陳　星

(廣西民族大學(xué)，廣西 南寧 530006)

?

大數(shù)據(jù)時(shí)代軟件產(chǎn)品個(gè)人信息安全認(rèn)證機(jī)制構(gòu)建*

陳星

(廣西民族大學(xué)，廣西 南寧 530006)

摘要：軟件產(chǎn)業(yè)的開發(fā)、生產(chǎn)、銷售各個(gè)環(huán)節(jié)都對(duì)于用戶個(gè)人信息保護(hù)與安全至關(guān)重要。在借鑒美國(guó)的隱私認(rèn)證制度、日本的個(gè)人信息評(píng)價(jià)制度以及我國(guó)大連軟件及信息服務(wù)業(yè)個(gè)人信息評(píng)價(jià)制度的基礎(chǔ)上，提出從宏觀深入到微觀、從表面深入到實(shí)質(zhì)、從產(chǎn)業(yè)深入到產(chǎn)品，將個(gè)人信息認(rèn)證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強(qiáng)軟件行業(yè)的自律，切實(shí)保障廣大用戶的權(quán)益，增強(qiáng)用戶對(duì)于軟件產(chǎn)品的信心，并對(duì)該制度的構(gòu)建著重從軟件產(chǎn)品個(gè)人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)和軟件產(chǎn)品個(gè)人信息保護(hù)認(rèn)證流程兩個(gè)方面進(jìn)行了探討。

關(guān)鍵詞：大數(shù)據(jù)；軟件產(chǎn)品；個(gè)人信息安全；認(rèn)證機(jī)制

一、計(jì)算機(jī)軟件產(chǎn)品成為世界的核心和靈魂

(一)計(jì)算機(jī)軟件產(chǎn)業(yè)成為戰(zhàn)略性新興產(chǎn)業(yè)

工信部軟件服務(wù)業(yè)司司長(zhǎng)陳偉表示：“今天，很多人提出了SDN(軟件定義網(wǎng)絡(luò))、SDD(軟件定義數(shù)據(jù)中心)、SDS(軟件定義系統(tǒng))，而我認(rèn)為，軟件可以定義世界(SDW)，軟件應(yīng)該成為世界的核心和靈魂，成為信息消費(fèi)的引擎和重要內(nèi)容?！盵1]軟件產(chǎn)業(yè)在我國(guó)國(guó)民經(jīng)濟(jì)中具有重要的戰(zhàn)略地位，隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的興起與廣泛運(yùn)用，軟件產(chǎn)品已經(jīng)覆蓋人民生產(chǎn)、生活的各個(gè)領(lǐng)域，逐漸成為重要的民生物品。軟件產(chǎn)業(yè)個(gè)人信息保護(hù)不僅關(guān)系到本產(chǎn)業(yè)的發(fā)展，關(guān)系到國(guó)民高品質(zhì)智能化生活，而且對(duì)于整個(gè)信息產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)發(fā)展，對(duì)于信息消費(fèi)市場(chǎng)的培育與推動(dòng)，對(duì)于“寬帶中國(guó)”戰(zhàn)略的實(shí)施，對(duì)于國(guó)家信息安全的保障具有重要的戰(zhàn)略意義。

軟件產(chǎn)業(yè)已從一個(gè)朝陽(yáng)產(chǎn)業(yè)逐步成為經(jīng)濟(jì)社會(huì)發(fā)展的戰(zhàn)略性、支柱性和先導(dǎo)性產(chǎn)業(yè)，軟件產(chǎn)品則是整個(gè)產(chǎn)業(yè)中的靈魂。作為支撐國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的基礎(chǔ)產(chǎn)業(yè)，軟件產(chǎn)業(yè)是戰(zhàn)略性新興產(chǎn)業(yè)和現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系的重要組織部分，在現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系中的地位繼續(xù)提高，并成為整個(gè)信息產(chǎn)業(yè)生態(tài)體系發(fā)展與健全的重要支撐。隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)的挖掘、分析、利用為軟件產(chǎn)業(yè)的涅槃帶來(lái)新的機(jī)遇，軟件產(chǎn)品成為用戶數(shù)據(jù)、用戶個(gè)人信息進(jìn)入網(wǎng)絡(luò)空間利用與處理的第一道關(guān)口。

在信息社會(huì)，社會(huì)對(duì)信息的依賴性越來(lái)越強(qiáng)。個(gè)人信息成為信息社會(huì)的一種重要社會(huì)資源[2]。大數(shù)據(jù)時(shí)代，用戶個(gè)人信息業(yè)已成為互聯(lián)網(wǎng)企業(yè)的核心競(jìng)爭(zhēng)力，用戶個(gè)人信息的共享利用對(duì)于軟件產(chǎn)品發(fā)揮功效、為用戶提供更好的服務(wù)意義重大。計(jì)算機(jī)軟件產(chǎn)品的個(gè)人信息安全認(rèn)證，關(guān)乎著整個(gè)產(chǎn)業(yè)的健康和可持續(xù)發(fā)展。針對(duì)隱私保護(hù)與個(gè)人信息保護(hù)的評(píng)價(jià)、認(rèn)證，國(guó)內(nèi)外已通過立法、行業(yè)自律等多種形式進(jìn)行實(shí)踐，積累了大量可資借鑒的經(jīng)驗(yàn)[3]。美國(guó)著名的隱私保護(hù)認(rèn)證機(jī)構(gòu)主要有TRUSTe和BBBOnLine，前者為美國(guó)第一家民間認(rèn)證機(jī)構(gòu)，后者為促進(jìn)良好商業(yè)顧問局委員會(huì)發(fā)起的認(rèn)證計(jì)劃，這兩個(gè)認(rèn)證機(jī)構(gòu)的認(rèn)證對(duì)象為網(wǎng)站。日本個(gè)人信息保護(hù)評(píng)價(jià)制度Privacy Mark(簡(jiǎn)稱P-mark)和我國(guó)大連的個(gè)人信息保護(hù)評(píng)價(jià)制度(PIPA)極具代表性，但是兩者評(píng)價(jià)的對(duì)象是企事業(yè)單位，而不針對(duì)軟件產(chǎn)品，本研究將針對(duì)日本與大連的個(gè)人信息保護(hù)評(píng)價(jià)進(jìn)行比較分析，然后結(jié)合軟件產(chǎn)品在數(shù)據(jù)挖掘分析方面的特點(diǎn)，構(gòu)建專門針對(duì)軟件產(chǎn)品的個(gè)人信息安全認(rèn)證制度。

(二)計(jì)算機(jī)軟件產(chǎn)品的界定

政治經(jīng)濟(jì)學(xué)將產(chǎn)品稱為商品，其共同觀點(diǎn)是，產(chǎn)品是人類勞動(dòng)創(chuàng)造的物質(zhì)成果。政治經(jīng)濟(jì)學(xué)的產(chǎn)品具有兩大屬性。一是使用價(jià)值，是指產(chǎn)品能滿足人們需要的屬性、質(zhì)量和特征[4]。對(duì)于以計(jì)算機(jī)軟件為代表的新興事物是否屬于產(chǎn)品范疇，學(xué)界從來(lái)就沒有停止過爭(zhēng)議。傳統(tǒng)理論上，成為產(chǎn)品的首要條件是該產(chǎn)品必須是“物”，而自羅馬法以來(lái)，民法理論奉行“物必有體”的原則，物權(quán)法上的“物”僅限于有體物，而不包括無(wú)體物。以知識(shí)財(cái)產(chǎn)如作品、專利、商標(biāo)等為代表的無(wú)體物，以信息為內(nèi)容，雖然依附于一定的有形物質(zhì)載體，但本質(zhì)上仍是一種無(wú)形[5]的智力成果，不應(yīng)納入所有權(quán)客體的范圍[6]。因此，基于軟件作品生產(chǎn)的軟件產(chǎn)品也就不屬于傳統(tǒng)意義上“產(chǎn)品”的范疇。

技術(shù)業(yè)已變革，整個(gè)社會(huì)都在地動(dòng)山搖發(fā)生著巨大的變化，如果法律制度仍然固守兩千年前的傳統(tǒng)理論，秉持“祖宗之法不可變”的陳詞濫調(diào)，那么法律制度必定束縛生產(chǎn)力的發(fā)展，并必然地被技術(shù)的迅猛發(fā)展而沖破。從物和產(chǎn)品的發(fā)展趨勢(shì)來(lái)看，隨著社會(huì)經(jīng)濟(jì)高速發(fā)展，物與產(chǎn)品的觀念均有擴(kuò)展之勢(shì)[7]。世界各國(guó)出于對(duì)消費(fèi)者權(quán)益的保護(hù)，不再對(duì)已經(jīng)以“產(chǎn)品”的形式流通的計(jì)算機(jī)軟件“視而不見”，紛紛以“計(jì)算機(jī)軟件產(chǎn)品”稱呼之，并開展相關(guān)立法規(guī)范。

我國(guó)立法實(shí)踐也早已將計(jì)算機(jī)軟件定義為“產(chǎn)品”。工業(yè)和信息化部2009年《軟件產(chǎn)品管理辦法》第3條將“軟件產(chǎn)品”定義為：指向用戶提供的計(jì)算機(jī)軟件、信息系統(tǒng)或者設(shè)備中嵌入的軟件或者在提供計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用服務(wù)等技術(shù)服務(wù)時(shí)提供的計(jì)算機(jī)軟件。該定義描述了計(jì)算機(jī)軟件產(chǎn)品的技術(shù)特征，卻并未揭示出計(jì)算機(jī)軟件產(chǎn)品的本質(zhì)。本研究認(rèn)為，計(jì)算機(jī)軟件產(chǎn)品是指利用軟件作品與物質(zhì)實(shí)體材料或電子信息材料相結(jié)合制造出來(lái)可以滿足人們生產(chǎn)生活需要的產(chǎn)品。

二、大數(shù)據(jù)時(shí)代計(jì)算機(jī)軟件產(chǎn)品沖擊用戶個(gè)人信息安全

計(jì)算機(jī)軟件產(chǎn)品是整個(gè)網(wǎng)絡(luò)空間的神經(jīng)末梢，是網(wǎng)民與互聯(lián)網(wǎng)直接鏈接的重要橋梁，是網(wǎng)絡(luò)空間中互聯(lián)網(wǎng)企業(yè)、政府機(jī)關(guān)、商業(yè)機(jī)構(gòu)等單位和個(gè)人收集用戶個(gè)人信息的執(zhí)行工具和第一道關(guān)口。事實(shí)上，網(wǎng)絡(luò)空間中一切個(gè)人信息的收集利用均是基于計(jì)算機(jī)軟件而得以實(shí)現(xiàn)，與此同時(shí)，網(wǎng)民通過各種系統(tǒng)軟件與應(yīng)用軟件實(shí)現(xiàn)信息的交互與傳遞，因此，計(jì)算機(jī)軟件產(chǎn)品對(duì)于網(wǎng)絡(luò)空間個(gè)人信息保護(hù)具有至關(guān)重要的地位。

當(dāng)個(gè)人信息逐步成為信息社會(huì)重要的經(jīng)濟(jì)資源，計(jì)算機(jī)軟件則逐步淪為互聯(lián)網(wǎng)企業(yè)或其他商家攫取用戶個(gè)人信息資源的幫兇，甚至越來(lái)越多的軟件開發(fā)者專門開發(fā)竊取用戶個(gè)人信息的惡意軟件，通過販賣惡意盜取的用戶個(gè)人信息牟取巨大的商業(yè)利益。要治理網(wǎng)絡(luò)空間個(gè)人信息濫用與侵權(quán)的亂象，則必須以計(jì)算機(jī)軟件為入口和抓手，從源頭上截?cái)鄠€(gè)人信息的無(wú)序收集，才能牽住網(wǎng)絡(luò)個(gè)人信息保護(hù)的牛鼻子，讓網(wǎng)絡(luò)空間個(gè)人信息的收集利用不再以踐踏個(gè)人信息主體的人格利益為基本手段，以法律制度制服科技這頭洪水猛獸，促進(jìn)科技與基本人權(quán)保障之間的和諧發(fā)展。

由于計(jì)算機(jī)軟件對(duì)于個(gè)人信息收集利用改變了人類千百年來(lái)對(duì)于信息處理的方式，它在賦予人類強(qiáng)大數(shù)據(jù)處理能力的同時(shí)，也讓個(gè)人信息安全面臨前所未有的威脅。面對(duì)計(jì)算機(jī)時(shí)代個(gè)人信息保護(hù)的問題，世界各個(gè)國(guó)家和地區(qū)紛紛采取立法措施予以應(yīng)對(duì)[8]。典型的如我國(guó)臺(tái)灣地區(qū)最早的個(gè)人信息保護(hù)相關(guān)規(guī)定直接命名為《電腦處理個(gè)人資料保護(hù)法》，其規(guī)范對(duì)象僅針對(duì)“電腦處理”的個(gè)人信息，而不包括人工處理的個(gè)人信息，可見其立法的最初目的乃在于應(yīng)對(duì)計(jì)算機(jī)與互聯(lián)網(wǎng)的發(fā)展，專門針對(duì)計(jì)算機(jī)軟件收集、處理和利用個(gè)人信息進(jìn)行規(guī)范。由于我國(guó)目前個(gè)人信息保護(hù)法律制度的滯后，互聯(lián)網(wǎng)企業(yè)利用軟件收集用戶個(gè)人信息無(wú)序化現(xiàn)象嚴(yán)重，時(shí)至今日，最為高新技術(shù)的信息產(chǎn)業(yè)仍舊奉行最原始的“叢林法則”，自騰訊與奇虎公司“3Q大戰(zhàn)”爆發(fā)以來(lái)，互聯(lián)網(wǎng)企業(yè)之間更是打著侵犯隱私與個(gè)人信息的旗號(hào)互相攻擊陷入“軍閥混戰(zhàn)”。2013年6月，美國(guó)通過九大互聯(lián)網(wǎng)企業(yè)服務(wù)器監(jiān)控全球各國(guó)政府與全世界網(wǎng)民的“棱鏡門”事件曝光，顯示出個(gè)人信息保護(hù)已不只事關(guān)個(gè)人權(quán)益，而是涉及到國(guó)家的主權(quán)與安全。然而，作為網(wǎng)絡(luò)空間個(gè)人信息收集的工具與第一道關(guān)口，計(jì)算機(jī)軟件產(chǎn)品安全認(rèn)證機(jī)制在目前所有的個(gè)人信息保護(hù)研究中尚未受到應(yīng)有的重視。

三、國(guó)內(nèi)外典型個(gè)人信息保護(hù)評(píng)價(jià)制度之比較與借鑒

(一)美國(guó)TRUSTe隱私認(rèn)證制度評(píng)析

TRUSTe成立于1997年6月10日，是由商務(wù)網(wǎng)絡(luò)財(cái)團(tuán)(CommerceNet Consortium)和電子前線基金會(huì)(Electronic Frontier Foundation,EFF)所組建的美國(guó)首個(gè)非盈利性的民間網(wǎng)絡(luò)隱私認(rèn)證機(jī)構(gòu)。TURSTe隱私計(jì)劃包括：一般網(wǎng)頁(yè)的隱私計(jì)劃、歐盟安全港隱私認(rèn)證計(jì)劃、兒童的隱私認(rèn)證計(jì)劃、電子郵件隱私認(rèn)證計(jì)劃等。TRUSTe的隱私認(rèn)證計(jì)劃以聯(lián)邦、各州和相關(guān)行業(yè)個(gè)人隱私保護(hù)的法規(guī)為標(biāo)準(zhǔn)，包括加利福尼亞州網(wǎng)絡(luò)隱私保護(hù)法(California Online Privacy Protection Act)、聯(lián)邦反垃圾郵件法(Federal CAN-SPAM Act)、聯(lián)邦貿(mào)易委員會(huì)批準(zhǔn)的公平資訊慣例(Fair Information Practices)以及美國(guó)商業(yè)部的安全港隱私保護(hù)原則(Safe Harbor Privacy Principles)。

TRUSTe認(rèn)證工作主要涵蓋以下幾個(gè)方面。

1.初始認(rèn)證

當(dāng)網(wǎng)站為獲得TRUSTe 的認(rèn)證而提交了正式的申請(qǐng)表后，TRUSTe 將檢查申請(qǐng)網(wǎng)站，看它是否符合程序原則(Program Principles)。其目的是為了確保該網(wǎng)站的隱私政策，明確指出哪類個(gè)人信息被收集、誰(shuí)在收集、為何目的收集、如何使用以及與誰(shuí)共享等。如果網(wǎng)站符合TRUSTe關(guān)于隱私保護(hù)的認(rèn)證要求，TRUSTe就會(huì)授予該網(wǎng)站隱私圖章，允許在其網(wǎng)站主頁(yè)上張貼TRUSTe的隱私圖章標(biāo)志。

2.后續(xù)監(jiān)督

當(dāng)申請(qǐng)網(wǎng)站成為會(huì)員后,TRUSTe就會(huì)定期檢查網(wǎng)站，確保網(wǎng)站的行為符合它公布的隱私聲明，并且檢查網(wǎng)站隱私聲明的變動(dòng)。初始認(rèn)證和后續(xù)監(jiān)督都是在網(wǎng)站事先不知道的情況下，通過提交特定標(biāo)志符到網(wǎng)站來(lái)跟蹤該站點(diǎn)個(gè)人信息的使用，并監(jiān)控結(jié)果，以此來(lái)確定其信息收集使用行為是否與該站點(diǎn)的隱私聲明相符合。

3.爭(zhēng)端解決

當(dāng)消費(fèi)者認(rèn)為網(wǎng)站侵犯其隱私權(quán)，而就隱私侵權(quán)問題不能得到會(huì)員網(wǎng)站恰當(dāng)處理時(shí)，TRUSTe為其提供一種在線的爭(zhēng)端解決服務(wù)，即所謂的看門狗爭(zhēng)端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對(duì)涉嫌侵犯隱私而被消費(fèi)者投訴的網(wǎng)站作出最終決定，網(wǎng)站必須執(zhí)行，否則其所獲得的隱私圖章將被取消，并被列入“不守規(guī)矩的網(wǎng)站”的名單中，TRUSTe甚至通過適當(dāng)?shù)耐緩较蛳嚓P(guān)的法律權(quán)威部門提起訴訟，如美國(guó)貿(mào)易委員會(huì)或者消費(fèi)保護(hù)機(jī)構(gòu)等。這樣的爭(zhēng)端解決程序逐漸為TRUSTe 樹立了一定的威信。

(二)日本個(gè)人信息保護(hù)評(píng)價(jià)制度評(píng)析

日本早在1998年由非官方第三方機(jī)構(gòu)日本情報(bào)處理開發(fā)協(xié)會(huì)(Japan Information Processing Development Corporation，JIPDEC)建立了P-mark認(rèn)證制度，2005年日本《個(gè)人信息保護(hù)法》的實(shí)施，極大地推進(jìn)了企業(yè)參與個(gè)人信息保護(hù)認(rèn)證。

1998年制定的法律第95號(hào)《行政機(jī)關(guān)保有電子計(jì)算機(jī)處理個(gè)人情報(bào)保護(hù)法律》成為日本第一部保護(hù)個(gè)人信息的法律，但該法律僅針對(duì)公務(wù)機(jī)關(guān)，不針對(duì)非公務(wù)機(jī)關(guān)的個(gè)人信息收集、處理和利用進(jìn)行規(guī)范。隨著互聯(lián)網(wǎng)的發(fā)展和信息技術(shù)的不斷成熟，個(gè)人信息透過電腦得以大量處理，并容易散布于互聯(lián)網(wǎng)上，社會(huì)大眾開始期盼民間企業(yè)能夠保護(hù)個(gè)人信息。由于要求有效率的保護(hù)個(gè)人信息的措施能盡快地實(shí)施,呼聲四起，于是根據(jù)當(dāng)時(shí)通產(chǎn)省(現(xiàn)稱為經(jīng)產(chǎn)省Ministry of Economy,Trade and Industry)的指示，日本情報(bào)處理開發(fā)協(xié)會(huì)建立了一套自律驗(yàn)證個(gè)人資料保護(hù)的管理制度，即Privacy Mark(P-mark)制度。該制度通過認(rèn)證促使民間企業(yè)能采取適當(dāng)?shù)拇胧﹣?lái)保護(hù)個(gè)人信息。通過該制度認(rèn)證的民間企業(yè)被授予隱私標(biāo)識(shí)，企業(yè)可以在其商業(yè)活動(dòng)期間有權(quán)展示隱私標(biāo)識(shí)。該制度的隱私認(rèn)證依據(jù)為日本工業(yè)標(biāo)準(zhǔn) JIS Q 15001∶2006《個(gè)人資料保護(hù)管理系統(tǒng)——要求》。該標(biāo)準(zhǔn)在對(duì)跨境個(gè)人信息的保護(hù)方面，在3.4.3.4委托監(jiān)督中規(guī)定：“企業(yè)在委托別人使用全部或部分個(gè)人信息時(shí)，必須選定符合充分保護(hù)個(gè)人信息水平的企業(yè)，為此，委托者必須確立被委托者的選定標(biāo)準(zhǔn)。” 這就對(duì)日本企業(yè)在跨境外包業(yè)務(wù)時(shí)個(gè)人信息的利用提出了要求，外國(guó)企業(yè)如果達(dá)不到所謂“充分保護(hù)個(gè)人信息水平”，就無(wú)法承接日本企業(yè)的外包業(yè)務(wù)，這對(duì)我國(guó)以承接日本軟件外包業(yè)務(wù)為支柱的大連造成了巨大的沖擊。特別是2005年4月1日，日本《個(gè)人信息保護(hù)法》頒布后，我國(guó)大連對(duì)日外包軟件信息服務(wù)業(yè)受到很大的影響，這在一定程度上催生了我國(guó)大連的軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)評(píng)價(jià)制度。

(三)大連軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)評(píng)價(jià)制度

我國(guó)大連市是全國(guó)第一個(gè)制定個(gè)人信息保護(hù)標(biāo)準(zhǔn)并建立認(rèn)證制度PIPA的城市。大連是我國(guó)承接日本軟件外包業(yè)務(wù)最集中的城市，軟件和服務(wù)外包產(chǎn)業(yè)是大連重點(diǎn)扶持的支持產(chǎn)業(yè)，日本2005年實(shí)施《個(gè)人信息保護(hù)法》將個(gè)人信息保護(hù)作為選擇軟件外包對(duì)象的重要條件，為了幫助企業(yè)達(dá)到對(duì)日軟件外包業(yè)務(wù)的門檻，大連軟件行業(yè)協(xié)會(huì)制定了《大連軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)并于2006年4月推行實(shí)施，根據(jù)該《規(guī)范》的要求，大連于2006年5月1日正式建立了主要針對(duì)軟件及信息服務(wù)業(yè)的個(gè)人信息保護(hù)認(rèn)證體系PIPA(Personal Information Protection Assessment)。2006年，大連軟件行業(yè)協(xié)會(huì)與日本情報(bào)處理開發(fā)協(xié)會(huì)(JIPDEC)簽定了PIPA與P-mark相互承認(rèn)的合作協(xié)議，2008年6月，雙方達(dá)成互認(rèn)。這是國(guó)際上首個(gè)兩國(guó)互相全面承認(rèn)的個(gè)人信息保護(hù)認(rèn)證體系的合作項(xiàng)目。它標(biāo)志著中日兩國(guó)在信息交流方面的壁壘與障礙已消除，為促進(jìn)我國(guó)信息服務(wù)外包產(chǎn)業(yè)的發(fā)展，以及國(guó)內(nèi)軟件企業(yè)承接日本外包業(yè)務(wù)增加了新的保障[9]。

軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)評(píng)價(jià)體系(PIPA)評(píng)價(jià)的對(duì)象主要是企業(yè)，其初衷在于幫助以軟件和信息服務(wù)業(yè)為主的企業(yè)建立個(gè)人信息保護(hù)制度，使得企業(yè)有能力在2005年日本《個(gè)人信息保護(hù)法》實(shí)施后繼續(xù)承接日本軟件外包業(yè)務(wù)。通過PIPA評(píng)價(jià)的企業(yè)可以得到個(gè)人信息保護(hù)合格證書和PIPA標(biāo)志使用權(quán)。具體而言，大連個(gè)人信息保護(hù)評(píng)價(jià)制度包括以下幾個(gè)方面。

1.評(píng)價(jià)機(jī)構(gòu)

軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)評(píng)價(jià)機(jī)構(gòu)為大連軟件行業(yè)協(xié)會(huì)，下設(shè)個(gè)人信息保護(hù)工作委員會(huì)、PIPA辦公室和評(píng)價(jià)專家組。

PIPA辦公室主要負(fù)責(zé)PIPA文件管理和事務(wù)性工作，負(fù)責(zé)PIPA受理及投訴，負(fù)責(zé)評(píng)價(jià)員的聘任及管理工作，PIPA辦公室下設(shè)培訓(xùn)教育部門，負(fù)責(zé)個(gè)人信息保護(hù)企業(yè)培訓(xùn)和評(píng)價(jià)員培訓(xùn)、考核。

個(gè)人信息保護(hù)工作委員會(huì)主要負(fù)責(zé)標(biāo)準(zhǔn)和PIPA體系相關(guān)文件的制定、修改和完善，負(fù)責(zé)PIPA申批、投訴及事故處理結(jié)果的審批，負(fù)責(zé)對(duì)PIPA的監(jiān)督及聘任評(píng)價(jià)員的審批等工作。工作委員會(huì)下設(shè)：標(biāo)準(zhǔn)組、仲裁組、宣傳推廣組、國(guó)際交流組和教育培訓(xùn)組。標(biāo)準(zhǔn)組主要負(fù)責(zé)標(biāo)準(zhǔn)的研究和制定；仲裁組負(fù)責(zé)投訴及事故的調(diào)查及處理；宣傳推廣組負(fù)責(zé)PIPA宣傳推廣；國(guó)際交流組負(fù)責(zé)國(guó)際間的交流與合作；教育培訓(xùn)組負(fù)責(zé)個(gè)人信息保護(hù)人才的教育、培養(yǎng)研究及試點(diǎn)，開展個(gè)人信息保護(hù)人才培養(yǎng)工作。

2.評(píng)價(jià)依據(jù)

大連軟件行業(yè)協(xié)會(huì)在全國(guó)率先開始制定軟件及信息服務(wù)業(yè)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)，即《規(guī)范》，經(jīng)過多年的實(shí)踐，在大連市的地方標(biāo)準(zhǔn)的基礎(chǔ)上，形成了遼寧省的個(gè)人信息保護(hù)“省標(biāo)”《遼寧省軟件與信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范》DB21/T 1522-2007、《個(gè)人信息保護(hù)規(guī)范》DB21/T 1628-2008和遼寧省地方標(biāo)準(zhǔn)《信息安全個(gè)人信息保護(hù)規(guī)范》DB21/T 1628.1-2012。目前大連軟件行業(yè)協(xié)會(huì)已經(jīng)發(fā)布通知自2014年6月1日起正式實(shí)施《信息安全個(gè)人信息保護(hù)規(guī)范》，即2012版標(biāo)準(zhǔn)替代目前實(shí)施的2008版標(biāo)準(zhǔn)[10]。

3.評(píng)價(jià)流程

個(gè)人信息保護(hù)評(píng)價(jià)流程包括申請(qǐng)、受理、文件審查(前期審查)、現(xiàn)場(chǎng)審核、公示15天、審批、頒發(fā)合格證和標(biāo)志等幾個(gè)環(huán)節(jié)[11]。個(gè)人信息保護(hù)評(píng)價(jià)申請(qǐng)的前提是申請(qǐng)?jiān)u價(jià)的企業(yè)按照《規(guī)范》的要求建立企業(yè)個(gè)人信息保護(hù)制度，經(jīng)過三個(gè)月運(yùn)行的檢驗(yàn)，在這期間沒有發(fā)生任何涉及個(gè)人信息保護(hù)的重大事故，方得以開展評(píng)價(jià)申請(qǐng)。

4.評(píng)價(jià)監(jiān)督管理

通過個(gè)人信息保護(hù)認(rèn)證的企業(yè)并非一勞永逸，大連軟件行業(yè)協(xié)會(huì)對(duì)于通過認(rèn)證的企業(yè)具有監(jiān)督管理的權(quán)利。大連軟件行業(yè)協(xié)會(huì)對(duì)于通過認(rèn)證的企業(yè)可以采取抽查的方式進(jìn)行監(jiān)督管理，對(duì)于抽查不合格的企業(yè)，將限期整改，整改后仍然無(wú)法達(dá)到相關(guān)標(biāo)準(zhǔn)的企業(yè)，則取消其使用個(gè)人信息保護(hù)合格證書和PIPA標(biāo)志的資格。同時(shí)，大連軟件行業(yè)協(xié)會(huì)在接到重要舉報(bào)和投訴時(shí)，可對(duì)認(rèn)證企業(yè)進(jìn)行復(fù)審，復(fù)審不合格的企業(yè)同樣取消其使用個(gè)人信息保護(hù)合格證書和PIPA標(biāo)志的資格。

5.證書與標(biāo)志

通過個(gè)人信息保護(hù)認(rèn)證的企業(yè)，由大連軟件行業(yè)協(xié)會(huì)頒發(fā)個(gè)人信息保護(hù)合格證書、PIPA標(biāo)志，證書和標(biāo)志在兩年內(nèi)有效。

值得一提的是，由于大連行業(yè)協(xié)會(huì)與日本情報(bào)處理開發(fā)協(xié)會(huì)簽署了互認(rèn)合作協(xié)議，即通過大連PIPA認(rèn)證的企業(yè)受到日本情報(bào)處理開發(fā)協(xié)會(huì)的個(gè)人信息認(rèn)證體系P-mark認(rèn)可，無(wú)需再另行申請(qǐng)日本P-mark認(rèn)證，因此，通過大連行業(yè)協(xié)會(huì)個(gè)人信息保護(hù)認(rèn)證的企業(yè)還可以獲得PIPA-mark互認(rèn)標(biāo)志。

(四)中美日個(gè)人信息保護(hù)評(píng)價(jià)制度比較及啟示

中美日的個(gè)人信息保護(hù)評(píng)價(jià)制度各具特色，三者的共同點(diǎn)在于均是出于對(duì)用戶個(gè)人信息和隱私的保護(hù)而構(gòu)建的一整套認(rèn)證制度，均是以非官方組織為主導(dǎo)開展的評(píng)價(jià)認(rèn)證，三者的差別在于：

從評(píng)價(jià)對(duì)象來(lái)看，以TRUSTe為代表的美國(guó)個(gè)人信息評(píng)價(jià)制度主要針對(duì)網(wǎng)絡(luò)進(jìn)行評(píng)價(jià)，而不限行業(yè)；日本的P-mark個(gè)人信息評(píng)價(jià)體系則是針對(duì)所有企業(yè)，而不僅僅是企業(yè)的網(wǎng)站；大連的PIPA個(gè)人信息評(píng)價(jià)體系針對(duì)的主要是軟件及信息服務(wù)業(yè)的企業(yè)，有明顯的行業(yè)特征。

從評(píng)價(jià)的地域范圍來(lái)看，由于互聯(lián)網(wǎng)的無(wú)國(guó)界性，以TRUSTe為代表的美國(guó)個(gè)人信息評(píng)價(jià)制度目前已經(jīng)發(fā)展成為一個(gè)全球性的認(rèn)證體系，并不局限于僅對(duì)美國(guó)的網(wǎng)站開展認(rèn)證業(yè)務(wù)；日本的P-mark個(gè)人信息評(píng)價(jià)體系則是針對(duì)日本的企業(yè)開展認(rèn)證服務(wù)，是日本國(guó)家級(jí)的認(rèn)證體系，但不針對(duì)國(guó)外的企業(yè)開展認(rèn)證；大連的PIPA評(píng)價(jià)體系最初僅僅局限于針對(duì)大連市的企業(yè)，而且是對(duì)軟件和信息服務(wù)業(yè)的企業(yè)開展評(píng)價(jià)，現(xiàn)在逐步向全國(guó)范圍內(nèi)擴(kuò)大。

通過對(duì)比中美日三國(guó)個(gè)人信息保護(hù)評(píng)價(jià)制度，可以得到如下啟示：目前，我國(guó)尚未建立全國(guó)性的個(gè)人信息保護(hù)認(rèn)證體系，已經(jīng)嚴(yán)重影響到大數(shù)據(jù)時(shí)代我國(guó)信息產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。隨著信息化社會(huì)的發(fā)展和國(guó)家網(wǎng)絡(luò)空間安全保障戰(zhàn)略的構(gòu)建，全國(guó)性個(gè)人信息保護(hù)制度的建立已經(jīng)勢(shì)在必行，與之相伴的是建立全國(guó)統(tǒng)一的個(gè)人信息保護(hù)認(rèn)證體系。我國(guó)已于2012年12月28日出臺(tái)《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，并于2013年2月1日起正式實(shí)施《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z 28828-2012)，該標(biāo)準(zhǔn)是我國(guó)第一個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)，中國(guó)軟件評(píng)測(cè)中心也著手在此標(biāo)準(zhǔn)基礎(chǔ)上建立全國(guó)性的個(gè)人信息保護(hù)管理體系認(rèn)證，對(duì)企業(yè)級(jí)的個(gè)人信息保護(hù)能力進(jìn)行總體評(píng)價(jià)。未來(lái)建立的中國(guó)個(gè)人信息保護(hù)認(rèn)證機(jī)制還必須加強(qiáng)國(guó)際合作與互認(rèn)，使通過認(rèn)證的企業(yè)能夠得到國(guó)際社會(huì)的認(rèn)可，促進(jìn)全球信息安全保障的實(shí)現(xiàn)。

中美日現(xiàn)有隱私和個(gè)人信息評(píng)價(jià)制度帶給我們更為重要的啟示意義在于，個(gè)人信息評(píng)價(jià)必須從宏觀深入到微觀、從表面深入到實(shí)質(zhì)、從產(chǎn)業(yè)深入到產(chǎn)品，將個(gè)人信息認(rèn)證制度推廣到軟件產(chǎn)業(yè)鏈的末梢，全面加強(qiáng)軟件行業(yè)的自律，切實(shí)保障廣大用戶的權(quán)益，增強(qiáng)用戶對(duì)于軟件產(chǎn)品的信心。

四、我國(guó)軟件產(chǎn)品個(gè)人信息安全認(rèn)證制度構(gòu)建的對(duì)策

個(gè)人信息安全認(rèn)證制度并非強(qiáng)制性的機(jī)制，而是非官方機(jī)構(gòu)開展個(gè)人信息保護(hù)行業(yè)自律的重要形式，國(guó)內(nèi)外的實(shí)踐均取得了顯著的成效。我國(guó)加強(qiáng)軟件產(chǎn)品個(gè)人信息保護(hù)，可以借鑒現(xiàn)有國(guó)內(nèi)外主要針對(duì)網(wǎng)站、軟件開發(fā)企業(yè)的個(gè)人信息保護(hù)認(rèn)證制度，構(gòu)建更為精細(xì)的軟件產(chǎn)品個(gè)人信息安全認(rèn)證制度。

軟件產(chǎn)品個(gè)人信息安全認(rèn)證制度的建立，主要應(yīng)當(dāng)從軟件產(chǎn)品個(gè)人信息安全認(rèn)證管理機(jī)構(gòu)、認(rèn)證管理標(biāo)準(zhǔn)、建立認(rèn)證管理流程制度和軟件產(chǎn)品違規(guī)處罰與退出制度等幾個(gè)方面著力進(jìn)行。軟件產(chǎn)品個(gè)人信息安全認(rèn)證管理機(jī)構(gòu)應(yīng)當(dāng)是全國(guó)性的民間非營(yíng)利組織，可制定具有權(quán)威性的國(guó)家級(jí)軟件產(chǎn)品認(rèn)證管理標(biāo)準(zhǔn)。目前我國(guó)現(xiàn)有條件下，可在工信部指導(dǎo)下成立全國(guó)性的軟件產(chǎn)品個(gè)人信息安全認(rèn)證協(xié)會(huì)或借助現(xiàn)有工信部直屬事業(yè)單位——中國(guó)軟件測(cè)評(píng)中心開展軟件產(chǎn)品個(gè)人信息安全認(rèn)證工作。軟件產(chǎn)品個(gè)人信息安全認(rèn)證制度的建立，有利于廣大軟件開發(fā)者的健康成長(zhǎng)，培育具有責(zé)任感和事業(yè)心的軟件開發(fā)者，幫助用戶辨別軟件產(chǎn)品的安全性，符合整個(gè)產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)發(fā)展需要。下面就軟件產(chǎn)品個(gè)人信息安全認(rèn)證制度構(gòu)建中的核心問題即認(rèn)證標(biāo)準(zhǔn)和認(rèn)證流程進(jìn)行深入探討。

(一)軟件產(chǎn)品個(gè)人信息安全認(rèn)證標(biāo)準(zhǔn)

軟件產(chǎn)品個(gè)人信息安全認(rèn)證標(biāo)準(zhǔn)是軟件產(chǎn)品個(gè)人信息安全認(rèn)證最基本的依據(jù)，放眼全球，目前尚無(wú)一個(gè)針對(duì)軟件產(chǎn)品個(gè)人信息安全認(rèn)證的標(biāo)準(zhǔn)，只有類似針對(duì)整個(gè)企業(yè)的個(gè)人信息保護(hù)管理系統(tǒng)的標(biāo)準(zhǔn)、針對(duì)軟件和信息服務(wù)業(yè)整個(gè)行業(yè)的個(gè)人信息保護(hù)規(guī)范、針對(duì)網(wǎng)站的隱私認(rèn)證標(biāo)準(zhǔn)，而缺乏針對(duì)最直接收集個(gè)人信息的計(jì)算機(jī)軟件產(chǎn)品的個(gè)人信息安全認(rèn)證標(biāo)準(zhǔn)。

日本JIS Q 15001∶2006《個(gè)人資料保護(hù)管理系統(tǒng)——要求》對(duì)我國(guó)個(gè)人信息保護(hù)評(píng)價(jià)標(biāo)準(zhǔn)影響較大。我國(guó)現(xiàn)有個(gè)人信息保護(hù)標(biāo)準(zhǔn)主要有《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z 28828-2012)、《遼寧省軟件與信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范》DB21/T 1522-2007、《個(gè)人信息保護(hù)規(guī)范》DB21/T 1628-2008和遼寧省地方標(biāo)準(zhǔn)《信息安全 個(gè)人信息保護(hù)規(guī)范》DB21/T 1628.1-2012。2013年2月1日起正式實(shí)施的《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z 28828-2012)是我國(guó)第一個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)針對(duì)個(gè)人信息分類規(guī)定授權(quán)方式提出處理個(gè)人信息的八項(xiàng)基本原則，使我國(guó)個(gè)人信息保護(hù)進(jìn)入“有標(biāo)可依”的階段，但是該標(biāo)準(zhǔn)是非強(qiáng)制性的，靠企業(yè)自律實(shí)施。其余三個(gè)遼寧省的地方標(biāo)準(zhǔn)，均由大連軟件行業(yè)協(xié)會(huì)主導(dǎo)制定。2007年6月13日正式發(fā)布、2007年8月1日開始實(shí)施的《遼寧省軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范》DB21/T 1522-2007為遼寧省地方行業(yè)標(biāo)準(zhǔn)，是我國(guó)首個(gè)全省性的個(gè)人信息保護(hù)行業(yè)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是在借鑒世界經(jīng)濟(jì)合作發(fā)展組織(OECD)《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨國(guó)流通指導(dǎo)原則》的基礎(chǔ)上，參考各國(guó)個(gè)人信息保護(hù)立法與行業(yè)自律標(biāo)準(zhǔn)，結(jié)合我國(guó)相關(guān)法規(guī)和標(biāo)準(zhǔn)制定的。《信息安全個(gè)人信息保護(hù)規(guī)范》DB21/T 1628.1-2012為遼寧省地方標(biāo)準(zhǔn)，于2012年2月7日發(fā)布、3月7日正式實(shí)施，該標(biāo)準(zhǔn)適用于自動(dòng)或非自動(dòng)處理全部或部分個(gè)人信息的機(jī)關(guān)、企業(yè)、事業(yè)、社會(huì)團(tuán)體等組織。無(wú)論是國(guó)家級(jí)標(biāo)準(zhǔn)還是地方級(jí)標(biāo)準(zhǔn)，在很大程度上為企業(yè)個(gè)人信息保護(hù)體制的建立提供了參考依據(jù)，起到了指導(dǎo)作用，具有一定的進(jìn)步意義。

總體而言，現(xiàn)有標(biāo)準(zhǔn)由于主要針對(duì)企事業(yè)單位，其內(nèi)容是輪廓式、粗線條式的。軟件產(chǎn)品的個(gè)人信息保護(hù)標(biāo)準(zhǔn)則需要在此基礎(chǔ)上更為精細(xì)，促使軟件產(chǎn)品將個(gè)人信息保護(hù)法律和個(gè)人信息保護(hù)標(biāo)準(zhǔn)賦予用戶的各項(xiàng)權(quán)利予以落實(shí)，而對(duì)于用戶個(gè)人信息收集、利用的類別、范圍、方式予以嚴(yán)格控制。軟件產(chǎn)品個(gè)人信息保護(hù)標(biāo)準(zhǔn)有必要在現(xiàn)有國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z 28828-2012)的基礎(chǔ)上進(jìn)一步細(xì)化，結(jié)合軟件產(chǎn)品運(yùn)行的特點(diǎn)，使用戶的個(gè)人信息安全及權(quán)利得以保障。

(二)軟件產(chǎn)品個(gè)人信息安全認(rèn)證流程

建立軟件產(chǎn)品申請(qǐng)個(gè)人信息保護(hù)認(rèn)證流程，對(duì)于符合個(gè)人信息保護(hù)法律收集、利用和處理的軟件產(chǎn)品，經(jīng)審查合格的，頒發(fā)軟件產(chǎn)品個(gè)人信息保護(hù)合格證書與標(biāo)志。該軟件產(chǎn)品的開發(fā)者和利用者可以在其上注明個(gè)人信息保護(hù)合格標(biāo)志，以告知用戶，增加用戶對(duì)其的信賴感。軟件產(chǎn)品個(gè)人信息安全認(rèn)證流程與軟件企業(yè)的個(gè)人信息保護(hù)認(rèn)證并不相同，前者注重的是軟件產(chǎn)品是否合法收集利用用戶個(gè)人信息、是否保障用戶個(gè)人信息安全，而后者強(qiáng)調(diào)的是企業(yè)個(gè)人信息保護(hù)管理體系的建立以及對(duì)于個(gè)人信息保護(hù)的政策。

本研究結(jié)合國(guó)內(nèi)外隱私認(rèn)證和企業(yè)個(gè)人信息保護(hù)評(píng)價(jià)的流程，對(duì)軟件產(chǎn)品個(gè)人信息安全認(rèn)證流程初步設(shè)計(jì)如下。

1.申報(bào)

欲進(jìn)行個(gè)人信息保護(hù)認(rèn)證的軟件產(chǎn)品開發(fā)者或生產(chǎn)者、經(jīng)營(yíng)者作為申請(qǐng)單位需填寫《軟件產(chǎn)品個(gè)人信息安全認(rèn)證申請(qǐng)書》及相關(guān)附件材料呈交評(píng)價(jià)機(jī)構(gòu)。

2.資料審查

由評(píng)價(jià)機(jī)構(gòu)對(duì)申請(qǐng)單位提交的《軟件產(chǎn)品個(gè)人信息安全認(rèn)證申請(qǐng)書》及相關(guān)附件材料進(jìn)行審查，審查合格者制作審查合格報(bào)告，并進(jìn)入軟件信息保護(hù)評(píng)估階段，不合格者返回補(bǔ)正。

3.軟件信息保護(hù)評(píng)估

資料審查合格的單位向評(píng)價(jià)機(jī)構(gòu)提交軟件產(chǎn)品樣品一份，由評(píng)價(jià)機(jī)構(gòu)利用技術(shù)手段針對(duì)軟件的安全性進(jìn)行測(cè)試，包括軟件產(chǎn)品的信息安全、軟件產(chǎn)品的運(yùn)行機(jī)制、軟件產(chǎn)品對(duì)于用戶個(gè)人信息的收集利用情況等方面，并由專家組進(jìn)行評(píng)估，最終形成評(píng)價(jià)報(bào)告。通過者進(jìn)入審核階段；未通過者，申報(bào)單位按照專家組的評(píng)價(jià)意見進(jìn)行一次改進(jìn)完善，改進(jìn)完善后重新進(jìn)行評(píng)估，如仍不能通過，則出具評(píng)估不合格報(bào)告，若未進(jìn)行實(shí)質(zhì)性修改完善，不得再申請(qǐng)進(jìn)行個(gè)人信息安全評(píng)價(jià)。

4.審核

依據(jù)專家組形成的評(píng)價(jià)報(bào)告，評(píng)價(jià)機(jī)構(gòu)進(jìn)行審核，而后簽署最終審核意見。評(píng)價(jià)機(jī)構(gòu)對(duì)通過審核者公示10個(gè)工作日，其間如沒有實(shí)質(zhì)性異議，則正式通過審核并予以公告，頒發(fā)“軟件產(chǎn)品個(gè)人信息安全合格證書”及認(rèn)證標(biāo)志。

對(duì)于授予“軟件產(chǎn)品個(gè)人信息安全合格證書”及認(rèn)證標(biāo)志的軟件產(chǎn)品，評(píng)價(jià)機(jī)構(gòu)有監(jiān)督管理的權(quán)利，可以對(duì)軟件產(chǎn)品運(yùn)行中個(gè)人信息保護(hù)情況進(jìn)行抽查。對(duì)抽查不合格的軟件產(chǎn)品限期整改，整改后仍不符合個(gè)人信息安全標(biāo)準(zhǔn)的軟件產(chǎn)品，將取消其對(duì)于“軟件產(chǎn)品個(gè)人信息安全合格證書”和認(rèn)證標(biāo)志的使用資格。用戶在使用過程中可以對(duì)軟件產(chǎn)品個(gè)人信息保護(hù)進(jìn)行監(jiān)督，若發(fā)現(xiàn)軟件產(chǎn)品存在違法收集、利用用戶個(gè)人信息，甚至竊取用戶個(gè)人信息的行為，則可以向評(píng)價(jià)機(jī)構(gòu)進(jìn)行舉報(bào)，評(píng)價(jià)機(jī)構(gòu)經(jīng)查證若屬實(shí)，則取消“軟件產(chǎn)品個(gè)人信息安全合格證書”和認(rèn)證標(biāo)志，并予以通報(bào)。

通過軟件產(chǎn)品個(gè)人信息安全認(rèn)證機(jī)制的構(gòu)建，有助于培育一批品質(zhì)優(yōu)良、注重用戶權(quán)益、服務(wù)經(jīng)濟(jì)社會(huì)發(fā)展需要的軟件產(chǎn)品，從而肅清我國(guó)軟件產(chǎn)品市場(chǎng)魚目混珠的亂象，引領(lǐng)軟件產(chǎn)業(yè)的發(fā)展，為信息產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)發(fā)展奠定基礎(chǔ)。

參考文獻(xiàn)：

[1]姚傳富.軟件正在定義世界[EB/OL].(2013-05-29)[2015-01-28].http://news.xinhuanet.com/info/2013- 05/29/c_132416051.htm.

[2]齊愛民.拯救信息社會(huì)中的人格——個(gè)人信息保護(hù)法總論[M].北京：北京大學(xué)出版社,2009:20.

[3]刁勝先.個(gè)人信息網(wǎng)絡(luò)侵權(quán)責(zé)任形式的分類與構(gòu)成要件[J].重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2014(2)：28-35.

[4]劉東升，陳宇杰.政治經(jīng)濟(jì)學(xué)原理[M].北京：對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)出版社，1999:52.

[5]梁慧星，陳華彬.物權(quán)法[M].北京：法律出版社，1997：67.

[6]吳漢東，胡開忠.無(wú)形財(cái)產(chǎn)權(quán)制度研究[M].北京：法律出版社，2001:33.

[7]趙相林，曹俊.國(guó)際產(chǎn)品責(zé)任法[M].北京：中國(guó)政法大學(xué)出版社，2000:46.

[8]張娟，李儀.電子商務(wù)環(huán)境下消費(fèi)者個(gè)人信息保護(hù)危機(jī)與應(yīng)對(duì)——以新制度經(jīng)濟(jì)學(xué)為視角[J].重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2015(3)：39-43.

[9]PIPA介紹[EB/OL].(2013-10-28)[2015-01-28].http://www.pipa.gov.cn/NewsDetail.asp?ID=273.

[10]關(guān)于2014年正式實(shí)施《信息安全 個(gè)人信息保護(hù)規(guī)范》(DB21/T 1628.1-2012)的通知[EB/OL].(2014- 01-12)[2015-01-11].http://www.pipa.gov.cn/NewsDetail.asp?ID=920.

[11]個(gè)人信息保護(hù)評(píng)價(jià)(PIPA)流程圖[EB/OL].(2013-11-12)[2015-02-12].http://www.pipa.gov.cn/Flow.asp.

(編輯:劉仲秋)

Software Products Personal Information Security Authentication Mechanism in Big Data Era

CHEN Xing

(GuangxiUniversityforNationalities,Nanning530006，China)

Abstract:The various aspects of software industry, including developing, producing and selling, play a critical role in protection and security of users’ personal information. Based on using for reference the privacy authentication system of the United States, the personal information evaluation system of Japan and the personal information evaluation system of software and information service industry in Dalian, China, the paper proposes personal information authentication system to be extended to ends of software industry and self-regulation in software industry to be strengthened comprehensively, from macro level down to micro level, from the surface deep into the essence, from industry detailed into products, so as to effectively guarantee the rights and interests of the vast users, and to strengthen their confidence in software products. As to the establishment of this system, two aspects, i.e. Software products personal information authentication standards and procedures are mainly discussed.

Keywords:big data; software products; personal information security; authentication mechanism

中圖分類號(hào)：D923；G203

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1673- 8268(2016)02- 0039- 07

DOI：10.3969/j.issn.1673- 8268.2016.02.007

作者簡(jiǎn)介：陳星(1985-)，男，四川武勝人，廣西知識(shí)產(chǎn)權(quán)發(fā)展研究院研究員，知識(shí)產(chǎn)權(quán)法博士，主要從事網(wǎng)絡(luò)信息法與知識(shí)產(chǎn)權(quán)法研究。

基金項(xiàng)目：國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目：國(guó)家網(wǎng)絡(luò)空間安全法律保障機(jī)制研究(13&ZD181)；廣西民族大學(xué)科研基金資助課題：大數(shù)據(jù)時(shí)代個(gè)人信息權(quán)保障法律規(guī)則(2014MDQD004)

收稿日期：2015- 05-25修回日期：2015- 06-08