人物檔案

　　高熾揚，工業和信息化部計算機與微電子發展研究中心副主任。

　　對話背景

　　4月12日，工業和信息化部宣布《信息安全技術：公共及商用服務信息系統個人信息保護指南》(下稱“《指南》”)已編制完成、通過審議，上報至國家標準化管理委員會。該《指南》預計將于今年出臺。

　　近年來，國務院、銀監會、保監會等多部門已先后發布個人信息保護有關規章近200部，但個人信息泄露案件仍在近期呈集中爆發之勢。在此背景下，《指南》的出臺有何意義、還需填充哪些細化標準？立法滯后成因何在？公眾的自我保護訴求及保護意識現狀如何？近日，中國青年報記者專訪了《指南》主要起草人高熾揚。

　　中國青年報：如何看待《指南》出臺的意義？

　　高熾揚：即將出臺的《指南》是一個整體的標準、框架。這樣一來，個人用戶和相關機構都有了參照標準，行業主管部門也可以通過這些指標梳理和評價行業的發展現狀。

　　《指南》是個人信息領域的國家標準。在這一基礎上，還要根據各個相關行業的性質、需求出臺具體的管理要求、技術要求、評估準則。和個人信息打交道的行業包括醫療、保險、銀行、房屋中介、婚戀網站等等。各行業對個人信息保護的需求不相同，標準自然各異。比如對醫院而言，用戶的身高、體重等屬于一般信息，但是在婚戀網站上，這些就屬于敏感信息。所以，未來在基本框架的基礎上，還有很多細節需要填充。

　　中國青年報：為何該領域的立法停滯不前？

　　高熾揚：我認為，法律出臺需要兩個前提：其一是法律條文基礎，這需要法學界和行業主管部門、社會各界的共同認可。目前在這一領域，法律學術上的很多基本概念、立法角度、依據都尚未理清。

　　其二是出臺時機，即法律的出臺是否有需求。個人信息泄露案件頻發、用戶保護訴求增強都是近兩年集中出現的，因此造成了法律的滯后。但我認為，目前立法時機已經逐漸成熟了。我們要防止信息安全問題制約未來信息化的發展。

　　中國青年報：也有觀點認為，個人信息保護、采集涉及諸多相關領域和部門。正是各個行業、部門間的利益關系仍未理清，才導致了立法的停滯不前。對此你怎么看？

　　高熾揚：不同的行業、部門必然有各自的考慮和需求，有爭論是客觀存在的。在個人信息領域劃清其各自的權利和義務界限，需要一些時間。

　　中國青年報：對一些用戶而言，個人信息泄露會帶來哪些危害，仍是個比較抽象的概念。公眾的防范和自我保護意識仍較弱。你能舉例說明住址、財務狀況等信息泄露會給個人帶來哪些具體傷害嗎？

　　高熾揚：比如手機詐騙是常見的犯罪手段。近幾年，這一犯罪手段衍生出了新的方式。犯罪分子在獲得了該號碼用戶的姓名及手機內聯系人的號碼后，往往會用一個新號碼短信通知聯系人：我換號碼了，我是某某某，請惠存。收到這樣的信息后，我們通常不會進一步確認短信的發送人是誰。這樣一來，犯罪分子使用的號碼就替代了原用戶的號碼。

　　這只是前期鋪墊。過了幾周后，犯罪分子便會用這個號碼向聯系人借錢。這樣一來，整個詐騙環節的可信度就增強了很多。這個事例僅僅是個人信息泄露危害性的冰山一角。還有許多數目巨大的商業詐騙也都源自個人信息泄露。

　　中國青年報：目前，個人信息泄露的主要渠道是什么？

　　高熾揚：在調研中，我們發現近八成的個人信息泄露源自信息所有者的內部作案。但調研還發現，在內部泄露事件中，泄露主體大多是員工個人，而非相關機構。原因在于，對于某一機構而言，出售用戶信息所獲得的回報和因此造成的經濟及名譽損失不成比例。大部分企業還是能夠做好自律工作的。但對于某些個人員工而言，出售用戶信息帶來的收入確實可觀。

　　這暴露了一個問題：正因作為信息管理者的相關機構并未有效履行自身職責，才使得技術和管理制度上存在漏洞，導致客戶信息泄露。因此，如何彌補這些漏洞，才是相關機構應當反思的。

　　在近年調研中，我們發現作為信息的管理者，一些機構缺乏起碼的防范意識。比如在其內部手機、電腦等電子設備的使用，應當嚴格限制；比如存貯個人信息電腦的安裝位置要有所注意，不能屏幕直接沖外；比如用戶信息在使用之后，應當做到及時徹底刪除；比如應嚴格限制可能接觸到用戶信息的人群，等等。

　　中國青年報：在當前技術、法律保護缺失的背景下，個人用戶應當具備哪些防范意識？

　　高熾揚：目前，個人用戶對信息保護的訴求很強烈，但保護意識普遍薄弱。比如復印身份證后，我們應當在四周寫上“本身份證用于某某用途”，以防別人拿作他用。對于無用的個人信息，我們應當做到自行粉碎或將重要信息劃去。在被要求填寫住址、年齡、單位、身份證號等信息時，我們腦海中要有所警惕：我需要提供這些信息嗎？比如在商場辦會員卡，其實只需填寫姓名就足夠了，其他信息理應拒絕提供。

　　對個人而言，最為重要的信息包括身份、財產、位置三方面。還有，信息的加工和處理環節，個人用戶無法參與和控制，但收集和刪除環節則是我們可以改善的。

　　個人信息豈能成為“黑色商品”

　　本報記者 駱沙

　　據媒體報道，《河北省信息化條例(草案)》已正式提交河北省人大常委會審議。針對非法獲取、出售或以其他方式提供他人個人信息的公共機構，草案規定最高將處以五十萬元罰款。構成犯罪的，將依法追究刑事責任。

　　該草案的出臺之所以備受關注，源自近段時間，國內集中爆發多起個人信息泄露事件。不久前，銀行內部員工泄露并出售客戶信息牟利事件曝光。2011年年底，我國互聯網史上最大規模的用戶信息泄露事件爆發，多家社交網站幾千萬用戶賬號及密碼遭到泄露……

　　近日，在某知名房屋中介公司登記售房信息后，業主李星的電話便一刻不得安寧。“房產交易需要提供大量個人信息，包括我的單位、住址、貸款數額等 等。如果我的售房信息能夠被迅速共享，那么誰能保證其他信息不會？”她說，“更蹊蹺的是，房子剛一賣出，騷擾電話立刻停了。信息傳播之迅速讓人覺得后 怕。”

　　“這種感覺就像是‘不知何處有一雙監視的眼睛’。”她說。

　　有過類似經歷的用戶不在少數，而涉及“泄密”的行業更是涵蓋了銀行、房屋中介、保險、醫療、社交網站、電信等近十種。

　　“對于技術原因造成信息泄露，管理者可通過技術升級補救、避免，比如增加密碼強度、嚴格禁止無關人員訪問數據庫等等。對于主觀故意性質的行為，則必須用制度約束?！敝袊浖u測中心主任助理朱璇說。

　　據了解，近日在這一領域的制度建設過程中，除了河北省擬立法，我國首個個人信息保護專項國家標準亦呼之欲出?！缎畔踩夹g：公共及商用服務信息系統個人信息保護指南》(下稱“《指南》”)預計將于今年出臺。

　　“《指南》出臺最重要的意義是明確了個人信息保護相關的基本概念、原則和要求?！敝扈f。對于目前仍備受爭議的“個人信息”的定義，《指南》報 批稿中規定，“可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。個人信息可以分為個人敏感信息和個人 一般信息。”

　　“通過這些信息能否識別并定位到具體個人？如果可以，就屬于個人信息的范疇。”朱璇說。

　　除此之外，根據信息泄露帶來的危害程度不同，《指南》進一步劃分為個人信息和個人敏感信息。

　　“如果對內容敏感程度不加區分，會造成管理代價過高。在被獲取信息時，《指南》區分了‘明示同意’和‘一般同意’。前者是針對敏感信息而言；后 者針對普通個人信息，只需要個人用戶默許即可收集。這亦降低了個人用戶提供信息的時間、精力成本。”工業和信息化部計算機與微電子發展研究中心副主任高熾 揚說。

　　概念明確后，《指南》還理清了參與主體、收集周期等內容。“總體而言，我將《指南》概括為明確并落實了‘三類人’在信息收集的‘四個階段’如何遵循‘八個原則’?！备邿霌P說。

　　朱璇認為，出臺《指南》的意義是給收集和使用機構提出規范要求，指導其從收集、加工、轉移到刪除各個階段如何保護個人信息。但是，《指南》中對于“泄露主體”及“信息泄露的危害程度”尚未明確定義。

　　“標準可以用來規范行為，但無法代替法律的約束力?！彼f，“法律的缺失不該成為相關機構免責的借口?！l收集誰保護’，收集和使用個人信息的機構必須負起責任。我們不應要求個人用戶具備完整的法律和技術知識。在這個問題上，個人用戶本來就處于弱勢?！?/FONT>