本篇文章1186字,读完约3分钟
工业和信息化部相关部门负责人近日透露,《信息安全技术:公共和商业服务信息系统个人信息保护指南》将于今年上半年正式发布,这被认为是中国个人信息保护的第一个国家标准。事实上,在此之前,专家和业内人士已经提出了很多个人信息保护的建议,但这种“多管齐下”的做法又怎么能保证它不会“见风不见雨”?
专家认为,第一个措施应该是减少个人信息的收集,即“最小信息收集”或“最小充分原则”。上海潘阳律师事务所高级合伙人刘春泉指出,此前韩国曾发生过大规模的知名网站用户信息泄露事件,从那以后,韩国要求个人或企业在使用用户身份信息时必须事先获得批准。这不仅降低了用户信息泄露的风险,还增强了事后问责的可操作性。在处理类似事件时,美国倾向于对互联网公司实施惩罚性赔偿,迫使它们减少用户信息的收集。
《指南》的起草者高志阳表示,《指南》的关键原则之一是“最少”原则。例如,如果你在论坛注册,你不需要留下你的家庭地址,由手机网络公司收集和保存用户信息,这样就减少了用户信息泄露的风险。
另一项措施是严格制定法规,限制在互联网上获取个人信息。围栏网总裁张国华表示,围栏网在创建“真实社区”实现用户实名认证时,对用户信息查询设置了严格的权限。除了负责监督用户个人信息的后台主管,任何人都无权查看用户的注册信息。公司还建立了严格的用户信息泄露处罚制度。
专家表示,电信、医疗、教育等拥有大量公民信息的单位应严格限制有权查询公民个人信息的人数,建立分级查询制度,明确问责制度。
据业内人士讨论,虽然我国行业和地方有关个人信息保护的法律法规非常丰富,但在个人信息保护方面仍存在几个问题:保护的定义很难界定,即如何区分合法使用个人信息和非法使用个人信息;难以获得披露的证据,即难以追踪披露发生在何处;统一执法很难,也就是说,不同的监管机构在执法时很难做到宽严相济。为了同时解决这些问题,我们需要一部专门的个人信息保护法。
事实上,国务院有关部门从2003年开始研究制定个人信息保护立法,但由于行业内难以达成共识,迟迟未能出台。工业和信息化部信息安全协调司副司长欧阳武表示,国际立法界保护个人信息的新趋势是“预防为主”,因为在互联网时代很难找到具体的侵权人,即使事后追究责任,影响也无法消除。因此,有必要事先采取防范措施,明确个人信息管理者的一系列法律责任。
参与起草个人信息保护立法的专家周汉华表示,即使出台个人信息保护法,要保证其有效实施,也必须注意三个问题:一是平衡原则,即必须保证信息的充分流通,促进信息社会的进步。还要避免滥用个人信息;第二,他律与自律相结合,监管责任不能全部移交给政府部门,应建立有效机制促进企业自我管理;第三,它体现了执法的威慑力,在现实中真正做到了严格守法。
此外,一些专家建议,应利用技术手段为非法收集和滥用个人信息建立投诉渠道和监测手段,从而为保护个人信息提供技术解决方案。