資源描述:
《個人信息安全認證機制》由會員上傳分享�����,免費在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1��、個人信息安全認證機制軟件產(chǎn)業(yè)的開發(fā)�����、生產(chǎn)�、銷售各個環(huán)節(jié)都對于用戶個人信息保護與安全至關(guān)重要。在借鑒美國的隱私認證制度��、日本的個人信息評價制度以及我國大連軟件及信息服務(wù)業(yè)個人信息評價制度的基礎(chǔ)上���,提出從宏觀深入到微觀����、從表面深入到實質(zhì)�、從產(chǎn)業(yè)深入到產(chǎn)品,將個人信息安全認證制度推廣到軟件產(chǎn)業(yè)鏈的末梢����,全面加強軟件行業(yè)的自律,切實保障廣大用戶的權(quán)益�����,增強用戶對于軟件產(chǎn)品的信心,并對該制度的構(gòu)建著重從軟件產(chǎn)品個人信息保護認證標準和軟件產(chǎn)品個人信息保護認證流程兩個方面進行了探討�����。計算機軟件產(chǎn)品成為世界的核心和靈魂(一)計算機軟件產(chǎn)業(yè)成為戰(zhàn)略性新興產(chǎn)業(yè)工信部軟件服務(wù)業(yè)司司長陳偉表示:“
2�、今天,很多人提出了SDN(軟件定義X絡(luò))�����、SDD(軟件定義數(shù)據(jù)中心)�����、SDS(軟件定義系統(tǒng))�����,而我認為�����,軟件可以定義世界(SDPrinciples)���。其目的是為了確保該X站的隱私政策�����,明確指出哪類個人信息被收集�、誰在收集����、為何目的收集、如何使用以及與誰共享等��。如果X站符合TRUSTe關(guān)于隱私保護的認證要求���,TRUSTe就會授予該X站隱私圖章�����,允許在其X站主頁上張貼TRUSTe的隱私圖章標志�。2.后續(xù)監(jiān)督當(dāng)申請X站成為會員后��,TRUSTe就會定期檢查X站����,確保X站的行為符合它公布的隱私聲明,并且檢查X站隱私聲明的變動���。初始認證和后續(xù)監(jiān)督都是在X站事先不知道的情況下�����,通過提交特
3�����、定標志符到X站來跟蹤該站點個人信息的使用��,并監(jiān)控結(jié)果���,以此來確定其信息收集使用行為是否與該站點的隱私聲明相符合�。3.爭端解決當(dāng)消費者認為X站侵犯其隱私權(quán)��,而就隱私侵權(quán)問題不能得到會員X站恰當(dāng)處理時�,TRUSTe為其提供一種在線的爭端解決服務(wù),即所謂的看門狗爭端解決方法(ationProcessingDevelopmentCorporation����,JIPDEC)建立了Pmark認證制度,2005年日本《個人信息保護法》的實施���,極大地推進了企業(yè)參與個人信息保護認證��。軟件及信息服務(wù)業(yè)個人信息保護評價體系(PIPA)評價的對象主要是企業(yè)�,其初衷在于幫助以軟件和信息服務(wù)業(yè)為主的企業(yè)建立
4、個人信息保護制度����,使得企業(yè)有能力在2005年日本《個人信息保護法》實施后繼續(xù)承接日本軟件外包業(yè)務(wù)�。通過PIPA評價的企業(yè)可以得到個人信息保護合格證書和PIPA標志使用權(quán)。具體而言���,大連個人信息保護評價制度包括以下幾個方面���。1.評價機構(gòu)軟件及信息服務(wù)業(yè)個人信息保護評價機構(gòu)為大連軟件行業(yè)協(xié)會,下設(shè)個人信息保護工作委員會����、PIPA辦公室和評價專家組。PIPA辦公室主要負責(zé)PIPA文件管理和事務(wù)性工作����,負責(zé)PIPA受理及投訴,負責(zé)評價員的聘任及管理工作�����,PIPA辦公室下設(shè)培訓(xùn)教育部門,負責(zé)個人信息保護企業(yè)培訓(xùn)和評價員培訓(xùn)��、考核��。個人信息保護工作委員會主要負責(zé)標準和PIPA體系相關(guān)文
5�����、件的制定���、修改和完善�����,負責(zé)PIPA申批���、投訴及事故處理結(jié)果的審批,負責(zé)對PIPA的監(jiān)督及聘任評價員的審批等工作��。工作委員會下設(shè):標準組��、仲裁組���、宣傳推廣組����、國際交流組和教育培訓(xùn)組。標準組主要負責(zé)標準的研究和制定;仲裁組負責(zé)投訴及事故的調(diào)查及處理;宣傳推廣組負責(zé)PIPA宣傳推廣;國際交流組負責(zé)國際間的交流與合作;教育培訓(xùn)組負責(zé)個人信息保護人才的教育���、培養(yǎng)研究及試點����,開展個人信息保護人才培養(yǎng)工作��。2.評價依據(jù)大連軟件行業(yè)協(xié)會在全國率先開始制定軟件及信息服務(wù)業(yè)的個人信息保護標準�,即《規(guī)范》��,經(jīng)過多年的實踐�����,在大連市的地方標準的基礎(chǔ)上���,形成了遼寧省的個人信息保護“省標”《遼寧省軟件
6����、與信息服務(wù)業(yè)個人信息保護規(guī)范》DB21/T15222007、《個人信息保護規(guī)范》DB21/T16282008和遼寧省地方標準《信息安全個人信息保護規(guī)范》DB21/T1628.12012�。目前大連軟件行業(yè)協(xié)會已經(jīng)發(fā)布通知自2014年6月1日起正式實施《信息安全個人信息保護規(guī)范》,即2012版標準替代目前實施的2008版標準[10]�����。3.評價流程個人信息保護評價流程包括申請���、受理��、文件審查(前期審查)�、現(xiàn)場審核����、公示15天、審批��、頒發(fā)合格證和標志等幾個環(huán)節(jié)[11]��。個人信息保護評價申請的前提是申請評價的企業(yè)按照《規(guī)范》的要求建立企業(yè)個人信息保護制度�,經(jīng)過三個月運行的檢驗,在這期
7�、間沒有發(fā)生任何涉及個人信息保護的重大事故,方得以開展評價申請��。4.評價監(jiān)督管理通過個人信息保護認證的企業(yè)并非一勞永逸,大連軟件行業(yè)協(xié)會對于通過認證的企業(yè)具有監(jiān)督管理的權(quán)利���。大連軟件行業(yè)協(xié)會對于通過認證的企業(yè)可以采取抽查的方式進行監(jiān)督管理����,對于抽查不合格的企業(yè)�,將限期整改,整改后仍然無法達到相關(guān)標準的企業(yè)��,則取消其使用個人信息保護合格證書和PIPA標志的資格��。同時���,大連軟件行業(yè)協(xié)會在接到重要舉報和投訴時��,可對認證企業(yè)進行復(fù)審,復(fù)審不合格的企業(yè)同樣取消其使用個人信息保護合格證書和PIPA標志的資格�。5.證書與標志通過個
