【导语】《个人信息安全规范》标准制定项目已经在全国信息安全标准化技术委员会立项,并被列为今年的重点标准项目。
2016年8月25日,公安部刑事侦查局官方微信发布紧急提醒,170、171号段是虚拟运营商专门号段。接到这两个号码段来电的用户千万要小心,已有多人被骗!供图/CFP
随着信息技术的高速发展,个人信息的搜集变得越来越容易,信息泄露问题也越来越严重。8月19日,山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗9900元,徐玉玉在报案回家途中晕厥,心脏骤停,不幸离世。9月9日,公安部公布徐玉玉案诈骗细节,嫌疑人通过攻击“山东省2016高考网上报名信息系统”,盗取了包括徐玉玉在内的大量考生报名信息。电信诈骗恶性事件的频发,也引发公众对个人信息保护的关注。
如何保护个人信息安全?加快出台个人信息安全规范、保护指南等网络安全国家标准是当务之急。近日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发布了《关于加强国家网络安全标准化工作的若干意见》(以下简称《意见》),《意见》的第二部分《加强标准体系建设》中提出“推进急需重点标准制定”,并明确将制定“个人信息保护”方面的标准列为近期工作重点之一。
上网如履薄冰只因遍布“荆棘”
当下,我国个人信息保护现状亟待改进。仅2014年,中国就有多家知名电商、快递公司、招聘网站、考试报名网站等发生信息泄露事件,其中由于用户管理模块存在漏洞,某知名手机厂商论坛包括账号、密码和社交账号等800万用户个人信息遭泄露;最新发布的《2015年我国互联网网络安全态势综述》显示,过去的一年我国同样发生了严重的数据泄露事件:约10万条应届高考考生信息泄露事件、某票务系统近600万用户信息泄露事件等等。
在2016年4月19日召开的网络安全和信息化工作座谈会上,习近平总书记高屋建瓴地对网信工作六大重点问题进行了系统性论述,提出了“以人民为中心”的网信发展思想,并做出了“网络安全为人民、网络安全靠人民”的重要指示。显然,现实状况和总书记提出的要求有明显差距。如果个人信息遭未经授权的访问、使用、披露、破坏、修改等的局面不加改善,网络空间依旧荆棘遍布、陷阱重重,老百姓上网、用网不放心,互联网如何能成为人们学习、工作、生活的新空间,获取公共服务的新平台?
正如《意见》指出,“网络安全标准化是网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用”,为实质性地改善收集、使用个人信息的组织机构的行为,急需一套科学、先进并且符合现实需求、具有操作性的个人信息保护行为规范。
目前,《个人信息安全规范》标准制定项目已经在全国信息安全标准化技术委员会立项,并被列为今年的重点标准项目。参加该标准制定工作的单位包括北京信息安全测评中心、颐信科技有限公司、中国信息安全研究院、中国电子技术标准化研究院、公安部第一研究所、四川大学、上海国际问题研究院、腾讯、阿里巴巴等。
立足国情接轨国标制定“攻略”
《个人信息安全规范》标准将针对处理个人信息的各类组织(包括机构、企业等),提出具体的保护要求,定位为我国个人信息保护工作的基础性标准文件,为今后开展与个人信息保护相关的各类活动提供参考,为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。
首先,《个人信息安全规范》将把握好以下四方面价值中的平衡:一是个人隐私权和信息自决权,包括在一定程度上控制个人信息的收集、使用、流转,以及控制基于数据作出的各项决定对个人的影响;二是发展利益,即企业和产业充分利用个人信息,提供、改进、创新产品和服务的合理诉求;三是公共利益,政府相关部门利用个人信息完成公共管理,以及社会发展所必须的信息自由流动和公众知情权;四是国家利益,个人信息跨境流动对国家主权、国家安全、国家竞争力等方面造成的正面、负面影响。
其次,《个人信息安全规范》将立足于我国现有的法律、法规、规章、标准,包括全国人大常委会《关于维护互联网安全的决定》、全国人大常委会《关于加强网络信息保护的决定》《刑法修正案(五)》《刑法修正案(七)》《刑法修正案(九)》《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28812-2012)、《信息安全技术信息技术产品供应方行为安全准则》(报批稿)等。除此之外,《个人信息安全规范》将参考个人信息保护方面最先进的国外立法。例如,OECD隐私框架、APEC隐私框架等国际规则,欧盟《通用数据保护条例》、欧美“隐私盾”协议、美国“消费者隐私权法案”等欧美个人信息保护方面的立法。
最后,《个人信息安全规范》将在参考个人信息保护方面的国际标准的基础上做到与国际接轨。ISO/IEC JTC1/S C2 7是国际标准化组织(I S O)和国际电工委员会(IEC)联合技术委员会(JTC1)下属专门负责信息安全领域标准化研究与制定工作的分技术委员会,SC27/WG5负责身份管理和隐私保护相关标准的研制和维护,目前最具代表性和体系性的属ISO/IEC 29100系列标准,包括:ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。此外,还有美国的保护个人身份信息机密性指南(NIST SP800-122)、联邦信息系统隐私与安全控制(NISTSP800-53);欧盟的数据保护审计实践清单(CWA 15262:2005),管理者的自评估框架(CWA 16112:2010),个人数据保护良好实践(CWA 16113:2010),等等。
顺应发展方让个人信息“无虞”
当今社会逐渐进入大数据时代,习近平总书记2015年5月在给国际教育信息化大会的贺信中指出,“当今世界,科技进步日新月异,互联网、云计算、大数据等现代信息技术深刻改变着人类的思维、生产、生活、学习方式,深刻展示了世界发展的前景。”
大数据时代,数据正在成为一种生产资料,成为一种稀有资产和新兴产业。任何一个行业和领域都会产生有价值的数据,而对这些数据的统计、分析、挖掘则会创造意想不到的价值和财富。
然而,大数据技术和应用的迅猛发展也使得个人信息保护面临更多挑战:收集环节——移动互联网和物联网的发展使对个人信息的收集日益密集、隐蔽;使用环节——多来源的个人信息组合,形成数字画像、实时追踪,数据挖掘增加个人信息和隐私暴露的风险,显著影响个人权益;披露环节——数据流转、交易形成链条,信息处理主体多元,流转方式纷繁复杂,个人信息跨境流动成为常态。
《个人信息安全规范》的编制工作将充分体现安全与发展的关系,在开放发展的大环境下保护公民个人信息,既要顺应大数据等新技术新应用的发展,也要建设科学有效的机制抵御其带来的风险,研制出符合我国信息化发展现状的个人信息保护标准。
(本文转自中共中央网络安全和信息化委员会办公室官网,作者洪延青:四川大学网络空间安全研究院;姚相振、何延哲:中国电子标准化技术研究院)