个人信息保护管理体系认证全面启动

随着个人信息在社会及经济活动中的地位日益凸显，如何保护信息系统中包含的海量个人信息数据，一直是各国关注的问题。为保证个人信息的安全，我们亟需借鉴国内外对个人信息保护认证的经验，建立起我国对个人信息保护认证体系。

个人信息保护的现状不容乐观

在我国，个人信息保护对社会及经济活动的影响已经日趋重要。近年来个人信息泄露事件频发，个人信息不当利用已经形成产业链，负面影响越来越大。

客户资料系统信息泄露、企业对个人信息的滥用等个人信息保护的问题严重影响到人民群众的日常生活秩序，公众迫切需要加强个人信息保护的力度。

2012年，我中心选择了七类105家网站，对个人信息保护政策进行了测评，整体仍处于“个人信息保护意识逐步提高”的阶段，一些网站对个人信息保护的意识亟待提高。最近，我们又选取了100个普及率较高网站(包括一些常用的门户网站以及电子商务网站)，对其用户口令的安全性进行评估测试。网站对用户口令的处理方式存在很大差异，一些网站甚至没有采用基本的技术措施对用户口令的安全性进行保障。这两次的测评结果都表示企业对客户个人信息保护的现状不容乐观。

亟需个人信息保护认证体系

我国对个人信息保护工作的发展极为重视：2012年，在工业和信息化部的指导下，由中国软件评测中心牵头制定的《信息安全技术、公共及商用服务信息系统个人信息保护指南》国家标准即将出台，这标志着我国个人信息保护工作已经迈出了重要的一步。

在广泛调研国外个人信息保护工作的基础上，为了进一步落实上述标准，提升个人信息保护水平，建立企业对个人信息的保护规范，我们需要建立起我国对个人信息保护的认证体系。

国外对于个人信息保护认证的体系较为成熟。如受到APEC秘书处的认可和支持的跨境隐私规则(CBPR)体系(目前中国还没有实施CBPR体系认证)、日本的P-MARK认证、韩国ePrivacy
Mark认证等等。从各个认证体系的运行情况来看，它不仅保障了开展业务活动的公司的电子数据得到跨境保护而不损害信息流通，还有助于建立统一的隐私政策。同时提高了用户对个人信息的保护意识，帮助企业获得了社会信任。

我国大陆地区关于个人信息保护认证的现状：仅大连软件行业协会依据地方性标准《个人信息保护规范》开展了个人信息保护评价工作，形成了PIPA认证。

我国个人信息保护认证体系的建立将有效保护广大人民群众的个人信息，对个人来说可以通过此渠道了解企业的个人信息保护状况。认证体系的广泛普及将推动行业内的个人信息保护发展，促进行业监管部门对行业内部个人信息保护态势的掌握，也将提高我国信息服务业相关企业整体的个人信息保护能力。

个人信息保护管理体系认证内涵

中国软件评测中心在个人信息保护国家标准《信息安全技术、公共及商用服务信息系统个人信息保护指南》的基础上建立了个人信息保护管理体系认证，对企业级的个人信息保护能力进行总体评价。在通过我中心制定的个人信息保护管理体系认证流程后，得到个人信息保护的认证书，证明企业的个人信息保护能力和水平。通过企业级信息系统客户信息安全状况评估及认证，能帮助企业提升个人信息保护技术和管理水平，加强个人信息保护，营造一个健康有序的互联网环境。

个人信息保护管理体系认证通过追踪个人信息的整个生命周期，对企业级的个人信息保护能力总体评价。通过体系认证流程后，颁发个人信息保护认证书，证明企业的个人信息保护能力和水平。

认证对象：各行业使用自动或非自动处理全部或部分用户个人信息的企业、事业单位及其他组织机构。

认证内容：建立个人信息保护管理体系的企业可以通过评估，获得个人信息保护认证，证明该企业的个人信息保护的实际能力和水平。

适用范围：个人信息保护对每个企业或组织来说都是需要的;个人信息保护管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。主要针对个人信息泄露的重灾区——互联网行业，同时也涉及电信、保险、银行、数据处理中心、软件外包等行业。

积极作用：保持企业良好的竞争力和成功运作的状态，最大限度地增加投资回报和商业机会;预防个人信息安全事故，保证企业业务的连续性，使企业的重要个人信息资产受到与其价值相符的保护;节省企业个人信息保护费用;强化员工的个人信息保护意识，规范组织个人信息保护行为;与国际接轨，促进企业与境外企业的合作交流。