評價信息
中文名:個人信息保護評價
英文名:Personal information protection assessment
簡 稱:PIPA
評價機構:大連軟體行業協會
建立背景
國際上對個人信息保護的要求也對我國產生了影響,特別是在國際軟體與信息服務外包業務的競爭中,我國與其它國家比較,在信息安全保護意識與規範方面是一大弱項,特別是個人信息保護意識比較差,這造成國際上在選擇外包企業時對中國企業的不信任,影響了我國軟體及信息服務外包業務的發展。為了提高我國軟體與信息服務業相關企業的個人信息保護能力,提高企業在國際上的信譽和競爭力,大連軟體行業協會從2005年起開展軟體與信息服務行業的個人信息保護工作。先後制定、頒布和實施了《大連軟體及信息服務業個人信息保護規範》和《軟體及信息服務業個人信息保護規範》—遼寧省地方行業標準。2008年又組織專家制定了遼寧省全行業的《個人信息保護規範》DB21/T 1628-2008。同時,率先在大連建立了軟體及信息服務業個人信息保護評價體系(PIPA),開展行業內個人信息保護可信度認證。
目的意義
PIPA是針對使用自動或非自動處理全部或部分個人信息的單位而開展的個人信息保護能力的評價。主要針對軟體及信息服務業,特別是外包企業。目的是幫助企業建立個人信息保護規章制度、運行實施並不斷改進和完善,使單位的個人信息保護能力和單位信息安全級別得到提高,使客戶、消費者和員工的個人信息得到有效保護。建立個人信息保護管理體系的單位可以通過評價,得到個人信息保護合格證書和PIPA標誌使用權,以證明單位的個人信息保護能力和水平,以此得到客戶和消費者的信任。
與日本個人信息保護認證(P-mark)進行互認
2008年6月19日中日兩國“個人信息保護認證體系”互認簽字儀式在大連舉行。日本的P-MARK認證與中國的PIPA評價通過兩年的合作,雙方認為在評價制度、方法、水平等方面已達到一致。雙方同意全面相互承認,並可共用同一認證標誌。
這是國際上首個兩國互相全面承認的個人信息保護認證體系的合作項目。它標誌著中日兩國在信息交流方面的壁壘與障礙已消除。能大大促進我國信息服務外包產業的發展。
大連市市長夏德仁、工信部、商務部、省信息產業廳的領導參加了簽字儀式。夏德仁市長在儀式上強調了開展個人信息保護的重要性。並宣布市政府對此項工作的支持。即在三年內開展PIPA評價的企業,政府將全額報銷評價費用。如違反了個人信息保護規範,出現了安全事故,該企業將被取消一切該享受的優惠政策。
國際上個人信息保護的情況
伴隨著網路的迅速發展,國際間的信息交流快速增加,特別是網上金融交易和網上購物的實現,帶來大量個人信息的流動,非法收集、利用、公開個人信息的案件也隨之出現,個人信息的保護已經成為各國關注的重要問題。許多國家都已經制定了個人信息保護相關法規和標準,國際組織、機構和國家已經建立的個人信息保護方面的主要法規有:
歐盟理事會《有關個人數據自動化處理的個人保護協定》、國際經合組織《關於保護隱私和個人數據跨國流通指導原則》、歐盟《1995年個人數據保護指南》、《瑞典個人數據法》、歐盟《2002年隱私和電子通訊指令》、《美國隱私權法》、《加拿大個人數據保護法》、英國《數據保護法》、美國《電子通信隱私法》、美國《網際網路保護個人隱私的政策》、日本《
個人信息保護法》等。
有關個人信息保護的原則最重要的是國際經合組織在1980年頒布的《關於保護隱私和個人數據跨國流通指導原則》中有關個人信息保護的八項原則,許多國家以此為依據制定本國的個人信息保護法。這些原則包括:收集限制原則、數據質量原則、列明目的原則、使用限制原則、安全保護原則、公開原則、個人參與原則。
這些個人信息的保護原則體現了對人的尊重和對個人信息的規範管理,在保護個人信息的同時,讓個人信息能真正實現自身價值和更好地為公眾服務。個人信息的保護不是為了限制個人信息的流動,而是要對個人信息的流動進行正規的管理和規範,以保證能符合信息主體同意的目的,保持信息的正確、有效和安全。保證個人信息能夠在合理、合法的狀態下流動。
相關法規
1、中華人民共和國憲法
第三十三條 凡具有中華人民共和國國籍的人都是中華人民共和國公民。
中華人民共和國公民在法律面前一律平等。
國家尊重和保障人權。
第三十八條中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。
第三十九條中華人民共和國公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
第四十條中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規定的程式對通信進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。
第四十一條中華人民共和國公民對於任何國家機關和國家工作人員,有提出批評和建議的權利;對於任何國家機關和國家工作人員的違法失職行為,有向有關國家機關提出申訴、控告或者檢舉的權利,但是不得捏造或者歪曲事實進行誣告陷害。
對於公民的申訴、控告或者檢舉,有關國家機關必須查清事實,負責處理。任何人不得壓制和打擊報
由於國家機關和國家工作人員侵犯公民權利而受到損失的人,有依照法律規定取得賠償的權利。
第四十七條中華人民共和國公民有進行科學研究、文學藝術創作和其他文化活動的自由。國家對於從事教育、科學、技術、文學、藝術和其他文化事業的公民的有益於人民的創造性工作,給以鼓勵和幫助。
第五十一條中華人民共和國公民在行使自由和權利的時候,不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利。
中華人民共和國憲法修正案(2004年)
第二十四條憲法第三十三條增加一款,作為第三款:“國家尊重和保障人權。”第三款相應地改為第四款。
2、中華人民共和國民法通則
第九十九條公民享有姓名權,有權決定、使用和依照規定改變自己的姓名,禁止他人干涉、盜用、假冒。
法人、個體工商戶、個人合夥享有名稱權。企業法人、個體工商戶、個人合夥有權使用、依法轉讓自己的名稱。
第一百條公民享有肖像權,未經本人同意,不得以營利為目的使用公民的肖像。
第一百零一條公民、法人享有名譽權,公民的人格尊嚴受法律保護,禁止用侮辱、誹謗等方式損害公民、法人的名譽。
第一百零二條公民、法人享有榮譽權,禁止非法剝奪公民、法人的榮譽稱號。
3、中華人民共和國婦女權益保障法(2005修正)
主席令[2005]第40號
第四十二條婦女的名譽權、榮譽權、隱私權、肖像權等人格權受法律保護。
禁止用侮辱、誹謗等方式損害婦女的人格尊嚴。禁止通過大眾傳播媒介或者其他方式貶
低損害婦女人格。未經本人同意,不得以營利為目的,通過廣告、商標、展覽櫥窗、報紙、期刊、圖書、音像製品、電子出版物、網路等形式使用婦女肖像。
4、中華人民共和國未成年人保護法
第三十九條任何組織或者個人不得披露未成年人的個人隱私。
對未成年人的信件、日記、電子郵件,任何組織或者個人不得隱匿、毀棄;
除因追查犯罪的需要,由公安機關或者人民檢察院依法進行檢查,或者對無行為能力的未成年人的信件、日記、電子郵件由其父母或者其他監護人代為開拆、查閱外,任何組織或者個人不得開拆、查閱
5、中華人民共和國郵政法
第四條 通信自由和通信秘密受法律保護。除因國家安全或者追查刑事犯罪的需要,由公安機關、國家安全機關或者檢察機關依照法律規定的程式對通信進行檢查外,任何組織或者個人不得以任何理由侵犯他人的通信自由和通信秘密。
第六條 除法律另有規定外,郵政企業和郵政工作人員不得向任何組織或者個人提供用戶使用郵政業務的情況。
6、中華人民共和國計算機信息網路國際聯網管理暫行規定實施辦法
第十八條用戶應當服從接入單位的管理,遵守用戶守則;不得擅自進入未經許可的計算機系統,篡改他人信息;不得在網路上散發惡意信息,冒用他人名義發出信息,侵犯他人隱私;
不得製造、傳播計算機病毒及從事其它侵犯網路和他人合法權益的活動。
用戶有權獲得接入單位提供的各項服務;有義務交納費用。
7、網際網路電子郵件服務管理辦法
第九條網際網路電子郵件服務提供者對用戶的個人註冊信息和網際網路電子郵件地址,負有保密的義務。
網際網路電子郵件服務提供者及其工作人員不得非法使用用戶的個人註冊信息資料和互聯
網電子郵件地址;未經用戶同意,不得泄露用戶的個人註冊信息和網際網路電子郵件地址,但法律、行政法規另有規定的除外。
8、醫務人員醫德規範及實施辦法
(五)為病人保守醫密。實行保護性醫療, 不泄露病人隱私與秘密。
醫療機構病歷管理規定
第五條醫療機構應當嚴格病歷管理,嚴禁任何人塗改、偽造、隱匿、銷毀、搶奪、竊取病歷。
第六條除涉及對患者實施醫療活動的醫務人員及醫療服務質量監控人員外,其他任何機構和個人不得擅自查閱該患者的病歷。
因科研、教學需要查閱病歷的,需經患者就診的醫療機構有關部門同意後查閱。閱後應當立即歸還。不得泄露患者隱私。
9、中華人民共和國傳染病防治法
第六十八條 疾病預防控制機構違反本法規定,有下列情形之一的,由縣級以上人民政府衛生行政部門責令限期改正,通報批評,給予警告;對負有責任的主管人員和其他直接責任人員,依法給予降級、撤職、開除的處分,並可以依法吊銷有關責任人員的執業證書;構成犯罪的,依法追究刑事責任:
……………………..
(五)故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料的。
10、中華人民共和國商業銀行法
第六條 商業銀行應當保障存款人的合法權益不受任何單位和個人的侵犯。
11、中華人民共和國身份證書法
第六條 居民身份證式樣由國務院公安部門制定。居民身份證由公安機關統一製作、發放。
居民身份證具備視讀與機讀兩種功能,視讀、機讀的內容限於本法第三條第一款規定的項目。
公安機關及其人民警察對因製作、發放、查驗、扣押居民身份證而知悉的公民的個人信息,應當予以保密。
第十五條 人民警察依法執行職務,遇有下列情形之一的,經出示執法證件,可以查驗居民身份證:
(一)對有違法犯罪嫌疑的人員,需要查明身份的;
(二)依法實施現場管制時,需要查明有關人員身份的;
(三)發生嚴重危害社會治安突發事件時,需要查明現場有關人員身份的;
(四)法律規定需要查明身份的其他情形。
有前款所列情形之一,拒絕人民警察查驗居民身份證的,依照有關法律規定,分別不同情形,採取措施予以處理。
任何組織或者個人不得扣押居民身份證。但是,公安機關依照《中華人民共和國刑事訴訟法》執行監視居住強制措施的情形除外。
12、中華人民共和國母子保健法
第三十四條 從事母嬰保健工作的人員應當嚴格遵守職業道德,為當事人保守秘密。
13、中華人民共和國統計法
第十四條 屬於私人、家庭的單項調查資料,非經本人同意,不得泄路。
第三十條 統計機構、統計人員違反本法規定,泄露私人、家庭的單項調查資料或者統計調查對象的商業秘密,造成損害的,依法承擔民事責任,並對負有直接責任的主管人員和其他直接責任人員依法給予行政處分。
14、最高人民法院關於審理名譽權案件若干問題的解釋
(四) 公布和宣揚他人隱私。未經他人同意,擅自公布他人隱私材料或者以口頭、書面形式宣揚他人隱私,對公民的名譽造成嚴重影響的,也是侵害名譽權的行為。例如,醫療衛生單位的工作人員擅自公布患者患有性病、愛滋病、麻風病、淋病等病情,致使患者名譽受到損害的。如果傳播公民的隱私,但對其名譽沒有造成嚴重後果的,可以不認定為侵害名譽權的行為,但構成侵害隱私權。
15、《民事訴訟法》(1991年)、《刑事訴訟法》(1996年)、《行政訴訟法》(1996年)都有“涉及個人隱私的案件不公開審理的規定。
16、《收養法》(1998年)
第二十二條 收養人、送養人要求保守收養秘密的,其他人應當尊重其意願,不得泄露。
17、《商業銀行法》(1995年)
第二十九條:“對個人儲蓄存款、商業銀行有權拒絕任何單位或者個人查詢。”
18、《個人存款賬戶實名制規定》
第八條 金融機構及其工作人員負有為個人存款賬戶的情況保守秘密的責任。
金融機構不得向任何單位或者個人提供有關個人存款賬戶的情況,並有權拒絕任何單位或者個人查詢、凍結、扣劃個人在金融機構的款項;但是,法律另有規定的除外。
19、《愛滋病監測管理的若干規定》(1987年)
第二十一條 任何單位和個人不得歧視愛滋病病人、病毒感染者及其家屬。不得將病人和感染者的姓名、住址等有關情況公布或傳播。
20、網際網路電子公告服務管理規定
第十二條 電子公告服務提供者應當對上網用戶的個人信息保密,未經上網用戶同意不得向他人泄露,但法律另有規定的除外。
21、中華人民共和國刑法修正案(七)
七、在刑法第二百五十三條後增加一條,作為第二百五十三條之一:“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金