从关于首部个人信息安全国家标准的对话谈起

       2月1日起，我国首部个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施，这标志着我国个人信息保护工作正式进入“有标可依”阶段。

       《信息安全技术公共及商用服务信息系统个人信息保护指南》对个人信息保护作出了怎样的规定？其出台对个人信息保护会起到什么作用？带着这些问题，记者采访了参与起草《指南》的中国软件评测中心副主任朱璇。

       个人信息保护须管理和技术双管齐下

       问：当前个人信息泄露事件频发，信息服务从业者在处理公民个人信息过程中，主要在哪些环节出现了问题？

       答：目前，许多企业在个人信息处理过程中保护措施还存在不足，在个人信息收集、加工、转移、删除各个阶段都可能存在一些问题。例如收集阶段，目前过度收集客户信息的问题广泛存在，许多企业在收集个人信息时没有对个人信息主体进行明确告知；在加工阶段，由于个人信息管理者未对信息系统进行必要的安全防护，导致黑客轻易入侵数据库获得个人信息的事件时常发生；在删除阶段，由于企业内部管理漏洞，未按要求在使用完个人信息后立即删除，一些内部人员受利益驱使向外泄露历史信息的事件也屡屡曝光。

       因此，只有参照《指南》对个人信息处理的各个阶段进行梳理，规范企业行为，才能有效减少个人信息泄露事件的发生。个人信息保护要从管理和技术两方面双管齐下，个人信息管理者应制定完善的个人信息保护管理制度，同时在技术上采取必要的安全保障手段。

       手机软件收集用户信息违背“公开告知”原则

       问：《指南》确立了“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行、责任明确”八项原则，规范信息服务从业者的行为。在公民个人信息的使用和处理过程中，涉及比较多的是哪些原则？

       答：从目前已发生的个人信息相关安全事件来说，比较多的涉及“目的明确”、“最少够用”、“公开告知”、“个人同意”、“安全保障”等原则。例如智能手机上的某些软件， 在收集手机用户个人信息的时候，并没有明确告知主体收集相关个人信息的目的，即违反了“目的明确”和“公开告知”原则。中国软件评测中心出具的《2012年Android手机软件个人信息安全测评报告》显示大量手机软件会自动收集用户的IMEI号、上传用户通讯录等，违背了“个人同意”原则或“公开告知”原则。

       此外，2012年爆发的大量互联网网站用户数据泄露事件，也说明大量的网站没有采取足够的安全措施保障用户个人信息的安全，一些网站将用户口令直接明文传输并存储在服务器端，就违背了“安全保障”原则要求。

       但我们必须明确，《指南》所提出的八项原则是个人信息处理整个周期中需要遵守的基本原则，只有八项原则共同作用才能使信息系统中的个人信息得到基本保护，达到《指南》的基准要求。

       未来将选择合适企业开展标准实施试点

       问：《指南》属于技术指导文件，不具有强制执行力，有人质疑此举意义不大，您认为其出台的最大意义是什么？未来，又将通过哪些后续措施，促进其“落地”？

       答：作为第一部个人信息保护相关的国家标准，《指南》可以说是我国个人信息保护工作的一个里程碑。《指南》适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构，我们可根据具体国情，开展“标准先行”，在《指南》的基础上促进行业自律、企业自律，有效地推动我国个人信息保护立法进程。

       未来，我们计划选择合适的企业，导入个人信息保护国家标准实施试点工作。在个人信息保护敏感度较高的行业内选择具体企业，根据标准内容开展个人信息保护相关标准的试点示范和应用推广工作，在验证企业管理制度和技术规范有效性的同时，实施对企业相关人员个人信息保护的资格认定与培训。同时，辅导机构运作，指导企业按照《指南》开展自查工作并接受第三方测评机构的检查。通过试点工作，可以实践标准体系提出的各项工作任务，培养一批具有典型示范、辐射和带动作用的样板企业，对试点工作经验进行总结并进一步对标准加以推广。

       从以上的对话我们可以看出，自国家在去年年底审议通过关于保护个人信息安全的《决定》之后，这部标准在两个月之后就相应出台，虽还没达到法律的级别，但可以预见这将是今后信息安全建设的指导性规范。而从国家出台关于信息安全相关的决定和标准的节奏来看，国家再进一步加快法治建网的脚步。相信再不久的将来我国依法建网，依法治网的时代就要到来。同时《决定》和《标准》也都同时指出了信息安全相关技术的重要性，光有法律而没有技术的网络治理，将会成为一个没有头的苍蝇，在信息时代网络的大沼泽中迷失方向，更会被不法分子和黑客有可趁之机。所以要完善依法治网的工作，必须有技术作为保障。

       而在所有信息安全技术中，加密技术是最有效的数据安全防护手段。因为加密技术特点是从数据本源出发，对于数据进行加密处理从而改变其原本内容的形式来达到安全防护的效果。就实际效果来说他是最彻底和最根本的，因为被加了密的数据即使被偷了、被别人窥视了，由于加密技术的保护，那些不法分子必须破译数据才能得到他们想要的，而这时需要相当长的一段时间和技术支持，这就为国家法制机构及时发现犯罪问题，追查犯罪分子提供了时间的保障。

       同时面对现在网络多样的环境，现今数据的加密防护需要能适应多种环境的变化和需求，而能达到这个效果的加密技术就是多模加密技术；

       多模加密技术是采用国际成熟的对称密钥和非对称密钥相结合的技术。同时多模加密本身是一种能提供满足多种使用场景，采用多种加密策略的数据透明加密技术。在多模加密模式中，用户创建秘文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式（但需要可以修改和查看别人的密文即高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文即阅读者模式）、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。

       这种灵活的加密技术能适应多样的加密环境，同时能根据用户不同的加密需求做出相应的加密模式的改变。这种多变的加密技术正好符合现今个人信息安全多样复杂的安全形势，也是国家执行个人信息安全防护的有效技术支持。而作为信息安全的专业生厂商的山丽网安，旗下的加密软件、数据防泄漏产品都是采用这种多模加密技术的。

       从《决定》到《标准》用了短短的两个月时间，说明国家对于信息安全的高度重视。同时现在是针对个人的信息安全，今后可能会扩充发展至企业、政府单位、甚至是整个国家的信息体系。所以为了确实保障信息安全建设的顺利发展，必须利用与之相配套的安全技术才能稳步向前，而加密软件就是其中一种。信息安全是国家大事，有了信息安全的保障，国家才能在这个信息时代的大浪潮中屹立不倒！

       关键词：加密软件 信息安全