个人信息保护需要指导性标准_访中国软件评测中心副主任高炽扬_李杰
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
需要强调的是,个人信息保
53
信息安全 2012年第4期 bmgz@263.net
护非常需要法律的保驾护航。据 统计,目前有近40部法律、30余 部法规,以及近200部规章涉及个 人信息保护,其中大多数法律法 规都是孤立、零散的。对此,我 个人非常赞同推进制定一个整体 性法律,当然,法律的制定不可 能一蹴而就。但是,法律不能代 替《指南》,正如《指南》不能 代替法律一样。因为,通俗讲, 法律是管人的,而《指南》是管 信息系统的;法律关注的是事后 的惩罚,而《指南》关注的是事 先怎么做,所以说,保护个人信 息既需要强制性法律,也需要指 导性标准,二者相互配合、相互 补充,才能发挥好各自作用,切 实保护好个人信息。
在这一年,党的十七届六中全会 明确提出:“加大网上个人信息 保护力度,建立网络安全评估机 制,维护公共利益和国家信息安 全。”因此,从宏观层面上看, 加强互联网个人信息保护工作势 在必行。
从微观层面上看,除少数恶 意滥用个人信息的企业外,不少 企业想要保护用户个人信息,却 不知道该如何去做。工信部科学 技术情报研究所调查发现,大部 分企业已采取不同程度保护用户 个人信息的措施,却很难保证落 实。据估计,70%~80%涉及个 人信息泄露的企业,都是管理制 度疏漏,“内部员工作案”。就 个人而言,甚至还有不少人对个 人信息缺乏相应的保护意识,认 为个人信息泄露无关紧要。制定 《指南》的目的就是要提高个人 信息保护意识,促进个人信息的 合理利用,指导和规范信息系统 处理个人信息活动,从而推动我 国信息服务业个人信息保护体系 的建立。简单地说,就是指导个 人、企业、政府及其他第三方力
四是提出八个基本原则,即 目的明确原则、最少够用原则、 公开告知原则、个人同意原则、 质量保证原则、安全保障原则、 诚信履行原则、责任明确原则。 关于最少够用原则,我经常讲的 一个例子,就是马季先生在一个 相声里谈到,一个人在饭店里吃 碗面条,需要填一个登记表,表 上有家庭住址、财务信息、婚姻 状况,连睡觉打不打呼噜都要写
54
本期 导读
BENQIDAODU
bmgz@263.net 2012年第4期
□纪念保密法修订公布两周年。保密法修订公布两年来,贯彻实施工作取得显著成绩,在确保 国家秘密安全和便利信息资源合理利用方面发挥了积极作用,定密解密、计算机网络保密管理、保 密检查、泄密案件查处、保密法制理论研究等取得重要进展。本刊特约请国家保密局负责人、有关部 门和专家,就保密法的贯彻实施等情况进行全面介绍和深度评析,以此纪念保密法修订公布两周年。
□个人信息保护需要指导性标准。为加强对个人信息的保护,近日,《信息安全技术、公共及 商用服务信息系统个人信息保护指南》已经正式通过评审,引起社会广泛关注。为深入了解《指 南》出台的有关情况,本刊记者对主要起草人之一 ——中国软件评测中心副主任、北京赛迪信息技 术评测有限公司执行总裁高炽扬进行了专访,敬请关注。
规定,信息获得者在完成加工任 务后,必须将信息内容全部、彻 底删除,只将处理的结果交给信 息管理者。
三是明确了个人信息处理 的生命周期,即把信息系统中个 人信息处理过程划分为收集、加 工、转移、删除四个主要环节, 并对各个环节提出明确要求。需 要强调的是,随着社会化分工, 数据处理需要委托有关机构进 行,也就是我们讲的外包,这是 必要的。但是作为个人信息管理 者,在委托给别人加工的时候, 有没有考虑过那家企业能不能同 样保护用户信息?有没有严格的 管理措施和技术手段?对此, 《指南》提出了明确要求。
□全国启动“系统建设年”活动。遵照中央领导同志重要指示精神,为贯彻落实《“十二五” 时期全国保密事业发展规划》和《中共中央保密委员会2012年工作要点》部署要求,全面加强全国 保密系统思想理论建设、机构队伍建设、工作制度建设和基础设施建设,提高全系统保密工作整体 水平,中央保密办、国家保密局在全国保密系统全面启动“系统建设年”活动,相关工作正在积极 推进中。本刊将跟踪活动进展情况,持续深入报道。
信息安全 2012年第4期 bmgz@263.net
个人信息保护需要指导性标准
——访中国软件评测中心副主任高炽扬
□本刊记者 李 杰
最近,《信息安全技术、 公共及商用服务信息系统个人 信息保护指南》(以下简称《指 南》)已经正式通过评审,正报 批国家标准。为深入了解《指 南》制定的有关情况,本刊记 者对《指南》的主要起草人之 一 —— 中 国 软 件 评 测 中 心 副 主 任、北京赛迪信息技术评测有限 公司执行总裁高炽扬进行了专 访。
1
上,Baidu Nhomakorabea个事情跟吃碗面条有关系 吗?是不是就成为一个笑话呢?
记者:有评论指出《指南》 不具有强制性,作用有限,您怎 么看?
高炽扬:从我们国家的标准 来说,实际上有两个大的分类。 第一类是强制性标准,第二类是 非强制的,又分为推荐标准和指 导性技术文件。《指南》属于指 导性技术文件。
为什么《指南》是非强制 性的?我们从三个方面来分析。 第一看个人,很多人对保护个人 信息的诉求不明确,甚至不知道 要保护自己的信息,觉得这件事 无所谓,别人拿走就拿走了,对 自己可能没有危害。第二看企 业,一方面我们看到确实有一些 企业存在恶意收集和滥用信息的 现象,另一方面我们也看到,很 多企业实际上是希望保护好用户 信息的,但是由于管理的疏漏、 技术手段的缺失,造成了一些内 部员工不当地接触和使用。第三 看政府主管机关,它非常希望了 解行业的态势,也希望有很好的 技术性手段来进行这种监管,但 是缺乏一个指标性体系。通过这 些诉求来看,需要制定一个信息 保护标准,但这个标准不一定是 强制性的。从我国技术标准的特 点来看,应该说强制性标准是非 常少的,因为就技术角度而言, 不同行业、不同群体,诉求可能 不一样,所需要遵循的标准也不 同。如果强行推出一个强制性标 准,未必有好的效果,反而是非 强制的指导性文件在实施中才可 能执行得比较好。
·信息安全小百科
密码防盗指南
□郭少峰 吴 鹏
1.有足够的安全意识,避免在社会层面受到密码诈骗。 2.不同安全等级的网站设不同强度的密码。对于网银等和 个人利益直接相关的网站,一定要设置超强的密码。 3.测试网站密码的安全性,在注册一个网站时,如果你输 入密码“123456”也能通过,这个网站肯定不安全。同样,对密 码长度没有要求,不能使用特殊字符或者无法区分大小写网站的 安全性能也不高。 4.减少使用常用的个人信息,尽量不用自己的生日作为密 码。尽量使用和自己个人信息不相关或者距离远的信息。 5.利用经典密码学,设置自己的加密“函数”或规律。 比如,你可以选取“不管三七二十一”,抽出其中的数字 “3721”,对个别数字进行替换或移位,把“7”变成英文字母 中的“L”,把“1”变成英文字母“i”,变成“3L2i”,这样, 密码就稍微复杂一点。 6.多组合密码。搭配各类数字、字母、大小写、特殊符号 的组合,比如一个10位长的随机密码,由于常用键一共有95个, 因此一共会有(95的10次方)种组合,较难在短时间内被“暴 力”破解。你可以把“3L2i”加上符号变成“3#L*2i#”。 7.在你的密码“3#L*2i#”和另一个人的密码“123456” 之间,黑客肯定首先盗取后者的密码,一旦一个网站的密码发生 泄露,你可以比有简单密码的后者拥有更多的时间进行密码修 改。 8.最后,隔一段时间,换一下自己的密码,总能让密码更 安全的。
52
中国软件评测中心副主任、 北京赛迪信息技术评测有限公司 执行总裁高炽扬
量明确该怎样保护个人信息。 记者:《指南》的制定经历
了怎样的过程? 高炽扬:工信部作为行业
主管部门,一直高度重视推进个 人信息保护工作。自2008年起, 已连续4年委托中国软件评测中 心、北京赛迪信息技术评测有限 公司开展相关研究工作。在全国 信息安全标准化技术委员会的指 导下,中国软件评测中心联合30 多家相关研究机构和行业骨干企
记者:《指南》有哪些突出 亮点?
高炽扬:有四个突出亮点。 一是将个人信息分为两类:一般 个人信息和敏感个人信息。其 中,敏感个人信息的具体内容根 据接收服务的个人信息主体意愿 和各自业务特点确定,主要包括 身份证号码、手机号码、种族、 政治观点、宗教信仰、基因、指 纹等,一旦泄露或修改会对个人 信息主体造成不良影响;除此之 外是一般个人信息,它们大多带 有广而告之的性质。若不区分这 一点,个人信息的保护成本就太 高了。如何界定哪些是敏感信 息、怎样保护敏感信息,这对日 后的立法工作十分重要。
声音
SHENGYIN
最近几年,在国家选拔人才的各种考试中,除考研外,英语专业八级,英语四、六级,司法考 试,公务员考试,注册会计师考试等都出现过泄题事件,至今仍未根治……如果不警惕这种渐呈产业 链化的教育犯罪,当泄题成为考试的常态,社会信任最底线的基础便荡然无存。
——2012年第8期《南风窗》评点各类“国考”泄题事件
bmgz@263.net 2012年第4期 信息安全
业进行了大量调研,深入研究了 国外有关个人信息保护的法律法 规以及国内个人信息保护的现状 和突出问题,在此基础上,形成 《指南》征求意见稿。此后,又 广泛征求了行业协会、互联网企 业、法律专家和社会公众的意见 建议,经3次评审,数易其稿,最 终形成《指南》报批稿。现已报 送国家标准化管理委员会,进入 审批程序。
二是明确四类角色及职责, 即进一步明确了个人信息主体的 权利,细化了个人信息管理者的 责任,强化了个人信息获得者的 删除义务,突出了第三方测评机 构对个人信息管理者进行评价、 监督和指导的基础性作用。比如 关于删除义务的规定,由于很多 信息管理者自身并没有处理信息 的能力,所以会委托一些公司进 行相应的整理,这在电子商务领 域十分常见。所以《指南》特别
另外,目前《指南》引起社 会广泛关注,再加上我们的前期 调研,这都为个人信息保护立法 在技术上做了非常好的铺垫,起 到了很好的推进作用。《指南》 只是第一步,接下来,针对各行 业各领域的特点,还将制定一系 列的标准。在后续工作中,根据 这些标准,希望相关部门以下发 相关文件的形式,推动各地区各 部门及行业协会进行落实,使 《指南》发挥更大的作用。
记者:《指南》的制定引发 社会广泛关注,请您介绍一下有 关背景。
高炽扬:随着信息技术的 广泛应用和互联网的不断普及, 个人信息在社会、经济活动中的 地位日益凸显。与此同时,滥用 个人信息的现象随之出现。近年 来,个人信息泄露事件频发,并 愈演愈烈。2011年底,中国互联 网更是遭遇了史上最大规模的用 户信息泄露事件,多家大型网站 的用户数据被泄露,几千万用户 账号和密码被公开,给社会秩序 和人民切身利益造成严重危害, 引起社会各界广泛关注。也就是
中国互联网用户开始非常重视个人信息安全,但多数人并未使用全面的安全解决方案来保护自 己。随着中国用户使用越来越多的上网设备,人们更需要强大、全面的安全解决方案来保护存储在 PC、Mac、平板电脑、智能手机等各种上网设备中的重要信息。
——赛门铁克诺顿公司4月中旬发布报告,分析中国网民对个人信息安全的认知水平,该公司中 国区消费产品事业部总经理白帆接受采访时说
53
信息安全 2012年第4期 bmgz@263.net
护非常需要法律的保驾护航。据 统计,目前有近40部法律、30余 部法规,以及近200部规章涉及个 人信息保护,其中大多数法律法 规都是孤立、零散的。对此,我 个人非常赞同推进制定一个整体 性法律,当然,法律的制定不可 能一蹴而就。但是,法律不能代 替《指南》,正如《指南》不能 代替法律一样。因为,通俗讲, 法律是管人的,而《指南》是管 信息系统的;法律关注的是事后 的惩罚,而《指南》关注的是事 先怎么做,所以说,保护个人信 息既需要强制性法律,也需要指 导性标准,二者相互配合、相互 补充,才能发挥好各自作用,切 实保护好个人信息。
在这一年,党的十七届六中全会 明确提出:“加大网上个人信息 保护力度,建立网络安全评估机 制,维护公共利益和国家信息安 全。”因此,从宏观层面上看, 加强互联网个人信息保护工作势 在必行。
从微观层面上看,除少数恶 意滥用个人信息的企业外,不少 企业想要保护用户个人信息,却 不知道该如何去做。工信部科学 技术情报研究所调查发现,大部 分企业已采取不同程度保护用户 个人信息的措施,却很难保证落 实。据估计,70%~80%涉及个 人信息泄露的企业,都是管理制 度疏漏,“内部员工作案”。就 个人而言,甚至还有不少人对个 人信息缺乏相应的保护意识,认 为个人信息泄露无关紧要。制定 《指南》的目的就是要提高个人 信息保护意识,促进个人信息的 合理利用,指导和规范信息系统 处理个人信息活动,从而推动我 国信息服务业个人信息保护体系 的建立。简单地说,就是指导个 人、企业、政府及其他第三方力
四是提出八个基本原则,即 目的明确原则、最少够用原则、 公开告知原则、个人同意原则、 质量保证原则、安全保障原则、 诚信履行原则、责任明确原则。 关于最少够用原则,我经常讲的 一个例子,就是马季先生在一个 相声里谈到,一个人在饭店里吃 碗面条,需要填一个登记表,表 上有家庭住址、财务信息、婚姻 状况,连睡觉打不打呼噜都要写
54
本期 导读
BENQIDAODU
bmgz@263.net 2012年第4期
□纪念保密法修订公布两周年。保密法修订公布两年来,贯彻实施工作取得显著成绩,在确保 国家秘密安全和便利信息资源合理利用方面发挥了积极作用,定密解密、计算机网络保密管理、保 密检查、泄密案件查处、保密法制理论研究等取得重要进展。本刊特约请国家保密局负责人、有关部 门和专家,就保密法的贯彻实施等情况进行全面介绍和深度评析,以此纪念保密法修订公布两周年。
□个人信息保护需要指导性标准。为加强对个人信息的保护,近日,《信息安全技术、公共及 商用服务信息系统个人信息保护指南》已经正式通过评审,引起社会广泛关注。为深入了解《指 南》出台的有关情况,本刊记者对主要起草人之一 ——中国软件评测中心副主任、北京赛迪信息技 术评测有限公司执行总裁高炽扬进行了专访,敬请关注。
规定,信息获得者在完成加工任 务后,必须将信息内容全部、彻 底删除,只将处理的结果交给信 息管理者。
三是明确了个人信息处理 的生命周期,即把信息系统中个 人信息处理过程划分为收集、加 工、转移、删除四个主要环节, 并对各个环节提出明确要求。需 要强调的是,随着社会化分工, 数据处理需要委托有关机构进 行,也就是我们讲的外包,这是 必要的。但是作为个人信息管理 者,在委托给别人加工的时候, 有没有考虑过那家企业能不能同 样保护用户信息?有没有严格的 管理措施和技术手段?对此, 《指南》提出了明确要求。
□全国启动“系统建设年”活动。遵照中央领导同志重要指示精神,为贯彻落实《“十二五” 时期全国保密事业发展规划》和《中共中央保密委员会2012年工作要点》部署要求,全面加强全国 保密系统思想理论建设、机构队伍建设、工作制度建设和基础设施建设,提高全系统保密工作整体 水平,中央保密办、国家保密局在全国保密系统全面启动“系统建设年”活动,相关工作正在积极 推进中。本刊将跟踪活动进展情况,持续深入报道。
信息安全 2012年第4期 bmgz@263.net
个人信息保护需要指导性标准
——访中国软件评测中心副主任高炽扬
□本刊记者 李 杰
最近,《信息安全技术、 公共及商用服务信息系统个人 信息保护指南》(以下简称《指 南》)已经正式通过评审,正报 批国家标准。为深入了解《指 南》制定的有关情况,本刊记 者对《指南》的主要起草人之 一 —— 中 国 软 件 评 测 中 心 副 主 任、北京赛迪信息技术评测有限 公司执行总裁高炽扬进行了专 访。
1
上,Baidu Nhomakorabea个事情跟吃碗面条有关系 吗?是不是就成为一个笑话呢?
记者:有评论指出《指南》 不具有强制性,作用有限,您怎 么看?
高炽扬:从我们国家的标准 来说,实际上有两个大的分类。 第一类是强制性标准,第二类是 非强制的,又分为推荐标准和指 导性技术文件。《指南》属于指 导性技术文件。
为什么《指南》是非强制 性的?我们从三个方面来分析。 第一看个人,很多人对保护个人 信息的诉求不明确,甚至不知道 要保护自己的信息,觉得这件事 无所谓,别人拿走就拿走了,对 自己可能没有危害。第二看企 业,一方面我们看到确实有一些 企业存在恶意收集和滥用信息的 现象,另一方面我们也看到,很 多企业实际上是希望保护好用户 信息的,但是由于管理的疏漏、 技术手段的缺失,造成了一些内 部员工不当地接触和使用。第三 看政府主管机关,它非常希望了 解行业的态势,也希望有很好的 技术性手段来进行这种监管,但 是缺乏一个指标性体系。通过这 些诉求来看,需要制定一个信息 保护标准,但这个标准不一定是 强制性的。从我国技术标准的特 点来看,应该说强制性标准是非 常少的,因为就技术角度而言, 不同行业、不同群体,诉求可能 不一样,所需要遵循的标准也不 同。如果强行推出一个强制性标 准,未必有好的效果,反而是非 强制的指导性文件在实施中才可 能执行得比较好。
·信息安全小百科
密码防盗指南
□郭少峰 吴 鹏
1.有足够的安全意识,避免在社会层面受到密码诈骗。 2.不同安全等级的网站设不同强度的密码。对于网银等和 个人利益直接相关的网站,一定要设置超强的密码。 3.测试网站密码的安全性,在注册一个网站时,如果你输 入密码“123456”也能通过,这个网站肯定不安全。同样,对密 码长度没有要求,不能使用特殊字符或者无法区分大小写网站的 安全性能也不高。 4.减少使用常用的个人信息,尽量不用自己的生日作为密 码。尽量使用和自己个人信息不相关或者距离远的信息。 5.利用经典密码学,设置自己的加密“函数”或规律。 比如,你可以选取“不管三七二十一”,抽出其中的数字 “3721”,对个别数字进行替换或移位,把“7”变成英文字母 中的“L”,把“1”变成英文字母“i”,变成“3L2i”,这样, 密码就稍微复杂一点。 6.多组合密码。搭配各类数字、字母、大小写、特殊符号 的组合,比如一个10位长的随机密码,由于常用键一共有95个, 因此一共会有(95的10次方)种组合,较难在短时间内被“暴 力”破解。你可以把“3L2i”加上符号变成“3#L*2i#”。 7.在你的密码“3#L*2i#”和另一个人的密码“123456” 之间,黑客肯定首先盗取后者的密码,一旦一个网站的密码发生 泄露,你可以比有简单密码的后者拥有更多的时间进行密码修 改。 8.最后,隔一段时间,换一下自己的密码,总能让密码更 安全的。
52
中国软件评测中心副主任、 北京赛迪信息技术评测有限公司 执行总裁高炽扬
量明确该怎样保护个人信息。 记者:《指南》的制定经历
了怎样的过程? 高炽扬:工信部作为行业
主管部门,一直高度重视推进个 人信息保护工作。自2008年起, 已连续4年委托中国软件评测中 心、北京赛迪信息技术评测有限 公司开展相关研究工作。在全国 信息安全标准化技术委员会的指 导下,中国软件评测中心联合30 多家相关研究机构和行业骨干企
记者:《指南》有哪些突出 亮点?
高炽扬:有四个突出亮点。 一是将个人信息分为两类:一般 个人信息和敏感个人信息。其 中,敏感个人信息的具体内容根 据接收服务的个人信息主体意愿 和各自业务特点确定,主要包括 身份证号码、手机号码、种族、 政治观点、宗教信仰、基因、指 纹等,一旦泄露或修改会对个人 信息主体造成不良影响;除此之 外是一般个人信息,它们大多带 有广而告之的性质。若不区分这 一点,个人信息的保护成本就太 高了。如何界定哪些是敏感信 息、怎样保护敏感信息,这对日 后的立法工作十分重要。
声音
SHENGYIN
最近几年,在国家选拔人才的各种考试中,除考研外,英语专业八级,英语四、六级,司法考 试,公务员考试,注册会计师考试等都出现过泄题事件,至今仍未根治……如果不警惕这种渐呈产业 链化的教育犯罪,当泄题成为考试的常态,社会信任最底线的基础便荡然无存。
——2012年第8期《南风窗》评点各类“国考”泄题事件
bmgz@263.net 2012年第4期 信息安全
业进行了大量调研,深入研究了 国外有关个人信息保护的法律法 规以及国内个人信息保护的现状 和突出问题,在此基础上,形成 《指南》征求意见稿。此后,又 广泛征求了行业协会、互联网企 业、法律专家和社会公众的意见 建议,经3次评审,数易其稿,最 终形成《指南》报批稿。现已报 送国家标准化管理委员会,进入 审批程序。
二是明确四类角色及职责, 即进一步明确了个人信息主体的 权利,细化了个人信息管理者的 责任,强化了个人信息获得者的 删除义务,突出了第三方测评机 构对个人信息管理者进行评价、 监督和指导的基础性作用。比如 关于删除义务的规定,由于很多 信息管理者自身并没有处理信息 的能力,所以会委托一些公司进 行相应的整理,这在电子商务领 域十分常见。所以《指南》特别
另外,目前《指南》引起社 会广泛关注,再加上我们的前期 调研,这都为个人信息保护立法 在技术上做了非常好的铺垫,起 到了很好的推进作用。《指南》 只是第一步,接下来,针对各行 业各领域的特点,还将制定一系 列的标准。在后续工作中,根据 这些标准,希望相关部门以下发 相关文件的形式,推动各地区各 部门及行业协会进行落实,使 《指南》发挥更大的作用。
记者:《指南》的制定引发 社会广泛关注,请您介绍一下有 关背景。
高炽扬:随着信息技术的 广泛应用和互联网的不断普及, 个人信息在社会、经济活动中的 地位日益凸显。与此同时,滥用 个人信息的现象随之出现。近年 来,个人信息泄露事件频发,并 愈演愈烈。2011年底,中国互联 网更是遭遇了史上最大规模的用 户信息泄露事件,多家大型网站 的用户数据被泄露,几千万用户 账号和密码被公开,给社会秩序 和人民切身利益造成严重危害, 引起社会各界广泛关注。也就是
中国互联网用户开始非常重视个人信息安全,但多数人并未使用全面的安全解决方案来保护自 己。随着中国用户使用越来越多的上网设备,人们更需要强大、全面的安全解决方案来保护存储在 PC、Mac、平板电脑、智能手机等各种上网设备中的重要信息。
——赛门铁克诺顿公司4月中旬发布报告,分析中国网民对个人信息安全的认知水平,该公司中 国区消费产品事业部总经理白帆接受采访时说