軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)報(bào)告

精品文檔軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)報(bào)告大連軟件行業(yè)協(xié)會(huì)(2010-08-04 12:54:23) 前 言個(gè)人信息保護(hù)體系的建立是與信息化社會(huì)的發(fā)展和經(jīng)濟(jì)全球化密切相關(guān)的，隨著信息化社會(huì)的發(fā)展，個(gè)人信息保護(hù)已經(jīng)成為國(guó)際間信息交流的一個(gè)重要條件，特別是在軟件及信息服務(wù)外包業(yè)中，個(gè)人信息保護(hù)已經(jīng)成為國(guó)際間實(shí)行外包的一道門檻，這也促進(jìn)了我國(guó)軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)標(biāo)準(zhǔn)和評(píng)價(jià)體系的建立。一、個(gè)人信息相關(guān)術(shù)語(yǔ)1、個(gè)人信息個(gè)人信息是指業(yè)已存在的與個(gè)人相關(guān)的，并且可用于識(shí)別特定個(gè)人的信息。如：姓名、出生日期、分派給個(gè)人的號(hào)碼、標(biāo)志以及其它符號(hào)、可以識(shí)別個(gè)人的圖像或生物信息等（包括某些單獨(dú)使用時(shí)無(wú)法識(shí)別，但與其他信息進(jìn)行對(duì)比后，能夠由此識(shí)別特定個(gè)人的信息）。2、信息主體根據(jù)特定信息進(jìn)行識(shí)別或者能夠識(shí)別的對(duì)象。指擁有該個(gè)人信息的本人。3、個(gè)人信息取得是指為明確目的而獲取個(gè)人信息的行為。4、個(gè)人信息處理是指利用計(jì)算機(jī)和相關(guān)配套設(shè)備及軟件對(duì)個(gè)人信息進(jìn)行錄入、存儲(chǔ)、編輯、修改、檢索、刪除、輸出、傳輸和銷毀等行為。5、信息主體同意信息主體對(duì)與自身相關(guān)的個(gè)人信息的取得以及使用表示同意，原則上以信息主體的簽名、蓋章為準(zhǔn)，下述情況視為已取得信息主體同意：a ）未成年人和無(wú)法對(duì)事情做出正確判斷的成年人應(yīng)由家長(zhǎng)或監(jiān)護(hù)人代表同意；b ）在取得個(gè)人信息時(shí)，單位與信息主體簽訂的合同中規(guī)定了個(gè)人信息的使用，而且信息主體同意履行合同。二、個(gè)人信息保護(hù)法規(guī)1、國(guó)際個(gè)人信息保護(hù)法規(guī)建立情況國(guó)際上建立個(gè)人信息保護(hù)法規(guī)的國(guó)家和組織有50多個(gè)，最重要的和對(duì)國(guó)際上影響比較大是兩個(gè)國(guó)際組織的個(gè)人信息保護(hù)法規(guī):(1)世界經(jīng)濟(jì)合作發(fā)展組織（OECD）關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨國(guó)流通指導(dǎo)原則，其中所規(guī)定的個(gè)人信息保護(hù)八項(xiàng)基本原則，已經(jīng)得到了國(guó)際上的認(rèn)可，許多國(guó)家在此基礎(chǔ)上不斷進(jìn)行補(bǔ)充和完善制定本國(guó)的個(gè)人信息保護(hù)相關(guān)法規(guī)。OECD八項(xiàng)原則為：1)、收集限制原則。個(gè)人信息的收集必須采取合理合法的手段，必須征得信息主體的同意；2)、信息內(nèi)容的正確性原則。個(gè)人信息必須在利用目的范圍內(nèi)保持正確、完整及最新?tīng)顟B(tài)；3)、目的明確化原則。個(gè)人信息收集前要明確使用目的，并在目的范圍內(nèi)收集；4)、使用限制原則。對(duì)個(gè)人信息資料不得超出目的范圍外使用；5)、安全保護(hù)原則。對(duì)個(gè)人信息的丟失、不當(dāng)接觸、破壞、利用、修改、公開等危險(xiǎn)必須采取合理的安全保護(hù)措施加以保護(hù)；6)、公開原則。個(gè)人信息管理者必須用簡(jiǎn)單易懂的方法向公眾公開個(gè)人信息保護(hù)的措施。7)、個(gè)人參加原則。信息主體有權(quán)知道自身信息的所在位置，有權(quán)對(duì)自身信息提出質(zhì)疑，有權(quán)對(duì)自身信息進(jìn)行修改、完善、補(bǔ)充和刪除。8)、責(zé)任原則。個(gè)人信息的管理者對(duì)個(gè)人信息的保管負(fù)全責(zé)。(2) 歐盟的歐盟數(shù)據(jù)保護(hù)指令，在歐盟指令的要求下，歐盟的40多個(gè)國(guó)家都建立了個(gè)人信息保護(hù)相關(guān)法規(guī)。特別是，歐盟指令規(guī)定，第三國(guó)的隱私法律只有經(jīng)歐盟委員會(huì)判定達(dá)到“充分的”保護(hù)標(biāo)準(zhǔn)，才能自歐盟進(jìn)行跨境個(gè)人信息傳輸，在歐盟數(shù)據(jù)保護(hù)指令第四章向第三國(guó)進(jìn)行個(gè)人數(shù)據(jù)轉(zhuǎn)讓中做了如下規(guī)定：（原文）Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data CHAPTER IV - TRANSFER OF PERSONAL DATA TO THIRD COUNTRIESArticle 25 Principles(1) The Member States shall provide that the transfer to a third country of personal data which areundergoing processing or are intended for processing after transfer may take place only if,without prejudice to compliance with the national provisions adopted pursuant to the otherprovisions of this Directive, the third country in question ensures an adequate level of protection,。 這項(xiàng)規(guī)定也促使許多非歐盟國(guó)家為了滿足歐盟的要求也開始制定個(gè)人信息保護(hù)相關(guān)法規(guī)。歐盟數(shù)據(jù)保護(hù)指令的基本要素是：透明度原則（Transparency）、良好的安全性（Good security）、獨(dú)立的監(jiān)管機(jī)關(guān)（Independent supervisory authority）、法律的有效執(zhí)行（Effective enforcement）、向第三國(guó)傳輸?shù)目刂疲–ontrols on transfers to third countries）；歐盟數(shù)據(jù)保護(hù)指令數(shù)據(jù)保護(hù)的基本原則是：個(gè)人數(shù)據(jù)必須被公平合法的處理（Personal data must be processed fairly and lawfully）；為特定目的而收集，且不能以與此無(wú)關(guān)的方式進(jìn)行處理（collected for specified purposes and not processed in an incompatible way）；具有合理的相關(guān)性并且不過(guò)度（adequate relevant and not excessive）；準(zhǔn)確且不斷更新（accurate and kept up to date）；保存不超出完成收集時(shí)的目的所必需的期間（not kept longer than necessary for the purpose for which they were collected）；2、我國(guó)有關(guān)個(gè)人信息保護(hù)相關(guān)法規(guī)目前我國(guó)現(xiàn)有法規(guī)：憲法、民法通則、婦女權(quán)益保障法、未成年人保護(hù)法、民事訴訟法、中華人民共和國(guó)郵政法、醫(yī)務(wù)人員醫(yī)德規(guī)范及實(shí)施辦法、中華人民共和國(guó)傳染病防治法、中華人民共和國(guó)身份證書法、中華人民共和國(guó)母子保健法、中華人民共和國(guó)統(tǒng)計(jì)法、計(jì)算機(jī)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定、個(gè)人存款賬戶實(shí)名制規(guī)定等相關(guān)法規(guī)中都有關(guān)于個(gè)人信息保護(hù)的相關(guān)條款，但是多比較原則，處罰的規(guī)定也不詳細(xì)。目前，非常需要一部個(gè)人信息保護(hù)的法規(guī)出臺(tái)。特別是近年來(lái)，隨著個(gè)人信息使用范圍的擴(kuò)大和個(gè)人信息使用價(jià)值的提高，個(gè)人信息被非法使用、提供、傳輸、買賣的案件都有不斷報(bào)導(dǎo)。這些已經(jīng)引起了國(guó)家相關(guān)部門的重視。在今年召開的十一屆全國(guó)人大常委會(huì)第七次會(huì)議上，表決通過(guò)了刑法修正案，增加了嚴(yán)打泄露或非法獲取公民個(gè)人信息行為的相關(guān)規(guī)定。在刑法修正案(七)增加了相關(guān)條款，規(guī)定，“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金”?！案`取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！薄皢挝环盖皟煽钭锏模瑢?duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！蔽覈?guó)個(gè)人信息保護(hù)法（草案）也已經(jīng)呈交國(guó)務(wù)院。相信個(gè)人信息保護(hù)法的出臺(tái)已經(jīng)為時(shí)不遠(yuǎn)。 三、個(gè)人信息保護(hù)標(biāo)準(zhǔn)1、國(guó)際相關(guān)標(biāo)準(zhǔn)目前國(guó)際上有關(guān)個(gè)人信息保護(hù)的標(biāo)準(zhǔn)并不多，對(duì)我國(guó)影響比較大的就是日本有關(guān)個(gè)人信息保護(hù)的工業(yè)規(guī)格標(biāo)準(zhǔn)：JIS Q15001：2006（個(gè)人信息保護(hù)管理體系要求事項(xiàng)），該標(biāo)準(zhǔn)于1999年制定并頒布，2006年修改。主要適用于處理個(gè)人信息的企業(yè)事業(yè)單位，規(guī)定了所有行業(yè)、所有規(guī)模的單位可以適用的個(gè)人信息保護(hù)管理體系的相關(guān)要求事項(xiàng)。在對(duì)跨境個(gè)人信息的保護(hù)方面，在3.4.3.4委托監(jiān)督中規(guī)定“企業(yè)在委托別人使用全部或部分個(gè)人信息時(shí)，必須選定符合充分保護(hù)個(gè)人信息水平的企業(yè)，為此，委托者必須確立委托者的選定標(biāo)準(zhǔn)?！边@造成了日本客戶在委托相關(guān)個(gè)人信息時(shí)，向其它國(guó)家的企業(yè)提出個(gè)人信息保護(hù)方面的要求，中國(guó)在與日本企業(yè)的合作中如果沒(méi)有相關(guān)的個(gè)人信息保護(hù)能力和水平，將會(huì)因此而失去訂單，不實(shí)行個(gè)人信息保護(hù)影響到中國(guó)軟件及信息服務(wù)外包產(chǎn)業(yè)的發(fā)展，特別是2005年4月1日，日本個(gè)人信息保護(hù)法頒布后，對(duì)我國(guó)對(duì)日外包軟件信息服務(wù)業(yè)產(chǎn)生了一定的影響，這也促使了我們個(gè)人信息保護(hù)工作的開展。2、我國(guó)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)我國(guó)目前已經(jīng)通過(guò)和發(fā)布的個(gè)人信息保護(hù)標(biāo)準(zhǔn)有兩個(gè)：（1）軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范DB21/T 1522-2007，該標(biāo)準(zhǔn)為遼寧省地方行業(yè)標(biāo)準(zhǔn)，是我國(guó)首個(gè)針對(duì)個(gè)人信息保護(hù)的地方行業(yè)標(biāo)準(zhǔn)，也是我國(guó)首個(gè)軟件及信息服務(wù)行業(yè)的標(biāo)準(zhǔn)。于2007年6月13日正式發(fā)布，2007年8月1日開始實(shí)施。該標(biāo)準(zhǔn)是依據(jù)我國(guó)信息管理及信息安全相關(guān)法規(guī)和標(biāo)準(zhǔn)，并參考世界經(jīng)濟(jì)合作發(fā)展組織OECD關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨國(guó)流通指導(dǎo)原則制定的。（2）個(gè)人信息保護(hù)規(guī)范BD21/T 1628-2008，該標(biāo)準(zhǔn)為遼寧省地方標(biāo)準(zhǔn)，是我國(guó)首個(gè)針對(duì)個(gè)人信息保護(hù)的地方標(biāo)準(zhǔn)。于2008年6月16日正式發(fā)布，2008年7月16日開始實(shí)施。該標(biāo)準(zhǔn)依據(jù)國(guó)際、國(guó)內(nèi)相關(guān)法律、法規(guī)及信息安全相關(guān)標(biāo)準(zhǔn)，遵循OECD（世界經(jīng)濟(jì)合作發(fā)展組織 Organization for Economic Co-operation and Development）關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨國(guó)流通的指導(dǎo)原則，參考國(guó)際通行的個(gè)人信息保護(hù)相關(guān)法規(guī)和行業(yè)自律模式制訂。這兩個(gè)標(biāo)準(zhǔn)都是在我國(guó)首次發(fā)布的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中規(guī)定了個(gè)人信息保護(hù)相關(guān)術(shù)語(yǔ)和定義，原則、負(fù)責(zé)人及責(zé)任、方針、風(fēng)險(xiǎn)分析與基本規(guī)章、運(yùn)行與實(shí)施、檢查、持續(xù)改進(jìn)等單位個(gè)人信息保護(hù)體系建立所應(yīng)具備的基本框架及要求。為企業(yè)個(gè)人信息保護(hù)體制的建立提供了參考依據(jù)，起到了指導(dǎo)作用。標(biāo)準(zhǔn)中規(guī)定了軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)原則：1) 取得與使用個(gè)人信息取得應(yīng)采用合理合法手段，并應(yīng)征得信息主體的同意。個(gè)人信息取得和使用應(yīng)有明確目的，不得超范圍使用。2) 安全保障應(yīng)采取必要的安全保護(hù)措施，防止個(gè)人信息的丟失、泄漏、篡改和破壞等事件發(fā)生。除信息主體同意外，個(gè)人信息不得提供給第三方。3）信息主體權(quán)利信息主體有權(quán)確認(rèn)個(gè)人信息狀態(tài)。并擁有對(duì)個(gè)人信息提出刪除、修改和完善的權(quán)利。4）信息內(nèi)容更新個(gè)人信息應(yīng)確保在使用目的范圍內(nèi)的正確性和完整性，并做到及時(shí)更新。四、個(gè)人信息保護(hù)認(rèn)證1、國(guó)際相關(guān)認(rèn)證國(guó)際上關(guān)個(gè)人信息保護(hù)的認(rèn)證比較多，對(duì)我國(guó)有一定影響的認(rèn)證主要有：（1）美國(guó)的BBOnLine隱私認(rèn)證計(jì)劃（BBBonline privacy seal program）：美國(guó)BBBOnLine認(rèn)證是網(wǎng)絡(luò)安全認(rèn)證，BBBonline是促進(jìn)良好商業(yè)顧問(wèn)局（council of better business bureau ）的美國(guó)Better Business Bureau(BBB)全國(guó)性中小企業(yè)組織所成立的網(wǎng)站安全認(rèn)證機(jī)構(gòu)，它所提供的認(rèn)證服務(wù)有Reliability Seal、Privacy Seal、Kids Privacy Seal等。其中Privacy Seal、Kids和Privacy Seal都是針對(duì)網(wǎng)站的個(gè)人隱私保護(hù)認(rèn)證。該機(jī)構(gòu)在1999年3月17日建立并開始其隱私認(rèn)證計(jì)劃。（2）美國(guó)TRUSTe 認(rèn)證TRUSTe是由商務(wù)網(wǎng)絡(luò)財(cái)團(tuán)（CommerceNetConsortium）和電子前線基金會(huì)（ElectronicFrontierFoundation,EFF）所組建的一個(gè)獨(dú)立的非營(yíng)利的組織，該組織成立于1997年6月10日，是美國(guó)首家網(wǎng)絡(luò)隱私認(rèn)證民間機(jī)構(gòu)，是一家非盈利組織。主要采取認(rèn)證和監(jiān)督網(wǎng)站的隱私保護(hù)狀況和電子郵件政策。TURSTe隱私計(jì)劃包括：一般網(wǎng)頁(yè)的隱私計(jì)劃、歐盟安全港隱私認(rèn)證計(jì)劃、兒童的隱私認(rèn)證計(jì)劃、電子郵件隱私認(rèn)證計(jì)劃，TRUSTe各種計(jì)劃都遵守許多政府和行業(yè)有關(guān)個(gè)人信息保護(hù)的法規(guī)和標(biāo)準(zhǔn)，包括加利福尼亞州網(wǎng)上隱私保護(hù)法（California Online Privacy Protection Act）、聯(lián)邦反垃圾郵件法（Federal CAN-SPAM Act）、聯(lián)邦貿(mào)易委員會(huì)批準(zhǔn)的公平資訊慣例（Fair Information Practices）以及美國(guó)商業(yè)部的安全港隱私保護(hù)原則（Safe Harbor Privacy Principles）。（3）日本的P-MARK認(rèn)證P-MARK認(rèn)證是日本針對(duì)計(jì)算機(jī)處理個(gè)人信息相關(guān)企業(yè)而開展的獲取個(gè)人信息保護(hù)標(biāo)志的認(rèn)證，它的認(rèn)證機(jī)構(gòu)是日本財(cái)團(tuán)法人情報(bào)處理開發(fā)協(xié)會(huì)（JIPDEC），認(rèn)證標(biāo)準(zhǔn)是JIS Q 15001。日本P-MARK認(rèn)證制度從1998年4月開始。2005年4月1日，日本正式頒布了個(gè)人信息保護(hù)法，促進(jìn)了P-MARK認(rèn)證數(shù)的快速增長(zhǎng)，至2009年認(rèn)證企業(yè)已經(jīng)超過(guò)了10000家。對(duì)以上三種認(rèn)證體系的分析看：從認(rèn)證對(duì)象來(lái)看，美國(guó)的認(rèn)證范圍主要是針對(duì)網(wǎng)絡(luò)個(gè)人信息保護(hù)認(rèn)證，特別是網(wǎng)絡(luò)交易平臺(tái)和網(wǎng)站注冊(cè)的個(gè)人信息的保護(hù)，特別重視信息主體的權(quán)利和網(wǎng)站個(gè)人隱私的保護(hù)。日本的P-MARK認(rèn)證是針對(duì)所有企業(yè)個(gè)人信息保護(hù)體制建立的標(biāo)準(zhǔn)，可以給企業(yè)一個(gè)比較全面的個(gè)人信息保護(hù)體制建立的指導(dǎo)和幫助。從認(rèn)證范圍看，美國(guó)的兩個(gè)認(rèn)證都是跨國(guó)界的認(rèn)證，但由于各國(guó)法規(guī)、標(biāo)準(zhǔn)的不一致性，要真正得到其它國(guó)家的認(rèn)可還存在許多問(wèn)題。而日本的P-MARK認(rèn)證是一個(gè)針對(duì)日本全國(guó)的全行業(yè)的國(guó)家級(jí)認(rèn)證，不針對(duì)日本以外的國(guó)家。目前，還沒(méi)有一個(gè)國(guó)際公認(rèn)的個(gè)人信息保護(hù)的認(rèn)證體系，但由于信息化社會(huì)的發(fā)展和全球經(jīng)濟(jì)體系的建立，必將會(huì)促進(jìn)一個(gè)全球化的信息安全體系的建立，建立國(guó)際統(tǒng)一的個(gè)人信息保護(hù)認(rèn)證體系也是非常必要的。2、我國(guó)軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)評(píng)價(jià)體系（PIPA）軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)評(píng)價(jià)體系（PIPA）是我國(guó)目前最早的針對(duì)個(gè)人信息保護(hù)能力和水平的評(píng)價(jià)。目前已經(jīng)與日本的P-MARK認(rèn)證實(shí)現(xiàn)了相互認(rèn)可。目的是幫助企業(yè)建立個(gè)人信息保護(hù)規(guī)章制度、運(yùn)行實(shí)施并不斷改進(jìn)和完善，使單位的個(gè)人信息保護(hù)能力和單位信息安全級(jí)別得到提高，使客戶、消費(fèi)者和員工的個(gè)人信息得到有效保護(hù)。建立個(gè)人信息保護(hù)體制的單位可以通過(guò)PIPA評(píng)價(jià)，得到個(gè)人信息保護(hù)合格證書和PIPA標(biāo)志使用權(quán)，以證明單位的個(gè)人信息保護(hù)能力和水平，以此得到客戶和消費(fèi)者的信任。（1）PIPA簡(jiǎn)介PIPA全稱：個(gè)人信息保護(hù)評(píng)價(jià)（Personal information protection assessment）評(píng)價(jià)標(biāo)準(zhǔn)：軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范（DB21/T 1522-2007）（以下簡(jiǎn)稱規(guī)范；評(píng)價(jià)機(jī)構(gòu)：大連軟件行業(yè)協(xié)會(huì)開始時(shí)間：2006年5月PIPA是針對(duì)計(jì)算機(jī)處理相關(guān)單位而開展的個(gè)人信息保護(hù)能力的評(píng)價(jià)，主要適用于利用計(jì)算機(jī)對(duì)個(gè)人信息進(jìn)行處理的相關(guān)單位。評(píng)價(jià)程序按照前期審查現(xiàn)場(chǎng)審核公示審批過(guò)程嚴(yán)格進(jìn)行，通過(guò)PIPA的單位，可以得到個(gè)人信息保護(hù)合格證書、PIPA標(biāo)志和PIPA-MARK互認(rèn)標(biāo)志使用權(quán)，有效期兩年。（2）PIPA評(píng)價(jià)機(jī)構(gòu)PIPA評(píng)價(jià)機(jī)構(gòu)下設(shè)個(gè)人信息保護(hù)工作委員會(huì)和PIPA辦公室。PIPA辦公室主要負(fù)責(zé)PIPA文件管理和事務(wù)性工作，負(fù)責(zé)PIPA受理及投訴，負(fù)責(zé)評(píng)價(jià)員的聘任及管理工作，PIPA辦公室下設(shè)培訓(xùn)教育部門，負(fù)責(zé)個(gè)人信息保護(hù)企業(yè)培訓(xùn)和評(píng)價(jià)員培訓(xùn)、考核。工作委員會(huì)主要負(fù)責(zé)標(biāo)準(zhǔn)和PIPA體系相關(guān)文件的制定、修改和完善，負(fù)責(zé)PIPA申批、投訴及事故的處理結(jié)果的審批，負(fù)責(zé)對(duì)PIPA的監(jiān)督，聘任評(píng)價(jià)員的審批等工作。工作委員會(huì)下設(shè)：標(biāo)準(zhǔn)組、仲裁組、宣傳推廣組、國(guó)際交流組和教育培訓(xùn)組。標(biāo)準(zhǔn)組主要負(fù)責(zé)標(biāo)準(zhǔn)的研究和制定；仲裁組負(fù)責(zé)投訴及事故的調(diào)查及處理；宣傳推廣組負(fù)責(zé)PIPA宣傳推廣；國(guó)際交流組負(fù)責(zé)國(guó)際間的交流與合作；教育培訓(xùn)組負(fù)責(zé)個(gè)人信息保護(hù)人才的教育及培養(yǎng)研究及試點(diǎn)，開展個(gè)人信息保護(hù)人才培養(yǎng)工作。（3）PIPA的管理與監(jiān)督申請(qǐng)個(gè)人信息保護(hù)評(píng)價(jià)單位需要按照規(guī)范要求建立本單位個(gè)人信息保護(hù)相關(guān)規(guī)章制度，在單位內(nèi)實(shí)施個(gè)人信息保護(hù)，并至少運(yùn)行三個(gè)月。申請(qǐng)方應(yīng)在申請(qǐng)前三個(gè)月內(nèi)沒(méi)有發(fā)生過(guò)重大個(gè)人信息保護(hù)事故。申請(qǐng)方應(yīng)是自愿參加評(píng)價(jià)。評(píng)價(jià)機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)合格單位有監(jiān)督管理的權(quán)利，可以對(duì)單位個(gè)人信息保護(hù)情況進(jìn)行抽查，對(duì)抽查不合格單位將限期整改，整改后仍不合格的單位，將取消個(gè)人信息保護(hù)合格證書和PIPA標(biāo)志的使用資格。以下情況將對(duì)PIPA企業(yè)進(jìn)行復(fù)審：一是在對(duì)申報(bào)單位在個(gè)人信息保護(hù)方面有重要舉報(bào)和投訴并確認(rèn)為事實(shí)時(shí)；二是，在個(gè)人信息保護(hù)方面發(fā)生重大事故時(shí)；三是，在企業(yè)更名、辦公場(chǎng)所或業(yè)務(wù)有重大變化時(shí)，對(duì)抽查和復(fù)審不合格單位，將取消個(gè)人信息保護(hù)合格證書和PIPA標(biāo)志的使用資格。（4）證書與標(biāo)志通過(guò)PIPA的單位，可以得到個(gè)人信息保護(hù)合格證書、PIPA標(biāo)志和PIPA-MARK互認(rèn)標(biāo)志使用權(quán)，有效期兩年。五、國(guó)際合作方式探討1、歐盟的安全島模式。2000年3月14日，美國(guó)與歐盟就個(gè)人信息保護(hù)的“安全港”模式提出美國(guó)和歐盟都可以接受的建議。這項(xiàng)建議的內(nèi)容為，如果美國(guó)產(chǎn)業(yè)對(duì) “安全港口協(xié)議”（Safe Harbor Agreements）表示同意，就可以在進(jìn)行嚴(yán)格隱私權(quán)保護(hù)的歐盟進(jìn)行交易。這項(xiàng)提議于2000年6月獲得歐洲議會(huì)的通過(guò)。美國(guó)商務(wù)部也于2000年7月21日公布了這一協(xié)議。該協(xié)議包括1998年“國(guó)際安全港隱私保護(hù)原則”中的七大原則12： 1告知（NOTICE）。企業(yè)必須告知資料本人資料收集、使用的目的，投訴的方式，向第三方披露個(gè)人資料的類型以及本人選擇或限制企業(yè)使用、披露個(gè)人資料的方法，而且通知必須使用清楚、明確的語(yǔ)言。2選擇（CHOICE）。資料本人有權(quán)決定其資料是否向第三方公開或被用于與最初收集目的不同的其他目的，為實(shí)現(xiàn)選擇的權(quán)利，企業(yè)應(yīng)提供明確、可行的選擇機(jī)制。對(duì)于敏感資料利用，尤其應(yīng)經(jīng)過(guò)本人肯定、直接的授權(quán)。3轉(zhuǎn)送（ONWARD TRANSFER）。為向第三方披露個(gè)人資料，企業(yè)必須使用通知、選擇原則，否則，當(dāng)?shù)谌綄?duì)本人構(gòu)成侵權(quán)時(shí)企業(yè)不能免責(zé)。4安全（SECURITY）。企業(yè)處理、保有、利用或傳播個(gè)人資料時(shí)，必須采取合理的措施以防止資料被丟失、濫用、歪曲和毀壞。5資料完整（DATA INTEGRITY）。企業(yè)必須采取合理措施保證其使用的個(gè)人資料的準(zhǔn)確、完整和更新以及與使用目的的關(guān)聯(lián)性。6渠道（ACCESS）。本人應(yīng)獲得糾正、修改、刪除不實(shí)資料的渠道，除非使用這種渠道的成本過(guò)高以至于違反比例原則。7執(zhí)行（ENFORCEMENT）。包括救濟(jì)機(jī)制和進(jìn)入安全港的批準(zhǔn)原則等。此協(xié)議在企業(yè)責(zé)任、投訴機(jī)制以及進(jìn)入安全港的企業(yè)資格方面，都有著更為嚴(yán)格的要求，該協(xié)議也充分體現(xiàn)了歐盟95指令對(duì)美國(guó)的重大影響，以及美歐之間在網(wǎng)絡(luò)隱私權(quán)保護(hù)及電子商務(wù)發(fā)展方面的斗爭(zhēng)與妥協(xié)。2、互認(rèn)模式（PIPA與P-MARK互認(rèn)）中國(guó)的PIPA與日本的P-MARK“個(gè)人信息保護(hù)認(rèn)證體系”之間的互認(rèn)，是兩個(gè)國(guó)家間個(gè)人信息保護(hù)體系的全面認(rèn)證。PIPA與P-MARK的互認(rèn)合作工作從2005年開始，2006年10月份日本的P-MAR認(rèn)證機(jī)構(gòu)（情報(bào)處理開發(fā)協(xié)會(huì)（JIPDEC）開始與中國(guó)PIPA評(píng)價(jià)機(jī)構(gòu)（大連軟件行業(yè)協(xié)會(huì)）簽署了互認(rèn)合作協(xié)議，于2008年6月19日中國(guó)的PIPA與日本的P-MARK正式實(shí)現(xiàn)了互認(rèn)?；フJ(rèn)簽字儀式在大連軟交會(huì)上舉行。日本的P-MARK認(rèn)證與中國(guó)的PIPA評(píng)價(jià)通過(guò)兩年的合作，雙方認(rèn)為在評(píng)價(jià)制度、方法、水平等方面達(dá)到一致。雙方同意全面相互承認(rèn)，并可共用同一認(rèn)證標(biāo)志。這是國(guó)際上首個(gè)兩國(guó)相互全面承認(rèn)的個(gè)人信息保護(hù)認(rèn)證體系的合作項(xiàng)目。它標(biāo)志著中日兩國(guó)在個(gè)人信息交流方面的壁壘與障礙已消除。中日雙方個(gè)人信息保護(hù)認(rèn)證體系的相互認(rèn)可，使兩國(guó)在個(gè)人信息保護(hù)方面達(dá)成了共識(shí)，中國(guó)通過(guò)PIPA的企業(yè)將等同于日本通過(guò)P-MARK的企業(yè)，這樣就打破了日本在信息服務(wù)外包中的個(gè)人信息保護(hù)的門檻。這也促進(jìn)了我國(guó)與日本信息服務(wù)外包業(yè)的合作與發(fā)展。六、2008年軟件及信息業(yè)個(gè)人信息保護(hù)工作軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)工作一直走在我國(guó)個(gè)人信息保護(hù)工作的前列，中國(guó)軟件行業(yè)協(xié)會(huì)、國(guó)家商務(wù)部、國(guó)家工信部、遼寧信息產(chǎn)業(yè)廳、大連市信息產(chǎn)業(yè)局等單位給予這項(xiàng)工作以大力支持和關(guān)注?？偨Y(jié)2008年個(gè)人信息保護(hù)主要完成以下工作：1、編制發(fā)布遼寧省個(gè)人信息保護(hù)標(biāo)準(zhǔn)由大連軟件行業(yè)協(xié)會(huì)編寫的遼寧省個(gè)人信息保護(hù)規(guī)范DB21T1628-2008，于2008 年6月16日正式發(fā)布，2008年7月16日實(shí)施。該標(biāo)準(zhǔn)的發(fā)布將對(duì)遼寧省各行業(yè)個(gè)人信息保護(hù)工作的開展起著指導(dǎo)和規(guī)范作用，對(duì)全國(guó)的個(gè)人信息保護(hù)工作也將起著積極的推動(dòng)作用。2、完善PIPA評(píng)價(jià)體系作為我國(guó)首個(gè)針對(duì)個(gè)人信息保護(hù)的評(píng)價(jià)體系（Personal Information Products Assessment，PIPA），在2008年得到進(jìn)一步的完善。（1）建立和完善了評(píng)價(jià)員管理、考評(píng)及聘任制度，制定了評(píng)價(jià)員管理辦法，使評(píng)價(jià)員的選擇、培訓(xùn)和評(píng)價(jià)更加規(guī)范化，為評(píng)價(jià)質(zhì)量的提高打下好的基礎(chǔ)；（2）建立投訴及事故報(bào)告制度，建立對(duì)應(yīng)的投訴及事故處理流程，編制了事故報(bào)告及事故處理報(bào)告等一系列文件。投訴制度的建立和事故報(bào)告制度的建立完善了評(píng)價(jià)體系，保證了信息主體的權(quán)利可以落實(shí)，同時(shí)，也實(shí)現(xiàn)了對(duì)企業(yè)的第三方監(jiān)督制度的建立，保證了對(duì)個(gè)人信息保護(hù)方面的意見(jiàn)、建議和投訴可以得到及