个人信息安全 出路在何处
中国IDC圈4月10日报道:日前,中国首个“个人信息保护”专项国家标准《公共及商用服务信息系统个人信息保护指南》已制订完成,正按程序报批。这引发了一场对信息安全保护的讨论。
支持者认为在个人信息安全保护缺少专门法律规范的情况下,这一国家标准至少带来一些希望,将会强化对个人信息的保护。质疑者则认为该标准缺乏强制效力,形式大过实质。
实际上,国外在个人信息保护方面已取得不少进展,能为我们提供很多借鉴之处。
美国:自律模式
近日,美国信用卡账户信息遭“大规模”盗取,涉及万事达和威士国际组织等机构信用卡用户,波及账户数量可能多达1000万。这已不是万事达公司第一次遭遇信息泄密案。2005年,由于一个中间业务公司的安全漏洞,万事达公司4000万用户的银行资料被黑客获取。
2007年,美国TJX零售公司发生4500多万客户信息卡及保密资料丢失事件,导致其客户和银行业对其提起诉讼。2010年美国政府一项统计显示,一年中美国有1110万人的个人资料被盗窃,平均每20个成年人中就有1人的个人资料被盗窃,总共经济损失高达540亿美元。
美国对个人信息的保护起步比较早,且多采用行业自律模式。在互联网方面,美国在线隐私联盟于1998年公布了一份指导网络和其他电子行业隐私保护的指南。采取网络隐私认证计划,要求那些被许可在网站上张贴其隐私认证标志的网站必须遵守在线资料收集的行为规则,并且服从多种形式的监督管理。此外针对信息安全事故的增多,美国也颁布相关法律保护信息安全。
欧洲:法律保护
欧洲之前也经历过几次大的数据泄露事件。2007年,英国皇家税务及海关总署寄出的两张数据光盘丢失,上面有2500万人的姓名、住址及相关银行账户等信息,涉及人口将近英国总人口的一半。2008年10月,1700万名德国电信用户的个人数据遭泄露。
总体来说,欧洲在保护个人信息方面成效显著,这与欧盟采用严格的法律法规来加强信息保护不无关系。1995年欧盟通过《欧盟个人数据保护指令》,协调各国国内法以确保个人信息在欧盟范围内自由流动。各欧盟国家也分别制定国内的相关法律,保护信息安全。德国于1976年颁布《联邦资料保护法》,法国于1978年通过《法国自由、档案、信息法》,1984年英国制订《数据保护法》。
而为解决欧美之间不同的信息保护标准,欧盟与美国政府在2000年签订了个人信息保护“安全港”计划,对加入“安全港”计划的美国公司进行监管,在确保美国企业达到欧盟的较高保护标准的同时,维持美国长久以来一直采用的自律机制。
日本:保护意识强
在个人信息保护方面,日本是一个法律和民众意识都比较健全的国家,这也是经过很长时间才得以完善的。
2004年,雅虎公司一个外包员工偷盗了450万份个人信息,为此事件雅虎一共损失了100亿日元。2009年11月,美国生命保险日本分公司个人信息泄露累计32359件。
在上述背景下,日本制订了一系列保护个人信息安全的法律,将民间企业也纳入个人信息保护的调整范围内。2005年4月《个人信息保护法》开始生效,这是日本保护个人信息安全的根本法律。
日本企业在管理客户信息方面非常严格。从公司发出的邮件,公司管理人员和监管部门都严格审阅,公司的手提电脑一般不允许带出公司。一旦存有客户信息的电脑丢失,媒体就会争相报道,给公司带来极其恶劣的影响。