個(gè)人信息安全認證機制論文

　　軟件產(chǎn)業(yè)的開(kāi)發(fā)、生產(chǎn)、銷(xiāo)售各個(gè)環(huán)節都對于用戶(hù)個(gè)人信息保護與安全至關(guān)重要。在借鑒美國的隱私認證制度、日本的個(gè)人信息評價(jià)制度以及我國大連軟件及信息服務(wù)業(yè)個(gè)人信息評價(jià)制度的基礎上，提出從宏觀(guān)深入到微觀(guān)、從表面深入到實(shí)質(zhì)、從產(chǎn)業(yè)深入到產(chǎn)品，將個(gè)人信息安全認證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強軟件行業(yè)的自律，切實(shí)保障廣大用戶(hù)的權益，增強用戶(hù)對于軟件產(chǎn)品的信心，并對該制度的構建著(zhù)重從軟件產(chǎn)品個(gè)人信息保護認證標準和軟件產(chǎn)品個(gè)人信息保護認證流程兩個(gè)方面進(jìn)行了探討。

　　計算機軟件產(chǎn)品成為世界的核心和靈魂

　　(一)計算機軟件產(chǎn)業(yè)成為戰略性新興產(chǎn)業(yè)工信部軟件服務(wù)業(yè)司司長(cháng)陳偉表示：“今天，很多人提出了SDN(軟件定義網(wǎng)絡(luò ))、SDD(軟件定義數據中心)、SDS(軟件定義系統)，而我認為，軟件可以定義世界(SDW)，軟件應該成為世界的核心和靈魂，成為信息消費的引擎和重要內容�！盵1]軟件產(chǎn)業(yè)在我國國民經(jīng)濟中具有重要的戰略地位，隨著(zhù)大數據、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的興起與廣泛運用，軟件產(chǎn)品已經(jīng)覆蓋人民生產(chǎn)、生活的各個(gè)領(lǐng)域，逐漸成為重要的民生物品。軟件產(chǎn)業(yè)個(gè)人信息保護不僅關(guān)系到本產(chǎn)業(yè)的發(fā)展，關(guān)系到國民高品質(zhì)智能化生活，而且對于整個(gè)信息產(chǎn)業(yè)的長(cháng)遠發(fā)展，對于信息消費市場(chǎng)的培育與推動(dòng)，對于“寬帶中國”戰略的實(shí)施，對于國家信息安全的保障具有重要的戰略意義。

　　(二)計算機軟件產(chǎn)品的界定

　　技術(shù)業(yè)已變革，整個(gè)社會(huì )都在地動(dòng)山搖發(fā)生著(zhù)巨大的變化，如果法律制度仍然固守兩千年前的傳統理論，秉持“祖宗之法不可變”的陳詞濫調，那么法律制度必定束縛生產(chǎn)力的發(fā)展，并必然地被技術(shù)的迅猛發(fā)展而沖破。從物和產(chǎn)品的發(fā)展趨勢來(lái)看，隨著(zhù)社會(huì )經(jīng)濟高速發(fā)展，物與產(chǎn)品的觀(guān)念均有擴展之勢[7]。世界各國出于對消費者權益的保護，不再對已經(jīng)以“產(chǎn)品”的形式流通的計算機軟件“視而不見(jiàn)”，紛紛以“計算機軟件產(chǎn)品”稱(chēng)呼之，并開(kāi)展相關(guān)立法規范。

　　TRUSTe認證工作主要涵蓋以下幾個(gè)方面。

　　1.初始認證

　　當網(wǎng)站為獲得TRUSTe 的認證而提交了正式的申請表后，TRUSTe 將檢查申請網(wǎng)站，看它是否符合程序原則(Program Principles)。其目的是為了確保該網(wǎng)站的隱私政策，明確指出哪類(lèi)個(gè)人信息被收集、誰(shuí)在收集、為何目的收集、如何使用以及與誰(shuí)共享等。如果網(wǎng)站符合TRUSTe關(guān)于隱私保護的認證要求，TRUSTe就會(huì )授予該網(wǎng)站隱私圖章，允許在其網(wǎng)站主頁(yè)上張貼TRUSTe的隱私圖章標志。

　　2.后續監督

　　當申請網(wǎng)站成為會(huì )員后，TRUSTe就會(huì )定期檢查網(wǎng)站，確保網(wǎng)站的行為符合它公布的隱私聲明，并且檢查網(wǎng)站隱私聲明的變動(dòng)。初始認證和后續監督都是在網(wǎng)站事先不知道的情況下，通過(guò)提交特定標志符到網(wǎng)站來(lái)跟蹤該站點(diǎn)個(gè)人信息的使用，并監控結果，以此來(lái)確定其信息收集使用行為是否與該站點(diǎn)的隱私聲明相符合。

　　3.爭端解決

　　當消費者認為網(wǎng)站侵犯其隱私權，而就隱私侵權問(wèn)題不能得到會(huì )員網(wǎng)站恰當處理時(shí)，TRUSTe為其提供一種在線(xiàn)的爭端解決服務(wù)，即所謂的看門(mén)狗爭端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對涉嫌侵犯隱私而被消費者投訴的網(wǎng)站作出最終決定，網(wǎng)站必須執行，否則其所獲得的隱私圖章將被取消，并被列入“不守規矩的網(wǎng)站”的名單中，TRUSTe甚至通過(guò)適當的途徑向相關(guān)的法律權威部門(mén)提起訴訟，如美國貿易委員會(huì )或者消費保護機構等。這樣的爭端解決程序逐漸為T(mén)RUSTe 樹(shù)立了一定的威信。

　　(二)日本個(gè)人信息保護評價(jià)制度評析

　　日本早在1998年由非官方第三方機構日本情報處理開(kāi)發(fā)協(xié)會(huì )(Japan Information Processing Development Corporation，JIPDEC)建立了Pmark認證制度，2005年日本《個(gè)人信息保護法》的實(shí)施，極大地推進(jìn)了企業(yè)參與個(gè)人信息保護認證。

　　軟件及信息服務(wù)業(yè)個(gè)人信息保護評價(jià)體系(PIPA)評價(jià)的對象主要是企業(yè)，其初衷在于幫助以軟件和信息服務(wù)業(yè)為主的企業(yè)建立個(gè)人信息保護制度，使得企業(yè)有能力在2005年日本《個(gè)人信息保護法》實(shí)施后繼續承接日本軟件外包業(yè)務(wù)。通過(guò)PIPA評價(jià)的企業(yè)可以得到個(gè)人信息保護合格證書(shū)和PIPA標志使用權。具體而言，大連個(gè)人信息保護評價(jià)制度包括以下幾個(gè)方面。

　　1.評價(jià)機構

　　軟件及信息服務(wù)業(yè)個(gè)人信息保護評價(jià)機構為大連軟件行業(yè)協(xié)會(huì )，下設個(gè)人信息保護工作委員會(huì )、PIPA辦公室和評價(jià)專(zhuān)家組。

　　PIPA辦公室主要負責PIPA文件管理和事務(wù)性工作，負責PIPA受理及投訴，負責評價(jià)員的聘任及管理工作，PIPA辦公室下設培訓教育部門(mén)，負責個(gè)人信息保護企業(yè)培訓和評價(jià)員培訓、考核。

　　個(gè)人信息保護工作委員會(huì )主要負責標準和PIPA體系相關(guān)文件的制定、修改和完善，負責PIPA申批、投訴及事故處理結果的審批，負責對PIPA的監督及聘任評價(jià)員的審批等工作。工作委員會(huì )下設：標準組、仲裁組、宣傳推廣組、國際交流組和教育培訓組。標準組主要負責標準的研究和制定;仲裁組負責投訴及事故的調查及處理;宣傳推廣組負責PIPA宣傳推廣;國際交流組負責國際間的交流與合作;教育培訓組負責個(gè)人信息保護人才的教育、培養研究及試點(diǎn)，開(kāi)展個(gè)人信息保護人才培養工作。

　　2.評價(jià)依據

　　大連軟件行業(yè)協(xié)會(huì )在全國率先開(kāi)始制定軟件及信息服務(wù)業(yè)的個(gè)人信息保護標準，即《規范》，經(jīng)過(guò)多年的實(shí)踐，在大連市的地方標準的基礎上，形成了遼寧省的個(gè)人信息保護“省標”《遼寧省軟件與信息服務(wù)業(yè)個(gè)人信息保護規范》DB21/T 15222007、《個(gè)人信息保護規范》DB21/T 16282008和遼寧省地方標準《信息安全個(gè)人信息保護規范》DB21/T 1628.12012。目前大連軟件行業(yè)協(xié)會(huì )已經(jīng)發(fā)布通知自2014年6月1日起正式實(shí)施《信息安全個(gè)人信息保護規范》，即2012版標準替代目前實(shí)施的2008版標準[10]。

　　3.評價(jià)流程

　　個(gè)人信息保護評價(jià)流程包括申請、受理、文件審查(前期審查)、現場(chǎng)審核、公示15天、審批、頒發(fā)合格證和標志等幾個(gè)環(huán)節[11]。個(gè)人信息保護評價(jià)申請的前提是申請評價(jià)的企業(yè)按照《規范》的要求建立企業(yè)個(gè)人信息保護制度，經(jīng)過(guò)三個(gè)月運行的檢驗，在這期間沒(méi)有發(fā)生任何涉及個(gè)人信息保護的重大事故，方得以開(kāi)展評價(jià)申請。

　　4.評價(jià)監督管理

　　通過(guò)個(gè)人信息保護認證的企業(yè)并非一勞永逸，大連軟件行業(yè)協(xié)會(huì )對于通過(guò)認證的企業(yè)具有監督管理的權利。大連軟件行業(yè)協(xié)會(huì )對于通過(guò)認證的企業(yè)可以采取抽查的方式進(jìn)行監督管理，對于抽查不合格的企業(yè)，將限期整改，整改后仍然無(wú)法達到相關(guān)標準的企業(yè)，則取消其使用個(gè)人信息保護合格證書(shū)和PIPA標志的資格。同時(shí)，大連軟件行業(yè)協(xié)會(huì )在接到重要舉報和投訴時(shí)，可對認證企業(yè)進(jìn)行復審，復審不合格的企業(yè)同樣取消其使用個(gè)人信息保護合格證書(shū)和PIPA標志的資格。

　　5.證書(shū)與標志

　　通過(guò)個(gè)人信息保護認證的企業(yè)，由大連軟件行業(yè)協(xié)會(huì )頒發(fā)個(gè)人信息保護合格證書(shū)、PIPA標志，證書(shū)和標志在兩年內有效。

　　值得一提的是，由于大連行業(yè)協(xié)會(huì )與日本情報處理開(kāi)發(fā)協(xié)會(huì )簽署了互認合作協(xié)議，即通過(guò)大連PIPA認證的企業(yè)受到日本情報處理開(kāi)發(fā)協(xié)會(huì )的個(gè)人信息認證體系Pmark認可，無(wú)需再另行申請日本Pmark認證，因此，通過(guò)大連行業(yè)協(xié)會(huì )個(gè)人信息保護認證的企業(yè)還可以獲得PIPAmark互認標志。

　　(四)中美日個(gè)人信息保護評價(jià)制度比較及啟示中美日的個(gè)人信息保護評價(jià)制度各具特色，三者的共同點(diǎn)在于均是出于對用戶(hù)個(gè)人信息和隱私的保護而構建的一整套認證制度，均是以非官方組織為主導開(kāi)展的評價(jià)認證，三者的差別在于：

　　從評價(jià)的地域范圍來(lái)看，由于互聯(lián)網(wǎng)的無(wú)國界性，以TRUSTe為代表的美國個(gè)人信息評價(jià)制度目前已經(jīng)發(fā)展成為一個(gè)全球性的認證體系，并不局限于僅對美國的網(wǎng)站開(kāi)展認證業(yè)務(wù);日本的Pmark個(gè)人信息評價(jià)體系則是針對日本的企業(yè)開(kāi)展認證服務(wù)，是日本國家級的認證體系，但不針對國外的企業(yè)開(kāi)展認證;大連的PIPA評價(jià)體系最初僅僅局限于針對大連市的企業(yè)，而且是對軟件和信息服務(wù)業(yè)的企業(yè)開(kāi)展評價(jià)，現在逐步向全國范圍內擴大。

　　(一)軟件產(chǎn)品個(gè)人信息安全認證標準

　　軟件產(chǎn)品個(gè)人信息安全認證標準是軟件產(chǎn)品個(gè)人信息安全認證最基本的依據，放眼全球，目前尚無(wú)一個(gè)針對軟件產(chǎn)品個(gè)人信息安全認證的標準，只有類(lèi)似針對整個(gè)企業(yè)的個(gè)人信息保護管理系統的標準、針對軟件和信息服務(wù)業(yè)整個(gè)行業(yè)的個(gè)人信息保護規范、針對網(wǎng)站的隱私認證標準，而缺乏針對最直接收集個(gè)人信息的計算機軟件產(chǎn)品的個(gè)人信息安全認證標準。

　　(二)軟件產(chǎn)品個(gè)人信息安全認證流程

　　建立軟件產(chǎn)品申請個(gè)人信息保護認證流程，對于符合個(gè)人信息保護法律收集、利用和處理的軟件產(chǎn)品，經(jīng)審查合格的，頒發(fā)軟件產(chǎn)品個(gè)人信息保護合格證書(shū)與標志。該軟件產(chǎn)品的開(kāi)發(fā)者和利用者可以在其上注明個(gè)人信息保護合格標志，以告知用戶(hù)，增加用戶(hù)對其的信賴(lài)感。軟件產(chǎn)品個(gè)人信息安全認證流程與軟件企業(yè)的個(gè)人信息保護認證并不相同，前者注重的是軟件產(chǎn)品是否合法收集利用用戶(hù)個(gè)人信息、是否保障用戶(hù)個(gè)人信息安全，而后者強調的是企業(yè)個(gè)人信息保護管理體系的建立以及對于個(gè)人信息保護的政策。

　　本研究結合國內外隱私認證和企業(yè)個(gè)人信息保護評價(jià)的流程，對軟件產(chǎn)品個(gè)人信息安全認證流程初步設計如下。

　　1.申報

　　欲進(jìn)行個(gè)人信息保護認證的軟件產(chǎn)品開(kāi)發(fā)者或生產(chǎn)者、經(jīng)營(yíng)者作為申請單位需填寫(xiě)《軟件產(chǎn)品個(gè)人信息安全認證申請書(shū)》及相關(guān)附件材料呈交評價(jià)機構。

　　2.資料審查

　　由評價(jià)機構對申請單位提交的《軟件產(chǎn)品個(gè)人信息安全認證申請書(shū)》及相關(guān)附件材料進(jìn)行審查，審查合格者制作審查合格報告，并進(jìn)入軟件信息保護評估階段，不合格者返回補正。

　　3.軟件信息保護評估

　　資料審查合格的單位向評價(jià)機構提交軟件產(chǎn)品樣品一份，由評價(jià)機構利用技術(shù)手段針對軟件的安全性進(jìn)行測試，包括軟件產(chǎn)品的信息安全、軟件產(chǎn)品的運行機制、軟件產(chǎn)品對于用戶(hù)個(gè)人信息的收集利用情況等方面，并由專(zhuān)家組進(jìn)行評估，最終形成評價(jià)報告。通過(guò)者進(jìn)入審核階段;未通過(guò)者，申報單位按照專(zhuān)家組的評價(jià)意見(jiàn)進(jìn)行一次改進(jìn)完善，改進(jìn)完善后重新進(jìn)行評估，如仍不能通過(guò)，則出具評估不合格報告，若未進(jìn)行實(shí)質(zhì)性修改完善，不得再申請進(jìn)行個(gè)人信息安全評價(jià)。

　　4.審核

　　依據專(zhuān)家組形成的評價(jià)報告，評價(jià)機構進(jìn)行審核，而后簽署最終審核意見(jiàn)。評價(jià)機構對通過(guò)審核者公示10個(gè)工作日，其間如沒(méi)有實(shí)質(zhì)性異議，則正式通過(guò)審核并予以公告，頒發(fā)“軟件產(chǎn)品個(gè)人信息安全合格證書(shū)”及認證標志。

　　通過(guò)軟件產(chǎn)品個(gè)人信息安全認證機制的構建，有助于培育一批品質(zhì)優(yōu)良、注重用戶(hù)權益、服務(wù)經(jīng)濟社會(huì )發(fā)展需要的軟件產(chǎn)品，從而肅清我國軟件產(chǎn)品市場(chǎng)魚(yú)目混珠的亂象，引領(lǐng)軟件產(chǎn)業(yè)的發(fā)展，為信息產(chǎn)業(yè)的長(cháng)遠發(fā)展奠定基礎。

【個(gè)人信息安全認證機制論文】相關(guān)文章：

個(gè)人信息安全評估報告（精選6篇）09-29

個(gè)人信息安全承諾書(shū)范文11-01

個(gè)人信息安全評估報告范文（精選22篇）10-12

個(gè)人信息安全的自查報告優(yōu)秀10-15

個(gè)人信息安全影響評估報告（通用12篇）12-19

小學(xué)安全風(fēng)險防控機制的實(shí)施方案06-01

學(xué)校安全風(fēng)險隱患排查機制方案（通用26篇）10-02

安全玻璃強制認證協(xié)議書(shū)12-13

安全玻璃強制認證協(xié)議書(shū)09-02

銀行個(gè)人信息安全自查報告范文（通用9篇）12-02