(记者 舒翔宇)昨日,四川大学网络空间安全研究院常务副院长陈兴蜀荣获“网络安全优秀教师”称号。在随后的新闻发布会上,陈兴蜀透露,目前她正参与研究《信息安全技术个人信息安全规范》国家标准,如顺利的话将在11月前在网上公布《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)国家标准的公开征求意见稿。
针对“数据控制者”制定的管理标准
陈兴蜀介绍,正在制定的《个人信息安全规范》国家标准是从技术、管理的要求角度来谈,包括从获取个人信息、存储处理到转移或发布个人信息应该坚持的个人信息保护基本原则。
这个标准主要针对“数据的控制者”,即凡是涉及采集、处理、存储个人隐私数据的单位,包括相关政府部门、高校、互联网企业等都会按照这个标准来做。
标准中对于“数据控制者”,需要承担什么样的责任,对个人数据要实施什么样的安全防护,从管理和技术上都做了相应的要求。“收集或处理个人信息的系统管理者,肯定要承担相应的安全管理责任的,国家在这一方面实际上早就有要求,比如信息系统谁建设谁运维,谁就要对安全负责。”陈兴蜀说。
标准要求高,海淘网也不例外
“现在有很多人喜欢海淘,如何约束海外购物网站对公民个人信息的保护呢?”对此问题,陈兴蜀告诉记者,《个人信息安全规范》国家标准是针对采集、处理中国公民个人信息的机构,不管是什么类型的机构,都要按照这个标准,“不能有效保护个人信息,满足安全要求就不行”。
陈兴蜀介绍,《个人信息安全规范》国家标准是今年申报正式立项,而研究工作是早就开展了,制定工作是在中央网信办的指导下,北京测评中心,百度、腾讯、阿里等互联网企业,高校,公安相关部门,法律法规研究机构等多方参与。
目前相关前期的研究工作已经完成,进行了多轮研讨,对标准草稿已经修改了若干版本,并已经开始在不同范围征求专家意见。目前,正在征集信息与安全标准委员会委员意见,工作组将在10月中旬进行一次集中讨论,把收集的意见再次整理、讨论后,形成一个公开征求意见稿,顺利的话,将在10月底、11月初在网上发布。
有了标准和规范,还应严格执行
“目前内部正在激烈讨论的话题是——有规定,怎么去落地。”陈兴蜀说,比如早就明确:单位的主要领导,应该作为信息安全第一责任人,对单位建设和运维的信息系统,负有管理责任。“全面实施通信网络实名制也是如此。”陈兴蜀说,个人信息不合规交易、非法买卖的产业链等诸多现实,说明制度落地时,往往会因为商业运作等原因,找到一些监管漏洞,使制度、规范落实不到位。有制度,并不代表实行,还需要有一套监管措施,监督这些制度实施。