昨日，一位乘客用手機(jī)掃描自己的火車票信息。通過掃描軟件可獲得火車票二維碼含有的身份證信息。 本報(bào)記者浦峰攝

    近日，工信部直屬的中國軟件測評中心透露，他們聯(lián)合30多家單位起草的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已正式通過評審，正報(bào)批國家標(biāo)準(zhǔn)。

    工信部安全協(xié)調(diào)司副司長歐陽武介紹說，這個(gè)指南能為行業(yè)開展自律工作提供了很好的參考，為企業(yè)處理個(gè)人信息制定了行為準(zhǔn)則。據(jù)介紹，我國信息技術(shù)保護(hù)不容樂觀，甚至已形成利用個(gè)人信息從事非法獲利的黑色鏈條。特別是去年年底揭露出的中國互聯(lián)網(wǎng)最大規(guī)模的泄密事件，將個(gè)人信息保護(hù)推向了風(fēng)口浪尖。

    許多發(fā)達(dá)國家很早已開始個(gè)人信息的保護(hù)研究和立法工作。我國近年來也啟動了個(gè)人信息保護(hù)的相關(guān)工作。

    去年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出制定個(gè)人信息保護(hù)指南。這個(gè)委員會主要從事信息安全標(biāo)準(zhǔn)化工作，現(xiàn)任主任由工信部副部長楊學(xué)山兼任。

    個(gè)人信息保護(hù)指南的全稱是《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，標(biāo)準(zhǔn)由工信部直屬的中國軟件測評中心牽頭，聯(lián)合近30家單位起草。

    該中心常務(wù)副主任黃子河透露說，指南目前還在等待批準(zhǔn)文號，但其最終的發(fā)布應(yīng)是“指日可待”。但這個(gè)指南并非國家強(qiáng)制性標(biāo)準(zhǔn)。

    ■ 焦點(diǎn)

    個(gè)人信息用后立即刪除

    在個(gè)人信息安全缺少專門法律規(guī)范時(shí)，一部行業(yè)標(biāo)準(zhǔn)成為業(yè)內(nèi)的希望。

    “去年正式通過了評審，報(bào)批國家標(biāo)準(zhǔn)”，中國電子信息產(chǎn)業(yè)發(fā)展研究院院長、中國軟件評測中心主任羅文希望今年能通過這項(xiàng)標(biāo)準(zhǔn)，以拓展個(gè)人信息保護(hù)的體系。

    《個(gè)人信息保護(hù)指南》對個(gè)人信息的處理包括收集、加工、轉(zhuǎn)移和刪除四個(gè)主要環(huán)節(jié)，其中還提出了個(gè)人信息保護(hù)的原則。

    工信部安全協(xié)調(diào)司副司長歐陽武介紹，“這個(gè)原則包括目的明確、最少使用、公開告知、個(gè)人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確等八項(xiàng)。”

    “最少使用”的原則就是獲取一個(gè)人的信息量時(shí)，只要能滿足使用的目的就行。

    黃子河舉例說，一些網(wǎng)站本是辦一個(gè)很小的事，卻讓用戶填包括家庭住址、手機(jī)號在內(nèi)等很多信息，這就不符合“最少使用”原則。

    “安全保障”則是要個(gè)人信息管理者一旦收集了個(gè)人信息，就必須建立一套個(gè)人信息保護(hù)制度，明確責(zé)任人和內(nèi)部管理流程，以及應(yīng)對個(gè)人信息泄露的風(fēng)險(xiǎn)。

    中國軟件測評中心的副主任高熾揚(yáng)估計(jì)，個(gè)人信息泄露中70%-80%屬內(nèi)部作案，這是“安全保障”原則沒能落實(shí)好所致。

    他介紹說，一些商業(yè)公司掌握大量個(gè)人信息，由于管理制度疏漏，一些內(nèi)部員工未經(jīng)授權(quán)就能獲取客戶信息。

    依照《個(gè)人信息保護(hù)指南》，在收集個(gè)人信息階段告知的“使用目的”達(dá)到后應(yīng)立即刪除個(gè)人信息。

    高熾揚(yáng)說，有次，他在某航空公司網(wǎng)站購買機(jī)票，使用電話支付的時(shí)候，工作人員搜集了他的支付信息：姓名、身份證號、信用卡號和信用卡的最后三位支付號碼。購票成功。

    但是，過段時(shí)間他再去購票時(shí)，對方問他，“您還是使用卡號末四位是****的信用卡支付嗎？如果是，只要告訴我就可以了。”

    “（這家公司）存儲了我的信息。”3月26日，高熾揚(yáng)一邊講述一邊搖頭。

    高熾揚(yáng)說，他所經(jīng)歷的航空公司電話訂票的經(jīng)歷，就是航空公司在達(dá)到此次訂票目的后，未能及時(shí)刪除客戶信息。

    信息保護(hù)指南非強(qiáng)制標(biāo)準(zhǔn)

    “為了經(jīng)濟(jì)效益，無利不起早。”高熾揚(yáng)估計(jì)，目前沒有哪個(gè)行業(yè)不存在信息泄露。

   比如孕婦生完孩子剛回家，賣奶粉的電話就過來了，病人檢查完身體，檢查單還沒看懂，相應(yīng)的醫(yī)藥公司就已經(jīng)打電話賣藥來了。

   中國軟件評測中心研究員劉陶把個(gè)人信息比喻成“很多錢裝在紙糊的銀行里，很容易被黑客破解。”據(jù)他們調(diào)查，公眾最關(guān)心的金融、電信等領(lǐng)域的個(gè)人信息安全。

   而讓人擔(dān)憂的是，這個(gè)指南標(biāo)準(zhǔn)不是強(qiáng)制性標(biāo)準(zhǔn)，甚至也不是推薦性標(biāo)準(zhǔn)，標(biāo)準(zhǔn)通過會對行業(yè)起到多大的規(guī)范效力，仍待觀察。

    中國軟件評測中心主任助理朱璇說，此次個(gè)人信息安全國家標(biāo)準(zhǔn)“屬于技術(shù)指導(dǎo)文件”。

   國家標(biāo)準(zhǔn)分為三種，一個(gè)是強(qiáng)制性標(biāo)準(zhǔn)，一個(gè)是推薦性標(biāo)準(zhǔn)，一個(gè)是指導(dǎo)性技術(shù)文件，標(biāo)準(zhǔn)可以作為參考。而國家強(qiáng)制性標(biāo)準(zhǔn)多在食品安全領(lǐng)域。

   不過，黃子河認(rèn)為，標(biāo)準(zhǔn)適用于除了政府機(jī)關(guān)等行使公共管理職能以外的各類組織和機(jī)構(gòu)，特別是電信、醫(yī)療等涉及個(gè)人敏感信息比較多的服務(wù)機(jī)構(gòu)。