中文核心期刊論文發(fā)表軟件產(chǎn)品個人信息安全認(rèn)證機(jī)制構(gòu)建

　　現(xiàn)在的社會是個互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)上傳播信息的速度是非常快速的，同時個人信息的安全性也備受關(guān)注，本文就主要針對軟件產(chǎn)品個人信息安全認(rèn)證機(jī)制進(jìn)行了一些研究，文章是一篇中文核心期刊論文發(fā)表范文。
　　摘要：軟件產(chǎn)業(yè)的開發(fā)、生產(chǎn)、銷售各個環(huán)節(jié)都對于用戶個人信息保護(hù)與安全至關(guān)重要。在借鑒美國的隱私認(rèn)證制度、日本的個人信息評價制度以及我國大連軟件及信息服務(wù)業(yè)個人信息評價制度的基礎(chǔ)上，提出從宏觀深入到微觀、從表面深入到實(shí)質(zhì)、從產(chǎn)業(yè)深入到產(chǎn)品，將個人信息認(rèn)證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強(qiáng)軟件行業(yè)的自律，切實(shí)保障廣大用戶的權(quán)益，增強(qiáng)用戶對于軟件產(chǎn)品的信心，并對該制度的構(gòu)建著重從軟件產(chǎn)品個人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)和軟件產(chǎn)品個人信息保護(hù)認(rèn)證流程兩個方面進(jìn)行了探討。

　　關(guān)鍵詞：大數(shù)據(jù),軟件產(chǎn)品,個人信息安全,認(rèn)證機(jī)制

　　一、計算機(jī)軟件產(chǎn)品成為世界的核心和靈魂(一)計算機(jī)軟件產(chǎn)業(yè)成為戰(zhàn)略性新興產(chǎn)業(yè)工信部軟件服務(wù)業(yè)司司長陳偉表示：“今天，很多人提出了SDN(軟件定義網(wǎng)絡(luò))、SDD(軟件定義數(shù)據(jù)中心)、SDS(軟件定義系統(tǒng))，而我認(rèn)為，軟件可以定義世界(SDW)，軟件應(yīng)該成為世界的核心和靈魂，成為信息消費(fèi)的引擎和重要內(nèi)容。”[1]軟件產(chǎn)業(yè)在我國國民經(jīng)濟(jì)中具有重要的戰(zhàn)略地位，隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的興起與廣泛運(yùn)用，軟件產(chǎn)品已經(jīng)覆蓋人民生產(chǎn)、生活的各個領(lǐng)域，逐漸成為重要的民生物品。軟件產(chǎn)業(yè)個人信息保護(hù)不僅關(guān)系到本產(chǎn)業(yè)的發(fā)展，關(guān)系到國民高品質(zhì)智能化生活，而且對于整個信息產(chǎn)業(yè)的長遠(yuǎn)發(fā)展，對于信息消費(fèi)市場的培育與推動，對于“寬帶中國”戰(zhàn)略的實(shí)施，對于國家信息安全的保障具有重要的戰(zhàn)略意義。

　　軟件產(chǎn)業(yè)已從一個朝陽產(chǎn)業(yè)逐步成為經(jīng)濟(jì)社會發(fā)展的戰(zhàn)略性、支柱性和先導(dǎo)性產(chǎn)業(yè)，軟件產(chǎn)品則是整個產(chǎn)業(yè)中的靈魂。作為支撐國民經(jīng)濟(jì)和社會發(fā)展的基礎(chǔ)產(chǎn)業(yè)，軟件產(chǎn)業(yè)是戰(zhàn)略性新興產(chǎn)業(yè)和現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系的重要組織部分，在現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系中的地位繼續(xù)提高，并成為整個信息產(chǎn)業(yè)生態(tài)體系發(fā)展與健全的重要支撐。隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)的挖掘、分析、利用為軟件產(chǎn)業(yè)的涅??帶來新的機(jī)遇，軟件產(chǎn)品成為用戶數(shù)據(jù)、用戶個人信息進(jìn)入網(wǎng)絡(luò)空間利用與處理的第一道關(guān)口。

　　在信息社會，社會對信息的依賴性越來越強(qiáng)。個人信息成為信息社會的一種重要社會資源[2]。大數(shù)據(jù)時代，用戶個人信息業(yè)已成為互聯(lián)網(wǎng)企業(yè)的核心競爭力，用戶個人信息的共享利用對于軟件產(chǎn)品發(fā)揮功效、為用戶提供更好的服務(wù)意義重大。計算機(jī)軟件產(chǎn)品的個人信息安全認(rèn)證，關(guān)乎著整個產(chǎn)業(yè)的健康和可持續(xù)發(fā)展。針對隱私保護(hù)與個人信息保護(hù)的評價、認(rèn)證，國內(nèi)外已通過立法、行業(yè)自律等多種形式進(jìn)行實(shí)踐，積累了大量可資借鑒的經(jīng)驗(yàn)[3]。美國著名的隱私保護(hù)認(rèn)證機(jī)構(gòu)主要有TRUSTe和BBBOnLine，前者為美國第一家民間認(rèn)證機(jī)構(gòu)，后者為促進(jìn)良好商業(yè)顧問局委員會發(fā)起的認(rèn)證計劃，這兩個認(rèn)證機(jī)構(gòu)的認(rèn)證對象為網(wǎng)站。日本個人信息保護(hù)評價制度Privacy Mark(簡稱Pmark)和我國大連的個人信息保護(hù)評價制度(PIPA)極具代表性，但是兩者評價的對象是企事業(yè)單位，而不針對軟件產(chǎn)品，本研究將針對日本與大連的個人信息保護(hù)評價進(jìn)行比較分析，然后結(jié)合軟件產(chǎn)品在數(shù)據(jù)挖掘分析方面的特點(diǎn)，構(gòu)建專門針對軟件產(chǎn)品的個人信息安全認(rèn)證制度。

　　(二)計算機(jī)軟件產(chǎn)品的界定

　　政治經(jīng)濟(jì)學(xué)將產(chǎn)品稱為商品，其共同觀點(diǎn)是，產(chǎn)品是人類勞動創(chuàng)造的物質(zhì)成果。政治經(jīng)濟(jì)學(xué)的產(chǎn)品具有兩大屬性。一是使用價值，是指產(chǎn)品能滿足人們需要的屬性、質(zhì)量和特征[4]。對于以計算機(jī)軟件為代表的新興事物是否屬于產(chǎn)品范疇，學(xué)界從來就沒有停止過爭議。傳統(tǒng)理論上，成為產(chǎn)品的首要條件是該產(chǎn)品必須是“物”，而自羅馬法以來，民法理論奉行“物必有體”的原則，物權(quán)法上的“物”僅限于有體物，而不包括無體物。以知識財產(chǎn)如作品、專利、商標(biāo)等為代表的無體物，以信息為內(nèi)容，雖然依附于一定的有形物質(zhì)載體，但本質(zhì)上仍是一種無形[5]的智力成果，不應(yīng)納入所有權(quán)客體的范圍[6]。因此，基于軟件作品生產(chǎn)的軟件產(chǎn)品也就不屬于傳統(tǒng)意義上“產(chǎn)品”的范疇。

　　技術(shù)業(yè)已變革，整個社會都在地動山搖發(fā)生著巨大的變化，如果法律制度仍然固守兩千年前的傳統(tǒng)理論，秉持“祖宗之法不可變”的陳詞濫調(diào)，那么法律制度必定束縛生產(chǎn)力的發(fā)展，并必然地被技術(shù)的迅猛發(fā)展而沖破。從物和產(chǎn)品的發(fā)展趨勢來看，隨著社會經(jīng)濟(jì)高速發(fā)展，物與產(chǎn)品的觀念均有擴(kuò)展之勢[7]。世界各國出于對消費(fèi)者權(quán)益的保護(hù)，不再對已經(jīng)以“產(chǎn)品”的形式流通的計算機(jī)軟件“視而不見”，紛紛以“計算機(jī)軟件產(chǎn)品”稱呼之，并開展相關(guān)立法規(guī)范。

　　我國立法實(shí)踐也早已將計算機(jī)軟件定義為“產(chǎn)品”。工業(yè)和信息化部2009年《軟件產(chǎn)品管理辦法》第3條將“軟件產(chǎn)品”定義為：指向用戶提供的計算機(jī)軟件、信息系統(tǒng)或者設(shè)備中嵌入的軟件或者在提供計算機(jī)信息系統(tǒng)集成、應(yīng)用服務(wù)等技術(shù)服務(wù)時提供的計算機(jī)軟件。該定義描述了計算機(jī)軟件產(chǎn)品的技術(shù)特征，卻并未揭示出計算機(jī)軟件產(chǎn)品的本質(zhì)。本研究認(rèn)為，計算機(jī)軟件產(chǎn)品是指利用軟件作品與物質(zhì)實(shí)體材料或電子信息材料相結(jié)合制造出來可以滿足人們生產(chǎn)生活需要的產(chǎn)品。二、大數(shù)據(jù)時代計算機(jī)軟件產(chǎn)品沖擊用戶個人信息安全計算機(jī)軟件產(chǎn)品是整個網(wǎng)絡(luò)空間的神經(jīng)末梢，是網(wǎng)民與互聯(lián)網(wǎng)直接鏈接的重要橋梁，是網(wǎng)絡(luò)空間中互聯(lián)網(wǎng)企業(yè)、政府機(jī)關(guān)、商業(yè)機(jī)構(gòu)等單位和個人收集用戶個人信息的執(zhí)行工具和第一道關(guān)口。事實(shí)上，網(wǎng)絡(luò)空間中一切個人信息的收集利用均是基于計算機(jī)軟件而得以實(shí)現(xiàn)，與此同時，網(wǎng)民通過各種系統(tǒng)軟件與應(yīng)用軟件實(shí)現(xiàn)信息的交互與傳遞，因此，計算機(jī)軟件產(chǎn)品對于網(wǎng)絡(luò)空間個人信息保護(hù)具有至關(guān)重要的地位。

　　當(dāng)個人信息逐步成為信息社會重要的經(jīng)濟(jì)資源，計算機(jī)軟件則逐步淪為互聯(lián)網(wǎng)企業(yè)或其他商家攫取用戶個人信息資源的幫兇，甚至越來越多的軟件開發(fā)者專門開發(fā)竊取用戶個人信息的惡意軟件，通過販賣惡意盜取的用戶個人信息牟取巨大的商業(yè)利益。要治理網(wǎng)絡(luò)空間個人信息濫用與侵權(quán)的亂象，則必須以計算機(jī)軟件為入口和抓手，從源頭上截斷個人信息的無序收集，才能牽住網(wǎng)絡(luò)個人信息保護(hù)的牛鼻子，讓網(wǎng)絡(luò)空間個人信息的收集利用不再以踐踏個人信息主體的人格利益為基本手段，以法律制度制服科技這頭洪水猛獸，促進(jìn)科技與基本人權(quán)保障之間的和諧發(fā)展。 　　由于計算機(jī)軟件對于個人信息收集利用改變了人類千百年來對于信息處理的方式，它在賦予人類強(qiáng)大數(shù)據(jù)處理能力的同時，也讓個人信息安全面臨前所未有的威脅。面對計算機(jī)時代個人信息保護(hù)的問題，世界各個國家和地區(qū)紛紛采取立法措施予以應(yīng)對[8]。典型的如我國臺灣地區(qū)最早的個人信息保護(hù)相關(guān)規(guī)定直接命名為《電腦處理個人資料保護(hù)法》，其規(guī)范對象僅針對“電腦處理”的個人信息，而不包括人工處理的個人信息，可見其立法的最初目的乃在于應(yīng)對計算機(jī)與互聯(lián)網(wǎng)的發(fā)展，專門針對計算機(jī)軟件收集、處理和利用個人信息進(jìn)行規(guī)范。由于我國目前個人信息保護(hù)法律制度的滯后，互聯(lián)網(wǎng)企業(yè)利用軟件收集用戶個人信息無序化現(xiàn)象嚴(yán)重，時至今日，最為高新技術(shù)的信息產(chǎn)業(yè)仍舊奉行最原始的“叢林法則”，自騰訊與奇虎公司“3Q大戰(zhàn)”爆發(fā)以來，互聯(lián)網(wǎng)企業(yè)之間更是打著侵犯隱私與個人信息的旗號互相攻擊陷入“軍閥混戰(zhàn)”。2013年6月，美國通過九大互聯(lián)網(wǎng)企業(yè)服務(wù)器監(jiān)控全球各國政府與全世界網(wǎng)民的“棱鏡門”事件曝光，顯示出個人信息保護(hù)已不只事關(guān)個人權(quán)益，而是涉及到國家的主權(quán)與安全。然而，作為網(wǎng)絡(luò)空間個人信息收集的工具與第一道關(guān)口，計算機(jī)軟件產(chǎn)品安全認(rèn)證機(jī)制在目前所有的個人信息保護(hù)研究中尚未受到應(yīng)有的重視。三、國內(nèi)外典型個人信息保護(hù)評價制度之比較與借鑒(一)美國TRUSTe隱私認(rèn)證制度評析

　　TRUSTe成立于1997年6月10日，是由商務(wù)網(wǎng)絡(luò)財團(tuán)(CommerceNet Consortium)和電子前線基金會(Electronic Frontier Foundation，EFF)所組建的美國首個非盈利性的民間網(wǎng)絡(luò)隱私認(rèn)證機(jī)構(gòu)。TURSTe隱私計劃包括：一般網(wǎng)頁的隱私計劃、歐盟安全港隱私認(rèn)證計劃、兒童的隱私認(rèn)證計劃、電子郵件隱私認(rèn)證計劃等。TRUSTe的隱私認(rèn)證計劃以聯(lián)邦、各州和相關(guān)行業(yè)個人隱私保護(hù)的法規(guī)為標(biāo)準(zhǔn)，包括加利福尼亞州網(wǎng)絡(luò)隱私保護(hù)法(California Online Privacy Protection Act)、聯(lián)邦反垃圾郵件法(Federal CANSPAM Act)、聯(lián)邦貿(mào)易委員會批準(zhǔn)的公平資訊慣例(Fair Information Practices)以及美國商業(yè)部的安全港隱私保護(hù)原則(Safe Harbor Privacy Principles)。

　　TRUSTe認(rèn)證工作主要涵蓋以下幾個方面。

　　1.初始認(rèn)證

　　當(dāng)網(wǎng)站為獲得TRUSTe 的認(rèn)證而提交了正式的申請表后，TRUSTe 將檢查申請網(wǎng)站，看它是否符合程序原則(Program Principles)。其目的是為了確保該網(wǎng)站的隱私政策，明確指出哪類個人信息被收集、誰在收集、為何目的收集、如何使用以及與誰共享等。如果網(wǎng)站符合TRUSTe關(guān)于隱私保護(hù)的認(rèn)證要求，TRUSTe就會授予該網(wǎng)站隱私圖章，允許在其網(wǎng)站主頁上張貼TRUSTe的隱私圖章標(biāo)志。

　　2.后續(xù)監(jiān)督

　　當(dāng)申請網(wǎng)站成為會員后，TRUSTe就會定期檢查網(wǎng)站，確保網(wǎng)站的行為符合它公布的隱私聲明，并且檢查網(wǎng)站隱私聲明的變動。初始認(rèn)證和后續(xù)監(jiān)督都是在網(wǎng)站事先不知道的情況下，通過提交特定標(biāo)志符到網(wǎng)站來跟蹤該站點(diǎn)個人信息的使用，并監(jiān)控結(jié)果，以此來確定其信息收集使用行為是否與該站點(diǎn)的隱私聲明相符合。

　　3.爭端解決

　　當(dāng)消費(fèi)者認(rèn)為網(wǎng)站侵犯其隱私權(quán)，而就隱私侵權(quán)問題不能得到會員網(wǎng)站恰當(dāng)處理時，TRUSTe為其提供一種在線的爭端解決服務(wù)，即所謂的看門狗爭端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對涉嫌侵犯隱私而被消費(fèi)者投訴的網(wǎng)站作出最終決定，網(wǎng)站必須執(zhí)行，否則其所獲得的隱私圖章將被取消，并被列入“不守規(guī)矩的網(wǎng)站”的名單中，TRUSTe甚至通過適當(dāng)?shù)耐緩较蛳嚓P(guān)的法律權(quán)威部門提起訴訟，如美國貿(mào)易委員會或者消費(fèi)保護(hù)機(jī)構(gòu)等。這樣的爭端解決程序逐漸為TRUSTe 樹立了一定的威信。

　　(二)日本個人信息保護(hù)評價制度評析

　　日本早在1998年由非官方第三方機(jī)構(gòu)日本情報處理開發(fā)協(xié)會(Japan Information Processing Development Corporation，JIPDEC)建立了Pmark認(rèn)證制度，2005年日本《個人信息保護(hù)法》的實(shí)施，極大地推進(jìn)了企業(yè)參與個人信息保護(hù)認(rèn)證。

　　1998年制定的法律第95號《行政機(jī)關(guān)保有電子計算機(jī)處理個人情報保護(hù)法律》成為日本第一部保護(hù)個人信息的法律，但該法律僅針對公務(wù)機(jī)關(guān)，不針對非公務(wù)機(jī)關(guān)的個人信息收集、處理和利用進(jìn)行規(guī)范。隨著互聯(lián)網(wǎng)的發(fā)展和信息技術(shù)的不斷成熟，個人信息透過電腦得以大量處理，并容易散布于互聯(lián)網(wǎng)上，社會大眾開始期盼民間企業(yè)能夠保護(hù)個人信息。由于要求有效率的保護(hù)個人信息的措施能盡快地實(shí)施，呼聲四起，于是根據(jù)當(dāng)時通產(chǎn)省(現(xiàn)稱為經(jīng)產(chǎn)省Ministry of Economy，Trade and Industry)的指示，日本情報處理開發(fā)協(xié)會建立了一套自律驗(yàn)證個人資料保護(hù)的管理制度，即Privacy Mark(Pmark)制度。該制度通過認(rèn)證促使民間企業(yè)能采取適當(dāng)?shù)拇胧﹣肀Ｗo(hù)個人信息。通過該制度認(rèn)證的民間企業(yè)被授予隱私標(biāo)識，企業(yè)可以在其商業(yè)活動期間有權(quán)展示隱私標(biāo)識。該制度的隱私認(rèn)證依據(jù)為日本工業(yè)標(biāo)準(zhǔn) JIS Q 15001∶2006《個人資料保護(hù)管理系統(tǒng)――要求》。該標(biāo)準(zhǔn)在對跨境個人信息的保護(hù)方面，在3.4.3.4委托監(jiān)督中規(guī)定：“企業(yè)在委托別人使用全部或部分個人信息時，必須選定符合充分保護(hù)個人信息水平的企業(yè)，為此，委托者必須確立被委托者的選定標(biāo)準(zhǔn)。” 這就對日本企業(yè)在跨境外包業(yè)務(wù)時個人信息的利用提出了要求，外國企業(yè)如果達(dá)不到所謂“充分保護(hù)個人信息水平”，就無法承接日本企業(yè)的外包業(yè)務(wù)，這對我國以承接日本軟件外包業(yè)務(wù)為支柱的大連造成了巨大的沖擊。特別是2005年4月1日，日本《個人信息保護(hù)法》頒布后，我國大連對日外包軟件信息服務(wù)業(yè)受到很大的影響，這在一定程度上催生了我國大連的軟件及信息服務(wù)業(yè)個人信息保護(hù)評價制度。 　　(三)大連軟件及信息服務(wù)業(yè)個人信息保護(hù)評價制度我國大連市是全國第一個制定個人信息保護(hù)標(biāo)準(zhǔn)并建立認(rèn)證制度PIPA的城市。大連是我國承接日本軟件外包業(yè)務(wù)最集中的城市，軟件和服務(wù)外包產(chǎn)業(yè)是大連重點(diǎn)扶持的支持產(chǎn)業(yè)，日本2005年實(shí)施《個人信息保護(hù)法》將個人信息保護(hù)作為選擇軟件外包對象的重要條件，為了幫助企業(yè)達(dá)到對日軟件外包業(yè)務(wù)的門檻，大連軟件行業(yè)協(xié)會制定了《大連軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》(以下簡稱《規(guī)范》)并于2006年4月推行實(shí)施，根據(jù)該《規(guī)范》的要求，大連于2006年5月1日正式建立了主要針對軟件及信息服務(wù)業(yè)的個人信息保護(hù)認(rèn)證體系PIPA(Personal Information Protection Assessment)。2006年，大連軟件行業(yè)協(xié)會與日本情報處理開發(fā)協(xié)會(JIPDEC)簽定了PIPA與Pmark相互承認(rèn)的合作協(xié)議，2008年6月，雙方達(dá)成互認(rèn)。這是國際上首個兩國互相全面承認(rèn)的個人信息保護(hù)認(rèn)證體系的合作項(xiàng)目。它標(biāo)志著中日兩國在信息交流方面的壁壘與障礙已消除，為促進(jìn)我國信息服務(wù)外包產(chǎn)業(yè)的發(fā)展，以及國內(nèi)軟件企業(yè)承接日本外包業(yè)務(wù)增加了新的保障[9]。

　　軟件及信息服務(wù)業(yè)個人信息保護(hù)評價體系(PIPA)評價的對象主要是企業(yè)，其初衷在于幫助以軟件和信息服務(wù)業(yè)為主的企業(yè)建立個人信息保護(hù)制度，使得企業(yè)有能力在2005年日本《個人信息保護(hù)法》實(shí)施后繼續(xù)承接日本軟件外包業(yè)務(wù)。通過PIPA評價的企業(yè)可以得到個人信息保護(hù)合格證書和PIPA標(biāo)志使用權(quán)。具體而言，大連個人信息保護(hù)評價制度包括以下幾個方面。

　　1.評價機(jī)構(gòu)

　　軟件及信息服務(wù)業(yè)個人信息保護(hù)評價機(jī)構(gòu)為大連軟件行業(yè)協(xié)會，下設(shè)個人信息保護(hù)工作委員會、PIPA辦公室和評價專家組。

　　PIPA辦公室主要負(fù)責(zé)PIPA文件管理和事務(wù)性工作，負(fù)責(zé)PIPA受理及投訴，負(fù)責(zé)評價員的聘任及管理工作，PIPA辦公室下設(shè)培訓(xùn)教育部門，負(fù)責(zé)個人信息保護(hù)企業(yè)培訓(xùn)和評價員培訓(xùn)、考核。

　　個人信息保護(hù)工作委員會主要負(fù)責(zé)標(biāo)準(zhǔn)和PIPA體系相關(guān)文件的制定、修改和完善，負(fù)責(zé)PIPA申批、投訴及事故處理結(jié)果的審批，負(fù)責(zé)對PIPA的監(jiān)督及聘任評價員的審批等工作。工作委員會下設(shè)：標(biāo)準(zhǔn)組、仲裁組、宣傳推廣組、國際交流組和教育培訓(xùn)組。標(biāo)準(zhǔn)組主要負(fù)責(zé)標(biāo)準(zhǔn)的研究和制定;仲裁組負(fù)責(zé)投訴及事故的調(diào)查及處理;宣傳推廣組負(fù)責(zé)PIPA宣傳推廣;國際交流組負(fù)責(zé)國際間的交流與合作;教育培訓(xùn)組負(fù)責(zé)個人信息保護(hù)人才的教育、培養(yǎng)研究及試點(diǎn)，開展個人信息保護(hù)人才培養(yǎng)工作。

　　2.評價依據(jù)

　　大連軟件行業(yè)協(xié)會在全國率先開始制定軟件及信息服務(wù)業(yè)的個人信息保護(hù)標(biāo)準(zhǔn)，即《規(guī)范》，經(jīng)過多年的實(shí)踐，在大連市的地方標(biāo)準(zhǔn)的基礎(chǔ)上，形成了遼寧省的個人信息保護(hù)“省標(biāo)”《遼寧省軟件與信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》DB21/T 15222007、《個人信息保護(hù)規(guī)范》DB21/T 16282008和遼寧省地方標(biāo)準(zhǔn)《信息安全個人信息保護(hù)規(guī)范》DB21/T 1628.12012。目前大連軟件行業(yè)協(xié)會已經(jīng)發(fā)布通知自2014年6月1日起正式實(shí)施《信息安全個人信息保護(hù)規(guī)范》，即2012版標(biāo)準(zhǔn)替代目前實(shí)施的2008版標(biāo)準(zhǔn)[10]。

　　3.評價流程

　　個人信息保護(hù)評價流程包括申請、受理、文件審查(前期審查)、現(xiàn)場審核、公示15天、審批、頒發(fā)合格證和標(biāo)志等幾個環(huán)節(jié)[11]。個人信息保護(hù)評價申請的前提是申請評價的企業(yè)按照《規(guī)范》的要求建立企業(yè)個人信息保護(hù)制度，經(jīng)過三個月運(yùn)行的檢驗(yàn)，在這期間沒有發(fā)生任何涉及個人信息保護(hù)的重大事故，方得以開展評價申請。

　　4.評價監(jiān)督管理

　　通過個人信息保護(hù)認(rèn)證的企業(yè)并非一勞永逸，大連軟件行業(yè)協(xié)會對于通過認(rèn)證的企業(yè)具有監(jiān)督管理的權(quán)利。大連軟件行業(yè)協(xié)會對于通過認(rèn)證的企業(yè)可以采取抽查的方式進(jìn)行監(jiān)督管理，對于抽查不合格的企業(yè)，將限期整改，整改后仍然無法達(dá)到相關(guān)標(biāo)準(zhǔn)的企業(yè)，則取消其使用個人信息保護(hù)合格證書和PIPA標(biāo)志的資格。同時，大連軟件行業(yè)協(xié)會在接到重要舉報和投訴時，可對認(rèn)證企業(yè)進(jìn)行復(fù)審，復(fù)審不合格的企業(yè)同樣取消其使用個人信息保護(hù)合格證書和PIPA標(biāo)志的資格。

　　5.證書與標(biāo)志

　　通過個人信息保護(hù)認(rèn)證的企業(yè)，由大連軟件行業(yè)協(xié)會頒發(fā)個人信息保護(hù)合格證書、PIPA標(biāo)志，證書和標(biāo)志在兩年內(nèi)有效。

　　值得一提的是，由于大連行業(yè)協(xié)會與日本情報處理開發(fā)協(xié)會簽署了互認(rèn)合作協(xié)議，即通過大連PIPA認(rèn)證的企業(yè)受到日本情報處理開發(fā)協(xié)會的個人信息認(rèn)證體系Pmark認(rèn)可，無需再另行申請日本Pmark認(rèn)證，因此，通過大連行業(yè)協(xié)會個人信息保護(hù)認(rèn)證的企業(yè)還可以獲得PIPAmark互認(rèn)標(biāo)志。

　　(四)中美日個人信息保護(hù)評價制度比較及啟示中美日的個人信息保護(hù)評價制度各具特色，三者的共同點(diǎn)在于均是出于對用戶個人信息和隱私的保護(hù)而構(gòu)建的一整套認(rèn)證制度，均是以非官方組織為主導(dǎo)開展的評價認(rèn)證，三者的差別在于：

　　從評價對象來看，以TRUSTe為代表的美國個人信息評價制度主要針對網(wǎng)絡(luò)進(jìn)行評價，而不限行業(yè);日本的Pmark個人信息評價體系則是針對所有企業(yè)，而不僅僅是企業(yè)的網(wǎng)站;大連的PIPA個人信息評價體系針對的主要是軟件及信息服務(wù)業(yè)的企業(yè)，有明顯的行業(yè)特征。

　　從評價的地域范圍來看，由于互聯(lián)網(wǎng)的無國界性，以TRUSTe為代表的美國個人信息評價制度目前已經(jīng)發(fā)展成為一個全球性的認(rèn)證體系，并不局限于僅對美國的網(wǎng)站開展認(rèn)證業(yè)務(wù);日本的Pmark個人信息評價體系則是針對日本的企業(yè)開展認(rèn)證服務(wù)，是日本國家級的認(rèn)證體系，但不針對國外的企業(yè)開展認(rèn)證;大連的PIPA評價體系最初僅僅局限于針對大連市的企業(yè)，而且是對軟件和信息服務(wù)業(yè)的企業(yè)開展評價，現(xiàn)在逐步向全國范圍內(nèi)擴(kuò)大。

　　通過對比中美日三國個人信息保護(hù)評價制度，可以得到如下啟示：目前，我國尚未建立全國性的個人信息保護(hù)認(rèn)證體系，已經(jīng)嚴(yán)重影響到大數(shù)據(jù)時代我國信息產(chǎn)業(yè)的長遠(yuǎn)發(fā)展。隨著信息化社會的發(fā)展和國家網(wǎng)絡(luò)空間安全保障戰(zhàn)略的構(gòu)建，全國性個人信息保護(hù)制度的建立已經(jīng)勢在必行，與之相伴的是建立全國統(tǒng)一的個人信息保護(hù)認(rèn)證體系。我國已于2012年12月28日出臺《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，并于2013年2月1日起正式實(shí)施《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(GB/Z 288282012)，該標(biāo)準(zhǔn)是我國第一個個人信息保護(hù)國家標(biāo)準(zhǔn)，中國軟件評測中心也著手在此標(biāo)準(zhǔn)基礎(chǔ)上建立全國性的個人信息保護(hù)管理體系認(rèn)證，對企業(yè)級的個人信息保護(hù)能力進(jìn)行總體評價。未來建立的中國個人信息保護(hù)認(rèn)證機(jī)制還必須加強(qiáng)國際合作與互認(rèn)，使通過認(rèn)證的企業(yè)能夠得到國際社會的認(rèn)可，促進(jìn)全球信息安全保障的實(shí)現(xiàn)。 　　中美日現(xiàn)有隱私和個人信息評價制度帶給我們更為重要的啟示意義在于，個人信息評價必須從宏觀深入到微觀、從表面深入到實(shí)質(zhì)、從產(chǎn)業(yè)深入到產(chǎn)品，將個人信息認(rèn)證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強(qiáng)軟件行業(yè)的自律，切實(shí)保障廣大用戶的權(quán)益，增強(qiáng)用戶對于軟件產(chǎn)品的信心。四、我國軟件產(chǎn)品個人信息安全認(rèn)證制度構(gòu)建的對策個人信息安全認(rèn)證制度并非強(qiáng)制性的機(jī)制，而是非官方機(jī)構(gòu)開展個人信息保護(hù)行業(yè)自律的重要形式，國內(nèi)外的實(shí)踐均取得了顯著的成效。我國加強(qiáng)軟件產(chǎn)品個人信息保護(hù)，可以借鑒現(xiàn)有國內(nèi)外主要針對網(wǎng)站、軟件開發(fā)企業(yè)的個人信息保護(hù)認(rèn)證制度，構(gòu)建更為精細(xì)的軟件產(chǎn)品個人信息安全認(rèn)證制度。

　　軟件產(chǎn)品個人信息安全認(rèn)證制度的建立，主要應(yīng)當(dāng)從軟件產(chǎn)品個人信息安全認(rèn)證管理機(jī)構(gòu)、認(rèn)證管理標(biāo)準(zhǔn)、建立認(rèn)證管理流程制度和軟件產(chǎn)品違規(guī)處罰與退出制度等幾個方面著力進(jìn)行。軟件產(chǎn)品個人信息安全認(rèn)證管理機(jī)構(gòu)應(yīng)當(dāng)是全國性的民間非營利組織，可制定具有權(quán)威性的國家級軟件產(chǎn)品認(rèn)證管理標(biāo)準(zhǔn)。目前我國現(xiàn)有條件下，可在工信部指導(dǎo)下成立全國性的軟件產(chǎn)品個人信息安全認(rèn)證協(xié)會或借助現(xiàn)有工信部直屬事業(yè)單位――中國軟件測評中心開展軟件產(chǎn)品個人信息安全認(rèn)證工作。軟件產(chǎn)品個人信息安全認(rèn)證制度的建立，有利于廣大軟件開發(fā)者的健康成長，培育具有責(zé)任感和事業(yè)心的軟件開發(fā)者，幫助用戶辨別軟件產(chǎn)品的安全性，符合整個產(chǎn)業(yè)的長遠(yuǎn)發(fā)展需要。下面就軟件產(chǎn)品個人信息安全認(rèn)證制度構(gòu)建中的核心問題即認(rèn)證標(biāo)準(zhǔn)和認(rèn)證流程進(jìn)行深入探討。

　　(一)軟件產(chǎn)品個人信息安全認(rèn)證標(biāo)準(zhǔn)

　　軟件產(chǎn)品個人信息安全認(rèn)證標(biāo)準(zhǔn)是軟件產(chǎn)品個人信息安全認(rèn)證最基本的依據(jù)，放眼全球，目前尚無一個針對軟件產(chǎn)品個人信息安全認(rèn)證的標(biāo)準(zhǔn)，只有類似針對整個企業(yè)的個人信息保護(hù)管理系統(tǒng)的標(biāo)準(zhǔn)、針對軟件和信息服務(wù)業(yè)整個行業(yè)的個人信息保護(hù)規(guī)范、針對網(wǎng)站的隱私認(rèn)證標(biāo)準(zhǔn)，而缺乏針對最直接收集個人信息的計算機(jī)軟件產(chǎn)品的個人信息安全認(rèn)證標(biāo)準(zhǔn)。

　　日本JIS Q 15001∶2006《個人資料保護(hù)管理系統(tǒng)――要求》對我國個人信息保護(hù)評價標(biāo)準(zhǔn)影響較大。我國現(xiàn)有個人信息保護(hù)標(biāo)準(zhǔn)主要有《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(GB/Z 288282012)、《遼寧省軟件與信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》DB21/T 15222007、《個人信息保護(hù)規(guī)范》DB21/T 16282008和遼寧省地方標(biāo)準(zhǔn)《信息安全 個人信息保護(hù)規(guī)范》DB21/T 1628.12012。2013年2月1日起正式實(shí)施的《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(GB/Z 288282012)是我國第一個個人信息保護(hù)國家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)針對個人信息分類規(guī)定授權(quán)方式提出處理個人信息的八項(xiàng)基本原則，使我國個人信息保護(hù)進(jìn)入“有標(biāo)可依”的階段，但是該標(biāo)準(zhǔn)是非強(qiáng)制性的，靠企業(yè)自律實(shí)施。其余三個遼寧省的地方標(biāo)準(zhǔn)，均由大連軟件行業(yè)協(xié)會主導(dǎo)制定。2007年6月13日正式發(fā)布、2007年8月1日開始實(shí)施的《遼寧省軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》DB21/T 15222007為遼寧省地方行業(yè)標(biāo)準(zhǔn)，是我國首個全省性的個人信息保護(hù)行業(yè)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是在借鑒世界經(jīng)濟(jì)合作發(fā)展組織(OECD)《關(guān)于保護(hù)隱私和個人數(shù)據(jù)跨國流通指導(dǎo)原則》的基礎(chǔ)上，參考各國個人信息保護(hù)立法與行業(yè)自律標(biāo)準(zhǔn)，結(jié)合我國相關(guān)法規(guī)和標(biāo)準(zhǔn)制定的。《信息安全個人信息保護(hù)規(guī)范》DB21/T 1628.12012為遼寧省地方標(biāo)準(zhǔn)，于2012年2月7日發(fā)布、3月7日正式實(shí)施，該標(biāo)準(zhǔn)適用于自動或非自動處理全部或部分個人信息的機(jī)關(guān)、企業(yè)、事業(yè)、社會團(tuán)體等組織。無論是國家級標(biāo)準(zhǔn)還是地方級標(biāo)準(zhǔn)，在很大程度上為企業(yè)個人信息保護(hù)體制的建立提供了參考依據(jù)，起到了指導(dǎo)作用，具有一定的進(jìn)步意義。

　　總體而言，現(xiàn)有標(biāo)準(zhǔn)由于主要針對企事業(yè)單位，其內(nèi)容是輪廓式、粗線條式的。軟件產(chǎn)品的個人信息保護(hù)標(biāo)準(zhǔn)則需要在此基礎(chǔ)上更為精細(xì)，促使軟件產(chǎn)品將個人信息保護(hù)法律和個人信息保護(hù)標(biāo)準(zhǔn)賦予用戶的各項(xiàng)權(quán)利予以落實(shí)，而對于用戶個人信息收集、利用的類別、范圍、方式予以嚴(yán)格控制。軟件產(chǎn)品個人信息保護(hù)標(biāo)準(zhǔn)有必要在現(xiàn)有國家標(biāo)準(zhǔn)《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(GB/Z 288282012)的基礎(chǔ)上進(jìn)一步細(xì)化，結(jié)合軟件產(chǎn)品運(yùn)行的特點(diǎn)，使用戶的個人信息安全及權(quán)利得以保障。

　　(二)軟件產(chǎn)品個人信息安全認(rèn)證流程

　　建立軟件產(chǎn)品申請個人信息保護(hù)認(rèn)證流程，對于符合個人信息保護(hù)法律收集、利用和處理的軟件產(chǎn)品，經(jīng)審查合格的，頒發(fā)軟件產(chǎn)品個人信息保護(hù)合格證書與標(biāo)志。該軟件產(chǎn)品的開發(fā)者和利用者可以在其上注明個人信息保護(hù)合格標(biāo)志，以告知用戶，增加用戶對其的信賴感。軟件產(chǎn)品個人信息安全認(rèn)證流程與軟件企業(yè)的個人信息保護(hù)認(rèn)證并不相同，前者注重的是軟件產(chǎn)品是否合法收集利用用戶個人信息、是否保障用戶個人信息安全，而后者強(qiáng)調(diào)的是企業(yè)個人信息保護(hù)管理體系的建立以及對于個人信息保護(hù)的政策。

　　本研究結(jié)合國內(nèi)外隱私認(rèn)證和企業(yè)個人信息保護(hù)評價的流程，對軟件產(chǎn)品個人信息安全認(rèn)證流程初步設(shè)計如下。

　　1.申報

　　欲進(jìn)行個人信息保護(hù)認(rèn)證的軟件產(chǎn)品開發(fā)者或生產(chǎn)者、經(jīng)營者作為申請單位需填寫《軟件產(chǎn)品個人信息安全認(rèn)證申請書》及相關(guān)附件材料呈交評價機(jī)構(gòu)。

　　2.資料審查

　　由評價機(jī)構(gòu)對申請單位提交的《軟件產(chǎn)品個人信息安全認(rèn)證申請書》及相關(guān)附件材料進(jìn)行審查，審查合格者制作審查合格報告，并進(jìn)入軟件信息保護(hù)評估階段，不合格者返回補(bǔ)正。

　　3.軟件信息保護(hù)評估

　　資料審查合格的單位向評價機(jī)構(gòu)提交軟件產(chǎn)品樣品一份，由評價機(jī)構(gòu)利用技術(shù)手段針對軟件的安全性進(jìn)行測試，包括軟件產(chǎn)品的信息安全、軟件產(chǎn)品的運(yùn)行機(jī)制、軟件產(chǎn)品對于用戶個人信息的收集利用情況等方面，并由專家組進(jìn)行評估，最終形成評價報告。通過者進(jìn)入審核階段;未通過者，申報單位按照專家組的評價意見進(jìn)行一次改進(jìn)完善，改進(jìn)完善后重新進(jìn)行評估，如仍不能通過，則出具評估不合格報告，若未進(jìn)行實(shí)質(zhì)性修改完善，不得再申請進(jìn)行個人信息安全評價。 　　4.審核

　　依據(jù)專家組形成的評價報告，評價機(jī)構(gòu)進(jìn)行審核，而后簽署最終審核意見。評價機(jī)構(gòu)對通過審核者公示10個工作日，其間如沒有實(shí)質(zhì)性異議，則正式通過審核并予以公告，頒發(fā)“軟件產(chǎn)品個人信息安全合格證書”及認(rèn)證標(biāo)志。

　　對于授予“軟件產(chǎn)品個人信息安全合格證書”及認(rèn)證標(biāo)志的軟件產(chǎn)品，評價機(jī)構(gòu)有監(jiān)督管理的權(quán)利，可以對軟件產(chǎn)品運(yùn)行中個人信息保護(hù)情況進(jìn)行抽查。對抽查不合格的軟件產(chǎn)品限期整改，整改后仍不符合個人信息安全標(biāo)準(zhǔn)的軟件產(chǎn)品，將取消其對于“軟件產(chǎn)品個人信息安全合格證書”和認(rèn)證標(biāo)志的使用資格。用戶在使用過程中可以對軟件產(chǎn)品個人信息保護(hù)進(jìn)行監(jiān)督，若發(fā)現(xiàn)軟件產(chǎn)品存在違法收集、利用用戶個人信息，甚至竊取用戶個人信息的行為，則可以向評價機(jī)構(gòu)進(jìn)行舉報，評價機(jī)構(gòu)經(jīng)查證若屬實(shí)，則取消“軟件產(chǎn)品個人信息安全合格證書”和認(rèn)證標(biāo)志，并予以通報。

　　通過軟件產(chǎn)品個人信息安全認(rèn)證機(jī)制的構(gòu)建，有助于培育一批品質(zhì)優(yōu)良、注重用戶權(quán)益、服務(wù)經(jīng)濟(jì)社會發(fā)展需要的軟件產(chǎn)品，從而肅清我國軟件產(chǎn)品市場魚目混珠的亂象，引領(lǐng)軟件產(chǎn)業(yè)的發(fā)展，為信息產(chǎn)業(yè)的長遠(yuǎn)發(fā)展奠定基礎(chǔ)。

　　參考文獻(xiàn)：

　　[1]姚傳富.軟件正在定義世界[EB/OL].(20130529)[20150128].http：//news.xinhuanet.com/info/201305/29/c_132416051.htm.

　　[2]齊愛民.拯救信息社會中的人格――個人信息保護(hù)法總論[M].北京：北京大學(xué)出版社，2009：20.

　　[3]刁勝先.個人信息網(wǎng)絡(luò)侵權(quán)責(zé)任形式的分類與構(gòu)成要件[J].重慶郵電大學(xué)學(xué)報(社會科學(xué)版)，2014(2)：2835.

　　[4]劉東升，陳宇杰.政治經(jīng)濟(jì)學(xué)原理[M].北京：對外經(jīng)濟(jì)貿(mào)易大學(xué)出版社，1999：52.

　　[5]梁慧星，陳華彬.物權(quán)法[M].北京：法律出版社，1997：67.

　　[6]吳漢東，胡開忠.無形財產(chǎn)權(quán)制度研究[M].北京：法律出版社，2001：33.
　　科技類核心期刊推薦：《計算機(jī)科學(xué)》（月刊）創(chuàng)刊于1975年，由國家科技部西南信息中心主辦。報導(dǎo)國內(nèi)外計算機(jī)科學(xué)與技術(shù)的發(fā)展動態(tài)，以其新穎、準(zhǔn)確、及時為特色，突出動態(tài)性、綜述性、學(xué)術(shù)性，“前沿學(xué)科”與“基礎(chǔ)研究”相結(jié)合；“核心技術(shù)”與“支撐技術(shù)”相結(jié)合；“倡導(dǎo)”與“爭鳴”相結(jié)合。榮獲重慶市優(yōu)秀期刊；2010年第六屆重慶市十佳科技期刊；2012年重慶市重點(diǎn)學(xué)術(shù)期刊建設(shè)工程政府資助項(xiàng)目；2013年重慶市重點(diǎn)學(xué)術(shù)期刊建設(shè)工程政府資助項(xiàng)目。2001年重慶市優(yōu)秀期刊、2004年第三屆重慶市優(yōu)秀科技期刊、2005年重慶市優(yōu)秀期刊編輯部。