个人信息保护国家标准实施 处理个人信息需本人同意

去年11月公布的我国首个个人信息保护国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)将于今年2月1日起正式实施。

1月21日，《指南》的主要起草单位工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)在北京举办“个人信息保护国家标准宣讲会暨个人信息保护推进联盟筹备会”。工业和信息化部信息安全协调司副司长欧阳武出席会议，对《指南》进行了详细的介绍，倡导行业自律及个人信息保护评测，推动标准贯彻落实。

《指南》属于国家标准“指导性技术文件”类，对利用信息系统处理个人信息的活动起指导和规范作用。据了解，《标准》对个人信息保护领域的术语和定义做了明确的规范，并通过“八大基本原则”和“四个主要环节”对个人信息保护工作提出了详细的要求。

八大原则四个环节

欧阳武在宣讲会致辞表示，企业在面对大量个人信息时需遵循《指南》中确定的八大基本原则，对个人信息的保护需贯穿于个人信息的处理过程的收集、加工、转移、删除四个主要环节中。

所谓八大基本原则，即个人信息管理者在对个人信息进行处理时需把握目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则和责任明确原则。

有业内专家指出，与法律的强制性和最低要求不同，标准具有自觉性和更高更详细要求的特点。《指南》中的基本原则是对《关于加强网络信息保护的决定》的细化和补充。

去年12月第十一届全国人大常委会通过了《关于加强网络信息保护的决定》。《决定》共12条内容，将公民个人信息保护放在首要位置，提出了以法律形式保护公民个人及法人信息安全，并赋予政府主管部门必要的监管手段。

《指南》中明确规定在个人信息的收集阶段需要具有特定、明确、合法的目的。收集前要采用个人信息主体易知悉的方式，向个人信息主体明确告知。尤其是不可以直接向未满16周岁的未成年人收集个人敏感信息，确需收集其个人敏感信息需要征得其法定监护人的明示同意。

在个人信息的加工阶段不可以违背收集阶段已告知的使用目的，保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。

在转移阶段，个人信息管理者需要保证个人信息的安全。收集阶段告知的个人信息使用目的达到后，需要立即删除个人信息;如需继续处理，要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息，要获得个人信息主体的明示同意。

通过对八大基本原则和四个主要环节的详细规定，我国个人信息保护工作可以更方便的开展，真正做到“有标可依”。

在宣讲会上，欧阳武还希望拥有大量个人信息的企业依据《指南》对处理个人信息的信息系统及个人信息处理流程进行自查和第三方评测，共同创建保护个人信息的良好环境。

成立联盟倡导自律

标准出台的同时，首个个人信息保护自律联盟将成立，监督推动标准的落实。中国软件评测中心副主任朱璇表示，中国软件评测中心将联合相关行业协会，积极牵头组织企业和测评机构共同组建我国个人信息保护自律联盟——“个人信息保护推荐联盟”，并创办首个安全通报服务平台——“中国个人信息保护网”。

“个人信息保护推荐联盟”的成立将弥补我国个人信息保护相关组织机构的缺失，形成我国的企业自律模式。业内相关人士表示，联盟将对推动我国个人信息保护工作发展产生重大影响。不仅保障开展业务活动的公司和个人信息数据得到有效保护而不阻碍数据的转移和流通，还有助于建立统一的隐私政策，给予公众个人信息以公开、透明的社会信任，使公众与企业达到双赢的局面。

据了解，国外一些个人信息保护推动较早的国家皆成立了个人信息保护相关工作组织，例如美国的TRUSTE认证、欧洲的ePrivacyMark、日本的P-MARK认证等，这些机构在制定相关标准规范和约定章程的同时，倡导、辅助并监督企业依照约定章程开展个人信息保护工作。

同时，个人信息保护的权威发布平台“中国个人信息保护网”也即将开通，中国软件评测中心刘陶介绍，网站不仅将成为发布个人信息威胁预警、公告重要个人信息安全事件、发布第三方测评报告的平台;也将成为个人信息保护政策、标准宣贯和推进实施的平台。

后续注重标准落地

中国电子信息产业发展研究院副院长兼中国软件评测中心常务副主任黄子河表示，为了更好地推动并落实个人信息保护国家标准，作为标准的牵头制定单位，在后续工作中，中国软件评测中心将在工业和信息化部主管部门指导下，通过培训、试点等形式加大标准宣传力度，推出一批个人信息保护示范典型，进一步构建完善个人信息保护标准体系，推动我国个人信息保护自律的各项工作发展。

对于首个个人信息保护国家标准的“落地”工作，有专家指出，《指南》只是一个推荐性标准，其实施取决于相关行业主体的自愿配合，缺乏一定的强制力。
专家表示，个人信息保护关键就在于强制性的法律法规和行为标准，个人信息保护国标重在落实。