剛買房就接到裝修公司的電話,剛買車就接到汽車美容的電話,剛考完試就接到不同學校的錄取通知……這些問題都是由于個人信息泄露所引發的。隨著近年來個人信息泄露事件頻頻曝光,其產生的影響也越來越大,個人信息的泄露與保護已經成為當下的熱點話題。在今年10月21日大連召開的信息服務外包行業個人信息保護工作現場交流會”上,工業和信息化部授予大連國內首個信息服務外包行業個人信息保護試點城市”稱號。個人信息保護對于信息服務外包行業意味著什么?作為全國試點的大連,在個人信息保護方面又有何新招?
國內首個試點城市”
安全”是信息服務外包的第一要務,其中,個人信息保護又是信息服務外包發展的重要支撐體系。近年來,歐盟、日本等國都制定了相應的法律和標準,對個人信息跨境處理(離岸外包)實行了嚴格的限制和管理,此舉對信息服務外包行業的發展產生了重大影響。
2005年,受日本實施《個人信息保護法》并開展相關認證制度(P-MARK)的影響,大連對日外包的增長速度由2005年的114?郾77%下降到2006年的55?郾56%。為了幫助企業跨過個人信息保護這一外包門檻,自2005年開始,在大連市信息產業局的指導下,大連軟件行業協會在行業中開展了個人信息保護工作。這一行動很快得到市場的積極反饋,2007年大連市外包增長率上升為117?郾35%。2009年4月,工業和信息化部有關領導在調研期間對大連的個人信息保護模式給予了高度評價。
為了更好地總結和推廣大連市開展個人信息保護工作的經驗,為發展信息服務外包創造良好的政策環境,今年10月21日,工業和信息化部在大連召開了信息服務外包行業個人信息保護工作現場交流會,全國十幾個省和三十余個城市的信息產業政府主管負責人參加了會議。工業和信息化部楊學山副部長在講話中高度肯定了大連在開展個人信息保護工作中的成績,歸納總結了大連工作的3個特點,即政府引導、標準先行、協會運作。在交流會上,工業和信息化部授予大連信息服務外包行業個人信息保護試點城市”稱號。北京市經信委副主任俞慈聲說:工業和信息化部召開的此次會議對下一步各地開展工作具有重要的指導意義。我們也要學習大連,爭做全國的個人信息保護試點城市。”可以說,大連的個人信息保護工作為我國信息服務外包行業個人信息保護工作開創了一個全新的模式。
構建個人信息保護標準和評價體系
標準是開展個人信息保護工作的基礎。談到大連個人信息保護標準的起草工作,大連軟件行業協會常務副秘書長孫鵬感慨良多:大連從2005年開始著手起草個人信息保護的相關標準。在工作初期面對的是一無專業人才、二無相關經驗的局面,大連所走的每一步都是摸著石頭過河。”功夫不負有心人,經過四年多的努力,大連已經制定出一系列有關個人信息保護的標準。
2006年3月,協會發布了《大連軟件及信息服務業個人信息保護規范》試用版;2007年2月又發布了正式版,出臺了《大連軟件及信息服務業個人信息保護管理辦法》、《大連軟件及信息服務業個人信息保護評價規則》和《PIPA文件管理手冊》;2007年6月發布遼寧省《軟件及信息服務業個人信息保護規范》(DB21/T 1522-2007),這也是我國首個針對個人信息保護的地方行業標準;2008年6月遼寧省發布《個人信息保護規范》(DB21/T 1628-2008)標準版,該標準是我國首個針對全行業的個人信息保護的地方標準。除了標準以外,大連也在積極推動地方立法工作,目前大連市法制辦已將《大連市軟件與信息服務業個人信息保護管理辦法》列入立法計劃。
標準為企業建立個人信息保護體系提供了參考,讓企業知道如何做個人信息保護。但光有標準是不夠的,還需要有一個統一的評價標準,為實行個人信息保護并達到一定標準的單位頒發證書和標志,讓公眾了解、讓社會知道、讓國際上認可這些在個人信息保護方面做得好的單位。國際上對我國有一定影響的認證主要有美國的BBOnLine隱私認證計劃、美國TRUSTe 認證、日本的P-MARK認證等。大連軟件行業協會依據標準制定的軟件及信息服務業個人信息保護評價體系(PIPA)是我國最早的針對個人信息保護能力和水平的評價。2008年6月19日,大連軟件行業協會與日本情報處理開發協會簽訂了PIPA與P-MARK的互認協議,互認方式也成為國際間個人信息保護合作的新模式。大連市軟件和信息服務企業積極參與PIPA實施,先后有華信、海輝、簡柏特等42家企業通過評價,獲得個人信息保護評價合格證書。政府引導 協會運作
大連市信息產業局對于開展個人信息保護工作給予了大力的支持。大連市信息產業局局長江親瑜在介紹大連經驗時指出,政府的大力支持是開展個人信息保護工作的首要保證。在體系的制定過程中,政府撥專款支持標準的研究和起草工作,出資邀請日本專家到大連進行培訓。”為了鼓勵更多的大連企業實施個人信息保護評價,大連市政府在2008年12月出臺的《關于進一步促進軟件和服務外包產業發展若干規定》的第二十八條明確提出:積極推行《個人信息安全保護規范》標準及其評價制度,由市專項資金全額補貼企業開展評價工作。企業如違反規范并造成后果,將暫停其享受本規定項下所有政策的權利。”也就是說,從今年起5年之內,政府給予實施個人信息保護評價的大連企業以評價費用全額補貼的支持,同時也規定如果企業出現違反個人信息保護規范的情況,將取消其享受《規范》中的其他優惠政策。
作為個人信息保護工作的實際操作者和推動者,大連軟件行業協會為個人信息保護工作的順利開展做了大量工作,建立了一整套組織體系和高素質的人才隊伍。大連軟件行業協會常務副秘書長孫鵬在介紹個人信息保護工作組織體系時說:由行業專家、企業代表和政府官員等組成的個人信息保護工作委員會是體系的最高決策機構,由委員會對企業的評審結果作出最終決定,協會下設的PIPA辦公室負責申請受理、組織評審等日常工作,現有幾十人的高學歷的評價員隊伍也為高質量的完成企業評審工作提供了保證。”
大連軟件行業協會正在與全國其它地區的軟件行業協會就個人信息保護的推廣及應用工作展開廣泛的交流與合作,幫助各地企業提高個人信息保護能力,提高承接國際業務的競爭能力。迄今為止,他們已先后與杭州、沈陽、無錫等地的相關機構開展了合作。在大連召開的信息服務外包個人信息保護現場交流會是一個很好的交流平臺,參會的各地市信息產業主管機構代表紛紛表示,希望能有更多的機會到大連來學習交流,將大連的經驗帶回到本地區推廣實施。
