个人信息保护将有国家标准

　　本报综合消息 工业和信息化部信息安全协调司副司长欧阳武5日接受新华社记者专访时透露，《信息安全技术 公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批，预计今年下半年正式出台。

　　欧阳武表示，这个标准是非强制性的，是政府组织及推动个人信息保护工作的一部分。这个标准正式出台后，还将有一系列的配套标准，包括技术保障、管理规范、认证和审计细则等。“现在每个企业都说自己对个人信息的保护工作做得很好，但如果去查，肯定都有问题，都保护得不好。这些系列标准出台后，就可以形成一个闭环，明确责任，推动企业遵照执行。”

　　欧阳武介绍说，我国从2003年就开始进行《个人信息保护法》的研究、制定工作，但这个课题在业界一直难以达成共识，对于那些是需要保护的个人信息，学界看法不一。“这导致我国只有在很多专门法里笼统地提一句不能泄露个人信息、侵犯个人隐私，但如何保护，却没有具体、详细的规定和技术措施，导致这些提法形同虚设。”

　　据悉，我国信息技术保护不容乐观，甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件，将个人信息保护推向了风口浪尖。在个人信息安全缺少专门法律规范时，一部行业标准成为业内的希望。

　　指南对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则，包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。

　　中国软件测评中心透露，个人信息泄露中70%-80%属内部作案，这是“安全保障”原则没能落实好所致。一些商业公司掌握大量个人信息，由于管理制度疏漏，一些内部员工未经授权就能获取客户信息。

　　指南规定，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。