全。这其实就是建立一种“身份属性供应商”渠道,犹如电子商务领域的第三方交易平台,当用户在网站进行登记、注册时,不需要直接向网站提供个人身份信息,而是由第三方提供身份证明;这样就减少了网络公司对用户信息的收集和保管,无疑降低了用户信息泄露的风险。

    美国对谷歌公司侵犯用户隐私开出巨额罚单。2012年年初,谷歌公司被曝借助苹果公司Safari浏览器的漏洞,绕过该浏览器的隐私设定,追踪用户的上网习惯。随后,美国联邦贸易委员会(FTC)对谷歌侵权一事展开调查。8月,谷歌与FTC达成和解协议,FTC要求谷歌缴纳2250万美元的罚款并彻底停止追踪用户上网习惯的侵权行为。11月初,美国地方法院批准了FTC的这一处罚决定。

    欧盟要求互联网公司限期修改隐私新政。2009年,欧盟数据保护工作组分别致信谷歌、微软和雅虎三大搜索巨头,认为搜索引擎服务商保护用户搜索记录时间超过6个月的理由并不成立,因此要求这三大搜索引擎商必须缩短用户搜索信息的保留时间。2010年11月欧盟针对欧洲用户在欧盟范围内访问包括谷歌和脸谱网等网站时分享个人信息数据的做法推出了新隐私保护法案。2012年3月,谷歌实施隐私新政,这些新条款关系到谷歌如何使用数亿名用户的数据,以增强对消费者需求的了解,进而提高投递精准广告的能力。2012年10月,法国国家信息自由委员会(CNIL)致信谷歌,认定其此前对于隐私政策的解释不够完整,尤其是在用户信息数据处理,以及其旗下各服务平台之间如何分享用户私人数据等方面存在“不透明”做法,要求谷歌在3至4个月内大幅修改现行政策。作为代表欧盟27个国家的数据监管部门,CNIL威胁说,若谷歌不加以改正,将动用法律武器。

    法国互联网隐私保护监管部门向谷歌公司开出巨额罚单。2011年3月,法国互联网隐私保护监管部门向谷歌开出了10万欧元(约合83.6万元人民币)的罚单,原因是谷歌街景地图和地理位置社交媒体服务、谷歌纵横服务违反了法国的隐私保护法律。谷歌2010年5月曾向外界披露,装有摄像设备的谷歌街景服务车在全球范围内拍摄照片时收集到用户的Wi-Fi数据,其中包括未经加密的密码和电子邮件等信息。英国随后也启动了针对谷歌业务侵犯用户隐私的调查。

    德国对脸谱网脸部识别技术开展调查。2012年8月,德国汉堡数据保护与信息安全局表示,脸谱网的面部识别技术违反了欧洲和德国的数据保护法,德国决定重启对脸谱网脸部识别技术的调查。

    韩国政府打算分阶段逐步取消网络实名制。2011年8月,韩国行政安全部表示,出于保护网络用户个人信息安全的考虑,韩国政府打算分阶段逐步取消网络实名制。包括分阶段取消网络实名制,重新审定税收和金融机构在提供网络服务时,需要验证个人信息的相关政策,个人或企业使用用户身份证信息需要事先获得政府的批准,进一步完善搜集个人信息的相关制度。韩国政府还决定成立个人信息保护机构,建立关于个人信息的国家认证资格制度,扩大个人信息争议调停委员会的功能等。

    韩国通信委员会对电信公司加强监管以防止数据泄露。2012年8月,韩国通信委员会(KCC)宣布将对该国的三大电信公司——SK电讯、韩国电信(KT)和LG Uplus公司——加强监管,以防范个人数据和信息泄露事件再次发生。KCC表示,其监管范围将从电信公司的总部扩大至分支机构和销售代理商。KCC也制定了旨在保护个人信息和禁止非法营销业务的行动方案,用于指导自身及其他部门机构开展防范行动。该机构还将定期检查并通报相关电信公司及其销售商在管理客户个人资料和敏感数据方面的情况。

    鼓励行业自律,加强国际合作

    行业自律模式是一种民间的、保护网络隐私的个人信息安全保护模式。通过行业内部的行为规则、规范、标准和行业协会的监督,实现行业内个人信息安全的自我规范、约束和完善。行业自律模式是在充分保证个人信息自由流动的基础上,保护个人信息,从而保护行业利益。

    美国是行业自律模式的倡导者,它采取政府引导下的行业自律,规范行业内个人信息处理行为,同时通过分散立法,辅助行业自律的实施。美国已有多个行业建立了自己的个人信息保护自律组织。例如,非营利组织Truste和在线隐私联盟(OPA)组织分别牵头实施的网络隐私认证计划。Truste组织设定了网络隐私保护的基本原则,并要求加入成员共同遵守,各个网站可以自由决定是否加入。加入网站都有明显的Truste认证标志。Truste认证标志可以向公众表明该网站对用户信息安全非常重视,让用户具有安全感。微软、IBM都是该组织的会员单位。

    同时,美国也积极参与国际合作。2012年7月,亚太经合组织(APEC)电子商务指导组宣布,美国将成为APEC“跨境隐私规则体系”(CBPR)首个参与国。该体系旨在促进区域隐私政策趋同,保护消费者,以及降低亚太地区法规遵从成本。跨境隐私规则体系旨在强化电子商务、促进贸易及经济增长,以及加强消费者隐私保护,从而促进区域经济一体化。

    欧盟为了进一步加大在个人信息保护方面的力度,特别建立欧盟隐私权标章认证机制。一方面,认证机制可以作为欧盟成员国贸易交往中个人信息数据转移的依据,另一方面,可以通过认证机制了解各成员国对个人信息保护工作推动与发展的整体态势。在相关立法的基础上,英国标准协会(BSI)于2009年公布了个人信息管理系统。该标准化管理系统为各类组织有效地执行立法,管理和保护个人资料提供了具体的操作准则。

    德国政府也鼓励电信企业通过自律保护数据安全。2011年3月,德国内政部和8家通信技术企业签署《行业自律准则》。德国邮政、德国电信、谷歌、微软、诺基亚等8家企业承诺,在有可能记录用户位置信息之前一个月通知当地社区;企业将建立一个门户网站,公布它们记录用户位置信息的用途和用户拥有的权利等。普通用户将能修改或删除被记录的信息。此外,德国还设有“国际性内容自我规范网络组织”以确保网络内容的安全性,尤其是对于未成年使用者。

    2012年10月,加拿大与德国数据保护专员签署了一项协议,旨在当数据需要通过网络跨境传输时,公民数字隐私可以得到更好的保障。这样的国际合作也可以更好地监管脸谱网和谷歌等公司的隐私保障行为。

    2011年1月,GSM协会公布了《移动隐私条例》。该条例申明,移动用户在使用移动设备接入网络或使用及收集其个人信息时,用户的隐私应当得到尊重和保护。条例中一个关键的规定是“透明和告知”,即公开和诚实地告知消费者何种个人信息被采集以及采集的原因。条例还包括,必须告知移动用户其个人信息被何人使用、被如何使用,并确保尽可能少地采集某种特定服务的信息,并且信息使用完毕后将不再被保存。《移动隐私条例》将被用于制订更详细的准则,以解决私人信息或设备的位置信息等用户关注的问题。

    关于我国推动落实个人信息保护的对策建议

    从“有标可依”到“有法可依”。2012年11月,我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》发布,并于2013年2月1日起实施。这项标准明确要求,处理个人信息应有特定、明确和合理的目的,并在个人信息主体知情的情况下获得个人信息主体的同意,在达成个人信息使用目的之后删除个人信息。虽然我国公民个人信息安全法律保护迈出了第一步,但个人信息保护法仍须尽快出台。因为在网络时代,个人信息泄露风险大而且很难查证泄露环节,导致维权难、法律介入查证难。而《指南》毕竟只是技术规范,不具有强制执行力。只有从“无标可依”推进到“有标可依”,最终升级为“有法可依”,才能真正令保护个人信息安全不再仅是可有可无之举。

    建立行业自律机制,加强行业监管。目前公民个人信息泄露很多是工商、医疗、银行、民航等行业的内部人员所为。内部人员频频出现的背后,是相关单位责任的缺失和对公民个人信息安全的漠视。因此,对能够收集、查阅和管理公民个人信息的部门机构必须加大问责和处罚力度,建立严密的监管体系和防范制度,筑牢个人信息安全的第一道防线。世界主要国家相关企业多在政府的引导下,建立起行业自律组织,通过制定行业规范、受理公众投诉、开展公众教育等方式在保护个人信息方面发挥着不可替代的作用。发挥自律组织的自律管理职能是发达国家强化市场约束、完善监管体系的重要经验。因此,应建立起我国相关行业的自律机制,使其具有严密、详尽、方便、可操作的自律规章包括组织纪律、市场规范、道德准则及自我监察的程序规则,特别是对违规违章者的检查、监督程序及合理的惩戒措施的设计,并严格维护规章的强制性和有效性,确保会员依章运行。

    加强跨境数据保护,开展国际双边合作。一国的数据保护机构只能在本国主权范围内行使职权,而对于跨境后的信息处理无域外监管权,无法实施真正有效的监管。因此,国际合作对数据跨境传输及保护至关重要。在合作形式上,我国可以直接开展国与国之间的双边合作,也可以通过国际性组织平台开展多边合作;在合作内容上,我国可在技术、法律、监管执行等方面与其他国家制定合作细节。

    经合组织(OECD)也指出,跨境流动数据的数量和特征使得加强国际合作必须以实现隐私保护为前提。在电子商务等互联网应用领域,由于美国和欧盟两个市场在世界上的重要地位,今后我国与它们的交流和联系一定会越来越紧密,而我国的网络隐私权保护不力的现状已经开始成为一个严重的阻碍因素。我们也应该借鉴美国与欧盟之间达成的“安全港口协议”,争取早日与对网络隐私权保护采取严格标准的欧盟达成类似的协议,促进我国的电子商务和互联网产业发展。

    企业应加强自律,建立事前预防机制。就企业自身来讲,本身要加强自律,建立信息安全保障制度。一旦出现信息泄露问题,企业应及时提醒用户并尽快予以解决,同时应上报相关行业组织,如中国互联网协会等,以便及时介入,进行调查或查处。

    建立比较完善的公民信息安全保护体系。如,提高公民信息采集的准入“门槛”,设立专门的信息资源管理机构,改革和完善相关办事程序和制度,对使用公民信息的政府部门、社会团体、企业或个人,事先履行核准或登记备案程序,并对其使用情况严密监管。

(来源:人民邮电报    作者:刘长安 顾舟峰)

相关文章

更多>> 论坛精华                                                                                            通信公社官方微博

更多>> 精彩博文

信息化趋势

产业圈动态

运营业要闻