第一篇:软件及信息服务业个人信息保护报告
软件及信息服务业个人信息保护报告-大连软件行业协会
(2010-08-04 12:54:23)
前 言
个人信息保护体系的建立是与信息化社会的发展和经济全球化密切相关的,随着信息化社会的发展,个人信息保护已经成为国际间信息交流的一个重要条件,特别是在软件及信息服务外包业中,个人信息保护已经成为国际间实行外包的一道门槛,这也促进了我国软件及信息服务业个人信息保护标准和评价体系的建立。
一、个人信息相关术语
1、个人信息
个人信息是指业已存在的与个人相关的,并且可用于识别特定个人的信息。如:姓名、出生日期、分派给个人的号码、标志以及其它符号、可以识别个人的图像或生物信息等(包括某些单独使用时无法识别,但与其他信息进行对比后,能够由此识别特定个人的信息)。
2、信息主体
根据特定信息进行识别或者能够识别的对象。指拥有该个人信息的本人。
3、个人信息取得
是指为明确目的而获取个人信息的行为。
4、个人信息处理
是指利用计算机和相关配套设备及软件对个人信息进行录入、存储、编辑、修改、检索、删除、输出、传输和销毁等行为。
5、信息主体同意
信息主体对与自身相关的个人信息的取得以及使用表示同意,原则上以信息主体的签名、盖章为准,下述情况视为已取得信息主体同意:
a)未成年人和无法对事情做出正确判断的成年人应由家长或监护人代表同意;
b)在取得个人信息时,单位与信息主体签订的合同中规定了个人信息的使用,而且信息主体同意履行合同。
二、个人信息保护法规
1、国际个人信息保护法规建立情况
国际上建立个人信息保护法规的国家和组织有50多个,最重要的和对国际上影响比较大是两个国际组织的个人信息保护法规:(1)世界经济合作发展组织(OECD)《关于保护隐私和个人数据跨国流通指导原则》,其中所规定的个人信息保护八项基本原则,已经得到了国际上的认可,许多国家在此基础上不断进行补充和完善制定本国的个人信息保护相关法规。OECD八项原则为: 1)、收集限制原则。个人信息的收集必须采取合理合法的手段,必须征得信息主体的同意; 2)、信息内容的正确性原则。个人信息必须在利用目的范围内保持正确、完整及最新状态; 3)、目的明确化原则。个人信息收集前要明确使用目的,并在目的范围内收集; 4)、使用限制原则。对个人信息资料不得超出目的范围外使用;
5)、安全保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取合理的安全保护措施加以保护;
6)、公开原则。个人信息管理者必须用简单易懂的方法向公众公开个人信息保护的措施。
7)、个人参加原则。信息主体有权知道自身信息的所在位置,有权对自身信息提出质疑,有权对自身信息进行修改、完善、补充和删除。8)、责任原则。个人信息的管理者对个人信息的保管负全责。(2)欧盟的《欧盟数据保护指令》,在欧盟指令的要求下,欧盟的40多个国家都建立了个人信息保护相关法规。特别是,欧盟指令规定,第三国的隐私法律只有经欧盟委员会判定达到“充分的”保护标准,才能自欧盟进行跨境个人信息传输,在《欧盟数据保护指令》第四章向第三国进行个人数据转让中做了如下规定:(原文)
《Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data》
CHAPTER IV-TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES Article 25 Principles(1)The Member States shall provide that the transfer to a third country of personal data which areundergoing processing or are intended for processing after transfer may take place only if,without prejudice to compliance with the national provisions adopted pursuant to the otherprovisions of this Directive, the third country in question ensures an adequate level of protection,……。
这项规定也促使许多非欧盟国家为了满足欧盟的要求也开始制定个人信息保护相关法规。《欧盟数据保护指令》的基本要素是: 透明度原则(Transparency)、良好的安全性(Good security)、独立的监管机关(Independent supervisory authority)、法律的有效执行(Effective enforcement)、向第三国传输的控制(Controls on transfers to third countries);
《欧盟数据保护指令》数据保护的基本原则是:个人数据必须被公平合法的处理(Personal data must be processed fairly and lawfully);
为特定目的而收集,且不能以与此无关的方式进行处理(collected for specified purposes and not processed in an incompatible way);
具有合理的相关性并且不过度(adequate relevant and not excessive); 准确且不断更新(accurate and kept up to date);
保存不超出完成收集时的目的所必需的期间(not kept longer than necessary for the purpose for which they were collected);
2、我国有关个人信息保护相关法规 目前我国现有法规:《宪法》、《民法通则》、《妇女权益保障法》、《未成年人保护法》、《民事诉讼法》、《中华人民共和国邮政法》、《医务人员医德规范及实施办法》、《中华人民共和国传染病防治法》、《中华人民共和国身份证书法》、《中华人民共和**子保健法》、《中华人民共和国统计法》、《计算机国际联网管理暂行规定实施办法》`《互联网电子公告服务管理规定》、《个人存款账户实名制规定》等相关法规中都有关于个人信息保护的相关条款,但是多比较原则,处罚的规定也不详细。目前,非常需要一部个人信息保护的法规出台。特别是近年来,随着个人信息使用范围的扩大和个人信息使用价值的提高,个人信息被非法使用、提供、传输、买卖的案件都有不断报导。这些已经引起了国家相关部门的重视。在今年召开的十一届全国人大常委会第七次会议上,表决通过了刑法修正案,增加了严打泄露或非法获取公民个人信息行为的相关规定。在刑法修正案(七)增加了相关条款,规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”。“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”我国个人信息保护法(草案)也已经呈交国务院。相信个人信息保护法的出台已经为时不远。
三、个人信息保护标准
1、国际相关标准
目前国际上有关个人信息保护的标准并不多,对我国影响比较大的就是日本有关个人信息保护的工业规格标准:JIS Q15001:2006(个人信息保护管理体系——要求事项),该标准于1999年制定并颁布,2006年修改。主要适用于处理个人信息的企业事业单位,规定了所有行业、所有规模的单位可以适用的个人信息保护管理体系的相关要求事项。在对跨境个人信息的保护方面,在3.4.3.4委托监督中规定“企业在委托别人使用全部或部分个人信息时,必须选定符合充分保护个人信息水平的企业,为此,委托者必须确立委托者的选定标准。”
这造成了日本客户在委托相关个人信息时,向其它国家的企业提出个人信息保护方面的要求,中国在与日本企业的合作中如果没有相关的个人信息保护能力和水平,将会因此而失去订单,不实行个人信息保护影响到中国软件及信息服务外包产业的发展,特别是2005年4月1日,日本个人信息保护法颁布后,对我国对日外包软件信息服务业产生了一定的影响,这也促使了我们个人信息保护工作的开展。
2、我国的个人信息保护标准
我国目前已经通过和发布的个人信息保护标准有两个:(1)《软件及信息服务业个人信息保护规范》DB21/T 1522-2007,该标准为辽宁省地方行业标准,是我国首个针对个人信息保护的地方行业标准,也是我国首个软件及信息服务行业的标准。于2007年6月13日正式发布,2007年8月1日开始实施。该标准是依据我国信息管理及信息安全相关法规和标准,并参考世界经济合作发展组织OECD《关于保护隐私和个人数据跨国流通指导原则》制定的。(2)《个人信息保护规范》BD21/T 1628-2008,该标准为辽宁省地方标准,是我国首个针对个人信息保护的地方标准。于2008年6月16日正式发布,2008年7月16日开始实施。该标准依据国际、国内相关法律、法规及信息安全相关标准,遵循OECD(世界经济合作发展组织 Organization for Economic Co-operation and Development)《关于保护隐私和个人数据跨国流通的指导原则》,参考国际通行的个人信息保护相关法规和行业自律模式制订。
这两个标准都是在我国首次发布的个人信息保护标准。
标准中规定了个人信息保护相关术语和定义,原则、负责人及责任、方针、风险分析与基本规章、运行与实施、检查、持续改进等单位个人信息保护体系建立所应具备的基本框架及要求。为企业个人信息保护体制的建立提供了参考依据,起到了指导作用。
标准中规定了软件及信息服务业个人信息保护原则: 1)取得与使用
个人信息取得应采用合理合法手段,并应征得信息主体的同意。个人信息取得和使用应有明确目的,不得超范围使用。2)安全保障
应采取必要的安全保护措施,防止个人信息的丢失、泄漏、篡改和破坏等事件发生。除信息主体同意外,个人信息不得提供给第三方。3)信息主体权利
信息主体有权确认个人信息状态。并拥有对个人信息提出删除、修改和完善的权利。4)信息内容更新
个人信息应确保在使用目的范围内的正确性和完整性,并做到及时更新。
四、个人信息保护认证
1、国际相关认证
国际上关个人信息保护的认证比较多,对我国有一定影响的认证主要有:(1)美国的BBOnLine隐私认证计划(BBBonline privacy seal program):
美国BBBOnLine认证是网络安全认证,BBBonline是促进良好商业顾问局(council of better business bureau)的美国Better Business Bureau(BBB)全国性中小企业组织所成立的网站安全认证机构,它所提供的认证服务有Reliability Seal、Privacy Seal、Kids’ Privacy Seal等。其中Privacy Seal、Kids和Privacy Seal都是针对网站的个人隐私保护认证。该机构在1999年3月17日建立并开始其隐私认证计划。(2)美国TRUSTe 认证
TRUSTe是由商务网络财团(CommerceNet Consortium)和电子前线基金会(Electronic Frontier Foundation, EFF)所组建的一个独立的非营利的组织,该组织成立 于1997年6月10日,是美国首家网络隐私认证民间机构,是一家非盈利组织。主要采取认证和监督网站的隐私保护状况和电子邮件政策。TURSTe隐私计划包括:一般网页的隐私计划、欧盟安全港隐私认证计划、儿童的隐私认证计划、电子邮件隐私认证计划,TRUSTe各种计划都遵守许多政府和行业有关个人信息保护的法规和标准,包括加利福尼亚州网上隐私保护法(California Online Privacy Protection Act)、联邦反垃圾邮件法(Federal CAN-SPAM Act)、联邦贸易委员会批准的公平资讯惯例(Fair Information Practices)以及美国商业部的安全港隐私保护原则(Safe Harbor Privacy Principles)。
(3)日本的P-MARK认证
P-MARK认证是日本针对计算机处理个人信息相关企业而开展的获取个人信息保护标志的认证,它的认证机构是日本财团法人情报处理开发协会(JIPDEC),认证标准是JIS Q 15001。日本P-MARK认证制度从1998年4月开始。2005年4月1日,日本正式颁布了《个人信息保护法》,促进了P-MARK认证数的快速增长,至2009年认证企业已经超过了10000家。
对以上三种认证体系的分析看:
从认证对象来看,美国的认证范围主要是针对网络个人信息保护认证,特别是网络交易平台和网站注册的个人信息的保护,特别重视信息主体的权利和网站个人隐私的保护。日本的P-MARK认证是针对所有企业个人信息保护体制建立的标准,可以给企业一个比较全面的个人信息保护体制建立的指导和帮助。
从认证范围看,美国的两个认证都是跨国界的认证,但由于各国法规、标准的不一致性,要真正得到其它国家的认可还存在许多问题。而日本的P-MARK认证是一个针对日本全国的全行业的国家级认证,不针对日本以外的国家。
目前,还没有一个国际公认的个人信息保护的认证体系,但由于信息化社会的发展和全球经济体系的建立,必将会促进一个全球化的信息安全体系的建立,建立国际统一的个人信息保护认证体系也是非常必要的。
2、我国软件及信息服务业个人信息保护评价体系(PIPA)
软件及信息服务业个人信息保护评价体系(PIPA)是我国目前最早的针对个人信息保护能力和水平的评价。目前已经与日本的P-MARK认证实现了相互认可。目的是帮助企业建立个人信息保护规章制度、运行实施并不断改进和完善,使单位的个人信息保护能力和单位信息安全级别得到提高,使客户、消费者和员工的个人信息得到有效保护。建立个人信息保护体制的单位可以通过PIPA评价,得到个人信息保护合格证书和PIPA标志使用权,以证明单位的个人信息保护能力和水平,以此得到客户和消费者的信任。(1)PIPA简介
PIPA全称:个人信息保护评价(Personal information protection assessment)评价标准:《软件及信息服务业个人信息保护规范》(DB21/T 1522-2007)(以下简称《规范》; 评价机构:大连软件行业协会 开始时间:2006年5月
PIPA是针对计算机处理相关单位而开展的个人信息保护能力的评价,主要适用于利用计算机对个人信息进行处理的相关单位。评价程序按照前期审查→现场审核→公示→审批过程严格进行,通过PIPA的单位,可以得到个人信息保护合格证书、PIPA标志和PIPA-MARK互认标志使用权,有效期两年。
(2)PIPA评价机构
PIPA评价机构下设个人信息保护工作委员会和PIPA办公室。
PIPA办公室主要负责PIPA文件管理和事务性工作,负责PIPA受理及投诉,负责评价员的聘任及管理工作,PIPA办公室下设培训教育部门,负责个人信息保护企业培训和评价员培训、考核。
工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善,负责PIPA申批、投诉及事故的处理结果的审批,负责对PIPA的监督,聘任评价员的审批等工作。工作委员会下设:标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定;仲裁组负责投诉及事故的调查及处理;宣传推广组负责PIPA宣传推广;国际交流组负责国际间的交流与合作;教育培训组负责个人信息保护人才的教育及培养研究及试点,开展个人信息保护人才培养工作。
(3)PIPA的管理与监督
申请个人信息保护评价单位需要按照《规范》要求建立本单位个人信息保护相关规章制度,在单位内实施个人信息保护,并至少运行三个月。申请方应在申请前三个月内没有发生过重大个人信息保护事故。申请方应是自愿参加评价。
评价机构对个人信息保护合格单位有监督管理的权利,可以对单位个人信息保护情况进行抽查,对抽查不合格单位将限期整改,整改后仍不合格的单位,将取消个人信息保护合格证书和PIPA标志的使用资格。
以下情况将对PIPA企业进行复审:一是在对申报单位在个人信息保护方面有重要举报和投诉并确认为事实时;二是,在个人信息保护方面发生重大事故时;三是,在企业更名、办公场所或业务有重大变化时,对抽查和复审不合格单位,将取消个人信息保护合格证书和PIPA标志的使用资格。
(4)证书与标志
通过PIPA的单位,可以得到个人信息保护合格证书、PIPA标志和PIPA-MARK互认标志使用权,有效期两年。
五、国际合作方式探讨
1、欧盟的安全岛模式。
2000年3月14日,美国与欧盟就个人信息保护的“安全港”模式提出美国和欧盟都可以接受的建议。这项建议的内容为,如果美国产业对 “安全港口协议”(Safe Harbor Agreements)表示同意,就可以在进行严格隐私权保护的欧盟进行交易。这项提议于2000年6月获得欧洲议会的通过。美国商务部也于2000年7月21日公布了这一协议。
该协议包括1998年“国际安全港隐私保护原则”中的七大原则[12]: 1.告知(NOTICE)。企业必须告知资料本人资料收集、使用的目的,投诉的方式,向第三方披露个人资料的类型以及本人选择或限制企业使用、披露个人资料的方法,而且通知必须使用清楚、明确的语言。2.选择(CHOICE)。资料本人有权决定其资料是否向第三方公开或被用于与最初收集目的不同的其他目的,为实现选择的权利,企业应提供明确、可行的选择机制。对于敏感资料利用,尤其应经过本人肯定、直接的授权。3.转送(ONWARD TRANSFER)。为向第三方披露个人资料,企业必须使用通知、选择原则,否则,当第三方对本人构成侵权时企业不能免责。4.安全(SECURITY)。企业处理、保有、利用或传播个人资料时,必须采取合理的措施以防止资料被丢失、滥用、歪曲和毁坏。5.资料完整(DATA INTEGRITY)。企业必须采取合理措施保证其使用的个人资料的准确、完整和更新以及与使用目的的关联性。6.渠道(ACCESS)。本人应获得纠正、修改、删除不实资料的渠道,除非使用这种渠道的成本过高以至于违反比例原则。7.执行(ENFORCEMENT)。包括救济机制和进入安全港的批准原则等。
此协议在企业责任、投诉机制以及进入安全港的企业资格方面,都有着更为严格的要求,该协议也充分体现了欧盟95指令对美国的重大影响,以及美欧之间在网络隐私权保护及电子商务发展方面的斗争与妥协。
2、互认模式(PIPA与P-MARK互认)
中国的PIPA与日本的P-MARK“个人信息保护认证体系”之间的互认,是两个国家间个人信息保护体系的全面认证。
PIPA与P-MARK的互认合作工作从2005年开始,2006年10月份日本的P-MAR认证机构(情报处理开发协会(JIPDEC))开始与中国PIPA评价机构(大连软件行业协会)签署了互认合作协议,于2008年6月19日中国的PIPA与日本的P-MARK正式实现了互认。互认签字仪式在大连软交会上举行。日本的P-MARK认证与中国的PIPA评价通过两年的合作,双方认为在评价制度、方法、水平等方面达到一致。双方同意全面相互承认,并可共用同一认证标志。这是国际上首个两国相互全面承认的个人信息保护认证体系的合作项目。它标志着中日两国在个人信息交流方面的壁垒与障碍已消除。中日双方个人信息保护认证体系的相互认可,使两国在个人信息保护方面达成了共识,中国通过PIPA的企业将等同于日本通过P-MARK的企业,这样就打破了日本在信息服务外包中的个人信息保护的门槛。这也促进了我国与日本信息服务外包业的合作与发展。
六、2008年软件及信息业个人信息保护工作
软件及信息服务业个人信息保护工作一直走在我国个人信息保护工作的前列,中国软件行业协会、国家商务部、国家工信部、辽宁信息产业厅、大连市信息产业局等单位给予这项工作以大力支持和关注。总结2008年个人信息保护主要完成以下工作:
1、编制发布辽宁省个人信息保护标准
由大连软件行业协会编写的辽宁省《个人信息保护规范》DB21/T1628-2008,于2008 年6月16日正式发布,2008年7月16日实施。该标准的发布将对辽宁省各行业个人信息保护工作的开展起着指导和规范作用,对全国的个人信息保护工作也将起着积极的推动作用。
2、完善PIPA评价体系
作为我国首个针对个人信息保护的评价体系(Personal Information Products Assessment,PIPA),在2008年得到进一步的完善。
(1)建立和完善了评价员管理、考评及聘任制度,制定了评价员管理办法,使评价员的选择、培训和评价更加规范化,为评价质量的提高打下好的基础;
(2)建立投诉及事故报告制度,建立对应的投诉及事故处理流程,编制了事故报告及事故处理报告等一系列文件。投诉制度的建立和事故报告制度的建立完善了评价体系,保证了信息主体的权利可以落实,同时,也实现了对企业的第三方监督制度的建立,保证了对个人信息保护方面的意见、建议和投诉可以得到及时和正确的处理,也对企业起到了监督和促进的作用,使企业对个人信息保护体系的建立一直保持和不断完善。(3)加强工作委员会的力量,补充增加更有能力的工作委员会成员,并将工作委员会的工作细化,在个人信息保护工作委员会下设法规组、仲裁组、国际合作组、宣传推广组、教育培训组;使工作委员会的工作更加具体化和有成效。
3、个人信息保护评价工作进展顺利
2008年个人信息保护评价工作一直稳定开展,到目前为止,通过PIPA的企业累计达到了24家,还有30多家企业正在实施过程中。从参加评价的企业范围看,通过PIPA的企业主要以是对日外包企业为主,参加PIPA的企业涉及大连、北京、上海、深圳、济南、杭州、无锡、辽宁等地企业。企业的努力已经得到了国际客户的认可,特别是日本客户,在选择合作伙伴时会优先选择通过PIPA的企业,这也促使更多的对日外包企业愿意加入到个人信息保护的行列中来。
七、2009年软件及信息服务业个人信息保护工作展望
1、全国软件及信息服务业个人信息保护行业标准的研究和制定工作
在国际个人信息保护大背景下,企业迫切需要提高个人信息保护能力,以得到国际客户的认可,由于我国没有相关法规和标准,企业建立个人信息保护制度没有依据和参考,各企业自己的努力往往做的不完善,也很难得到客户的认可,为此,非常需要制定统一的个人信息保护规范,建立行业个人信息保护标准和评价体系。以提高行业整体信息安全级别和规范管理能力,打消国外企业对我们的不信任感,提高软件及信息服务业在国际国内的竞争力。在国际大背景下,中国软件及信息服务业个人信息保护标准的建立已经是势在必行。
标准是法律保护的补充管理形式,标准的推行更能体现出一种自觉的保护行为,为政府和企业提供一种可以参照的标准,按照标准建立的个人信息保护规章制度可以使个人信息得到很好的保护。
2009年,将研究制定《软件及信息服务业个人信息保护规范》——国家行业标准,通过这一标准的建立,推动软件及信息服务行业个人信息保护工作的开展。
2、推进个人信息保护评价工作
2009年将继续开展好PIPA评价工作,不断完善PIPA评价体系,争取更多的企业加入到个人信息保护的行列中来,预计通过PIPA的企业将达到50家以上,在地区范围上将扩大到全国20家外包示范城市。
第二篇:个人信息保护
为公众生活筑一道“防火墙”
个人信息不但是一个公民的身份证明,还包含了其生活中最重要的方方面面,它的泄露不仅会给人们带来生活上的困扰,更有甚者,还会造成财产的损失和情感的欺骗。随着信息流通渠道的多样化,泄露个人信息的行为呈愈演愈烈的态势,对于个人信息的保护必须引起重视。
近年来,公民个人信息被泄露的问题频繁发生。从络绎不绝的广告短信和邮件到隔三差五的业务推销电话;从虚假的银行卡消费通知到企图诈骗的短信和电话,泄露他人信息就像是一个大众课题,不论是在被泄露的内容和泄露途径上,或是在泄露后信息的去向和用途上,都在不断推敲中衍生出越来越多的不法用途。
大到“棱镜门”丑闻,小到手机上的小广告,人们对于个人信息的保护意识正在不断形成,但仍难以避免其不胫而走。究其缘由主要在于当下信息传播的平台多,转手速度快,为信息的泄露增添了更多可能性,加之掌握个人信息的企业单位缺少行业自律,民众对自身信息的保护意识不强,同时缺少相关的法律法规保障,对不法分子层出不穷的欺骗手段难免心有余而力不足。为了保护民众的隐私,我们需要变被动为主动,分别从个人信息泄露前、泄漏中、泄露后三方面一起努力。
保护个人信息,应在信息泄露前增强自我保护意识。虽然近些年命众对于自身信息的保护意识有所增强,但日益增多的欺骗手段往往让人们防不慎防。所以,可以通过街道、居委会分发《居民个人信息保护小贴士》和开展防范信息泄露讲座等形式,普及个人信息泄露的案例和信息自我保护的方法,在人们心中筑起拦阻“大坝”,从源头防止个人信息被利用。
保护个人信息,应加大信息泄露过程中的监察力度。目前,社会上倒卖各种身份信息的现象猖獗,信息传播途径的多样化更让不法分子有恃无恐。鉴于此,应当提高相关部门人员在如网络通信等技术上的专业素养,加大对各个渠道个人信息泄露的监察力度,对于易发生信息泄露的关键点和关键途径要严格管控,严厉查处,防止个人信息的进一步传播和倒卖。
保护个人信息,还应该在信息泄露后加大惩处力度。建立并完善相关的法律法规,对于泄露他人信息和利用他人信息进行不法操作的行为作出严肃处理,提高不法分子的犯罪成本。
还值得注意的是,在窃取个人信息的渠道中,也不乏对正规渠道的利用。如银行、保险公司、医疗机构、物流公司等,这些深受民众信任的场所也成了个人信息泄露的重灾区。所以,应加强相关企业负责人及员工的职业道德教育,提高行业自律和信息伦理意识,减少不法分子的可乘之机。
个人信息是属于个人的,但对个人信息的保护是属于全社会的。只有形成涵盖全社会的个人信息保护体系,为公众的生活筑起一道“防火墙”,才能让个人有隐私,让信息有保障。
第三篇:个人信息保护
保护个人客户信息 有效防范金融诈骗
近年来,关于银行客户个人信息屡屡外泄的新闻不断出现在各大媒体报道中,这类重要信息管理缺失行为不仅给客户带来经济和人身危害,也极大的影响到商业银行社会公信力的塑造。应该看到,各类商业银行都建立了完善的客户信息保密制度,通过技术和政策支持也规避了部分泄密问题,但客户信息失密事件屡见不鲜且利用常规管理方式即可避免风险。如何解决当前存在的客户信息泄密问题,需要银行监管部门和商业银行高管层、各层级管理者认真思考。本文抛开利用计算机技术窃密犯罪因素,仅根据“银行――社会中介――客户信息需求方”的泄密通道,通过问题描述和现状反思,围绕强化银行员工思想政治教育、建立声誉约束的外部监管机制,以及建立同业联盟的信息公开平台来防范泄密和诈骗事件的发生。
一、履职过程中存在的泄密行为
假设银行的客户信息保密制度设计是没有瑕疵的,在此基础上所存在的问题可归纳为以下三个方面。
(一)银行部分人员的风险意识淡薄
金融机构向社会大众提供负债、资产、中间业务和其他新兴业务,在提供服务的过程中掌握了大量的个人客户信息,个人金融信息和个人客户信息必然成为不法之徒追逐利用的目标,其中,最有可能成为失密信息大量使用重灾区的是资产类业务。如个人住房贷款、个人消费贷款,寻求该信贷业务的客户会被社会中介重点关注,他们的个人信息也成为市场其他产品(如家居类产品、装修、保险等)供应者的商业资源。部分银行员工在风险意识、保密意识淡薄的情况下,将客户信息发布出去。发布方式可能是口述、纸质方式、电子邮件、不当处理的垃圾等。
(二)银行部分人员的利益偏好使然
在现代商业社会客户信息已成为重要的经济资源,对该信息的垄断性获取将为卖方提供商机。由此,客户信息需求方为了获得这种商机,便有意愿通过商品交换形式来求助于社会中介,而社会中介在人际关系处理和商品交易原则下,便可能获得目标客户的银行信息。不难看出,这表现为银行部分人员与社会中介之间的利益交换关系。
(三)银行部分人员与中介勾结
金融业竞争日趋激烈,大部分银行将业务指标与员工收入紧密挂钩,为完成或超额完成分配的业务指标,获取薪金收入或业务奖励,部分员工有意无意地放宽保密规定,为协助中介达成交易,不惜提供客户信息、为中介补充客户信息。
二、泄密行为反思
上述泄密行为,为我们进行对策研究提供了方向。然而,商业银行管理层只能规范银行内部的信息管理活动,却无法约束社会中介、客户信息需求方。这就意味着,要使得对策更具有实效性还要依赖于全社会的参与,共同遵守和保护客户隐私。
(一)针对银行内部的现状反思
客户信息泄密现象发端于银行。因此,首先需要从规范银行涉密人员的行为操守开始。由于存在着信息不对称现象,商业银行管理者难以及时、准确把握关键人员行为的合规性,因而解决监管缺位成为对策构建的出发点之一。事实证明,依靠监管人员的跟踪监督是不现实的,需要从组织文化和外部压力的构建着手。
(二)针对银行外部的现状反思
尽管社会中介和客户信息需求方的行为难以被银行约束,但在商业社会中银行应充分发挥自身的网络资源,通过限制和惩戒他们的银行业务来给予威慑。所谓银行业务可理解为,中介组织和客户信息需求方与商业银行间的业务往来。
三、反泄密行为的对策
为防止泄密行为引发的欺诈事件,可从三个方面着手。
(一)强化银行员工的思想政治教育
无论是国有控股商业银行还是其他股份制银行,都应强化组织内部的思想政治教育。在开展该项工作时应改变传统的“空对空”模式,通过案例教学促使银行员工能够清楚地知道泄露客户信息对社会的危害、对银行本身的危害,以及对自身职业生涯的影响。只有这样,才能建立起与员工切身利益相联系的自觉行为。
(二)树立银行员工安全保密意识
网络信息时代,发生客户个人信息泄露事件,不仅会给客户造成较大损失,也会给银行带来非常严重的法律风险和声誉风险。树立银行员工安全保密意识刻不容缓。通过开展安全保密教育活动,教育员工在公众场合严守商业机密,严格遵守“为客户保密”的原则,并落实安全保密责任制。抓好重点岗位的保密工作,强化岗位责任制,将每一项业务操作置于合规框架下,把信息泄密事件消灭在萌芽状态。
(三)建立声誉约束的外部监管机制
对于部分风险意识较弱或具有强烈利益偏好的员工,应在优化跟踪监管机制的同时,建立起声誉约束机制,借助银行员工强调自己在单位内部的口碑和声誉度的心态,将其本单位在履行职责或者提供服务过程中获得的公民个人信息,存在信息泄露,如情节严重的,移送司法机关处理,如情节较为轻微的,进行经济处罚,并在职务晋升、职称聘任上实行一票否决制,进而在他们的心理上构建起一道防线。
(四)建立同业联盟的信息公开平台
根据社会中介和客户信息需求方流动性强、与银行交易较多的特点,针对他们必然与商业银行发生正常业务往来的性质,金融机构可以在主管部门的协调下建立起各类商业银行间的信息共享平台,利用该平台及时发布已查获的社会中介组织、客户信息需求方关键人物的信息,在同行业共享的基础上对他们进行经济惩戒。这样一来,就能对潜在的社会中介组织、客户信息需求方产生威慑作用,增加他们的犯罪成本,进而从信息需求源头上中止泄密行为。
为维护客户合法权益不受侵害,避免客户个人金融信息泄露对客户自身财产安全造成不利影响,枣庄滕州支行采取五项措施落实客户个人金融信息保护工作。一是结合各种诈骗案例对员工进行防客户信息泄露警示教育。要求员工在办理业务及在八小时以外,高度重视个人金融信息保护工作,禁止故意或过失泄露客户金融信息行为发生。二是强化个人信息使用管理。在客户信息使用上,必须经客户本人书面授权才可查询及使用。三是对员工办公用电脑进行清理,对涉及客户敏感信息的相关文件进行清理,对确需留存的客户信息进行加密处理;四是加强对第三方机构巡点人员的管理,严禁第三方机构人员接触我行客户信息。
一、严格落实责任。全行员工均签订了《保密承诺书》,严格落实保密责任,严守职业道德。同时,严格执行《中国人民银行关于银行业金融机构做好个人金融保护工作的通知》、《中国工商银行青海省分行个人客户信息管理实施细则(试行)》等制度要求,对客户个人金融信息的建立、存储、维护、应用和管理做到依法合规、安全保密。
二、健全客户个人信息保护制度。一是制定了个人客户信息保护措施和个人客户信息管理的原则,落实了各部门、各岗位管理责任,完善内部监督和责任追究机制。二是加强个人客户信息管理的权限管理,形成相互监督,相互制约的管理机制。三是严格按照《中国工商银行会计档案管理办法》、《中国工商银行商业秘密保护办法》等文件规定,切实防止信息泄露或滥用事件的发生。
三、强化安全观念教育。及时组织员工认真学习《个人存款账户实名制规定》、《中国人民银行关于金融机构进一步做好客户个人信息保护工作的通知》等文件的学习,使广大员工充分认识个人客户信息保护的重要性,进一步认识个人客户信息泄露和滥用带来的法律后果,对篡改、违法使用、出售个人客户信息要承担相应的法律责任,形成了维护客户个人客户信息安全的自觉性,增强了发现和防范信息系统漏洞和缺陷的敏锐度。
第四篇:软件和信息服务业领域(最终版)
附件
2018软件和集成电路发展专项(软件部分)指南
一、产业发展类:
1、重大行业应用软件的研发及产业化。
支持面向电信、交通、电力、能源、医疗等重大行业领域应用,形成模块化程度大、设置配置灵活、功能完善、安全性高,以及具备面向新型系统架构及应用场景的信息技术服务能力的软件产品与服务。项目执行期销售收入5000万元以上。
2、云计算关键技术的研发及产业化
支持具备弹性伸缩、动态调整功能的PaaS平台研发和应用;支持适用于各种业务场景、部署模式的SaaS化应用软件研发和应用;支持满足EB级存储规模的云存储技术的研发和应用;支持面向金融、商业、制造业、能源等重点领域的行业云计算平台建设,具有自主知识产权。项目执行期内销售收入2000万元以上。
3、基于机器学习的智能软件研发及产业化
支持基于卷积神经网络、递归神经网络、深度神经网络等新一代算法的机器学习技术研发和应用;支持研发面向机器人、智能家居、无人机、无人载具等智能硬件的软件工具包、中间件与通用软件产品。支持运用机器视觉、自然语言处理、人机交互、知识图谱等技术研发智能程度领先、识别准确率高、技术方案面向前沿的智能系统解决方案。
4、虚拟现实、增强现实关键技术研发及产业化 重点突破高性能建模、内容采集与智能生成、开发引擎、集成工具、智能人机交互系统、操作系统等关键技术以及内容分发平台;面向工业制造、商业营销、健康医疗、教育培训、娱乐休闲、办公、建筑和安全等领域的虚拟现实、增强现实行业应用解决方案。
5、基于区块链技术的信息服务和应用
支持研发基于区块链技术的自主开源平台,开发新型加密算法和共识机制,构建区块链技术底层基础架构,支持利用区块链技术在数字版权、数据存证、大宗产业链金融、供应链(溯源)、物联网、人工智能等领域优化流程,加强信息交换。
6、金融信息行业应用领域的风险控制及服务支撑系统 利用大数据、移动互联网(不含区块链)等新一代信息技术,研发大数据风控、智能投顾、供应链金融、消费金融、信用体系等支撑金融活动的服务系统,防范金融信息行业遇到的信息、信誉、安全、法律、信用等各类系统风险。项目执行期内销售收入1000万元以上。
7、基于移动互联网的新型信息消费服务和解决方案 支持利用移动互联网、高级人机交互、新型生物特征识别等技术,研发面向新农业、便捷出行、新零售、现代物流等行业应用解决方案;支持运用大数据、高精度位置服务、物联网等技术,研发提高资源利用效率的共享经济服务和O2O融合服务。
8、互联网教育领域的软件产业化项目
基于数据挖掘探索个性化教学的学习分析工具和各类提升教学效率、改善教学体验的辅助教育教学软件产品;综合运用软件、互联网技术,面向教育场景、跨平台的系统解决方案和综合服务平台;基于移动互联、云计算,支持实时互动的大型开放式网络课程平台。项目执行期累计销售收入不低于1000万元。
9、基于互联网的健康管理软件产业化项目
运用信息技术手段,整合各类信息资源,实现健康数据的智能判读、分析和处理,提供互联网健康咨询、慢性病管理、居家健康养老、个性化健康管理等功能的信息系统及软件产品。项目执行期内用户规模达到10万人,销售收入500万元以上。
10、面向“一带一路”沿线国家及地区的软件产品和服务 对接国家战略,支持为“一带一路”沿线国家及地区提供拥有自主知识产权的基础软件以及面向农业、建筑、交通运输、金融、水利、中国元素的文化等行业的软件产品和解决方案。在项目执行期内形成可推广的示范应用案例并取得一定的经济效益。
11、网络空间安全应急方案及在金融、政务等领域的产业化应用
支持网络空间安全监测预警、态势感知和应急恢复相关安全产品研发及产业化,重点鼓励网络安全应急智能化解决方案在金融和互联网服务等领域规模化应用。项目执行期内销售收入1000万元以上。
二、应用示范类
12、基于区块链技术的大宗商品供应链金融应用 聚焦大宗商品供应链金融领域,应用区块链技术优化全产业链流程,解决各环节信任机制,构建供应链金融绿色生态圈。
三、公共服务平台类:
13、软件和信息服务业共性技术平台 面向软件和信息服务业领域,建立产业推进公共服务平台,提供各领域应用产品组件化、标准化开发工具;与浏览器、硬件、行业应用软件之间的系统适配产生共性问题的解决方案;面向各类企业提供测试验证服务平台。
14、打造软件和信息服务业产城融合园区
提升产城融合度,鼓励空间整合与功能融合,支持新建和改造公共研发服务平台、园区智能停车、智能园区管理、企业大数据平台等园区公共服务项目,提升园区对软件和信息服务业企业服务的能级水平。
附:项目指南解释人:
条目1
何
炜,23112795 条目2、13、14
孙德功,23119358 条目3、7
刘
文,23119453 条目4
杨立哲,23119356 条目5、6、10、12
黄
琳,23119340 条目8
夏益飞,23119348 条目9
叶月明,23119359 条目11
施
敏,23117603
第五篇:个人信息保护知识
时刻警惕,自己和家人的信息不要随便泄露。网络上泄露信息可能会很危险。
各种推销电话的骚扰,各种莫名其妙的广告信息通过四面八方传播过来,甚至有人用我们的个人信息进行经济犯罪,到底如何最大限度的保护个人信息?
1、不填写各种所谓的市场调研里面的个人信息,即使有奖品发放,也绝不把手机号码、姓名、家庭住址、身份证号码泄露出去。
2、不随便把身份证复印件交出去,需要办理信用卡、收入证明之类的,必须在身份证复印件注明:只用于此用途;用身份证的时候,最好不要让别人拿着身份证离开你的视线。
3、收快递的时候,尽量把带着名字和电话、地址的封面销毁;发快递的时候,事先和对方沟通好,发件方的信息尽量少透露。
4、朋友圈投票尽量不投;不明来源的文章链接和二维码不点击也不扫码;qq、微信、网站等尽量少的填写信息。
5、不随便下载APP和各种网站资源;网上设置各种用户名尽量不实名制;不可信的wifi不要连接。
6、如参加必须登记姓名和电话的活动或会议,一定告知对方,不许泄露信息,否则追究责任;在网络上发各种信息时不发家人的图片、电话、姓名、住址等,尽量少炫耀。
.如何保护个人信息
信息泄露有可能会产生严重的后果,进而导致财产受损失。因此,保护个人信息,防范个人信息泄露至关重要,这里给大家提供几条防止信息泄露的小妙招:
1、保护身份证号码、银行卡号、密码或其他隐私信息,千万不要把这些信息通过邮件、短信或电话告诉别人,无论这个人表现得多么可靠。任何时候请牢记:合法的组织不会问你这些细节,因为他们已经获得必要的信息,或可以其他的方式来获取。
2、忽略网上你不认识的“朋友”,因为他们可能是骗子伪装而来。因此,务必要小心在社交网络和与就业相关网站发布履历和联系地址等信息,因为一旦这些信息落入不法分子手中,可能会引起相关损害。
3、保护私人电脑安全。如通过安装防火墙等方式,阻止入侵者远程访问个人计算机;使用复杂密码,提高黑客破解密码难度。同时,不用电脑时记得关机。
4、及时清理“金融垃圾”。丢掉有私人信息的文件前先将其销毁。在销售、捐赠、拍卖或丢弃私人电脑前,用专业软件清除电脑里所有金融信息。
5、留意那些看起来极其诱惑的奖励。骗子往往冒充慈善机构或商务旅客,提供就业机会、奖赏其他“机会”。如果他给的条件不合常理,则是非常可疑的。
6、仔细检查银行对账单、账单及信用卡报告,确认没有可疑交易。每月关注银行账户,如果觉得有可疑(例如发现某项非本人操作的取款),及时联系银行。如果发现银行对账单未按时到达,应尽快联系银行工作人员。如果没有收到银行邮件,则有可能邮箱被盗用。即使没有任何贷款或透支信用卡消费,仍需每年检查信用报告,查证盗刷情况是否发生。如果怀疑自己个人信息被盗,应马上联系银行。
7、网上购物需要注意的提醒:第一:在输入信用卡和个人信息之前确认网站是否安全。大多数网站会有防伪安全标志(如网址旁边的挂锁);第二:网上购物时,尽量选择商誉好的商家。