個人信息保護將出臺國標 明確使用后立即刪除

近日，工信部直屬的中國軟件測評中心透露，他們聯合30多家單位起草的《信息**技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審，正報批國家標準。

工信部**協調司副司長歐陽武介紹說，這個指南能為行業開展自律工作提供了很好的參考，為企業處理個人信息制定了行為準則。據介紹，我國信息技術保護不容樂觀，甚至已形成利用個人信息從事非法獲利的黑色鏈條。特別是去年年底揭露出的中國互聯網*大規模的泄密事件，將個人信息保護推向了風口浪尖。

許多發達國家很早已開始個人信息的保護研究和立法工作。我國近年來也啟動了個人信息保護的相關工作。

去年，國內信息**標準化技術委員會提出制定個人信息保護指南。這個委員會主要從事信息**標準化工作，現任主任由工信部副部長楊學山兼任。

個人信息保護指南的全稱是《信息**技術、公共及商用服務信息系統個人信息保護指南》，標準由工信部直屬的中國軟件測評中心牽頭，聯合近30家單位起草。

該中心常務副主任黃子河透露說，指南目前還在等待批準文號，但其*終的發布應是“指日可待”。但這個指南并非國家強制性標準。

■ 焦點

個人信息用后立即刪除

在個人信息**缺少專門法律規范時，一部行業標準成為業內的希望。

“去年正式通過了評審，報批國家標準”，中國電子信息產業發展研究院院長、中國軟件評測中心主任羅文希望今年能通過這項標準，以拓展個人信息保護的體系。

《個人信息保護指南》對個人信息的處理包括收集、加工、轉移和刪除四個主要環節，其中還提出了個人信息保護的原則。

工信部**協調司副司長歐陽武介紹，“這個原則包括目的明確、*少使用、公開告知、個人同意、質量保證、**保障、誠信履行和責任明確等八項。”

“*少使用”的原則就是獲取一個人的信息量時，只要能滿足使用的目的就行。

黃子河舉例說，一些網站本是辦一個很小的事，卻讓用戶填包括家庭住址、手機號在內等很多信息，這就不符合“*少使用”原則。

“**保障”則是要個人信息管理者一旦收集了個人信息，就必須建立一套個人信息保護制度，明確責任人和內部管理流程，以及應對個人信息泄露的風險。

中國軟件測評中心的副主任高熾揚估計，個人信息泄露中70%-80%屬內部作案，這是“**保障”原則沒能落實好所致。

他介紹說，一些商業公司掌握大量個人信息，由于管理制度疏漏，一些內部員工未經授權就能獲取客戶信息。

依照《個人信息保護指南》，在收集個人信息階段告知的“使用目的”達到后應立即刪除個人信息。

高熾揚說，有次，他在某航空公司網站購買機票，使用電話支付的時候，工作人員搜集了他的支付信息：姓名、身份證號、信用卡號和信用卡的*后三位支付號碼。購票成功。

但是，過段時間他再去購票時，對方問他，“您還是使用卡號末四位是****的信用卡支付嗎？如果是，只要告訴我就可以了。”

“（這家公司）存儲了我的信息。”3月26日，高熾揚一邊講述一邊搖頭。

高熾揚說，他所經歷的航空公司電話訂票的經歷，就是航空公司在達到此次訂票目的后，未能及時刪除客戶信息。

信息保護指南非強制標準

“為了經濟效益，無利不起早。”高熾揚估計，目前沒有哪個行業不存在信息泄露。

比如孕婦生完孩子剛回家，賣奶粉的電話就過來了，病人檢查完身體，檢查單還沒看懂，相應的醫藥公司就已經打電話賣藥來了。

中國軟件評測中心研究員劉陶把個人信息比喻成“很多錢裝在紙糊的銀行里，很容易被黑客破解。”據他們調查，公眾*關心的金融、電信等領域的個人信息**。

而讓人擔憂的是，這個指南標準不是強制性標準，甚至也不是推薦性標準，標準通過會對行業起到多大的規范效力，仍待觀察。

中國軟件評測中心主任助理朱璇說，此次個人信息安國內家標準“屬于技術指導文件”。

國家標準分為三種，一個是強制性標準，一個是推薦性標準，一個是指導性技術文件，標準可以作為參考。而國家強制性標準多在食品**領域。

不過，黃子河認為，標準適用于除了政府機關等行使公共管理職能以外的各類組織和機構，特別是電信、醫療等涉及個人敏感信息比較多的服務機構。