个人信息保护与外包产业发展
文/本刊记者
编者按:近年来我国信息技术保护不容乐观,已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。随着互联网的飞速发展,个人信息泄露现象日益严重,信息泄露的渠道也渗透到各个领域。软件及信息服务业作为个人信息保护的重要行业,个人信息保护有着专业性和特殊性,在这一行业建立个人信息保护制度,将对我国个人信息保护工作起到有力的推动作用。
本刊邀请在个人信息保护方面的四位专家、三家企业代表为读者全面解读个人信息保护对促进我国行业发展的作用及影响。
专家篇
受访对象:(按采访时间先后排序)
大连市网络与信息安全专家组成员、大连交通大学教授郎庆斌
大连软件行业协会常务副会长、个人信息保护工作委员会副主任孙鹏
中国软件评测中心主任助理朱璇
中国标准化研究院国家标准技术审查部主任研究员王晓强
记者:首先请您向我们介绍一下目前我国个人信息保护的现状。根据您对有关国家和地区的了解,您认为我国在个人信息保护方面与其他发达国家(地区)相比还存在哪些差距?
郎庆斌:据相关统计,目前我国有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等等。然而,各个法规之间存在很大空隙,由此产生的法规边界效应,即目前国内针对个人信息主体的侵权泛滥和个人信息的滥用。
我国目前还没有制订专门的《个人信息保护法》,2003年我国启动了个人信息保护立法研究工作,但鉴于我国国情,短期内难以成为现实。
随着全球经济一体化和社会信息化进程的快速发展,国际间的贸易往来日益频繁,所引发的个人信息安全的需求迫在眉睫。欧盟、美国、日本等50多个国家和组织相继颁布了个人信息保护法规、标准以保护个人信息在政治活动、经济活动、社会活动、虚拟空间中的安全。在与这些国家进行项目合作和交流时,个人信息保护已经成为一项重要的制衡标准。为应对这一现实,大连市于2003年在全国创新性的率先开启了个人信息保护相关研究和建设性工作,初步构建了个人信息安全理论体系、实践验证体系和认证体系,相继出版多部专著、发布实施了省市个人信息保护地方标准、建设了个人信息保护评价机制等,对推动国内个人信息保护规制的建立起到了示范和奠基作用。
我国在个人信息保护方面与其他发达国家(地区)相比,存在的不是差异,而是国情。由于我国地域辽阔,经济、社会发展不平衡,自然生态系统、社会生态系统存在很大差异,经济、人文、社会发展亟不平衡,科学理念、科技进步难以同步,人的思维、意识因而存在差异,个人信息安全意识不趋同,即使发达地区,也存在差异。特别在社会经济发展相对滞后的地区,改变传统的以宗法制度为基础、强调群体价值和整体性思维方式,提高个人信息安全认知,构建个人信息安全法规、标准体系,需要假以时日,随着社会经济发展的不断进步,逐步实现。
孙鹏:从全国来看由于整体经济发展不平衡,不同行业和地区对个人信息保护的认识程度也存在差异。所以要让全国对个人信息保护统一步调还是有困难的。目前来看,个人信息保护意识沿海发达地区更重视一些,进展也比较快。由于互联网的发展牵扯到个人信息使用比较多,滥用现象较多造成危害也大了,所以近几年国家层面对于个人信息安全重视程度也加大了。
我国相比于其他发达国家和地区对于信息化的保护意识差距还是比较大的,这和社会经济发展有关。世界上大概有50多个国家和地区开展了个人信息安全保护工作。
目前国际上个人信息保护主要有三种模式:法律保护模式、行业自律模式和技术保护模式。
法律保护模式分为综合立法和分散立法,综合性立法,即通过制定关于个人信息保护的综合性的一般规范,并建立一个公共性的机构来实施对个人信息的保护。采取这一形式的国家和地区主要有欧盟成员国、澳大利亚、新西兰、加拿大、中国香港和中国台湾等。分散性的立法,是特定领域中制定保护个人信息尤其是网络个人数据资料的专门性的法律。采取分散性立法的优势在于有很强的针对性,明确具体而且便于操作,通过这些专门性的立法并结合本国的行业自律的规则,为公民的隐私权提供全面充分的保障。
行业自律模式有两种模式,一种是行业自律,通过行业内部制定行为规范或规章的形式,实现行业内部的自我规范和自我约束。通过这些行为规范或标准来约束从业者的行为,从而实现对个人信息的保护。二是认证制度,通过认证,对个人信息保护合格的企业颁发合格证书或者标志,让真正实行个人信息保护的企业得到社会和公众的认可和信任。
技术保护模式是通过软件和硬件的形式来达到对个人信息的保护,从而防止了个人信息的泄漏。技术模式也具有一定的局限性:首先,这些软件或系统本身的安全性值得怀疑。所谓“道高一尺,魔高一丈”,信息网络技术的发展日新月异,任何保护网络个人隐私的方法无论其创设之初是否在保护网络个人信息方面发挥了巨大的作用,都存在着被更为先进的侵害隐私的技术超越的可能,也就是说,为网络和电子商务设计一套完善的技术解决方案非常困难;其次,技术的方法很大程度上依赖于人们个人信息保护意识的强弱。在免费的服务和商品面前,人们往往选择放弃对个人信息的控制,这就使得任何保护个人信息的技术形同虚设。正是因为上述局限,使得技术保护模式不能取代行业自律规则和法律保护框架,而仅仅具有辅助保护的作用。
法律保护模式的出发点是克服技术模式和行业自律模式的最大不足——缺乏强制性,为个人信息保护提供充分的保护和尊重。欧盟是法律保护模式的积极倡导者,颁布了一系列保护网络个人数据资料的指令。美国则提倡以行业自律为主,日本既颁布了个人信息保护法,也建立了相关标准和认证体系。
我国在个人信息保护方面还刚刚开始起步,个人信息保护法还在制定当中,虽然在《中华人民共和国宪法》和《中华人民共和国民法通则》等许多法律中都有关于隐私和公民权利保护的条款,但缺少针对性比较强的个人信息保护法。
目前我国在个人信息保护方面存在的主要问题是:缺少个人信息保护法律、个人信息保护观念淡薄,不仅政府、企业、单位缺乏这方面的意识,就是个人对于自身信息也缺乏保护的意识、计算机处理相关个人信息的保护力度不够。
现在通过网络可以非常方便的收集大量个人信息,成本相当低,这为个人信息收集的非法利用创造了有利条件。目前,国家在信息安全管理方面已经有了一些法规和标准,但对于计算机处理个人信息的规范管理还缺乏相关的管理规范和标准。政府没有有效的管理,
政府是个人信息集中的重要部门,也是对企业管理的重要部门,对个人信息的保护需要政府制定相关法规和进行有效管理,目前,政府还没有相关的职能及管理措施。
朱璇:我国在个人信息保护方面尚没有出台个人信息保护的专门法律,相关规定散见于一些法律、行政法规和部门规章中。2011年,工业和信息化部组织开展相关课题研究时发现:我国现有涉及个人信息的法律有近40部、法律解释10条、法规近30部、部门规章近200部。如《中华人民共和国居民身份证法》规定:公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,侵害公民合法权益的,根据情节轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任。《中华人民共和国刑法修正案(七)》,首次增设了侵犯个人信息安全犯罪条文,随后《最高人民法院、最高人民检察院关于执行<中华人民共和国刑法>确定罪名的补充规定(四)》确定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。《互联网电子邮件服务管理办法》规定,互联网电子邮件服务提供者及其工作人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址等。
现有的法律法规并非专门针对个人信息,对个人信息缺少清晰界定,且多从信息安全保护角度做出规定,对个人信息处理的程序、具体制度以及相关的法律救济手段等缺少明确的规定。
我国个人信息保护国家标准尚未发布,行业应用缺乏规范,个人信息滥用行为普遍存在。2011年初,在信息安全标准委员会的指导下中国软件评测中心牵头制定了我国第一项“个人信息保护”专项国家标准——《信息安全技术 公共及商用服务信息系统个人信息保护指南》,该项标准于2011年12月30日顺利通过全国信息安全标准化技术委员会主任办公会决议,正式报送国家标准化管理委员会,将于今年年内发布。国家标准的制定发布,将填补目前我国缺少具有广泛指导性和适用性规章制度的空白。显然,个人信息保护仅有国家标准《个人信息保护指南》是不够的,还需出台相关技术、管理和测评标准,以形成完备的个人信息保护标准体系。
在行业规定方面,公众最关心的金融、电信及互联网行业相关规定最为具体,以互联网为例,从法律、法规到部门规章、规范性文件、到国家标准、行业自律公约,已经形成了相对完善的体系。此外,房地产中介、快递行业、身份证相关信息的保护均已经有相应法律法规进行规定。但是,在公众较为关注的购物办卡等消费活动、职业中介活动等领域的个人信息保护规定仍比较薄弱或存在缺失。
目前,世界上已经有50多个国家制定了个人信息保护法。欧盟在1995年就已经有了有关数据保护的指令,要求对在内部和跨境转移的个人数据进行保护,而这个指令目前正在修订当中。个人信息保护法对个人信息的跨境传输有严格的限制,是继关税、技术标准、绿色标准之后,又一种新型且具有极强隐蔽性的贸易壁垒措施。个人信息保护制度的缺失将会成为西方国家用来限制我国对外服务贸易发展工具和手段,会使我国在未来的国际经济交往中处于不利地位,丧失信息产业甚至是经济结构调整和升级的大好机会。
王晓强:近年来,我国个人信息泄露事件层出不穷。比如去年11月,中国最大的技术社区CSDN爆出600万注册用户信息泄露事件,大量用户账号面临风险;今年3月,中央电视台315晚会以“保护个人信息”为主题,曝光了某银行信用卡中心员工违规出售客户信息的丑闻,造成储户经济损失300多万。如果说垃圾短信和骚扰电话主要是干扰人的正常生活,使老百姓烦不胜烦的话,那么,刚才说的这些事件,后果更加严重,不仅直接侵害公民的权利和利益,甚至会干扰正常的经济社会秩序。
个人信息泄露事件频发,反映出我国个人信息保护的现状不容乐观。当然,这一问题的凸显,与我国信息技术的快速发展和广泛应用密不可分。有本书叫《数字化生存》,现在,数字化已经渗透到我们日常生活的方方面面,比如网上购物和社交活动,通过电脑或手机就可以轻松完成,而在大家点击鼠标或键盘的过程中,伴随的是个人信息的大量流动。现在我们常说云计算,意思是我们已进入了大数据时代,相应地,个人信息的规模和流速也呈指数趋势发展,个人信息被泄露和误用的风险越来越大,我国个人信息保护的任务也日趋严峻和紧迫。
与个人信息保护的迫切需求相比,我国在相关制度层面的建设显得有些滞后,国外发达国家的经验值得我们借鉴。我想从立法和标准两方面来简单比较一下。在立法方面,我们还没有关于个人信息保护的全国性立法,相关的规范散布在各个层级的法律、法规和规章中,而国外发达国家基本上都通过了全国性法案,如美国有《隐私法》,英国有《资料保护法》,德国有《联邦个人资料保护费》,日本有《个人信息保护法》等。在标准方面,我国大连等城市在地方标准化方面进行了积极的探索,国家标准的研制工作刚刚起步,而国外许多发达国家,已经发布了相关国家标准。我国应该借鉴发达国家的经验,结合我国国情,将强制性立法与推荐性标准有机结合起来,提高个人信息保护工作的实效。
记者:个人信息严重泄露的现象主要是由哪些原因造成的?随着网络和信息化的发展深入,个人信息的集中度也变得越来越高,在有关机构收集个人信息时对信息的保护应遵从哪些原则?
郎庆斌:在社会信息化、经济一体化的今天,个人信息的生态环境日益失衡,个人信息滥用、个人信息侵权、个人信息和个人信息资源垄断、个人信息焦虑等不一而足。原因是个人信息的价值体现、传统文化的负效应、个人信息生态环境的开放性、人的基本素质差异、社会形态的影响等等。个人信息管理者对所拥有个人信息的管理方式、管理机制等的随意性、开放性,是个人信息安全状况恶化的关键。
个人信息生态系统包括个人信息主体、个人信息和个人信息环境三大要素,与社会生态系统是共生的。二者的主体都是人及与人相关的各种社会形态;与生态系统相关的资源,是人的生存所必须的、可以产生某种效能满足需要的社会资源,包括个人信息生态系统的生态资源。
个人信息生态系统不是孤立的,将社会生态系统割裂成一块块,以个人信息安全的名义封闭、包裹。而是共生于社会生态系统内,通过个人信息数据库,建立与社会生态系统的联接纽带,接受社会生态系统的制约,相互关联、相互作用和相互影响。
在高度信息化的社会中,个人信息并不仅仅是高度集中,也愈益发散,个人信息存在的多样态,更具特质,个人信息生态系统构成,也更加复杂、多样。但是,个人信息的生命周期是不变的,包括个人信息获取过程、个人信息处理过程、基于生命周期的过程管理等3个阶段,体现的是个人信息管理者向个人信息主体提供管理服务的过程。
获取个人信息,是保证个人信息质量的关键,它的完整性、准确性、时效性与个人信息主体的人格权益直接相关。获取个人信息,来源于个人信息需求,是社会生态系统在某一时期、某一环境、某一条件下,基于一定的价值观,由个人信息需要产生的获取、使用、消费、购买等各种各样不同的要求。在个人信息管理服务过程中,能动地影响、作用于个人信息环境、社会环境,并影响个人信息主体。
因而,个人信息的保护必须贯穿3个阶段,通过计划、组织、协调个人信息资源需求与个人信息主体的符合性,采取相应的规范化、系列化控制策略和控制措施,保证个人信息的安全。有效的内部管理机制和服务体系,是个人信息安全的基本保证。
孙鹏:目前我国个人信息泄露现象相当严重,大量个人信息的非法收集、买卖、非常利用、利用个人信息进行诈骗等案件在媒体的报导中经常看到,其主要原因有以下几点:缺少个人信息保护法。由于计算机、网络的存储设备的快速发展,使得个人信息收集、利用的成本非常低,几乎接近于零,而由于信息化的发展,个人信息扮靓和范围不断扩大,利用价值也在不断提高,在没有法律保护的情况下,使得个人信息的非法收集和买卖等犯罪行为得不到应有惩罚;
个人信息保护意识淡薄。由于个人信息保护是信息化社会的新课题,在我国这方面的宣传和教育都没有跟上,学校没有个人信息保护课程,公众对个人信息保护知识缺乏,特别是那些拥有大量个人信息的单位,他们也担心个人信息的泄漏,但不知道如何去做;
政府没有个人信息保护管理部门和监督体系;企业缺少个人信息保护管理人才和相关知识;个人信息保护人才缺乏。
个人信息保护原则以世界经济合作发展组织(OECD)《关于保护隐私和个人数据跨国流通指导原则》比较有名,其中所规定的个人信息保护八项基本原则,已经得到了国际上的认可,许多国家在此基础上不断进行补充和完善制定本国的个人信息保护相关法规。这八项原则是:
收集限制原则。个人数据收集应该受到限制,任何此类数据的获得都应该通过合法和公正的方法,在适当的情况下,要经过数据主体的默示或同意。
数据质量原则。个人数据应该与它们将要被使用的目的和该目的所需要的程度相关,个人数据应精确、完整和被保持为最新状态。
列明目的原则。收集个人数据的目的应该在数据收集之前列明,并且随后的使用应限于实现这些目的,或者那些和前述目的并不相容的目的,这些情况应该在目的改变时列明。
使用限制原则。除非经过数据主体的同意,或者经过法律的授权,不应该在列明的目的之外披露或公开使用个人数据。
安全保护原则。个人数据应该受到合理的安全保护,以免被丢失或未经授权而被获取、破坏、使用、修改或被披露。
公开原则。应该制定个人数据的发展、实践和政策的一般的公开政策,应该确立便利的措施,以确定个人数据的存在和性质,它们使用的主要目的,以及数据控制者的身份和通常住所。
个人参与原则。个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据;如果其要求被拒绝,他有权获知理由,可以挑战此拒绝;如果这一挑战成功,他可以删除、纠正、补充完整或修改这些数据。
责任原则。数据控制者有责任遵守赋予上述原则以效力的措施。
朱璇:信息化发展迅速使信息传播的速度和范围出现质变,也使个人信息泄露问题日益严重,而个人信息保护规定的缺失也是造成这种现象的一个重要原因。贩卖个人信息、利用个人信息谋利已经成为一条产业链。
2011年,中国软件评测中心牵头制定的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》中提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确,划分了处理个人信息时收集、加工、转移和删除四个环节,并针对每一个环节提出了落实八项基本原则的具体要求。
王晓强:个人信息泄露的根本原因是利益驱动。在市场经济条件下,个人信息是具有商业价值的,在法律法规不健全或者违法成本比较低的情况下,个人信息在市场中会获得旺盛的需求。比如有些公司期望利用个人信息挖掘潜在的客户,有些不法分子期望利用个人信息实施盗窃或诈骗,而收集、加工、贩卖个人信息的各个环节都会得到相应的利益回报。据报道,我国已经形成利用个人信息从事非法交易的黑色产业链。
实际上,发生个人信息泄露事件,伤害的不仅是个人,对相关企业也会产生巨大的负面影响,除了会直接产生应急费和赔偿费外,还会使企业的信用受损,品牌下降。因此,有远见的企业,非常重视个人信息保护工作。
说到个人信息保护的原则,其实不仅仅局限于收集环节,在个人信息流动的全生命周期都应该重视保护工作。现在国际上通行的个人信息保护原则是经济合作与发展组织(OECD)提出的八项原则,即收集限制原则、数据质量原则、目的明确原则、利用限制原则、安全保护原则、公开原则、个人参与原则、责任原则,我个人认为,这些原则对我们国家也是适用的。
记者:您认为个人信息保护应从哪些方面进行推进?对于国家今后在该领域的政策法规制定上您有哪些想法和建议。
郎庆斌:我国地域辽阔,经济、社会发展不平衡,几千年的传统观念根深蒂固,短时期内尚不具备在全国范围内实行统一的个人信息保护模式,建设相对完善的个人信息安全法律体系的条件和环境。即使全国性的标准化体系建设,也仍然具有相当大的普适和推广难度。
因而,可以借鉴日本模式,自地方向全国、自行业向行业、自行业向社会,推行行业自律,并由行业自律推动地方立法,互为救济,逐步辐射、渗透、普及以期构建全国性的个人信息安全保障体系。
大连所开创的个人信息保护模式,掀开了个人信息安全帷幕的一角,为地区性和全国个人信息安全提供了可资借鉴的经验,为个人信息安全的深入研究、实践积累奠定基石,借以推动全国的个人信息安全法规、标准体系建设。经过近十年的努力,已经初见成效,全国许多地区已经或正在开展相应的工作。
不要期许颁布一部国家标准或法律,就可以在一个早晨实现个人信息管理的规范化,这是不现实的。目前国内都在呼吁全国立法、国家标准,但这恰恰是问题的症结所在。欧美,乃至日本,与我国的国情存在太多的不同。我国几千年的传统观念、地域发展不平衡、法制理念的淡薄,个人信息保护不能采用国际社会现成的做法,甚至不能完全照搬日本的模式。必须在我国特有的个人信息生态环境中,选择适合、适用、有效的模式。自下而上、由点及面、逐步普及,应该是更适宜我国国情的模式。
因而,国家层面的政策法规,应该以推进行业、地方相关标准、法规建设为基点,制定个人信息安全保障体系建设规划,在一个可预期的时间段内,逐步实现全国性的标准、法规体系。
特别是个人信息相关标准、法规建设,涉及社会科学、系统科学、信息科学、信息技术和信息安全、管理科学等基础理论,必须经过深入、严谨的研究和全方位的调研、实践验证,才能形成具有可操作性、普适性的标准、法规。仅仅依靠简单的罗列、抄袭、拼凑、拍脑袋是完全不具有指导意义和普适性的。
孙鹏:有些城市出台了相应的地方法规和标准,这个标准一般属于推荐性标准,并不是强制性的。可以从行业自律、市场规范的角度推进个人信息保护,尤其是收集使用个人信息的服务单位如何遵守标准。需要政府和行业协会共同去规范市场,做好行业自律。
朱璇:个人信息保护还需加强立法。在互联网、移动通信网、广电网蓬勃发展的今天,有必要制定专门的个人信息保护法,从顶层对个人信息保护有关内容提出原则性规定,明确个人信息保护的基本概念和法律主体各方权责,明确侵犯个人信息主体合法权益的法律责任,从源头上打击惩处个人信息犯罪活动。
个人信息保护工作还需加强行业自律和企业问责。国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》已正式上报国家标准化委员会进行审批。为落实指南精神,加强标准的针对性和操作性,还需在《指南》基础上,继续完善个人保护标准体系,以《指南》作为整个体系的总则和纲领性标准,从行业角度和共性技术两个维度,逐步制定和出台包括基础、技术、管理、应用在内的个人信息保护系列标准,深化管理层次,提升行业整体水平。
个人信息保护工作还需建立第三方认证评估机制(引入第三方评估和舆论监督机制)。目前我国尚未建立个人信息保护的测试评估机制,企业的个人信息保护水平无法得到客观的评价,个人的信息安全没有实质保障。中国软件评测中心在个人信息保护第三方评测方面已经积极地进行了三年探索,积累了一些经验。随后,随着个人信息保护系列标准逐步出台,中国软件评测中心将依据标准关键内容,结合实际,制定评测指标体系,采用技术手段和管理手段,对企业的个人信息保护能力开展标准符合性测评,促进企业的个人信息保护意识和技术水平,逐步建立个人信息保护第三方评估机制。同时面向公众定期发布测评结果,呼吁并倡导使用社会舆论力量监督个人信息保护工作。
王晓强:刚才已经提到,我国个人信息保护工作可以从立法和标准化两个方面推进。在市场经济环境下,法律法规和标准有机结合,是解决问题的有效路径。法律法规具有强制属性,在保护公民个人信息方面是必不可少的,但由于立法程序的复杂性,如果法律法规的条款过细,特别是涉及到快速发展的技术领域,势必会增加立法的难度,法律修订过程也比较费时费力。相比之下,标准通常由相关标准化技术委员会归口,有成熟的标准制修订模式,协商一致确保标准具有广泛的适用性,有代表性的专家队伍确保标准具有先进性和合理性。因此,法律法规制定机构通常将标准作为有效的支撑手段,在法律法规中规定基本要求,而细节则通过引用标准来解决,这样,标准和法律法规形成一个科学、统一、严谨、灵活的整体。我们认为,这种模式,可以更加有效地保护个人信息不受侵害。
当然,理想的情况是立法和标准并行推进,但考虑到立法程序的特殊性,标准先行也是一种可行的方式。全国信息安全标准化技术委员会组织起草了《信息安全技术公共及商用服务信息系统个人信息保护指南》国家标准化指导性技术文件,为信息系统中个人信息处理不同阶段的个人信息保护提供指导,现在处于报批阶段。另外,《个人信息保护管理体系要求》国家标准处于预研阶段,该标准将对组织建立个人信息保护管理体系提出要求,指导组织制定个人信息保护的方针和目标,并且有效实施和持续改进,我们希望这个标准将来可以用于认证、注册或自我声明。
今年7月,国务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》,明确提出“强化信息资源和个人信息保护”,反映出国家对个人信息保护工作的重视,我们希望相关部门能尽快出台配套的措施,推动个人信息保护工作向前发展。
记者:个人信息保护需要政府和社会各界共同来维护。除了政府立法之外,公众也要对个人信息外泄提高警惕。那么,公众应从哪些方面提高信息安全的意识?
郎庆斌:个人信息的基本形态由物质性人格要素和精神性人格要素构成,映射出个人信息主体的人格权益。物质性人格要素是依附于人的生命体征存在的,其生物遗传特征包括生命、身体、健康等,也包括意识、思维、情绪、感情等认知形式。精神性人格要素,是个人信息主体识别的基本的非物质形态,是在社会活动和实践中,通过人对社会、自身的认知,逐渐形成的,包括姓名、肖像、自由、名誉、荣誉等。随着社会发展和市场经济的建立,凸显人格利益的商业价值和经济利益。构成人格权益的人格要素的商品化、利益多元化,更凸显了在现代社会、经济活动中,个人信息的无形的物质性财产权益。
个人信息安全是崭新的研究和实践领域,是西方文化对我国传统文化的冲击和影响。我国几千年的传统观念,强调群体的和谐、个人的正直、磊落和大公无私。人们对个人隐私的认识比较模糊,重视不足,忽视对个人信息的尊重,是历史文化传承形成的痼疾。
在实际生活中,人们可能公开谈论涉及个人隐私的话题,已是司空见惯,为某些商家或个人收集个人信息资料提供了便利条件。这些收集方式可能包括:通过已公开的信息,或在平常的人际交往、工作关系中收集并累积个人信息;通过在公共场所进行市场调查、问卷调查等形式,获取个人信息;采用某种方式,与具有大客户群的单位,如医院、学校、电信、酒店、商场、楼盘销售处等,建立联系,获取、累积个人信息。身份证或复印件、应聘资料、登记表等,造成个人信息的任意传播或滥用,甚至对个人信息主体构成威胁等等。
随着信息技术及与之相关的信息产业的迅速发展,网络隐私侵权已成为突出的社会问题而受到社会各界的关注。由于没有相关的法律、法规支持,广大网民的隐私权益不能得到很好的保护。基于网络的个人信息收集和利用主要包括:当用户获得网上服务,包括网上购物、获取信息、电子邮箱、个人主页、网上浏览等时,网络服务商通常会要求用户提供部分个人信息,如姓名、性别、年龄、家庭住址、工作单位、住宅电话或手机号码、身份证号码,以至婚姻状况等,甚至要求提供更加详细的个人信息,内容可以广泛到无所不包;用户在电子商务活动中形成的个人财产和信用信息,包括登录账号和密码、信用卡、电子消费卡、网上交易的相关信息、个人收入状况等等;游戏玩家在网络游戏过程中形成的个人信用信息,包括网络游戏账号和密码、QQ号和密码、游戏虚拟物等等;用户的网上行为,包括访问网站时使用的IP地址、网上活动轨迹、活动内容、兴趣爱好等等;个人的电子邮箱和电子邮箱地址等。
基于网络的个人信息利用和收集,存在侵犯个人信息主体隐私权的威胁。这种侵权行为常常表现为:个人为主体的侵权行为。主要表现为未经个人信息主体同意或授权,擅自在网上公开、宣扬、散布、泄漏、转让他人的、或与他人之间的个人信息;未经个人信息主体同意或授权,窃取、复制、收集他人传递过程中的电子信息;未经个人信息主体同意或授权,擅自侵入他人的电子邮箱、发送垃圾邮件、邮件炸弹或恶意病毒等;未经个人信息主体同意或授权,擅自侵入他人的个人信息系统,收集、破坏、窃取他人的个人信息等等。
如在BBS或公共聊天室中公布、散布、张贴他人的个人信息,就是一个典型的例子。网络服务商为主体的侵权行为。用户的个人信息具有无形的价值属性,一些网络服务商为谋取巨大的经济利益,肆意侵犯用户的权益。主要表现为:用不合法的手段、不合理的目的,收集、保存用户的个人信息;以不合理的目的,过度收集、使用个人信息;未经个人信息主体同意或授权,不合理利用或超目的、超范围滥用个人信息;未经个人信息主体同意,擅自篡改、披露个人信息、发布错误的个人信息;未经个人信息主体同意或授权,擅自将所保存的、经合法途径获得的个人信息提供给商业机构,造成个人信息的不合法公开、泄漏或传播等等。
生产厂商为主体的侵权行为。生产厂商在制造销售的IT基础设施中设计了专门的功能,以收集用户的信息;或存在漏洞,为某些专业人员窃取用户的信息提供了便利,使用户的个人信息资料受到侵害。
还有许多形式的侵权行为,如以商业机构为主体的侵权行为,以网上调查、市场调查为名,跟踪、记录用户的网上行为,收集用户的个人信息资料,并转让、出卖,以获取利润,或用于其它商业目的等。
因此,提高公众的个人信息安全意识必须认识各种可能的个人信息侵权行为,当公众在社会经济活动或互联网应用中,被要求提供个人信息时,应有所警惕,并提出相应的质疑,当确认相对安全时,有条件提供。
各种社会形态,包括街道、社区,应该利用各种机会宣传个人信息安全的重要性和必要性,如企业员工培训等。特别是面向街道、社区退休人员的宣传,而这正是个人信息安全意识淡漠的宣传盲区。
应该动员各种社会媒体、媒介,广泛、强化、普及个人信息安全宣传。不仅仅停留在出现一、二个个人信息安全事件时,而应是长期的。
孙鹏:我们在大连的5所大学,10几所中专等学校都开展了个人信息保护的课程对其进行普及教育。其实真正从国家来讲我们目前还没有一套法律、行政和经济手段对侵犯个人信息的机构进行处罚的条例。只能说去促进宣传个人信息保护。个人信息不外露重点在信息服务商和收集信息的人,收集上以后如何去保护。这需要一套体系来保护,如果大部分的服务商自己能有一套体系措施保证收集到的信息能保护好就可以了。
完善的个人信息保护体系应该是:法律——综合立法、分散立法;标准——国际标准、国内标准、行业标准;管理机构——政府管理部门;监督机制——对个人信息管理单位的监督,对信息主体的意见与建议受理与反馈、投诉与事故处理;认证与评价体系——国际认证、国家认证、行业评价;自律——行业推行与自律;技术手段——软件、监控、安全防护等(技术人员首先要提高意识);保护意识提高——全社会和每个人(宣传、媒体导向、讲座、培训);人才培养——大学、职业、研究部门(普及教育、专业课程、研究课题)。
朱璇:公众要加强隐私保护的意识,不轻易将涉及隐私信息的资料提供给第三方,同时加强电脑系统的安全保护,要定期清理可能暴露隐私的数字信息。
防范陌生人的问卷调查,包括街头的调查、电话来访等,如对方要求留下姓名、电话、职业、工作单位等信息时,要首先了解对方所代表的单位以及收集个人信息的目的。
办理消费会员卡时,商家会要求填写真实详尽的个人信息。这些个人信息有可能因为商家的管理不善或者恶意泄露而被盗用,应当对商家信誉有所了解的情况下有选择性地提供。
在网站填写个人注册信息时,要注意网站是否有用户隐私保护制度,如果没有特殊需要,最好只填写最少必须信息。
在手机维修点,顾客应监督工作人员删除送修手机内的电话号码、邮件等个人信息。
需要提供身份证复印件时,应在复印件上签名并注明复印件使用范围,避免被滥用。
在手机、电脑上安装软件时,应避免使用来路不明的软件,警惕默认安装和安装中需要发送信息的一些默认选项。
王晓强:在法律制度还不够完善的情况下,公众从自我保护的需要出发,提高信息安全意识尤其重要。我们经常会在有意无意间将个人信息泄露出去,这方面,我提两点建议。第一,不要随意提供个人信息。比如我们办理消费会员卡时,有时候不假思索就填写了详实的个人信息,而其中很多信息,商家完全没有必要掌握,这时候我们应该提出质疑,如果商家没有合理解释,可以拒绝填写,而在互联网上填写个人信息时,尤其要慎重。第二,不要随意处置含有个人信息的材料。现在很多凭证采用了实名制,如机票、火车票、银行卡支付小票等,对于这些含有重要个人信息的票据,一定要妥善保管和处置。考虑到网络的脆弱性,对于含有重要个人信息的电子文档,建议保存时进行加密处理。
做到这两点,可以降低个人信息泄露和误用的风险。当然,从根本上提高我国个人信息保护的水平,还是要靠制度建设,规范有关机构和个人处理个人信息的行为。
记者:对于软件和服务外包产业方面的个人信息保护您有些什么看法?
郎庆斌:软件及信息服务业作为个人信息保护的重要行业,个人信息保护有着专业性和特殊性,在这一行业建立个人信息保护制度,将对我国个人信息保护工作起到有力的推动作用。
个人信息保护是我国服务外包行业的一个薄弱环节,也是国外企业在委托外包业务中的要求。在外包行业率先实行个人信息保护,可以提高整个行业的信息安全级别,得到国际认可。国内的外包业务中也有大量个人信息需要保护,包括企业员工信息和消费者的信息等,作好服务外包行业个人信息保护工作,也可以使国内客户安心,使员工和消费者安心,得到客户、消费者和员工的信任。同时,对整个行业的规范管理也起到促进作用。
软件和服务外包产业个人信息保护,必须强化组织领导作用。首先是政府的大力支持和指导作用,不仅仅停留在几份文件或对外宣传,而是实实在在的支持和推动。其次是发挥行业协会在政府指导下的作用。大连的经验说明,行业协会对整个行业的推动作用是巨大的。但同时,政府的掣肘也是影响个人信息保护事业发展的主要因素。大连的个人信息保护工作正在慢慢停滞,原因是多方面的,重要的是政府职能的弱化和妒贤嫉能的交织。庸才自有益处,但对个人信息保护事业的危害是巨大的,也足以说明必须选贤任能,强化组织领导的重要作用。
推进个人信息安全认证体系的普及。个人信息安全相关标准是个人信息安全的基本要求和规则,实施个人信息安全评价是依据标准、采用合理、有效的技术和管理方法,系统、客观、全面地监督、判断、评估企业个人信息安全管理体系构建、运行、发展、完善、变化及其影响因素。
个人信息安全评价体系是深入研究了TRUSTe、P-MARK等认证制度后,大连市创建的、具有我国行业特色的个人信息安全认证计划。自2007年开始实施,已有大连,包括国内90余家企业通过了评价。PIPA已经于2008年实现了与日本国P-MARK认证的互认,具有在全国推广的基础和条件。因而,保证软件和服务外包行业个人信息安全,需要大力宣传、推广个人信息安全评价体系。
孙鹏:个人信息保护首先是从软件和服务外包产业发起的,04年我们就注意到在服务外包产业中对个人信息保护的重要性。05年成立了个人信息保护工作委员会开展个人信息保护工作。在和美国、日本的外包中,企业如果没有获得个人信息保护合格证书,这些国家是不会发包给你有关个人信息方面的业务的。所以说做好服务外包行业的个人信息保护工作可以得到客户的信任,获得更多的业务。对跨行业的个人信息保护工作也有很好的推动作用。
朱璇:我国软件和服务外包产业发展迅速,离岸外包业务占有很大的比重。随着国际业务量不断增加、业务种类不断拓展,个人信息保护问题越来越突出。个人信息保护已经成为发包方考察的重要内容,欧盟、日本等国都制定了相应的法律和标准,对个人信息跨境处理(离岸外包)实行了严格的限制和管理。
以大连市为例,2005年前后,大连市领先于全国开展个人信息保护工作,最初的起步来自软件和服务外包市场的压力。为了应对国际市场的要求,保持外包业务的又好又快发展,自2005年开始,大连软件行业协会在行业中开展了个人信息保护工作,发布并实施了《大连软件及信息服务业个人信息保护规范》、实施了辽宁省《软件及信息服务业个人信息保护规范》和辽宁省《个人信息保护规范》,建立了个人信息保护评价体系,并于2008年6月19日实现了日本个人信息保护与大连市个人信息保护评价的互相承认。从2005年至今,大连软件和服务外包产业个人信息安全保护工作取得长足进步,政府支持、国际合作,这是大连在提高个人信息保护方面的有益经验,为大连软件和服务外包企业增强了整体竞争力。
王晓强:说到软件和服务外包产业,由于个人信息保护是发包方考察的重要内容,所以企业自身有建立个人信息保护管理体系的积极性,行业自律模式相对容易推广。但即便如此,光靠市场机制很难发展起来,政府适当的支持和推动可以起到关键性的作用。大连在软件业个人信息保护的标准制定、实施和评价方面积累了丰富的经验,我觉得我们应该珍惜大连的实践经验,积极探讨在其他地区和其他行业推广的可行性,尽早建立适应我国经济社会发展的个人信息保护制度。
企业篇
受访对象:(按采访时间先后排序)
苏州工业园区凌志软件股份有限公司副总裁庞军
领航动力信息系统有限公司董事、总经理李江颖
冲电气软件技术(江苏)有限公司总经理马卫东
记者:做好客户信息保护对于软件和服务外包企业而言有些什么重要的意义?
庞军:保护好客户信息,关系到软件和服务外包企业的生存,这不光是一个基本的商业道德和信赖关系的问题。如果企业不能保护好客户的信息,造成信息泄漏,会给客户带来巨大的损失,并有可能承担相应法律制裁和高额的赔偿金,同时对企业的名誉也造成不可挽回的损失,对于企业来说也就失去了客户,失去了生存的基础。尤其是外包企业多数都是异地接包开发,开发现场脱离客户的控制,就更需要企业自觉主动的提高信息安全意识,做好客户信息的保护工作。
李江颖:随着中国在国际信息技术外包服务市场的崛起,国内外客户对信息安全尤为关注,客户对于服务商在服务过程中保护知识产权,防止敏感信息泄密方面的安全性和信誉度普遍存在不同程度的担忧。这不仅仅是领先的专业技术和市场知名度所能解决的技术问题,而是我们在服务中如何尊重客户的信息,保护客户信息的安全的管理意识。只有充分尊重客户,保护客户的信息安全,才能赢得全球客户的信赖,从而赢得国际服务市场。
我们都知道,通常在软件和服务外包中,服务商为分析客户需求都会接触发包商敏感信息,包括商业秘密、经营计划、专有知识与技术等,这些信息对于发包企业来说都涉及其经营的秘密,一旦泄露给竞争对手将对发包企业造成不可估量的损失。发包企业就必定要求服务商承诺对这些信息承担保密义务。如果没有对发包企业信息的严格保护,任何服务外包就难以进行,且会纠纷不断。因此,发包企业首先关心的是服务商能否绝对有效地保护这些信息。如果客户的信息得不到有效的安全保障,客户是不会冒着巨大的风险去实施软件和服务外包的。
但中国市场的保护力度远远达不到欧美以及印度的市场水平,影响了国外客户向中国企业外包软件的信心。所以我们必须高度重视起来,并建立起相应的管理制度。
马卫东:随着服务外包产业的快速发展及显著的国际化,外包过程中的信息安全问题日益受到各方重视,客户作为企业生命力的源泉,其信息保护的重要性不言而喻。
首先,做好客户信息保护不仅是对客户的尊重也是对客户人权的保障,如果连基本的客户信息都不能很好的管理,也就失去了企业与客户之间的信任,会降低企业的国际竞争力,将无法做大做强;其次,它是软件和服务外包产业健康发展的重要支撑体系,做好客户信息保护有利于形成良好的软件和服务外包行业的经营氛围,形成企业之间公平、公正的竞争环境,促进服务外包业的持续和谐发展。
记者:贵公司在加强客户信息保护方面都采取了哪些措施?
庞军:公司在2008年2月通过了信息安全体系认证(ISO27001),并于2011年2月通过了复审。在多次客户组织的信息安全评审中,公司均得到客户高度的评价和认可。为了更好的贯彻公司信息安全的方针和各项规章制度,公司成立了信息安全委员会,由一名副总裁亲自担任委员长并负责信息安全的相关工作,同时为了使各项制度切实落实到每个人,由各部门部长、部门经理担任委员,并挑选部门中认真负责的骨干人员组成安全协管员,负责日常的安全检查。从而保证从上至下的管理通道和监督执行通道的畅通。通过每年的内部审核和外部审查,使公司的信息安全管理水平得到强化和持续改进,通过定期持续的员工教育,使所有员工的信息安全意识得到逐步提高。
李江颖:我们已经认识到信息安全对公司生存与发展构成的风险,建立信息安全管理体系已成为必须解决的问题,信息、软件、硬件、人员、服务及企业形象都是重要信息资产类型。建立、实施和改进信息安全对于保持竞争优势、保证业务连续性、法律符合性及企业形象都是至关重要的。
领航动力在加强客户信息保护方面的措施,总体来说分为两个方面:有效的技术手段,充分利用各种先进的安全技术,如保护主机安全的防火墙技术、系统漏洞检测技术、黑客跟踪技术等,保护数据存储和传输安全的身份认证技术、访问控制技术、密码技术、安全审计技术等,在恶意攻击者和受保护的企业信息资源间建立多道严密的安全防线,增加恶意攻击的难度,并通过增加审核信息的数量跟踪入侵者。
通过终端安全技术系统禁用U盘、移动硬盘等移动存储设备,限制工作电脑安装的工具软件类型;同时利用技术手段,将办公网和业务网物理隔离,确保业务数据只保留在业务操作用的电脑上,而不会被员工带走。
领航动力目前主要的如金融、政府和电信等行业客户,往往具备更高等级的信息安全保护要求。为此我们一方面通过在IT整合服务领域完备的产业链,协助客户建立自身信息安全管理体系,从规划咨询、集成设计、运维培训等支撑客户的信息安全基本需求;另一方面则在承接客户的服务外包和系统集成需求后,严格依据ISO/ 27001标准、信息系统安全等级保护和监管机构的主要要求,通过大量的访谈、现场走查以及对原有管理制度文档、系统的检查回顾,从人员、技术、流程三个方面着手,进行了信息安全风险评估,深植安全合规意识,用心做好客户信息管理。
我们建立敏感信息的访问管理制度和操作流程。内外网络进行了严格的隔离,内部和外部的邮件系统也进行严格的隔离。信息的访问、存储、传递都必须按照严格的安全规范进行。对于那些对企业的程序和数据具有访问特权的员工,运用信息技术,通过设置操作日志功能和控制程序等来完成监督,从而达到对系统和数据库操作的实时监控和记录,并对日志文件定期进行安全检查和评估,以此避免客户信息泄漏。
人力资源管理是保证客户信息安全的关键因素。我们在招聘的过程中针对应聘者建立了完善的评估机制,不仅需要考察应聘者的技术能力,而且非常重视应聘者的行为举止和职业态度。并与员工签订保密协议,用合同的机制规范相关人员的行为,一旦泄密相关人员需要支付巨额的赔偿。
同时,我们还建立激励约束机制,提升员工的心理契约,把核心人员及其下属的短期行为长期化,使他们更关注公司长远的发展,以此减少员工的流动性。加强企业员工之间的交流与沟通,创造积极且寻求进步的、支持性的企业文化,提高员工的自我效能和企业凝聚力。
另外,我们还经常会邀请客户不定期的到公司进行检查与参观,以获得客户对信息安全的信任。
领航动力并非单纯的服务外包企业,但基于我们对IT服务领域的深刻理解,尤其在当前云计算、物联网和移动互联等信息技术变革的时代,往往更有利于掌握客户在服务外包时对信息安全方面的顾虑和需求。目前,我们的业务领域覆盖完整的IT服务价值链,涉及IT规划咨询、解决方案设计与实施、IT系统运维外包、系统集成、以及维保服务等,客户也遍及金融、政府、电信、公共事业及企业领域。我们通过物理安全模式、人员保密机制及安全管理流程三方面结合来确保客户的信息安全,始终将客户信息安全放在首位,并逐步将信息安全服务范围扩大到领航动力的整个IT服务链中。
马卫东:我们公司作为一家离岸服务外包企业,对客户信息保护方面有着更高的要求,主要采取了以下措施:
一是完善企业内控建设。为更好的保障客户信息安全,2008年6月公司通过ISO27001信息安全认证,建立了高效可靠的IT外包服务信息安全管控体系,定期对信息安全状况进行评估、审计和检查监督;并建了了客户信息管理规章制度,明确规定了对客户信息的采集、使用、存储。
二是加强员工保密管理,增强员工法律意识。与在职员工签订安全保密责任书,与离岗人员签订安全保密承诺书;加强对业务外包单位及合作单位工作人员管理;加强企业文化建设和职业道德教育,杜绝泄密事件发生。
三是强化保密技术。在网络使用过程中, 运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,控制使用外设设备,有效防范来自于外部的攻击,确保信息及信息系统安全。
记者:对于中国的软件和服务外包企业在个人信息保护方面您认为还有哪些不足?面临着哪些不好管控的问题?
庞军:企业对信息安全的重要性并没有充分的认识,对信息安全方面的专业性和主动性还不够,多数都是由于客户的需求及外部商业环境的驱动。同时员工保密意识不足,国家法律也不够健全,仅靠公司的行政规定进行管理和约束有很大的潜在风险,所以我们觉得中国的企业需要投入更多的管理成本,提高信息保护方面的专业性和管理的有效性。
李江颖:我认为服务外包信息安全政策仍需继续完善。服务外包业务开展过程中,无论是发包方和接包方都应当加强对知识产权的保护。2009年12月28日,商务部、工业和信息化部联合颁布的《关于境内企业承接服务外包业务信息保护的若干规定》,它表明了我国政府愿意承担保护发包方权益的责任,在国家法律层面,知识产权的保护主要通过《专利法》、《著作权法》、《商标法》来予以保护。但这些法律属于知识产权保护的一般性规范,并没有关注服务外包过程中的具体问题,仍需要相关部门继续努力寻求完善。
尤其是信息安全、知识产权立法、知识产权保护政策和相关配套措施不够完善,对触犯信息安全行为处罚较轻。如:法律对员工泄露机密只能追究民事责任而不追究刑事责任,对模仿抄袭行为处罚力度小,社会上盗用出卖企业和个人信息、盗版软件等现象比较普遍,这些都影响了我国的国际形象,也影响了发包企业的发包意愿。
第二行业层面,缺乏行业知识产权防范机制。首先,服务外包行业协会要坚持以市场为基础,发挥市场导向作用,准确预测和防范潜在的各种知识产权风险,营造知识产权评估预测环境,为服务外包企业提供及时的信息服务。其次,针对本行业的特点,制定并落实特色的知识产权保护规划。全力做好各企业之间冲突的调节与仲裁,及时处理行业内发生的知识产权侵权事件,同时做好法律宣传。最后,建立知识产权中介服务机构,完善知识产权的评估、转让、交易的运行体系。在知识产权产业化过程中,知识产权中介服务机构起着桥梁纽带作用,将知识产权与市场连接起来,从而为本行业的企业提供便捷、专业的知识产权保护和管理的信息服务。
客户信息保护意识相对淡薄。虽然我国信息安全体系也已建立并取得了较大的进步,但遗憾的是我们在保护意识方面的观念还是比较淡薄,客户信息泄漏的现象也经常发生。往往都是缺乏有效的管理,以及在人力资源方面激励的匮乏和不重视,容易导致大量技术研发人员的“跳槽”,随着人员的流失,相关的企业商业秘密,专利权等也一同被其他企业所利用。这对于企业的经营业绩来说,是一笔重大的损失。
由于对知识产权保护意思的缺乏,不经意间将敏感信息泄漏拱手相让给了第三方,并且当侵权行为普遍存在的时候而不采取有效的保护措施,纵容侵权行为的产生,导致纠纷不断。
不好管控的问题主要存在于企业在建立信息安全管理体系过程中,风险评估方法的选择和实施始终是一个难点。
据不完全统计,在软件外包行业中,70%的企业员工数量在100人以下,主要受困于企业的规模和类型,特别是小型组织不可能投入过多的资源借助于外部和相关工具进行风险评估,一方面过于昂贵,另一方面,目前很多标准、方法和工具在外包行业的适用性存在怀疑。
信息安全管理应与业务目标一致。由于发包方对信息安全要求的提高,越来越多的外包企业都遵循ISO27001标准,建立了自身的信息安全管理体系(ISMS);然而,在ISMS建立及运作的过程,却很少有企业能够真正做到使ISMS与其外包业务相结合。如果不能与企业自身业务相结合,ISMS只能够徒有其形,最终不能很好的持续并且改进。
企业上演“无间道” 商业秘密保护乏力。我们经常会听到,企业高薪聘请技术、业务人员并悉心培养,不料企业员工却带着公司的技术图纸、客户资料扬长而去,还挖起了老东家的墙角,遭遇了员工的“无间道”。对于商业秘密遭泄,大多数企业表示应对乏力。商业秘密主要分为三类,即技术信息、经营信息、客户信息。由于信息渠道的多样性,信息来源的调查成为取证难点之一,尤其是举证困难最大,使得企业蒙受巨大的损失,还会引起与客户的纠纷。
所以,任何一家企业都应该有安全和防范意识,防患于未然。作为人力资源外包企业,在运作过程中,涉及到发包方、接包方以及派遣员工,如何保障发包方的商业机密安全一直是困扰人力资源外包服务的难题和敏感问题。
马卫东:目前我国软件和服务外包企业在个人信息保护方面还存在很多问题和认识的误区。首先,企业自身对个人信息保护意识不浓,一些服务外包企业迫于客户压力采取一些防护措施,主动性要求不高;其次,企业对于个人信息保护的执行力度不大,很多企业有相应的保护措施和规则制度,但仅是表面文章;再者,企业在这方面的安全经费支出较低,无专职安全人员对应和处理信息安全问题;此外,由于法律机制的不完善,而导致客户信息通过不同渠道被泄露出去,这不仅不利于客户个人人权隐私的保护,也不利于企业竞争者之间的公平竞争,对于服务外包行业的环境也会造成恶劣的影响。
记者:对于国家在制定加强个人信息保护的法律法规方面您有些什么期待?
庞军:希望国家能制订并完善个人信息保护法,规范个人信息的收集、发布、使用、管理等,同时增强违规违法的处罚力度。
李江颖:我国就网络规模而言虽然已经进入世界先进水平,但是在信息安全方面却面临着尴尬局面。我国目前信息安全投资占整个IT投资的比重仅为1%左右,远落后于欧美国家8%-12%的水平,整体投入不足使得国内众多部门与企业的信息处于脆弱的保护下。
“信息安全”IT服务企业的生命线。几年前印度曾出现过一家IT服务企业的员工,盗取为客户管理的储户信用卡资料事件,信息被披露后,员工个人承受法律制裁,这家企业即刻消失在公众的视线中,因为印度已经在2000年完成了信息安全立法《2000IT法案》。
扪心而论,当我们将大量个人信息交给服务供应商时,心中一定会感到惴惴不安。而当我们将更加重要的与财产相关的信息如银行账户信息、证券账户信息等,交给他人打理时,心里又会怎样?随着IT服务外包地深入发展和BPO(基于IT的业务流程外包)的转移,买家将大量的信息资源放到了供应商手中,在没有法律保护的前提下,他如何会放心呢?所以,我国的服务外包产业呼唤国家应就信息安全尽快立法。
中国的服务外包产业与制造业一样,会经历一个漫长的成长过程,环境建设也一定会经历长期艰苦的努力。尽管国家信息安全立法,已为业内所共识,但仍会需要相当的时间。为尽快使买家安心,我们业内应行动起来,通过自身能力建设和行业自律取信于买家,同时推动地方和国家的信息安全立法。
马卫东:目前,我国虽然已经制定了相关个人信息的法律法规,但是相比较于国外,还有一定的差距,这需要在长期的实践及国人认知加深的过程中不断完善。鉴于个人信息保护的重要性,我们期待国家尽快出台专门的个人信息法体系,通过立法的形式确立个人信息保护的法律地位,完善个人信息保护法律的核心内容,构建第三方个人信息保护认证体系,让个人信息保护真正落到实处,服务大众,营造一个有利于软件和服务外包企业发展的良好产业环境。