我国首部保护网上个人信息的行业规范已经编制完成,它将在商业网站和网民的利益之间寻求一个合理的平衡。昨天,工信部相关负责人在“上海市信息安全活动周”开幕式上表示,这份规范审批手续目前已经基本走完,“马上就会发布”。
这份规范的全称是《信息安全技术公共及商用服务信息系统个人信息保护指南》,其出发点是加强行业自律。工信部信息安全协调司副司长欧阳武昨天表示,《指南》的编制借鉴了国外的做法,为使用个人信息的行为制定了八项原则,引导企业对照施行。
侵犯隐私成信息安全大患
滥用个人信息已成为目前“信息安全风险的突出表现”。欧阳武援引工信部近期的一项调查数据说,90%的受访者表示,自己曾遭遇个人信息泄露;94%的受访者认为,个人信息泄露的问题“非常严重”;98%的人对此“非常愤怒”。
去年底,知名IT技术网站CSDN爆出泄密事件,国内保护个人信息的呼声急剧上升。那次事件中,CSDN的数据库被黑客破解,储存着数百万用户账号、密码的文件被窃取并公布在网上。由于许多网民习惯用同一套账号密码在不同网站注册,黑客只要得手一次,就可能用窃得的账号密码登录其他网站。虽然导致CSDN泄密的是黑客的不法行为,但CSDN本身在技术和管理制度上不规范、不完善也难辞其咎。
实际上,侵犯网民个人隐私,不仅包括黑客行为,更多还是商业网站的“软暴力”。国内外大量门户网站目前都与技术企业合作,在用户电脑里植入软件,识别、追踪其上网行为。这类行为的目的是远程识别用户身份特征,从而有针对性地投放广告。与黑客窃密相比,为投放广告而追踪网民的做法,很少会给用户带来经济损失或精神伤害,更何况,网络经济也的确需要更好的广告技术,至少,“对味”的广告总比“广告轰炸”要好。但由于此类行为一般都做得很隐蔽,大部分用户甚至根本不知道自己在被追踪,有人认为,这种“不透明性”为恶意滥用个人隐私创造了土壤。
在欧美,此类行为正受到越来越多消费者权益保护组织的批评,欧盟和美国不断向谷歌、Facebook等网络巨头施加压力,要求它们修订隐私保护政策。相比之下,在国内,无论网民还是监管机构,对此类侵犯网民隐私的行为都较少关注。
网站不得搜集不相关信息
据欧阳武介绍,即将发布的《个人信息保护指南》,为商业网站确立了一系列合理使用个人信息的指导性原则。综合起来,就是公开、透明、知情、同意。在一系列合理使用的原则中,《指南》首先要求网站不得随意搜集信息,不得搜集与自己业务无关的信息。欧阳武表示,无论是为了提供电子邮件服务,还是开展网上支付,互联网服务提供商使用用户个人信息的目的必须明确,而且,一旦明确,就不得在用户不知情的情况下,扩大、变更使用范围和目的。相应的,网站须尽可能少地搜集用户信息,只搜集与自己业务密切相关的信息,并在使用后尽快删除。
向用户告知是这份《指南》为网站提出的重要义务,而且,网站必须用明确、通俗易懂的方式,公开解释自己使用个人信息的目的、范围,将采取何种保护措施,同时对可能的风险进行警示。欧阳武说,据他观察,虽然目前许多网站的首页上有隐私条款的链接,但大多数写得并不够透明、规范。
网站使用个人信息,毫无疑问需要得到用户的同意。这份《指南》的一大创新点在于,它将用户表达“同意”的方式,细分成为“默许同意”和“明示同意”。特别是一些敏感信息,网站必须明确得到用户授权,否则就不能使用。可以说,这为某些趁网民不注意或不理解,盲目表达“同意”、打隐私擦边球的网站敲响了警钟。此外,《指南》还要求商业网站在内部建立必要的技术保障、事故追溯、责任追究等制度,以落实自己向社会公开作出的隐私保护承诺。
欧阳武表示,虽然《刑法》中有涉及滥用个人信息的条款,但一方面,真正能治罪的行为比较少,更何况,侵犯隐私造成的伤害主要在精神层面,这给评估相关违法行为带来了难度。此外,如果要借助行政力量监管,其负担目前来看也很难承受。
因此,多数专家认为,加强个人信息保护最有效的方法是靠自律。可以说,《个人信息保护指南》在国内为网站和公众首次建立了“是非对错”的标准。欧阳武表示,《指南》发布后,工信部会推动其执行,并鼓励支持第三方机构和新闻媒体,对照网站的公开承诺,监督他们履约践行的情况。
| 
