軟件及信息服務業(yè)個人信息保護報告

精品文檔軟件及信息服務業(yè)個人信息保護報告大連軟件行業(yè)協(xié)會(2010-08-04 12:54:23) 前 言個人信息保護體系的建立是與信息化社會的發(fā)展和經濟全球化密切相關的，隨著信息化社會的發(fā)展，個人信息保護已經成為國際間信息交流的一個重要條件，特別是在軟件及信息服務外包業(yè)中，個人信息保護已經成為國際間實行外包的一道門檻，這也促進了我國軟件及信息服務業(yè)個人信息保護標準和評價體系的建立。一、個人信息相關術語1、個人信息個人信息是指業(yè)已存在的與個人相關的，并且可用于識別特定個人的信息。如：姓名、出生日期、分派給個人的號碼、標志以及其它符號、可以識別個人的圖像或生物信息等（包括某些單獨使用時無法識別，但與其他信息進行對比后，能夠由此識別特定個人的信息）。2、信息主體根據(jù)特定信息進行識別或者能夠識別的對象。指擁有該個人信息的本人。3、個人信息取得是指為明確目的而獲取個人信息的行為。4、個人信息處理是指利用計算機和相關配套設備及軟件對個人信息進行錄入、存儲、編輯、修改、檢索、刪除、輸出、傳輸和銷毀等行為。5、信息主體同意信息主體對與自身相關的個人信息的取得以及使用表示同意，原則上以信息主體的簽名、蓋章為準，下述情況視為已取得信息主體同意：a ）未成年人和無法對事情做出正確判斷的成年人應由家長或監(jiān)護人代表同意；b ）在取得個人信息時，單位與信息主體簽訂的合同中規(guī)定了個人信息的使用，而且信息主體同意履行合同。二、個人信息保護法規(guī)1、國際個人信息保護法規(guī)建立情況國際上建立個人信息保護法規(guī)的國家和組織有50多個，最重要的和對國際上影響比較大是兩個國際組織的個人信息保護法規(guī):(1)世界經濟合作發(fā)展組織（OECD）關于保護隱私和個人數(shù)據(jù)跨國流通指導原則，其中所規(guī)定的個人信息保護八項基本原則，已經得到了國際上的認可，許多國家在此基礎上不斷進行補充和完善制定本國的個人信息保護相關法規(guī)。OECD八項原則為：1)、收集限制原則。個人信息的收集必須采取合理合法的手段，必須征得信息主體的同意；2)、信息內容的正確性原則。個人信息必須在利用目的范圍內保持正確、完整及最新狀態(tài)；3)、目的明確化原則。個人信息收集前要明確使用目的，并在目的范圍內收集；4)、使用限制原則。對個人信息資料不得超出目的范圍外使用；5)、安全保護原則。對個人信息的丟失、不當接觸、破壞、利用、修改、公開等危險必須采取合理的安全保護措施加以保護；6)、公開原則。個人信息管理者必須用簡單易懂的方法向公眾公開個人信息保護的措施。7)、個人參加原則。信息主體有權知道自身信息的所在位置，有權對自身信息提出質疑，有權對自身信息進行修改、完善、補充和刪除。8)、責任原則。個人信息的管理者對個人信息的保管負全責。(2) 歐盟的歐盟數(shù)據(jù)保護指令，在歐盟指令的要求下，歐盟的40多個國家都建立了個人信息保護相關法規(guī)。特別是，歐盟指令規(guī)定，第三國的隱私法律只有經歐盟委員會判定達到“充分的”保護標準，才能自歐盟進行跨境個人信息傳輸，在歐盟數(shù)據(jù)保護指令第四章向第三國進行個人數(shù)據(jù)轉讓中做了如下規(guī)定：（原文）Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data CHAPTER IV - TRANSFER OF PERSONAL DATA TO THIRD COUNTRIESArticle 25 Principles(1) The Member States shall provide that the transfer to a third country of personal data which areundergoing processing or are intended for processing after transfer may take place only if,without prejudice to compliance with the national provisions adopted pursuant to the otherprovisions of this Directive, the third country in question ensures an adequate level of protection,。 這項規(guī)定也促使許多非歐盟國家為了滿足歐盟的要求也開始制定個人信息保護相關法規(guī)。歐盟數(shù)據(jù)保護指令的基本要素是：透明度原則（Transparency）、良好的安全性（Good security）、獨立的監(jiān)管機關（Independent supervisory authority）、法律的有效執(zhí)行（Effective enforcement）、向第三國傳輸?shù)目刂疲–ontrols on transfers to third countries）；歐盟數(shù)據(jù)保護指令數(shù)據(jù)保護的基本原則是：個人數(shù)據(jù)必須被公平合法的處理（Personal data must be processed fairly and lawfully）；為特定目的而收集，且不能以與此無關的方式進行處理（collected for specified purposes and not processed in an incompatible way）；具有合理的相關性并且不過度（adequate relevant and not excessive）；準確且不斷更新（accurate and kept up to date）；保存不超出完成收集時的目的所必需的期間（not kept longer than necessary for the purpose for which they were collected）；2、我國有關個人信息保護相關法規(guī)目前我國現(xiàn)有法規(guī)：憲法、民法通則、婦女權益保障法、未成年人保護法、民事訴訟法、中華人民共和國郵政法、醫(yī)務人員醫(yī)德規(guī)范及實施辦法、中華人民共和國傳染病防治法、中華人民共和國身份證書法、中華人民共和國母子保健法、中華人民共和國統(tǒng)計法、計算機國際聯(lián)網管理暫行規(guī)定實施辦法互聯(lián)網電子公告服務管理規(guī)定、個人存款賬戶實名制規(guī)定等相關法規(guī)中都有關于個人信息保護的相關條款，但是多比較原則，處罰的規(guī)定也不詳細。目前，非常需要一部個人信息保護的法規(guī)出臺。特別是近年來，隨著個人信息使用范圍的擴大和個人信息使用價值的提高，個人信息被非法使用、提供、傳輸、買賣的案件都有不斷報導。這些已經引起了國家相關部門的重視。在今年召開的十一屆全國人大常委會第七次會議上，表決通過了刑法修正案，增加了嚴打泄露或非法獲取公民個人信息行為的相關規(guī)定。在刑法修正案(七)增加了相關條款，規(guī)定，“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金”?！案`取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰?！薄皢挝环盖皟煽钭锏?，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！蔽覈鴤€人信息保護法（草案）也已經呈交國務院。相信個人信息保護法的出臺已經為時不遠。 三、個人信息保護標準1、國際相關標準目前國際上有關個人信息保護的標準并不多，對我國影響比較大的就是日本有關個人信息保護的工業(yè)規(guī)格標準：JIS Q15001：2006（個人信息保護管理體系要求事項），該標準于1999年制定并頒布，2006年修改。主要適用于處理個人信息的企業(yè)事業(yè)單位，規(guī)定了所有行業(yè)、所有規(guī)模的單位可以適用的個人信息保護管理體系的相關要求事項。在對跨境個人信息的保護方面，在3.4.3.4委托監(jiān)督中規(guī)定“企業(yè)在委托別人使用全部或部分個人信息時，必須選定符合充分保護個人信息水平的企業(yè)，為此，委托者必須確立委托者的選定標準?！边@造成了日本客戶在委托相關個人信息時，向其它國家的企業(yè)提出個人信息保護方面的要求，中國在與日本企業(yè)的合作中如果沒有相關的個人信息保護能力和水平，將會因此而失去訂單，不實行個人信息保護影響到中國軟件及信息服務外包產業(yè)的發(fā)展，特別是2005年4月1日，日本個人信息保護法頒布后，對我國對日外包軟件信息服務業(yè)產生了一定的影響，這也促使了我們個人信息保護工作的開展。2、我國的個人信息保護標準我國目前已經通過和發(fā)布的個人信息保護標準有兩個：（1）軟件及信息服務業(yè)個人信息保護規(guī)范DB21/T 1522-2007，該標準為遼寧省地方行業(yè)標準，是我國首個針對個人信息保護的地方行業(yè)標準，也是我國首個軟件及信息服務行業(yè)的標準。于2007年6月13日正式發(fā)布，2007年8月1日開始實施。該標準是依據(jù)我國信息管理及信息安全相關法規(guī)和標準，并參考世界經濟合作發(fā)展組織OECD關于保護隱私和個人數(shù)據(jù)跨國流通指導原則制定的。（2）個人信息保護規(guī)范BD21/T 1628-2008，該標準為遼寧省地方標準，是我國首個針對個人信息保護的地方標準。于2008年6月16日正式發(fā)布，2008年7月16日開始實施。該標準依據(jù)國際、國內相關法律、法規(guī)及信息安全相關標準，遵循OECD（世界經濟合作發(fā)展組織 Organization for Economic Co-operation and Development）關于保護隱私和個人數(shù)據(jù)跨國流通的指導原則，參考國際通行的個人信息保護相關法規(guī)和行業(yè)自律模式制訂。這兩個標準都是在我國首次發(fā)布的個人信息保護標準。標準中規(guī)定了個人信息保護相關術語和定義，原則、負責人及責任、方針、風險分析與基本規(guī)章、運行與實施、檢查、持續(xù)改進等單位個人信息保護體系建立所應具備的基本框架及要求。為企業(yè)個人信息保護體制的建立提供了參考依據(jù)，起到了指導作用。標準中規(guī)定了軟件及信息服務業(yè)個人信息保護原則：1) 取得與使用個人信息取得應采用合理合法手段，并應征得信息主體的同意。個人信息取得和使用應有明確目的，不得超范圍使用。2) 安全保障應采取必要的安全保護措施，防止個人信息的丟失、泄漏、篡改和破壞等事件發(fā)生。除信息主體同意外，個人信息不得提供給第三方。3）信息主體權利信息主體有權確認個人信息狀態(tài)。并擁有對個人信息提出刪除、修改和完善的權利。4）信息內容更新個人信息應確保在使用目的范圍內的正確性和完整性，并做到及時更新。四、個人信息保護認證1、國際相關認證國際上關個人信息保護的認證比較多，對我國有一定影響的認證主要有：（1）美國的BBOnLine隱私認證計劃（BBBonline privacy seal program）：美國BBBOnLine認證是網絡安全認證，BBBonline是促進良好商業(yè)顧問局（council of better business bureau ）的美國Better Business Bureau(BBB)全國性中小企業(yè)組織所成立的網站安全認證機構，它所提供的認證服務有Reliability Seal、Privacy Seal、Kids Privacy Seal等。其中Privacy Seal、Kids和Privacy Seal都是針對網站的個人隱私保護認證。該機構在1999年3月17日建立并開始其隱私認證計劃。（2）美國TRUSTe 認證TRUSTe是由商務網絡財團（CommerceNetConsortium）和電子前線基金會（ElectronicFrontierFoundation,EFF）所組建的一個獨立的非營利的組織，該組織成立于1997年6月10日，是美國首家網絡隱私認證民間機構，是一家非盈利組織。主要采取認證和監(jiān)督網站的隱私保護狀況和電子郵件政策。TURSTe隱私計劃包括：一般網頁的隱私計劃、歐盟安全港隱私認證計劃、兒童的隱私認證計劃、電子郵件隱私認證計劃，TRUSTe各種計劃都遵守許多政府和行業(yè)有關個人信息保護的法規(guī)和標準，包括加利福尼亞州網上隱私保護法（California Online Privacy Protection Act）、聯(lián)邦反垃圾郵件法（Federal CAN-SPAM Act）、聯(lián)邦貿易委員會批準的公平資訊慣例（Fair Information Practices）以及美國商業(yè)部的安全港隱私保護原則（Safe Harbor Privacy Principles）。（3）日本的P-MARK認證P-MARK認證是日本針對計算機處理個人信息相關企業(yè)而開展的獲取個人信息保護標志的認證，它的認證機構是日本財團法人情報處理開發(fā)協(xié)會（JIPDEC），認證標準是JIS Q 15001。日本P-MARK認證制度從1998年4月開始。2005年4月1日，日本正式頒布了個人信息保護法，促進了P-MARK認證數(shù)的快速增長，至2009年認證企業(yè)已經超過了10000家。對以上三種認證體系的分析看：從認證對象來看，美國的認證范圍主要是針對網絡個人信息保護認證，特別是網絡交易平臺和網站注冊的個人信息的保護，特別重視信息主體的權利和網站個人隱私的保護。日本的P-MARK認證是針對所有企業(yè)個人信息保護體制建立的標準，可以給企業(yè)一個比較全面的個人信息保護體制建立的指導和幫助。從認證范圍看，美國的兩個認證都是跨國界的認證，但由于各國法規(guī)、標準的不一致性，要真正得到其它國家的認可還存在許多問題。而日本的P-MARK認證是一個針對日本全國的全行業(yè)的國家級認證，不針對日本以外的國家。目前，還沒有一個國際公認的個人信息保護的認證體系，但由于信息化社會的發(fā)展和全球經濟體系的建立，必將會促進一個全球化的信息安全體系的建立，建立國際統(tǒng)一的個人信息保護認證體系也是非常必要的。2、我國軟件及信息服務業(yè)個人信息保護評價體系（PIPA）軟件及信息服務業(yè)個人信息保護評價體系（PIPA）是我國目前最早的針對個人信息保護能力和水平的評價。目前已經與日本的P-MARK認證實現(xiàn)了相互認可。目的是幫助企業(yè)建立個人信息保護規(guī)章制度、運行實施并不斷改進和完善，使單位的個人信息保護能力和單位信息安全級別得到提高，使客戶、消費者和員工的個人信息得到有效保護。建立個人信息保護體制的單位可以通過PIPA評價，得到個人信息保護合格證書和PIPA標志使用權，以證明單位的個人信息保護能力和水平，以此得到客戶和消費者的信任。（1）PIPA簡介PIPA全稱：個人信息保護評價（Personal information protection assessment）評價標準：軟件及信息服務業(yè)個人信息保護規(guī)范（DB21/T 1522-2007）（以下簡稱規(guī)范；評價機構：大連軟件行業(yè)協(xié)會開始時間：2006年5月PIPA是針對計算機處理相關單位而開展的個人信息保護能力的評價，主要適用于利用計算機對個人信息進行處理的相關單位。評價程序按照前期審查現(xiàn)場審核公示審批過程嚴格進行，通過PIPA的單位，可以得到個人信息保護合格證書、PIPA標志和PIPA-MARK互認標志使用權，有效期兩年。（2）PIPA評價機構PIPA評價機構下設個人信息保護工作委員會和PIPA辦公室。PIPA辦公室主要負責PIPA文件管理和事務性工作，負責PIPA受理及投訴，負責評價員的聘任及管理工作，PIPA辦公室下設培訓教育部門，負責個人信息保護企業(yè)培訓和評價員培訓、考核。工作委員會主要負責標準和PIPA體系相關文件的制定、修改和完善，負責PIPA申批、投訴及事故的處理結果的審批，負責對PIPA的監(jiān)督，聘任評價員的審批等工作。工作委員會下設：標準組、仲裁組、宣傳推廣組、國際交流組和教育培訓組。標準組主要負責標準的研究和制定；仲裁組負責投訴及事故的調查及處理；宣傳推廣組負責PIPA宣傳推廣；國際交流組負責國際間的交流與合作；教育培訓組負責個人信息保護人才的教育及培養(yǎng)研究及試點，開展個人信息保護人才培養(yǎng)工作。（3）PIPA的管理與監(jiān)督申請個人信息保護評價單位需要按照規(guī)范要求建立本單位個人信息保護相關規(guī)章制度，在單位內實施個人信息保護，并至少運行三個月。申請方應在申請前三個月內沒有發(fā)生過重大個人信息保護事故。申請方應是自愿參加評價。評價機構對個人信息保護合格單位有監(jiān)督管理的權利，可以對單位個人信息保護情況進行抽查，對抽查不合格單位將限期整改，整改后仍不合格的單位，將取消個人信息保護合格證書和PIPA標志的使用資格。以下情況將對PIPA企業(yè)進行復審：一是在對申報單位在個人信息保護方面有重要舉報和投訴并確認為事實時；二是，在個人信息保護方面發(fā)生重大事故時；三是，在企業(yè)更名、辦公場所或業(yè)務有重大變化時，對抽查和復審不合格單位，將取消個人信息保護合格證書和PIPA標志的使用資格。（4）證書與標志通過PIPA的單位，可以得到個人信息保護合格證書、PIPA標志和PIPA-MARK互認標志使用權，有效期兩年。五、國際合作方式探討1、歐盟的安全島模式。2000年3月14日，美國與歐盟就個人信息保護的“安全港”模式提出美國和歐盟都可以接受的建議。這項建議的內容為，如果美國產業(yè)對 “安全港口協(xié)議”（Safe Harbor Agreements）表示同意，就可以在進行嚴格隱私權保護的歐盟進行交易。這項提議于2000年6月獲得歐洲議會的通過。美國商務部也于2000年7月21日公布了這一協(xié)議。該協(xié)議包括1998年“國際安全港隱私保護原則”中的七大原則12： 1告知（NOTICE）。企業(yè)必須告知資料本人資料收集、使用的目的，投訴的方式，向第三方披露個人資料的類型以及本人選擇或限制企業(yè)使用、披露個人資料的方法，而且通知必須使用清楚、明確的語言。2選擇（CHOICE）。資料本人有權決定其資料是否向第三方公開或被用于與最初收集目的不同的其他目的，為實現(xiàn)選擇的權利，企業(yè)應提供明確、可行的選擇機制。對于敏感資料利用，尤其應經過本人肯定、直接的授權。3轉送（ONWARD TRANSFER）。為向第三方披露個人資料，企業(yè)必須使用通知、選擇原則，否則，當?shù)谌綄Ρ救藰嫵汕謾鄷r企業(yè)不能免責。4安全（SECURITY）。企業(yè)處理、保有、利用或傳播個人資料時，必須采取合理的措施以防止資料被丟失、濫用、歪曲和毀壞。5資料完整（DATA INTEGRITY）。企業(yè)必須采取合理措施保證其使用的個人資料的準確、完整和更新以及與使用目的的關聯(lián)性。6渠道（ACCESS）。本人應獲得糾正、修改、刪除不實資料的渠道，除非使用這種渠道的成本過高以至于違反比例原則。7執(zhí)行（ENFORCEMENT）。包括救濟機制和進入安全港的批準原則等。此協(xié)議在企業(yè)責任、投訴機制以及進入安全港的企業(yè)資格方面，都有著更為嚴格的要求，該協(xié)議也充分體現(xiàn)了歐盟95指令對美國的重大影響，以及美歐之間在網絡隱私權保護及電子商務發(fā)展方面的斗爭與妥協(xié)。2、互認模式（PIPA與P-MARK互認）中國的PIPA與日本的P-MARK“個人信息保護認證體系”之間的互認，是兩個國家間個人信息保護體系的全面認證。PIPA與P-MARK的互認合作工作從2005年開始，2006年10月份日本的P-MAR認證機構（情報處理開發(fā)協(xié)會（JIPDEC）開始與中國PIPA評價機構（大連軟件行業(yè)協(xié)會）簽署了互認合作協(xié)議，于2008年6月19日中國的PIPA與日本的P-MARK正式實現(xiàn)了互認?；フJ簽字儀式在大連軟交會上舉行。日本的P-MARK認證與中國的PIPA評價通過兩年的合作，雙方認為在評價制度、方法、水平等方面達到一致。雙方同意全面相互承認，并可共用同一認證標志。這是國際上首個兩國相互全面承認的個人信息保護認證體系的合作項目。它標志著中日兩國在個人信息交流方面的壁壘與障礙已消除。中日雙方個人信息保護認證體系的相互認可，使兩國在個人信息保護方面達成了共識，中國通過PIPA的企業(yè)將等同于日本通過P-MARK的企業(yè)，這樣就打破了日本在信息服務外包中的個人信息保護的門檻。這也促進了我國與日本信息服務外包業(yè)的合作與發(fā)展。六、2008年軟件及信息業(yè)個人信息保護工作軟件及信息服務業(yè)個人信息保護工作一直走在我國個人信息保護工作的前列，中國軟件行業(yè)協(xié)會、國家商務部、國家工信部、遼寧信息產業(yè)廳、大連市信息產業(yè)局等單位給予這項工作以大力支持和關注?？偨Y2008年個人信息保護主要完成以下工作：1、編制發(fā)布遼寧省個人信息保護標準由大連軟件行業(yè)協(xié)會編寫的遼寧省個人信息保護規(guī)范DB21T1628-2008，于2008 年6月16日正式發(fā)布，2008年7月16日實施。該標準的發(fā)布將對遼寧省各行業(yè)個人信息保護工作的開展起著指導和規(guī)范作用，對全國的個人信息保護工作也將起著積極的推動作用。2、完善PIPA評價體系作為我國首個針對個人信息保護的評價體系（Personal Information Products Assessment，PIPA），在2008年得到進一步的完善。（1）建立和完善了評價員管理、考評及聘任制度，制定了評價員管理辦法，使評價員的選擇、培訓和評價更加規(guī)范化，為評價質量的提高打下好的基礎；（2）建立投訴及事故報告制度，建立對應的投訴及事故處理流程，編制了事故報告及事故處理報告等一系列文件。投訴制度的建立和事故報告制度的建立完善了評價體系，保證了信息主體的權利可以落實，同時，也實現(xiàn)了對企業(yè)的第三方監(jiān)督制度的建立，保證了對個人信息保護方面的意見、建議和投訴可以得到及