个人信息保护指南实施:个人信息保护从此"有标可依"

时间:2014-01-20 17:34:00作者:新闻来源:正义网

评论投稿打印转发复制链接||字号

分享到:

  【事件回放】

  在网络运用越来越频繁的今天,如何保护好个人信息一直是多方颇为关切的敏感话题。于2013年2月1日正式实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》),对利用信息系统处理个人信息的相关活动,将起到应有的指导和规范作用。这是我国首个个人信息保护国家标准,有望提高企业个人信息保护技术水平,促进个人信息的合理利用。

  一份针对国内门户、婚恋等9大类共计100家网站的抽样测评显示,有56家网站完全没有安全措施,相比上一年完全没有安全措施的网站减少了3家,但整体还是超过了一半。

  针对上述行业乱象,《指南》将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意两种概念。《指南》明确要求,处理个人信息应有特定、明确和合理的目的,并在个人信息主体知情的情况下获得个人信息主体的同意,在达成个人信息使用目的之后删除个人信息。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。个人敏感信息包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

  《指南》还提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。

  《指南》是由全国信息安全标准化技术委员会提出并归口组织,由中国软件评测中心牵头,联合多家单位制定的,于2012年11月发布。

  【事件影响】

  《指南》在性质上属于一种行业标准,解决的是个人信息保护的技术问题。这是我国首次制定类似的行业标准,用文件的形式明确了个人究竟有什么权利、企业处理个人信息的一些规则,比较全面地规范了个人信息处理的全流程活动,有效促进转变个人信息保护观念,提高个人信息保护意识,也有助于推动行业自律。

  【各方观点】

  湘潭大学法学院教授倪洪涛:作为一项指导性技术文件,《指南》行业标准的法律属性决定了其教育引导和技术指引的价值远远高于其强制性,该标准离公众信息保护的心理预期还有很大差距。

  ——2013年2月5日《深圳特区报》

  北京邮电大学互联网法律研究中心主任李欲晓:个人信息保护最有效的途径是单独立法,并制定相应处罚措施,实现真正的有法可依。在标准出台之后,还应该有相关配套法律法规要进行完善,形成一个完整的法律体系。同时,要提高公众自我保护意识。这个问题不是仅靠单方面的立法就能决定的,也要靠服务提供者的意识和公众(个人信息)保护意识的提升。 ——2013年2月1日国际在线

  西南政法大学行政法学院副教授张向东:“国家标准”毕竟只是一个行业内部规范,不具有法律强制力。将“国家标准”上升为专门法律,迫在眉睫。我国亟须出台个人信息保护专门法律,成立专门的监管机构,明晰各方责权,对个人信息安全进行全方位的保护。

  ——2013年7月2日《检察日报》

[责任编辑:周怡灵]