2012年12月28日，第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》（以下简称《决定》），并即日施行。2013年2月1日，被称为个人信息保护国家标准的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）正式开始实施。短短两个月，政策从制定到落实的步伐之快，从侧面反映了我国网络信息安全面临的严峻考验。那么，从《决定》到《指南》，我国信息安全保护工作取得了哪些进展？《人民邮电》报记者为此专门采访了《指南》起草的主要参与者、中国软件评测中心副主任朱璇，并约请专家对《决定》进行了深入解读。

朱璇指出，《指南》属国家标准“指导性技术文件”类，对利用信息系统处理个人信息的活动起指导和规范作用，目的是提高企业个人信息保护技术水平，促进个人信息的合理利用。该标准的出台意味着我国个人信息保护工作正式进入“有标可依”的阶段，拥有大量个人信息的企业将可据此对处理个人信息的信息系统及个人信息处理流程进行自查和第三方测评，共同创建保护个人信息的良好环境。

个人信息保护亟须引入国标

个人信息收集和处理已呈规模化和常态化，但是公众和企业对个人信息保护和利益诉求缺乏统一认识，企业对个人信息的保护无法满足个人的需求。建立个人信息保护国家标准和基于标准的测试评估机制是非常重要的。

记者：《指南》起草的出发点是什么？主要针对的是怎样的信息安全形势？

朱璇：随着信息技术的广泛应用和互联网的不断普及，个人信息收集和处理已成规模化和常态化，在社会、经济活动中的重要价值日益凸显。在利益的驱使下，非法收集、倒卖个人信息的黑色经济链条已现端倪。近年来，个人信息泄露事件频发，并呈现迅猛发展的态势，2011年年底中国互联网更是遭遇了史上最大规模的用户信息泄露事件，多家大型网站的用户数据被泄露，几千万用户账号和密码被公开，给社会秩序和人民切身利益造成严重危害。2012年大规模用户信息泄漏事件仍时有发生，越来越多的民众遭受个人信息泄漏后各种骚扰和经济损失。公众和企业对个人信息保护和利益诉求缺乏统一认识，企业保护个人信息的水平参差不齐，企业对个人信息的保护无法满足个人的需求。

针对当前国内缺乏相关标准规范，用户缺乏制度保护、企业缺乏实施参考、政府缺乏监管依据等问题，建立个人信息保护国家标准和基于标准的测试评估机制是非常重要的。通过国标的引入，将为企业、个人信息保护水平的客观评判提供可能。企业可以参考《指南》建立并规范内部运营机制，充分做好自律工作。监管部门和行业协会可以将《指南》标准作为依据，指导和规范企业行为，帮助企业提高管理和技术水平，对企业行为进行评估。社会公众可通过《指南》更加详细地了解信息系统处理个人信息的过程，提高自身保护意识。

《指南》将成信息保护重要支撑

在完善法律制度的同时，必须建立事前预防机制，由行业组织依据个人信息保护的通行原则并照顾到行业特点，制定个人信息保护的标准规范，采取行业自律的方式开展个人信息保护工作。

记者：不久前通过的《决定》与《指南》是怎样的关系？

朱璇：《决定》将公民个人信息保护放在首要位置，提出要以法律形式保护公民个人及法人信息安全，并赋予政府主管部门必要的监管手段，表明国家惩治危害网络信息安全行为以及保护公民合法权益的决心。

标准与法是相互依存的关系，法律制裁是事后惩戒机制，对制止和杜绝个人信息滥用有很好的威慑作用。在完善法律制度的同时，必须建立事前预防机制，由行业组织依据个人信息保护的通行原则并照顾到行业特点，制定个人信息保护的标准规范，采取行业自律的方式，开展个人信息保护工作。《指南》作为我国第一项个人信息保护专项国家标准，明确了信息系统个人信息保护的各方职责和个人信息属主的权利，提出了信息系统个人信息处理过程中个人信息保护的行为规范。该标准的出台不仅能够帮助提高社会公众的个人信息保护意识、保护个人合法权益，还能促进个人信息的合理利用，指导和规范利用信息系统处理个人信息的活动。

在《指南》正式实施之际恰逢人民代表大会上《决定》通过，《指南》的实施过程也是为《决定》保驾护航的过程；《指南》也将成为《决定》实施过程中的重要支撑，成为相关企业的执行规范和主管部门的监管依据。显然，在个人信息保护这项持久工作中，《指南》的发布实施仅仅是万里长征的第一步，我们将继续致力于推动个人信息保护、推进联盟成立等后续工作的开展。

“有标可依”化虚为实需过程

《指南》的各项要求内化为企业的实际行动还需要一个较长时间。一方面是理解和把握《指南》需要一个过程，另一方面参照指南完善企业流程也需要一个过程。相信随着我国“个人信息保护”相关标准的逐步建立和完善，我国个人信息保护状况有望得到很大改善。

记者：《指南》起草的组织形式和过程是怎样的？过程中遇到了哪些理论和技术难题？

朱璇：《指南》标准制定过程受到各方关注，在标准征求意见的过程中，中国信息安全测评中心、国家信息技术安全研究中心、北京启明星辰信息技术股份有限公司、北京百度网讯科技有限公司、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、奇虎360公司、北京百合在线科技有限公司、上海花千树信息科技有限公司等单位都提出过建设性意见。标准的适用范围、个人信息与个人“隐私”信息的区别、个人一般信息与敏感信息的界定也都经历了几轮讨论和修订，才最终得以明确。

记者：工信部在《指南》的起草过程中发挥了怎样的作用？下一步在执行中又将承担起怎样的职能？

朱璇：自2008年工业和信息化部成立之始，工业和信息化部信息安全协调司就把保护个人信息安全作为网络与信息安全保障工作的一项重要内容，先后开展了行业试点、标准编制、评估测试等工作。在《指南》标准的编制过程中，工业和信息化部信息安全协调司作为指导单位也倾注了大量心血。

《指南》已经出台，但《指南》各项要求内化为企业的实际行动还需要一个较长时间。一方面是理解和把握《指南》需要一个过程，另一方面参照指南完善企业流程也需要一个过程。在《指南》实施实践中，中国软件评测中心在工业和信息化部的指导下，会进一步摸索经验，加强交流，发挥企业自律组织的服务和协调作用，协助企业改进业务流程，提高个人信息保护水平。

下一步，我们可能会从标准宣贯培训、倡导企业自律、推进第三方测评、选择行业企业试点、引入认证标识等方面开展具体工作，确保《指南》标准的贯彻落实。