软件及信息服务业个人信息保护报告-大连软件行业协会
(2010-08-04 12:54:23)
前 言
个人信息保护体系的建立是与信息化社会的发展和经济全球化密切相关的,随着信息化社会的发展,个人信息保护已经成为国际间信息交流的一个重要条件,特别是在软件及信息服务外包业中,个人信息保护已经成为国际间实行外包的一道门槛,这也促进了我国软件及信息服务业个人信息保护标准和评价体系的建立。
一、个人信息相关术语
1、个人信息
个人信息是指业已存在的与个人相关的,并且可用于识别特定个人的信息。如:姓名、出生日期、分派给个人的号码、标志以及其它符号、可以识别个人的图像或生物信息等(包括某些单独使用时无法识别,但与其他信息进行对比后,能够由此识别特定个人的信息)。
2、信息主体
根据特定信息进行识别或者能够识别的对象。指拥有该个人信息的本人。
3、个人信息取得
是指为明确目的而获取个人信息的行为。
4、个人信息处理
是指利用计算机和相关配套设备及软件对个人信息进行录入、存储、编辑、修改、检索、删除、输出、传输和销毁等行为。
5、信息主体同意
信息主体对与自身相关的个人信息的取得以及使用表示同意,原则上以信息主体的签名、盖章为准,下述情况视为已取得信息主体同意:
a )未成年人和无法对事情做出正确判断的成年人应由家长或监护人代表同意;
b )在取得个人信息时,单位与信息主体签订的合同中规定了个人信息的使用,而且信息主体同意履行合同。
二、个人信息保护法规
1、国际个人信息保护法规建立情况
国际上建立个人信息保护法规的国家和组织有50多个,最重要的和对国际上影响比较大是两个国际组织的个人信息保护法规: (1)世界经济合作发展组织(OECD)《关于保护隐私和个人数据跨国流通指导原则》,其中所规定的个人信息保护八项基本原则,已经得到了国际上的认可,
许多国家在此基础上不断进行补充和完善制定本国的个人信息保护相关法规。OECD八项原则为: 1)、收集限制原则。个人信息的收集必须采取合理合法的手段,必须征得信息主体的同意; 2)、信息内容的正确性原则。个人信息必须在利用目的范围内保持正确、完整及最新状态; 3)、目的明确化原则。个人信息收集前要明确使用目的,并在目的范围内收集; 4)、使用限制原则。对个人信息资料不得超出目的范围外使用;
5)、安全保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取合理的安全保护措施加以保护;
6)、公开原则。个人信息管理者必须用简单易懂的方法向公众公开个人信息保护的措施。
7)、个人参加原则。信息主体有权知道自身信息的所在位置,有权对自身信息提出质疑,有权对自身信息进行修改、完善、补充和删除。 8)、责任原则。个人信息的管理者对个人信息的保管负全责。 (2) 欧盟的《欧盟数据保护指令》,在欧盟指令的要求下,欧盟的40多个国家都建立了个人信息保护相关法规。特别是,欧盟指令规定,第三国的隐私法律只有经欧盟委员会判定达到“充分的”保护标准,才能自欧盟进行跨境个人信息传输,在《欧盟数据保护指令》第四章向第三国进行个人数据转让中做了如下规定:(原文)
《Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the proceing of personal data and on the free movement of such data》
CHAPTER IV - TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES Article 25 Principles (1) The Member States shall provide that the transfer to a third country of personal data which areundergoing proceing or are intended for proceing after transfer may take place only if,without prejudice to compliance with the national provisions adopted pursuant to the otherprovisions of this Directive, the third country in question ensures an adequate level of protection,……。
这项规定也促使许多非欧盟国家为了满足欧盟的要求也开始制定个人信息保护相关法规。 《欧盟数据保护指令》的基本要素是: 透明度原则(Transparency)、良好的安全性(Good security)、独立的监管机关(Independent supervisory authority)、法律的有效执行(Effective enforcement)、向第三国传输的控制(Controls on transfers to third countries);
《欧盟数据保护指令》数据保护的基本原则是:个人数据必须被公平合法的处理(Personal data must be proceed fairly and lawfully);
为特定目的而收集,且不能以与此无关的方式进行处理(collected for specified purposes and not proceed in an incompatible way);
具有合理的相关性并且不过度(adequate relevant and not exceive); 准确且不断更新(accurate and kept up to date);
保存不超出完成收集时的目的所必需的期间(not kept longer than neceary for the purpose for which they were collected);
2、我国有关个人信息保护相关法规 目前我国现有法规:《宪法》、《民法通则》、《妇女权益保障法》、《未成年人保护法》、《民事诉讼法》、《中华人民共和国邮政法》、《医务人员医德规范及实施办法》、《中华人民共和国传染病防治法》、《中华人民共和国身份证书法》、《中华人民共和**子保健法》、《中华人民共和国统计法》、《计算机国际联网管理暂行规定实施办法》`《互联网电子公告服务管理规定》、《个人存款账户实名制规定》等相关法规中都有关于个人信息保护的相关条款,但是多比较原则,处罚的规定也不详细。目前,非常需要一部个人信息保护的法规出台。特别是近年来,随着个人信息使用范围的扩大和个人信息使用价值的提高,个人信息被非法使用、提供、传输、买卖的案件都有不断报导。这些已经引起了国家相关部门的重视。在今年召开的十一届全国人大常委会第七次会议上,表决通过了刑法修正案,增加了严打泄露或非法获取公民个人信息行为的相关规定。在刑法修正案(七)增加了相关条款,规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”。“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”我国个人信息保护法(草案)也已经呈交国务院。相信个人信息保护法的出台已经为时不远。
三、个人信息保护标准
1、国际相关标准
目前国际上有关个人信息保护的标准并不多,对我国影响比较大的就是日本有关个人信息保护的工业规格标准:JIS Q15001:2006(个人信息保护管理体系——要求事项),该标准于1999年制定并颁布,2006年修改。主要适用于处理个人信息的企业事业单位,规定了所有行业、所有规模的单位可以适用的个人信息保护管理体系的相关要求事项。在对跨境个人信息的保护方面,在3.4.3.4委托监督中规定“企业在委托别人使用全部或部分个人信息时,必须选定符合充分保护个人信息水平的企业,为此,委托者必须确立委托者的选定标准。”
这造成了日本客户在委托相关个人信息时,向其它国家的企业提出个人信息保护方面的要求,中国在与日本企业的合作中如果没有相关的个人信息保护能力和水平,将会因此而失去订单,不实行个人信息保护影响到中国软件及信息服务外包产业的发展,特别是2005年4月1日,日本个人信息保护法颁布后,对我国对日外包软件信息服务业产生了一定的影响,这也促使了我们个人信息保护工作的开展。
2、我国的个人信息保护标准
我国目前已经通过和发布的个人信息保护标准有两个: (1)《软件及信息服务业个人信息保护规范》DB21/T 1522-2007,该标准为辽宁省地方行业标准,是我国首个针对个人信息保护的地方行业标准,也是我国首个软件及信息服务行业的标准。于2007年6月13日正式发布,2007年8月1日开始实施。该标准是依据我国信息管理及信息安全相关法规和标准,并参考世界经济合作发展组织OECD《关于保护隐私和个人数据跨国流通指导原则》制定的。 (2)《个人信息保护规范》BD21/T 1628-2008,该标准为辽宁省地方标准,是我国首个针对个人信息保护的地方标准。于2008年6月16日正式发布,2008年7月16日开始实施。该标准依据国际、国内相关法律、法规及信息安全相关标准,遵循OECD(世界经济合作发展组织 Organization for Economic Co-operation and Development)《关于保护隐私和个人数据跨国流通的指导原则》,参考国际通行的个人信息保护相关法规和行业自律模式制订。
这两个标准都是在我国首次发布的个人信息保护标准。
标准中规定了个人信息保护相关术语和定义,原则、负责人及责任、方针、风险分析与基本规章、运行与实施、检查、持续改进等单位个人信息保护体系建立所应具备的基本框架及要求。为企业个人信息保护体制的建立提供了参考依据,起到了指导作用。
标准中规定了软件及信息服务业个人信息保护原则: 1) 取得与使用
个人信息取得应采用合理合法手段,并应征得信息主体的同意。个人信息取得和使用应有明确目的,不得超范围使用。 2) 安全保障
应采取必要的安全保护措施,防止个人信息的丢失、泄漏、篡改和破坏等事件发生。除信息主体同意外,个人信息不得提供给第三方。 3)信息主体权利
信息主体有权确认个人信息状态。并拥有对个人信息提出删除、修改和完善的权利。 4)信息内容更新
个人信息应确保在使用目的范围内的正确性和完整性,并做到及时更新。
四、个人信息保护认证
1、国际相关认证
国际上关个人信息保护的认证比较多,对我国有一定影响的认证主要有: (1)美国的BBOnLine隐私认证计划(BBBonline privacy seal program):
美国BBBOnLine认证是网络安全认证,BBBonline是促进良好商业顾问局(council of better busine bureau )的美国Better Busine Bureau(BBB)全国性中小企业组织所成立的网站安全认证机构,它所提供的认证服务有Reliability Seal、Privacy Seal、Kids’ Privacy Seal等。其中Privacy Seal、Kids和Privacy Seal都是针对网站的个人隐私保护认证。该机构在1999年3月17日建立并开始其隐私认证计划。 (2)美国TRUSTe 认证
TRUSTe是由商务网络财团(CommerceNet Consortium)和电子前线基金会(Electronic Frontier Foundation, EFF)所组建的一个独立的非营利的组织,该组织成立 于1997年6月10日,是美国首家网络隐私认证民间机构,是一家非盈利组织。主要采取认证和监督网站的隐私保护状况和电子邮件政策。TURSTe隐私计划包括:一般网页的隐私计划、欧盟安全港隐私认证计划、儿童的隐私认证计划、电子邮件隐私认证计划,TRUSTe各种计划都遵守许多政府和行业有关个人信息保护的法规和标准,包括加利福尼亚州网上隐私保护法(California Online Privacy Protection Act)、联邦反垃圾邮件法(Federal CAN-SPAM Act)、联邦贸易委员会批准的公平资讯惯例(Fair Information Practices)以及美国商业部的安全港隐私保护原则(Safe Harbor Privacy Principles)。
(3)日本的P-MARK认证
P-MARK认证是日本针对计算机处理个人信息相关企业而开展的获取个人信息保护标志的认证,它的认证机构是日本财团法人情报处理开发协会(JIPDEC),认证标准是JIS Q 15001。 日本P-MARK认证制度从1998年4月开始。2005年4月1日,日本正式颁布了《个人信息保护法》,促进了P-MARK认证数的快速增长,至2009年认证企业已经超过了10000家。
对以上三种认证体系的分析看:
从认证对象来看,美国的认证范围主要是针对网络个人信息保护认证,特别是网络交易平台和网站注册的个人信息的保护,特别重视信息主体的权利和网站个人隐私的保护。日本的P-MARK认证是针对所有企业个人信息保护体制建立的标准,可以给企业一个比较全面的个人信息保护体制建立的指导和帮助。
从认证范围看,美国的两个认证都是跨国界的认证,但由于各国法规、标准的不一致性,要真正得到其它国家的认可还存在许多问题。而日本的P-MARK认证是一个针对日本全国的全行业的国家级认证,不针对日本以外的国家。
目前,还没有一个国际公认的个人信息保护的认证体系,但由于信息化社会的发展和全球经济体系的建立,必将会促进一个全球化的信息安全体系的建立,建立国际统一的个人信息保护认证体系也是非常必要的。
2、我国软件及信息服务业个人信息保护评价体系(PIPA)
软件及信息服务业个人信息保护评价体系(PIPA)是我国目前最早的针对个人信息保护能力和水平的评价。目前已经与日本的P-MARK认证实现了相互认可。目的是帮助企业建立个人信息保护规章制度、运行实施并不断改进和完善,使单位的个人信息保护能力和单位信息安全级别得到提高,使客户、消费者和员工的个人信息得到有效保护。建立个人信息保护体制的单位可以通过PIPA评价,得到个人信息保护合格证书和PIPA标志使用权,以证明单位的个人信息保护能力和水平,以此得到客户和消费者的信任。 (1)PIPA简介
PIPA全称:个人信息保护评价(Personal information protection aement) 评价标准:《软件及信息服务业个人信息保护规范》(DB21/T 1522-2007)(以下简称《规范》; 评价机构:大连软件行业协会 开始时间:2006年5月
PIPA是针对计算机处理相关单位而开展的个人信息保护能力的评价,主要适用于利用计算机对个人信息进行处理的相关单位。评价程序按照前期审查→现场审核→公示→审批过程严格进行,通过PIPA的单位,可以得到个人信息保护合格证书、PIPA标志和PIPA-MARK互认标志使用权,有效期两年。
(2)PIPA评价机构
PIPA评价机构下设个人信息保护工作委员会和PIPA办公室。
PIPA办公室主要负责PIPA文件管理和事务性工作,负责PIPA受理及投诉,负责评价员的聘任及管理工作,PIPA办公室下设培训教育部门,负责个人信息保护企业培训和评价员培训、考核。
工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善,负责PIPA申批、投诉及事故的处理结果的审批,负责对PIPA的监督,聘任评价员的审批等工作。工作委员会下设:标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定;仲裁组负责投诉及事故的调查及处理;宣传推广组负责PIPA宣传推广;国际交流组负责国际间的交流与合作;教育培训组负责个人信息保护人才的教育及培养研究及试点,开展个人信息保护人才培养工作。
(3)PIPA的管理与监督
申请个人信息保护评价单位需要按照《规范》要求建立本单位个人信息保护相关规章制度,在单位内实施个人信息保护,并至少运行三个月。申请方应在申请前三个月内没有发生过重大个人信息保护事故。申请方应是自愿参加评价。
评价机构对个人信息保护合格单位有监督管理的权利,可以对单位个人信息保护情况进行抽查,对抽查不合格单位将限期整改,整改后仍不合格的单位,将取消个人信息保护合格证书和PIPA标志的使用资格。
以下情况将对PIPA企业进行复审:一是在对申报单位在个人信息保护方面有重要举报和投诉并确认为事实时;二是,在个人信息保护方面发生重大事故时;三是,在企业更名、办公场所或业务有重大变化时,对抽查和复审不合格单位,将取消个人信息保护合格证书和PIPA标志的使用资格。
(4)证书与标志
通过PIPA的单位,可以得到个人信息保护合格证书、PIPA标志和PIPA-MARK互认标志使用权,有效期两年。
五、国际合作方式探讨
1、欧盟的安全岛模式。
2000年3月14日,美国与欧盟就个人信息保护的“安全港”模式提出美国和欧盟都可以接受的建议。这项建议的内容为,如果美国产业对 “安全港口协议”(Safe Harbor Agreements)表示同意,就可以在进行严格隐私权保护的欧盟进行交易。这项提议于2000年6月获得欧洲议会的通过。美国商务部也于2000年7月21日公布了这一协议。
该协议包括1998年“国际安全港隐私保护原则”中的七大原则[12]: 1.告知(NOTICE)。企业必须告知资料本人资料收集、使用的目的,投诉的方式,向第三方披露个人资料的类型以及本人选择或限制企业使用、披露个人资料的方法,而且通知必须使用清楚、明确的语言。2.选择(CHOICE)。资料本人有权决定其资料是否向第三方公开或被用于与最初收集目的不同的其他目的,为实现选择的权利,企业应提供明确、可行的选择机制。对于敏感资料利用,尤其应经过本人肯定、直接的授权。3.转送(ONWARD TRANSFER)。为向第三方披露个人资料,企业必须使用通知、选择原则,否则,当第三方对本人构成侵权时企业不能免责。4.安全(SECURITY)。企业处理、保有、利用或传播个人资料时,必须采取合理的措施以防止资料被丢失、滥用、歪曲和毁坏。5.资料完整(DATA INTEGRITY)。企业必须采取合理措施保证其使用的个人资料的准确、完整和更新以及与使用目的的关联性。6.渠道(ACCESS)。本人应获得纠正、修改、删除不实资料的渠道,除非使用这种渠道的成本过高以至于违反比例原则。7.执行(ENFORCEMENT)。包括救济机制和进入安全港的批准原则等。
此协议在企业责任、投诉机制以及进入安全港的企业资格方面,都有着更为严格的要求,该协议也充分体现了欧盟95指令对美国的重大影响,以及美欧之间在网络隐私权保护及电子商务发展方面的斗争与妥协。
2、互认模式(PIPA与P-MARK互认)
中国的PIPA与日本的P-MARK“个人信息保护认证体系”之间的互认,是两个国家间个人信息保护体系的全面认证。
PIPA与P-MARK的互认合作工作从2005年开始,2006年10月份日本的P-MAR认证机构(情报处理开发协会(JIPDEC))开始与中国PIPA评价机构(大连软件行业协会)签署了互认合作协议,于2008年6月19日中国的PIPA与日本的P-MARK正式实现了互认。互认签字仪式在大连软交会上举行。日本的P-MARK认证与中国的PIPA评价通过两年的合作,双方认为在评价制度、方法、水平等方面达到一致。双方同意全面相互承认,并可共用同一认证标志。这是国际上首个两国相互全面承认的个人信息保护认证体系的合作项目。它标志着中日两国在个人信息交流方面的壁垒与障碍已消除。中日双方个人信息保护认证体系的相互认可,使两国在个人信息保护方面达成了共识,中国通过PIPA的企业将等同于日本通过P-MARK的企业,这样就打破了日本在信息服务外包中的个人信息保护的门槛。这也促进了我国与日本信息服务外包业的合作与发展。
六、2008年软件及信息业个人信息保护工作
软件及信息服务业个人信息保护工作一直走在我国个人信息保护工作的前列,中国软件行业协会、国家商务部、国家工信部、辽宁信息产业厅、大连市信息产业局等单位给予这项工作以大力支持和关注。总结2008年个人信息保护主要完成以下工作:
1、编制发布辽宁省个人信息保护标准
由大连软件行业协会编写的辽宁省《个人信息保护规范》DB21/T1628-2008,于2008 年6月16日正式发布,2008年7月16日实施。该标准的发布将对辽宁省各行业个人信息保护工作的开展起着指导和规范作用,对全国的个人信息保护工作也将起着积极的推动作用。
2、完善PIPA评价体系
作为我国首个针对个人信息保护的评价体系(Personal Information Products Aement,PIPA),在2008年得到进一步的完善。
(1)建立和完善了评价员管理、考评及聘任制度,制定了评价员管理办法,使评价员的选择、培训和评价更加规范化,为评价质量的提高打下好的基础;
(2)建立投诉及事故报告制度,建立对应的投诉及事故处理流程,编制了事故报告及事故处理报告等一系列文件。投诉制度的建立和事故报告制度的建立完善了评价体系,保证了信息主体的权利可以落实,同时,也实现了对企业的第三方监督制度的建立,保证了对个人信息保护方面的意见、建议和投诉可以得到及时和正确的处理,也对企业起到了监督和促进的作用,使企业对个人信息保护体系的建立一直保持和不断完善。 (3)加强工作委员会的力量,补充增加更有能力的工作委员会成员,并将工作委员会的工作细化,在个人信息保护工作委员会下设法规组、仲裁组、国际合作组、宣传推广组、教育培训组;使工作委员会的工作更加具体化和有成效。
3、个人信息保护评价工作进展顺利
2008年个人信息保护评价工作一直稳定开展,到目前为止,通过PIPA的企业累计达到了24家,还有30多家企业正在实施过程中。从参加评价的企业范围看,通过PIPA的企业主要以是对日外包企业为主,参加PIPA的企业涉及大连、北京、上海、深圳、济南、杭州、无锡、辽宁等地企业。企业的努力已经得到了国际客户的认可,特别是日本客户,在选择合作伙伴时会优先选择通过PIPA的企业,这也促使更多的对日外包企业愿意加入到个人信息保护的行列中来。
七、2009年软件及信息服务业个人信息保护工作展望
1、全国软件及信息服务业个人信息保护行业标准的研究和制定工作
在国际个人信息保护大背景下,企业迫切需要提高个人信息保护能力,以得到国际客户的认可,由于我国没有相关法规和标准,企业建立个人信息保护制度没有依据和参考,各企业自己的努力往往做的不完善,也很难得到客户的认可,为此,非常需要制定统一的个人信息保护规范,建立行业个人信息保护标准和评价体系。以提高行业整体信息安全级别和规范管理能力,打消国外企业对我们的不信任感,提高软件及信息服务业在国际国内的竞争力。在国际大背景下,中国软件及信息服务业个人信息保护标准的建立已经是势在必行。
标准是法律保护的补充管理形式,标准的推行更能体现出一种自觉的保护行为,为政府和企业提供一种可以参照的标准,按照标准建立的个人信息保护规章制度可以使个人信息得到很好的保护。
2009年,将研究制定《软件及信息服务业个人信息保护规范》——国家行业标准,通过这一标准的建立,推动软件及信息服务行业个人信息保护工作的开展。
2、推进个人信息保护评价工作
2009年将继续开展好PIPA评价工作,不断完善PIPA评价体系,争取更多的企业加入到个人信息保护的行列中来,预计通过PIPA的企业将达到50家以上,在地区范围上将扩大到全国20家外包示范城市。
