個人信息安全認證機制論文
軟件產業的開發、生產、銷售各個環節都對于用戶個人信息保護與安全至關重要。在借鑒美國的隱私認證制度、日本的個人信息評價制度以及我國大連軟件及信息服務業個人信息評價制度的基礎上,提出從宏觀深入到微觀、從表面深入到實質、從產業深入到產品,將個人信息安全認證制度推廣到軟件產業鏈的末梢,全面加強軟件行業的自律,切實保障廣大用戶的權益,增強用戶對于軟件產品的信心,并對該制度的構建著重從軟件產品個人信息保護認證標準和軟件產品個人信息保護認證流程兩個方面進行了探討。
計算機軟件產品成為世界的核心和靈魂
(一)計算機軟件產業成為戰略性新興產業工信部軟件服務業司司長陳偉表示:“今天,很多人提出了SDN(軟件定義網絡)、SDD(軟件定義數據中心)、SDS(軟件定義系統),而我認為,軟件可以定義世界(SDW),軟件應該成為世界的核心和靈魂,成為信息消費的引擎和重要內容。”[1]軟件產業在我國國民經濟中具有重要的戰略地位,隨著大數據、物聯網、移動互聯網的興起與廣泛運用,軟件產品已經覆蓋人民生產、生活的各個領域,逐漸成為重要的民生物品。軟件產業個人信息保護不僅關系到本產業的發展,關系到國民高品質智能化生活,而且對于整個信息產業的長遠發展,對于信息消費市場的培育與推動,對于“寬帶中國”戰略的實施,對于國家信息安全的保障具有重要的戰略意義。
(二)計算機軟件產品的界定
技術業已變革,整個社會都在地動山搖發生著巨大的變化,如果法律制度仍然固守兩千年前的傳統理論,秉持“祖宗之法不可變”的陳詞濫調,那么法律制度必定束縛生產力的發展,并必然地被技術的迅猛發展而沖破。從物和產品的發展趨勢來看,隨著社會經濟高速發展,物與產品的觀念均有擴展之勢[7]。世界各國出于對消費者權益的保護,不再對已經以“產品”的形式流通的計算機軟件“視而不見”,紛紛以“計算機軟件產品”稱呼之,并開展相關立法規范。
TRUSTe認證工作主要涵蓋以下幾個方面。
1.初始認證
當網站為獲得TRUSTe 的認證而提交了正式的申請表后,TRUSTe 將檢查申請網站,看它是否符合程序原則(Program Principles)。其目的是為了確保該網站的隱私政策,明確指出哪類個人信息被收集、誰在收集、為何目的收集、如何使用以及與誰共享等。如果網站符合TRUSTe關于隱私保護的認證要求,TRUSTe就會授予該網站隱私圖章,允許在其網站主頁上張貼TRUSTe的隱私圖章標志。
2.后續監督
當申請網站成為會員后,TRUSTe就會定期檢查網站,確保網站的行為符合它公布的隱私聲明,并且檢查網站隱私聲明的變動。初始認證和后續監督都是在網站事先不知道的情況下,通過提交特定標志符到網站來跟蹤該站點個人信息的使用,并監控結果,以此來確定其信息收集使用行為是否與該站點的隱私聲明相符合。
3.爭端解決
當消費者認為網站侵犯其隱私權,而就隱私侵權問題不能得到會員網站恰當處理時,TRUSTe為其提供一種在線的爭端解決服務,即所謂的看門狗爭端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對涉嫌侵犯隱私而被消費者投訴的網站作出最終決定,網站必須執行,否則其所獲得的隱私圖章將被取消,并被列入“不守規矩的網站”的名單中,TRUSTe甚至通過適當的途徑向相關的法律權威部門提起訴訟,如美國貿易委員會或者消費保護機構等。這樣的爭端解決程序逐漸為TRUSTe 樹立了一定的威信。
(二)日本個人信息保護評價制度評析
日本早在1998年由非官方第三方機構日本情報處理開發協會(Japan Information Processing Development Corporation,JIPDEC)建立了Pmark認證制度,2005年日本《個人信息保護法》的實施,極大地推進了企業參與個人信息保護認證。
軟件及信息服務業個人信息保護評價體系(PIPA)評價的對象主要是企業,其初衷在于幫助以軟件和信息服務業為主的企業建立個人信息保護制度,使得企業有能力在2005年日本《個人信息保護法》實施后繼續承接日本軟件外包業務。通過PIPA評價的企業可以得到個人信息保護合格證書和PIPA標志使用權。具體而言,大連個人信息保護評價制度包括以下幾個方面。
1.評價機構
軟件及信息服務業個人信息保護評價機構為大連軟件行業協會,下設個人信息保護工作委員會、PIPA辦公室和評價專家組。
PIPA辦公室主要負責PIPA文件管理和事務性工作,負責PIPA受理及投訴,負責評價員的聘任及管理工作,PIPA辦公室下設培訓教育部門,負責個人信息保護企業培訓和評價員培訓、考核。
個人信息保護工作委員會主要負責標準和PIPA體系相關文件的制定、修改和完善,負責PIPA申批、投訴及事故處理結果的審批,負責對PIPA的監督及聘任評價員的審批等工作。工作委員會下設:標準組、仲裁組、宣傳推廣組、國際交流組和教育培訓組。標準組主要負責標準的研究和制定;仲裁組負責投訴及事故的調查及處理;宣傳推廣組負責PIPA宣傳推廣;國際交流組負責國際間的交流與合作;教育培訓組負責個人信息保護人才的教育、培養研究及試點,開展個人信息保護人才培養工作。
2.評價依據
大連軟件行業協會在全國率先開始制定軟件及信息服務業的個人信息保護標準,即《規范》,經過多年的實踐,在大連市的地方標準的基礎上,形成了遼寧省的個人信息保護“省標”《遼寧省軟件與信息服務業個人信息保護規范》DB21/T 15222007、《個人信息保護規范》DB21/T 16282008和遼寧省地方標準《信息安全個人信息保護規范》DB21/T 1628.12012。目前大連軟件行業協會已經發布通知自2014年6月1日起正式實施《信息安全個人信息保護規范》,即2012版標準替代目前實施的2008版標準[10]。
3.評價流程
個人信息保護評價流程包括申請、受理、文件審查(前期審查)、現場審核、公示15天、審批、頒發合格證和標志等幾個環節[11]。個人信息保護評價申請的前提是申請評價的企業按照《規范》的要求建立企業個人信息保護制度,經過三個月運行的檢驗,在這期間沒有發生任何涉及個人信息保護的重大事故,方得以開展評價申請。
4.評價監督管理
通過個人信息保護認證的企業并非一勞永逸,大連軟件行業協會對于通過認證的企業具有監督管理的權利。大連軟件行業協會對于通過認證的企業可以采取抽查的方式進行監督管理,對于抽查不合格的企業,將限期整改,整改后仍然無法達到相關標準的企業,則取消其使用個人信息保護合格證書和PIPA標志的資格。同時,大連軟件行業協會在接到重要舉報和投訴時,可對認證企業進行復審,復審不合格的企業同樣取消其使用個人信息保護合格證書和PIPA標志的資格。
5.證書與標志
通過個人信息保護認證的企業,由大連軟件行業協會頒發個人信息保護合格證書、PIPA標志,證書和標志在兩年內有效。
值得一提的是,由于大連行業協會與日本情報處理開發協會簽署了互認合作協議,即通過大連PIPA認證的企業受到日本情報處理開發協會的個人信息認證體系Pmark認可,無需再另行申請日本Pmark認證,因此,通過大連行業協會個人信息保護認證的企業還可以獲得PIPAmark互認標志。
(四)中美日個人信息保護評價制度比較及啟示中美日的個人信息保護評價制度各具特色,三者的共同點在于均是出于對用戶個人信息和隱私的保護而構建的一整套認證制度,均是以非官方組織為主導開展的評價認證,三者的差別在于:
從評價的地域范圍來看,由于互聯網的無國界性,以TRUSTe為代表的美國個人信息評價制度目前已經發展成為一個全球性的認證體系,并不局限于僅對美國的網站開展認證業務;日本的Pmark個人信息評價體系則是針對日本的企業開展認證服務,是日本國家級的認證體系,但不針對國外的企業開展認證;大連的PIPA評價體系最初僅僅局限于針對大連市的企業,而且是對軟件和信息服務業的企業開展評價,現在逐步向全國范圍內擴大。
(一)軟件產品個人信息安全認證標準
軟件產品個人信息安全認證標準是軟件產品個人信息安全認證最基本的依據,放眼全球,目前尚無一個針對軟件產品個人信息安全認證的標準,只有類似針對整個企業的個人信息保護管理系統的標準、針對軟件和信息服務業整個行業的個人信息保護規范、針對網站的隱私認證標準,而缺乏針對最直接收集個人信息的計算機軟件產品的個人信息安全認證標準。
(二)軟件產品個人信息安全認證流程
建立軟件產品申請個人信息保護認證流程,對于符合個人信息保護法律收集、利用和處理的軟件產品,經審查合格的,頒發軟件產品個人信息保護合格證書與標志。該軟件產品的開發者和利用者可以在其上注明個人信息保護合格標志,以告知用戶,增加用戶對其的信賴感。軟件產品個人信息安全認證流程與軟件企業的個人信息保護認證并不相同,前者注重的是軟件產品是否合法收集利用用戶個人信息、是否保障用戶個人信息安全,而后者強調的是企業個人信息保護管理體系的建立以及對于個人信息保護的政策。
本研究結合國內外隱私認證和企業個人信息保護評價的流程,對軟件產品個人信息安全認證流程初步設計如下。
1.申報
欲進行個人信息保護認證的軟件產品開發者或生產者、經營者作為申請單位需填寫《軟件產品個人信息安全認證申請書》及相關附件材料呈交評價機構。
2.資料審查
由評價機構對申請單位提交的《軟件產品個人信息安全認證申請書》及相關附件材料進行審查,審查合格者制作審查合格報告,并進入軟件信息保護評估階段,不合格者返回補正。
3.軟件信息保護評估
資料審查合格的單位向評價機構提交軟件產品樣品一份,由評價機構利用技術手段針對軟件的安全性進行測試,包括軟件產品的信息安全、軟件產品的運行機制、軟件產品對于用戶個人信息的收集利用情況等方面,并由專家組進行評估,最終形成評價報告。通過者進入審核階段;未通過者,申報單位按照專家組的評價意見進行一次改進完善,改進完善后重新進行評估,如仍不能通過,則出具評估不合格報告,若未進行實質性修改完善,不得再申請進行個人信息安全評價。
4.審核
依據專家組形成的評價報告,評價機構進行審核,而后簽署最終審核意見。評價機構對通過審核者公示10個工作日,其間如沒有實質性異議,則正式通過審核并予以公告,頒發“軟件產品個人信息安全合格證書”及認證標志。
通過軟件產品個人信息安全認證機制的構建,有助于培育一批品質優良、注重用戶權益、服務經濟社會發展需要的軟件產品,從而肅清我國軟件產品市場魚目混珠的亂象,引領軟件產業的發展,為信息產業的長遠發展奠定基礎。
【個人信息安全認證機制論文】相關文章:
個人信息安全評估報告(精選6篇)09-29
個人信息安全承諾書范文11-01
個人信息安全評估報告范文(精選22篇)10-12
個人信息安全的自查報告優秀10-15
個人信息安全影響評估報告(通用12篇)12-19
小學安全風險防控機制的實施方案06-01
安全玻璃強制認證協議書12-13
安全玻璃強制認證協議書09-02
銀行個人信息安全自查報告范文(通用9篇)12-02