這項標準明確要求,處理個人信息應具有特定、明確和合理的目的,並在個人信息主體知情的情況下獲得個人信息主體的同意,在達成個人信息使用目的之後刪除個人信息。
中國工業和信息化部信息安全協調司副司長歐陽武說,標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息,並提出默許同意和明示同意的概念。對於個人一般信息的處理可以建立在默許同意的基礎上,只要個人信息主體沒有明確表示反對,便可收集和利用。但對於個人敏感信息,則需要建立在明示同意的基礎上,在收集和利用之前,必須首先獲得個人信息主體明確的授權。
這項標準還提出了處理個人信息時應當遵循的八項基本原則,即目的明確、最少夠用、公開告知、個人同意、品質保證、安全保障、誠信履行和責任明確。
“個人同意原則是幾項原則中的關鍵。如果沒有明確徵得個人信息主體的同意,尊重隱私,對個人信息保護則成為一句空話。”歐陽武說,品質保證、安全保證這兩個原則即是對個人信息主體的保護,也是對信息合理利用的品質保證。比如,婚介網站不及時更新個人信息狀況,就會因信息不準確給網友帶來不便。
工信部有關負責人表示,這項標準的實施,也可進一步促進公民對個人信息保護的自覺,增進共識,為個人信息保護立法積累經驗,可以在一定程度上規範個人信息的處理行為,構建政府引導下的行業自律機制和模式。
據悉,目前在保護個人信息方面國際立法界有個新趨勢,即“以預防為主”。歐陽武說,在網際網路信息時代,個人信息安全的侵犯者和被害人是不對等的,必須立足於事前防範。
朱璇說,將對信息系統個人信息保護管理辦法和技術手段進行專項研究,研究制定體系框架中急需的關鍵標準,對標準進行驗證以支持標準的進一步修訂和改進。
去年12月28日,全國人大常委會表決通過關於加強網絡信息保護的決定,決定以法律形式保護公民個人及法人信息安全,重點解決了中國網絡信息安全立法滯後的問題。 |
