昨日,四川大學網(wǎng)絡(luò)空間安全研究院常務(wù)副院長陳興蜀榮獲“網(wǎng)絡(luò)安全優(yōu)秀教師”稱號。在隨后的新聞發(fā)布會上,陳興蜀透露,目前她正參與研究《信息安全技術(shù) 個人信息安全規(guī)范》國家標準,如順利的話將在11月前在網(wǎng)上公布《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)國家標準的公開征求意見稿。
針對“數(shù)據(jù)控制者”制定的管理標準
陳興蜀介紹,正在制定的《個人信息安全規(guī)范》國家標準是從技術(shù)、管理的要求角度來談,包括從獲取個人信息、存儲處理到轉(zhuǎn)移或發(fā)布個人信息應該堅持的個人信息保護基本原則。
這個標準主要針對“數(shù)據(jù)的控制者”,即凡是涉及采集、處理、存儲個人隱私數(shù)據(jù)的單位,包括相關(guān)政府部門、高校、互聯(lián)網(wǎng)企業(yè)等都會按照這個標準來做。
標準中對于“數(shù)據(jù)控制者”,需要承擔什么樣的責任,對個人數(shù)據(jù)要實施什么樣的安全防護,從管理和技術(shù)上都做了相應的要求。“收集或處理個人信息的系統(tǒng)管理者,肯定要承擔相應的安全管理責任的,國家在這一方面實際上早就有要求,比如信息系統(tǒng)誰建設(shè)誰運維,誰就要對安全負責。”陳興蜀說。
標準要求高,海淘網(wǎng)也不例外
“現(xiàn)在有很多人喜歡海淘,如何約束海外購物網(wǎng)站對公民個人信息的保護呢?”對此問題,陳興蜀告訴記者,《個人信息安全規(guī)范》國家標準是針對采集、處理中國公民個人信息的機構(gòu),不管是什么類型的機構(gòu),都要按照這個標準,“不能有效保護個人信息,滿足安全要求就不行”。
陳興蜀介紹,《個人信息安全規(guī)范》國家標準是今年申報正式立項,而研究工作是早就開展了,制定工作是在中央網(wǎng)信辦的指導下,北京測評中心,百度、騰訊、阿里等互聯(lián)網(wǎng)企業(yè),高校,公安相關(guān)部門,法律法規(guī)研究機構(gòu)等多方參與。
目前相關(guān)前期的研究工作已經(jīng)完成,進行了多輪研討,對標準草稿已經(jīng)修改了若干版本,并已經(jīng)開始在不同范圍征求專家意見。目前,正在征集信息與安全標準委員會委員意見,工作組將在10月中旬進行一次集中討論,把收集的意見再次整理、討論后,形成一個公開征求意見稿,順利的話,將在10月底、11月初在網(wǎng)上發(fā)布。
有了標準和規(guī)范,還應嚴格執(zhí)行
“目前內(nèi)部正在激烈討論的話題是——有規(guī)定,怎么去落地。”陳興蜀說,比如早就明確:單位的主要領(lǐng)導,應該作為信息安全第一責任人,對單位建設(shè)和運維的信息系統(tǒng),負有管理責任。“全面實施通信網(wǎng)絡(luò)實名制也是如此。”陳興蜀說,個人信息不合規(guī)交易、非法買賣的產(chǎn)業(yè)鏈等諸多現(xiàn)實,說明制度落地時,往往會因為商業(yè)運作等原因,找到一些監(jiān)管漏洞,使制度、規(guī)范落實不到位。有制度,并不代表實行,還需要有一套監(jiān)管措施,監(jiān)督這些制度實施。