當(dāng)軟件和服務(wù)外包成為眾多國內(nèi)城市爭相發(fā)展的“戰(zhàn)略產(chǎn)業(yè)”,一個必須回答的問題逐漸清晰起來:究竟什么是軟件和服務(wù)外包產(chǎn)業(yè)的核心競爭力?
東軟集團(tuán)董事長兼CEO劉積仁曾用這樣的比喻來說明外包發(fā)包方與接包方的關(guān)系——外包,就如同把孩子送到幼兒園。那么,父母為孩子選擇幼兒園時,哪些要素是最必須考慮的最重要的?老師教得好不好、價格是否合理、環(huán)境是否舒適……當(dāng)然,這些都很重要。但最重要的,也是最基本的也許只有這兩個字:“安全”。
不久前發(fā)生在南方的一場彩票作弊案,讓“外包安全”顯得更加觸目驚心——根據(jù)當(dāng)?shù)赜嘘P(guān)部門的介紹,正是由于不法分子利用為彩票發(fā)行機(jī)構(gòu)做IT項目的機(jī)會,將計算機(jī)病毒植入機(jī)構(gòu)電腦,實施了犯罪行為。這不由得不讓人感到恐懼——如果外包最終成了一種“引狼入室”的行為,那么越來越多的信息被以外包的形式來處理,是否會使我們的個人隱私,比如我們每個月掙多少錢、我們的健康情況等,以及那些重要的企業(yè)信息都被一絲不掛地曝曬于公眾的視野下?
顯然,安全之于外包,幾乎是事關(guān)生死的要素。這一點對于像大連這樣全球新興、而又力圖成為軟件和服務(wù)外包新領(lǐng)軍城市的基地更為重要。在全球外包市場的游戲規(guī)則中,安全是最基本而又最重要的底線。令人欣慰的是,我市早在幾年前已經(jīng)在如何提供外包安全方面進(jìn)行了卓有成效地探索和努力。特別是在個人信息保護(hù)方面,已經(jīng)形成了國內(nèi)領(lǐng)先的保護(hù)體系。大連的探索經(jīng)驗得到了國家有關(guān)部委的高度重視,今年5月,市信息產(chǎn)業(yè)局接到工信部委托函,委托我市開展個人信息保護(hù)方面的研究,并參與起草全國《個人信息保護(hù)規(guī)范》(草案)。
起步:來自市場的壓力
我市領(lǐng)先于全國開展個人信息保護(hù)工作,始于2005年前后。最初的起步,來自軟件和服務(wù)外包市場的壓力。從1998年到2005年,我市軟件和服務(wù)外包產(chǎn)業(yè)發(fā)展迅速,特別是國際化特色使離岸外包業(yè)務(wù)占有很大的比重。隨著國際業(yè)務(wù)量不斷增加、業(yè)務(wù)種類不斷拓展,“個人信息保護(hù)”問題越來越突出。
“個人信息保護(hù)是信息服務(wù)外包發(fā)展的重要支撐體系。歐盟、日本等國都制定了相應(yīng)的法律和標(biāo)準(zhǔn)。對個人信息跨境處理(離岸外包)實行了嚴(yán)格的限制和管理?!笔熊浖f(xié)會常務(wù)副會長孫鵬說。在2005年,占大連軟件出口80%的日本,實施了“個人信息保護(hù)法”,并開展了相關(guān)認(rèn)證制度(P-MARK),這對大連離岸外包產(chǎn)生了很大的影響。大連對日外包的增長速度由2005年的114.77%,下降到2006年的55.56%。為了應(yīng)對國際市場的要求,保持外包業(yè)務(wù)的又好又快發(fā)展,自2005年開始,在市信息產(chǎn)業(yè)局領(lǐng)導(dǎo)下,大連軟件行業(yè)協(xié)會在行業(yè)中開展了個人信息保護(hù)工作。很快,這一行動得到了市場的積極反饋——2007年我市外包增長率又上升為117.35%。
成績:中國首個個人信息保護(hù)標(biāo)準(zhǔn)出自大連
從2005年至今,在市信息產(chǎn)業(yè)局的領(lǐng)導(dǎo)下,由大連軟件行業(yè)協(xié)會牽頭,我市軟件和服務(wù)外包產(chǎn)業(yè)個人信息安全保護(hù)工作取得長足進(jìn)步。
2006年3月20日《大連軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》發(fā)布,2007年2月5日正式實施。遼寧省《軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》(DB21/T 1522-2007)2007年6月13日發(fā)布,2007年8月1日開始實施——這是我國首個針對個人信息保護(hù)的地方行業(yè)標(biāo)準(zhǔn)。遼寧省《個人信息保護(hù)規(guī)范》(DB21/T 1628-2008)2008年6月16日發(fā)布,2008年7月16日開始實施——該標(biāo)準(zhǔn)是我國首個針對全行業(yè)的個人信息保護(hù)的地方標(biāo)準(zhǔn)。
在制定規(guī)范和標(biāo)準(zhǔn)的同時,我市著手研究建立個人信息保護(hù)評價(PIPA)體系。PIPA是我國最早的個人信息保護(hù)能力和水平的評價體系,該體系是主要針對計算機(jī)處理相關(guān)單位而開展的個人信息保護(hù)能力的評價,目前主要應(yīng)用于軟件及信息服務(wù)業(yè),特別是軟件外包企業(yè)。該評價體系的建立能夠幫助企業(yè)建立個人信息保護(hù)規(guī)章制度,有效提高企業(yè)的個人信息保護(hù)能力。目前,我市已有七十余家企業(yè)開展了PIPA評價工作,其中有三十余家企業(yè)已經(jīng)通過了PIPA評價,獲得了《個人信息保護(hù)合格證書》。
經(jīng)驗:“軟環(huán)境”有時就是硬實力
“你說自己是安全的,缺乏證據(jù)。PIPA實際上就是給出一個第三方的證明。事實上,在一些重要的外包業(yè)務(wù)中,個人信息保護(hù)已經(jīng)成為發(fā)包方考察的重要內(nèi)容。我市在這一領(lǐng)域的領(lǐng)先,為我市軟件和服務(wù)外包企業(yè)增強(qiáng)了整體競爭力?!闭劶皞€人信息保護(hù)工作的價值,孫鵬說。
為了讓更多的企業(yè)開展個人信息保護(hù)工作,大連市政府在2008年12月出臺的《大連市進(jìn)一步促進(jìn)軟件和服務(wù)外包產(chǎn)業(yè)發(fā)展若干規(guī)定》第二十八條中規(guī)定“積極推行《個人信息安全保護(hù)規(guī)范》標(biāo)準(zhǔn)及其評價制度,由市專項資金全額補(bǔ)貼企業(yè)開展評價工作。企業(yè)如違犯規(guī)范并造成后果,將暫停其享受本規(guī)定項下所有政策的權(quán)利?!?/P>
為提高PIPA的國際認(rèn)可程度,在市信息產(chǎn)業(yè)局的指導(dǎo)下,大連軟件行業(yè)協(xié)會與日本JIPDEC(日本情報處理開發(fā)協(xié)會)就個人信息保護(hù)工作開展了交流與合作,并于2008年6月19日實現(xiàn)了日本個人信息保護(hù)(P-MARK)與大連市個人信息保護(hù)評價(PIPA)的互相承認(rèn)?!艾F(xiàn)在,在國內(nèi)通過PIPA評價的企業(yè)將等同于通過了日本的P-MARK認(rèn)證,這為企業(yè)增加了承接國際業(yè)務(wù)的競爭力。”孫鵬說。除日本以外,目前大連軟件行業(yè)協(xié)會還與歐盟、美國的個人信息保護(hù)機(jī)構(gòu)展開了交流工作。
政府支持、國際合作,這是我市在提高個人信息保護(hù)方面的有益經(jīng)驗。而這種看不見的“軟環(huán)境”建設(shè)卻在默默提升大連軟件和服務(wù)外包產(chǎn)業(yè)的硬實力。
“我市在努力建設(shè)全球軟件和服務(wù)外包新領(lǐng)軍城市。在外包安全這方面,我們已經(jīng)是領(lǐng)軍者?!睂O鵬說。
展望:地方標(biāo)準(zhǔn)有望升格“國家級”
據(jù)孫鵬介紹,為了更好的在大連市各行業(yè)中開展個人信息保護(hù)工作,市信息產(chǎn)業(yè)局、大連軟件行業(yè)協(xié)會正在積極配合有關(guān)單位推動地方立法工作,目前大連市法制辦已將《大連市軟件與信息服務(wù)業(yè)個人信息保護(hù)管理辦法》列入立法計劃。大連軟件行業(yè)協(xié)會將在市信息產(chǎn)業(yè)局的指導(dǎo)下,與全國其它地區(qū)的軟件行業(yè)協(xié)會就個人信息保護(hù)的推廣及應(yīng)用工作展開廣泛的交流與合作,幫助各地企業(yè)提高個人信息保護(hù)能力,提高承接國際業(yè)務(wù)的競爭能力,迄今已先后與杭州、沈陽、無錫等地的相關(guān)機(jī)構(gòu)開展了合作。另外大連軟件行業(yè)協(xié)會正依據(jù)《個人信息保護(hù)規(guī)范》(DB21/T 1628-2008)進(jìn)行跨行業(yè)個人信息保護(hù)推廣的試點工作,目前正在與旅游、教育、醫(yī)療衛(wèi)生等行業(yè)展開積極的溝通與交流。今年5月,市信息產(chǎn)業(yè)局接到工信部信息安全協(xié)調(diào)司發(fā)來的《關(guān)于開展〈個人信息保護(hù)規(guī)范〉研究的委托函》,將參與起草全國《個人信息保護(hù)規(guī)范》草案。這意味這我市在個人信息保護(hù)方面的地方規(guī)范將有望成為國家規(guī)范。此外,鑒于我市在個人信息保護(hù)行業(yè)應(yīng)用方面積累了實施經(jīng)驗,我市正在積極申請成為國家“軟件和信息服務(wù)業(yè)個人信息保護(hù)示范城市”。