人物档案
高炽扬,工业和信息化部计算机与微电子发展研究中心副主任。
对话背景
4月12日,工业和信息化部宣布《信息安全技术:公共及商用服务信息系统个人信息保护指南》(下称“《指南》”)已编制完成、通过审议,上报至国家标准化管理委员会。该《指南》预计将于今年出台。
近年来,国务院、银监会、保监会等多部门已先后发布个人信息保护有关规章近200部,但个人信息泄露案件仍在近期呈集中爆发之势。在此背景下,《指南》的出台有何意义、还需填充哪些细化标准?立法滞后成因何在?公众的自我保护诉求及保护意识现状如何?近日,中国青年报记者专访了《指南》主要起草人高炽扬。
中国青年报:如何看待《指南》出台的意义?
高炽扬:即将出台的《指南》是一个整体的标准、框架。这样一来,个人用户和相关机构都有了参照标准,行业主管部门也可以通过这些指标梳理和评价行业的发展现状。
《指南》是个人信息领域的国家标准。在这一基础上,还要根据各个相关行业的性质、需求出台具体的管理要求、技术要求、评估准则。和个人信息打交道的行业包括医疗、保险、银行、房屋中介、婚恋网站等等。各行业对个人信息保护的需求不相同,标准自然各异。比如对医院而言,用户的身高、体重等属于一般信息,但是在婚恋网站上,这些就属于敏感信息。所以,未来在基本框架的基础上,还有很多细节需要填充。
中国青年报:为何该领域的立法停滞不前?
高炽扬:我认为,法律出台需要两个前提:其一是法律条文基础,这需要法学界和行业主管部门、社会各界的共同认可。目前在这一领域,法律学术上的很多基本概念、立法角度、依据都尚未理清。
其二是出台时机,即法律的出台是否有需求。个人信息泄露案件频发、用户保护诉求增强都是近两年集中出现的,因此造成了法律的滞后。但我认为,目前立法时机已经逐渐成熟了。我们要防止信息安全问题制约未来信息化的发展。
中国青年报:也有观点认为,个人信息保护、采集涉及诸多相关领域和部门。正是各个行业、部门间的利益关系仍未理清,才导致了立法的停滞不前。对此你怎么看?
高炽扬:不同的行业、部门必然有各自的考虑和需求,有争论是客观存在的。在个人信息领域划清其各自的权利和义务界限,需要一些时间。
中国青年报:对一些用户而言,个人信息泄露会带来哪些危害,仍是个比较抽象的概念。公众的防范和自我保护意识仍较弱。你能举例说明住址、财务状况等信息泄露会给个人带来哪些具体伤害吗?
高炽扬:比如手机诈骗是常见的犯罪手段。近几年,这一犯罪手段衍生出了新的方式。犯罪分子在获得了该号码用户的姓名及手机内联系人的号码后,往往会用一个新号码短信通知联系人:我换号码了,我是某某某,请惠存。收到这样的信息后,我们通常不会进一步确认短信的发送人是谁。这样一来,犯罪分子使用的号码就替代了原用户的号码。
这只是前期铺垫。过了几周后,犯罪分子便会用这个号码向联系人借钱。这样一来,整个诈骗环节的可信度就增强了很多。这个事例仅仅是个人信息泄露危害性的冰山一角。还有许多数目巨大的商业诈骗也都源自个人信息泄露。