个人信息保护指南2月起实施：八项原则如何落地

12月24日，十一届全国人大常委会第三十次会议听取了《加强网络信息保护的决定(草案)》的说明。据了解，草案在保护公民个人信息、治理垃圾电子信息、网络身份管理等方面做出了规定。

本报记者同时获悉，工信部联合其他部门起草的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)将于2013年2月起实施。与从制度上进行监管的《草案》相比，该《指南》是从技术、信息系统上进行监管。

“此前，关于网络安全监管的呼声频频，这一次形成立法草案，表明大家对网络安全越来越关注。”知识产权专家、知名IT界律师赵占领告诉记者，自3Q大战以后，网络安全的问题就暴露出来;2011年12月，互联网用户信息泄漏事件再次将网络安全置于聚光灯下。

技术与制度双管齐下

今年11月5日正式发布的《指南》，对贯穿于收集、加工、转移和删除等四个环节的个人信息处理进行了详细规定。比如，在进行个人信息的收集时，“要采用个人信息主体易知悉的方式，向个人信息主体明确告知和警示”。在加工阶段，要“不违背收集阶段已告知的使用目的，或超出告知范围对个人信息进行加工。”在转移过程中，个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。在删除阶段，个人信息主体有正当理由要求删除其个人信息时，及时删除个人信息。删除个人信息可能会影响执法机构调查取证时，采取适当的存储和屏蔽措施。

《指南》还提到了个人信息保护的“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”等8项原则，每一条原则都做了详细的解释。其中，“最少够用”的原则指“处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息”。

“《指南》中的公开告知、个人同意两个原则强调了个人的知情权。无论是哪个阶段，个人信息主体的权利要得到尊重。”赵占领说道。

“《指南》这个标准是一个整体性的技术标准，指导企业依照什么样的原则去处理个人信息。”据《指南》标准主要编制人、中国软件测评中心研究员刘陶介绍，目前，中国软件测评中心已经承接了发展和改革委员会的几个标准类项目，拟起草几个关于个人信息保护的执行条例。“接下来的几个标准，可以逐步将《指南》中的各项框架性标准进行完善。”

关于个人信息保护，在这次人大法案当中也有提及。《草案》规定，网络服务提供者为用户办理固定电话、移动终端等入网手续时，为用户提供信息发布服务，与用户签订协议时，要求用户提供真实的身份信息。未经电子信息接收者同意或者请求，不得向其手机或个人电子邮箱发送商业性的电子信息。

“人大法案是从制度上进行监管，《指南》是从技术、信息系统上提出监管。”刘陶告诉记者，这个标准是用来指导实施的，本身不具有法律效应。但是通过主管部门的推动，可以提高标准的贯彻和推动，以及执行。

安全的边界

在互联网上，无论是用户的即时通讯账号，还是社交网络账号，抑或邮箱密码，几乎都被“盗”过，每位互联网用户都处于“裸奔”的状态。

不仅如此，手机也已经成为新的个人信息泄漏的“重灾区”。一份来自奇虎360安全中心的《2011年中国手机安全状况报告》显示，2011年全年，安卓手机平台新增恶意软件及木马4722个，被感染人数超过498万人次，已经成为移动互联网安全攻防战的主战场。

除恶意扣费外，窃取用户隐私已经上升为手机木马的主要危害之一。一些木马会收集用户隐私信息、包括用户短信息、通话记录、所处位置，手机运行的程序等都会被上传到软件服务器中，甚至每按下一个键盘都会被秘密地记录。

个人信息泄漏已经形成了一条产业链，并具有泄密渠道多、范围广、程度深等特点。通过“挂马”、“抓鸡”、“洗信”等一系列专业的技术，和严密的流程配合，以及代理制度，越来越多的个人信息已经曝光。个人用户对自己的信息泄漏只能忍受，而无法做出任何反应。

这项《草案》明确规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”

“个人信息泄漏情况较为严重，直接由全国人大常委会立法进行规范，那么效力等级是最高的，
影响也会更大，个人信息保护的立法体系也更完善。”赵占领表示，目前，关于个人信息泄漏的案件，除了依据刑法修正案七追究刑事责任之外，也可以通过立法进行民事索赔，甚至进行行政处罚。如果《草案》获得通过，则以后诉讼能够以其作为法律依据。

此前，在个人信息保护上，由于专业性较弱、救济偏事后、立法不完备等原因，很难从根本上防范个人信息被非法利用的行为。而诸如刑法修正案(七)、侵权责任法乃至修改后的居民身份证法则操作性差。而个人信息保护法，虽然被寄予厚望，但是自2003年开始起草以来，却未能进入正式的立法程序。

《草案》中值得一提的是网络身份管理，这与自很早推行的实名制相关。“可以实行后台的身份管理办法”意味着，可以实行前台匿名、后台实名的管理。在后台“备注”为实名之后，在此前提下，用户可在前台用与实名对应的虚拟用户名发布信息。

“前台匿名、后台实名的方法对打击网络水军，并不一定能够起到太多的作用。微博推行实名注册，但并没有将实名认证贯彻执行。那些刷粉公司还是可以找到很多身份证号进行注册。”赵占领认为。

华南师范大学计算机学院副院长单志龙在接受本报记者采访时表示，保证实名制，需要建立起一套完善的机制。这首先需要一些独立的网站进行安全评级，通过网站管理、安全措施、安全投入、技术人员水平等来判断某个网站的安全级别。

对于拥有大量用户的企业来说，实行实名制的压力会更大。实名制需要的保障机制没有做到，那么就无法实名。论坛、微博等产品影响较大，并且经常处于舆论的风口浪尖，那么要求实名后，如果一旦泄漏，相应的企业根本无法担责。

在单志龙看来，企业需要尽好企业的责任，“互联网企业的信息越来越精确，对于企业来说，需要将自己企业的围墙建立起来”。