个人信息保护国标下月实施 利用个人敏感信息须获授权

如果今天市场没有反响，就没有接受这个题材

　　新京報訊 （記者郭少峰 鄧琦）我國首個個人信息保護國家標准將於2月1日起實施。工信部信息安全協調司副司長歐陽武昨天表示，該標准的出台和實施結束了“無標可依”的歷史，意味著在個人信息保護方面要在“最低限度基礎上做得更好”。

　　據了解，該國標《信息安全技術 公共及商用服務信息系統個人信息保護指南》於2012年11月發布，屬國家標准“指導性技術文件”類，對利用信息系統處理個人信息的活動起指導和規范作用，目的是提高企業個人信息保護技術水平，促進個人信息的合理利用。

　　“法律是最低限度的要求，是強制性的，而這個標准是自願的，從某種程度上說，它的要求比法律更高一些。”歐陽武說。

　　對於標准中的“個人信息”，歐陽武表示，個人信息與隱私是兩個不同的概念，隱私具有主觀性，個人信息客觀一些。

　　他介紹，該標准最顯著的特點，就是將個人信息分為個人一般信息和個人敏感信息，並提出默許同意和明示同意的概念，而個人敏感信息就涉及個人隱私。

　　據介紹，直屬於工信部的中國軟件評測中心，還將牽頭組織企業和行業協會共同組建“中國個人信息保護推進聯盟”。

　　■ 相關新聞

　　抽檢百家網站 56家“裸奔”

　　新京報訊 （記者郭少峰 鄧琦）抽國內門戶、婚戀等9大類共計100家網站為樣本，有56家網站完全沒有安全措施。昨天，中國軟件評測中心聯合北大互聯網安全技術北京市重點實驗室第二次發布“網站口令安全性外部測評結果”。

　　該實驗室高級工程師龔曉銳介紹，跟去年相比，完全沒有安全措施的網站減少了3家，但還是超過了一半。國內網站安全措施兩極分化很明顯，“有部分網站做得非常完美”。

　　去年的測評結果顯示，樣本中的電子商務網站都獲得了用戶的口令原文，尤其是一些用戶在不同網站使用相同密碼，個人信息泄露風險大為增加。“今年電子商務網站的情況還是一樣。”龔曉瑞稱，做得比較好的是門戶、郵箱和游戲等成熟運營的網站，而招聘類、婚戀類等網站存在嚴重的安全問題。

高送转熄火了，不是每只高送转都能大涨的，只有少数龙头能做到吧

[引用原文已无法访问]

北信源啥情况，
高送转+业绩大幅增长，结果是连续下跌

长江商报消息 获得个人敏感信息前，要先得到其主体授权

据新华社电我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》将于2月1日起实施。该标准最显著的特点是规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权。

工业和信息化部信息安全协调司副司长欧阳武昨日说，该标准是我国首个关于个人信息保护的国家标准，于去年11月发布。

该标准明确要求，处理个人信息应有特定、明确和合理的目的，并在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。

其中，标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。对于个人敏感信息，则需建立在明示同意的基础上，在收集和利用前，必须首先获得个人信息主体明确的授权。

这项标准还提出了处理个人信息时应当遵循的八项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。

■释疑

为何出台保护指南

工信部电子科技情报研究所副所长刘九如统计，目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信用管理办法等。

“针对个人信息的法律法规并不少，然而内容较为分散、法律法规层级偏低。”刘九如说，因此要出台此指南。

■解读

个人信息“使用目的”达到后应立即删除

著名律师秦希燕认为，个人信息指的是有关公民的身份、住址、电话、婚姻状况等相关信息，个人信息中有一部分是可以公开的；个人隐私则指不为公众所熟悉、公民个人不愿他人知晓的私人生活和私人信息。两者范围不同，法律定义也不应相同。

法律专家分析，个人信息是否属于隐私，取决于公民是否愿意将其公开，在违背个人意志的情况下，任何个人信息的披露都属于对隐私权的侵犯。

“‘最少够用’的原则就是获取一个人的信息量时，只要能满足使用的目的就行。”中国电子信息产业发展研究院副院长黄子河举例说，一些网站本是办一个很小的事，却让用户填包括家庭住址、手机号在内的信息，这就不符合“最少使用”原则。一些商业公司掌握大量个人信息，由于管理制度疏漏，一些内部员工未经授权就能获取客户信息。

依照《个人信息保护指南》，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。

专家分析，个人信息实际上受到了“需本人同意”“不得泄露”“用后要删除”的三重保护。

■担忧

指南不是强制性标准，效力有待观察

中国软件评测中心研究员刘陶说，指南的标准不是强制性标准，甚至也不是推荐性标准，标准通过会对行业起到多大的规范效力，仍待观察。

中国软件评测中心主任助理朱璇说，此次个人信息安全国家标准“属于技术指导文件”。

国家标准分为三种，一个是强制性标准，一个是推荐性标准，一个是指导性技术文件，标准可以作为参考。而国家强制性标准多在食品安全领域。

不过，黄子河认为，标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构，特别是电信、医疗等涉及个人敏感信息比较多的服务机构。 据新华社、新京报

　　光明日报北京1月21日电（郭丽君）在今天举办的“个人信息保护国家标准宣讲会”上，工信部信息安全协调司副司长欧阳武表示，《信息安全技术公共及商用服务信息系统个人信息保护指南》将于2月1日起实施。该标准是我国首个关于个人信息保护的国家标准。

　　这项标准是由全国信息安全标准化技术委员会提出并归口组织，中国软件评测中心牵头，联合多家单位制定。标准明确要求，处理个人信息应有特定、明确和合理的目的，并在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。标准还提出了处理个人信息时应当遵循目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等8项基本原则。

　　我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》将于2月1日起实施。该标准最显著的特点是规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权。

　　工信部信息安全协调司副司长欧阳武在21日举行的个人信息保护国家标准宣讲会上说，这项标准是由全国信息安全标准化技术委员会提出并归口组织，中国软件评测中心牵头，联合多家单位制定。该标准是我国首个关于个人信息保护的国家标准，于去年11月发布。

　　这项标准明确要求，处理个人信息应有特定、明确和合理的目的，并在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。

　　其中，标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。

　　中国软件评测中心副主任朱璇说，标准的出台意味着我国个人信息保护工作正式进入“有标可依”阶段。中国软件评测中心还将牵头组建个人信息保护推进联盟，建立企业自律模式，弥补我国个人信息保护相关组织机构的缺失。