专家吁建分级查询制度 “多管齐下”保护个人信息
工业和信息化部相关部门负责人日前透露今年上半年会正式出台《信息安全技术:公共及商用服务信息系统个人信息保护指南》,这被认为将是我国关于个人信息保护的第一个国家标准。其实在此之前,专家和业内人士已经为个人信息保护提出许多建议,只是这“多管齐下”之举如何保障不会“见风不见雨”?
专家认为,第一项举措就应该是减少对个人信息的收集,即“最少信息收集”或“最少够用原则”。上海泛洋律师事务所高级合伙人刘春泉指出,韩国此前也发生过知名网站用户信息大规模泄露的事件,此后韩国要求个人或企业使用用户身份证信息时,需事先获得批准。此举既降低了用户信息泄露风险,也增强了事后追责的操作性。美国在处理类似事件时,会倾向于对互联网企业施以惩罚性赔偿,迫使企业减少对用户信息的收集。
指南起草人高炽扬介绍说,指南一项关键原则就是“最少够用原则”,例如在论坛注册,如果只看帖、发帖,就不需要留下家庭地址和手机网络公司对用户信息的收集和保管,降低了用户信息泄露的风险。
另一项举措便是要严格制定规程限制网络个人信息的查询权限。篱笆网总裁张国华介绍说,篱笆网在创建“真实社区”推行用户实名认证时,就对用户信息查询设置了严格的权限,除了负责用户个人信息监管的后台总监,谁也无权查看用户的注册信息。公司也针对用户信息泄露设置了严格的追惩制度。
专家表示,对掌握大量公民信息的电信、医疗、教育等单位,应严格限制有权限查询公民个人信息人员的数量,并且要建立分级查询制度、明确责任追究制度。
业内讨论认为,尽管我国关于个人信息保护的行业性、地方性相关法律法规已经非常丰富,但目前个人信息保护依然存在几个难题:保护界定难,即如何区分正当使用个人信息和非法使用个人信息;泄露取证难,即难以追查在什么环节发生了泄露;执法统一难,即不同的监管主体在执法上的宽严尺度难以保持一致。要同时化解这些难题,便需要一部专门的个人信息保护法律。
事实上,国务院相关部门在2003年就开始了对个人信息保护立法的研究、制定工作,但因为在业界难以达成共识而迟迟未能出台。工业和信息化部信息安全协调司副司长欧阳武介绍说,目前国际立法界对于保护个人信息方面的新趋势就是“以预防为主”,因为互联网时代既难以找到具体的侵权方,事后即使追责也无法消除影响,所以要立足于事前防范,明确个人信息管理者的一整套法定责任。
参与个人信息保护立法起草的专家周汉华表示,即使出台了个人信息保护法,要保证其能得到有效实施,还得注意三个问题:一是平衡原则,既要保障信息充分流通、推动信息社会进步,也要避免滥用个人信息;二是他律与自律的结合,监管职责不能全部都交由政府部门,应该设置有效机制,推动企业的自我管理;三是体现执法的威慑,真正将法律的规定严格在现实中遵照执行。
此外有专家建议,应该借助技术手段建设个人信息的非法采集及滥用事件的投诉通道和监测手段,为保护个人信息提供技术解决方案。(记者 罗争光)