对加强国家数据主权保护的几点思考
来源:信息中心   作者:信息中心   点击数:5204   日期:2018-07-06   字体:【

内容导读:本文作者认为,《个人信息安全规范》以及其他系列的个人信息保护标准,作为社会普适的标准,力求以个人信息安全为目标,以管理为主线,以个人信息生命周期为导向,传递全社会适用的个人信息安全标准规则的意义,并与质量管理体系、服务管理体系、信息安全管理体系相互借鉴、融合,保证个人信息管理的科学性、有效性。

关键词: 个人信息 个人信息安全

 

一、国内外个人信息相关法律与标准的研究

目前,国内主要有3部法律,明确对应个人信息相关民事、刑事法律责任,以及若干个标准:

1)中华人民共和国刑法(《中华人民共和国刑法修正案(九)》(2015829日发布 2015111日实施);

2) 最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(2017320日由最高人民法院审判委员会第1712次会议、2017426日由最高人民检察院第十二届检察委员会第63次会议通过);

3) 《中华人民共和国网络安全法》(201761日实施);

4)《信息安全技术 公共及商用服务信息系统个人信息保护指南》GB/Z 28812-2012

5)《信息技术服务外包第2部分:数据(信息)保护规范》SJ/T 11445.2-2012

6)《信息安全技术 个人信息安全规范》GB/T 35273-2017

7)《企业个人信息安全管理规范》T/SIA 001-2017

8)《信息安全个人信息保护规范》DB21/T 1628.1-2012

……

国际上,《一般数据保护法案》(General Data Protection Regulation,是国内比较推崇的欧盟个人数据保护法律,2017年修订于1995年的《个人数据保护指令》,对中国的个人信息安全标准、法律建设起到很好的借鉴作用。

2009年,英国标准协会(BSI)发布了欧洲第一个个人信息保护标准,与《个人数据保护指令》相互救济,以应对由于严苛的法律引发的边界效应,该标准于20173月,根据GDPR的要求重新修订。

二、国内个人信息相关标准研究沿革

国内个人信息安全相关标准研制肇始于大连市软协。鉴于对日软件外包中个人信息安全的贸易壁垒发端,初期几乎完全模拟日本标准,至2012年开始形成完全自主的个人信息安全标准体系,至2016年,完成DB21/T 1628标准体系8+1个标准和相应的基础理论研究专著,启动研制DB21/T 2702个人信息安全管理体系评价标准体系。个人信息相关标准研究的沿革,可以分为3个发展阶段:第一个阶段即形成软件及信息服务业个人信息保护规范;第二个阶段即形成社会普适的个人信息保护规范;第三个阶段为形成相对完善的个人信息安全标准体系。大连的工作是奠基性、开创性的,获得了工信部的高度评价,并处于个人信息安全研究的前沿。

三、个人信息标准的基本概念

标准的核心概念如个人信息保护、个人信息安全、个人信息管理等等也在研究、实践和发展中趋近个人信息安全的本质。

个人信息保护,强调手段的必要性,基于保护的目的制定约束规则。个人信息保护是以手段(保护)为目的,研究与手段相关的法律适用、技术适用、管理适用、标准适用等的策略和方式方法;

个人信息安全,强调目标的可信性,基于安全目标建立个人信息安全框架;

个人信息管理,强调安全目标的基础性,基于管理主线,以个人信息生命周期为导向,建立个人信息管理框架。

不容忽视的是,目前存在多个版本、各种形式的个人信息相关标准,由于基本认知的偏差,个人信息安全标准的术语、概念、语境、体例、逻辑结构等等有很大的差异。值得引起注意。

四、标准与法律救济

法律救济是法律关系主体的合法权益受到侵犯并造成损害时,获得恢复和补救的法律制度。

标准与法律的互为救济,是在标准框架内的行业自律机制遇到法律瓶颈时寻求法律的支撑;相关法律在实施过程中可能出现的边界效应,亦需要标准的填充和补救。

1)《网络安全法》规范了基于网络的、与个人信息相关的行为、活动(仅针对个人信息安全);

2)刑法是泛社会的、规定犯罪、刑事责任和刑罚的法律,涵盖了基于网络的、与个人信息相关的行为、活动。

3)《网络安全法》关于个人信息安全的相关条款是粗粒度、不完备的,需要标准的救济;

4)《网络安全法》规定的相关人员、组织应承担的民事法律责任,涉及刑事法律责任,需要关于犯罪、刑事责任和刑罚法律的补充。

 

 

(作者:大连交通大学 郎庆斌)

 


地址:北京市海淀区学院南路55号中软大厦A座4层    邮编:100081

京ICP备05032270号-2    版权所有:中国软件行业协会

技术支持:易极天成科技集团有限公司    联系电话:028-83200222