個人信息安全須用規(guī)范“保駕”

洪延青 姚相振 何延哲

隨著信息技術(shù)的高速發(fā)展，個人信息的搜集變得越來越容易，信息泄露問題也越來越嚴(yán)重。8月19日，山東省臨沂市高考錄取新生徐玉玉被不法分子冒充教育、財政部門工作人員詐騙9900元，徐玉玉在報案回家途中暈厥，心臟驟停，不幸離世。9月9日，公安部公布徐玉玉案詐騙細(xì)節(jié)，嫌疑人通過攻擊“山東省2016高考網(wǎng)上報名信息系統(tǒng)”，盜取了包括徐玉玉在內(nèi)的大量考生報名信息。電信詐騙惡性事件的頻發(fā)，也引發(fā)公眾對個人信息保護(hù)的關(guān)注。

如何保護(hù)個人信息安全？加快出臺個人信息安全規(guī)范、保護(hù)指南等網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)是當(dāng)務(wù)之急。近日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布了《關(guān)于加強國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》（以下簡稱《意見》），《意見》的第二部分《加強標(biāo)準(zhǔn)體系建設(shè)》中提出“推進(jìn)急需重點標(biāo)準(zhǔn)制定”，并明確將制定“個人信息保護(hù)”方面的標(biāo)準(zhǔn)列為近期工作重點之一。

上網(wǎng)如履薄冰只因遍布“荊棘”

當(dāng)下，我國個人信息保護(hù)現(xiàn)狀亟待改進(jìn)。僅2014年，中國就有多家知名電商、快遞公司、招聘網(wǎng)站、考試報名網(wǎng)站等發(fā)生信息泄露事件，其中由于用戶管理模塊存在漏洞，某知名手機廠商論壇包括賬號、密碼和社交賬號等800萬用戶個人信息遭泄露；最新發(fā)布的《2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示，過去的一年我國同樣發(fā)生了嚴(yán)重的數(shù)據(jù)泄露事件：約10萬條應(yīng)屆高考考生信息泄露事件、某票務(wù)系統(tǒng)近600萬用戶信息泄露事件等等。

在2016年4月19日召開的網(wǎng)絡(luò)安全和信息化工作座談會上，習(xí)近平總書記高屋建瓴地對網(wǎng)信工作六大重點問題進(jìn)行了系統(tǒng)性論述，提出了“以人民為中心”的網(wǎng)信發(fā)展思想，并做出了“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的重要指示。顯然，現(xiàn)實狀況和總書記提出的要求有明顯差距。如果個人信息遭未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改等的局面不加改善，網(wǎng)絡(luò)空間依舊荊棘遍布、陷阱重重，老百姓上網(wǎng)、用網(wǎng)不放心，互聯(lián)網(wǎng)如何能成為人們學(xué)習(xí)、工作、生活的新空間，獲取公共服務(wù)的新平臺？

正如《意見》指出，“網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化是網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分，在構(gòu)建安全的網(wǎng)絡(luò)空間、推動網(wǎng)絡(luò)治理體系變革方面發(fā)揮著基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用”，為實質(zhì)性地改善收集、使用個人信息的組織機構(gòu)的行為，急需一套科學(xué)、先進(jìn)并且符合現(xiàn)實需求、具有操作性的個人信息保護(hù)行為規(guī)范。

目前，《個人信息安全規(guī)范》標(biāo)準(zhǔn)制定項目已經(jīng)在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會立項，并被列為今年的重點標(biāo)準(zhǔn)項目。參加該標(biāo)準(zhǔn)制定工作的單位包括北京信息安全測評中心、頤信科技有限公司、中國信息安全研究院、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、公安部第一研究所、四川大學(xué)、上海國際問題研究院、騰訊、阿里巴巴等。

立足國情接軌國標(biāo)制定“攻略”

《個人信息安全規(guī)范》標(biāo)準(zhǔn)將針對處理個人信息的各類組織（包括機構(gòu)、企業(yè)等），提出具體的保護(hù)要求，定位為我國個人信息保護(hù)工作的基礎(chǔ)性標(biāo)準(zhǔn)文件，為今后開展與個人信息保護(hù)相關(guān)的各類活動提供參考，為制定和實施個人信息保護(hù)相關(guān)法律法規(guī)奠定基礎(chǔ)，為國家主管部門、第三方測評機構(gòu)等開展個人信息安全管理、評估工作提供指導(dǎo)和依據(jù)。

首先，《個人信息安全規(guī)范》將把握好以下四方面價值中的平衡：一是個人隱私權(quán)和信息自決權(quán)，包括在一定程度上控制個人信息的收集、使用、流轉(zhuǎn)，以及控制基于數(shù)據(jù)作出的各項決定對個人的影響；二是發(fā)展利益，即企業(yè)和產(chǎn)業(yè)充分利用個人信息，提供、改進(jìn)、創(chuàng)新產(chǎn)品和服務(wù)的合理訴求；三是公共利益，政府相關(guān)部門利用個人信息完成公共管理，以及社會發(fā)展所必須的信息自由流動和公眾知情權(quán)；四是國家利益，個人信息跨境流動對國家主權(quán)、國家安全、國家競爭力等方面造成的正面、負(fù)面影響。

其次，《個人信息安全規(guī)范》將立足于我國現(xiàn)有的法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)，包括全國人大常委會《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》《刑法修正案（五）》《刑法修正案（七）》《刑法修正案（九）》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》（GB/Z28812-2012）、《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》（報批稿）等。除此之外，《個人信息安全規(guī)范》將參考個人信息保護(hù)方面最先進(jìn)的國外立法。例如，OECD隱私框架、APEC隱私框架等國際規(guī)則，歐盟《通用數(shù)據(jù)保護(hù)條例》、歐美“隱私盾”協(xié)議、美國“消費者隱私權(quán)法案”等歐美個人信息保護(hù)方面的立法。

最后，《個人信息安全規(guī)范》將在參考個人信息保護(hù)方面的國際標(biāo)準(zhǔn)的基礎(chǔ)上做到與國際接軌。ISO/IEC JTC1/ SC27是國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）聯(lián)合技術(shù)委員會（JTC1）下屬專門負(fù)責(zé)信息安全領(lǐng)域標(biāo)準(zhǔn)化研究與制定工作的分技術(shù)委員會，SC27/WG5負(fù)責(zé)身份管理和隱私保護(hù)相關(guān)標(biāo)準(zhǔn)的研制和維護(hù)，目前最具代表性和體系性的屬ISO/IEC 29100系列標(biāo)準(zhǔn)，包括：ISO/IEC 29100《隱私保護(hù)框架》、ISO/IEC 29101《隱私體系架構(gòu)》、ISO/IEC 29190《隱私能力評估模型》、ISO/IEC 29134《隱私影響評估》、ISO/ IEC29151《個人可識別信息保護(hù)指南》等。此外，還有美國的保護(hù)個人身份信息機密性指南（NIST SP800-122）、聯(lián)邦信息系統(tǒng)隱私與安全控制（NIST SP800-53）；歐盟的數(shù)據(jù)保護(hù)審計實踐清單（CWA 15262：2005），管理者的自評估框架（CWA 16112：2010），個人數(shù)據(jù)保護(hù)良好實踐（CWA 16113：2010），等等。

順應(yīng)發(fā)展方讓個人信息“無虞”

當(dāng)今社會逐漸進(jìn)入大數(shù)據(jù)時代，習(xí)近平總書記2015年5月在給國際教育信息化大會的賀信中指出，“當(dāng)今世界，科技進(jìn)步日新月異，互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等現(xiàn)代信息技術(shù)深刻改變著人類的思維、生產(chǎn)、生活、學(xué)習(xí)方式，深刻展示了世界發(fā)展的前景?！?/p>

大數(shù)據(jù)時代，數(shù)據(jù)正在成為一種生產(chǎn)資料，成為一種稀有資產(chǎn)和新興產(chǎn)業(yè)。任何一個行業(yè)和領(lǐng)域都會產(chǎn)生有價值的數(shù)據(jù)，而對這些數(shù)據(jù)的統(tǒng)計、分析、挖掘則會創(chuàng)造意想不到的價值和財富。

然而，大數(shù)據(jù)技術(shù)和應(yīng)用的迅猛發(fā)展也使得個人信息保護(hù)面臨更多挑戰(zhàn)：收集環(huán)節(jié)——移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展使對個人信息的收集日益密集、隱蔽；使用環(huán)節(jié)——多來源的個人信息組合，形成數(shù)字畫像、實時追蹤，數(shù)據(jù)挖掘增加個人信息和隱私暴露的風(fēng)險，顯著影響個人權(quán)益；披露環(huán)節(jié)——數(shù)據(jù)流轉(zhuǎn)、交易形成鏈條，信息處理主體多元，流轉(zhuǎn)方式紛繁復(fù)雜，個人信息跨境流動成為常態(tài)。

《個人信息安全規(guī)范》的編制工作將充分體現(xiàn)安全與發(fā)展的關(guān)系，在開放發(fā)展的大環(huán)境下保護(hù)公民個人信息，既要順應(yīng)大數(shù)據(jù)等新技術(shù)新應(yīng)用的發(fā)展，也要建設(shè)科學(xué)有效的機制抵御其帶來的風(fēng)險，研制出符合我國信息化發(fā)展現(xiàn)狀的個人信息保護(hù)標(biāo)準(zhǔn)。