2012年12月28日，第十一屆全國人民代表大會常務委員會第三十次會議通過了《關于加強網絡信息保護的決定》（以下簡稱《決定》），并即日施行。2013年2月1日，被稱為個人信息保護國家標準的《信息安全技術公共及商用服務信息系統個人信息保護指南》（以下簡稱《指南》）正式開始實施。短短兩個月，政策從制定到落實的步伐之快，從側面反映了我國網絡信息安全面臨的嚴峻考驗。那么，從《決定》到《指南》，我國信息安全保護工作取得了哪些進展？《人民郵電》報記者為此專門采訪了《指南》起草的主要參與者、中國軟件評測中心副主任朱璇，并約請專家對《決定》進行了深入解讀。

朱璇指出，《指南》屬國家標準“指導性技術文件”類，對利用信息系統處理個人信息的活動起指導和規范作用，目的是提高企業個人信息保護技術水平，促進個人信息的合理利用。該標準的出臺意味著我國個人信息保護工作正式進入“有標可依”的階段，擁有大量個人信息的企業將可據此對處理個人信息的信息系統及個人信息處理流程進行自查和第三方測評，共同創建保護個人信息的良好環境。

個人信息保護亟須引入國標

個人信息收集和處理已呈規模化和常態化，但是公眾和企業對個人信息保護和利益訴求缺乏統一認識，企業對個人信息的保護無法滿足個人的需求。建立個人信息保護國家標準和基于標準的測試評估機制是非常重要的。

記者：《指南》起草的出發點是什么？主要針對的是怎樣的信息安全形勢？

朱璇：隨著信息技術的廣泛應用和互聯網的不斷普及，個人信息收集和處理已成規模化和常態化，在社會、經濟活動中的重要價值日益凸顯。在利益的驅使下，非法收集、倒賣個人信息的黑色經濟鏈條已現端倪。近年來，個人信息泄露事件頻發，并呈現迅猛發展的態勢，2011年年底中國互聯網更是遭遇了史上最大規模的用戶信息泄露事件，多家大型網站的用戶數據被泄露，幾千萬用戶賬號和密碼被公開，給社會秩序和人民切身利益造成嚴重危害。2012年大規模用戶信息泄漏事件仍時有發生，越來越多的民眾遭受個人信息泄漏后各種騷擾和經濟損失。公眾和企業對個人信息保護和利益訴求缺乏統一認識，企業保護個人信息的水平參差不齊，企業對個人信息的保護無法滿足個人的需求。

針對當前國內缺乏相關標準規范，用戶缺乏制度保護、企業缺乏實施參考、政府缺乏監管依據等問題，建立個人信息保護國家標準和基于標準的測試評估機制是非常重要的。通過國標的引入，將為企業、個人信息保護水平的客觀評判提供可能。企業可以參考《指南》建立并規范內部運營機制，充分做好自律工作。監管部門和行業協會可以將《指南》標準作為依據，指導和規范企業行為，幫助企業提高管理和技術水平，對企業行為進行評估。社會公眾可通過《指南》更加詳細地了解信息系統處理個人信息的過程，提高自身保護意識。

《指南》將成信息保護重要支撐

在完善法律制度的同時，必須建立事前預防機制，由行業組織依據個人信息保護的通行原則并照顧到行業特點，制定個人信息保護的標準規范，采取行業自律的方式開展個人信息保護工作。

記者：不久前通過的《決定》與《指南》是怎樣的關系？

朱璇：《決定》將公民個人信息保護放在首要位置，提出要以法律形式保護公民個人及法人信息安全，并賦予政府主管部門必要的監管手段，表明國家懲治危害網絡信息安全行為以及保護公民合法權益的決心。

標準與法是相互依存的關系，法律制裁是事后懲戒機制，對制止和杜絕個人信息濫用有很好的威懾作用。在完善法律制度的同時，必須建立事前預防機制，由行業組織依據個人信息保護的通行原則并照顧到行業特點，制定個人信息保護的標準規范，采取行業自律的方式，開展個人信息保護工作。《指南》作為我國第一項個人信息保護專項國家標準，明確了信息系統個人信息保護的各方職責和個人信息屬主的權利，提出了信息系統個人信息處理過程中個人信息保護的行為規范。該標準的出臺不僅能夠幫助提高社會公眾的個人信息保護意識、保護個人合法權益，還能促進個人信息的合理利用，指導和規范利用信息系統處理個人信息的活動。

在《指南》正式實施之際恰逢人民代表大會上《決定》通過，《指南》的實施過程也是為《決定》保駕護航的過程；《指南》也將成為《決定》實施過程中的重要支撐，成為相關企業的執行規范和主管部門的監管依據。顯然，在個人信息保護這項持久工作中，《指南》的發布實施僅僅是萬里長征的第一步，我們將繼續致力于推動個人信息保護、推進聯盟成立等后續工作的開展。

“有標可依”化虛為實需過程

《指南》的各項要求內化為企業的實際行動還需要一個較長時間。一方面是理解和把握《指南》需要一個過程，另一方面參照指南完善企業流程也需要一個過程。相信隨著我國“個人信息保護”相關標準的逐步建立和完善，我國個人信息保護狀況有望得到很大改善。

記者：《指南》起草的組織形式和過程是怎樣的？過程中遇到了哪些理論和技術難題？

朱璇：《指南》標準制定過程受到各方關注，在標準征求意見的過程中，中國信息安全測評中心、國家信息技術安全研究中心、北京啟明星辰信息技術股份有限公司、北京百度網訊科技有限公司、北京金山安全軟件有限公司、深圳市騰訊計算機系統有限公司、奇虎360公司、北京百合在線科技有限公司、上海花千樹信息科技有限公司等單位都提出過建設性意見。標準的適用范圍、個人信息與個人“隱私”信息的區別、個人一般信息與敏感信息的界定也都經歷了幾輪討論和修訂，才最終得以明確。

記者：工信部在《指南》的起草過程中發揮了怎樣的作用？下一步在執行中又將承擔起怎樣的職能？

朱璇：自2008年工業和信息化部成立之始，工業和信息化部信息安全協調司就把保護個人信息安全作為網絡與信息安全保障工作的一項重要內容，先后開展了行業試點、標準編制、評估測試等工作。在《指南》標準的編制過程中，工業和信息化部信息安全協調司作為指導單位也傾注了大量心血。

《指南》已經出臺，但《指南》各項要求內化為企業的實際行動還需要一個較長時間。一方面是理解和把握《指南》需要一個過程，另一方面參照指南完善企業流程也需要一個過程。在《指南》實施實踐中，中國軟件評測中心在工業和信息化部的指導下，會進一步摸索經驗，加強交流，發揮企業自律組織的服務和協調作用，協助企業改進業務流程，提高個人信息保護水平。

下一步，我們可能會從標準宣貫培訓、倡導企業自律、推進第三方測評、選擇行業企業試點、引入認證標識等方面開展具體工作，確保《指南》標準的貫徹落實。