首部个人信息保护国标实施，隐私不再“裸奔”

上榜理由

现代信息社会，随着个人信息泄露现象越来越严重，信息安全受到了国家和社会大众的广泛关注，2012年，公安机关侦破的一起网络犯罪案件显示，涉案团伙非法入侵人事考试网、职称网等上百家网站，盗卖的个人隐私相关资料数据高达300多万条。在此之前，一场大规模数据泄露风暴席卷国内互联网，导致上亿条个人用户信息遭到泄露，涉及社交网站、电子商务等各类网站。

2013年2月1日起，我国首部个人信息保护国家标准——《信息安全技术 公共及商用服务信息系统个人信息保护指南》正式实施，这标志着我国个人信息保护工作正式进入“有标可依”阶段。

重温标准

《信息安全技术 公共及商用服务信息系统个人信息保护指南》明确要求，处理个人信息应当具有特定、明确和合理的目的，应当在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。

标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出了默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。但对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。

标准还正式提出了处理个人信息时应当遵循的8项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确，划分了收集、加工、转移、删除4个环节，并针对每一个环节提出了落实8项基本原则的具体要求。

微声音

姚力（网络工程师）：主机安全至关重要

在众多信息泄露事件中，网站服务器等主机承载着大量的个人信息数据，成为黑客攻击的“重灾区”。

统计数据表明，大多数黑客攻击事件是由主机系统漏洞和错误的系统设定引起的，通过系统漏洞，黑客可以窃取信息，植入“后门”程序，甚至实施破坏行为，致使计算机系统瘫痪崩溃。因此，针对主机系统漏洞进行防范，是信息安全工作中最直接、最根本的手段。

李婷（太原市居民）：期待上升到法律层面

个人信息保护标准出台投石问路，需要在实施过程中不断完善，同时希望政府尽快将“保护个人信息安全”上升到法律法规层面，包括要明确对侵犯个人信息者如何制裁、由什么机构负责执法等问题，让公众能够依法维护自身的合法权益。