大數據時代軟件產品個人信息安全認證機制構建*

陳　星

(廣西民族大學，廣西 南寧 530006)

?

大數據時代軟件產品個人信息安全認證機制構建*

陳星

(廣西民族大學，廣西 南寧 530006)

摘要：軟件產業的開發、生產、銷售各個環節都對于用戶個人信息保護與安全至關重要。在借鑒美國的隱私認證制度、日本的個人信息評價制度以及我國大連軟件及信息服務業個人信息評價制度的基礎上，提出從宏觀深入到微觀、從表面深入到實質、從產業深入到產品，將個人信息認證制度推廣到軟件產業鏈的末梢，全面加強軟件行業的自律，切實保障廣大用戶的權益，增強用戶對于軟件產品的信心，并對該制度的構建著重從軟件產品個人信息保護認證標準和軟件產品個人信息保護認證流程兩個方面進行了探討。

關鍵詞：大數據；軟件產品；個人信息安全；認證機制

一、計算機軟件產品成為世界的核心和靈魂

(一)計算機軟件產業成為戰略性新興產業

工信部軟件服務業司司長陳偉表示：“今天，很多人提出了SDN(軟件定義網絡)、SDD(軟件定義數據中心)、SDS(軟件定義系統)，而我認為，軟件可以定義世界(SDW)，軟件應該成為世界的核心和靈魂，成為信息消費的引擎和重要內容。”[1]軟件產業在我國國民經濟中具有重要的戰略地位，隨著大數據、物聯網、移動互聯網的興起與廣泛運用，軟件產品已經覆蓋人民生產、生活的各個領域，逐漸成為重要的民生物品。軟件產業個人信息保護不僅關系到本產業的發展，關系到國民高品質智能化生活，而且對于整個信息產業的長遠發展，對于信息消費市場的培育與推動，對于“寬帶中國”戰略的實施，對于國家信息安全的保障具有重要的戰略意義。

軟件產業已從一個朝陽產業逐步成為經濟社會發展的戰略性、支柱性和先導性產業，軟件產品則是整個產業中的靈魂。作為支撐國民經濟和社會發展的基礎產業，軟件產業是戰略性新興產業和現代信息技術產業體系的重要組織部分，在現代信息技術產業體系中的地位繼續提高，并成為整個信息產業生態體系發展與健全的重要支撐。隨著大數據時代的到來，數據的挖掘、分析、利用為軟件產業的涅槃帶來新的機遇，軟件產品成為用戶數據、用戶個人信息進入網絡空間利用與處理的第一道關口。

在信息社會，社會對信息的依賴性越來越強。個人信息成為信息社會的一種重要社會資源[2]。大數據時代，用戶個人信息業已成為互聯網企業的核心競爭力，用戶個人信息的共享利用對于軟件產品發揮功效、為用戶提供更好的服務意義重大。計算機軟件產品的個人信息安全認證，關乎著整個產業的健康和可持續發展。針對隱私保護與個人信息保護的評價、認證，國內外已通過立法、行業自律等多種形式進行實踐，積累了大量可資借鑒的經驗[3]。美國著名的隱私保護認證機構主要有TRUSTe和BBBOnLine，前者為美國第一家民間認證機構，后者為促進良好商業顧問局委員會發起的認證計劃，這兩個認證機構的認證對象為網站。日本個人信息保護評價制度Privacy Mark(簡稱P-mark)和我國大連的個人信息保護評價制度(PIPA)極具代表性，但是兩者評價的對象是企事業單位，而不針對軟件產品，本研究將針對日本與大連的個人信息保護評價進行比較分析，然后結合軟件產品在數據挖掘分析方面的特點，構建專門針對軟件產品的個人信息安全認證制度。

(二)計算機軟件產品的界定

政治經濟學將產品稱為商品，其共同觀點是，產品是人類勞動創造的物質成果。政治經濟學的產品具有兩大屬性。一是使用價值，是指產品能滿足人們需要的屬性、質量和特征[4]。對于以計算機軟件為代表的新興事物是否屬于產品范疇，學界從來就沒有停止過爭議。傳統理論上，成為產品的首要條件是該產品必須是“物”，而自羅馬法以來，民法理論奉行“物必有體”的原則，物權法上的“物”僅限于有體物，而不包括無體物。以知識財產如作品、專利、商標等為代表的無體物，以信息為內容，雖然依附于一定的有形物質載體，但本質上仍是一種無形[5]的智力成果，不應納入所有權客體的范圍[6]。因此，基于軟件作品生產的軟件產品也就不屬于傳統意義上“產品”的范疇。

技術業已變革，整個社會都在地動山搖發生著巨大的變化，如果法律制度仍然固守兩千年前的傳統理論，秉持“祖宗之法不可變”的陳詞濫調，那么法律制度必定束縛生產力的發展，并必然地被技術的迅猛發展而沖破。從物和產品的發展趨勢來看，隨著社會經濟高速發展，物與產品的觀念均有擴展之勢[7]。世界各國出于對消費者權益的保護，不再對已經以“產品”的形式流通的計算機軟件“視而不見”，紛紛以“計算機軟件產品”稱呼之，并開展相關立法規范。

我國立法實踐也早已將計算機軟件定義為“產品”。工業和信息化部2009年《軟件產品管理辦法》第3條將“軟件產品”定義為：指向用戶提供的計算機軟件、信息系統或者設備中嵌入的軟件或者在提供計算機信息系統集成、應用服務等技術服務時提供的計算機軟件。該定義描述了計算機軟件產品的技術特征，卻并未揭示出計算機軟件產品的本質。本研究認為，計算機軟件產品是指利用軟件作品與物質實體材料或電子信息材料相結合制造出來可以滿足人們生產生活需要的產品。

二、大數據時代計算機軟件產品沖擊用戶個人信息安全

計算機軟件產品是整個網絡空間的神經末梢，是網民與互聯網直接鏈接的重要橋梁，是網絡空間中互聯網企業、政府機關、商業機構等單位和個人收集用戶個人信息的執行工具和第一道關口。事實上，網絡空間中一切個人信息的收集利用均是基于計算機軟件而得以實現，與此同時，網民通過各種系統軟件與應用軟件實現信息的交互與傳遞，因此，計算機軟件產品對于網絡空間個人信息保護具有至關重要的地位。

當個人信息逐步成為信息社會重要的經濟資源，計算機軟件則逐步淪為互聯網企業或其他商家攫取用戶個人信息資源的幫兇，甚至越來越多的軟件開發者專門開發竊取用戶個人信息的惡意軟件，通過販賣惡意盜取的用戶個人信息牟取巨大的商業利益。要治理網絡空間個人信息濫用與侵權的亂象，則必須以計算機軟件為入口和抓手，從源頭上截斷個人信息的無序收集，才能牽住網絡個人信息保護的牛鼻子，讓網絡空間個人信息的收集利用不再以踐踏個人信息主體的人格利益為基本手段，以法律制度制服科技這頭洪水猛獸，促進科技與基本人權保障之間的和諧發展。

由于計算機軟件對于個人信息收集利用改變了人類千百年來對于信息處理的方式，它在賦予人類強大數據處理能力的同時，也讓個人信息安全面臨前所未有的威脅。面對計算機時代個人信息保護的問題，世界各個國家和地區紛紛采取立法措施予以應對[8]。典型的如我國臺灣地區最早的個人信息保護相關規定直接命名為《電腦處理個人資料保護法》，其規范對象僅針對“電腦處理”的個人信息，而不包括人工處理的個人信息，可見其立法的最初目的乃在于應對計算機與互聯網的發展，專門針對計算機軟件收集、處理和利用個人信息進行規范。由于我國目前個人信息保護法律制度的滯后，互聯網企業利用軟件收集用戶個人信息無序化現象嚴重，時至今日，最為高新技術的信息產業仍舊奉行最原始的“叢林法則”，自騰訊與奇虎公司“3Q大戰”爆發以來，互聯網企業之間更是打著侵犯隱私與個人信息的旗號互相攻擊陷入“軍閥混戰”。2013年6月，美國通過九大互聯網企業服務器監控全球各國政府與全世界網民的“棱鏡門”事件曝光，顯示出個人信息保護已不只事關個人權益，而是涉及到國家的主權與安全。然而，作為網絡空間個人信息收集的工具與第一道關口，計算機軟件產品安全認證機制在目前所有的個人信息保護研究中尚未受到應有的重視。

三、國內外典型個人信息保護評價制度之比較與借鑒

(一)美國TRUSTe隱私認證制度評析

TRUSTe成立于1997年6月10日，是由商務網絡財團(CommerceNet Consortium)和電子前線基金會(Electronic Frontier Foundation,EFF)所組建的美國首個非盈利性的民間網絡隱私認證機構。TURSTe隱私計劃包括：一般網頁的隱私計劃、歐盟安全港隱私認證計劃、兒童的隱私認證計劃、電子郵件隱私認證計劃等。TRUSTe的隱私認證計劃以聯邦、各州和相關行業個人隱私保護的法規為標準，包括加利福尼亞州網絡隱私保護法(California Online Privacy Protection Act)、聯邦反垃圾郵件法(Federal CAN-SPAM Act)、聯邦貿易委員會批準的公平資訊慣例(Fair Information Practices)以及美國商業部的安全港隱私保護原則(Safe Harbor Privacy Principles)。

TRUSTe認證工作主要涵蓋以下幾個方面。

1.初始認證

當網站為獲得TRUSTe 的認證而提交了正式的申請表后，TRUSTe 將檢查申請網站，看它是否符合程序原則(Program Principles)。其目的是為了確保該網站的隱私政策，明確指出哪類個人信息被收集、誰在收集、為何目的收集、如何使用以及與誰共享等。如果網站符合TRUSTe關于隱私保護的認證要求，TRUSTe就會授予該網站隱私圖章，允許在其網站主頁上張貼TRUSTe的隱私圖章標志。

2.后續監督

當申請網站成為會員后,TRUSTe就會定期檢查網站，確保網站的行為符合它公布的隱私聲明，并且檢查網站隱私聲明的變動。初始認證和后續監督都是在網站事先不知道的情況下，通過提交特定標志符到網站來跟蹤該站點個人信息的使用，并監控結果，以此來確定其信息收集使用行為是否與該站點的隱私聲明相符合。

3.爭端解決

當消費者認為網站侵犯其隱私權，而就隱私侵權問題不能得到會員網站恰當處理時，TRUSTe為其提供一種在線的爭端解決服務，即所謂的看門狗爭端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對涉嫌侵犯隱私而被消費者投訴的網站作出最終決定，網站必須執行，否則其所獲得的隱私圖章將被取消，并被列入“不守規矩的網站”的名單中，TRUSTe甚至通過適當的途徑向相關的法律權威部門提起訴訟，如美國貿易委員會或者消費保護機構等。這樣的爭端解決程序逐漸為TRUSTe 樹立了一定的威信。

(二)日本個人信息保護評價制度評析

日本早在1998年由非官方第三方機構日本情報處理開發協會(Japan Information Processing Development Corporation，JIPDEC)建立了P-mark認證制度，2005年日本《個人信息保護法》的實施，極大地推進了企業參與個人信息保護認證。

1998年制定的法律第95號《行政機關保有電子計算機處理個人情報保護法律》成為日本第一部保護個人信息的法律，但該法律僅針對公務機關，不針對非公務機關的個人信息收集、處理和利用進行規范。隨著互聯網的發展和信息技術的不斷成熟，個人信息透過電腦得以大量處理，并容易散布于互聯網上，社會大眾開始期盼民間企業能夠保護個人信息。由于要求有效率的保護個人信息的措施能盡快地實施,呼聲四起，于是根據當時通產省(現稱為經產省Ministry of Economy,Trade and Industry)的指示，日本情報處理開發協會建立了一套自律驗證個人資料保護的管理制度，即Privacy Mark(P-mark)制度。該制度通過認證促使民間企業能采取適當的措施來保護個人信息。通過該制度認證的民間企業被授予隱私標識，企業可以在其商業活動期間有權展示隱私標識。該制度的隱私認證依據為日本工業標準 JIS Q 15001∶2006《個人資料保護管理系統——要求》。該標準在對跨境個人信息的保護方面，在3.4.3.4委托監督中規定：“企業在委托別人使用全部或部分個人信息時，必須選定符合充分保護個人信息水平的企業，為此，委托者必須確立被委托者的選定標準。” 這就對日本企業在跨境外包業務時個人信息的利用提出了要求，外國企業如果達不到所謂“充分保護個人信息水平”，就無法承接日本企業的外包業務，這對我國以承接日本軟件外包業務為支柱的大連造成了巨大的沖擊。特別是2005年4月1日，日本《個人信息保護法》頒布后，我國大連對日外包軟件信息服務業受到很大的影響，這在一定程度上催生了我國大連的軟件及信息服務業個人信息保護評價制度。

(三)大連軟件及信息服務業個人信息保護評價制度

我國大連市是全國第一個制定個人信息保護標準并建立認證制度PIPA的城市。大連是我國承接日本軟件外包業務最集中的城市，軟件和服務外包產業是大連重點扶持的支持產業，日本2005年實施《個人信息保護法》將個人信息保護作為選擇軟件外包對象的重要條件，為了幫助企業達到對日軟件外包業務的門檻，大連軟件行業協會制定了《大連軟件及信息服務業個人信息保護規范》(以下簡稱《規范》)并于2006年4月推行實施，根據該《規范》的要求，大連于2006年5月1日正式建立了主要針對軟件及信息服務業的個人信息保護認證體系PIPA(Personal Information Protection Assessment)。2006年，大連軟件行業協會與日本情報處理開發協會(JIPDEC)簽定了PIPA與P-mark相互承認的合作協議，2008年6月，雙方達成互認。這是國際上首個兩國互相全面承認的個人信息保護認證體系的合作項目。它標志著中日兩國在信息交流方面的壁壘與障礙已消除，為促進我國信息服務外包產業的發展，以及國內軟件企業承接日本外包業務增加了新的保障[9]。

軟件及信息服務業個人信息保護評價體系(PIPA)評價的對象主要是企業，其初衷在于幫助以軟件和信息服務業為主的企業建立個人信息保護制度，使得企業有能力在2005年日本《個人信息保護法》實施后繼續承接日本軟件外包業務。通過PIPA評價的企業可以得到個人信息保護合格證書和PIPA標志使用權。具體而言，大連個人信息保護評價制度包括以下幾個方面。

1.評價機構

軟件及信息服務業個人信息保護評價機構為大連軟件行業協會，下設個人信息保護工作委員會、PIPA辦公室和評價專家組。

PIPA辦公室主要負責PIPA文件管理和事務性工作，負責PIPA受理及投訴，負責評價員的聘任及管理工作，PIPA辦公室下設培訓教育部門，負責個人信息保護企業培訓和評價員培訓、考核。

個人信息保護工作委員會主要負責標準和PIPA體系相關文件的制定、修改和完善，負責PIPA申批、投訴及事故處理結果的審批，負責對PIPA的監督及聘任評價員的審批等工作。工作委員會下設：標準組、仲裁組、宣傳推廣組、國際交流組和教育培訓組。標準組主要負責標準的研究和制定；仲裁組負責投訴及事故的調查及處理；宣傳推廣組負責PIPA宣傳推廣；國際交流組負責國際間的交流與合作；教育培訓組負責個人信息保護人才的教育、培養研究及試點，開展個人信息保護人才培養工作。

2.評價依據

大連軟件行業協會在全國率先開始制定軟件及信息服務業的個人信息保護標準，即《規范》，經過多年的實踐，在大連市的地方標準的基礎上，形成了遼寧省的個人信息保護“省標”《遼寧省軟件與信息服務業個人信息保護規范》DB21/T 1522-2007、《個人信息保護規范》DB21/T 1628-2008和遼寧省地方標準《信息安全個人信息保護規范》DB21/T 1628.1-2012。目前大連軟件行業協會已經發布通知自2014年6月1日起正式實施《信息安全個人信息保護規范》，即2012版標準替代目前實施的2008版標準[10]。

3.評價流程

個人信息保護評價流程包括申請、受理、文件審查(前期審查)、現場審核、公示15天、審批、頒發合格證和標志等幾個環節[11]。個人信息保護評價申請的前提是申請評價的企業按照《規范》的要求建立企業個人信息保護制度，經過三個月運行的檢驗，在這期間沒有發生任何涉及個人信息保護的重大事故，方得以開展評價申請。

4.評價監督管理

通過個人信息保護認證的企業并非一勞永逸，大連軟件行業協會對于通過認證的企業具有監督管理的權利。大連軟件行業協會對于通過認證的企業可以采取抽查的方式進行監督管理，對于抽查不合格的企業，將限期整改，整改后仍然無法達到相關標準的企業，則取消其使用個人信息保護合格證書和PIPA標志的資格。同時，大連軟件行業協會在接到重要舉報和投訴時，可對認證企業進行復審，復審不合格的企業同樣取消其使用個人信息保護合格證書和PIPA標志的資格。

5.證書與標志

通過個人信息保護認證的企業，由大連軟件行業協會頒發個人信息保護合格證書、PIPA標志，證書和標志在兩年內有效。

值得一提的是，由于大連行業協會與日本情報處理開發協會簽署了互認合作協議，即通過大連PIPA認證的企業受到日本情報處理開發協會的個人信息認證體系P-mark認可，無需再另行申請日本P-mark認證，因此，通過大連行業協會個人信息保護認證的企業還可以獲得PIPA-mark互認標志。

(四)中美日個人信息保護評價制度比較及啟示

中美日的個人信息保護評價制度各具特色，三者的共同點在于均是出于對用戶個人信息和隱私的保護而構建的一整套認證制度，均是以非官方組織為主導開展的評價認證，三者的差別在于：

從評價對象來看，以TRUSTe為代表的美國個人信息評價制度主要針對網絡進行評價，而不限行業；日本的P-mark個人信息評價體系則是針對所有企業，而不僅僅是企業的網站；大連的PIPA個人信息評價體系針對的主要是軟件及信息服務業的企業，有明顯的行業特征。

從評價的地域范圍來看，由于互聯網的無國界性，以TRUSTe為代表的美國個人信息評價制度目前已經發展成為一個全球性的認證體系，并不局限于僅對美國的網站開展認證業務；日本的P-mark個人信息評價體系則是針對日本的企業開展認證服務，是日本國家級的認證體系，但不針對國外的企業開展認證；大連的PIPA評價體系最初僅僅局限于針對大連市的企業，而且是對軟件和信息服務業的企業開展評價，現在逐步向全國范圍內擴大。

通過對比中美日三國個人信息保護評價制度，可以得到如下啟示：目前，我國尚未建立全國性的個人信息保護認證體系，已經嚴重影響到大數據時代我國信息產業的長遠發展。隨著信息化社會的發展和國家網絡空間安全保障戰略的構建，全國性個人信息保護制度的建立已經勢在必行，與之相伴的是建立全國統一的個人信息保護認證體系。我國已于2012年12月28日出臺《全國人大常委會關于加強網絡信息保護的決定》，并于2013年2月1日起正式實施《信息安全技術 公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)，該標準是我國第一個個人信息保護國家標準，中國軟件評測中心也著手在此標準基礎上建立全國性的個人信息保護管理體系認證，對企業級的個人信息保護能力進行總體評價。未來建立的中國個人信息保護認證機制還必須加強國際合作與互認，使通過認證的企業能夠得到國際社會的認可，促進全球信息安全保障的實現。

中美日現有隱私和個人信息評價制度帶給我們更為重要的啟示意義在于，個人信息評價必須從宏觀深入到微觀、從表面深入到實質、從產業深入到產品，將個人信息認證制度推廣到軟件產業鏈的末梢，全面加強軟件行業的自律，切實保障廣大用戶的權益，增強用戶對于軟件產品的信心。

四、我國軟件產品個人信息安全認證制度構建的對策

個人信息安全認證制度并非強制性的機制，而是非官方機構開展個人信息保護行業自律的重要形式，國內外的實踐均取得了顯著的成效。我國加強軟件產品個人信息保護，可以借鑒現有國內外主要針對網站、軟件開發企業的個人信息保護認證制度，構建更為精細的軟件產品個人信息安全認證制度。

軟件產品個人信息安全認證制度的建立，主要應當從軟件產品個人信息安全認證管理機構、認證管理標準、建立認證管理流程制度和軟件產品違規處罰與退出制度等幾個方面著力進行。軟件產品個人信息安全認證管理機構應當是全國性的民間非營利組織，可制定具有權威性的國家級軟件產品認證管理標準。目前我國現有條件下，可在工信部指導下成立全國性的軟件產品個人信息安全認證協會或借助現有工信部直屬事業單位——中國軟件測評中心開展軟件產品個人信息安全認證工作。軟件產品個人信息安全認證制度的建立，有利于廣大軟件開發者的健康成長，培育具有責任感和事業心的軟件開發者，幫助用戶辨別軟件產品的安全性，符合整個產業的長遠發展需要。下面就軟件產品個人信息安全認證制度構建中的核心問題即認證標準和認證流程進行深入探討。

(一)軟件產品個人信息安全認證標準

軟件產品個人信息安全認證標準是軟件產品個人信息安全認證最基本的依據，放眼全球，目前尚無一個針對軟件產品個人信息安全認證的標準，只有類似針對整個企業的個人信息保護管理系統的標準、針對軟件和信息服務業整個行業的個人信息保護規范、針對網站的隱私認證標準，而缺乏針對最直接收集個人信息的計算機軟件產品的個人信息安全認證標準。

日本JIS Q 15001∶2006《個人資料保護管理系統——要求》對我國個人信息保護評價標準影響較大。我國現有個人信息保護標準主要有《信息安全技術 公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)、《遼寧省軟件與信息服務業個人信息保護規范》DB21/T 1522-2007、《個人信息保護規范》DB21/T 1628-2008和遼寧省地方標準《信息安全 個人信息保護規范》DB21/T 1628.1-2012。2013年2月1日起正式實施的《信息安全技術 公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)是我國第一個個人信息保護國家標準，該標準針對個人信息分類規定授權方式提出處理個人信息的八項基本原則，使我國個人信息保護進入“有標可依”的階段，但是該標準是非強制性的，靠企業自律實施。其余三個遼寧省的地方標準，均由大連軟件行業協會主導制定。2007年6月13日正式發布、2007年8月1日開始實施的《遼寧省軟件及信息服務業個人信息保護規范》DB21/T 1522-2007為遼寧省地方行業標準，是我國首個全省性的個人信息保護行業標準。該標準是在借鑒世界經濟合作發展組織(OECD)《關于保護隱私和個人數據跨國流通指導原則》的基礎上，參考各國個人信息保護立法與行業自律標準，結合我國相關法規和標準制定的。《信息安全個人信息保護規范》DB21/T 1628.1-2012為遼寧省地方標準，于2012年2月7日發布、3月7日正式實施，該標準適用于自動或非自動處理全部或部分個人信息的機關、企業、事業、社會團體等組織。無論是國家級標準還是地方級標準，在很大程度上為企業個人信息保護體制的建立提供了參考依據，起到了指導作用，具有一定的進步意義。

總體而言，現有標準由于主要針對企事業單位，其內容是輪廓式、粗線條式的。軟件產品的個人信息保護標準則需要在此基礎上更為精細，促使軟件產品將個人信息保護法律和個人信息保護標準賦予用戶的各項權利予以落實，而對于用戶個人信息收集、利用的類別、范圍、方式予以嚴格控制。軟件產品個人信息保護標準有必要在現有國家標準《信息安全技術 公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)的基礎上進一步細化，結合軟件產品運行的特點，使用戶的個人信息安全及權利得以保障。

(二)軟件產品個人信息安全認證流程

建立軟件產品申請個人信息保護認證流程，對于符合個人信息保護法律收集、利用和處理的軟件產品，經審查合格的，頒發軟件產品個人信息保護合格證書與標志。該軟件產品的開發者和利用者可以在其上注明個人信息保護合格標志，以告知用戶，增加用戶對其的信賴感。軟件產品個人信息安全認證流程與軟件企業的個人信息保護認證并不相同，前者注重的是軟件產品是否合法收集利用用戶個人信息、是否保障用戶個人信息安全，而后者強調的是企業個人信息保護管理體系的建立以及對于個人信息保護的政策。

本研究結合國內外隱私認證和企業個人信息保護評價的流程，對軟件產品個人信息安全認證流程初步設計如下。

1.申報

欲進行個人信息保護認證的軟件產品開發者或生產者、經營者作為申請單位需填寫《軟件產品個人信息安全認證申請書》及相關附件材料呈交評價機構。

2.資料審查

由評價機構對申請單位提交的《軟件產品個人信息安全認證申請書》及相關附件材料進行審查，審查合格者制作審查合格報告，并進入軟件信息保護評估階段，不合格者返回補正。

3.軟件信息保護評估

資料審查合格的單位向評價機構提交軟件產品樣品一份，由評價機構利用技術手段針對軟件的安全性進行測試，包括軟件產品的信息安全、軟件產品的運行機制、軟件產品對于用戶個人信息的收集利用情況等方面，并由專家組進行評估，最終形成評價報告。通過者進入審核階段；未通過者，申報單位按照專家組的評價意見進行一次改進完善，改進完善后重新進行評估，如仍不能通過，則出具評估不合格報告，若未進行實質性修改完善，不得再申請進行個人信息安全評價。

4.審核

依據專家組形成的評價報告，評價機構進行審核，而后簽署最終審核意見。評價機構對通過審核者公示10個工作日，其間如沒有實質性異議，則正式通過審核并予以公告，頒發“軟件產品個人信息安全合格證書”及認證標志。

對于授予“軟件產品個人信息安全合格證書”及認證標志的軟件產品，評價機構有監督管理的權利，可以對軟件產品運行中個人信息保護情況進行抽查。對抽查不合格的軟件產品限期整改，整改后仍不符合個人信息安全標準的軟件產品，將取消其對于“軟件產品個人信息安全合格證書”和認證標志的使用資格。用戶在使用過程中可以對軟件產品個人信息保護進行監督，若發現軟件產品存在違法收集、利用用戶個人信息，甚至竊取用戶個人信息的行為，則可以向評價機構進行舉報，評價機構經查證若屬實，則取消“軟件產品個人信息安全合格證書”和認證標志，并予以通報。

通過軟件產品個人信息安全認證機制的構建，有助于培育一批品質優良、注重用戶權益、服務經濟社會發展需要的軟件產品，從而肅清我國軟件產品市場魚目混珠的亂象，引領軟件產業的發展，為信息產業的長遠發展奠定基礎。

參考文獻：

[1]姚傳富.軟件正在定義世界[EB/OL].(2013-05-29)[2015-01-28].http://news.xinhuanet.com/info/2013- 05/29/c_132416051.htm.

[2]齊愛民.拯救信息社會中的人格——個人信息保護法總論[M].北京：北京大學出版社,2009:20.

[3]刁勝先.個人信息網絡侵權責任形式的分類與構成要件[J].重慶郵電大學學報(社會科學版)，2014(2)：28-35.

[4]劉東升，陳宇杰.政治經濟學原理[M].北京：對外經濟貿易大學出版社，1999:52.

[5]梁慧星，陳華彬.物權法[M].北京：法律出版社，1997：67.

[6]吳漢東，胡開忠.無形財產權制度研究[M].北京：法律出版社，2001:33.

[7]趙相林，曹俊.國際產品責任法[M].北京：中國政法大學出版社，2000:46.

[8]張娟，李儀.電子商務環境下消費者個人信息保護危機與應對——以新制度經濟學為視角[J].重慶郵電大學學報(社會科學版)，2015(3)：39-43.

[9]PIPA介紹[EB/OL].(2013-10-28)[2015-01-28].http://www.pipa.gov.cn/NewsDetail.asp?ID=273.

[10]關于2014年正式實施《信息安全 個人信息保護規范》(DB21/T 1628.1-2012)的通知[EB/OL].(2014- 01-12)[2015-01-11].http://www.pipa.gov.cn/NewsDetail.asp?ID=920.

[11]個人信息保護評價(PIPA)流程圖[EB/OL].(2013-11-12)[2015-02-12].http://www.pipa.gov.cn/Flow.asp.

(編輯:劉仲秋)

Software Products Personal Information Security Authentication Mechanism in Big Data Era

CHEN Xing

(GuangxiUniversityforNationalities,Nanning530006，China)

Abstract:The various aspects of software industry, including developing, producing and selling, play a critical role in protection and security of users’ personal information. Based on using for reference the privacy authentication system of the United States, the personal information evaluation system of Japan and the personal information evaluation system of software and information service industry in Dalian, China, the paper proposes personal information authentication system to be extended to ends of software industry and self-regulation in software industry to be strengthened comprehensively, from macro level down to micro level, from the surface deep into the essence, from industry detailed into products, so as to effectively guarantee the rights and interests of the vast users, and to strengthen their confidence in software products. As to the establishment of this system, two aspects, i.e. Software products personal information authentication standards and procedures are mainly discussed.

Keywords:big data; software products; personal information security; authentication mechanism

中圖分類號：D923；G203

文獻標識碼：A

文章編號：1673- 8268(2016)02- 0039- 07

DOI：10.3969/j.issn.1673- 8268.2016.02.007

作者簡介：陳星(1985-)，男，四川武勝人，廣西知識產權發展研究院研究員，知識產權法博士，主要從事網絡信息法與知識產權法研究。

基金項目：國家社會科學基金重大項目：國家網絡空間安全法律保障機制研究(13&ZD181)；廣西民族大學科研基金資助課題：大數據時代個人信息權保障法律規則(2014MDQD004)

收稿日期：2015- 05-25修回日期：2015- 06-08