大數(shù)據(jù)時代軟件產(chǎn)品個人信息安全認證機制構建*

陳　星

(廣西民族大學，廣西 南寧 530006)

?

大數(shù)據(jù)時代軟件產(chǎn)品個人信息安全認證機制構建*

陳星

(廣西民族大學，廣西 南寧 530006)

摘要：軟件產(chǎn)業(yè)的開發(fā)、生產(chǎn)、銷售各個環(huán)節(jié)都對于用戶個人信息保護與安全至關重要。在借鑒美國的隱私認證制度、日本的個人信息評價制度以及我國大連軟件及信息服務業(yè)個人信息評價制度的基礎上，提出從宏觀深入到微觀、從表面深入到實質、從產(chǎn)業(yè)深入到產(chǎn)品，將個人信息認證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強軟件行業(yè)的自律，切實保障廣大用戶的權益，增強用戶對于軟件產(chǎn)品的信心，并對該制度的構建著重從軟件產(chǎn)品個人信息保護認證標準和軟件產(chǎn)品個人信息保護認證流程兩個方面進行了探討。

關鍵詞：大數(shù)據(jù)；軟件產(chǎn)品；個人信息安全；認證機制

一、計算機軟件產(chǎn)品成為世界的核心和靈魂

(一)計算機軟件產(chǎn)業(yè)成為戰(zhàn)略性新興產(chǎn)業(yè)

工信部軟件服務業(yè)司司長陳偉表示：“今天，很多人提出了SDN(軟件定義網(wǎng)絡)、SDD(軟件定義數(shù)據(jù)中心)、SDS(軟件定義系統(tǒng))，而我認為，軟件可以定義世界(SDW)，軟件應該成為世界的核心和靈魂，成為信息消費的引擎和重要內(nèi)容?！盵1]軟件產(chǎn)業(yè)在我國國民經(jīng)濟中具有重要的戰(zhàn)略地位，隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的興起與廣泛運用，軟件產(chǎn)品已經(jīng)覆蓋人民生產(chǎn)、生活的各個領域，逐漸成為重要的民生物品。軟件產(chǎn)業(yè)個人信息保護不僅關系到本產(chǎn)業(yè)的發(fā)展，關系到國民高品質智能化生活，而且對于整個信息產(chǎn)業(yè)的長遠發(fā)展，對于信息消費市場的培育與推動，對于“寬帶中國”戰(zhàn)略的實施，對于國家信息安全的保障具有重要的戰(zhàn)略意義。

軟件產(chǎn)業(yè)已從一個朝陽產(chǎn)業(yè)逐步成為經(jīng)濟社會發(fā)展的戰(zhàn)略性、支柱性和先導性產(chǎn)業(yè)，軟件產(chǎn)品則是整個產(chǎn)業(yè)中的靈魂。作為支撐國民經(jīng)濟和社會發(fā)展的基礎產(chǎn)業(yè)，軟件產(chǎn)業(yè)是戰(zhàn)略性新興產(chǎn)業(yè)和現(xiàn)代信息技術產(chǎn)業(yè)體系的重要組織部分，在現(xiàn)代信息技術產(chǎn)業(yè)體系中的地位繼續(xù)提高，并成為整個信息產(chǎn)業(yè)生態(tài)體系發(fā)展與健全的重要支撐。隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)的挖掘、分析、利用為軟件產(chǎn)業(yè)的涅槃帶來新的機遇，軟件產(chǎn)品成為用戶數(shù)據(jù)、用戶個人信息進入網(wǎng)絡空間利用與處理的第一道關口。

在信息社會，社會對信息的依賴性越來越強。個人信息成為信息社會的一種重要社會資源[2]。大數(shù)據(jù)時代，用戶個人信息業(yè)已成為互聯(lián)網(wǎng)企業(yè)的核心競爭力，用戶個人信息的共享利用對于軟件產(chǎn)品發(fā)揮功效、為用戶提供更好的服務意義重大。計算機軟件產(chǎn)品的個人信息安全認證，關乎著整個產(chǎn)業(yè)的健康和可持續(xù)發(fā)展。針對隱私保護與個人信息保護的評價、認證，國內(nèi)外已通過立法、行業(yè)自律等多種形式進行實踐，積累了大量可資借鑒的經(jīng)驗[3]。美國著名的隱私保護認證機構主要有TRUSTe和BBBOnLine，前者為美國第一家民間認證機構，后者為促進良好商業(yè)顧問局委員會發(fā)起的認證計劃，這兩個認證機構的認證對象為網(wǎng)站。日本個人信息保護評價制度Privacy Mark(簡稱P-mark)和我國大連的個人信息保護評價制度(PIPA)極具代表性，但是兩者評價的對象是企事業(yè)單位，而不針對軟件產(chǎn)品，本研究將針對日本與大連的個人信息保護評價進行比較分析，然后結合軟件產(chǎn)品在數(shù)據(jù)挖掘分析方面的特點，構建專門針對軟件產(chǎn)品的個人信息安全認證制度。

(二)計算機軟件產(chǎn)品的界定

政治經(jīng)濟學將產(chǎn)品稱為商品，其共同觀點是，產(chǎn)品是人類勞動創(chuàng)造的物質成果。政治經(jīng)濟學的產(chǎn)品具有兩大屬性。一是使用價值，是指產(chǎn)品能滿足人們需要的屬性、質量和特征[4]。對于以計算機軟件為代表的新興事物是否屬于產(chǎn)品范疇，學界從來就沒有停止過爭議。傳統(tǒng)理論上，成為產(chǎn)品的首要條件是該產(chǎn)品必須是“物”，而自羅馬法以來，民法理論奉行“物必有體”的原則，物權法上的“物”僅限于有體物，而不包括無體物。以知識財產(chǎn)如作品、專利、商標等為代表的無體物，以信息為內(nèi)容，雖然依附于一定的有形物質載體，但本質上仍是一種無形[5]的智力成果，不應納入所有權客體的范圍[6]。因此，基于軟件作品生產(chǎn)的軟件產(chǎn)品也就不屬于傳統(tǒng)意義上“產(chǎn)品”的范疇。

技術業(yè)已變革，整個社會都在地動山搖發(fā)生著巨大的變化，如果法律制度仍然固守兩千年前的傳統(tǒng)理論，秉持“祖宗之法不可變”的陳詞濫調，那么法律制度必定束縛生產(chǎn)力的發(fā)展，并必然地被技術的迅猛發(fā)展而沖破。從物和產(chǎn)品的發(fā)展趨勢來看，隨著社會經(jīng)濟高速發(fā)展，物與產(chǎn)品的觀念均有擴展之勢[7]。世界各國出于對消費者權益的保護，不再對已經(jīng)以“產(chǎn)品”的形式流通的計算機軟件“視而不見”，紛紛以“計算機軟件產(chǎn)品”稱呼之，并開展相關立法規(guī)范。

我國立法實踐也早已將計算機軟件定義為“產(chǎn)品”。工業(yè)和信息化部2009年《軟件產(chǎn)品管理辦法》第3條將“軟件產(chǎn)品”定義為：指向用戶提供的計算機軟件、信息系統(tǒng)或者設備中嵌入的軟件或者在提供計算機信息系統(tǒng)集成、應用服務等技術服務時提供的計算機軟件。該定義描述了計算機軟件產(chǎn)品的技術特征，卻并未揭示出計算機軟件產(chǎn)品的本質。本研究認為，計算機軟件產(chǎn)品是指利用軟件作品與物質實體材料或電子信息材料相結合制造出來可以滿足人們生產(chǎn)生活需要的產(chǎn)品。

二、大數(shù)據(jù)時代計算機軟件產(chǎn)品沖擊用戶個人信息安全

計算機軟件產(chǎn)品是整個網(wǎng)絡空間的神經(jīng)末梢，是網(wǎng)民與互聯(lián)網(wǎng)直接鏈接的重要橋梁，是網(wǎng)絡空間中互聯(lián)網(wǎng)企業(yè)、政府機關、商業(yè)機構等單位和個人收集用戶個人信息的執(zhí)行工具和第一道關口。事實上，網(wǎng)絡空間中一切個人信息的收集利用均是基于計算機軟件而得以實現(xiàn)，與此同時，網(wǎng)民通過各種系統(tǒng)軟件與應用軟件實現(xiàn)信息的交互與傳遞，因此，計算機軟件產(chǎn)品對于網(wǎng)絡空間個人信息保護具有至關重要的地位。

當個人信息逐步成為信息社會重要的經(jīng)濟資源，計算機軟件則逐步淪為互聯(lián)網(wǎng)企業(yè)或其他商家攫取用戶個人信息資源的幫兇，甚至越來越多的軟件開發(fā)者專門開發(fā)竊取用戶個人信息的惡意軟件，通過販賣惡意盜取的用戶個人信息牟取巨大的商業(yè)利益。要治理網(wǎng)絡空間個人信息濫用與侵權的亂象，則必須以計算機軟件為入口和抓手，從源頭上截斷個人信息的無序收集，才能牽住網(wǎng)絡個人信息保護的牛鼻子，讓網(wǎng)絡空間個人信息的收集利用不再以踐踏個人信息主體的人格利益為基本手段，以法律制度制服科技這頭洪水猛獸，促進科技與基本人權保障之間的和諧發(fā)展。

由于計算機軟件對于個人信息收集利用改變了人類千百年來對于信息處理的方式，它在賦予人類強大數(shù)據(jù)處理能力的同時，也讓個人信息安全面臨前所未有的威脅。面對計算機時代個人信息保護的問題，世界各個國家和地區(qū)紛紛采取立法措施予以應對[8]。典型的如我國臺灣地區(qū)最早的個人信息保護相關規(guī)定直接命名為《電腦處理個人資料保護法》，其規(guī)范對象僅針對“電腦處理”的個人信息，而不包括人工處理的個人信息，可見其立法的最初目的乃在于應對計算機與互聯(lián)網(wǎng)的發(fā)展，專門針對計算機軟件收集、處理和利用個人信息進行規(guī)范。由于我國目前個人信息保護法律制度的滯后，互聯(lián)網(wǎng)企業(yè)利用軟件收集用戶個人信息無序化現(xiàn)象嚴重，時至今日，最為高新技術的信息產(chǎn)業(yè)仍舊奉行最原始的“叢林法則”，自騰訊與奇虎公司“3Q大戰(zhàn)”爆發(fā)以來，互聯(lián)網(wǎng)企業(yè)之間更是打著侵犯隱私與個人信息的旗號互相攻擊陷入“軍閥混戰(zhàn)”。2013年6月，美國通過九大互聯(lián)網(wǎng)企業(yè)服務器監(jiān)控全球各國政府與全世界網(wǎng)民的“棱鏡門”事件曝光，顯示出個人信息保護已不只事關個人權益，而是涉及到國家的主權與安全。然而，作為網(wǎng)絡空間個人信息收集的工具與第一道關口，計算機軟件產(chǎn)品安全認證機制在目前所有的個人信息保護研究中尚未受到應有的重視。

三、國內(nèi)外典型個人信息保護評價制度之比較與借鑒

(一)美國TRUSTe隱私認證制度評析

TRUSTe成立于1997年6月10日，是由商務網(wǎng)絡財團(CommerceNet Consortium)和電子前線基金會(Electronic Frontier Foundation,EFF)所組建的美國首個非盈利性的民間網(wǎng)絡隱私認證機構。TURSTe隱私計劃包括：一般網(wǎng)頁的隱私計劃、歐盟安全港隱私認證計劃、兒童的隱私認證計劃、電子郵件隱私認證計劃等。TRUSTe的隱私認證計劃以聯(lián)邦、各州和相關行業(yè)個人隱私保護的法規(guī)為標準，包括加利福尼亞州網(wǎng)絡隱私保護法(California Online Privacy Protection Act)、聯(lián)邦反垃圾郵件法(Federal CAN-SPAM Act)、聯(lián)邦貿(mào)易委員會批準的公平資訊慣例(Fair Information Practices)以及美國商業(yè)部的安全港隱私保護原則(Safe Harbor Privacy Principles)。

TRUSTe認證工作主要涵蓋以下幾個方面。

1.初始認證

當網(wǎng)站為獲得TRUSTe 的認證而提交了正式的申請表后，TRUSTe 將檢查申請網(wǎng)站，看它是否符合程序原則(Program Principles)。其目的是為了確保該網(wǎng)站的隱私政策，明確指出哪類個人信息被收集、誰在收集、為何目的收集、如何使用以及與誰共享等。如果網(wǎng)站符合TRUSTe關于隱私保護的認證要求，TRUSTe就會授予該網(wǎng)站隱私圖章，允許在其網(wǎng)站主頁上張貼TRUSTe的隱私圖章標志。

2.后續(xù)監(jiān)督

當申請網(wǎng)站成為會員后,TRUSTe就會定期檢查網(wǎng)站，確保網(wǎng)站的行為符合它公布的隱私聲明，并且檢查網(wǎng)站隱私聲明的變動。初始認證和后續(xù)監(jiān)督都是在網(wǎng)站事先不知道的情況下，通過提交特定標志符到網(wǎng)站來跟蹤該站點個人信息的使用，并監(jiān)控結果，以此來確定其信息收集使用行為是否與該站點的隱私聲明相符合。

3.爭端解決

當消費者認為網(wǎng)站侵犯其隱私權，而就隱私侵權問題不能得到會員網(wǎng)站恰當處理時，TRUSTe為其提供一種在線的爭端解決服務，即所謂的看門狗爭端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對涉嫌侵犯隱私而被消費者投訴的網(wǎng)站作出最終決定，網(wǎng)站必須執(zhí)行，否則其所獲得的隱私圖章將被取消，并被列入“不守規(guī)矩的網(wǎng)站”的名單中，TRUSTe甚至通過適當?shù)耐緩较蛳嚓P的法律權威部門提起訴訟，如美國貿(mào)易委員會或者消費保護機構等。這樣的爭端解決程序逐漸為TRUSTe 樹立了一定的威信。

(二)日本個人信息保護評價制度評析

日本早在1998年由非官方第三方機構日本情報處理開發(fā)協(xié)會(Japan Information Processing Development Corporation，JIPDEC)建立了P-mark認證制度，2005年日本《個人信息保護法》的實施，極大地推進了企業(yè)參與個人信息保護認證。

1998年制定的法律第95號《行政機關保有電子計算機處理個人情報保護法律》成為日本第一部保護個人信息的法律，但該法律僅針對公務機關，不針對非公務機關的個人信息收集、處理和利用進行規(guī)范。隨著互聯(lián)網(wǎng)的發(fā)展和信息技術的不斷成熟，個人信息透過電腦得以大量處理，并容易散布于互聯(lián)網(wǎng)上，社會大眾開始期盼民間企業(yè)能夠保護個人信息。由于要求有效率的保護個人信息的措施能盡快地實施,呼聲四起，于是根據(jù)當時通產(chǎn)省(現(xiàn)稱為經(jīng)產(chǎn)省Ministry of Economy,Trade and Industry)的指示，日本情報處理開發(fā)協(xié)會建立了一套自律驗證個人資料保護的管理制度，即Privacy Mark(P-mark)制度。該制度通過認證促使民間企業(yè)能采取適當?shù)拇胧﹣肀Ｗo個人信息。通過該制度認證的民間企業(yè)被授予隱私標識，企業(yè)可以在其商業(yè)活動期間有權展示隱私標識。該制度的隱私認證依據(jù)為日本工業(yè)標準 JIS Q 15001∶2006《個人資料保護管理系統(tǒng)——要求》。該標準在對跨境個人信息的保護方面，在3.4.3.4委托監(jiān)督中規(guī)定：“企業(yè)在委托別人使用全部或部分個人信息時，必須選定符合充分保護個人信息水平的企業(yè)，為此，委托者必須確立被委托者的選定標準?！?這就對日本企業(yè)在跨境外包業(yè)務時個人信息的利用提出了要求，外國企業(yè)如果達不到所謂“充分保護個人信息水平”，就無法承接日本企業(yè)的外包業(yè)務，這對我國以承接日本軟件外包業(yè)務為支柱的大連造成了巨大的沖擊。特別是2005年4月1日，日本《個人信息保護法》頒布后，我國大連對日外包軟件信息服務業(yè)受到很大的影響，這在一定程度上催生了我國大連的軟件及信息服務業(yè)個人信息保護評價制度。

(三)大連軟件及信息服務業(yè)個人信息保護評價制度

我國大連市是全國第一個制定個人信息保護標準并建立認證制度PIPA的城市。大連是我國承接日本軟件外包業(yè)務最集中的城市，軟件和服務外包產(chǎn)業(yè)是大連重點扶持的支持產(chǎn)業(yè)，日本2005年實施《個人信息保護法》將個人信息保護作為選擇軟件外包對象的重要條件，為了幫助企業(yè)達到對日軟件外包業(yè)務的門檻，大連軟件行業(yè)協(xié)會制定了《大連軟件及信息服務業(yè)個人信息保護規(guī)范》(以下簡稱《規(guī)范》)并于2006年4月推行實施，根據(jù)該《規(guī)范》的要求，大連于2006年5月1日正式建立了主要針對軟件及信息服務業(yè)的個人信息保護認證體系PIPA(Personal Information Protection Assessment)。2006年，大連軟件行業(yè)協(xié)會與日本情報處理開發(fā)協(xié)會(JIPDEC)簽定了PIPA與P-mark相互承認的合作協(xié)議，2008年6月，雙方達成互認。這是國際上首個兩國互相全面承認的個人信息保護認證體系的合作項目。它標志著中日兩國在信息交流方面的壁壘與障礙已消除，為促進我國信息服務外包產(chǎn)業(yè)的發(fā)展，以及國內(nèi)軟件企業(yè)承接日本外包業(yè)務增加了新的保障[9]。

軟件及信息服務業(yè)個人信息保護評價體系(PIPA)評價的對象主要是企業(yè)，其初衷在于幫助以軟件和信息服務業(yè)為主的企業(yè)建立個人信息保護制度，使得企業(yè)有能力在2005年日本《個人信息保護法》實施后繼續(xù)承接日本軟件外包業(yè)務。通過PIPA評價的企業(yè)可以得到個人信息保護合格證書和PIPA標志使用權。具體而言，大連個人信息保護評價制度包括以下幾個方面。

1.評價機構

軟件及信息服務業(yè)個人信息保護評價機構為大連軟件行業(yè)協(xié)會，下設個人信息保護工作委員會、PIPA辦公室和評價專家組。

PIPA辦公室主要負責PIPA文件管理和事務性工作，負責PIPA受理及投訴，負責評價員的聘任及管理工作，PIPA辦公室下設培訓教育部門，負責個人信息保護企業(yè)培訓和評價員培訓、考核。

個人信息保護工作委員會主要負責標準和PIPA體系相關文件的制定、修改和完善，負責PIPA申批、投訴及事故處理結果的審批，負責對PIPA的監(jiān)督及聘任評價員的審批等工作。工作委員會下設：標準組、仲裁組、宣傳推廣組、國際交流組和教育培訓組。標準組主要負責標準的研究和制定；仲裁組負責投訴及事故的調查及處理；宣傳推廣組負責PIPA宣傳推廣；國際交流組負責國際間的交流與合作；教育培訓組負責個人信息保護人才的教育、培養(yǎng)研究及試點，開展個人信息保護人才培養(yǎng)工作。

2.評價依據(jù)

大連軟件行業(yè)協(xié)會在全國率先開始制定軟件及信息服務業(yè)的個人信息保護標準，即《規(guī)范》，經(jīng)過多年的實踐，在大連市的地方標準的基礎上，形成了遼寧省的個人信息保護“省標”《遼寧省軟件與信息服務業(yè)個人信息保護規(guī)范》DB21/T 1522-2007、《個人信息保護規(guī)范》DB21/T 1628-2008和遼寧省地方標準《信息安全個人信息保護規(guī)范》DB21/T 1628.1-2012。目前大連軟件行業(yè)協(xié)會已經(jīng)發(fā)布通知自2014年6月1日起正式實施《信息安全個人信息保護規(guī)范》，即2012版標準替代目前實施的2008版標準[10]。

3.評價流程

個人信息保護評價流程包括申請、受理、文件審查(前期審查)、現(xiàn)場審核、公示15天、審批、頒發(fā)合格證和標志等幾個環(huán)節(jié)[11]。個人信息保護評價申請的前提是申請評價的企業(yè)按照《規(guī)范》的要求建立企業(yè)個人信息保護制度，經(jīng)過三個月運行的檢驗，在這期間沒有發(fā)生任何涉及個人信息保護的重大事故，方得以開展評價申請。

4.評價監(jiān)督管理

通過個人信息保護認證的企業(yè)并非一勞永逸，大連軟件行業(yè)協(xié)會對于通過認證的企業(yè)具有監(jiān)督管理的權利。大連軟件行業(yè)協(xié)會對于通過認證的企業(yè)可以采取抽查的方式進行監(jiān)督管理，對于抽查不合格的企業(yè)，將限期整改，整改后仍然無法達到相關標準的企業(yè)，則取消其使用個人信息保護合格證書和PIPA標志的資格。同時，大連軟件行業(yè)協(xié)會在接到重要舉報和投訴時，可對認證企業(yè)進行復審，復審不合格的企業(yè)同樣取消其使用個人信息保護合格證書和PIPA標志的資格。

5.證書與標志

通過個人信息保護認證的企業(yè)，由大連軟件行業(yè)協(xié)會頒發(fā)個人信息保護合格證書、PIPA標志，證書和標志在兩年內(nèi)有效。

值得一提的是，由于大連行業(yè)協(xié)會與日本情報處理開發(fā)協(xié)會簽署了互認合作協(xié)議，即通過大連PIPA認證的企業(yè)受到日本情報處理開發(fā)協(xié)會的個人信息認證體系P-mark認可，無需再另行申請日本P-mark認證，因此，通過大連行業(yè)協(xié)會個人信息保護認證的企業(yè)還可以獲得PIPA-mark互認標志。

(四)中美日個人信息保護評價制度比較及啟示

中美日的個人信息保護評價制度各具特色，三者的共同點在于均是出于對用戶個人信息和隱私的保護而構建的一整套認證制度，均是以非官方組織為主導開展的評價認證，三者的差別在于：

從評價對象來看，以TRUSTe為代表的美國個人信息評價制度主要針對網(wǎng)絡進行評價，而不限行業(yè)；日本的P-mark個人信息評價體系則是針對所有企業(yè)，而不僅僅是企業(yè)的網(wǎng)站；大連的PIPA個人信息評價體系針對的主要是軟件及信息服務業(yè)的企業(yè)，有明顯的行業(yè)特征。

從評價的地域范圍來看，由于互聯(lián)網(wǎng)的無國界性，以TRUSTe為代表的美國個人信息評價制度目前已經(jīng)發(fā)展成為一個全球性的認證體系，并不局限于僅對美國的網(wǎng)站開展認證業(yè)務；日本的P-mark個人信息評價體系則是針對日本的企業(yè)開展認證服務，是日本國家級的認證體系，但不針對國外的企業(yè)開展認證；大連的PIPA評價體系最初僅僅局限于針對大連市的企業(yè)，而且是對軟件和信息服務業(yè)的企業(yè)開展評價，現(xiàn)在逐步向全國范圍內(nèi)擴大。

通過對比中美日三國個人信息保護評價制度，可以得到如下啟示：目前，我國尚未建立全國性的個人信息保護認證體系，已經(jīng)嚴重影響到大數(shù)據(jù)時代我國信息產(chǎn)業(yè)的長遠發(fā)展。隨著信息化社會的發(fā)展和國家網(wǎng)絡空間安全保障戰(zhàn)略的構建，全國性個人信息保護制度的建立已經(jīng)勢在必行，與之相伴的是建立全國統(tǒng)一的個人信息保護認證體系。我國已于2012年12月28日出臺《全國人大常委會關于加強網(wǎng)絡信息保護的決定》，并于2013年2月1日起正式實施《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》(GB/Z 28828-2012)，該標準是我國第一個個人信息保護國家標準，中國軟件評測中心也著手在此標準基礎上建立全國性的個人信息保護管理體系認證，對企業(yè)級的個人信息保護能力進行總體評價。未來建立的中國個人信息保護認證機制還必須加強國際合作與互認，使通過認證的企業(yè)能夠得到國際社會的認可，促進全球信息安全保障的實現(xiàn)。

中美日現(xiàn)有隱私和個人信息評價制度帶給我們更為重要的啟示意義在于，個人信息評價必須從宏觀深入到微觀、從表面深入到實質、從產(chǎn)業(yè)深入到產(chǎn)品，將個人信息認證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強軟件行業(yè)的自律，切實保障廣大用戶的權益，增強用戶對于軟件產(chǎn)品的信心。

四、我國軟件產(chǎn)品個人信息安全認證制度構建的對策

個人信息安全認證制度并非強制性的機制，而是非官方機構開展個人信息保護行業(yè)自律的重要形式，國內(nèi)外的實踐均取得了顯著的成效。我國加強軟件產(chǎn)品個人信息保護，可以借鑒現(xiàn)有國內(nèi)外主要針對網(wǎng)站、軟件開發(fā)企業(yè)的個人信息保護認證制度，構建更為精細的軟件產(chǎn)品個人信息安全認證制度。

軟件產(chǎn)品個人信息安全認證制度的建立，主要應當從軟件產(chǎn)品個人信息安全認證管理機構、認證管理標準、建立認證管理流程制度和軟件產(chǎn)品違規(guī)處罰與退出制度等幾個方面著力進行。軟件產(chǎn)品個人信息安全認證管理機構應當是全國性的民間非營利組織，可制定具有權威性的國家級軟件產(chǎn)品認證管理標準。目前我國現(xiàn)有條件下，可在工信部指導下成立全國性的軟件產(chǎn)品個人信息安全認證協(xié)會或借助現(xiàn)有工信部直屬事業(yè)單位——中國軟件測評中心開展軟件產(chǎn)品個人信息安全認證工作。軟件產(chǎn)品個人信息安全認證制度的建立，有利于廣大軟件開發(fā)者的健康成長，培育具有責任感和事業(yè)心的軟件開發(fā)者，幫助用戶辨別軟件產(chǎn)品的安全性，符合整個產(chǎn)業(yè)的長遠發(fā)展需要。下面就軟件產(chǎn)品個人信息安全認證制度構建中的核心問題即認證標準和認證流程進行深入探討。

(一)軟件產(chǎn)品個人信息安全認證標準

軟件產(chǎn)品個人信息安全認證標準是軟件產(chǎn)品個人信息安全認證最基本的依據(jù)，放眼全球，目前尚無一個針對軟件產(chǎn)品個人信息安全認證的標準，只有類似針對整個企業(yè)的個人信息保護管理系統(tǒng)的標準、針對軟件和信息服務業(yè)整個行業(yè)的個人信息保護規(guī)范、針對網(wǎng)站的隱私認證標準，而缺乏針對最直接收集個人信息的計算機軟件產(chǎn)品的個人信息安全認證標準。

日本JIS Q 15001∶2006《個人資料保護管理系統(tǒng)——要求》對我國個人信息保護評價標準影響較大。我國現(xiàn)有個人信息保護標準主要有《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》(GB/Z 28828-2012)、《遼寧省軟件與信息服務業(yè)個人信息保護規(guī)范》DB21/T 1522-2007、《個人信息保護規(guī)范》DB21/T 1628-2008和遼寧省地方標準《信息安全 個人信息保護規(guī)范》DB21/T 1628.1-2012。2013年2月1日起正式實施的《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》(GB/Z 28828-2012)是我國第一個個人信息保護國家標準，該標準針對個人信息分類規(guī)定授權方式提出處理個人信息的八項基本原則，使我國個人信息保護進入“有標可依”的階段，但是該標準是非強制性的，靠企業(yè)自律實施。其余三個遼寧省的地方標準，均由大連軟件行業(yè)協(xié)會主導制定。2007年6月13日正式發(fā)布、2007年8月1日開始實施的《遼寧省軟件及信息服務業(yè)個人信息保護規(guī)范》DB21/T 1522-2007為遼寧省地方行業(yè)標準，是我國首個全省性的個人信息保護行業(yè)標準。該標準是在借鑒世界經(jīng)濟合作發(fā)展組織(OECD)《關于保護隱私和個人數(shù)據(jù)跨國流通指導原則》的基礎上，參考各國個人信息保護立法與行業(yè)自律標準，結合我國相關法規(guī)和標準制定的。《信息安全個人信息保護規(guī)范》DB21/T 1628.1-2012為遼寧省地方標準，于2012年2月7日發(fā)布、3月7日正式實施，該標準適用于自動或非自動處理全部或部分個人信息的機關、企業(yè)、事業(yè)、社會團體等組織。無論是國家級標準還是地方級標準，在很大程度上為企業(yè)個人信息保護體制的建立提供了參考依據(jù)，起到了指導作用，具有一定的進步意義。

總體而言，現(xiàn)有標準由于主要針對企事業(yè)單位，其內(nèi)容是輪廓式、粗線條式的。軟件產(chǎn)品的個人信息保護標準則需要在此基礎上更為精細，促使軟件產(chǎn)品將個人信息保護法律和個人信息保護標準賦予用戶的各項權利予以落實，而對于用戶個人信息收集、利用的類別、范圍、方式予以嚴格控制。軟件產(chǎn)品個人信息保護標準有必要在現(xiàn)有國家標準《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》(GB/Z 28828-2012)的基礎上進一步細化，結合軟件產(chǎn)品運行的特點，使用戶的個人信息安全及權利得以保障。

(二)軟件產(chǎn)品個人信息安全認證流程

建立軟件產(chǎn)品申請個人信息保護認證流程，對于符合個人信息保護法律收集、利用和處理的軟件產(chǎn)品，經(jīng)審查合格的，頒發(fā)軟件產(chǎn)品個人信息保護合格證書與標志。該軟件產(chǎn)品的開發(fā)者和利用者可以在其上注明個人信息保護合格標志，以告知用戶，增加用戶對其的信賴感。軟件產(chǎn)品個人信息安全認證流程與軟件企業(yè)的個人信息保護認證并不相同，前者注重的是軟件產(chǎn)品是否合法收集利用用戶個人信息、是否保障用戶個人信息安全，而后者強調的是企業(yè)個人信息保護管理體系的建立以及對于個人信息保護的政策。

本研究結合國內(nèi)外隱私認證和企業(yè)個人信息保護評價的流程，對軟件產(chǎn)品個人信息安全認證流程初步設計如下。

1.申報

欲進行個人信息保護認證的軟件產(chǎn)品開發(fā)者或生產(chǎn)者、經(jīng)營者作為申請單位需填寫《軟件產(chǎn)品個人信息安全認證申請書》及相關附件材料呈交評價機構。

2.資料審查

由評價機構對申請單位提交的《軟件產(chǎn)品個人信息安全認證申請書》及相關附件材料進行審查，審查合格者制作審查合格報告，并進入軟件信息保護評估階段，不合格者返回補正。

3.軟件信息保護評估

資料審查合格的單位向評價機構提交軟件產(chǎn)品樣品一份，由評價機構利用技術手段針對軟件的安全性進行測試，包括軟件產(chǎn)品的信息安全、軟件產(chǎn)品的運行機制、軟件產(chǎn)品對于用戶個人信息的收集利用情況等方面，并由專家組進行評估，最終形成評價報告。通過者進入審核階段；未通過者，申報單位按照專家組的評價意見進行一次改進完善，改進完善后重新進行評估，如仍不能通過，則出具評估不合格報告，若未進行實質性修改完善，不得再申請進行個人信息安全評價。

4.審核

依據(jù)專家組形成的評價報告，評價機構進行審核，而后簽署最終審核意見。評價機構對通過審核者公示10個工作日，其間如沒有實質性異議，則正式通過審核并予以公告，頒發(fā)“軟件產(chǎn)品個人信息安全合格證書”及認證標志。

對于授予“軟件產(chǎn)品個人信息安全合格證書”及認證標志的軟件產(chǎn)品，評價機構有監(jiān)督管理的權利，可以對軟件產(chǎn)品運行中個人信息保護情況進行抽查。對抽查不合格的軟件產(chǎn)品限期整改，整改后仍不符合個人信息安全標準的軟件產(chǎn)品，將取消其對于“軟件產(chǎn)品個人信息安全合格證書”和認證標志的使用資格。用戶在使用過程中可以對軟件產(chǎn)品個人信息保護進行監(jiān)督，若發(fā)現(xiàn)軟件產(chǎn)品存在違法收集、利用用戶個人信息，甚至竊取用戶個人信息的行為，則可以向評價機構進行舉報，評價機構經(jīng)查證若屬實，則取消“軟件產(chǎn)品個人信息安全合格證書”和認證標志，并予以通報。

通過軟件產(chǎn)品個人信息安全認證機制的構建，有助于培育一批品質優(yōu)良、注重用戶權益、服務經(jīng)濟社會發(fā)展需要的軟件產(chǎn)品，從而肅清我國軟件產(chǎn)品市場魚目混珠的亂象，引領軟件產(chǎn)業(yè)的發(fā)展，為信息產(chǎn)業(yè)的長遠發(fā)展奠定基礎。

參考文獻：

[1]姚傳富.軟件正在定義世界[EB/OL].(2013-05-29)[2015-01-28].http://news.xinhuanet.com/info/2013- 05/29/c_132416051.htm.

[2]齊愛民.拯救信息社會中的人格——個人信息保護法總論[M].北京：北京大學出版社,2009:20.

[3]刁勝先.個人信息網(wǎng)絡侵權責任形式的分類與構成要件[J].重慶郵電大學學報(社會科學版)，2014(2)：28-35.

[4]劉東升，陳宇杰.政治經(jīng)濟學原理[M].北京：對外經(jīng)濟貿(mào)易大學出版社，1999:52.

[5]梁慧星，陳華彬.物權法[M].北京：法律出版社，1997：67.

[6]吳漢東，胡開忠.無形財產(chǎn)權制度研究[M].北京：法律出版社，2001:33.

[7]趙相林，曹俊.國際產(chǎn)品責任法[M].北京：中國政法大學出版社，2000:46.

[8]張娟，李儀.電子商務環(huán)境下消費者個人信息保護危機與應對——以新制度經(jīng)濟學為視角[J].重慶郵電大學學報(社會科學版)，2015(3)：39-43.

[9]PIPA介紹[EB/OL].(2013-10-28)[2015-01-28].http://www.pipa.gov.cn/NewsDetail.asp?ID=273.

[10]關于2014年正式實施《信息安全 個人信息保護規(guī)范》(DB21/T 1628.1-2012)的通知[EB/OL].(2014- 01-12)[2015-01-11].http://www.pipa.gov.cn/NewsDetail.asp?ID=920.

[11]個人信息保護評價(PIPA)流程圖[EB/OL].(2013-11-12)[2015-02-12].http://www.pipa.gov.cn/Flow.asp.

(編輯:劉仲秋)

Software Products Personal Information Security Authentication Mechanism in Big Data Era

CHEN Xing

(GuangxiUniversityforNationalities,Nanning530006，China)

Abstract:The various aspects of software industry, including developing, producing and selling, play a critical role in protection and security of users’ personal information. Based on using for reference the privacy authentication system of the United States, the personal information evaluation system of Japan and the personal information evaluation system of software and information service industry in Dalian, China, the paper proposes personal information authentication system to be extended to ends of software industry and self-regulation in software industry to be strengthened comprehensively, from macro level down to micro level, from the surface deep into the essence, from industry detailed into products, so as to effectively guarantee the rights and interests of the vast users, and to strengthen their confidence in software products. As to the establishment of this system, two aspects, i.e. Software products personal information authentication standards and procedures are mainly discussed.

Keywords:big data; software products; personal information security; authentication mechanism

中圖分類號：D923；G203

文獻標識碼：A

文章編號：1673- 8268(2016)02- 0039- 07

DOI：10.3969/j.issn.1673- 8268.2016.02.007

作者簡介：陳星(1985-)，男，四川武勝人，廣西知識產(chǎn)權發(fā)展研究院研究員，知識產(chǎn)權法博士，主要從事網(wǎng)絡信息法與知識產(chǎn)權法研究。

基金項目：國家社會科學基金重大項目：國家網(wǎng)絡空間安全法律保障機制研究(13&ZD181)；廣西民族大學科研基金資助課題：大數(shù)據(jù)時代個人信息權保障法律規(guī)則(2014MDQD004)

收稿日期：2015- 05-25修回日期：2015- 06-08