软件及信息服务业中的个人信息保护探讨
计算机和网络的发展使得信息的传递变得方便而迅速,存储设备的发展也使得大量信息的存储和携带变得非常容易,信息技术和网络的发展在给人们带来快乐和方便的同时,也为人们带来了担忧,个人信息的丢失和泄漏成为人们时时担心的问题。
一、 国际个人信息保护状况
相关法规的建立
在国际上,由于网络的迅速发展,国际间信息交流的快速增加,特别是网上金融交易和网上购物的实现,大量个人信息在网上流动,非法收集、利用、公开个人信息的案件时有发生,个人信息的保护已经成为各国关注的一个重要问题,国际上许多国家都已经制定了个人信息保护相关法规和标准,目前国际组织、机构和国家已经建立的个人信息保护方面的主要法规有:
1973年瑞典颁布《数据法》;
1974年美国颁布《隐私法》;
1976年西德颁布《联邦数据保护法》;
1978年法国颁布《数据处理、档案与自由法》;
1980年欧盟颁布《关于保护自动化处理过程中个人数据的条例》;
1980年OECD发表《关于保护隐私和个人数据跨国流通指导原则》;
1982年加拿大颁布《隐私保护法》;
1984年英国颁布《数据保护法》;
1986年美国颁布《电子通信隐私法》;
1995年欧盟颁布《个人信息保护指令》;
1999年美国政府公布《互联网保护个人隐私的政策》;
2003年日本颁布《个人信息保护法》.
主要个人信息保护原则
有关个人信息保护的原则最重要的是OECD国际经济合作组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家以此为依据制定本国的个人信息保护法,并在此基础上不断进行补充和完善。现将国际上个人信息保护的主要原则归纳如下:
1、收集限制原则。个人信息的收集必须采取合理合法的手段,必须征得信息主体的同意;
2、信息内容的正确性原则。个人信息必须在利用目的范围内保持正确、完整及最新状态;
3、目的明确化原则。个人信息收集目的要明确化,不能超范围利用;
4、限制公开原则。对个人信息资料的提供不得超出收集目的,不得随意提供给第三者;
5、安全保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取合理的安全人保护措施加以保护;
6、公开原则。必须以方便的方法和人们容易理解的语言向社会公开有关个人信息保护的政策;
7、个人参加原则。信息主体有权知道自身信息的所在位置,有权对自身信息提出质疑,有权对自身信息进行修改、完善、补充和删除。
8、责任原则。个人信息的管理者对个人信息的保管负全责;
9、使用原则。个人信息的公开和使用不得超出收集目的的范围,除非得到信息主体的同意。
10、个人取用原则。信息主体有权随时取用和复制自身的资料。
这些个人信息的保护原则体现了对人的尊重和对个人信息的规范管理,在保护个人信息的同时,让个人信息能真正实现自身价值和更好地为公众服务。个人信息的保护不是为了限制个人信息的流动,而是要对个人信息的流动进行正规的管理和规范,以保证能符合信息主体同意的目的,保持信息的正确、有效和安全。保证个人信息能够在合理、合法的状态下流动。
目前,更多的国家正在加入个人信息保护行列,我国的个人信息保护法也在制定中。这也表明了我国对个人信息保护的重视。
二、软件及信息服务业是个人信息保护的重要行业
个人信息保护主要涉及的行业有信息服务业、金融保险业、医疗服务业、政府机关、电信业、教育、广告及印刷、劳动服务业、制造业等,而这些行业中有关个人信息的计算机和网络系统、相关软件及数据库的建立多数来自于软件及信息服务业的服务,包括软件开发中的安全设定、数据库建立规则和数据录入,都会涉及到软件开发企业和数据处理企业,所以说软件及信息服务业是个人信息保护的重要行业。
三、国际个人信息保护制度对大连市软件及信息服务业的影响
随着国际交流的增加和国际业务的增多,国际上对个人信息保护的要求也对我国的企业产生了影响,在有个人信息保护法规的国家与其它国家间进行项目合作和交流时,会考虑到该国家个人信息保护的情况,而且会优先选择有个人信息保护的国家合作。在1995年欧盟颁布的《个人信息保护指令》特别要求对于将个人信息转移至第三国时,该第三国对于个人信息要有适当的保护,否则将不被允许。在国际业务的交流中,个人信息的保护已经成为一项重要的衡量条件之一。
国际上个人信息保护制度的建立也影响到了大连的软件和信息服务业。大连是一个改革开放的城市,软件业是大连的重点产业之一,同时大连是我国软件外包基地之一,大量软件及信息处理业务来自于国外,对个人信息保护的要求已经对大连软件及信息加工业外包业务的承接造成了影响,特别是在对日外包业务中。由于大连的外包业务多数来自于日本,所以日本个人信息保护法的颁布、特别是2005年4月1日开始的针对日本信息处理企业的P-AMRK认证制度的实行,对大连的外包企业造成了很大的影响,是否实行个人信息保护已经成为承接外包项目的一个准入证。
目前对大连软件及信息服务业的影响主要表现在以下方面,从整体看,在信息服务业表现为对加工信息发包谨慎,在软件加工业的表现为不提供测试数据。对单个承接企业看,客户会在个人信息保护方面提出具体要求,并在合同中增加个人信息保护相关条款和违反规定的处罚。在企业与国外客户签订的合同中有关个人信息保护不当所造成损失的惩罚条款的金额相当高,企业在接受相关业务时必须非常小心。为了满足客户在个人信息保护上提出的要求,减少企业因个人信息保护不当可能造成的损失,企业必须从管理入手,这促使大连的一些企业已经在着手建立本企业的个人信息保护制度,但这种以单个企业建立的个人信息保护制度,不能得到国外对大连整体软件及信息服务业的个人信息保护状况的认可。
四、大连面临国际上个人信息保护的挑战该如何做
在国际竞争激烈的社会中,面临国际的挑战,需要完善我们的管理制度和提高我们的管理水平,才能使我们的企业在国际竞争中立于不败之地。要想得到国际更多的订单和让国际认可,只有一条路,就是建立我们的个人信息保护制度,这需要政府、行业协会和企业的共同努力:
● 政府的支持是非常重要的,一项制度的建立和推行离不开政府的支持,大连信息产业局已经明确表示要大力支持大连软件及信息服务业个人信息保护制度的建立;
● 协会作为行业的服务部门,应该研究和组织制定行业内的相关个人信息保护规范,给企业以指导和帮助,提供培训和教育机会,引导和帮助企业建立个人信息保护制度,以协会的力量在行业内达成共识和建立个人信息保护规范,以整个行业管理水平的提高得到国际的认可;
● 企业作为个人信息保护的具体实施单位,应按照行业内共同建立的个人信息保护规范的要求去做,建立企业的个人信息保护制度,宣传并实施;企业要向每一个员工宣传建立个人信息保护制度的重要性,以每个人的努力来建立起企业的个人信息保护制度,以每一个企业的努力来提高整个行业的素质。
从2005年年初开始,大连软件行业协会应企业要求和国际相关机构的建议,开始研究国际上的个人信息保护原则和考虑建立大连软件及信息服务业个人信息保护行业规范。2005年协会多次组织个人信息保护知识的宣传和交流活动。在2006年1月份召开的大连软件及信息服务业个人信息保护研讨会上,信息产业局明确表示了对大连软件及信息服务业个人信息保护制度的建立将给予大力支持,并指示大连软件行业协会做好这件事。大连软件行业协会决定在2006年制定大连软件及信息服务业个人信息保护规范,该规范仅限于大连市软件及信息服务业的计算机信息处理业务相关企业、事业和社会团体,主要目的是在行业内建立个人信息保护规范和达成共识,促进大连市软件及服务业个人信息保护制度与国际接轨,在保护个人信息的同时,也使企业利益得到保护,促进大连软件外包业务的开展。
软件及信息服务业是个人信息保护的重要行业,这一行业的个人信息保护制度的建立,将对大连市个人信息保护工作起到一个推动作用。同时,也会提高大连市软件及信息服务业的信誉和在国际上树立大连软件企业优质品牌。
对于全社会来说,更重要的是要提高全民的个人信息保护意识,在制定相关法规和规范的同时,更要注意个人信息保护的宣传,让公民知道对自身信息的保护和权利,让政府和企业知道收集和利用信息的正确方法和要求,建立更有序的信息化社会。