個人信息安全認(rèn)證機(jī)制論文

　　軟件產(chǎn)業(yè)的開發(fā)、生產(chǎn)、銷售各個環(huán)節(jié)都對于用戶個人信息保護(hù)與安全至關(guān)重要。在借鑒美國的隱私認(rèn)證制度、日本的個人信息評價制度以及我國大連軟件及信息服務(wù)業(yè)個人信息評價制度的基礎(chǔ)上，提出從宏觀深入到微觀、從表面深入到實(shí)質(zhì)、從產(chǎn)業(yè)深入到產(chǎn)品，將個人信息安全認(rèn)證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強(qiáng)軟件行業(yè)的自律，切實(shí)保障廣大用戶的權(quán)益，增強(qiáng)用戶對于軟件產(chǎn)品的信心，并對該制度的構(gòu)建著重從軟件產(chǎn)品個人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)和軟件產(chǎn)品個人信息保護(hù)認(rèn)證流程兩個方面進(jìn)行了探討。

　　計(jì)算機(jī)軟件產(chǎn)品成為世界的核心和靈魂

　　(一)計(jì)算機(jī)軟件產(chǎn)業(yè)成為戰(zhàn)略性新興產(chǎn)業(yè)工信部軟件服務(wù)業(yè)司司長陳偉表示：“今天，很多人提出了SDN(軟件定義網(wǎng)絡(luò))、SDD(軟件定義數(shù)據(jù)中心)、SDS(軟件定義系統(tǒng))，而我認(rèn)為，軟件可以定義世界(SDW)，軟件應(yīng)該成為世界的核心和靈魂，成為信息消費(fèi)的引擎和重要內(nèi)容。”[1]軟件產(chǎn)業(yè)在我國國民經(jīng)濟(jì)中具有重要的戰(zhàn)略地位，隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的興起與廣泛運(yùn)用，軟件產(chǎn)品已經(jīng)覆蓋人民生產(chǎn)、生活的各個領(lǐng)域，逐漸成為重要的民生物品。軟件產(chǎn)業(yè)個人信息保護(hù)不僅關(guān)系到本產(chǎn)業(yè)的發(fā)展，關(guān)系到國民高品質(zhì)智能化生活，而且對于整個信息產(chǎn)業(yè)的長遠(yuǎn)發(fā)展，對于信息消費(fèi)市場的培育與推動，對于“寬帶中國”戰(zhàn)略的實(shí)施，對于國家信息安全的保障具有重要的戰(zhàn)略意義。

　　(二)計(jì)算機(jī)軟件產(chǎn)品的界定

　　技術(shù)業(yè)已變革，整個社會都在地動山搖發(fā)生著巨大的變化，如果法律制度仍然固守兩千年前的傳統(tǒng)理論，秉持“祖宗之法不可變”的陳詞濫調(diào)，那么法律制度必定束縛生產(chǎn)力的發(fā)展，并必然地被技術(shù)的迅猛發(fā)展而沖破。從物和產(chǎn)品的發(fā)展趨勢來看，隨著社會經(jīng)濟(jì)高速發(fā)展，物與產(chǎn)品的觀念均有擴(kuò)展之勢[7]。世界各國出于對消費(fèi)者權(quán)益的保護(hù)，不再對已經(jīng)以“產(chǎn)品”的形式流通的計(jì)算機(jī)軟件“視而不見”，紛紛以“計(jì)算機(jī)軟件產(chǎn)品”稱呼之，并開展相關(guān)立法規(guī)范。

　　TRUSTe認(rèn)證工作主要涵蓋以下幾個方面。

　　1.初始認(rèn)證

　　當(dāng)網(wǎng)站為獲得TRUSTe 的認(rèn)證而提交了正式的申請表后，TRUSTe 將檢查申請網(wǎng)站，看它是否符合程序原則(Program Principles)。其目的是為了確保該網(wǎng)站的隱私政策，明確指出哪類個人信息被收集、誰在收集、為何目的收集、如何使用以及與誰共享等。如果網(wǎng)站符合TRUSTe關(guān)于隱私保護(hù)的認(rèn)證要求，TRUSTe就會授予該網(wǎng)站隱私圖章，允許在其網(wǎng)站主頁上張貼TRUSTe的隱私圖章標(biāo)志。

　　2.后續(xù)監(jiān)督

　　當(dāng)申請網(wǎng)站成為會員后，TRUSTe就會定期檢查網(wǎng)站，確保網(wǎng)站的行為符合它公布的隱私聲明，并且檢查網(wǎng)站隱私聲明的變動。初始認(rèn)證和后續(xù)監(jiān)督都是在網(wǎng)站事先不知道的情況下，通過提交特定標(biāo)志符到網(wǎng)站來跟蹤該站點(diǎn)個人信息的使用，并監(jiān)控結(jié)果，以此來確定其信息收集使用行為是否與該站點(diǎn)的隱私聲明相符合。

　　3.爭端解決

　　當(dāng)消費(fèi)者認(rèn)為網(wǎng)站侵犯其隱私權(quán)，而就隱私侵權(quán)問題不能得到會員網(wǎng)站恰當(dāng)處理時，TRUSTe為其提供一種在線的爭端解決服務(wù)，即所謂的看門狗爭端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對涉嫌侵犯隱私而被消費(fèi)者投訴的網(wǎng)站作出最終決定，網(wǎng)站必須執(zhí)行，否則其所獲得的隱私圖章將被取消，并被列入“不守規(guī)矩的網(wǎng)站”的名單中，TRUSTe甚至通過適當(dāng)?shù)耐緩较蛳嚓P(guān)的法律權(quán)威部門提起訴訟，如美國貿(mào)易委員會或者消費(fèi)保護(hù)機(jī)構(gòu)等。這樣的爭端解決程序逐漸為TRUSTe 樹立了一定的威信。

　　(二)日本個人信息保護(hù)評價制度評析

　　日本早在1998年由非官方第三方機(jī)構(gòu)日本情報(bào)處理開發(fā)協(xié)會(Japan Information Processing Development Corporation，JIPDEC)建立了Pmark認(rèn)證制度，2005年日本《個人信息保護(hù)法》的實(shí)施，極大地推進(jìn)了企業(yè)參與個人信息保護(hù)認(rèn)證。

　　軟件及信息服務(wù)業(yè)個人信息保護(hù)評價體系(PIPA)評價的對象主要是企業(yè)，其初衷在于幫助以軟件和信息服務(wù)業(yè)為主的企業(yè)建立個人信息保護(hù)制度，使得企業(yè)有能力在2005年日本《個人信息保護(hù)法》實(shí)施后繼續(xù)承接日本軟件外包業(yè)務(wù)。通過PIPA評價的企業(yè)可以得到個人信息保護(hù)合格證書和PIPA標(biāo)志使用權(quán)。具體而言，大連個人信息保護(hù)評價制度包括以下幾個方面。

　　1.評價機(jī)構(gòu)

　　軟件及信息服務(wù)業(yè)個人信息保護(hù)評價機(jī)構(gòu)為大連軟件行業(yè)協(xié)會，下設(shè)個人信息保護(hù)工作委員會、PIPA辦公室和評價專家組。

　　PIPA辦公室主要負(fù)責(zé)PIPA文件管理和事務(wù)性工作，負(fù)責(zé)PIPA受理及投訴，負(fù)責(zé)評價員的聘任及管理工作，PIPA辦公室下設(shè)培訓(xùn)教育部門，負(fù)責(zé)個人信息保護(hù)企業(yè)培訓(xùn)和評價員培訓(xùn)、考核。

　　個人信息保護(hù)工作委員會主要負(fù)責(zé)標(biāo)準(zhǔn)和PIPA體系相關(guān)文件的制定、修改和完善，負(fù)責(zé)PIPA申批、投訴及事故處理結(jié)果的審批，負(fù)責(zé)對PIPA的監(jiān)督及聘任評價員的審批等工作。工作委員會下設(shè)：標(biāo)準(zhǔn)組、仲裁組、宣傳推廣組、國際交流組和教育培訓(xùn)組。標(biāo)準(zhǔn)組主要負(fù)責(zé)標(biāo)準(zhǔn)的研究和制定;仲裁組負(fù)責(zé)投訴及事故的調(diào)查及處理;宣傳推廣組負(fù)責(zé)PIPA宣傳推廣;國際交流組負(fù)責(zé)國際間的交流與合作;教育培訓(xùn)組負(fù)責(zé)個人信息保護(hù)人才的教育、培養(yǎng)研究及試點(diǎn)，開展個人信息保護(hù)人才培養(yǎng)工作。

　　2.評價依據(jù)

　　大連軟件行業(yè)協(xié)會在全國率先開始制定軟件及信息服務(wù)業(yè)的個人信息保護(hù)標(biāo)準(zhǔn)，即《規(guī)范》，經(jīng)過多年的實(shí)踐，在大連市的地方標(biāo)準(zhǔn)的基礎(chǔ)上，形成了遼寧省的個人信息保護(hù)“省標(biāo)”《遼寧省軟件與信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》DB21/T 15222007、《個人信息保護(hù)規(guī)范》DB21/T 16282008和遼寧省地方標(biāo)準(zhǔn)《信息安全個人信息保護(hù)規(guī)范》DB21/T 1628.12012。目前大連軟件行業(yè)協(xié)會已經(jīng)發(fā)布通知自2014年6月1日起正式實(shí)施《信息安全個人信息保護(hù)規(guī)范》，即2012版標(biāo)準(zhǔn)替代目前實(shí)施的2008版標(biāo)準(zhǔn)[10]。

　　3.評價流程

　　個人信息保護(hù)評價流程包括申請、受理、文件審查(前期審查)、現(xiàn)場審核、公示15天、審批、頒發(fā)合格證和標(biāo)志等幾個環(huán)節(jié)[11]。個人信息保護(hù)評價申請的前提是申請?jiān)u價的企業(yè)按照《規(guī)范》的要求建立企業(yè)個人信息保護(hù)制度，經(jīng)過三個月運(yùn)行的檢驗(yàn)，在這期間沒有發(fā)生任何涉及個人信息保護(hù)的重大事故，方得以開展評價申請。

　　4.評價監(jiān)督管理

　　通過個人信息保護(hù)認(rèn)證的企業(yè)并非一勞永逸，大連軟件行業(yè)協(xié)會對于通過認(rèn)證的企業(yè)具有監(jiān)督管理的權(quán)利。大連軟件行業(yè)協(xié)會對于通過認(rèn)證的企業(yè)可以采取抽查的方式進(jìn)行監(jiān)督管理，對于抽查不合格的企業(yè)，將限期整改，整改后仍然無法達(dá)到相關(guān)標(biāo)準(zhǔn)的企業(yè)，則取消其使用個人信息保護(hù)合格證書和PIPA標(biāo)志的資格。同時，大連軟件行業(yè)協(xié)會在接到重要舉報(bào)和投訴時，可對認(rèn)證企業(yè)進(jìn)行復(fù)審，復(fù)審不合格的企業(yè)同樣取消其使用個人信息保護(hù)合格證書和PIPA標(biāo)志的資格。

　　5.證書與標(biāo)志

　　通過個人信息保護(hù)認(rèn)證的企業(yè)，由大連軟件行業(yè)協(xié)會頒發(fā)個人信息保護(hù)合格證書、PIPA標(biāo)志，證書和標(biāo)志在兩年內(nèi)有效。

　　值得一提的是，由于大連行業(yè)協(xié)會與日本情報(bào)處理開發(fā)協(xié)會簽署了互認(rèn)合作協(xié)議，即通過大連PIPA認(rèn)證的企業(yè)受到日本情報(bào)處理開發(fā)協(xié)會的個人信息認(rèn)證體系Pmark認(rèn)可，無需再另行申請日本Pmark認(rèn)證，因此，通過大連行業(yè)協(xié)會個人信息保護(hù)認(rèn)證的企業(yè)還可以獲得PIPAmark互認(rèn)標(biāo)志。

　　(四)中美日個人信息保護(hù)評價制度比較及啟示中美日的個人信息保護(hù)評價制度各具特色，三者的共同點(diǎn)在于均是出于對用戶個人信息和隱私的保護(hù)而構(gòu)建的一整套認(rèn)證制度，均是以非官方組織為主導(dǎo)開展的評價認(rèn)證，三者的差別在于：

　　從評價的地域范圍來看，由于互聯(lián)網(wǎng)的無國界性，以TRUSTe為代表的美國個人信息評價制度目前已經(jīng)發(fā)展成為一個全球性的認(rèn)證體系，并不局限于僅對美國的網(wǎng)站開展認(rèn)證業(yè)務(wù);日本的Pmark個人信息評價體系則是針對日本的企業(yè)開展認(rèn)證服務(wù)，是日本國家級的認(rèn)證體系，但不針對國外的企業(yè)開展認(rèn)證;大連的PIPA評價體系最初僅僅局限于針對大連市的企業(yè)，而且是對軟件和信息服務(wù)業(yè)的企業(yè)開展評價，現(xiàn)在逐步向全國范圍內(nèi)擴(kuò)大。

　　(一)軟件產(chǎn)品個人信息安全認(rèn)證標(biāo)準(zhǔn)

　　軟件產(chǎn)品個人信息安全認(rèn)證標(biāo)準(zhǔn)是軟件產(chǎn)品個人信息安全認(rèn)證最基本的依據(jù)，放眼全球，目前尚無一個針對軟件產(chǎn)品個人信息安全認(rèn)證的標(biāo)準(zhǔn)，只有類似針對整個企業(yè)的個人信息保護(hù)管理系統(tǒng)的標(biāo)準(zhǔn)、針對軟件和信息服務(wù)業(yè)整個行業(yè)的個人信息保護(hù)規(guī)范、針對網(wǎng)站的隱私認(rèn)證標(biāo)準(zhǔn)，而缺乏針對最直接收集個人信息的計(jì)算機(jī)軟件產(chǎn)品的個人信息安全認(rèn)證標(biāo)準(zhǔn)。

　　(二)軟件產(chǎn)品個人信息安全認(rèn)證流程

　　建立軟件產(chǎn)品申請個人信息保護(hù)認(rèn)證流程，對于符合個人信息保護(hù)法律收集、利用和處理的軟件產(chǎn)品，經(jīng)審查合格的，頒發(fā)軟件產(chǎn)品個人信息保護(hù)合格證書與標(biāo)志。該軟件產(chǎn)品的開發(fā)者和利用者可以在其上注明個人信息保護(hù)合格標(biāo)志，以告知用戶，增加用戶對其的信賴感。軟件產(chǎn)品個人信息安全認(rèn)證流程與軟件企業(yè)的個人信息保護(hù)認(rèn)證并不相同，前者注重的是軟件產(chǎn)品是否合法收集利用用戶個人信息、是否保障用戶個人信息安全，而后者強(qiáng)調(diào)的是企業(yè)個人信息保護(hù)管理體系的建立以及對于個人信息保護(hù)的政策。

　　本研究結(jié)合國內(nèi)外隱私認(rèn)證和企業(yè)個人信息保護(hù)評價的流程，對軟件產(chǎn)品個人信息安全認(rèn)證流程初步設(shè)計(jì)如下。

　　1.申報(bào)

　　欲進(jìn)行個人信息保護(hù)認(rèn)證的軟件產(chǎn)品開發(fā)者或生產(chǎn)者、經(jīng)營者作為申請單位需填寫《軟件產(chǎn)品個人信息安全認(rèn)證申請書》及相關(guān)附件材料呈交評價機(jī)構(gòu)。

　　2.資料審查

　　由評價機(jī)構(gòu)對申請單位提交的《軟件產(chǎn)品個人信息安全認(rèn)證申請書》及相關(guān)附件材料進(jìn)行審查，審查合格者制作審查合格報(bào)告，并進(jìn)入軟件信息保護(hù)評估階段，不合格者返回補(bǔ)正。

　　3.軟件信息保護(hù)評估

　　資料審查合格的單位向評價機(jī)構(gòu)提交軟件產(chǎn)品樣品一份，由評價機(jī)構(gòu)利用技術(shù)手段針對軟件的安全性進(jìn)行測試，包括軟件產(chǎn)品的信息安全、軟件產(chǎn)品的運(yùn)行機(jī)制、軟件產(chǎn)品對于用戶個人信息的收集利用情況等方面，并由專家組進(jìn)行評估，最終形成評價報(bào)告。通過者進(jìn)入審核階段;未通過者，申報(bào)單位按照專家組的評價意見進(jìn)行一次改進(jìn)完善，改進(jìn)完善后重新進(jìn)行評估，如仍不能通過，則出具評估不合格報(bào)告，若未進(jìn)行實(shí)質(zhì)性修改完善，不得再申請進(jìn)行個人信息安全評價。

　　4.審核

　　依據(jù)專家組形成的評價報(bào)告，評價機(jī)構(gòu)進(jìn)行審核，而后簽署最終審核意見。評價機(jī)構(gòu)對通過審核者公示10個工作日，其間如沒有實(shí)質(zhì)性異議，則正式通過審核并予以公告，頒發(fā)“軟件產(chǎn)品個人信息安全合格證書”及認(rèn)證標(biāo)志。

　　通過軟件產(chǎn)品個人信息安全認(rèn)證機(jī)制的構(gòu)建，有助于培育一批品質(zhì)優(yōu)良、注重用戶權(quán)益、服務(wù)經(jīng)濟(jì)社會發(fā)展需要的軟件產(chǎn)品，從而肅清我國軟件產(chǎn)品市場魚目混珠的亂象，引領(lǐng)軟件產(chǎn)業(yè)的發(fā)展，為信息產(chǎn)業(yè)的長遠(yuǎn)發(fā)展奠定基礎(chǔ)。

【個人信息安全認(rèn)證機(jī)制論文】相關(guān)文章：

個人信息安全評估報(bào)告（精選6篇）09-29

個人信息安全承諾書范文11-01

個人信息安全評估報(bào)告范文（精選22篇）10-12

個人信息安全的自查報(bào)告優(yōu)秀10-15

個人信息安全影響評估報(bào)告（通用12篇）12-19

小學(xué)安全風(fēng)險(xiǎn)防控機(jī)制的實(shí)施方案06-01

學(xué)校安全風(fēng)險(xiǎn)隱患排查機(jī)制方案（通用26篇）10-02

安全玻璃強(qiáng)制認(rèn)證協(xié)議書12-13

安全玻璃強(qiáng)制認(rèn)證協(xié)議書09-02

銀行個人信息安全自查報(bào)告范文（通用9篇）12-02