對“數據控制者”將有嚴格管理標準

　　記者舒翔宇

　　昨日,四川大學網路空間安全研究院常務副院長陳興蜀榮獲“網路安全優秀教師”稱號。在隨後的新聞發佈會上,陳興蜀透露,目前她正參與研究《資訊安全技術 個人資訊安全規範》國家標準,如順利的話將在11月前在網上公佈《資訊安全技術 個人資訊安全規範》(以下簡稱《個人資訊安全規範》)國家標準的公開徵求意見稿。

　　針對“數據控制者”制定的管理標準

　　陳興蜀介紹,正在制定的《個人資訊安全規範》國家標準是從技術、管理的要求角度來談,包括從獲取個人資訊、存儲處理到轉移或發佈個人資訊應該堅持的個人資訊保護基本原則。

　　這個標準主要針對“數據的控制者”,即凡是涉及採集、處理、存儲個人隱私數據的單位,包括相關政府部門、高校、網際網路企業等都會按照這個標準來做。

　　標準中對於“數據控制者”,需要承擔什麼樣的責任,對個人數據要實施什麼樣的安全防護,從管理和技術上都做了相應的要求。“收集或處理個人資訊的系統管理者,肯定要承擔相應的安全管理責任的,國家在這一方面實際上早就有要求,比如資訊系統誰建設誰運維,誰就要對安全負責。”陳興蜀説。

　　標準要求高,海淘網也不例外

　　“現在有很多人喜歡海淘,如何約束海外購物網站對公民個人資訊的保護呢?”對此問題,陳興蜀告訴記者,《個人資訊安全規範》國家標準是針對採集、處理中國公民個人資訊的機構,不管是什麼類型的機構,都要按照這個標準,“不能有效保護個人資訊,滿足安全要求就不行”。

　　陳興蜀介紹,《個人資訊安全規範》國家標準是今年申報正式立項,而研究工作是早就開展了,制定工作是在中央網信辦的指導下,北京測評中心,百度、騰訊、阿裏等網際網路企業,高校,公安相關部門,法律法規研究機構等多方參與。

　　目前相關前期的研究工作已經完成,進行了多輪研討,對標準草稿已經修改了若干版本,並已經開始在不同範圍徵求專家意見。目前,正在徵集資訊與安全標準委員會委員意見,工作組將在10月中旬進行一次集中討論,把收集的意見再次整理、討論後,形成一個公開徵求意見稿,順利的話,將在10月底、11月初在網上發佈。

　　有了標準和規範,還應嚴格執行

　　“目前內部正在激烈討論的話題是——有規定,怎麼去落地。”陳興蜀説,比如早就明確:單位的主要領導,應該作為資訊安全第一責任人,對單位建設和運維的資訊系統,負有管理責任。“全面實施通信網路實名制也是如此。”陳興蜀説,個人資訊不合規交易、非法買賣的産業鏈等諸多現實,説明制度落地時,往往會因為商業運作等原因,找到一些監管漏洞,使制度、規範落實不到位。有制度,並不代表實行,還需要有一套監管措施,監督這些制度實施。