随着互联网技术的大范围普及和迅速发展，互联网领域信息安全问题日益突出。据业内人士透露，仅2013年，就有超过600个中国网站的用户信息数据库在网上被公开售卖，其中确为真实信息的数据近1亿条。2013年1月至11月间，中国国家互联网应急中心监测发现被黑客骗取的用户银行卡信息达4.7万条。

    不法分子盗用、收集、篡改、恶意使用他人信息，并逐渐形成一条倒卖信息的黑色产业链，个人姓名、职业、身份证号码、电话号码、住址，甚至银行存款、投资状况等各种信息作为“商品”被廉价出售。垃圾短信、邮件、骚扰电话等严重干扰人们的正常生活，甚至危及生命、财产安全。

    在我国现行立法中，对个人信息保护已有一些间接的、局部的立法规定，其中包括首个“个人信息保护”国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》，另外，工业和信息化部公布的《电信和互联网用户个人信息保护规定》、公安部发布的《互联网安全保护技术措施规定》、中国人民银行制定的《个人信用信息基础数据库管理暂行办法》，以及《刑法修正案（七）》、《新消费者权益保护法》、《公证法》、《护照法》、《侵权责任法》、《居民身份证法》等，都对其对应领域的个人信息保护做出了相关规定。

    但另一方面，我国并无专门的《个人信息保护法》，上述法律文件多为零散性和个别性的规定，不能构成体系，对于未涉及的大量其他领域的个人信息保护无能为力。同时在内容上，这些法律法规大多是原则性规定，缺乏可操作性，无法有效保护信息主体的权利。

今年两会期间，全国政协委员、苏宁云商集团股份有限公司（以下简称苏宁）董事长张近东提交了《加快个人信息安全领域法制建设》的提案。他认为：“个人信息是个人权益的组成部分，是个人的基本身份，也是个人资产。”保护个人信息安全，其实也是维护公民的基本权利，要像保护资产一样保护个人信息。

    近日，记者对话张近东，请他谈谈个人信息的保护问题。

    记者:今年两会，您呼吁加快制定《互联网个人信息保护法》。据了解，这并不是您首次呼吁保护个人信息安全，请问您最早关注这个话题是什么时候？

    张近东：随着互联网与移动互联网的迅速发展，个人信息日趋呈现网络化与公开化的特点，但保护机制的短缺，导致个人信息安全事件频发。苏宁从事零售行业，每天都产生海量的消费者购物信息，尤其是2006年，集团升级上线了被誉为“世界零售业灯塔工程”的新系统（SAP/ERP），实现了订单、交易、支付、配送等环节的信息化管理，我们越发意识到个人信息保护的重要性，通过设置查看权限等方式加强个人信息的保护。

    2010年以来，苏宁易购快速发展，苏宁对电子商务行业的了解更加深入，加上近几年非法倒卖个人信息的刑事案件时有发生，个人信息安全问题更加引人关注。目前，网络信息保护仍旧缺乏必要的法律，所以我在2013、2014年两会期间提出了关于个人信息保护的相关议案，呼吁加快立法进程。

    记者:站在企业经营的角度，您为什么一直如此关注个人信息保护？它与企业运营有何关联，特别是对于推动电子商务的健康发展有何裨益？

    张近东：近几年，恶意获取、非法倒卖、失职外泄个人信息的事件频频发生，直接威胁消费者的经济安全与人身安全。与此同时，随着行业内乃至行业间竞争不断加剧，企业商业秘密违法行为的市场越来越大，企业所面临的商业秘密被泄露的风险不断加大，信息安全状况同样堪忧。

    零售服务业需要了解用户的电话号码、家庭住址等信息，才能完成物流配送、售后服务。安全的购物环境是消费者选择网购的前提条件，会员个人账号、交易记录、银行账户等信息的安全对消费者和电商企业来说至关重要。如果消费者个人购物相关信息泄露，可能对消费者人身、财产安全产生影响，从长远来看，也不利于电子商务的健康发展。

    因此，有必要抓紧制定立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间，维护公民合法权益。

    记者:您的提案从法律基础、责任主体、统一机制三个层面对保护个人信息提出了建议。请您详细谈谈对这三方面的思考。

    张近东：首先，在法律基础层面，要做好“顶层设计”，制定统一的《互联网个人信息保护法》。一方面，要明确规定信息收集主体、收集范围、存储规范、披露规范、使用告知等保护细节；另一方面，要加大处罚力度，对侵害个人信息安全的企事业单位或个人，处以高额罚款甚至吊销营业执照、追究刑事责任等处罚，以此提高违法成本，树立法律权威。

    其次，要明确责任主体，完善自律机制。缺乏统一的主管机构，对泄露和贩卖个人信息的行为缺乏有效的监管，因此必须明确规定涉事个人、企事业单位及监管单位的职责、权限；还要依法要求企事业单位建立完善的信息保护系统和披露审核机制，比如，设置信息“查看权限”，降低信息泄露风险，或聘请外部“监督员”，对信息保护过程进行督察等。

    最后，要建立统一的执法机制，确保法律贯彻执行。建议成立独立、专业的个人信息安全保护部门，严格、公正执法，推动个人信息保护的长期化、日常化。

    记者:您提案的核心内容是“明确责任主体，完善自律机制”，企业作为责任主体中的重要一方，目前还存在哪些失范现象，应如何自律？

    张近东：一方面，企业信息系统可能受到外部非法攻击，导致用户个人资料被盗取；另一方面，企业内部信息管理失范，用户个人资料可能被部分员工泄露。

    因此，网络信息安全不仅是一个技术问题，也是管理问题。做到完善自律机制，肩负主体责任，企业要从两方面入手：其一，需要加大安全方面的资金、人员、技术投入，加快技术升级与设备更新，构建防护网络。其二，需要制定明确的安全防护制度，保证职责明确，同时要有奖惩制度，当出现责任事故的时候，能够及时追究，增强员工的责任意识。

    记者:苏宁作为国内知名的电子商务企业，在保护用户个人信息方面有何经验与心得？

    张近东：我们制定了信息收集、存储安全、使用规范等有关用户信息安全各环节的标准，并确定了IT部门与业务部门的具体职责，在IT总部成立了信息安全中心，全面负责信息系统的软硬件安全，具体业务部门则有针对性地设计了有关用户信息的制度与规范。

    例如，针对门店销售员、物流配送人员、客服等一线员工，若故意泄露会员信息，一经查实立即严惩，后果严重者还将承担法律责任；针对会员数据库，我们实施了信息防火墙、加密技术等保密措施，会员个人信息、密码等均通过加密形式传入数据库，即使是相关技术人员也无法获取其中的信息；针对网络支付工具——苏宁易付宝，我们通过上线限额系统，在不影响客户体验的同时防止洗钱、欺诈、套现等，还推出了数字证书等安全产品。

    除此之外，苏宁还加入了互联网安全工作组（ISWG）等第三方组织，与各家互联网企业结成安全联盟，交流技术、共享信息，发挥整体效应，共同提高软件及服务安全性。