軟件及信息服務(wù)業(yè)個人信息保護(hù)報告

精品文檔軟件及信息服務(wù)業(yè)個人信息保護(hù)報告大連軟件行業(yè)協(xié)會(2010-08-04 12:54:23) 前 言個人信息保護(hù)體系的建立是與信息化社會的發(fā)展和經(jīng)濟(jì)全球化密切相關(guān)的，隨著信息化社會的發(fā)展，個人信息保護(hù)已經(jīng)成為國際間信息交流的一個重要條件，特別是在軟件及信息服務(wù)外包業(yè)中，個人信息保護(hù)已經(jīng)成為國際間實行外包的一道門檻，這也促進(jìn)了我國軟件及信息服務(wù)業(yè)個人信息保護(hù)標(biāo)準(zhǔn)和評價體系的建立。一、個人信息相關(guān)術(shù)語1、個人信息個人信息是指業(yè)已存在的與個人相關(guān)的，并且可用于識別特定個人的信息。如：姓名、出生日期、分派給個人的號碼、標(biāo)志以及其它符號、可以識別個人的圖像或生物信息等（包括某些單獨使用時無法識別，但與其他信息進(jìn)行對比后，能夠由此識別特定個人的信息）。2、信息主體根據(jù)特定信息進(jìn)行識別或者能夠識別的對象。指擁有該個人信息的本人。3、個人信息取得是指為明確目的而獲取個人信息的行為。4、個人信息處理是指利用計算機(jī)和相關(guān)配套設(shè)備及軟件對個人信息進(jìn)行錄入、存儲、編輯、修改、檢索、刪除、輸出、傳輸和銷毀等行為。5、信息主體同意信息主體對與自身相關(guān)的個人信息的取得以及使用表示同意，原則上以信息主體的簽名、蓋章為準(zhǔn)，下述情況視為已取得信息主體同意：a ）未成年人和無法對事情做出正確判斷的成年人應(yīng)由家長或監(jiān)護(hù)人代表同意；b ）在取得個人信息時，單位與信息主體簽訂的合同中規(guī)定了個人信息的使用，而且信息主體同意履行合同。二、個人信息保護(hù)法規(guī)1、國際個人信息保護(hù)法規(guī)建立情況國際上建立個人信息保護(hù)法規(guī)的國家和組織有50多個，最重要的和對國際上影響比較大是兩個國際組織的個人信息保護(hù)法規(guī):(1)世界經(jīng)濟(jì)合作發(fā)展組織（OECD）關(guān)于保護(hù)隱私和個人數(shù)據(jù)跨國流通指導(dǎo)原則，其中所規(guī)定的個人信息保護(hù)八項基本原則，已經(jīng)得到了國際上的認(rèn)可，許多國家在此基礎(chǔ)上不斷進(jìn)行補(bǔ)充和完善制定本國的個人信息保護(hù)相關(guān)法規(guī)。OECD八項原則為：1)、收集限制原則。個人信息的收集必須采取合理合法的手段，必須征得信息主體的同意；2)、信息內(nèi)容的正確性原則。個人信息必須在利用目的范圍內(nèi)保持正確、完整及最新狀態(tài)；3)、目的明確化原則。個人信息收集前要明確使用目的，并在目的范圍內(nèi)收集；4)、使用限制原則。對個人信息資料不得超出目的范圍外使用；5)、安全保護(hù)原則。對個人信息的丟失、不當(dāng)接觸、破壞、利用、修改、公開等危險必須采取合理的安全保護(hù)措施加以保護(hù)；6)、公開原則。個人信息管理者必須用簡單易懂的方法向公眾公開個人信息保護(hù)的措施。7)、個人參加原則。信息主體有權(quán)知道自身信息的所在位置，有權(quán)對自身信息提出質(zhì)疑，有權(quán)對自身信息進(jìn)行修改、完善、補(bǔ)充和刪除。8)、責(zé)任原則。個人信息的管理者對個人信息的保管負(fù)全責(zé)。(2) 歐盟的歐盟數(shù)據(jù)保護(hù)指令，在歐盟指令的要求下，歐盟的40多個國家都建立了個人信息保護(hù)相關(guān)法規(guī)。特別是，歐盟指令規(guī)定，第三國的隱私法律只有經(jīng)歐盟委員會判定達(dá)到“充分的”保護(hù)標(biāo)準(zhǔn)，才能自歐盟進(jìn)行跨境個人信息傳輸，在歐盟數(shù)據(jù)保護(hù)指令第四章向第三國進(jìn)行個人數(shù)據(jù)轉(zhuǎn)讓中做了如下規(guī)定：（原文）Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data CHAPTER IV - TRANSFER OF PERSONAL DATA TO THIRD COUNTRIESArticle 25 Principles(1) The Member States shall provide that the transfer to a third country of personal data which areundergoing processing or are intended for processing after transfer may take place only if,without prejudice to compliance with the national provisions adopted pursuant to the otherprovisions of this Directive, the third country in question ensures an adequate level of protection,。 這項規(guī)定也促使許多非歐盟國家為了滿足歐盟的要求也開始制定個人信息保護(hù)相關(guān)法規(guī)。歐盟數(shù)據(jù)保護(hù)指令的基本要素是：透明度原則（Transparency）、良好的安全性（Good security）、獨立的監(jiān)管機(jī)關(guān)（Independent supervisory authority）、法律的有效執(zhí)行（Effective enforcement）、向第三國傳輸?shù)目刂疲–ontrols on transfers to third countries）；歐盟數(shù)據(jù)保護(hù)指令數(shù)據(jù)保護(hù)的基本原則是：個人數(shù)據(jù)必須被公平合法的處理（Personal data must be processed fairly and lawfully）；為特定目的而收集，且不能以與此無關(guān)的方式進(jìn)行處理（collected for specified purposes and not processed in an incompatible way）；具有合理的相關(guān)性并且不過度（adequate relevant and not excessive）；準(zhǔn)確且不斷更新（accurate and kept up to date）；保存不超出完成收集時的目的所必需的期間（not kept longer than necessary for the purpose for which they were collected）；2、我國有關(guān)個人信息保護(hù)相關(guān)法規(guī)目前我國現(xiàn)有法規(guī)：憲法、民法通則、婦女權(quán)益保障法、未成年人保護(hù)法、民事訴訟法、中華人民共和國郵政法、醫(yī)務(wù)人員醫(yī)德規(guī)范及實施辦法、中華人民共和國傳染病防治法、中華人民共和國身份證書法、中華人民共和國母子保健法、中華人民共和國統(tǒng)計法、計算機(jī)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定、個人存款賬戶實名制規(guī)定等相關(guān)法規(guī)中都有關(guān)于個人信息保護(hù)的相關(guān)條款，但是多比較原則，處罰的規(guī)定也不詳細(xì)。目前，非常需要一部個人信息保護(hù)的法規(guī)出臺。特別是近年來，隨著個人信息使用范圍的擴(kuò)大和個人信息使用價值的提高，個人信息被非法使用、提供、傳輸、買賣的案件都有不斷報導(dǎo)。這些已經(jīng)引起了國家相關(guān)部門的重視。在今年召開的十一屆全國人大常委會第七次會議上，表決通過了刑法修正案，增加了嚴(yán)打泄露或非法獲取公民個人信息行為的相關(guān)規(guī)定。在刑法修正案(七)增加了相關(guān)條款，規(guī)定，“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金”?！案`取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！薄皢挝环盖皟煽钭锏模瑢挝慌刑幜P金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！蔽覈鴤€人信息保護(hù)法（草案）也已經(jīng)呈交國務(wù)院。相信個人信息保護(hù)法的出臺已經(jīng)為時不遠(yuǎn)。 三、個人信息保護(hù)標(biāo)準(zhǔn)1、國際相關(guān)標(biāo)準(zhǔn)目前國際上有關(guān)個人信息保護(hù)的標(biāo)準(zhǔn)并不多，對我國影響比較大的就是日本有關(guān)個人信息保護(hù)的工業(yè)規(guī)格標(biāo)準(zhǔn)：JIS Q15001：2006（個人信息保護(hù)管理體系要求事項），該標(biāo)準(zhǔn)于1999年制定并頒布，2006年修改。主要適用于處理個人信息的企業(yè)事業(yè)單位，規(guī)定了所有行業(yè)、所有規(guī)模的單位可以適用的個人信息保護(hù)管理體系的相關(guān)要求事項。在對跨境個人信息的保護(hù)方面，在3.4.3.4委托監(jiān)督中規(guī)定“企業(yè)在委托別人使用全部或部分個人信息時，必須選定符合充分保護(hù)個人信息水平的企業(yè)，為此，委托者必須確立委托者的選定標(biāo)準(zhǔn)。”這造成了日本客戶在委托相關(guān)個人信息時，向其它國家的企業(yè)提出個人信息保護(hù)方面的要求，中國在與日本企業(yè)的合作中如果沒有相關(guān)的個人信息保護(hù)能力和水平，將會因此而失去訂單，不實行個人信息保護(hù)影響到中國軟件及信息服務(wù)外包產(chǎn)業(yè)的發(fā)展，特別是2005年4月1日，日本個人信息保護(hù)法頒布后，對我國對日外包軟件信息服務(wù)業(yè)產(chǎn)生了一定的影響，這也促使了我們個人信息保護(hù)工作的開展。2、我國的個人信息保護(hù)標(biāo)準(zhǔn)我國目前已經(jīng)通過和發(fā)布的個人信息保護(hù)標(biāo)準(zhǔn)有兩個：（1）軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范DB21/T 1522-2007，該標(biāo)準(zhǔn)為遼寧省地方行業(yè)標(biāo)準(zhǔn)，是我國首個針對個人信息保護(hù)的地方行業(yè)標(biāo)準(zhǔn)，也是我國首個軟件及信息服務(wù)行業(yè)的標(biāo)準(zhǔn)。于2007年6月13日正式發(fā)布，2007年8月1日開始實施。該標(biāo)準(zhǔn)是依據(jù)我國信息管理及信息安全相關(guān)法規(guī)和標(biāo)準(zhǔn)，并參考世界經(jīng)濟(jì)合作發(fā)展組織OECD關(guān)于保護(hù)隱私和個人數(shù)據(jù)跨國流通指導(dǎo)原則制定的。（2）個人信息保護(hù)規(guī)范BD21/T 1628-2008，該標(biāo)準(zhǔn)為遼寧省地方標(biāo)準(zhǔn)，是我國首個針對個人信息保護(hù)的地方標(biāo)準(zhǔn)。于2008年6月16日正式發(fā)布，2008年7月16日開始實施。該標(biāo)準(zhǔn)依據(jù)國際、國內(nèi)相關(guān)法律、法規(guī)及信息安全相關(guān)標(biāo)準(zhǔn)，遵循OECD（世界經(jīng)濟(jì)合作發(fā)展組織 Organization for Economic Co-operation and Development）關(guān)于保護(hù)隱私和個人數(shù)據(jù)跨國流通的指導(dǎo)原則，參考國際通行的個人信息保護(hù)相關(guān)法規(guī)和行業(yè)自律模式制訂。這兩個標(biāo)準(zhǔn)都是在我國首次發(fā)布的個人信息保護(hù)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中規(guī)定了個人信息保護(hù)相關(guān)術(shù)語和定義，原則、負(fù)責(zé)人及責(zé)任、方針、風(fēng)險分析與基本規(guī)章、運行與實施、檢查、持續(xù)改進(jìn)等單位個人信息保護(hù)體系建立所應(yīng)具備的基本框架及要求。為企業(yè)個人信息保護(hù)體制的建立提供了參考依據(jù)，起到了指導(dǎo)作用。標(biāo)準(zhǔn)中規(guī)定了軟件及信息服務(wù)業(yè)個人信息保護(hù)原則：1) 取得與使用個人信息取得應(yīng)采用合理合法手段，并應(yīng)征得信息主體的同意。個人信息取得和使用應(yīng)有明確目的，不得超范圍使用。2) 安全保障應(yīng)采取必要的安全保護(hù)措施，防止個人信息的丟失、泄漏、篡改和破壞等事件發(fā)生。除信息主體同意外，個人信息不得提供給第三方。3）信息主體權(quán)利信息主體有權(quán)確認(rèn)個人信息狀態(tài)。并擁有對個人信息提出刪除、修改和完善的權(quán)利。4）信息內(nèi)容更新個人信息應(yīng)確保在使用目的范圍內(nèi)的正確性和完整性，并做到及時更新。四、個人信息保護(hù)認(rèn)證1、國際相關(guān)認(rèn)證國際上關(guān)個人信息保護(hù)的認(rèn)證比較多，對我國有一定影響的認(rèn)證主要有：（1）美國的BBOnLine隱私認(rèn)證計劃（BBBonline privacy seal program）：美國BBBOnLine認(rèn)證是網(wǎng)絡(luò)安全認(rèn)證，BBBonline是促進(jìn)良好商業(yè)顧問局（council of better business bureau ）的美國Better Business Bureau(BBB)全國性中小企業(yè)組織所成立的網(wǎng)站安全認(rèn)證機(jī)構(gòu)，它所提供的認(rèn)證服務(wù)有Reliability Seal、Privacy Seal、Kids Privacy Seal等。其中Privacy Seal、Kids和Privacy Seal都是針對網(wǎng)站的個人隱私保護(hù)認(rèn)證。該機(jī)構(gòu)在1999年3月17日建立并開始其隱私認(rèn)證計劃。（2）美國TRUSTe 認(rèn)證TRUSTe是由商務(wù)網(wǎng)絡(luò)財團(tuán)（CommerceNetConsortium）和電子前線基金會（ElectronicFrontierFoundation,EFF）所組建的一個獨立的非營利的組織，該組織成立于1997年6月10日，是美國首家網(wǎng)絡(luò)隱私認(rèn)證民間機(jī)構(gòu)，是一家非盈利組織。主要采取認(rèn)證和監(jiān)督網(wǎng)站的隱私保護(hù)狀況和電子郵件政策。TURSTe隱私計劃包括：一般網(wǎng)頁的隱私計劃、歐盟安全港隱私認(rèn)證計劃、兒童的隱私認(rèn)證計劃、電子郵件隱私認(rèn)證計劃，TRUSTe各種計劃都遵守許多政府和行業(yè)有關(guān)個人信息保護(hù)的法規(guī)和標(biāo)準(zhǔn)，包括加利福尼亞州網(wǎng)上隱私保護(hù)法（California Online Privacy Protection Act）、聯(lián)邦反垃圾郵件法（Federal CAN-SPAM Act）、聯(lián)邦貿(mào)易委員會批準(zhǔn)的公平資訊慣例（Fair Information Practices）以及美國商業(yè)部的安全港隱私保護(hù)原則（Safe Harbor Privacy Principles）。（3）日本的P-MARK認(rèn)證P-MARK認(rèn)證是日本針對計算機(jī)處理個人信息相關(guān)企業(yè)而開展的獲取個人信息保護(hù)標(biāo)志的認(rèn)證，它的認(rèn)證機(jī)構(gòu)是日本財團(tuán)法人情報處理開發(fā)協(xié)會（JIPDEC），認(rèn)證標(biāo)準(zhǔn)是JIS Q 15001。日本P-MARK認(rèn)證制度從1998年4月開始。2005年4月1日，日本正式頒布了個人信息保護(hù)法，促進(jìn)了P-MARK認(rèn)證數(shù)的快速增長，至2009年認(rèn)證企業(yè)已經(jīng)超過了10000家。對以上三種認(rèn)證體系的分析看：從認(rèn)證對象來看，美國的認(rèn)證范圍主要是針對網(wǎng)絡(luò)個人信息保護(hù)認(rèn)證，特別是網(wǎng)絡(luò)交易平臺和網(wǎng)站注冊的個人信息的保護(hù)，特別重視信息主體的權(quán)利和網(wǎng)站個人隱私的保護(hù)。日本的P-MARK認(rèn)證是針對所有企業(yè)個人信息保護(hù)體制建立的標(biāo)準(zhǔn)，可以給企業(yè)一個比較全面的個人信息保護(hù)體制建立的指導(dǎo)和幫助。從認(rèn)證范圍看，美國的兩個認(rèn)證都是跨國界的認(rèn)證，但由于各國法規(guī)、標(biāo)準(zhǔn)的不一致性，要真正得到其它國家的認(rèn)可還存在許多問題。而日本的P-MARK認(rèn)證是一個針對日本全國的全行業(yè)的國家級認(rèn)證，不針對日本以外的國家。目前，還沒有一個國際公認(rèn)的個人信息保護(hù)的認(rèn)證體系，但由于信息化社會的發(fā)展和全球經(jīng)濟(jì)體系的建立，必將會促進(jìn)一個全球化的信息安全體系的建立，建立國際統(tǒng)一的個人信息保護(hù)認(rèn)證體系也是非常必要的。2、我國軟件及信息服務(wù)業(yè)個人信息保護(hù)評價體系（PIPA）軟件及信息服務(wù)業(yè)個人信息保護(hù)評價體系（PIPA）是我國目前最早的針對個人信息保護(hù)能力和水平的評價。目前已經(jīng)與日本的P-MARK認(rèn)證實現(xiàn)了相互認(rèn)可。目的是幫助企業(yè)建立個人信息保護(hù)規(guī)章制度、運行實施并不斷改進(jìn)和完善，使單位的個人信息保護(hù)能力和單位信息安全級別得到提高，使客戶、消費者和員工的個人信息得到有效保護(hù)。建立個人信息保護(hù)體制的單位可以通過PIPA評價，得到個人信息保護(hù)合格證書和PIPA標(biāo)志使用權(quán)，以證明單位的個人信息保護(hù)能力和水平，以此得到客戶和消費者的信任。（1）PIPA簡介PIPA全稱：個人信息保護(hù)評價（Personal information protection assessment）評價標(biāo)準(zhǔn)：軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范（DB21/T 1522-2007）（以下簡稱規(guī)范；評價機(jī)構(gòu)：大連軟件行業(yè)協(xié)會開始時間：2006年5月PIPA是針對計算機(jī)處理相關(guān)單位而開展的個人信息保護(hù)能力的評價，主要適用于利用計算機(jī)對個人信息進(jìn)行處理的相關(guān)單位。評價程序按照前期審查現(xiàn)場審核公示審批過程嚴(yán)格進(jìn)行，通過PIPA的單位，可以得到個人信息保護(hù)合格證書、PIPA標(biāo)志和PIPA-MARK互認(rèn)標(biāo)志使用權(quán)，有效期兩年。（2）PIPA評價機(jī)構(gòu)PIPA評價機(jī)構(gòu)下設(shè)個人信息保護(hù)工作委員會和PIPA辦公室。PIPA辦公室主要負(fù)責(zé)PIPA文件管理和事務(wù)性工作，負(fù)責(zé)PIPA受理及投訴，負(fù)責(zé)評價員的聘任及管理工作，PIPA辦公室下設(shè)培訓(xùn)教育部門，負(fù)責(zé)個人信息保護(hù)企業(yè)培訓(xùn)和評價員培訓(xùn)、考核。工作委員會主要負(fù)責(zé)標(biāo)準(zhǔn)和PIPA體系相關(guān)文件的制定、修改和完善，負(fù)責(zé)PIPA申批、投訴及事故的處理結(jié)果的審批，負(fù)責(zé)對PIPA的監(jiān)督，聘任評價員的審批等工作。工作委員會下設(shè)：標(biāo)準(zhǔn)組、仲裁組、宣傳推廣組、國際交流組和教育培訓(xùn)組。標(biāo)準(zhǔn)組主要負(fù)責(zé)標(biāo)準(zhǔn)的研究和制定；仲裁組負(fù)責(zé)投訴及事故的調(diào)查及處理；宣傳推廣組負(fù)責(zé)PIPA宣傳推廣；國際交流組負(fù)責(zé)國際間的交流與合作；教育培訓(xùn)組負(fù)責(zé)個人信息保護(hù)人才的教育及培養(yǎng)研究及試點，開展個人信息保護(hù)人才培養(yǎng)工作。（3）PIPA的管理與監(jiān)督申請個人信息保護(hù)評價單位需要按照規(guī)范要求建立本單位個人信息保護(hù)相關(guān)規(guī)章制度，在單位內(nèi)實施個人信息保護(hù)，并至少運行三個月。申請方應(yīng)在申請前三個月內(nèi)沒有發(fā)生過重大個人信息保護(hù)事故。申請方應(yīng)是自愿參加評價。評價機(jī)構(gòu)對個人信息保護(hù)合格單位有監(jiān)督管理的權(quán)利，可以對單位個人信息保護(hù)情況進(jìn)行抽查，對抽查不合格單位將限期整改，整改后仍不合格的單位，將取消個人信息保護(hù)合格證書和PIPA標(biāo)志的使用資格。以下情況將對PIPA企業(yè)進(jìn)行復(fù)審：一是在對申報單位在個人信息保護(hù)方面有重要舉報和投訴并確認(rèn)為事實時；二是，在個人信息保護(hù)方面發(fā)生重大事故時；三是，在企業(yè)更名、辦公場所或業(yè)務(wù)有重大變化時，對抽查和復(fù)審不合格單位，將取消個人信息保護(hù)合格證書和PIPA標(biāo)志的使用資格。（4）證書與標(biāo)志通過PIPA的單位，可以得到個人信息保護(hù)合格證書、PIPA標(biāo)志和PIPA-MARK互認(rèn)標(biāo)志使用權(quán)，有效期兩年。五、國際合作方式探討1、歐盟的安全島模式。2000年3月14日，美國與歐盟就個人信息保護(hù)的“安全港”模式提出美國和歐盟都可以接受的建議。這項建議的內(nèi)容為，如果美國產(chǎn)業(yè)對 “安全港口協(xié)議”（Safe Harbor Agreements）表示同意，就可以在進(jìn)行嚴(yán)格隱私權(quán)保護(hù)的歐盟進(jìn)行交易。這項提議于2000年6月獲得歐洲議會的通過。美國商務(wù)部也于2000年7月21日公布了這一協(xié)議。該協(xié)議包括1998年“國際安全港隱私保護(hù)原則”中的七大原則12： 1告知（NOTICE）。企業(yè)必須告知資料本人資料收集、使用的目的，投訴的方式，向第三方披露個人資料的類型以及本人選擇或限制企業(yè)使用、披露個人資料的方法，而且通知必須使用清楚、明確的語言。2選擇（CHOICE）。資料本人有權(quán)決定其資料是否向第三方公開或被用于與最初收集目的不同的其他目的，為實現(xiàn)選擇的權(quán)利，企業(yè)應(yīng)提供明確、可行的選擇機(jī)制。對于敏感資料利用，尤其應(yīng)經(jīng)過本人肯定、直接的授權(quán)。3轉(zhuǎn)送（ONWARD TRANSFER）。為向第三方披露個人資料，企業(yè)必須使用通知、選擇原則，否則，當(dāng)?shù)谌綄Ρ救藰?gòu)成侵權(quán)時企業(yè)不能免責(zé)。4安全（SECURITY）。企業(yè)處理、保有、利用或傳播個人資料時，必須采取合理的措施以防止資料被丟失、濫用、歪曲和毀壞。5資料完整（DATA INTEGRITY）。企業(yè)必須采取合理措施保證其使用的個人資料的準(zhǔn)確、完整和更新以及與使用目的的關(guān)聯(lián)性。6渠道（ACCESS）。本人應(yīng)獲得糾正、修改、刪除不實資料的渠道，除非使用這種渠道的成本過高以至于違反比例原則。7執(zhí)行（ENFORCEMENT）。包括救濟(jì)機(jī)制和進(jìn)入安全港的批準(zhǔn)原則等。此協(xié)議在企業(yè)責(zé)任、投訴機(jī)制以及進(jìn)入安全港的企業(yè)資格方面，都有著更為嚴(yán)格的要求，該協(xié)議也充分體現(xiàn)了歐盟95指令對美國的重大影響，以及美歐之間在網(wǎng)絡(luò)隱私權(quán)保護(hù)及電子商務(wù)發(fā)展方面的斗爭與妥協(xié)。2、互認(rèn)模式（PIPA與P-MARK互認(rèn)）中國的PIPA與日本的P-MARK“個人信息保護(hù)認(rèn)證體系”之間的互認(rèn)，是兩個國家間個人信息保護(hù)體系的全面認(rèn)證。PIPA與P-MARK的互認(rèn)合作工作從2005年開始，2006年10月份日本的P-MAR認(rèn)證機(jī)構(gòu)（情報處理開發(fā)協(xié)會（JIPDEC）開始與中國PIPA評價機(jī)構(gòu)（大連軟件行業(yè)協(xié)會）簽署了互認(rèn)合作協(xié)議，于2008年6月19日中國的PIPA與日本的P-MARK正式實現(xiàn)了互認(rèn)?；フJ(rèn)簽字儀式在大連軟交會上舉行。日本的P-MARK認(rèn)證與中國的PIPA評價通過兩年的合作，雙方認(rèn)為在評價制度、方法、水平等方面達(dá)到一致。雙方同意全面相互承認(rèn)，并可共用同一認(rèn)證標(biāo)志。這是國際上首個兩國相互全面承認(rèn)的個人信息保護(hù)認(rèn)證體系的合作項目。它標(biāo)志著中日兩國在個人信息交流方面的壁壘與障礙已消除。中日雙方個人信息保護(hù)認(rèn)證體系的相互認(rèn)可，使兩國在個人信息保護(hù)方面達(dá)成了共識，中國通過PIPA的企業(yè)將等同于日本通過P-MARK的企業(yè)，這樣就打破了日本在信息服務(wù)外包中的個人信息保護(hù)的門檻。這也促進(jìn)了我國與日本信息服務(wù)外包業(yè)的合作與發(fā)展。六、2008年軟件及信息業(yè)個人信息保護(hù)工作軟件及信息服務(wù)業(yè)個人信息保護(hù)工作一直走在我國個人信息保護(hù)工作的前列，中國軟件行業(yè)協(xié)會、國家商務(wù)部、國家工信部、遼寧信息產(chǎn)業(yè)廳、大連市信息產(chǎn)業(yè)局等單位給予這項工作以大力支持和關(guān)注?？偨Y(jié)2008年個人信息保護(hù)主要完成以下工作：1、編制發(fā)布遼寧省個人信息保護(hù)標(biāo)準(zhǔn)由大連軟件行業(yè)協(xié)會編寫的遼寧省個人信息保護(hù)規(guī)范DB21T1628-2008，于2008 年6月16日正式發(fā)布，2008年7月16日實施。該標(biāo)準(zhǔn)的發(fā)布將對遼寧省各行業(yè)個人信息保護(hù)工作的開展起著指導(dǎo)和規(guī)范作用，對全國的個人信息保護(hù)工作也將起著積極的推動作用。2、完善PIPA評價體系作為我國首個針對個人信息保護(hù)的評價體系（Personal Information Products Assessment，PIPA），在2008年得到進(jìn)一步的完善。（1）建立和完善了評價員管理、考評及聘任制度，制定了評價員管理辦法，使評價員的選擇、培訓(xùn)和評價更加規(guī)范化，為評價質(zhì)量的提高打下好的基礎(chǔ)；（2）建立投訴及事故報告制度，建立對應(yīng)的投訴及事故處理流程，編制了事故報告及事故處理報告等一系列文件。投訴制度的建立和事故報告制度的建立完善了評價體系，保證了信息主體的權(quán)利可以落實，同時，也實現(xiàn)了對企業(yè)的第三方監(jiān)督制度的建立，保證了對個人信息保護(hù)方面的意見、建議和投訴可以得到及