个人信息保护:为软件和服务外包安全上保险
|姜云飞|2009-08-01
p>
p>
当软件和服务外包成为众多国内城市争相发展的“战略产业”,一个必须回答的问题逐渐清晰起来:究竟什么是软件和服务外包产业的核心竞争力?
东软集团董事长兼CEO刘积仁曾用这样的比喻来说明外包发包方与接包方的关系——外包,就如同把孩子送到幼儿园。那么,父母为孩子选择幼儿园时,哪些要素是最必须考虑的最重要的?老师教得好不好、价格是否合理、环境是否舒适……当然,这些都很重要。但最重要的,也是最基本的也许只有这两个字:“安全”。
不久前发生在南方的一场彩票作弊案,让“外包安全”显得更加触目惊心——根据当地有关部门的介绍,正是由于不法分子利用为彩票发行机构做IT项目的机会,将计算机病毒植入机构电脑,实施了犯罪行为。这不由得不让人感到恐惧——如果外包最终成了一种“引狼入室”的行为,那么越来越多的信息被以外包的形式来处理,是否会使我们的个人隐私,比如我们每个月挣多少钱、我们的健康情况等,以及那些重要的企业信息都被一丝不挂地曝晒于公众的视野下?
显然,安全之于外包,几乎是事关生死的要素。这一点对于像大连这样全球新兴、而又力图成为软件和服务外包新领军城市的基地更为重要。在全球外包市场的游戏规则中,安全是最基本而又最重要的底线。令人欣慰的是,我市早在几年前已经在如何提供外包安全方面进行了卓有成效地探索和努力。特别是在个人信息保护方面,已经形成了国内领先的保护体系。大连的探索经验得到了国家有关部委的高度重视,今年5月,市信息产业局接到工信部委托函,委托我市开展个人信息保护方面的研究,并参与起草全国《个人信息保护规范》(草案)。
起步:来自市场的压力
我市领先于全国开展个人信息保护工作,始于2005年前后。最初的起步,来自软件和服务外包市场的压力。从1998年到2005年,我市软件和服务外包产业发展迅速,特别是国际化特色使离岸外包业务占有很大的比重。随着国际业务量不断增加、业务种类不断拓展,“个人信息保护”问题越来越突出。
“个人信息保护是信息服务外包发展的重要支撑体系。欧盟、日本等国都制定了相应的法律和标准。对个人信息跨境处理(离岸外包)实行了严格的限制和管理。”市软件协会常务副会长孙鹏说。在2005年,占大连软件出口80%的日本,实施了“个人信息保护法”,并开展了相关认证制度(P-MARK),这对大连离岸外包产生了很大的影响。大连对日外包的增长速度由2005年的114.77%,下降到2006年的55.56%。为了应对国际市场的要求,保持外包业务的又好又快发展,自2005年开始,在市信息产业局领导下,大连软件行业协会在行业中开展了个人信息保护工作。很快,这一行动得到了市场的积极反馈——2007年我市外包增长率又上升为117.35%。
成绩:中国首个个人信息保护标准出自大连
从2005年至今,在市信息产业局的领导下,由大连软件行业协会牵头,我市软件和服务外包产业个人信息安全保护工作取得长足进步。
2006年3月20日《大连软件及信息服务业个人信息保护规范》发布,2007年2月5日正式实施。辽宁省《软件及信息服务业个人信息保护规范》(DB21/T 1522-2007)2007年6月13日发布,2007年8月1日开始实施——这是我国首个针对个人信息保护的地方行业标准。辽宁省《个人信息保护规范》(DB21/T 1628-2008)2008年6月16日发布,2008年7月16日开始实施——该标准是我国首个针对全行业的个人信息保护的地方标准。
在制定规范和标准的同时,我市着手研究建立个人信息保护评价(PIPA)体系。PIPA是我国最早的个人信息保护能力和水平的评价体系,该体系是主要针对计算机处理相关单位而开展的个人信息保护能力的评价,目前主要应用于软件及信息服务业,特别是软件外包企业。该评价体系的建立能够帮助企业建立个人信息保护规章制度,有效提高企业的个人信息保护能力。目前,我市已有七十余家企业开展了PIPA评价工作,其中有三十余家企业已经通过了PIPA评价,获得了《个人信息保护合格证书》。
经验:“软环境”有时就是硬实力
“你说自己是安全的,缺乏证据。PIPA实际上就是给出一个第三方的证明。事实上,在一些重要的外包业务中,个人信息保护已经成为发包方考察的重要内容。我市在这一领域的领先,为我市软件和服务外包企业增强了整体竞争力。”谈及个人信息保护工作的价值,孙鹏说。
为了让更多的企业开展个人信息保护工作,大连市政府在2008年12月出台的《大连市进一步促进软件和服务外包产业发展若干规定》第二十八条中规定“积极推行《个人信息安全保护规范》标准及其评价制度,由市专项资金全额补贴企业开展评价工作。企业如违犯规范并造成后果,将暂停其享受本规定项下所有政策的权利。”
为提高PIPA的国际认可程度,在市信息产业局的指导下,大连软件行业协会与日本JIPDEC(日本情报处理开发协会)就个人信息保护工作开展了交流与合作,并于2008年6月19日实现了日本个人信息保护(P-MARK)与大连市个人信息保护评价(PIPA)的互相承认。“现在,在国内通过PIPA评价的企业将等同于通过了日本的P-MARK认证,这为企业增加了承接国际业务的竞争力。”孙鹏说。除日本以外,目前大连软件行业协会还与欧盟、美国的个人信息保护机构展开了交流工作。
政府支持、国际合作,这是我市在提高个人信息保护方面的有益经验。而这种看不见的“软环境”建设却在默默提升大连软件和服务外包产业的硬实力。
“我市在努力建设全球软件和服务外包新领军城市。在外包安全这方面,我们已经是领军者。”孙鹏说。
展望:地方标准有望升格“国家级”
据孙鹏介绍,为了更好的在大连市各行业中开展个人信息保护工作,市信息产业局、大连软件行业协会正在积极配合有关单位推动地方立法工作,目前大连市法制办已将《大连市软件与信息服务业个人信息保护管理办法》列入立法计划。大连软件行业协会将在市信息产业局的指导下,与全国其它地区的软件行业协会就个人信息保护的推广及应用工作展开广泛的交流与合作,帮助各地企业提高个人信息保护能力,提高承接国际业务的竞争能力,迄今已先后与杭州、沈阳、无锡等地的相关机构开展了合作。另外大连软件行业协会正依据《个人信息保护规范》(DB21/T 1628-2008)进行跨行业个人信息保护推广的试点工作,目前正在与旅游、教育、医疗卫生等行业展开积极的沟通与交流。今年5月,市信息产业局接到工信部信息安全协调司发来的《关于开展〈个人信息保护规范〉研究的委托函》,将参与起草全国《个人信息保护规范》草案。这意味这我市在个人信息保护方面的地方规范将有望成为国家规范。此外,鉴于我市在个人信息保护行业应用方面积累了实施经验,我市正在积极申请成为国家“软件和信息服务业个人信息保护示范城市”。
责编:admin
转载请注明来源:个人信息保护:为软件和服务外包安全上保险
噢!评论已关闭。