當軟件和服務外包成為眾多國內城市爭相發展的“戰略產業”,一個必須回答的問題逐漸清晰起來:究竟什么是軟件和服務外包產業的核心競爭力?
東軟集團董事長兼CEO劉積仁曾用這樣的比喻來說明外包發包方與接包方的關系——外包����,就如同把孩子送到幼兒園�。那么��,父母為孩子選擇幼兒園時�����,哪些要素是最必須考慮的最重要的?老師教得好不好�、價格是否合理��、環境是否舒適……當然,這些都很重要���。但最重要的,也是最基本的也許只有這兩個字:“安全”�����。
不久前發生在南方的一場彩票作弊案����,讓“外包安全”顯得更加觸目驚心——根據當地有關部門的介紹���,正是由于不法分子利用為彩票發行機構做IT項目的機會����,將計算機病毒植入機構電腦�,實施了犯罪行為。這不由得不讓人感到恐懼——如果外包最終成了一種“引狼入室”的行為�,那么越來越多的信息被以外包的形式來處理�����,是否會使我們的個人隱私����,比如我們每個月掙多少錢、我們的健康情況等���,以及那些重要的企業信息都被一絲不掛地曝曬于公眾的視野下?
顯然��,安全之于外包����,幾乎是事關生死的要素。這一點對于像大連這樣全球新興、而又力圖成為軟件和服務外包新領軍城市的基地更為重要�����。在全球外包市場的游戲規則中�,安全是最基本而又最重要的底線。令人欣慰的是,我市早在幾年前已經在如何提供外包安全方面進行了卓有成效地探索和努力�����。特別是在個人信息保護方面���,已經形成了國內領先的保護體系�。大連的探索經驗得到了國家有關部委的高度重視,今年5月,市信息產業局接到工信部委托函,委托我市開展個人信息保護方面的研究�,并參與起草全國《個人信息保護規范》(草案)����。
起步:來自市場的壓力
我市領先于全國開展個人信息保護工作�����,始于2005年前后。最初的起步�,來自軟件和服務外包市場的壓力���。從1998年到2005年�����,我市軟件和服務外包產業發展迅速,特別是國際化特色使離岸外包業務占有很大的比重�。隨著國際業務量不斷增加���、業務種類不斷拓展��,“個人信息保護”問題越來越突出。
“個人信息保護是信息服務外包發展的重要支撐體系����。歐盟�、日本等國都制定了相應的法律和標準�����。對個人信息跨境處理(離岸外包)實行了嚴格的限制和管理�����?����!笔熊浖f會常務副會長孫鵬說。在2005年,占大連軟件出口80%的日本,實施了“個人信息保護法”�����,并開展了相關認證制度(P-MARK)��,這對大連離岸外包產生了很大的影響。大連對日外包的增長速度由2005年的114.77%���,下降到2006年的55.56%。為了應對國際市場的要求�����,保持外包業務的又好又快發展��,自2005年開始�,在市信息產業局領導下���,大連軟件行業協會在行業中開展了個人信息保護工作���。很快���,這一行動得到了市場的積極反饋——2007年我市外包增長率又上升為117.35%�����。
成績:中國首個個人信息保護標準出自大連
從2005年至今��,在市信息產業局的領導下,由大連軟件行業協會牽頭����,我市軟件和服務外包產業個人信息安全保護工作取得長足進步��。
2006年3月20日《大連軟件及信息服務業個人信息保護規范》發布,2007年2月5日正式實施�����。遼寧省《軟件及信息服務業個人信息保護規范》(DB21/T 1522-2007)2007年6月13日發布�����,2007年8月1日開始實施——這是我國首個針對個人信息保護的地方行業標準。遼寧省《個人信息保護規范》(DB21/T 1628-2008)2008年6月16日發布,2008年7月16日開始實施——該標準是我國首個針對全行業的個人信息保護的地方標準���。
在制定規范和標準的同時,我市著手研究建立個人信息保護評價(PIPA)體系。PIPA是我國最早的個人信息保護能力和水平的評價體系����,該體系是主要針對計算機處理相關單位而開展的個人信息保護能力的評價���,目前主要應用于軟件及信息服務業�,特別是軟件外包企業����。該評價體系的建立能夠幫助企業建立個人信息保護規章制度,有效提高企業的個人信息保護能力。目前����,我市已有七十余家企業開展了PIPA評價工作���,其中有三十余家企業已經通過了PIPA評價���,獲得了《個人信息保護合格證書》�。
經驗:“軟環境”有時就是硬實力
“你說自己是安全的�����,缺乏證據����。PIPA實際上就是給出一個第三方的證明�。事實上,在一些重要的外包業務中,個人信息保護已經成為發包方考察的重要內容���。我市在這一領域的領先,為我市軟件和服務外包企業增強了整體競爭力?��!闭劶皞€人信息保護工作的價值,孫鵬說。
為了讓更多的企業開展個人信息保護工作�,大連市政府在2008年12月出臺的《大連市進一步促進軟件和服務外包產業發展若干規定》第二十八條中規定“積極推行《個人信息安全保護規范》標準及其評價制度�,由市專項資金全額補貼企業開展評價工作����。企業如違犯規范并造成后果,將暫停其享受本規定項下所有政策的權利。”
為提高PIPA的國際認可程度�����,在市信息產業局的指導下���,大連軟件行業協會與日本JIPDEC(日本情報處理開發協會)就個人信息保護工作開展了交流與合作��,并于2008年6月19日實現了日本個人信息保護(P-MARK)與大連市個人信息保護評價(PIPA)的互相承認���?�!艾F在,在國內通過PIPA評價的企業將等同于通過了日本的P-MARK認證,這為企業增加了承接國際業務的競爭力�����?!睂O鵬說。除日本以外,目前大連軟件行業協會還與歐盟���、美國的個人信息保護機構展開了交流工作�。
政府支持、國際合作����,這是我市在提高個人信息保護方面的有益經驗��。而這種看不見的“軟環境”建設卻在默默提升大連軟件和服務外包產業的硬實力。
“我市在努力建設全球軟件和服務外包新領軍城市�����。在外包安全這方面���,我們已經是領軍者���?���!睂O鵬說。
展望:地方標準有望升格“國家級”
據孫鵬介紹���,為了更好的在大連市各行業中開展個人信息保護工作,市信息產業局�����、大連軟件行業協會正在積極配合有關單位推動地方立法工作�����,目前大連市法制辦已將《大連市軟件與信息服務業個人信息保護管理辦法》列入立法計劃���。大連軟件行業協會將在市信息產業局的指導下��,與全國其它地區的軟件行業協會就個人信息保護的推廣及應用工作展開廣泛的交流與合作�����,幫助各地企業提高個人信息保護能力�����,提高承接國際業務的競爭能力��,迄今已先后與杭州、沈陽�����、無錫等地的相關機構開展了合作��。另外大連軟件行業協會正依據《個人信息保護規范》(DB21/T 1628-2008)進行跨行業個人信息保護推廣的試點工作��,目前正在與旅游、教育����、醫療衛生等行業展開積極的溝通與交流����。今年5月��,市信息產業局接到工信部信息安全協調司發來的《關于開展〈個人信息保護規范〉研究的委托函》�����,將參與起草全國《個人信息保護規范》草案。這意味這我市在個人信息保護方面的地方規范將有望成為國家規范�。此外��,鑒于我市在個人信息保護行業應用方面積累了實施經驗����,我市正在積極申請成為國家“軟件和信息服務業個人信息保護示范城市”。
