首部个人信息保护国标实施,隐私不再“裸奔”
2013-03-19赵彬花
上榜理由
现代信息社会,随着个人信息泄露现象越来越严重,信息安全受到了国家和社会大众的广泛关注,2012年,公安机关侦破的一起网络犯罪案件显示,涉案团伙非法入侵人事考试网、职称网等上百家网站,盗卖的个人隐私相关资料数据高达300多万条。在此之前,一场大规模数据泄露风暴席卷国内互联网,导致上亿条个人用户信息遭到泄露,涉及社交网站、电子商务等各类网站。
2013年2月1日起,我国首部个人信息保护国家标准——《信息安全技术 公共及商用服务信息系统个人信息保护指南》正式实施,这标志着我国个人信息保护工作正式进入“有标可依”阶段。
重温标准
《信息安全技术 公共及商用服务信息系统个人信息保护指南》明确要求,处理个人信息应当具有特定、明确和合理的目的,应当在个人信息主体知情的情况下获得个人信息主体的同意,在达成个人信息使用目的之后删除个人信息。
标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。但对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。
标准还正式提出了处理个人信息时应当遵循的8项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确,划分了收集、加工、转移、删除4个环节,并针对每一个环节提出了落实8项基本原则的具体要求。
微声音
姚力(网络工程师):主机安全至关重要
在众多信息泄露事件中,网站服务器等主机承载着大量的个人信息数据,成为黑客攻击的“重灾区”。
统计数据表明,大多数黑客攻击事件是由主机系统漏洞和错误的系统设定引起的,通过系统漏洞,黑客可以窃取信息,植入“后门”程序,甚至实施破坏行为,致使计算机系统瘫痪崩溃。因此,针对主机系统漏洞进行防范,是信息安全工作中最直接、最根本的手段。
李婷(太原市居民):期待上升到法律层面
个人信息保护标准出台投石问路,需要在实施过程中不断完善,同时希望政府尽快将“保护个人信息安全”上升到法律法规层面,包括要明确对侵犯个人信息者如何制裁、由什么机构负责执法等问题,让公众能够依法维护自身的合法权益。